萨拉米攻击:这是结合时导致更大的攻击小攻击的集合。例如,如果一个攻击者知道信用卡号码被盗的集合,他可以从每个信用卡(可能是由信用卡持有人忽视)撤回少量的钱。虽然每次取款很小,它们加起来的攻击者显著总和。
数据diddling:它被存储在计算系统中之前数据diddling的过程改变数据。恶意代码的输入应用程序或病毒可以执行数据diddling。例如,病毒,木马或蠕虫可以写成拦截键盘输入。它会在屏幕上显示相应的字符,这样用户就不会看到一个问题。然而,操纵字符将被输入到数据库的应用程序或通过网络发送。
信任关系的剥削:在网络中不同的设备可能有他们自己之间的信任关系。例如,某主机可能被信任通过防火墙使用特定端口进行通信,而其他主机则通过使用这些相同的端口防火墙否认通道。如果攻击者可以危及了与防火墙的信任关系主机,攻击者可以利用被感染的主机通过防火墙通常传递的数据被拒绝。信任关系另一个例子是一个Web服务器和数据库服务器相互信任彼此。在这种情况下,如果攻击者获得了Web服务器的控制,他可能能够利用这种信任关系,破坏了数据库服务器。
密码攻击:密码攻击,顾名思义,尝试确定用户的密码。一旦攻击者获得用户名和密码凭据,他可以尝试登录到系统的用户,因此继承用户组权限。各种方法可用于确定密码:
特洛伊木马:一种程序,它似乎是一个有用的应用程序捕获用户的密码,然后使其可给攻击者。
数据包捕获:数据包捕获工具可以捕获看到PC的网卡的数据包。因此,如果电脑可以看到在一条链路上发送一个明文密码的一个副本,数据包捕获工具可以用来搜集密码。
键盘记录器:一个键盘记录是一个程序,运行在计算机的背景下,记录该用户的击键。一个用户输入密码之后,将其存储在由键盘记录创建在日志中。然后,攻击者可以获取击键记录,以确定用户的密码。
蛮力:直到比赛是由强力密码攻击尝试所有可能的密码组合。例如,蛮力攻击可能会开始以字母a和经历到字母Z。然后通过ZZ字母AA的尝试,直到密码被确定。因此,在密码中使用大写和小写字母的混合物,除特殊字符和数字,可以帮助减轻蛮力攻击。
字典攻击:字典攻击类似,蛮力攻击,在多重密码猜测进行尝试。然而,字典攻击是基于常用字的字典,而不是尝试所有可能的组合的穷举法。挑选一个密码,是不是一个常见的词可以帮助减轻字典攻击。
僵尸网络一个软件“机器人”通常被认为是机器上的一个应用程序,可以被远程控制(例如,一个特洛伊木马或一个系统的后门)。如果一组计算机被这种叫做“僵尸”的软件机器人感染,那么这组计算机(每台计算机都被称为“僵尸”)就被称为“僵尸网络”。“由于僵尸网络的潜在规模很大,它可能危及大量数据的完整性。
劫持会话:本章前面,你了解攻击者如何能够劫持TCP会话(例如,通过完成三路TCP握手过程的授权客户端和受保护的服务器之间的第三步)。如果攻击者成功劫持授权的设备的一个会议上,他也许能够恶意操作受保护的服务器上的数据。
了解可用性攻击
可用性攻击试图限制系统的可访问性和可用性。例如,如果攻击者可以消耗目标系统上的处理器或内存资源,那么合法用户将无法使用该系统。
可用性攻击有很大的不同,从消耗目标系统的资源到对系统造成物理破坏。攻击者可能使用以下可用性攻击:
拒绝服务(DoS)攻击:攻击者可以通过向目标系统发送大量消耗目标系统资源的数据或请求来对系统发起DoS攻击。另外,一些操作系统和应用程序在接收到不正确格式化的数据的特定字符串时可能会崩溃,攻击者可以利用这样的操作系统和/或应用程序漏洞使系统或应用程序无法操作。当发起DoS攻击时,攻击者经常使用IP欺骗来隐藏自己的身份,如图1-10。
拒绝服务攻击
分布式拒绝服务(DDoS)攻击:DDoS攻击可以增加流量的洪水淹没到目标系统的数量。具体地,攻击者损害的多个系统。攻击者可以指导那些破坏的系统,被称为“植物大战僵尸”,同时发动DDoS攻击对目标系统。
TCP SYN洪水在本章的前面,您回顾了三路TCP握手过程。DoS攻击的一种变体是,攻击者通过发送SYN段来发起多个TCP会话,但从不完成三次握手。见图1-11,攻击可以在SYN段的标头中发送的多个SYN片段到目标系统,具有假源IP地址。由于许多服务器会限制他们可以同时具有开放的TCP会话的数量,一个SYN洪水可以使用合法用户打开一个TCP会话的目标系统不能。
TCP SYN Flood攻击
ICMP攻击:许多网络允许使用ICMP通信量(例如ping通信量),因为ping对于网络故障排除很有用。然而,攻击者可以使用ICMP进行DoS攻击。一种ICMP DoS攻击变体称为“死亡ping”,它使用的ICMP数据包太大。另一种变体将ICMP通信量作为一系列片段发送,试图溢出目标设备上的片段重组缓冲区。另外,“Smurf攻击”可以使用指向子网的ICMP流量,用ping应答淹没目标系统,如图1-12所示。请注意,在图中,攻击者向子网广播地址172.16.0.0/16发送了一个ping。这些ping的集合指示子网上的设备将它们的ping应答发送到IP地址10.2.2.2的目标系统,从而使目标系统的带宽和处理资源泛滥。
注意 为了说明这个观点,图1-12显示了用于Smurf攻击的子网中只有三个系统。但是,要认识到可能涉及数千个系统,并向目标系统发送ping响应。
Smurf攻击
电干扰。:在物理层面,攻击者可以通过中断或干扰系统可用的电力服务来发起可用性攻击。例如,如果攻击者获得了对数据中心电气系统的物理访问,他可能会造成各种电气干扰:2020欧洲杯预赛
权力高峰:多余能量为短暂的一段时间
电涌:超额功率为在延长的时间周期
电源故障:简要停过电
灯火管制:延伸的电停电
功率下垂:电源出现短暂下降
欠压:一个延伸的功率降低
为了打击这种电的威胁,思科建议您安装不间断电源(UPS)和发电机备份,对网络中的战略设备。此外,你应该定期测试UPS和发电机备份。
对系统物理环境的攻击:攻击者也可能故意损坏通过影响设备的物理环境的计算设备。例如,攻击者可能会试图操纵这些环境因素如下:
温度:由于计算设备产生的热量(例如,在数据中心或服务器群)中,如果与所述空气调节系统的操作的攻击者干涉,计算设备可能会过热。2020欧洲杯预赛
湿度由于计算设备不耐湿气,随着时间的推移,攻击者可能通过在计算环境中创建高水平的湿度对计算设备造成物理损害。
加油站由于气体通常是可燃的,如果攻击者向计算环境中注入气体,该环境中的小火花可能引起火灾。
考虑到减轻这种环境威胁了以下建议:
计算设施应该(通过吊顶,架空地板,或大于接入的监控点以外的任何其他方式和交通不便)被锁定。
访问应需要访问凭据(例如,通过刷卡或指纹扫描)。
接入点应直接观察到(例如,通过当地的安全人员或通过摄像系统远程)。
气候控制系统应保持温度和湿度,如果指定的温度和湿度超出阈值发送警报。
火灾探测和灭火系统的设计不应当损害电子设备。
最佳实践建议
你现在有威胁的目标网络和计算环境的基本认识。思科建议来加强网络的安全性帮助以下最佳做法:
常规修补程序应用到操作系统和应用程序。
禁用主机上不需要的服务和端口。
要求强密码,并启用密码过期。
保护到计算和网络设备的物理访问。
强制使用安全的编程实践,例如限制可以输入到应用程序的对话框中有效的字符。
定期备份数据,并定期验证备份的完整性。
火车良好的安全习惯的用户,并教育他们关于社会工程策略。
使用强加密敏感数据。
通过部署基于硬件和软件的安全系统防御技术攻击(例如,防火墙,IPS传感器,和杀毒软件)。
创建公司范围内的使用记录的安全策略。
考试准备任务
回顾所有关键主题复习本章最重要的议题,与重点主题图标表示。表1-9列出了这些关键主题以及每个被发现的页面。
表1-9 第一章的主要主题 |
||
关键主题元素 |
描述 |
页码 |
名单 |
原因内部威胁的严重程度 |
10 |
名单 |
网络安全的三个主要目标 |
12 |
表1-2 |
政府和军方数据分类示例 |
14 |
表1-4 |
数据分类特征 |
15 |
名单 |
分类角色 |
15 |
名单 |
安全控制 |
16 |
名单 |
控制类型 |
17 |
名单 |
法律要素需要做出的情况下, |
17 |
名单 |
三种类型的法律 |
18 |
表1-5 |
黑客的类型 |
22 |
名单 |
攻击分类 |
23 |
名单 |
纵深防御建议 |
25 |
表1-6 |
防御不同类型的攻击 |
26 |
名单 |
三TCP握手 |
27 |
表1-7 |
的IP欺骗攻击类型 |
28 |
名单 |
源路由的类型 |
29 |
表1-8 |
机密性攻击策略 |
32-33 |
名单 |
完整性的攻击方法 |
34 |
名单 |
可用性攻击方法 |
36 |
名单 |
最佳实践建议 |
40 |
完成从存储器中的表格和列表
打印本稿d“内存表”(在CD上找到),或至少本章的部分的副本,并完成从内存中的表和名单。附录E,“MEMORY表接听键,”还CD上,包括完成表格和列表,这样就可以检查你的工作。
主要术语的定义
定义本章以下主要条款,并检查你的答案术语表:
机密性、完整性、可用性、预防性控制、威慑力控制、侦察控制、脆弱性、exploit、phreaker、深度防御、IP欺骗、数据欺骗、salami攻击、拒绝服务(DoS)
版权所有。保留所有权利。