ECHO报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击(DOS)
UDP洪水――原理与ICMP洪水类似,攻击者通过发送大量的UDP报文给目
标计算机,导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文。
分片IP报文攻击――为了传送一个大的IP报文,IP协议栈需要根据链路接
口的MTU对该IP报文进行分片,通过填充适当的IP头中的分片指示字段,接收计算机可以很容易的把这些IP分片报文组装起来。目标计算机在处理这些分片报文的时候,会把先到的分片报文缓存起来,然后一直等待后续的分片报文,这个过程会消耗掉一部分内存,以及一些IP协议栈的数据结构。如果攻击者给目标计算机只发送一片分片报文,而不发送所有的分片报文,这样攻击者计算机便会一直等待(直到一个内部计时器到时),如果攻击者发送了大量的分片报文,就会消耗掉目标计算机的资源,而导致不能相应正常的IP报文,这也是一种DOS攻击。
Land攻击―― LAND攻击利用了TCP连接建立的三次握手过程,通过向一个目标计算机发送一个TCP SYN报文(连接建立请求报文)而完成对目标计算机的攻击。与正常的TCP SYN报文不同的是,LAND攻击报文的源IP地址和目的IP地址是相同的,都是目标计算机的IP地址。这样目标计算机接收到这个SYN报文后,就会向该报文的源地址发送一个ACK报文,并建立一个TCP连接控制结构(TCB),而该报文的源地址就是自己,因此,这个ACK报文就发给了自己。这样如果攻击者发送了足够多的SYN报文,则目标计算机的TCB可能会耗尽,最终不能正常服务。这也是一种DOS攻击。
2、分别叙述误用检测与异常检测原理?
答:
误用检测(Misuse Detection)―――基于模式匹配原理。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。前提:所有的入侵行为都有可被检测到的特征。指标:误报低、漏报高。攻击特征库:当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
特点:采用模式匹配,误用模式能明显降低误报率,但漏报率随之增加。攻击特征的细微变化,会使得误用检测无能为力。
异常检测(Anomaly Detection)―――基于统计分析原理。首先总结正常操作应该具有的特征(用户轮廓),试图用定量的方式加以描述,当用户活动与正常行为有重大偏离时即被认为是入侵。前提:入侵是异常活动的子集。指标:漏报率低,误报率高。
特点:异常检测系统的效率取决于用户轮廓的完备性和监控的频率;不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源
3、举例说明IP可能遭受的安全威胁。
IP网络的安全威胁有两个方面,一是主机(包括用户主机和应用服务器等)的安全,二是网络自身(主要是网络设备,包括路由器、交换机等)的安全。用户主机所感知的安全威胁主要是针对特定操作系统(主要是Windows系统)的攻击,即所谓病毒。网络设备主要面对的是基于TCP/IP协议的攻击。本文主要讨论网络自身,即网络设备(主要是路由器)自身的安全问题。
(1)对数据平面来说,其功能是负责处理进入设备的数据流,它有可能受到基于流量的攻击,如大流量攻击、畸形报文攻击。这些攻击的主要目的是占用设备CPU的处理时间,造成正常的数据流量无法得到处理,使设备的可用性降低。由于数据平面负责用户数据的转发,因此也会受到针对用户数据的攻击,主要
是对用户数据的恶意窃取、修改、删除等,使用户数据的机密性和完整性受到破坏。
(2)对路由器来说,控制/信令平面的主要功能是进行路由信息的交换。这一平面受到的主要威胁来自对路由信息的窃取,对IP地址的伪造等,这会造成网络路由信息的泄漏或滥用。
(3)对系统管理平面来说,威胁来自于两个方面,一个是系统管理所使用的协议(如Telnet协议、HTTP协议等)的漏洞,另一个是不严密的管理,如设备管理账号的泄露等。