网络攻击行为分析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机窃贼 恶意攻击计算机系统的人(Cracker)
9
黑客的特点
(1)充当黑客的年轻人居多 黑客年龄一般在10余岁到30岁之间,其中有许多未成年的小孩,如美国
号称“世界头号计算机黑客”的Kevin Mitnick,13岁迷上计算机, 15岁闯入“北美空中防务指挥系统”;英国的Mathew Bevan 14岁侵 入英国的电信公司;我国呼和浩特市一个10岁的初中生破译了该市 通信公司的系统管理员的账号,等等。 (2)人员的构成相对集中 70%以上的黑客事件是由内部人员或外部与内部合谋进行的。一般来说, 外部黑客入侵的目的主要是破坏系统,而内部或内外勾结的入侵多 数是为了获取信息;外部黑客对一个站点可能只入侵一次,内部或 内外勾结的入侵可能会连续几次。 (3)黑客活动时间相对固定 黑客活动主要是在晚上到凌晨、周末或节假日。因为职业化的黑客很少, 一般黑客多有自己的工作,实施黑客活动需要利用休息时间,又因 为在这些时间里,工作场所的人员少,便于隐蔽。 (4)从发展趋势看,黑客正在不断地走向系统化、组织化和年轻化 黑客甚至定期召开会议,如他们每四年在荷兰举行一次Hack - Tic会议、 每年在纽约举行“2600公文”、在拉斯维加斯举行DefCon会议和在 加利福尼亚的Lake Tahoe举行“黑客大会”。
11
黑客攻击的手段
目前,黑客攻击网络的手段种类繁多,而且新的手段层 出不穷,黑客攻击可以分为以下两大类:
一类是主动攻击,这种攻击以各种方式获取攻击目标的 相关信息,找出系统漏洞,侵入系统后,将会有选择地 破坏信息的有效性和完整性。例如:邮件炸弹。
另一类是被动攻击,这种攻击是在不影响网络正常工作 的情况下,进行截获、窃取、破译以获得重要机密信息, 其中包括窃听和通信流量分析。例如:扫描器。
13
几种黑客常用的方法
(1)扫描器 所谓扫描器,实际是一种自动检测目标计算机安全性弱点的
程序。黑客通过使用扫描器,可以不留痕迹的发现远程 服务器的各种TCP端口的分配及提供的服务、使用的软件 版本以及其他一些服务信息。 (2)口令破解 黑客进行攻击常常是从破解用户口令开始的。 (3)炸弹攻击与病毒 炸弹攻击是指黑客利用自编的炸弹攻击程序或工具软件,集 中在一段时间内,向攻击的目标机器发出大量信息,使 机器出现负载过重、网络堵塞,最终使系统崩溃的一种 网络攻击手段。 (4)电子欺骗(Spoofing )
2
影响信息安全的人员分析
计算机网络系统所面临的威胁大体可分为两 种:一是针对网络中信息的威胁;二是针对 网络中设备的威胁。
❖ 如果按威胁的对象、性质则可以细分为四类: ✓第一类是针对硬件实体设施 ✓第二类是针对软件、数据和文档资料 ✓第三类是兼对前两者的攻击破坏 ✓第四类是计算机犯罪。
3
安全威胁的来源
5
实施安全威胁的人员
心存不满的员工 软硬件测试人员 技术爱好者 好奇的年青人 黑客(Hacker) 破坏者(Cracker) 以政治或经济利益为目的的间谍
6
潜在的攻击者
竞争对手 黑客政治家 有组织的罪
犯 恐怖主义者 政府 雇佣杀手 虚伪朋友
不满的员工 客户 供应商 厂商 商务伙伴
10
黑客攻击危害程度的划分
黑客攻击所使用的方法不同,产生的危害程度也不同,一般 分为八个层次:
第一层:邮件炸弹攻击; 第二层:简单拒绝服务; 第三层:本地用户获得非授权的读访问; 第四层:本地用户获得他们非授权的文件写权限; 第五层:远程用户获得了非授权的账号; 第六层:远程用户获得了特权文件的读权限; 第七层:远程用户获得了特权文件的写权限; 第八层:远程用户拥有了根权限(黑客已经攻克了系统)。 在这八层中,随着层号增大,危害的程度加重。
当前黑客攻击采用的主要手段是利用目前网络系统以及 各种网络软件的漏洞,比如基于TCP/IP协议本身的不完 善、操作系统的种种缺陷等;防火墙设置不当;电子欺 诈;拒绝服务(包括DDoS);网络病毒;使用黑客工具 软件;利用用户自己安全意识薄弱,比如口令设置不当; 或直接将口令文件放在系统等等。
12
几种黑客常用的方法
契约者、临 时雇员和顾 问
7
攻击者的水平
杰出攻击者 高级技能攻击者 安全专家
普通技能攻击者 脚本小孩(Script Kiddies)
8
两个概念
黑客 能赋予计算机扩展的能力,使其超越最初设计的人 黑客是英文“Hacker”的英文译音,我国台湾地区译为“骇客”, 它起源于美国麻省理工学院的计算机实验室中。早期的黑客是指 那些精力旺盛,智力超群,具有高超编程能力的计算机程序员。 他们的行为主要包括设计黑客软件、盗打长途电话以及利用电话 进行欺诈。目前,按照公安部1997年4月21日发布的《计算机 信息系统安全专用产品分类原则》中术语的定义,黑客是指对计 算机信息系统进行非授权访问的人员。也有人认为,黑客就是指 那些利用通讯软件、通过网络非法进入公共和他人的计算机系统, 截获或篡改计算机中的信息,危害信息系统安全的电脑入侵者, 其入侵行为称为黑客行为。
第02讲 网络攻击行为分析 (一)基础篇
1
基本内容
网络信息安全技术与黑客攻击技术都源于同一技术核心, 即网络协议和底层编程技术,不同的是怎么使用这些技术。 很多软件或设备可以为网络管理和安全提供保障,但当 被别有用心的人所利用时,就成了黑客工具,就象刀具, 是基本生活用具,又可成为杀人凶器。我们要做到“知己 知彼”,才能“百战不殆”,对黑客的攻击手段、途径、 方法和工具了解得越多,越有利于保护网络和信息的安全。 在介绍信息安全技术以前,本章先来分析与黑客攻击相 关的知识。
安全威胁主要来自以下几个方面: 不可控制的自然灾害,如地震、雷击 恶意攻击、违纪、违法和计算机犯罪 人为的无意失误和各种各样的误操作 计算机硬源自文库系统的故障 软件的“后门”和漏洞
4
安全威胁的表现形式
伪装 非法连接 非授权访问 拒绝服务 抵赖 信息泄露
业务流分析 改动信息流 篡改或破坏数据 推断或演绎信息 非法篡改程序
9
黑客的特点
(1)充当黑客的年轻人居多 黑客年龄一般在10余岁到30岁之间,其中有许多未成年的小孩,如美国
号称“世界头号计算机黑客”的Kevin Mitnick,13岁迷上计算机, 15岁闯入“北美空中防务指挥系统”;英国的Mathew Bevan 14岁侵 入英国的电信公司;我国呼和浩特市一个10岁的初中生破译了该市 通信公司的系统管理员的账号,等等。 (2)人员的构成相对集中 70%以上的黑客事件是由内部人员或外部与内部合谋进行的。一般来说, 外部黑客入侵的目的主要是破坏系统,而内部或内外勾结的入侵多 数是为了获取信息;外部黑客对一个站点可能只入侵一次,内部或 内外勾结的入侵可能会连续几次。 (3)黑客活动时间相对固定 黑客活动主要是在晚上到凌晨、周末或节假日。因为职业化的黑客很少, 一般黑客多有自己的工作,实施黑客活动需要利用休息时间,又因 为在这些时间里,工作场所的人员少,便于隐蔽。 (4)从发展趋势看,黑客正在不断地走向系统化、组织化和年轻化 黑客甚至定期召开会议,如他们每四年在荷兰举行一次Hack - Tic会议、 每年在纽约举行“2600公文”、在拉斯维加斯举行DefCon会议和在 加利福尼亚的Lake Tahoe举行“黑客大会”。
11
黑客攻击的手段
目前,黑客攻击网络的手段种类繁多,而且新的手段层 出不穷,黑客攻击可以分为以下两大类:
一类是主动攻击,这种攻击以各种方式获取攻击目标的 相关信息,找出系统漏洞,侵入系统后,将会有选择地 破坏信息的有效性和完整性。例如:邮件炸弹。
另一类是被动攻击,这种攻击是在不影响网络正常工作 的情况下,进行截获、窃取、破译以获得重要机密信息, 其中包括窃听和通信流量分析。例如:扫描器。
13
几种黑客常用的方法
(1)扫描器 所谓扫描器,实际是一种自动检测目标计算机安全性弱点的
程序。黑客通过使用扫描器,可以不留痕迹的发现远程 服务器的各种TCP端口的分配及提供的服务、使用的软件 版本以及其他一些服务信息。 (2)口令破解 黑客进行攻击常常是从破解用户口令开始的。 (3)炸弹攻击与病毒 炸弹攻击是指黑客利用自编的炸弹攻击程序或工具软件,集 中在一段时间内,向攻击的目标机器发出大量信息,使 机器出现负载过重、网络堵塞,最终使系统崩溃的一种 网络攻击手段。 (4)电子欺骗(Spoofing )
2
影响信息安全的人员分析
计算机网络系统所面临的威胁大体可分为两 种:一是针对网络中信息的威胁;二是针对 网络中设备的威胁。
❖ 如果按威胁的对象、性质则可以细分为四类: ✓第一类是针对硬件实体设施 ✓第二类是针对软件、数据和文档资料 ✓第三类是兼对前两者的攻击破坏 ✓第四类是计算机犯罪。
3
安全威胁的来源
5
实施安全威胁的人员
心存不满的员工 软硬件测试人员 技术爱好者 好奇的年青人 黑客(Hacker) 破坏者(Cracker) 以政治或经济利益为目的的间谍
6
潜在的攻击者
竞争对手 黑客政治家 有组织的罪
犯 恐怖主义者 政府 雇佣杀手 虚伪朋友
不满的员工 客户 供应商 厂商 商务伙伴
10
黑客攻击危害程度的划分
黑客攻击所使用的方法不同,产生的危害程度也不同,一般 分为八个层次:
第一层:邮件炸弹攻击; 第二层:简单拒绝服务; 第三层:本地用户获得非授权的读访问; 第四层:本地用户获得他们非授权的文件写权限; 第五层:远程用户获得了非授权的账号; 第六层:远程用户获得了特权文件的读权限; 第七层:远程用户获得了特权文件的写权限; 第八层:远程用户拥有了根权限(黑客已经攻克了系统)。 在这八层中,随着层号增大,危害的程度加重。
当前黑客攻击采用的主要手段是利用目前网络系统以及 各种网络软件的漏洞,比如基于TCP/IP协议本身的不完 善、操作系统的种种缺陷等;防火墙设置不当;电子欺 诈;拒绝服务(包括DDoS);网络病毒;使用黑客工具 软件;利用用户自己安全意识薄弱,比如口令设置不当; 或直接将口令文件放在系统等等。
12
几种黑客常用的方法
契约者、临 时雇员和顾 问
7
攻击者的水平
杰出攻击者 高级技能攻击者 安全专家
普通技能攻击者 脚本小孩(Script Kiddies)
8
两个概念
黑客 能赋予计算机扩展的能力,使其超越最初设计的人 黑客是英文“Hacker”的英文译音,我国台湾地区译为“骇客”, 它起源于美国麻省理工学院的计算机实验室中。早期的黑客是指 那些精力旺盛,智力超群,具有高超编程能力的计算机程序员。 他们的行为主要包括设计黑客软件、盗打长途电话以及利用电话 进行欺诈。目前,按照公安部1997年4月21日发布的《计算机 信息系统安全专用产品分类原则》中术语的定义,黑客是指对计 算机信息系统进行非授权访问的人员。也有人认为,黑客就是指 那些利用通讯软件、通过网络非法进入公共和他人的计算机系统, 截获或篡改计算机中的信息,危害信息系统安全的电脑入侵者, 其入侵行为称为黑客行为。
第02讲 网络攻击行为分析 (一)基础篇
1
基本内容
网络信息安全技术与黑客攻击技术都源于同一技术核心, 即网络协议和底层编程技术,不同的是怎么使用这些技术。 很多软件或设备可以为网络管理和安全提供保障,但当 被别有用心的人所利用时,就成了黑客工具,就象刀具, 是基本生活用具,又可成为杀人凶器。我们要做到“知己 知彼”,才能“百战不殆”,对黑客的攻击手段、途径、 方法和工具了解得越多,越有利于保护网络和信息的安全。 在介绍信息安全技术以前,本章先来分析与黑客攻击相 关的知识。
安全威胁主要来自以下几个方面: 不可控制的自然灾害,如地震、雷击 恶意攻击、违纪、违法和计算机犯罪 人为的无意失误和各种各样的误操作 计算机硬源自文库系统的故障 软件的“后门”和漏洞
4
安全威胁的表现形式
伪装 非法连接 非授权访问 拒绝服务 抵赖 信息泄露
业务流分析 改动信息流 篡改或破坏数据 推断或演绎信息 非法篡改程序