微信公众号:计算机与网络安全
ID:Computer-network
物联网系统的安全威胁主要来自两个方面:外部攻击和内部攻击。其中,外部攻击的目的是使物联网系统的网络访问无法进行,如DDOS攻击等;内部攻击的目的是破坏物联网系统的正常运行,盗取物联网的系统数据,如病毒、木马等。
1、恶意攻击的概念
网络恶意攻击通常是指利用系统存在的安全漏洞或弱点,通过非法手段获得某个信息系统的机密信息的访问权,以及对系统的部分或全部的控制权,并对系统安全构成破坏或威胁。目前常见的攻击手段有:用户账号及口令密码破解;程序漏洞中可能造成的“堆栈溢出”;程序中设置的“后门”;通过各种手段设置的“木马”;网络访问的伪造与劫持;各种程序设计和开发中存在的安全漏洞(如解码漏洞)等。每一种攻击在具体实施时针对不同的网络服务又会有多种技术手段,并且随着时间的推移和版本的更新,还会不断产生新的攻击手段,呈现出不断变化演进的特性。
通过分析发现,除去通过破解账号及口令密码等少数手段外(可通过身份识别技术解决),最终一个系统被“黑客”攻陷,其本质原因是系统或软件本身存在可被“黑客”利用的漏洞或缺陷,这些漏洞或缺陷可能是设计上的、工程上的,也可能是配置管理疏漏等原因造成的。解决该问题通常有两条途径:一是提高软件安全设计与施工的开发力度,保障产品的安全,也就是目前有关可信计算所研究的内容之一;二是用技术手段来保障产品的安全,如身份识别、加密、IDS/IPS、FIREWALL等。
人们更寄希望于用技术手段保障产品安全。一方面,造成程序安全性漏洞或缺陷的原因非常复杂,能力、方法、经济、时间甚至情感等诸多方面的不利因素都会影响软件产品的安全质量。另一方面,软件产品安全效益的间接性,安全效果难以用一种通用的规范加以测量和约束,以及人们普遍存在的侥幸心理,使得软件产品的开发在安全性与其他方面产生冲突时,安全性往往处于下风。虽然一直会有软件工程规范来指导软件的开发,但完全靠软件产品本身的安全设计与施工似乎很难解决其安全问题。这也是诸多产品甚至是大公司的产品(号称安全加强版的)不断暴露安全缺陷的原因所在。
2、恶意攻击的分类
恶意攻击可分为内部攻击和外部攻击。
(1)内部攻击
系统漏洞是导致内部攻击的主要原因。系统漏洞是由系统缺陷引起的,它是指应用软件、操作系统或系统硬件在逻辑设计上无意造成的设计缺陷或错误。攻击者一般会利用这些缺陷,在系统中植入木马、病毒以攻击或控制计算机,窃取信息,甚至破坏系统。系统漏洞是应用软件和操作系统的固有特性,不可避免,因此,防护系统漏洞攻击的最好办法就是及时升级系统,针对漏洞升级漏洞补丁。
(2)外部攻击
拒绝服务攻击(Denial of Services,DoS)是指利用网络协议的缺陷和系统资源的有限性实施攻击,导致网络带宽和服务器资源耗尽,使服务器无法对外正常提供服务,进而实现破坏信息系统的可用性。常用的拒绝服务攻击技术主要有TCP flood攻击、Smurf攻击和DDoS攻击等。
① TCP flood攻击:标准的TCP协议的连接过程需要3次握手以完成连接确认。起初由连接发起方发出SYN数据报到目标主机,请求建立TCP连接,等待目标主机确认。目标主机接收到请求的SYN数据报后,向请求方返回SYN+ACK响应数据报。连接发起方接收到目标主机返回的SYN+ACK数据报并确认目标主机愿意建立连接后,再向目标主机发送确认ACK数据报,目标主机收到ACK数据报后,TCP连接建立完成,进入 TCP通信状态。一般来说,目标主机返回SYN+ACK数据报时需要在系统中保留一定的缓存区,准备进一步的数据通信并记录本次连接信息,直到再次收到ACK数据报或超时为止。攻击者利用协议本身的缺陷,通过向目标主机发送大量的SYN数据报,并忽略目标主机返回的SYN+ACK数据报,不向目标主机发送最终用于确认的ACK数据报,致使目标主机的TCP缓冲区被大量虚假连接信息占满,无法对外提供正常的TCP服务,同时目标主机的CPU资源也会因不断处理大量过时的TCP虚假连接请求而被耗尽。
② Smurf攻击:ICMP用于IP主机、路由器之间传递控制信息,包括报告错误、交换受限状态、主机不可达等状态信息。ICMP允许将一个ICMP数据报发送到一个计算机或一个网络,根据反馈的报文信息判断目标计算机或网络是否连通。攻击者利用协议的功能,伪造大量的ICMP数据报,将数据报的目标私自设为一个网络地址,并将数据报中的原发地址设置为被攻击的目标计算机IP地址。这样,被攻击的目标计算机就会收到大量的ICMP数据报,目标网络中包含的计算机数量越大,被攻击的目标计算机接收到的ICMP响应数据报就越多,进而就会导致目标计算机的资源被耗尽,不能正常对外提供服务。由于ping命令是简单网络测试命令,采用的是ICMP,因此,连续大量地向某个计算机发送ping命令也会对目标计算机造成危胁。这种使用ping命令的ICMP攻击也称为“Ping of Death ”攻击。要对这种攻击进行防范,一种方法是在路由器上对ICMP数据报进行带宽限制,将ICMP占用的带宽限制在一定范围内,这样即使有ICMP攻击,其所能占用的网络带宽也会非常有限,对整个网络的影响就不会太大;另一种方法是在主机上设置ICMP数据报的处理规则,如设定拒绝ICMP数据报。
③ DDoS(Distributed Denial of Service)攻击:攻击者为了进一步隐蔽自己的攻击行为,提升攻击效果,常常采用分布式的拒绝服务攻击方式。DDoS攻击是在DoS攻击的基础上演变出来的一种攻击方式。攻击者在进行DDoS攻击前已经通过其他入侵手段控制了互联网上的大量计算机,这些计算机中,部分计算机被攻击者安装了攻击控制程序,这些被安装攻击控制程序的计算机称为主控计算机。攻击者发起攻击时,首先会向主控计算机发送攻击指令,主控计算机再向攻击者控制的其他计算机(称为代理计算机或僵尸计算机)发送攻击指令,大量代理计算机最后向目标主机发动攻击。为了达到攻击效果,DDoS攻击者每次所使用的代理计算机的数量通常非常惊人,据估计能达到数十万或数百万个。在DDoS攻击中,攻击者几乎都会使用多级主控计算机以及代理计算机进行攻击,因此非常隐蔽,一般很难查找到攻击的源头。
此外,还有其他类型的拒绝服务攻击,如钓鱼攻击、邮件炸弹攻击、刷Script攻击和LAND attack攻击等。
钓鱼攻击是近些年出现的一种新型的攻击方式。钓鱼攻击是指在网络中通过伪装成信誉良好的实体来获得个人敏感信息(如用户名、密码和信用卡明细等)的犯罪诈骗过程。这些伪装的实体通常会假冒为知名社交网站、拍卖网站、网络银行、电子支付网站或网络管理者,以此来诱骗受害人点击登录或进行支付。网络钓鱼通常是通过E-mail或者即时通信工具进行的,它通常会引导用户到界面外观与真正网站别无二致的假冒网站上输入个人数据。就算使用强式加密的SSL服务器认证,也很难侦测网站是否是仿冒的。由于网络钓鱼主要针对的是网络银行、电子商务网站以及电子支付网站,因此,常常会对用户造成非常大的经济损失。目前针对网络钓鱼的防范措施主要有浏览器安全地址提醒、增加密码注册表和过滤网络钓鱼邮件等。
3、恶意软件
恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,并侵犯用户合法权益的软件。
计算机遭到恶意软件入侵后,黑客会通过记录击键情况或监控计算机活动,试图获取用户个人信息的访问权限。黑客也可能会在用户不知情的情况下控制用户的计算机,以访问网站或执行其他操作。恶意软件主要包括特洛伊木马、蠕虫和病毒三大类。
特洛伊木马:木马是一种后门程序,黑客可以利用木马盗取用户的隐私信息,甚至远程控制用户的计算机。特洛伊木马通常会通过电子邮件附件、软件捆绑和网页挂马等方式向用户传播。
蠕虫:蠕虫是一种恶意程序,不必将自己注入其他程序就能传播自己。蠕虫可以通过网络连接自动将其自身从一台计算机发送到另一台计算机,一般这个过程不需要人工干预。蠕虫会执行有害操作,如消耗网络或本地系统资源,这样可能会导致拒绝服务攻击。有些蠕虫无须用户干预即可执行和传播,有些蠕虫则须用户直接执行蠕虫代码才能传播。
病毒:病毒是人为制造的、能够进行自我复制的、对计算机资源具有破坏作用的一组程序或指令的集合,病毒的核心特征就是可以自我复制并具有传染性。病毒会尝试将其自身附加到宿主程序中,以便在计算机之间进行传播。它可能会损害硬件、软件或数据。宿主程序执行时,病毒代码也会随之运行,并会感染新的宿主。
恶意软件的特征介绍如下。
① 强制安装:指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装软件的行为。
② 难以卸载:指未提供通用的卸载方式,或在不受其他软件影响、未被人为破坏的情况下,卸载后仍能活动程序的行为。
③ 浏览器劫持:指未经用户许可,修改用户浏览器或其他相关设置,迫使用户访问特定网站或导致用户无法正常上网的行为。
④ 广告弹出:指在未明确提示用户或未经用户许可的情况下,利用安装在用户计算机或其他终端上的软件弹出广告的行为。
⑤ 恶意收集用户信息:指未明确提示用户或未经用户许可,恶意收集用户信息的行为。
⑥ 恶意卸载:指未明确提示用户或未经用户许可,误导、欺骗用户卸载非恶意软件的行为。
⑦ 恶意捆绑:指在软件中捆绑已被认定为恶意软件的行为。
⑧ 其他侵犯用户知情权、选择权的恶意行为。
恶意软件的攻击主要表现在各种木马和病毒软件对信息系统的破坏。计算机病毒所造成的危害主要表现如下。
① 格式化磁盘,致使信息丢失。
② 删除可执行文件或者数据文件。
③ 破坏文件分配表,使系统无法读取磁盘信息。
④ 修改或破坏文件中的数据。
⑤ 迅速自我复制以占用空间。
⑥ 影响内容常驻程序的运行。
⑦ 在系统中产生新的文件。
⑧ 占用网络带宽,造成网络堵塞。