chap3检测攻击基础.pptVIP

* * 内容 ? 网络攻击行为过程分析 ? 网络攻击行为分类 网络攻击的一般步骤 准备阶段 攻击目标 收集信息 攻击实施 破坏型 入侵型 后处理 窃取 隐藏 生命周期 3 攻击准备 ? ? ? 攻击前首先确定攻击目标，而后确定要达到什么样的攻击目的 ， 即给对方造成什么样的后果，常见的攻击目的有破坏型和入侵型 两种。 破坏型攻击指的破坏目标，使其不能正常工作，而不是控制目标 系统的运行。 入侵型攻击，这种攻击是要获得一定的权限达到控制攻击目标或 窃取信息的目的。入侵型攻击较为普遍，威胁性大，因为一旦获 得攻击目标的管理员权限就可以对此服务器做任意动作，包括破 坏性质的攻击。此类攻击一般利用服务器操作系统、应用软件或 者网络协议等系统中存在的漏洞进行。 攻击实施 ? 破坏型攻击，只需利用必要的工具发动攻击即可。 ? 入侵型攻击，往往要利用收集到的信息找到系统漏 洞，然后利用该漏洞获得一定的权限， – 系统漏洞一般分为远程和本地漏洞 两种，远程漏洞是指可以 在别的机器上直接利用该漏洞进行攻击并获得一定的权限， 这种漏洞的威胁性相当大，攻击行为一般是从远程漏洞开 始，但是利用远程漏洞不一定获得最高权限，往往获得一般 用户的权限，只有获得了较高的权限（如管理员的权限）才 可以进行入侵行为（如放置木马程序）。 攻击后处理 ? ? 对于破坏型攻击 ，攻击者隐匿踪迹是为了不被发现，而且还有可 能再次收集信息以此来评估攻击后的效果。 对于入侵型攻击最重要的是隐匿踪迹，攻击者可以利用系统最高 管理员身份随意修改系统上文件的权利。 – 隐匿踪迹最简单的方法是删除日志，但这样做虽然避免了系统管理 员根据日志的追踪，但也明确地告诉管理员系统已经被入侵了，所 以一般采用的方法是修改日志中与攻击行为相关的那一部分日志， 而不是删除日志。 – 此外，攻击者在入侵系统后还有可能再次入侵该系统，所以为了下 次进入的方便，攻击者往往给自己留下后门。还有一种方法，即通 过修改系统内核的方法可以使管理员无法发现攻击行为的发生，但 这种方法需要较强的编程技巧，一般的攻击者较难完成。 本章主要内容 ? ? ? ? ? ? ? 系统漏洞扫描 网络数据获取 病毒技术 特洛伊木马 欺骗攻击 缓冲区溢出攻击 拒绝服务攻击 网络攻击行为分类 ? 人们对于各种网络攻击的理解、把握程度相差很大， 对网络攻击的判定和特征提取的方法很不相同，对网 络攻击与造成的危害或潜在危胁的认识难以保持一 致，从而对安全技术研发、工程实践、产品开发、安 全性测评、安全事件协同处理等工作中人与人之间的 协作、系统与系统之间的交互带来极大困难。 – 对网络攻击事件的分类随意性很强 – 对同样攻击事件判定结果不同 。 – 对于网络攻击事件所造成的危害和潜在的危险缺乏统一的衡量准则。 国内的一种分类方法 ? ? ? ? ? ? ? ? 从攻击 入口 方面的考虑 攻击的 平台依赖性方面的考虑 从漏洞相关性方面的考虑 从 攻击点方面的考虑 从攻击结果 方面的考虑 从破坏强度 方面的考虑 攻击平台依赖性的标准 漏洞的相关性的标准 国内的一种分类方法 ? 攻击入口的标准 – 攻击入口：就是计算机和外界进行交互的接口，从操作系统的角度 来考虑，把这个接口分成了四个部分： – 用户接口：是指在操作系统上安装的各种应用服务系统，并能够与 外界用户进行交互的接口，如WEB、FTP、SENDMAIL等； – 网络协议接口：指的是操作系统与外界进行网络通讯时所提供的接 口，尤指TCP/IP协议族中的IP层以下（含IP层）的各层协议所提供 的各种服务； – 网络管理接口：指的是操作系统在基本网络通讯配置基础上，增加 网络的管理和服务功能时，所涉及的网络管理、配置模块与外界的 接口，这里最典型的就是SNMP的管理模块； – 设备接口：指的是操作系统和设备进行交互的接口，特别指外围设 备驱动程序 国内的一种分类方法 ? 作用点的标准 – 帐户：包括操作系统帐户和应用系统帐户，它所受到的攻击主要是帐户猜测 和字典攻击以及强力破解，另外还包括系统留下的秘密帐户以及安装木马后 所创建的后门。 – 文件：指保存在系统中原有的，能够被反复重新安装的，另外新添加的文 件，特别指木马文件；涉及到的攻击主要是文件的随意执行、修改、删除、 增加