欢迎来到天天文库
浏览记录
ID:40401744
大小:915.00 KB
页数:85页
时间:2019-08-01
《网络安全风险分析1》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第二章常见网络风险分析-Part1常见程序漏洞问题恶意代码攻击木马和后门拒绝服务攻击欺骗攻击常见程序漏洞问题什么是程序中的“bug”?开发者犯错误---导致设计中过失编码(error)---一个或多个错误(fault)。错误:系统内部观点,开发者所见失效:系统外部观点,用户看到的问题。对系统要求行为的违反。不是所有的错误都会导致失效,例如错误代码从来未被执行或者系统从来没有进入某种状态。程序漏洞产生原因原因:(1)、受编程设计人员的能力、经验和安全技术所限,操作系统及各种应用程序在设计中出现逻辑错误是不可避免的。(2)、对程序内部操作的不了解,或没有足够的重视,编程人员总会假定程序在任何环
2、境中能够正常运行。当假设得不到满足,程序内部的相互作用和安全策略产生冲突便形成了安全漏洞。(3)、数据处理中出现的错误。例如对变量赋值及发送的一些请求命令。例如WebLogic服务端发送类似GET.rr的请求时,远程WebLogic服务端在处理生成重定向的请求时会泄漏该主机的NetBIOS主机名。(4)、安全缺陷和具体的系统环境密切相关。在不同种类的软、硬件设备中,同种设备的不同版本之间,由不同设备构成的不同系统之间,都存在各自不同的安全问题。例如低于0.6.6k或0.9.7c版本的OpenSSL存在堆栈溢出漏洞,该漏洞可导致远程攻击者获得系统的shell。(5)、某些服务或应
3、用程序会向远程客户提供关于本机的一些信息,这种信息泄漏也是一种安全缺陷。例如Finger服务,域名解析服务等。(6)、有些服务本身不是漏洞或不存在安全缺陷,但是却能被远程主机利用来进行辅助攻击。例如VisualRouteWeb服务器允许攻击者/攻击程序在不暴露自身到目标主机路由的情况下执行向第三方主机的路由跟踪。没有技术手段可以消除所有的程序漏洞。测试技术上:应该做什么,不应该做什么。不可能详尽地测试状态和数据的每一种组合来检验系统。恶意代码还具有隐蔽性。技术发展上:程序设计和软件工程技术的发展速度远远超过计算机安全技术的发展技术。保护过去的技术举例--计算机攻击的剧烈增长CERTcomp
4、uteremergencyresponseteam计算机应急响应小组,卡内基梅隆大学,追踪和报道在全世界范围内报道的计算机攻击的种类和数量。任务:警告用户和开发者出现的新的问题,提供解决的必要信息。据中国互联网协会统计,2008年,中国大陆受到来自境外的网络攻击数量同比增长了148%。工信部发言人在接受新华社记者专访时指出,仅2009年,我国被境外控制的计算机IP地址就多达100多万个,被黑客组织篡改的网站累计达4.2万个,其中政府网站被篡改的数量达2765个。在受网络病毒威胁方面,我国仅被“飞客”蠕虫病毒感染的计算机数量每月就达1800万台,占全球感染主机的30%,位居世界第一。被植入僵
5、尸程序的计算机数量也位居世界首位,占世界总量的13%。美国是世界上最大的网络攻击源头。据美国最大的网络公司Symatec公司发表的2008年互联网安全威胁报告,世界上25%的网络攻击源自美国,33%的僵尸控制服务器和43%的“钓鱼网站”位于美国。对中国的网络攻击和入侵也主要源自美国。据中国国家互联网应急中心对部分木马和僵尸程序的抽样检测结果,2009年我国境内被木马程序和僵尸程序控制的主机IP数量分别为26.2万个和83.7万个,分别有16.5万个和1.9万个境外主机地址参与控制这些计算机,其中源自美国的数量排名第一,分别占16.61%和22.34%。可以说,美国已成为全球最大的网络攻击策
6、源地。应急响应服务的诞生—CERT/CC1988年Morris蠕虫事件直接导致了CERT/CC的诞生。CERT/CC服务的内容:安全事件响应安全事件分析和软件安全缺陷研究缺陷知识库开发信息发布:缺陷、公告、总结、统计、补丁、工具教育与培训:CSIRT(computersecurityincidentresponseteam)管理、CSIRT技术培训、系统和网络管理员安全培训指导其它CSIRT(也称IRT、CERT)组织建设举例计算机安全总署(computersecurityinstitute,CSI)和FBI,调查500家大型机构,90%有安全隐患,25%每年有2-5例安全事件,37%超过
7、10例。对167名网络安全人员调查,75%经历过网络攻击,超过50%认为攻击频繁。223名被调查者损失455000000美元国内安全事件响应组织建设情况计算机网络基础设施已经严重依赖国外;由于地理、语言、政治等多种因素,安全服务不可能依赖国外的组织国内的应急响应服务还处在起步发展阶段CCERT(1999年5月),中国第一个安全事件响应组织NJCERT(1999年10月)中国电信ChinaNet安全小组解放军,公安部安全救
此文档下载收益归作者所有