(信息安全导论)第6章网络威胁.ppt

僵尸病毒 僵尸病毒（Bot）是通过特定协议的信道连接僵尸网络服务器的客户端程序 被安装了僵尸程序的机器称为僵尸主机， 僵尸网络（BotNet）指采用一种或多种传播手段，将大量主机感染僵尸程序，从而在控制者和被感染主机之间所形成的一对多控制的网络。 僵尸病毒的程序结构与木马程序基本一致， 木马程序是被控制端连接的服务器端程序。 僵尸程序是向控制服务器发起连接的客户端程序。 僵尸病毒的传播和木马相似 途径包括电子邮件、含有病毒的WEB网页、捆绑了僵尸程序的应用 软件以及利用系统漏洞攻击加载等。 散发间谍软件、广告软件、垃圾邮件的罪魁祸首，已经被列为对个人用户及企业 威胁不断增加的一种安全危害。 缓冲区溢出 缓冲区溢出：是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，溢出的数据覆盖了合法数据。 特点：非常普遍、非常危险的程序漏洞，可以导致程序运行失败、执行非授权指令，甚至可以取得系统特权并控制主机，进行各种非法操作。 缓冲区溢出攻击：是一种利用目标程序的漏洞，通过往目标程序的缓冲区写入超出其长度的内容，造成缓冲区溢出，破坏程序的堆栈，使程序转而执行指定代码，从而获得权限或者进行攻击的一种攻击手段。 缓冲区溢出攻击原理——内存模型 在应用程序的一次动态执行过程中，内存分为三部分：文本区、数据区和堆栈区。 堆栈区 数据区 文本区 内存高址 内存低址 内存增长方向 由程序确定，包括代码和只读数据，该区域标记为只读 存放全局的、静态的数据，程序编译时分配 存放动态的数据，以及用于函数调用、返回等。 函数调用时缓冲区模型 缓冲区溢出攻击就是利用动态的堆栈区内容进行操作达到攻击的目的。 C程序中，每当调用函数时就会自动处理堆栈分配。 堆栈作用：保存有关当前函数调用上下文信息的容器。 被调用函数所需的参数入栈 指令寄存器EIP内容(指向下一条将要被执行的指令)入栈，作为函数返回的地址。 堆栈的基址寄存器EBP内容(指向当前堆栈底部)入栈 预留出函数的动态局部变量值空间 当实际输入局部变量的值长度超出缓冲区长度，数据就会继续向栈底写入，导致栈中旧的数据被覆盖。 只要在程序运行时传送给它一个足够大的参数，就可以在返回地址中填入一个希望程序转到的任意内存地址，从而控制程序的运行权。 缓冲区溢出攻击需要完成攻击代码植入和程序转向攻击代码两种功能。 缓冲区溢出攻击原理 6.4 诱骗类威胁 诱骗类威胁是指攻击者利用社会工程学的思想，利用人的弱点（如人的本能反应、好奇心、信任、贪便宜等）通过网络散布虚假信息，诱使受害者上当受骗，而达到攻击者目的的一种网络攻击行为。 6.4.1 网络钓鱼 Phishing是Fishing（钓鱼）和Phone（电话）的综合体，所以被称为网络钓鱼。 Phishing是指攻击者通过伪造以假乱真的网站和发送诱惑受害者按攻击者意图执行某些操作的电子邮件等方法，使得受害者“自愿”交出重要信息（例如银行账户和密码）的手段。 电子邮件诱骗 电子邮件服务是合法的Internet经典服务，攻击者进行电子邮件诱骗，一般需要经过以下几个步骤。 第一步 选定目标用户群。 第二步 构造欺骗性电子邮件。 第三步 搭建欺骗性网站。 第四步 群发邮件，等待上当的受害者。 假冒网站 建立假冒网站，骗取用户帐号、密码实施盗窃，这是对用户造成经济损失最大的恶劣手段。 为了迷惑用户，攻击者有意把网站域名注册成与真实机构的域名很相似， 网址为“”，而真正 银行网站是“” 虚假的电子商务 攻击者建立电子商务网站，或是在比较知名、大型电子商务网站上发布虚假的商品销售信息。 网上交易多是异地交易，通常需要汇款。 不法分子一般要求消费者先付部分款，再以各种理 由诱骗消费者付余款或者其他各种名目的款项，得 到钱款或被识破时，犯罪分子就销声匿迹。 6.4.2 对于诱骗类威胁的防范 诱骗类威胁不属于传统信息安全的范畴。 解决非传统信息安全威胁需要运用社会工程学来反制。 加强安全防范意识，多问“为什么”，减少 “天上掉馅饼”的心理，那么绝大多数此类诱骗行为都不能得逞。 另外，用户还应该注意以下几点： 确认对方身份 慎重对待个人信息 谨防电子邮件泄密 注意网站的URL地址 攻击者利用了TCP协议缺陷，伪造TCP的连接请求，向被攻击的设备正在监听的端口发送大量的SYN（同步）连接请求报文； 被攻击的设备按照正常的处理过程，回应这个请求报文，同时为它分配了相应的资源。 攻击者不需要建立TCP连接，因此服务器根本不会接收到第三个ACK报文，现有分配的资源只能等待超时释放。 如果攻击者能够在超时时间到达之前发出足够多的攻击报文，被攻击的系统所预留所有TCP缓存将被耗尽。 Syn Flood攻击原理 防御SYN Flood攻击的方法 缩短SYN Timeout时间：攻击的本