电子信息对抗

电子信息对抗技术导论，第6章网络对抗。在当今世界，计算机网络的触角已经延伸到地球的每一个角落，渗透到每一个领域。它正在对人们的生活和工作方式产生前所未有的影响。像交通、水和电一样，计算机网络正日益成为人们生活中不可或缺的一部分。与此同时，目光敏锐的人们也意识到，计算机网络信息安全已经成为影响国家和人民利益的生命线。美国未来学家认为，人们工作的方式就是他们发动战争的方式。这种全球网络化趋势决定了人们为了政治、军事、经济和文化利益，将不可避免地在计算机网络领域发动一场极其激烈的“战争”。事实上，网络世界自形成以来就不太平，网络对抗，无论是公开的还是隐蔽的，一直伴随着网络发展的全过程。在和平时期，网络攻击会给商业利益造成损失，并侵犯人们的私人空间。然而，如果网络攻击的主体是一个国家对另一个国家的行动和一个战斗团体对另一个国家的行动，后果将是不可想象的。网络战已经成为一种特殊的战争形式。因此，为了在日益激烈的网络对抗中抢占先机，各国政府和军队都在加紧网络安全建设，尤其是在网络对抗关键技术的研究方面。网络安全威胁、网络内部和外部泄露、拒绝服务攻击、逻辑炸弹、木马、黑客攻击、计算机病毒、信息丢失、篡改、破坏、后门、隐蔽通道、蠕虫、2004年国内外安全事件统计，国家计算机网络应急技术处理协调中心(CNCERT/CC)最近在“2005中国计算机网络安全应急年会”上发布了“2004年网络安全工作报告”。2004年，中国互联网安全防范中心共收到国内外紧急热线、网站和电子邮件报告的64，686起互联网安全事件(2003年超过13，000起)。2004年的主要蠕虫事件是“冲击波”系列蠕虫(共40多种，包括“选举杀手”和“齿轮”等。)通过微软系统中的LSASS漏洞传播。在中国，超过138万台拥有IP地址的主机被感染。2004年国内安全事故统计。2004年，中国计算机安全认证中心首次在中国发现了一个大型僵尸网络，用于处理拒绝服务攻击，涉及中国近10万台计算机。在2004年，中国电子交易中心处理了200多起针对银行和其他机构的跨国网络钓鱼事件。根据2007年国内安全事件统计和公安部统计，7072个重要信息网络和信息系统中有68%发生了网络安全事件。54%的被调查单位因网络安全事件遭受的损失相对较小，严重和非常严重的损失占发生安全事件单位总数的10%。计算机病毒、蠕虫和木马程序引发的安全事件占安全事件总数的79%，拒绝服务、端口扫描和网页篡改等网络攻击占43%，大规模垃圾邮件传播引发的安全事件占36%。网络安全问题日益突出。2007、2006、2005、2004、2003、2002、2001、2000，网络本身存在安全缺陷。1.网络本身存在安全缺陷。2.攻击技术挑战网络安全。为什么网络中存在这些安全威胁？1、网络安全缺陷2、攻击技术挑战网络安全6、网络对抗6、网络侦察6.1、网络攻击6.2、网络防护6.3、网络侦察6.1、主动网络侦察技术包括各种踏脚点、扫描技术。被动网络侦察技术包括无线电窃听、网络数据嗅探等。在实施网络侦察的过程中，应尽可能隐藏身份，重点截获信息网络的指令信息、协调信息和反馈信息，利用军事专家、情报专家和计算机专家的力量，综合利用各种信息处理技术，最大限度地发挥信息侦察的效益。6.1网络侦察，1，站在现场(生存性检测)获取有关目标计算机ne的信息2.扫描(查找漏洞)以检测目标系统是否连接到互联网以及所提供的网络服务类型。3.检查(获得许可)以提取有效帐号或输出系统资源名称的过程。6.1、网络侦察主要通过踏足现场收集以下可用信息：网络域名：即(域名系统)、网络地址范围、关键系统的具体位置(如名称服务器、电子邮件服务器、网关等)。)。内部网络：与外部网络基本相似，但进入内部网络后，主要依靠工具和扫描来完成抽查，6.1网络侦察，外部网络：目标站点的一些社会信息：包括企业内部的私有网络，一般取or，6.2网络攻击，6.2.1拒绝服务攻击，6.2.2入侵攻击，6.2.3病毒攻击，6.2.4邮件攻击， 网络攻击的定义：网络攻击是指利用敌方计算机网络系统的安全漏洞来窃取、修改、伪造或破坏信息，以及降低或破坏网络的使用效率。由于计算机硬件和软件、网络协议和结构以及网络管理中不可避免的安全漏洞，网络攻击是可能的。 黑客技术：黑客起源于英国黑客，最初指的是计算机专家，尤其是程序员，他们对计算机技术充满热情，而且技术高超。今天，“黑客”这个词已经被用来指那些利用电脑进行破坏或恶作剧的人。这些人的正确英文名字是Cracker，有些人把它翻译成“黑客”。简而言之，黑客技术就是发现计算机系统和网络系统中的缺陷和漏洞，以及围绕这些缺陷进行攻击的技术。这里提到的缺陷包括软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷和人为错误。显然，黑客技术有能力摧毁网络。黑客事件的发展趋势、自动高速扫描和攻击工具的日益增多、组合攻击工具、黑客技术和病毒技术的统一、漏洞的快速发现、防火墙渗透技术的日益发展、攻击威胁的日益增加、分布式拒绝服务攻击(DDoS)网络蠕虫对域名系统的攻击、对路由的攻击、从个人到政治和社会目的的安全事件，影响了国家的稳定，以及黑客技术带来的破坏性影响是双重的。像所有的科学技术一样，黑客技术依赖于使用它的人。计算机系统和网络漏洞的不断发现促使产品开发人员及时修复产品安全缺陷，同时也使他们在设计中更加注重安全性。研究过黑客技术的管理员会更安全地配置他的系统和网络。如果没有黑客宣布发现主要漏洞并提出解决建议，互联网将不会像今天这样对人们有益，也不会像今天这样强大(与过去相比)。6.2.1拒绝服务攻击。拒绝服务攻击是迄今为止“黑客”进行攻击的主要手段，也是网络战的基本方法。其基本原理是向敌方网络服务器发送大量需要回复的无用信息，从而消耗其网络带宽或系统资源，导致敌方网络或系统过载瘫痪，进而停止提供正常的网络服务。现实生活中有许多类似的情况。例如，假设某个城市的急救中心只有一条电话线，一些人一直在恶作剧，而这条线一直都很忙。这样，真正的紧急情况将是“拒绝服务”。6.2.1拒绝服务攻击。为了提高攻击的成功率，大多数实际攻击使用分布式拒绝服务攻击，即协调多台计算机同时对目标计算机网络实施拒绝服务攻击。也就是说，假设一个城市有100条电话线连接到应急中心。如果成千上万的人同时参与拨打这些电话，电话就会大量涌入，使得真正紧急的接入电话无法接通。6.2.1拒绝服务攻击。2000年2月，几个著名的美国网站雅虎，亚马逊，美国有线电视新闻网等。连续遭到身份不明的“黑客”的分布式拒绝服务攻击，导致网站瘫痪和服务中断在攻击发生之前很久，“黑客”就通过一些常见的手段入侵和控制了一些网站的计算机，并在这些计算机上安装了攻击程序。当攻击指令发出时，这些机器会联合攻击同一个目标。6.2.1拒绝服务攻击。2000年2月，几个著名的美国网站雅虎，亚马逊，美国有线电视新闻网等。因分布式拒绝服务而接连遭到身份不明的“黑客”攻击，导致网站瘫痪和服务中断，引起各国政府和企业界的极大关注。在攻击发生之前很久，“黑客”就通过一些常见的手段入侵和控制了一些网站的计算机，并在这些计算机上安装了攻击程序。当攻击指令发出时，这些机器会联合攻击同一个目标。6.2.1拒绝服务攻击。就对雅虎网站的攻击而言，攻击者同时调用了大约3500台计算机向雅虎发送信息，每秒发送10亿兆比特，远远超过其信息处理能力，完全阻塞了网络系统，迫使雅虎暂停服务几个小时。6.2.2入侵攻击、拒绝服务攻击更容易实施，但它只会干扰计算机系统的正常运行，使其停止向外界提供服务，不会对计算机系统本身构成损害，攻击后只要重启机器就能正常工作。为了摧毁敌人的计算机系统和窃取信息，有必要入侵计算机系统并获得计算机的最高控制权。此时，计算机可以像自己的计算机一样运行。因此，进入敌人的计算机网络系统以获得其中计算机的最高控制权是网络攻击技术的核心。6.2.2入侵攻击，在计算机系统中，用户的身份是通过用户名(账号)和密码来识别的，身份窃取攻击是通过窃取系统的有效用户名和猜测其密码，然后可以用合法身份进入系统来获得对系统的控制。缓冲区溢出是最常见的安全漏洞之一，也是远程攻击的主要手段。早在1988年，美国康奈尔大学计算机科学系的一名23岁的研究生莫里斯就利用了UNIXfingered程序的漏洞，该程序没有限制输入长度以使缓冲区溢出。莫里斯编写了另一个程序，使他的恶意程序能够作为根程序执行，并传播到其他机器。结果，6000台互联网服务器瘫痪，占当时总数的10%。6.2.3病毒攻击，在入侵敌方计算机系统后，除了直接破坏系统、删除文件等操作外，攻击者通常会将病毒、木马丢入系统，埋掉后门，以长期控制计算机系统或对整个网络系统造成更大的损害。因此，可以说计算机病毒和有害代码是网络攻击的利器。就像希腊神话的特洛伊木马一样，名为特洛伊木马的程序也是一种隐藏在美丽外表下并渗透到敌方主机的秘密特工。6.2.3病毒攻击，蠕虫是一种在网络上传播的程序，不同的是，一般的病毒不需要载体，不修改其他程序，而是利用系统中的漏洞直接攻击。还有一个逻辑炸弹，它是一种故意嵌入计算机的程序代码，在其中有些条件(如时间等。)被设置。当这些条件得到满足时，程序将“爆炸”来销毁数据、禁用机器等。6.2.4邮件攻击，传统的邮件炸弹只是将大量的垃圾邮件扔进被攻击人的邮箱，从而占用了系统大量的可用空间和资源，暂时阻止了机器的正常工作。由于网络上的邮件传输是透明的，并且可能通过不同的网络路由，因此基于这种操作机制，可以在邮件系统上实施各种攻击，例如电子邮件服务器攻击、电子邮件欺诈、电子邮件消息的修改或丢失、电子邮件拒绝服务、拒绝电子邮件源等。6.2.4邮件攻击，此外，邮件攻击一旦与其他攻击方法结合，其威力就会成倍增加。事实上，许多病毒是通过电子邮件广泛传播的，如“我爱你”病毒和“中国第一”病毒，这是最典型的例子。、6.3网络保护、6.3.1防火墙技术、6.3.2入侵检测技术、6.3.3病毒检测和保护技术、6.3.4数据加密技术、6.3.5认证技术、6.3.6“蜜罐”技术以及网络保护的定义：网络保护是指为保护自己的计算机网络和设备的正常工作以及信息数据的安全而采取的措施和行动。网络攻击和网络保护是矛和盾的关系。随着网络攻击手段的多样化和发展，建立网络安全防护体系必须走管理与技术相结合的道路。网络安全防护涵盖范围广泛，主要包括防火墙技术、入侵检测技术、病毒防护技术、数据加密技术和认证技术。6.3.1、防火墙技术，“防火墙”一词来源于建筑行业，指建筑中专门设计的墙，它可以防止火焰蔓延到其他区域，或延缓蔓延速度。在计算机网络中，防火墙技术本质上是一项综合性技术，涉及计算机网络技术、密码技术、安全协议、安全操作系统等多个方面。6.3.1防火墙技术，防火墙的功能主要体现在：检查和过滤进出网络的数据包；管理进出网络；阻止被禁止的访问；记录通过防火墙的信息内容和活动；检测和报警网络攻击。6.3.2入侵检测技术。入侵检测是一种动态安全技术。通过对入侵行为过程和特征的研究，安全系统可以对入侵事件和入侵过程做出实时响应。入侵检测是对防火墙的合理补充，帮助内部网络或主机系统应对入侵攻击，从而扩展系统管理员的安全管理能力，提高信息安全基础设施的完整性。6.3.2入侵检测技术，入侵检测被认为是防火墙后的第二道安全大门，它可以在不影响网络性能的情况下监控网络，从而提供实时保护，防止内部攻击、外部攻击和误操作。入侵检测系统在发现入侵后会及时响应，包括切断网络连接、记录事件和报警等。6.3.3病毒检测和防护技术，病毒检测是自动发现或判断计算机文件、内存和网络中传输的信息是否含有病毒。主要方法包括特征检测、验证和行为监控。从病毒防护的角度来看，通常将病毒预警和防火墙结合起来形成病毒防火墙，并对从外部网络进入内部网络的文件和数据进行监控。一旦发现病毒，它们就会被过滤掉。6.3.4数据加密技术，数据加密是保证计算机网络安全的重要机制。尽管由于成本、技术和管理的复杂性，数据加密还没有在计算机网络中普及，但它是分布式系统和网络环境中实现数据安全的重要手段之一。加密可以防止入侵者查看机密数据文件；防止机密数据被泄露或篡改；防止特权用户(如系统管理员)查看私有数据文件；这使得入侵者很难找到系统文件。6.3.5认证技术，信息认证是信息安全的另一个重要方面。身份验证有两个目的：一是验证信息发送者的真实身份；第二是验证信息的完整性，即信息在传输或存储过程中是否被篡改、重放或延迟。6.3.5、认证技术、数字签名技术可以使普通信件和商业信件的签名起到认证、认可和效力的作用。在网络上，人们希望通