本文同時發表在：[url]http://netsecurity.51cto.com/art/200801/63649.htm[/url]

在《J0ker的CISSP之路》系列的上一篇文章里，J0ker給大家介紹了訪問控制CBK里面一些常見的破壞信息資產保密性的威脅類型，那么什么類型的威脅會破壞信息資產的完整性和可用性？這便是本文將要介紹的兩種具體威脅類型——拒絕服務（Denied of Services）和惡意代碼（Malicious Code）。

?

隨著信息系統存在與外界進行數據交換的需求的增長，針對數據的傳輸過程的特定類型威脅也隨著發展起來，并成為信息系統安全越來越嚴重的問題。我們可以按照這些威脅的作用形式，將它們分成兩個攻擊類型：主動攻擊（Active Attack）和被動攻擊（Passive Attack），它們的定義分別如下：

??? 主動攻擊：指攻擊者對正常的數據傳輸進行修改，或插入偽造的數據傳輸。主動攻擊類型的威脅會破壞數據傳輸的完整性。

??? 被動攻擊：指攻擊者不對正常的數據傳輸的內容進行修改，而使用技術手段來獲取數據傳輸的具體內容。被動攻擊類型會破壞數據傳輸的保密性。

關于屬于這兩種攻擊類型的具體威脅及信息，有興趣的朋友可以在CISSP CBK中的電信和網絡安全章節找到，J0ker在后面的文章中也會進行詳細介紹。

?

并不是所有的攻擊行為都能劃分到主動或被動攻擊這兩個類型中，下面J0ker要介紹的拒絕服務攻擊就不屬于主動或被動攻擊類型。拒絕服務攻擊是所有破壞資料可用性的攻擊的總稱，它通常的表現是由服務系統接受到惡意或意外輸入的錯誤數據而導致崩潰，進而導致其他合法用戶也無法使用服務系統的資源。發起拒絕服務攻擊的攻擊者不會嘗試去偷取或損害信息系統中的敏感信息，而只是要使系統中的合法用戶無法使用系統的信息資源。我們在日常生活中最常遇到的垃圾郵件就屬于拒絕服務攻擊的一種，在垃圾郵件很多的情況下，用戶的郵箱就會充斥著垃圾郵件，用戶正常的郵件就無法收發。

?

??? 分布式拒絕服務攻擊（DDoS，Distributed Denied of Service）：攻擊者控制成百上千臺機器同時向目標服務器發送數據包，導致目標服務器因為處理能力不足而響應緩慢或直接當機。攻擊者所控制的機器網絡稱之為“僵尸網絡”，也即我們經常能在媒體上看到的Botnet。

圖1

???? 死亡之Ping（Ping of Death）：Ping常用來在網絡上確定指定系統是否在線，它使用ICMP包來詢問目標系統是否在線，目標系統在收到Ping程序所發送的ICMP包后，會向發送者返回一個ICMP包已收到的狀態報告。如果攻擊者在短時間內同時向目標系統發送大量的Ping ICMP包，目標系統就會因為忙于處理ICMP包而無法響應合法用戶的信息資源請求。死亡之Ping是流行于1996-1997年間的拒絕服務攻擊類型，由于它攻擊成功的關鍵在于攻擊者的帶寬，因此隨著通訊和軟件技術的發展，近年來死亡之Ping這種拒絕服務攻擊方式已經消亡，但作為CISSP了解拒絕服務攻擊歷史和來源的材料還是相當不錯的。

?

???? Smurfing：同樣是使用Ping ICMP包所實施的拒絕服務攻擊類型。攻擊者向一組系統或一個內部網絡發送包含有源地址為目標系統的偽造Ping ICMP包，接收ICMP包的存活系統就都會向目標系統反饋信息，目標系統就有可能因為處理數量巨大的反饋信息而無法響應合法用戶的信息資源請求。Smurfing攻擊可以看作是死亡之Ping的升級版，近幾年互聯網上還出現過類似Smurfing的郵件拒絕服務攻擊，也即攻擊者以目標系統名義偽造大量的郵件發送給許多服務器，導致目標系統的郵件服務被大量的退信所淹沒。

???? SYN洪水（SYN Flooding）：?SYN洪水是互聯網上最流行的拒絕服務攻擊方式，它利用了TCP協議需要進行三次握手的特點，向目標服務器發送了大量偽造源地址的SYN連接請求，占滿目標服務器的連接隊列，導致目標服務器無法響應合法的用戶的信息資源請求。SYN洪水所需的網絡資源不多，發起攻擊的節點也不需要很多，因此這種拒絕服務攻擊方式被攻擊者廣泛的使用在互聯網上。下圖是SYN洪水的示意圖：

圖2

?

惡意代碼是破壞信息完整性和可用性的主要威脅之一，它也是我們日常最常碰到的威脅之一。根據各種惡意軟件的表現形式不同，可以分成以下幾種類型：

????? 病毒（Virus）：計算機病毒是一段可以附加到系統內已有可執行文件的可執行代碼，它不能獨立存在，只在程序被啟動時隨之啟動，實施感染或破壞。病毒在發作時可能只顯示一些玩笑信息，也可能會破壞系統文件，造成嚴重損失。

????? 蠕蟲（Worm）：蠕蟲是通過網絡自動復制、傳播自身的惡意軟件，它是一個獨立的程序。早期有名的蠕蟲有1980年代的莫里斯蠕蟲事件，當時的蠕蟲只有自動復制傳播的功能。現代蠕蟲已經和密碼盜取、敏感信息獲取等犯罪行為相結合，并使用了多種高級的編程技術。

???? 木馬（Trojan Horse）：木馬是一種隱藏在用戶系統中，并提供給攻擊者訪問到用戶系統所有資源的惡意程序，它是一個或多個獨立程序。木馬不會像病毒那樣將自己附加到系統內的可執行文件，也不會像蠕蟲那樣會自動復制傳播，它通常通過網頁瀏覽或電子郵件附件傳播，是危害僅次于蠕蟲的惡意軟件。

??? 邏輯炸彈（Logical Bomb）：邏輯炸彈是一種隱藏在系統中，在特定條件（日期、時間、操作等）會激活并執行破壞行為的惡意程序。

?

圖3

????? 2003-2004年間的沖擊波蠕蟲以及2006-2008年的Storm蠕蟲在擴散范圍和造成經濟損失的方面已經遠遠超越了它們的前輩。下面是來自SecureComputing的最新惡意軟件分類。

圖4

除了在上一個文章和本文提到的威脅之外，和訪問控制相關的威脅還包括密碼威脅。密碼作為使用最廣泛部署成本最低的訪問控制手段，常常會面臨以下的威脅：

針對密碼文件的攻擊：攻擊者常常會試圖獲取和破解存儲有密碼列表的密碼文件，并獲取其中的可用密碼以進行非授權訪問。

???? 弱口令：用戶常常使用容易被猜到或破解的強度很弱的密碼，比如和用戶名相同的密碼、生日、姓名等。

???? 社會工程學：攻擊者可以通過欺騙用戶獲取有效的密碼

???? 嗅探器：攻擊者可以使用嗅探器獲取在網絡上明文或加密傳輸的密碼信息

???? 硬件或軟件記錄器：攻擊者可以使用鍵盤監聽器（硬件）或Key logger（軟件）這樣的技術直接截獲包含有用戶密碼的擊鍵記錄

???? 木馬程序：攻擊者使用帶有密碼攔截功能的木馬程序來獲取用戶的密碼。