工控安全职业证书技能实践：工控安全事件技术对应表设计与编写-泛洪攻击.docxVIP

工控安全事件技术对应表设计与编写 课程级别 信息安全专业工业互联网安全方向。 实验概述 此实验主要内容是对工控安全事件中的技术进行分析，并设计表格将其汇总。 实验目标 能对工控安全事件技术进行整合； 能对技术进行简要分析； 预备知识 熟悉泛洪攻击类型 了解泛洪攻击原理 了解事件类型表 事件分类 子类名称 事件特征描述 有害程序事件 计算机病毒事件 计算机病毒事件（CVI）是指蓄意制造、传播计算机病毒，或是因受到计算机病毒影响而导致的工控安全事件。计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码，它可以破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制 蠕虫事件 蠕虫事件（WI）是指蓄意制造、传播蠕虫，或是因受到蠕虫影响而导致的工控安全事件。蠕虫是指除计算机病毒以外，利用信息系统缺陷，通过网络自动复制并传播的有害程序 特洛伊木马事件 特洛伊木马事件（THI）是指蓄意制造、传播特洛伊木马程序，或是因受到特洛伊木马程序影响而导致的工控安全事件。特洛伊木马程序是指伪装在信息系统中的一种有害程序，具有控制该信息系统或进行信息窃取等对该信息系统有害的功能 僵尸网络事件 僵尸网络事件（BI）是指利用僵尸工具软件，形成僵尸网络而导致的工控安全事件。僵尸网络是指网络上受到黑客集中控制的一群计算机，它可以被用于伺机发起网络攻击，进行信息窃取或传播木马、蠕虫等其他有害程序 混合攻击程序事件 混合攻击程序事件（BAI）是指蓄意制造、传播混合攻击程序，或是因受到混合攻击程序影响而导致的工控安全事件。混合攻击程序是指利用多种方法传播和感染其它系统的有害程序，可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果，例如一个计算机病毒或蠕虫在侵入系统后安装木马程序等 网络攻击事件 拒绝服务攻击事件 拒绝服务攻击事件（DOSAI）是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的 CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的工控安全事件 后门攻击事件 后门攻击事件（BDAI）是指利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施的攻击的工控安全事件 漏洞攻击事件 漏洞攻击事件（VAI）是指除拒绝服务攻击事件和后门攻击事件之外，利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞，对信息系统实施攻击的工控安全事件 网络扫描窃听事件 网络扫描窃听事件（NSEI）是指利用网络扫描或窃听软件，获取信息系统网络配置、端口、服务、存在的脆弱性等特征而导致的工控安全事件 信息破坏事件 信息篡改事件 信息篡改事件（IAI）是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的工控安全事件 信息假冒事件 信息假冒事件（IMI）是指通过假冒他人信息系统收发信息而导致的工控安全事件 信息泄露事件 信息泄漏事件（ILEI）是指因误操作、软硬件缺陷或电磁泄漏等因素导致信息系统中的保密、敏感、隐私等信息暴露于未经授权者而导致的工控安全事件 信息窃取事件 信息窃取事件（III）是指未经授权用户利用可能的技术手段恶意主动获取信息系统中信息而导致的工控安全事件 信息丢失事件 信息丢失事件（ILOI）是指因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的信息丢失而导致的工控安全事件 建议课时数 4个课时 实验环境准备 实验时硬件环境：单核CPU、2G内存、30G硬盘 Office Word 2019 实验步骤 任务一 事件技术资源收集 背景介绍 2020年2月，亚马逊网络服务(AWS)成为大规模分布式拒绝服务(DDoS)攻击的目标。该公司经历并缓解了DDoS攻击，其规模为每秒2.3兆比特(Tbps)。它的数据包转发速率为293.1 Mpps，每秒请求速率为694201（rps）。DDoS攻击在一周内造成了三天的威胁加剧，被认为是历史上最大的DDoS攻击之一 资料收集 要求：收集与拒绝服务攻击相关的资料 例： 拒绝服务攻击类型： SYN FLOOD攻击 　　SYN FLOOD攻击是利用TCP协议的一些特性发动的，通过发送大量伪造的带有SYN标志位的TCP报文使目标服务器连接耗尽，达到拒绝服务的目的。要想理解SYN FLOOD的攻击原理必须要先了解TCP协议建立连接的机制。SYN FLOOD攻击就是在三次握手机制的基础上实现的。攻击者通过伪造IP报文，在IP报文的原地址字段随机填入伪造的IP地址，目的地址填入要攻击的服务器IP地址，TTL、Source Port等随机填入合理数据，TCP的目的端口填入目的服务器开放的端口，如80、8080等，SYN标志位置1。然后不停循环将伪造好的数据包发送到目的服务器。 ?? 2. ACK FLOOD攻击 　　A