网络的恶意攻击、威胁和漏洞

网络的恶意攻击、威胁和漏洞26/03/2026

第二章主题

本章涵盖以下主题和概念：•你试图保护的是什么•你试图抓住谁•攻击计算机系统会使用哪些类型的工具？•什么是安全漏洞•存在哪些风险、漏洞和威胁什么是恶意软件？恶意攻击、威胁和漏洞恶意攻击每年造成数十亿美元的损失。大多数情况下，只有安全专家和IT人员才知道这些攻击。安全专家负责保护系统免受威胁，并在恶意攻击发生时进行处理。许多公司和个人都在努力保护IT资产免受攻击。在本章中，您将学习如何识别安全漏洞、保护您的组织免受威胁以及保护您的计算机免受恶意攻击。

你想保护什么？

客户数据：姓名、地址、电话、社会安全号码（SSN）、出生日期、持卡人数据、受保护的医疗保健信息。IT资产和网络基础设施：硬件、软件和服务。知识产权：敏感数据，例如专利、源代码、配方或工程图纸。财务和财务数据：银行账户、信用卡数据和金融交易数据。服务可用性和生产力：计算机服务和软件支持人类和机器生产力的能力。

你想抓谁？黑帽黑客：试图突破信息技术安全防线，未经授权访问系统，以炫耀其技术实力。黑帽黑客通常开发并使用特殊的软件工具来利用系统漏洞。他们通常会利用系统中的漏洞，但一般不会将发现的漏洞告知系统管理员。他们倾向于提倡自由开放地使用计算资源，而非安全至上。白帽黑客或道德黑客：是指获得授权识别漏洞并执行渗透测试的信息系统安全专业人员。白帽黑客和黑帽黑客的区别在于，白帽黑客识别漏洞的目的是为了修复它们，而黑帽黑客寻找漏洞仅仅是为了好玩或利用它们。黑客与破解者不同。破解者怀有恶意，拥有高超的技术，并且可能以经济利益为目的。破解者代表了最大的……对网络和信息资源构成威胁。攻击工具计算机犯罪分子和网络攻击者使用多种硬件和软件工具来发现可利用的漏洞，并使用其他工具来执行实际攻击。这些工具和技术可能包括以下几种：协议分析器：是一种软件或硬件，它使计算机能够监控和捕获网络流量。它可以解码帧和IP数据包，使您能够在数据未加密的情况下以明文形式查看数据。端口扫描器是一种用于扫描IP主机设备，查找已启用开放端口的工具。例如，端口80用于HTTPWeb通信，端口21用于文件传输协议(FTP)。端口扫描器用于识别IP主机设备上已启用的开放端口、应用程序和服务。这为攻击者提供了可用于攻击的宝贵信息。

攻击工具操作系统指纹扫描器：是一种软件程序，允许攻击者向IP主机设备发送各种数据包。当IP主机设备响应时，操作系统指纹扫描器可以猜测设备上安装的操作系统。一旦攻击者知道了已安装的操作系统及其版本，他就能更好地利用相关的软件漏洞和攻击手段，试图从响应中确定目标设备的操作系统。漏洞扫描器是一种用于识别并尽可能验证IP主机设备上漏洞的软件程序。漏洞扫描器会将数据库中已知的软件漏洞与新发现的漏洞进行比较。它会列出所有已知的软件漏洞，并将其优先级分为严重、主要和次要三个等级。

攻击工具密码破解器：它是一种软件程序，通过暴力破解密码攻击来获取对系统的未经授权的访问权限或恢复存储的密码。键盘记录器：是一种监控软件或硬件，可以将用户每次键盘击键记录到日志文件中。雇主可能会使用键盘记录器来确保员工仅将工作电脑用于工作用途。然而，间谍软件也可能包含键盘记录器软件，其目的是将密码等信息传输给未知的第三方。

什么是安全漏洞？尽管采取了最积极的措施来保护计算机免受攻击，但攻击者有时仍然能够突破防线。任何违反保密性、完整性或可用性(CIA)安全原则的事件都属于安全漏洞。可能导致安全漏洞的活动包括：拒绝服务(DoS)攻击：DoS攻击是指通过占用计算机执行大量不必要的任务来阻止服务运行的协同攻击。这种过度活动会使系统无法执行合法操作。分布式拒绝服务攻击(DDoS)：DDoS攻击会使计算机过载，阻止合法用户访问。DDoS攻击与普通的DoS攻击的区别在于其规模。在DDoS攻击中，攻击者劫持数百台互联网计算机，并在这些系统上植入自动化攻击程序。然后，攻击者指示这些程序向目标网站发送大量伪造信息。这会使网站过载，并阻塞合法流量。什么是安全漏洞？不恰当的网络浏览行为：违反组织可接受使用政策(AUP)的行为，例如员工不恰当的网络浏览行为，本身就可能构成安全漏洞。组织应制定AUP，明确规定哪些行为是可接受的，哪些行为是不可接受的。窃听：攻击者可以窃听电话线和数据通信线路。窃听可以是主动的，攻击者可以篡改线路；也可以是被动的，未经授权的用户只是监听传输内容而不做任何更改。被动入侵可能包括复制数据以用于后续的主动攻击。后门：软件开发人员有时会在程序中嵌入隐藏的访问方法，称为后门。后门使开发人员或支持人员能够轻松访问系统，而无需费力应对安全控制措施。什么是安全漏洞？数据修改：有意或无意修改的数据会影响信息系统安全的完整性原则，这也被视为安全漏洞。另一个例子是数据被截断，因为记录字段不足以容纳完整数据。这种情况在大多数编程语言中都可能发生，并且难以检测。然而，其后果可能非常严重。避免数据修改问题的最佳方法是在存储数据之前对其进行验证，并确保程序严格遵守数据完整性规则。什么是风险、威胁和漏洞？威胁是指任何可能损害或危及资产的行为。漏洞是指设计或软件代码本身存在的缺陷。可被利用的漏洞就构成威胁。任何针对漏洞的威胁都会造成发生负面事件的风险。你无法彻底消除威胁，但可以防范漏洞。这样一来，即使威胁依然存在，也无法利用漏洞。保护资产免受攻击风险的关键在于尽可能消除或修复漏洞。什么是恶意攻击？对计算机系统或网络资产的攻击是通过利用系统中的漏洞而成功的。攻击通常分为四类：捏造事实：捏造事实是指制造一些欺骗行为来愚弄毫无戒心的用户。拦截：拦截是指窃听传输内容并将其重定向以供未经授权的使用。中断：中断会导致通信信道中断，从而阻止数据传输。修改：修改是指对传输或文件中

包含的数据进行更改。

什么是恶意软件？

恶意软件的目的是破坏或扰乱系统：降低电脑运行速度，甚至导致电脑崩溃。上网、阅读电子邮件、下载音乐或其他内容，都可能导致信用卡号码被盗。恶意软件主要分为两大类：感染型程序：感染型程序会主动尝试将自身复制到其他计算机。它们的主要目的是在新目标上执行攻击者的指令。此类恶意软件包括以下几种：

什么是恶意软件？

病毒：计算机病毒的作用方式与生物病毒类似。它会“感染”宿主程序，并可能导致该宿主程序将自身复制到其他计算机。病毒离不开宿主，并且可以通过感染的方式在宿主之间传播。病毒的目的是诱骗计算机执行并非原始程序开发者预期的指令。蠕虫：蠕虫是一种独立的程序，它无需用户输入或操作即可自我复制并发送到其他计算机（通常通过网络）。蠕虫的目的可能仅仅是占用带宽以降低网络可用性，也可能采取其他恶意行为。

什么是恶意软件？

隐藏程序：隐藏程序隐藏在计算机中，执行攻击者的指令，同时避免被检测到。倾向于隐藏的恶意软件包括以下几种：特洛伊木马：特洛伊木马程序利用其外表诱骗用户运行。它们看起来像是执行有用任务的程序，但实际上却隐藏着恶意代码。一旦程序运行，攻击指令就会以用户的权限执行。间谍软件：是一种专门威胁信息机密性的恶意软件。它会在用户不知情的情况下，通过互联网连接收集用户信息。

什么是恶意软件？

Rootkit：例如，如果您要求设备列出所有正在运行的程序，Rootkit可能会悄悄删除它不想让您知道的任何程序。Rootkit的核心在于隐藏。它们既要隐藏自身，也要隐藏其在设备上的恶意活动。常见的攻击类型有哪些？根据攻击者的目标和目的，许多不同类型的攻击都适合他们。需求和能力。这些攻击可以归纳为三类：可用性攻击：这些攻击会影响对关键系统、应用程序或数据的访问或正常运行时间。对人的攻击：这些攻击涉及使用武力或欺骗手段，使他人泄露信息或执行某种行为（例如，点击可疑的URL链接或打开来自未知电子邮件地址的电子邮件附件）。对IT资产的攻击——这些攻击包括渗透测试、未经授权的

访问、密码被盗、数据删除或数据泄露。

社会工程攻击社会工程学是指一个人试图胁迫或欺骗另一个人去做某事或泄露信息的一种手段。黑客会使用多种不同的策略来试图对受害者进行社会工程攻击。以下概述了可能针对您或您的组织的社会工程攻击：权力：利用权威地位胁迫或说服个人泄露信息。共识/社会认同：以“大家都这么做”作为证明，表明这样做是可以接受的。冒充：假装成其他人（例如，送货员、银行代表）。信任：随着时间的推移建立起人与人之间的信任关系，然后利用这种信任让对方做某事或透露信息。无线网络攻击无线网络攻击包括对无线网络进行侵入式监控、数据包捕获和渗透测试。蓝牙劫持：入侵并控制用户耳机和智能手机设备之间的蓝牙无线通信链路。蓝牙嗅探——嗅探蓝牙设备之间的通信流量。邪恶双胞胎：伪造开放或公共无线网络，对连接到该网络的任何用户使用数据包嗅探器。无线网络接入点发送与无线网络接入点相同频率的无线电频率，以干扰无线通信，并扰乱合法用户的可用性。Web应用程序攻击Web应用程序攻击是指对面向公众的Web服务器、应用程序和后端数据库执行侵入式渗透测试。鉴于电子商务、客户或会员门户网站以及网站的快速部署，对私人数据和敏感数据的访问日益频繁。面向公众的Web应用程序容易受到各种Web应用程序攻击，包括：任意/远程代码执行：攻击者获得特权访问权限或系统管理员权限后，可以在远程系统上随意运行命令或执行命令。缓冲区溢出：试图推送超过缓冲区能够处理的数据，从而造成可能进一步遭受攻击的情况。什么是应对措施？由于针对计算机的恶意软件攻击不断增加，设计和实施有效的反恶意软件对策已成为必要之举。市面上有很多反恶意软件产品可以防止各种恶意软件的传播，还可以从受感染的计算机中清除恶意软件，例如卡巴斯基杀毒软件和诺顿杀毒软件。有些反恶意软件的工作原理是检查文件生成的活动，以确定其是否为恶意软件。这类反恶意软件程序使用一种称为启发式分析的方法来判断程序是否“表现”像恶意软件。什么是应对措施？其他类型的反恶意软件通过将程序和文件与已知恶意