信息安全导论 第4章.ppt

第4章 常见攻击方法;4.1 攻击方法概述 ;　　电话窃听、电子信息侦察、特洛伊木马、扫描、网络嗅探等是信息侦察与窃取的常用方法。其中，网络嗅探器是一种能自动捕获网络中传输报文的设备，一般设置在网络接口位置。有些嗅探器能够分析几百种协议，捕获网上传输的口令、机密文件与专用信息，还可以获取高级别的访问权限。;　; 通信内容欺骗、IP地址欺骗、新闻媒体欺骗、雷达欺骗、社会工程学攻击等是常见的信息欺骗方法。其中社会学攻击是利用人们的心理特征骗取信任并进而实施攻击的一种方法。这种方法目前正呈上升和泛滥趋势。 据军事心理学家的分析和测试证明，当一个人同时对一个事物接到两种内容完全相反的正、误信息时，其得出正确结论的概率只有50%，最高不超过65%；当再次接到错误信息时，其判断出错的概率又增加15%；当其始终接受某一错误信息导向时，即使训练有素的人，也难以得出正确的结论。 　　; 信息封锁与破坏是指通过一定的手段使敌方无法获取和利用信息，如拒绝服务攻击、计算机病毒、电子干扰、电磁脉冲、高能微波、高能粒子束和激光等。 　 ;　　例4-1 ARP欺骗攻击。 　　IP数据包放入帧中传输时，必须要填写帧中的目的物理地址。通常用户只指定目的IP地址，计算机自动完成IP地址到物理地址的转换。地址解析协议(Address Resolution Protocol，ARP)利用目的IP地址，与子网内其他计算机交换信息，完成IP地址到物理地址的转换。 ;　　源主机在发出ARP请求并接收到ARP应答后，将目的主机的IP地址与物理地址映射关系存入自己的高速缓冲区。目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关系存入自己的高速缓冲区。读者可以通过“arp-a”命令在DOS 状态下查看本机最近获得的arp表项。ARP请求是广播发送的，网络中的所有主机接收到ARP请求后都可以将源主机的IP 地址与物理地址映射关系存入自己的高速缓冲区。 　　在高速缓冲区中，新表项加入时定时器开始计时。表项添加后2分钟内没有被再次使用即被删除。表项被再次使用时会增加2 分钟的生命周期，但最长不超过10 分钟。 　　ARP协议的原理???图4-1、4-2所示。;;;　　ARP欺骗攻击分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是，设法通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，导致路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。图4-3为结合上述两种欺骗原理的所谓ARP双向欺骗示意图。;;4.2 病毒与恶意软件;　　病毒既可以感染桌面计算机也可以感染网络服务器，往往还具有一定的潜伏性、特定的触发性和很大的破坏性。一些病毒被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机。有些病毒不损坏计算机，而只是复制自身，并通过显式形式表明它们的存在。根据其性质、功能和所造成的危害，计算机病毒大致可分为定时炸弹型、暗杀型、强制隔离型、超载型、间谍型和矫令型。;a.定时炸弹型。这种病毒进入敌方计算机系统内，并不影响敌方计算机系统的正常工作，待到预定时间或特定事件发生时，便突然起破坏作用，毁坏其内存的作战数据或破坏系统正常运行。其突??特点是隐蔽性好。 b.暗杀型。它是专门用来销毁敌方特定的一份文件或一组文件，并且不留任何痕迹。 c.强制隔离型。这种病毒能自动关机，中断计算机工作，迫使敌方计算机系统陷入瘫痪，无法发挥整体效能。 d.超载型或复制型。这种病毒进入敌方电子计算机系统后，便可大量复制、加长，覆盖其作战数据和文件，大量占据计算机系统内存，使其超载而不能工作。 e.间谍型。这种病毒能按命令寻找指定的作战数据、信息和文件，并将它们转发到指定地点，从而窃取敌方有用信息。 f.矫令型。这种病毒可有意错报敌方下达的命令，扰乱敌方的行动使敌军不战自乱，甚至可使敌某些智能武器反戈一击。;　　病毒一般分成主控模块、传染模块、破坏模块和触发模块4个部分，结构框架可表示如下： 病毒程序 { 　感染模块: 　　{循环:随机搜索一个文件; 　　　　如果感染条件满足 　　　　则将病毒体写入该文件; 　　　　否则跳到循环处运行;} 　破坏模块: 　　{执行病毒的破坏代码} 　触发模块: ;　　{如果触发条件满足 　　　　返回真; 　　　　否则返回假;} 　主控模块: 　　{执行传染模块; 　　　　执行触发模块 　　　　如果返回为真,执行破坏模块; 　　执行原程序;} } ;　　病毒的传染模块主要完成病毒的自我复制