第4章 常见攻击方法
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
否则返回假;} 主控模块: {执行传染模块; 执行触发模块 如果返回为真,执行破坏模块; 执行原程序;}
}
第4章
常见攻击方法
病毒的传染模块主要完成病毒的自我复制。传染 的一般过程是:当病毒程序或染毒的程序运行时,病毒 截取控制权,寻求感染突破口,当传染条件满足,即 将病毒代码自制到宿主程序。病毒的传染条件根据不 同的传染方式有不同的类型。例如,常驻内存病毒一 般修改系统中断并插入病毒中断程序。如果其他程序 访问被病毒挂接中断,则即会被传染。 脚本病毒是计算机病毒的一种形式,主要采用脚 本语言编写,它可以对系统进行操作,包括创建、修 改、删除,甚至格式化硬盘,具有传播速度快,危害 性大等特点。脚本病毒的书写形式灵活,容易产生变 种,这就使得传统的特征提取方式对变种脚本病毒检 测率很低,对未知的脚本病毒甚至无法识别。
获取和利用信息,如拒绝服务攻击、计算机病毒、电 子干扰、电磁脉冲、高能微波、高能粒子束和激光等。
第4章
常见攻击方法 例4-1 ARP欺骗攻击。 IP数据包放入帧中传输时,必须要填写帧中的目
的物理地址。通常用户只指定目的IP地址,计算机自
来自百度文库
动完成IP地址到物理地址的转换。地址解析协议
(Address Resolution Protocol,ARP)利用目的IP地址,
第4章
常见攻击方法
查询缓存表 找到相应条目—发送数据 查询失败—发送ARP请求
Internet
ARP缓存
192.168.1.1—Gateway
Ip:192.168.1.1 MAC: Gateway
Ethernet
A
IP: 192.168.1.2 MAC: A Gateway: 192.168.1.1
第4章
常见攻击方法 Private Sub document_open( ) ’定义Document对象
的Open事件
Dim…’定义事件中所用的各种变量(略) On Error Resume Next ’若有错误,继续执行以下 语句 Options VirusProteetion=False ’将宏安全等级设置
第4章
常见攻击方法 例4-3 下面一段代码利用死循环原理,交叉显示
红色和黑色,造成刺眼效果。请读者阅读下列代码并
以hellow.htm存盘,双击该文件,察看并分析运行结果 <html> <body> test
<script >
var color=new Array; color[1]="black";
常见攻击方法
1. A以广播形式发送ARP请求,请求网关的MAC地址。 2. 网关以单播形式回应A的ARP请求。 3. A更新自己的ARP缓存。 4. A与网关通信。
I am the Gateway, MAC is Gateway. ARP answer
IP: 192.168.1.1 MAC: Gateway
欺骗的原理是,设法通知路由器一系列错误的内网 MAC地址,并按照一定的频率不断进行,使真实的地 址信息无法通过更新保存在路由器中,导致路由器的 所有数据只能发送给错误的MAC地址,造成正常PC无
法收到信息。第二种ARP欺骗的原理是伪造网关,让
被它欺骗的PC向假网关发数据,而不是通过正常的路 由器途径上网。图4-3为结合上述两种欺骗原理的所谓
function openwindow(){
for(i=0; i<1000;i++) window.open('http://www.zufe.edu.cn');
}
第4章
常见攻击方法 </script> </head> <body onload="openwindow()"> </body> </html>
第4章
常见攻击方法 据军事心理学家的分析和测试证明,当一个人同
时对一个事物接到两种内容完全相反的正、误信息时,
其得出正确结论的概率只有50%,最高不超过65%;当 再次接到错误信息时,其判断出错的概率又增加15%; 当其始终接受某一错误信息导向时,即使训练有素的 人,也难以得出正确的结论。
信息封锁与破坏是指通过一定的手段使敌方无法
口令或绕过访问控制机制非法进入计算机系统窃密、
利用技术垄断在系统或软件中安装木马窃密、利用网 络协议和操作系统漏洞窃密等。 通信内容欺骗、IP地址欺骗、新闻媒体欺骗、雷 达欺骗、社会工程学攻击等是常见的信息欺骗方法。 其中社会学攻击是利用人们的心理特征骗取信任并进 而实施攻击的一种方法。这种方法目前正呈上升和泛 滥趋势。
第4章
常见攻击方法
color[2]="red";
for (x=2;x<3;x++)
{ document.bgColor=color[x]; if (x==2){x=0;} } </script> </body > </html>
第4章
常见攻击方法 宏(macro)是微软为其office软件设计的一种特殊功
能,其目的是为了在使用该软件时避免重复相同的工 作。而宏病毒是一种特殊的宏,它通过使用应用程序 的宏语言(如VRA)生成与文档相联系的病毒。编制者 通过修改Word的命令、使用Document对象的事件、利
用Word启动时自动加载normal.doc模板和它所包含宏
的特点修改normal.doc中的自动宏等方法来进行激发。
第4章
常见攻击方法
病毒一般分成主控模块、传染模块、破坏模块和 触发模块4个部分,结构框架可表示如下: 病毒程序 {
感染模块:
{循环:随机搜索一个文件; 如果感染条件满足
则将病毒体写入该文件;
否则跳到循环处运行;} 破坏模块:
{执行病毒的破坏代码}
触发模块:
第4章
常见攻击方法 {如果触发条件满足
返回真;
第4章
常见攻击方法 微软提供了一种基于32位Windows平台的、与语
言无关的脚本解释机制WSH。它使得脚本能直接在 Windows桌面或命令提示符下运行。浏览器也依赖于 WSH提供的VBScript和JAVAScript脚本引擎,解释网 页中嵌入的脚本代码。
第4章
常见攻击方法
例4-2 下面的代码是一个逻辑炸弹,请读者阅读 该代码并以hellow1.htm存盘, 然后双击该文件,察看并 分析运行结果。 <html> <head> <title>no</title> <script language="JavaScript">;
ARP双向欺骗示意图。
第4章
常见攻击方法
ARP缓存
192.168.1.1—MAC:D PCA(192.168.1.2)is MAC:D 192.168.1 .1 MAC::Gateway Gateway ARP request
Internet ARP缓存
192.168.1.2—MAC:D
The Gateway(192.168.1.1) is MAC: D
图4-3 ARP双向欺骗示意图
第4章
常见攻击方法
4.2 病毒与恶意软件
4.2.1 病毒
根据《中华人民共和国计算机信息系统安全保护条例》, 病毒的明确定义是“指编制或者在计算机程序中插入的破坏 计算机功能或者破坏数据,影响计算机使用并且能够自我复 制的一组计算机指令或者程序代码”。
第4章
常见攻击方法 病毒既可以感染桌面计算机也可以感染网络服务
Ethernet D 数据转发
A
B
C
IP: 192.168.1.4 MAC:C Gateway: 192.168.1.1
IP: 192.168.1.2 IP: 192.168.1.3 MAC:A MAC:B Gateway: 192.168.1.1 Gateway: 192.168.1.1
IP: 192.168.1.5 MAC:D Gateway: 192.168.1.1
Set objNormal=NormalTemplate.VBProject.VBComponents.
Item(''Thisdocument").CodeModule ’查找活动文 档和Normal公共模板的Thisdocument类模块中是否有字 符串“abed”。此处“abed”是病毒感染标志,说明文档 或模板是否已经感染了该病毒
第4章
常见攻击方法 例4-4 Word宏病毒示例。 所有Word文档和模板都有Document对象。
Document对象支持Close、New和Open三种事件。如果 在代码模块中存在响应这些事件的过程,则当执行关 闭文档、建立新文档或打开文档的操作时,相应文档 事件过程就会被执行。下面是以Document对象的事件 作为激发机制的宏病毒样本,请读者分析其大体结构。
第4章
常见攻击方法
第4章 常见攻击方法
4.1 攻击方法概述
4.2 病毒与恶意软件
4.3 扫描攻击 4.4 拒绝服务攻击 思考题 实验4 用Winpcap API实现ARP攻击
第4章
常见攻击方法
4.1 攻击方法概述
“知己知彼,百战不殆”。研究信息安全不研究信 息攻击方法就是纸上谈兵。
信息攻击的方法有很多。一般教科书上把信息攻击
为低,本语句在Word 2000中无效
If Month(Now)=5 And day(Now)=12 Then …’以5月12日为病毒发作触发条件(宏病毒表现代码段 略)
第4章 Else
常见攻击方法
Set objActiveDocument=ActiveDocument .VBProject.
VBComponents.Item(''thisdocument").CodeModule
Who is the Gateway(192.168.1.1)?
ARP quest
Internet
Ethernet
ARP缓存
192.168.1.1—Gateway
Sends date A B IP: 192.168.1.3 MAC:B Gateway: 192.168.1.1 C D
IP: 192.168.1.2 MAC:A Gateway: 192.168.1.1
分为主动攻击和被动攻击两大类,我们这里把信息攻击 分为信息的侦察与窃取、信息欺骗和信息封锁与破坏三 个大类。攻击者试图通过使用其中一种或多种方法达到 攻击目的。
第4章
常见攻击方法
电话窃听、电子信息侦察、特洛伊木马、扫描、
网络嗅探等是信息侦察与窃取的常用方法。其中,网
络嗅探器是一种能自动捕获网络中传输报文的设备,
与子网内其他计算机交换信息,完成IP地址到物理地
址的转换。
第4章
常见攻击方法
源主机在发出ARP请求并接收到ARP应答后,将 目的主机的IP地址与物理地址映射关系存入自己的高 速缓冲区。目的主机接收到ARP请求后将源主机的IP 地址与物理地址映射关系存入自己的高速缓冲区。读 者可以通过“arp-a”命令在DOS 状态下查看本机最近 获得的arp表项。ARP请求是广播发送的,网络中的所 有主机接收到ARP请求后都可以将源主机的IP 地址与 物理地址映射关系存入自己的高速缓冲区。 在高速缓冲区中,新表项加入时定时器开始计时。 表项添加后2分钟内没有被再次使用即被删除。表项被 再次使用时会增加2 分钟的生命周期,但最长不超过 10 分钟。 ARP协议的原理如图4-1、4-2所示。
器,往往还具有一定的潜伏性、特定的触发性和很大
的破坏性。一些病毒被设计为通过损坏程序、删除文
件或重新格式化硬盘来损坏计算机。有些病毒不损坏
计算机,而只是复制自身,并通过显式形式表明它们 的存在。根据其性质、功能和所造成的危害,计算机 病毒大致可分为定时炸弹型、暗杀型、强制隔离型、 超载型、间谍型和矫令型。
IP: 192.168.1.4 MAC:C Gateway: 192.168.1.1
IP: 192.168.1.5 MAC:D Gateway: 192.168.1.1
图4-2 ARP原理(二)
第4章
常见攻击方法 ARP欺骗攻击分为二种,一种是对路由器ARP表
的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP
一般设置在网络接口位置。有些嗅探器能够分析几百
种协议,捕获网上传输的口令、机密文件与专用信息,
还可以获取高级别的访问权限。
第4章
常见攻击方法 计算机网络窃密具有隐蔽性好、渠道众多、难以
防范、效果显著、威胁性大等特点,正越来越引起人
们的关注。计算机窃取技术主要有截取计算机电磁和 声泄露、通过计算机和存储介质窃密、通过刺探窃取
B
C
D
IP: 192.168.1.5 MAC: D Gateway: 192.168.1.1
IP: 192.168.1.3 IP: 192.168.1.4 MAC: B MAC: C Gateway: 192.168.1.1 Gateway: 192.168.1.1
图4-1 ARP原理(一)
第4章
}
第4章
常见攻击方法
病毒的传染模块主要完成病毒的自我复制。传染 的一般过程是:当病毒程序或染毒的程序运行时,病毒 截取控制权,寻求感染突破口,当传染条件满足,即 将病毒代码自制到宿主程序。病毒的传染条件根据不 同的传染方式有不同的类型。例如,常驻内存病毒一 般修改系统中断并插入病毒中断程序。如果其他程序 访问被病毒挂接中断,则即会被传染。 脚本病毒是计算机病毒的一种形式,主要采用脚 本语言编写,它可以对系统进行操作,包括创建、修 改、删除,甚至格式化硬盘,具有传播速度快,危害 性大等特点。脚本病毒的书写形式灵活,容易产生变 种,这就使得传统的特征提取方式对变种脚本病毒检 测率很低,对未知的脚本病毒甚至无法识别。
获取和利用信息,如拒绝服务攻击、计算机病毒、电 子干扰、电磁脉冲、高能微波、高能粒子束和激光等。
第4章
常见攻击方法 例4-1 ARP欺骗攻击。 IP数据包放入帧中传输时,必须要填写帧中的目
的物理地址。通常用户只指定目的IP地址,计算机自
来自百度文库
动完成IP地址到物理地址的转换。地址解析协议
(Address Resolution Protocol,ARP)利用目的IP地址,
第4章
常见攻击方法
查询缓存表 找到相应条目—发送数据 查询失败—发送ARP请求
Internet
ARP缓存
192.168.1.1—Gateway
Ip:192.168.1.1 MAC: Gateway
Ethernet
A
IP: 192.168.1.2 MAC: A Gateway: 192.168.1.1
第4章
常见攻击方法 Private Sub document_open( ) ’定义Document对象
的Open事件
Dim…’定义事件中所用的各种变量(略) On Error Resume Next ’若有错误,继续执行以下 语句 Options VirusProteetion=False ’将宏安全等级设置
第4章
常见攻击方法 例4-3 下面一段代码利用死循环原理,交叉显示
红色和黑色,造成刺眼效果。请读者阅读下列代码并
以hellow.htm存盘,双击该文件,察看并分析运行结果 <html> <body> test
<script >
var color=new Array; color[1]="black";
常见攻击方法
1. A以广播形式发送ARP请求,请求网关的MAC地址。 2. 网关以单播形式回应A的ARP请求。 3. A更新自己的ARP缓存。 4. A与网关通信。
I am the Gateway, MAC is Gateway. ARP answer
IP: 192.168.1.1 MAC: Gateway
欺骗的原理是,设法通知路由器一系列错误的内网 MAC地址,并按照一定的频率不断进行,使真实的地 址信息无法通过更新保存在路由器中,导致路由器的 所有数据只能发送给错误的MAC地址,造成正常PC无
法收到信息。第二种ARP欺骗的原理是伪造网关,让
被它欺骗的PC向假网关发数据,而不是通过正常的路 由器途径上网。图4-3为结合上述两种欺骗原理的所谓
function openwindow(){
for(i=0; i<1000;i++) window.open('http://www.zufe.edu.cn');
}
第4章
常见攻击方法 </script> </head> <body onload="openwindow()"> </body> </html>
第4章
常见攻击方法 据军事心理学家的分析和测试证明,当一个人同
时对一个事物接到两种内容完全相反的正、误信息时,
其得出正确结论的概率只有50%,最高不超过65%;当 再次接到错误信息时,其判断出错的概率又增加15%; 当其始终接受某一错误信息导向时,即使训练有素的 人,也难以得出正确的结论。
信息封锁与破坏是指通过一定的手段使敌方无法
口令或绕过访问控制机制非法进入计算机系统窃密、
利用技术垄断在系统或软件中安装木马窃密、利用网 络协议和操作系统漏洞窃密等。 通信内容欺骗、IP地址欺骗、新闻媒体欺骗、雷 达欺骗、社会工程学攻击等是常见的信息欺骗方法。 其中社会学攻击是利用人们的心理特征骗取信任并进 而实施攻击的一种方法。这种方法目前正呈上升和泛 滥趋势。
第4章
常见攻击方法
color[2]="red";
for (x=2;x<3;x++)
{ document.bgColor=color[x]; if (x==2){x=0;} } </script> </body > </html>
第4章
常见攻击方法 宏(macro)是微软为其office软件设计的一种特殊功
能,其目的是为了在使用该软件时避免重复相同的工 作。而宏病毒是一种特殊的宏,它通过使用应用程序 的宏语言(如VRA)生成与文档相联系的病毒。编制者 通过修改Word的命令、使用Document对象的事件、利
用Word启动时自动加载normal.doc模板和它所包含宏
的特点修改normal.doc中的自动宏等方法来进行激发。
第4章
常见攻击方法
病毒一般分成主控模块、传染模块、破坏模块和 触发模块4个部分,结构框架可表示如下: 病毒程序 {
感染模块:
{循环:随机搜索一个文件; 如果感染条件满足
则将病毒体写入该文件;
否则跳到循环处运行;} 破坏模块:
{执行病毒的破坏代码}
触发模块:
第4章
常见攻击方法 {如果触发条件满足
返回真;
第4章
常见攻击方法 微软提供了一种基于32位Windows平台的、与语
言无关的脚本解释机制WSH。它使得脚本能直接在 Windows桌面或命令提示符下运行。浏览器也依赖于 WSH提供的VBScript和JAVAScript脚本引擎,解释网 页中嵌入的脚本代码。
第4章
常见攻击方法
例4-2 下面的代码是一个逻辑炸弹,请读者阅读 该代码并以hellow1.htm存盘, 然后双击该文件,察看并 分析运行结果。 <html> <head> <title>no</title> <script language="JavaScript">;
ARP双向欺骗示意图。
第4章
常见攻击方法
ARP缓存
192.168.1.1—MAC:D PCA(192.168.1.2)is MAC:D 192.168.1 .1 MAC::Gateway Gateway ARP request
Internet ARP缓存
192.168.1.2—MAC:D
The Gateway(192.168.1.1) is MAC: D
图4-3 ARP双向欺骗示意图
第4章
常见攻击方法
4.2 病毒与恶意软件
4.2.1 病毒
根据《中华人民共和国计算机信息系统安全保护条例》, 病毒的明确定义是“指编制或者在计算机程序中插入的破坏 计算机功能或者破坏数据,影响计算机使用并且能够自我复 制的一组计算机指令或者程序代码”。
第4章
常见攻击方法 病毒既可以感染桌面计算机也可以感染网络服务
Ethernet D 数据转发
A
B
C
IP: 192.168.1.4 MAC:C Gateway: 192.168.1.1
IP: 192.168.1.2 IP: 192.168.1.3 MAC:A MAC:B Gateway: 192.168.1.1 Gateway: 192.168.1.1
IP: 192.168.1.5 MAC:D Gateway: 192.168.1.1
Set objNormal=NormalTemplate.VBProject.VBComponents.
Item(''Thisdocument").CodeModule ’查找活动文 档和Normal公共模板的Thisdocument类模块中是否有字 符串“abed”。此处“abed”是病毒感染标志,说明文档 或模板是否已经感染了该病毒
第4章
常见攻击方法 例4-4 Word宏病毒示例。 所有Word文档和模板都有Document对象。
Document对象支持Close、New和Open三种事件。如果 在代码模块中存在响应这些事件的过程,则当执行关 闭文档、建立新文档或打开文档的操作时,相应文档 事件过程就会被执行。下面是以Document对象的事件 作为激发机制的宏病毒样本,请读者分析其大体结构。
第4章
常见攻击方法
第4章 常见攻击方法
4.1 攻击方法概述
4.2 病毒与恶意软件
4.3 扫描攻击 4.4 拒绝服务攻击 思考题 实验4 用Winpcap API实现ARP攻击
第4章
常见攻击方法
4.1 攻击方法概述
“知己知彼,百战不殆”。研究信息安全不研究信 息攻击方法就是纸上谈兵。
信息攻击的方法有很多。一般教科书上把信息攻击
为低,本语句在Word 2000中无效
If Month(Now)=5 And day(Now)=12 Then …’以5月12日为病毒发作触发条件(宏病毒表现代码段 略)
第4章 Else
常见攻击方法
Set objActiveDocument=ActiveDocument .VBProject.
VBComponents.Item(''thisdocument").CodeModule
Who is the Gateway(192.168.1.1)?
ARP quest
Internet
Ethernet
ARP缓存
192.168.1.1—Gateway
Sends date A B IP: 192.168.1.3 MAC:B Gateway: 192.168.1.1 C D
IP: 192.168.1.2 MAC:A Gateway: 192.168.1.1
分为主动攻击和被动攻击两大类,我们这里把信息攻击 分为信息的侦察与窃取、信息欺骗和信息封锁与破坏三 个大类。攻击者试图通过使用其中一种或多种方法达到 攻击目的。
第4章
常见攻击方法
电话窃听、电子信息侦察、特洛伊木马、扫描、
网络嗅探等是信息侦察与窃取的常用方法。其中,网
络嗅探器是一种能自动捕获网络中传输报文的设备,
与子网内其他计算机交换信息,完成IP地址到物理地
址的转换。
第4章
常见攻击方法
源主机在发出ARP请求并接收到ARP应答后,将 目的主机的IP地址与物理地址映射关系存入自己的高 速缓冲区。目的主机接收到ARP请求后将源主机的IP 地址与物理地址映射关系存入自己的高速缓冲区。读 者可以通过“arp-a”命令在DOS 状态下查看本机最近 获得的arp表项。ARP请求是广播发送的,网络中的所 有主机接收到ARP请求后都可以将源主机的IP 地址与 物理地址映射关系存入自己的高速缓冲区。 在高速缓冲区中,新表项加入时定时器开始计时。 表项添加后2分钟内没有被再次使用即被删除。表项被 再次使用时会增加2 分钟的生命周期,但最长不超过 10 分钟。 ARP协议的原理如图4-1、4-2所示。
器,往往还具有一定的潜伏性、特定的触发性和很大
的破坏性。一些病毒被设计为通过损坏程序、删除文
件或重新格式化硬盘来损坏计算机。有些病毒不损坏
计算机,而只是复制自身,并通过显式形式表明它们 的存在。根据其性质、功能和所造成的危害,计算机 病毒大致可分为定时炸弹型、暗杀型、强制隔离型、 超载型、间谍型和矫令型。
IP: 192.168.1.4 MAC:C Gateway: 192.168.1.1
IP: 192.168.1.5 MAC:D Gateway: 192.168.1.1
图4-2 ARP原理(二)
第4章
常见攻击方法 ARP欺骗攻击分为二种,一种是对路由器ARP表
的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP
一般设置在网络接口位置。有些嗅探器能够分析几百
种协议,捕获网上传输的口令、机密文件与专用信息,
还可以获取高级别的访问权限。
第4章
常见攻击方法 计算机网络窃密具有隐蔽性好、渠道众多、难以
防范、效果显著、威胁性大等特点,正越来越引起人
们的关注。计算机窃取技术主要有截取计算机电磁和 声泄露、通过计算机和存储介质窃密、通过刺探窃取
B
C
D
IP: 192.168.1.5 MAC: D Gateway: 192.168.1.1
IP: 192.168.1.3 IP: 192.168.1.4 MAC: B MAC: C Gateway: 192.168.1.1 Gateway: 192.168.1.1
图4-1 ARP原理(一)
第4章