CISSP的成長之路（十八）：詳述網(wǎng)絡(luò)威脅類型 - 運維管理

在51CTO安全頻道特別策劃的系列的上一篇文章《》里，J0ker給大家介紹了訪問控制CBK里面一些常見的破壞信息資產(chǎn)保密性的威脅類型，那么什么類型的威脅會破壞信息資產(chǎn)的完整性和可用性？這便是本文將要介紹的兩種具體威脅類型——拒絕服務(wù)（Denied of Services）和惡意代碼（Malicious Code）。

一、攻擊類型介紹

隨著信息系統(tǒng)存在與外界進(jìn)行數(shù)據(jù)交換的需求的增長，針對數(shù)據(jù)的傳輸過程的特定類型威脅也隨著發(fā)展起來，并成為信息系統(tǒng)安全越來越嚴(yán)重的問題。我們可以按照這些威脅的作用形式，將它們分成兩個攻擊類型：主動攻擊（Active Attack）和被動攻擊（Passive Attack），它們的定義分別如下：

主動攻擊：指攻擊者對正常的數(shù)據(jù)傳輸進(jìn)行修改，或插入偽造的數(shù)據(jù)傳輸。主動攻擊類型的威脅會破壞數(shù)據(jù)傳輸?shù)耐暾浴?/p>

被動攻擊：指攻擊者不對正常的數(shù)據(jù)傳輸?shù)膬?nèi)容進(jìn)行修改，而使用技術(shù)手段來獲取數(shù)據(jù)傳輸?shù)木唧w內(nèi)容。被動攻擊類型會破壞數(shù)據(jù)傳輸?shù)谋Ｃ苄浴?/p>

關(guān)于屬于這兩種攻擊類型的具體威脅及信息，有興趣的朋友可以在CISSP CBK中的電信和網(wǎng)絡(luò)安全章節(jié)找到，J0ker在后面的文章中也會進(jìn)行詳細(xì)介紹。

1、拒絕服務(wù)攻擊

并不是所有的攻擊行為都能劃分到主動或被動攻擊這兩個類型中，下面J0ker要介紹的拒絕服務(wù)攻擊就不屬于主動或被動攻擊類型。拒絕服務(wù)攻擊是所有破壞資料可用性的攻擊的總稱，它通常的表現(xiàn)是由服務(wù)系統(tǒng)接受到惡意或意外輸入的錯誤數(shù)據(jù)而導(dǎo)致崩潰，進(jìn)而導(dǎo)致其他合法用戶也無法使用服務(wù)系統(tǒng)的資源。發(fā)起拒絕服務(wù)攻擊的攻擊者不會嘗試去偷取或損害信息系統(tǒng)中的敏感信息，而只是要使系統(tǒng)中的合法用戶無法使用系統(tǒng)的信息資源。我們在日常生活中最常遇到的垃圾郵件就屬于拒絕服務(wù)攻擊的一種，在垃圾郵件很多的情況下，用戶的郵箱就會充斥著垃圾郵件，用戶正常的郵件就無法收發(fā)。

拒絕服務(wù)攻擊還包括其他的一些特例：

分布式拒絕服務(wù)攻擊（DDoS，Distributed Denied of Service）：攻擊者控制成百上千臺機(jī)器同時向目標(biāo)服務(wù)器發(fā)送數(shù)據(jù)包，導(dǎo)致目標(biāo)服務(wù)器因為處理能力不足而響應(yīng)緩慢或直接當(dāng)機(jī)。攻擊者所控制的機(jī)器網(wǎng)絡(luò)稱之為“僵尸網(wǎng)絡(luò)”，也即我們經(jīng)常能在媒體上看到的Botnet。

圖1

死亡之Ping（Ping of Death）：Ping常用來在網(wǎng)絡(luò)上確定指定系統(tǒng)是否在線，它使用ICMP包來詢問目標(biāo)系統(tǒng)是否在線，目標(biāo)系統(tǒng)在收到Ping程序所發(fā)送的ICMP包后，會向發(fā)送者返回一個ICMP包已收到的狀態(tài)報告。如果攻擊者在短時間內(nèi)同時向目標(biāo)系統(tǒng)發(fā)送大量的Ping ICMP包，目標(biāo)系統(tǒng)就會因為忙于處理ICMP包而無法響應(yīng)合法用戶的信息資源請求。死亡之Ping是流行于1996-1997年間的拒絕服務(wù)攻擊類型，由于它攻擊成功的關(guān)鍵在于攻擊者的帶寬，因此隨著通訊和軟件技術(shù)的發(fā)展，近年來死亡之Ping這種拒絕服務(wù)攻擊方式已經(jīng)消亡，但作為CISSP了解拒絕服務(wù)攻擊歷史和來源的材料還是相當(dāng)不錯的。

Smurfing：同樣是使用Ping ICMP包所實施的拒絕服務(wù)攻擊類型。攻擊者向一組系統(tǒng)或一個內(nèi)部網(wǎng)絡(luò)發(fā)送包含有源地址為目標(biāo)系統(tǒng)的偽造Ping ICMP包，接收ICMP包的存活系統(tǒng)就都會向目標(biāo)系統(tǒng)反饋信息，目標(biāo)系統(tǒng)就有可能因為處理數(shù)量巨大的反饋信息而無法響應(yīng)合法用戶的信息資源請求。Smurfing攻擊可以看作是死亡之Ping的升級版，近幾年互聯(lián)網(wǎng)上還出現(xiàn)過類似Smurfing的郵件拒絕服務(wù)攻擊，也即攻擊者以目標(biāo)系統(tǒng)名義偽造大量的郵件發(fā)送給許多服務(wù)器，導(dǎo)致目標(biāo)系統(tǒng)的郵件服務(wù)被大量的退信所淹沒。

SYN洪水（SYN Flooding）： SYN洪水是互聯(lián)網(wǎng)上最流行的拒絕服務(wù)攻擊方式，它利用了TCP協(xié)議需要進(jìn)行三次握手的特點，向目標(biāo)服務(wù)器發(fā)送了大量偽造源地址的SYN連接請求，占滿目標(biāo)服務(wù)器的連接隊列，導(dǎo)致目標(biāo)服務(wù)器無法響應(yīng)合法的用戶的信息資源請求。SYN洪水所需的網(wǎng)絡(luò)資源不多，發(fā)起攻擊的節(jié)點也不需要很多，因此這種拒絕服務(wù)攻擊方式被攻擊者廣泛的使用在互聯(lián)網(wǎng)上。下圖是SYN洪水的示意圖：

圖2

2、惡意代碼

惡意代碼是破壞信息完整性和可用性的主要威脅之一，它也是我們?nèi)粘Ｗ畛Ｅ龅降耐{之一。根據(jù)各種惡意軟件的表現(xiàn)形式不同，可以分成以下幾種類型：

病毒（Virus）：計算機(jī)病毒是一段可以附加到系統(tǒng)內(nèi)已有可執(zhí)行文件的可執(zhí)行代碼，它不能獨立存在，只在程序被啟動時隨之啟動，實施感染或破壞。病毒在發(fā)作時可能只顯示一些玩笑信息，也可能會破壞系統(tǒng)文件，造成嚴(yán)重?fù)p失。

蠕蟲（Worm）：蠕蟲是通過網(wǎng)絡(luò)自動復(fù)制、傳播自身的惡意軟件，它是一個獨立的程序。早期有名的蠕蟲有1980年代的莫里斯蠕蟲事件，當(dāng)時的蠕蟲只有自動復(fù)制傳播的功能。現(xiàn)代蠕蟲已經(jīng)和密碼盜取、敏感信息獲取等犯罪行為相結(jié)合，并使用了多種高級的編程技術(shù)。

木馬（Trojan Horse）：木馬是一種隱藏在用戶系統(tǒng)中，并提供給攻擊者訪問到用戶系統(tǒng)所有資源的惡意程序，它是一個或多個獨立程序。木馬不會像病毒那樣將自己附加到系統(tǒng)內(nèi)的可執(zhí)行文件，也不會像蠕蟲那樣會自動復(fù)制傳播，它通常通過網(wǎng)頁瀏覽或電子郵件附件傳播，是危害僅次于蠕蟲的惡意軟件。

邏輯炸彈（Logical Bomb）：邏輯炸彈是一種隱藏在系統(tǒng)中，在特定條件（日期、時間、操作等）會激活并執(zhí)行破壞行為的惡意程序。

下面我們來看看近幾年造成較大經(jīng)濟(jì)損失的惡意軟件事件：