在51CTO安全頻道特別策劃的系列的上一篇文章《》里,J0ker給大家介紹了訪問控制CBK里面一些常見的破壞信息資產(chǎn)保密性的威脅類型,那么什么類型的威脅會(huì)破壞信息資產(chǎn)的完整性和可用性?這便是本文將要介紹的兩種具體威脅類型——拒絕服務(wù)(Denied of Services)和惡意代碼(Malicious Code)。
一、攻擊類型介紹
隨著信息系統(tǒng)存在與外界進(jìn)行數(shù)據(jù)交換的需求的增長(zhǎng),針對(duì)數(shù)據(jù)的傳輸過程的特定類型威脅也隨著發(fā)展起來(lái),并成為信息系統(tǒng)安全越來(lái)越嚴(yán)重的問題。我們可以按照這些威脅的作用形式,將它們分成兩個(gè)攻擊類型:主動(dòng)攻擊(Active Attack)和被動(dòng)攻擊(Passive Attack),它們的定義分別如下:
主動(dòng)攻擊:指攻擊者對(duì)正常的數(shù)據(jù)傳輸進(jìn)行修改,或插入偽造的數(shù)據(jù)傳輸。主動(dòng)攻擊類型的威脅會(huì)破壞數(shù)據(jù)傳輸?shù)耐暾浴?/p>
被動(dòng)攻擊:指攻擊者不對(duì)正常的數(shù)據(jù)傳輸?shù)膬?nèi)容進(jìn)行修改,而使用技術(shù)手段來(lái)獲取數(shù)據(jù)傳輸?shù)木唧w內(nèi)容。被動(dòng)攻擊類型會(huì)破壞數(shù)據(jù)傳輸?shù)谋C苄浴?/p>
關(guān)于屬于這兩種攻擊類型的具體威脅及信息,有興趣的朋友可以在CISSP CBK中的電信和網(wǎng)絡(luò)安全章節(jié)找到,J0ker在后面的文章中也會(huì)進(jìn)行詳細(xì)介紹。
1、拒絕服務(wù)攻擊
并不是所有的攻擊行為都能劃分到主動(dòng)或被動(dòng)攻擊這兩個(gè)類型中,下面J0ker要介紹的拒絕服務(wù)攻擊就不屬于主動(dòng)或被動(dòng)攻擊類型。拒絕服務(wù)攻擊是所有破壞資料可用性的攻擊的總稱,它通常的表現(xiàn)是由服務(wù)系統(tǒng)接受到惡意或意外輸入的錯(cuò)誤數(shù)據(jù)而導(dǎo)致崩潰,進(jìn)而導(dǎo)致其他合法用戶也無(wú)法使用服務(wù)系統(tǒng)的資源。發(fā)起拒絕服務(wù)攻擊的攻擊者不會(huì)嘗試去偷取或損害信息系統(tǒng)中的敏感信息,而只是要使系統(tǒng)中的合法用戶無(wú)法使用系統(tǒng)的信息資源。我們?cè)谌粘I钪凶畛S龅降睦]件就屬于拒絕服務(wù)攻擊的一種,在垃圾郵件很多的情況下,用戶的郵箱就會(huì)充斥著垃圾郵件,用戶正常的郵件就無(wú)法收發(fā)。
拒絕服務(wù)攻擊還包括其他的一些特例:
分布式拒絕服務(wù)攻擊(DDoS,Distributed Denied of Service):攻擊者控制成百上千臺(tái)機(jī)器同時(shí)向目標(biāo)服務(wù)器發(fā)送數(shù)據(jù)包,導(dǎo)致目標(biāo)服務(wù)器因?yàn)樘幚砟芰Σ蛔愣憫?yīng)緩慢或直接當(dāng)機(jī)。攻擊者所控制的機(jī)器網(wǎng)絡(luò)稱之為“僵尸網(wǎng)絡(luò)”,也即我們經(jīng)常能在媒體上看到的Botnet。
 |
| 圖1 |
死亡之Ping(Ping of Death):Ping常用來(lái)在網(wǎng)絡(luò)上確定指定系統(tǒng)是否在線,它使用ICMP包來(lái)詢問目標(biāo)系統(tǒng)是否在線,目標(biāo)系統(tǒng)在收到Ping程序所發(fā)送的ICMP包后,會(huì)向發(fā)送者返回一個(gè)ICMP包已收到的狀態(tài)報(bào)告。如果攻擊者在短時(shí)間內(nèi)同時(shí)向目標(biāo)系統(tǒng)發(fā)送大量的Ping ICMP包,目標(biāo)系統(tǒng)就會(huì)因?yàn)槊τ谔幚鞩CMP包而無(wú)法響應(yīng)合法用戶的信息資源請(qǐng)求。死亡之Ping是流行于1996-1997年間的拒絕服務(wù)攻擊類型,由于它攻擊成功的關(guān)鍵在于攻擊者的帶寬,因此隨著通訊和軟件技術(shù)的發(fā)展,近年來(lái)死亡之Ping這種拒絕服務(wù)攻擊方式已經(jīng)消亡,但作為CISSP了解拒絕服務(wù)攻擊歷史和來(lái)源的材料還是相當(dāng)不錯(cuò)的。
Smurfing:同樣是使用Ping ICMP包所實(shí)施的拒絕服務(wù)攻擊類型。攻擊者向一組系統(tǒng)或一個(gè)內(nèi)部網(wǎng)絡(luò)發(fā)送包含有源地址為目標(biāo)系統(tǒng)的偽造Ping ICMP包,接收ICMP包的存活系統(tǒng)就都會(huì)向目標(biāo)系統(tǒng)反饋信息,目標(biāo)系統(tǒng)就有可能因?yàn)樘幚頂?shù)量巨大的反饋信息而無(wú)法響應(yīng)合法用戶的信息資源請(qǐng)求。Smurfing攻擊可以看作是死亡之Ping的升級(jí)版,近幾年互聯(lián)網(wǎng)上還出現(xiàn)過類似Smurfing的郵件拒絕服務(wù)攻擊,也即攻擊者以目標(biāo)系統(tǒng)名義偽造大量的郵件發(fā)送給許多服務(wù)器,導(dǎo)致目標(biāo)系統(tǒng)的郵件服務(wù)被大量的退信所淹沒。
SYN洪水(SYN Flooding): SYN洪水是互聯(lián)網(wǎng)上最流行的拒絕服務(wù)攻擊方式,它利用了TCP協(xié)議需要進(jìn)行三次握手的特點(diǎn),向目標(biāo)服務(wù)器發(fā)送了大量偽造源地址的SYN連接請(qǐng)求,占滿目標(biāo)服務(wù)器的連接隊(duì)列,導(dǎo)致目標(biāo)服務(wù)器無(wú)法響應(yīng)合法的用戶的信息資源請(qǐng)求。SYN洪水所需的網(wǎng)絡(luò)資源不多,發(fā)起攻擊的節(jié)點(diǎn)也不需要很多,因此這種拒絕服務(wù)攻擊方式被攻擊者廣泛的使用在互聯(lián)網(wǎng)上。下圖是SYN洪水的示意圖:
 |
| 圖2 |
2、惡意代碼
惡意代碼是破壞信息完整性和可用性的主要威脅之一,它也是我們?nèi)粘W畛E龅降耐{之一。根據(jù)各種惡意軟件的表現(xiàn)形式不同,可以分成以下幾種類型:
病毒(Virus):計(jì)算機(jī)病毒是一段可以附加到系統(tǒng)內(nèi)已有可執(zhí)行文件的可執(zhí)行代碼,它不能獨(dú)立存在,只在程序被啟動(dòng)時(shí)隨之啟動(dòng),實(shí)施感染或破壞。病毒在發(fā)作時(shí)可能只顯示一些玩笑信息,也可能會(huì)破壞系統(tǒng)文件,造成嚴(yán)重?fù)p失。
蠕蟲(Worm):蠕蟲是通過網(wǎng)絡(luò)自動(dòng)復(fù)制、傳播自身的惡意軟件,它是一個(gè)獨(dú)立的程序。早期有名的蠕蟲有1980年代的莫里斯蠕蟲事件,當(dāng)時(shí)的蠕蟲只有自動(dòng)復(fù)制傳播的功能。現(xiàn)代蠕蟲已經(jīng)和密碼盜取、敏感信息獲取等犯罪行為相結(jié)合,并使用了多種高級(jí)的編程技術(shù)。
木馬(Trojan Horse):木馬是一種隱藏在用戶系統(tǒng)中,并提供給攻擊者訪問到用戶系統(tǒng)所有資源的惡意程序,它是一個(gè)或多個(gè)獨(dú)立程序。木馬不會(huì)像病毒那樣將自己附加到系統(tǒng)內(nèi)的可執(zhí)行文件,也不會(huì)像蠕蟲那樣會(huì)自動(dòng)復(fù)制傳播,它通常通過網(wǎng)頁(yè)瀏覽或電子郵件附件傳播,是危害僅次于蠕蟲的惡意軟件。
邏輯炸彈(Logical Bomb):邏輯炸彈是一種隱藏在系統(tǒng)中,在特定條件(日期、時(shí)間、操作等)會(huì)激活并執(zhí)行破壞行為的惡意程序。
下面我們來(lái)看看近幾年造成較大經(jīng)濟(jì)損失的惡意軟件事件:
 |
| 圖3 |
2003-2004年間的沖擊波蠕蟲以及2006-2008年的Storm蠕蟲在擴(kuò)散范圍和造成經(jīng)濟(jì)損失的方面已經(jīng)遠(yuǎn)遠(yuǎn)超越了它們的前輩。下面是來(lái)自SecureComputing的最新惡意軟件分類。
 |
| 圖4 |
除了在上一個(gè)文章和本文提到的威脅之外,和訪問控制相關(guān)的威脅還包括密碼威脅。密碼作為使用最廣泛部署成本最低的訪問控制手段,常常會(huì)面臨以下的威脅:
針對(duì)密碼文件的攻擊:攻擊者常常會(huì)試圖獲取和破解存儲(chǔ)有密碼列表的密碼文件,并獲取其中的可用密碼以進(jìn)行非授權(quán)訪問。
弱口令:用戶常常使用容易被猜到或破解的強(qiáng)度很弱的密碼,比如和用戶名相同的密碼、生日、姓名等。
社會(huì)工程學(xué):攻擊者可以通過欺騙用戶獲取有效的密碼
嗅探器:攻擊者可以使用嗅探器獲取在網(wǎng)絡(luò)上明文或加密傳輸?shù)拿艽a信息
硬件或軟件記錄器:攻擊者可以使用鍵盤監(jiān)聽器(硬件)或Key logger(軟件)這樣的技術(shù)直接截獲包含有用戶密碼的擊鍵記錄
木馬程序:攻擊者使用帶有密碼攔截功能的木馬程序來(lái)獲取用戶的密碼。
下篇預(yù)告:在下一篇文章《J0ker的CISSP之路:AC4》里面,J0ker將向大家介紹防御訪問控制相關(guān)威脅的技術(shù)和手段,敬請(qǐng)期待!
