A.2 入侵和攻擊的類型

A.2.1 簡介

信息系統的入侵者和攻擊者主要是利用信息系統和(或)網絡缺陷(包括配置缺陷、實施缺陷和概念缺陷)以及異常的用戶行為。

具體來說，入侵者和攻擊者首先利用脆弱性入侵信息系統，然后獲取其處理或存儲的信息，從而損害信息系統和信息的機密性、完整性和可用性。通過入侵和攻擊，入侵者和攻擊者獲得了大量有價值信息，并將其利用到其他入侵和攻擊中。此外，不僅要防范外部入侵者和攻擊者，還要防范內部人員實施入侵和攻擊(例如，信息系統授權用戶試圖獲得未授權的額外特權)。借助入侵和攻擊可進行：

– 信息收集，攻擊者試圖獲取目標信息系統的詳細信息；

– 試圖獲得未授權系統特權、資源或數據；

– 損害系統，可使用系統資源實施進一步攻擊；

– 信息泄露，入侵者試圖用非授權手段使用受保護信息(如密碼、信用卡數據)；

—拒絕服務(DoS) 攻擊， 攻擊者試圖使目標信息系統服務變得遲緩， 或者使其服務中止。

從入侵和攻擊的脆弱點來說，入侵和攻擊可分為：

– 基于主機的(入侵)；

– 基于網絡的(入侵)；

– 基于組合方法的(入侵)。

A.2.2 基于主機的入侵

基于主機的入侵，通常會引入惡意代碼(例如，利用木馬、蠕蟲或病毒的攻擊)，這類入侵性活動主要發生在：

– 應用層(SMTP、DNS) (如偽造電子郵件、垃圾郵件、緩沖區溢出攻擊、競爭狀態攻擊、中間人攻擊)；

– 基于Web的服務(如針對CGI、ActiveX或JavaScript的攻擊) ；

– 系統可用性(如拒絕服務攻擊)；

– 操作系統：

– 網絡和應用管理系統(如SNMP攻擊) 。

A.2.3 基于網絡的入侵

基于網絡的入侵通常發生在：

– 物理層和數據鏈路層通信協議以及實現它們的系統(如ARP欺騙、MAC地址克隆) ；

– 網絡層和傳輸層通信協議(IP、ICMP、UDP、TCP) 以及實現它們的系統(如IP欺騙攻擊、IP碎片攻擊、同步洪泛攻擊、異常TCP報頭信息攻擊) 。