1.2 计算机网络安全威胁的分类

网络安全威胁是指对网络设备的正常使用、网络中数据的完整性以及网络正常通信等工作造成的威胁。网络安全威胁多种多样，通常有以下几种分类方式。

1.按威胁来源分类

从威胁的来源来看，网络安全的威胁可以分为内部威胁和外部威胁。

（1）内部威胁

内部威胁主要是来自网络内部的用户，这些用户试图访问那些不被允许使用的资源和服务器。这分两种情况：一种是有意的安全破坏，比如入侵者的攻击和计算机犯罪，攻击者对机构的运作和结构比较熟悉，攻击不易被发觉，且最容易接触敏感信息，危害机构最核心的数据和资源。另一种情况是无意的操作失误，造成系统或网络被误操作或引起崩溃。

（2）外部威胁

外部威胁是指来自系统外部的威胁，外部威胁形式有很多种，包括网络病毒入侵、黑客的恶意攻击、网络监听等，会造成网络被非法入侵、重要资料被窃取、网络系统崩溃、设备损坏等严重后果。

2.按造成的结果分类

从威胁造成的结果来看，网络安全的威胁可以分为被动威胁和主动威胁。

（1）被动威胁

被动威胁不会篡改系统中所含信息，也不会改变系统的操作与状态，但有用的信息可能被盗窃并用于非法目的。它主要是收集信息而不是进行访问，数据的合法用户对这种活动不会察觉到。被动攻击主要有两种形式：消息内容的泄漏和流量分析。消息内容的泄漏是指在未经用户同意和任何的情况下，信息和数据被泄漏了。流量分析是指攻击者根据网络数据流来确定通信主机的身份和位置，判断通信的性质。

（2）主动威胁

主动威胁会对信息或操作进行篡改、伪造。主动攻击会直接进入信息系统内部，往往影响系统的运行，造成严重后果。主要包括4类：伪装、重放、篡改、拒绝服务。

伪装攻击：往往连同另一类主动攻击一起进行。比如IP欺骗，伪装一个无效的IP地址去连接服务器，使接收到错误IP地址的系统浪费时间去连接非法地址。

重放攻击：是指攻击者为了达到某种目的，会不断恶意或欺诈性地重复一个有效的数据传输，从而产生一个非授权的情况。

消息篡改：是指攻击者未经授权对网络中的数据进行修改，从而使合法用户得到虚假的信息或错误的服务等。

拒绝服务攻击：是指攻击目标机器迫使其停止提供服务，造成用户无法正常使用网络服务或设备。

3.按威胁的目的分类

从威胁的目的来看，网络安全的威胁可以分为信息收集型攻击、阻塞型攻击、控制型攻击。

（1）信息收集型攻击

这类攻击并不对目标本身造成危害，通常用来为后续入侵提供有用的信息。主要包括扫描技术、体系结构探测、利用网络服务等。

扫描技术：攻击者通常需要借助扫描器来仔细地逐个检查远程或本地系统中的各种信息，通常扫描的方法有地址扫描、端口扫描、反响扫描、慢速扫描和漏洞扫描。

体系结构探测：使用已知具有响应类型数据库进行自动探测攻击，对来自目标主机的，对坏数据包传递所作出的响应进行检测。

利用网络服务：通常包括3种。一是DNS转换，由于DNS协议不对域信息进行身份认证，攻击者只需对公共DNS服务器实施一次域转换操作就能得到所有主机的名称以及内部IP地址。二是Finger服务，Finger服务用于提供站点和用户的基本信息，通过该服务可查询到站点上在线用户清单和其他的有用信息。攻击者使用Finger命令探测Finger服务器，以获取关于该系统的用户的信息。三是LDAP服务，LDAP是基于X.500标准的轻量级目录访问协议，支持TCP/IP。LDAP服务器中以树形结构存储大量的网络内部及其用户信息，攻击者利用扫描器发现LDAP服务器后，再使用LDAP客户端工具窃取信息。

（2）阻塞型攻击

这类攻击以阻断网络通信或网络服务为目的，造成网络或服务器资源耗尽而无法提供正常服务。主要包括拒绝服务攻击DoS和分布式拒绝服务攻击DDoS等。

拒绝服务攻击DoS：是指攻击目标机器迫使其停止提供服务。攻击者进行拒绝服务攻击，实际上是让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把非法用户的连接复位，影响合法用户的连接。SYN泛洪攻击是当前较为流行的DoS攻击方式之一，该攻击利用TCP的三次握手机制，利用TCP/IP缺陷，发送大量伪造的TCP连接请求，导致目标服务器因巨量的TCP SYN请求消耗大量资源（CPU、端口、内存）而崩溃。此外还有UDP洪水攻击、Ping洪流攻击、teardrop攻击、Land攻击、Smurf攻击和Fraggle攻击。

分布式拒绝服务攻击DDoS：这是互联网上主要存在的攻击手段，攻击者通过网络入侵或后门木马控制众多高宽带主机，在这些傀儡主机上安装DDoS攻击软件，控制这些主机同时对某一目标主机发动成千上万的并发攻击，造成目标系统在极短的时间内崩溃。攻击者通过控制傀儡主机来发动攻击；同时这些傀儡主机广泛分散在互联网上，因此DDoS攻击具备很强的隐蔽性和分布性。

（3）控制型攻击

控制类攻击试图获得对目标计算机的控制权。主要包括口令猜测攻击、特洛伊木马攻击和缓冲区溢出攻击等。

口令猜测攻击：攻击者通过系统常用的服务，或通过对网络通信进行监听来搜集账号，当得到主机上的有效账号后，便通过各种方法获取密码文件，然后利用口令猜测程序破译用户账号和密码。

特洛伊木马攻击：木马程序其实是一种远程控制程序，也称间谍程账号序或后门程序。木马程序一般是人为编程，它提供了用户不希望得到的功能，这些功能常常是有害的；它把有害的功能隐藏在可以公开的功能中，以达到掩盖真实目的的企图。木马程序通过UDP建立与远程计算机的网络通信，使其可以通过网络控制本地计算机，在未经允许的情况下潜入用户的计算机，为后续攻击创造条件。

缓冲区溢出攻击：这类攻击是利用缓冲区溢出漏洞进行的攻击。缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击，可造成程序运行失败、系统关机、系统重启等后果。