@爆米花
3年前 提问
1个回答

被动攻击的恶意网络行为有哪些

Simon
3年前

被动攻击的恶意网络行为有窃听和流量分析两种方式。被动攻击是利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及系统中的数据进行的攻击。被动攻击一般不会对数据进行篡改,而是利用截取或窃听等方式在未经用户授权的情况下对消息内容进行获取,或者对业务数据流进行分析。

  • 窃听

    窃听原本指偷听别人之间的谈话,随着通信技术的应用和发展,窃听的含义早已超出了偷听和搭线截听电话的概念,开始借助于技术手段窃取网络中的信息,既包括以明文形式保存和传输的信息,也包括通过数据加密技术处理后的密文信息。

    一些窃听的实现需要打破原有的工作机制,如对加密后密文的窃听需要对获取的密文进行破解后才能得到明文信息。而有些窃听的实现则利用了网络已有的工作机制,如目前广泛使用的以太网是一种广播类型的分组网络,任何一台接入以太网的计算机都可以接收到本网段中的广播分组,当网卡设置为混杂模式时可以接收到本网段中的所有分组,若网络通信没有采用加密机制,便可以通过协议分析获知全部的报文信息。例如,无线局域网(Wireless Local Area Networks,WLAN)目前采用2.4GHz和5.0GHz两个微波频段通信,由于微波信号以电磁波的形式在开放空间中传输,所以任何一台工作在该频段的设备在信号传输的有效范围内都可以接收到承载着各类信息的信号,然后通过信号分析便可以恢复得到原始信号。

  • 流量分析

    数据在网络中传输时都以流量进行描述,流量分析建立在数据拦截的基础上,对截获的数据根据需要进行定向分析。Internet中,流量在节点之间传输时都需要遵循TCP/IP体系结构所确定的协议,在分层模型中每一层对网络流量的格式定义称为协议数据单元(Protocol Data Unit,PDU)。其中,物理层的PDU称为数据位(bit),数据链路层的PDU称为数据帧(frame),网络层的PDU称为分组(packet),传输层的PDU称为数据段(segment),应用层的PDU统一称为报文(message)。

    流量分析攻击可以针对分层结构的每一层,最直接的是通过对应用层报文的攻击直接获得用户的数据。对于传输层及其以下层的PDU虽然无法直接获得具体的信息,但攻击者通过对获取的PDU的分析,便可以确定通信双方的MAC地址、IP地址、通信时长等,进而确定通信双方所在位置、传输的数据类型、通信的频度等,这些信息为进一步实施后续的攻击提供了重要依据。例如,通过对通信双方所占用带宽和通信时长的分析,便可以知道双方信息交换的信息类型;通过对流量的协议分析,便可以推断出用户数据的类型;通过对异常流量的分析,可以判定网络是否存在攻击等。