第4章节 常见攻击方法.ppt

  1. 1、本文档共65页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第4章节 常见攻击方法

  电话窃听、电子信息侦察、特洛伊木马、扫描、网络嗅探等是信息侦察与窃取的常用方法。其中,网络嗅探器是一种能自动捕获网络中传输报文的设备,一般设置在网络接口位置。有些嗅探器能够分析几百种协议,捕获网上传输的口令、机密文件与专用信息,还可以获取高级别的访问权限。     据军事心理学家的分析和测试证明,当一个人同时对一个事物接到两种内容完全相反的正、误信息时,其得出正确结论的概率只有50%,最高不超过65%;当再次接到错误信息时,其判断出错的概率又增加15%;当其始终接受某一错误信息导向时,即使训练有素的人,也难以得出正确的结论。   信息封锁与破坏是指通过一定的手段使敌方无法获取和利用信息,如拒绝服务攻击、计算机病毒、电子干扰、电磁脉冲、高能微波、高能粒子束和激光等。     例4-1 ARP欺骗攻击。   IP数据包放入帧中传输时,必须要填写帧中的目的物理地址。通常用户只指定目的IP地址,计算机自动完成IP地址到物理地址的转换。地址解析协议(Address Resolution Protocol,ARP)利用目的IP地址,与子网内其他计算机交换信息,完成IP地址到物理地址的转换。   源主机在发出ARP请求并接收到ARP应答后,将目的主机的IP地址与物理地址映射关系存入自己的高速缓冲区。目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关系存入自己的高速缓冲区。读者可以通过“arp-a”命令在DOS 状态下查看本机最近获得的arp表项。ARP请求是广播发送的,网络中的所有主机接收到ARP请求后都可以将源主机的IP 地址与物理地址映射关系存入自己的高速缓冲区。   在高速缓冲区中,新表项加入时定时器开始计时。表项添加后2分钟内没有被再次使用即被删除。表项被再次使用时会增加2 分钟的生命周期,但最长不超过10 分钟。   ARP协议的原理如图4-1、4-2所示。   ARP欺骗攻击分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是,设法通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,导致路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。图4-3为结合上述两种欺骗原理的所谓ARP双向欺骗示意图。 4.2 病毒与恶意软件 4.2.1 病毒   根据《中华人民共和国计算机信息系统安全保护条例》,病毒的明确定义是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。   病毒既可以感染桌面计算机也可以感染网络服务器,往往还具有一定的潜伏性、特定的触发性和很大的破坏性。一些病毒被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机。有些病毒不损坏计算机,而只是复制自身,并通过显式形式表明它们的存在。根据其性质、功能和所造成的危害,计算机病毒大致可分为定时炸弹型、暗杀型、强制隔离型、超载型、间谍型和矫令型。   病毒一般分成主控模块、传染模块、破坏模块和触发模块4个部分,结构框架可表示如下: 病毒程序 {  感染模块:   {循环:随机搜索一个文件;     如果感染条件满足     则将病毒体写入该文件;     否则跳到循环处运行;}  破坏模块:   {执行病毒的破坏代码}  触发模块:   {如果触发条件满足     返回真;     否则返回假;}  主控模块:   {执行传染模块;     执行触发模块     如果返回为真,执行破坏模块;   执行原程序;} }   病毒的传染模块主要完成病毒的自我复制。传染的一般过程是:当病毒程序或染毒的程序运行时,病毒截取控制权,寻求感染突破口,当传染条件满足,即将病毒代码自制到宿主程序。病毒的传染条件根据不同的传染方式有不同的类型。例如,常驻内存病毒一般修改系统中断并插入病毒中断程序。如果其他程序访问被病毒挂接中断,则即会被传染。   脚本病毒是计算机病毒的一种形式,主要采用脚本语言编写,它可以对系统进行操作,包括创建、修改、删除,甚至格式化硬盘,具有传播速度快,危害性大等特点。脚本病毒的书写形式灵活,容易产生变种,这就使得传统的特征提取方式对变种脚本病毒检测率很低,对未知的脚本病毒甚至无法识别。   微软提供了一种基于32位Windows平台的、与语言无关的脚本解释机制WSH。它使得脚本能直接在Windows桌面或命令提示符下运行。浏览器也依赖于WSH提供的VBScript和JAVAScript脚本引擎,解释网页中嵌入的脚本代码。   例4-2 下面的代码是一个逻辑

文档评论(0)

ctuorn0371 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档