目标 6.6:威胁缓解
目标 6.6:识别常见的安全威胁和缓解技术
DoS (拒绝服务)
[编辑 | 编辑源代码]拒绝服务攻击 (DoS 攻击) 或分布式拒绝服务攻击 (DDoS 攻击) 是试图使计算机资源对预期用户不可用的攻击。虽然执行 DoS 攻击的手段、攻击动机和攻击目标可能有所不同,但它通常包括一个人或一群人为了阻止互联网网站或服务正常或完全运行,暂时或永久地进行协同攻击。
一种常见的攻击方法是通过外部通信请求饱和目标(受害者)机器,使其无法响应合法流量,或者响应速度如此缓慢,以至于实际上不可用。一般来说,DoS 攻击是通过强制目标计算机(或计算机)重置或消耗其资源使其无法再提供预期的服务来实现的,或者阻碍预期用户和受害者之间的通信介质,使其无法再进行充分的通信。
防火墙 具有简单的规则,例如允许或拒绝协议、端口或 IP 地址。一些 DoS 攻击对于当今的防火墙来说过于复杂,例如,如果对端口 80(web 服务)进行攻击,防火墙无法阻止该攻击,因为它们无法区分正常流量和 DoS 攻击流量。此外,防火墙在网络层次结构中过于深层。路由器可能会在防火墙获取流量之前受到影响。尽管如此,防火墙可以有效地阻止用户从防火墙后面的机器发起简单的洪泛攻击。
入侵防御系统 (IPS) 在攻击具有与之相关的签名的情况下非常有效。然而,攻击的趋势是具有合法的內容,但带有恶意意图。基于内容识别的入侵防御系统无法阻止基于行为的 DoS 攻击。
计算机病毒是一种可以自我复制并感染计算机而无需拥有者许可或知情的计算机程序。术语“病毒”通常也错误地用来指代其他类型的恶意软件、广告软件和间谍软件程序,这些程序没有繁殖能力。真正的病毒只能在主机被带到目标计算机时(以某种可执行代码的形式)从一台计算机传播到另一台计算机;例如,因为用户通过网络或互联网发送了它,或者将其存储在可移动介质上,如软盘、CD、DVD 或 USB 驱动器。
为了自我复制,病毒必须被允许执行代码并写入内存。因此,许多病毒会将自己附加到可能是合法程序一部分的可执行文件中。如果用户尝试启动受感染的程序,病毒的代码可能会同时执行。
为了避免被用户发现,一些病毒采用了不同的欺骗手段。一些旧的病毒,特别是在 MS-DOS 平台上,会确保当文件被病毒感染时,主机的“最后修改”日期保持不变。然而,这种方法并不能欺骗反病毒软件。一些病毒可以在不增加文件大小或损坏文件的情况下感染文件。它们通过覆盖可执行文件的未使用区域来实现这一点。这些被称为空腔病毒。一些病毒试图通过在反病毒软件能够检测到它们之前杀死与反病毒软件相关的任务来避免被发现。随着计算机和操作系统变得越来越大,越来越复杂,旧的隐藏技术需要更新或替换。防御计算机免受病毒侵害可能需要文件系统迁移到对每种文件访问进行详细和明确的授权。
