2024年最全网络安全-攻击篇-攻击载体_基于人的网络安全攻击 csdn

肉鸡

肉鸡（Zombie）是一种很形象的比喻，比喻那些可以被攻击者控制的电脑、手机、服务器或者其他摄像头、路由器等智能设备，用于发动网络攻击。这种攻击通常涉及到黑客攻击、病毒传播、恶意软件感染等手段，会对被攻击者的网络安全和隐私造成严重威胁。

常见利用方式：

1. 恶意软件感染：攻击者通过发送病毒、蠕虫、木马等恶意软件感染目标计算机，从而控制这些计算机。
2. 社会工程学：攻击者利用人类的心理和行为弱点，通过社交媒体、电子邮件、电话等方式诱骗受害者点击恶意链接或下载恶意软件，从而控制他们的计算机。
3. 远程控制攻击：攻击者通过漏洞、弱密码、未授权访问等手段获得对目标计算机的远程控制权，从而可以操纵这些计算机进行各种操作。
4. DDoS攻击：攻击者通过控制大量肉鸡，同时向目标网站或服务器发送大量请求，导致目标网站或服务器过载崩溃，无法正常提供服务。

僵尸网络

僵尸网络（Botnet）是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个名字，是为了更形象地让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。

常见利用方式：

1. 分布式拒绝服务攻击（DDoS）：攻击者利用僵尸网络中的大量受感染设备同时向目标系统发送大量的请求或数据包，以超过目标系统的处理能力，使其服务不可用。
2. 垃圾邮件和广告投放：攻击者利用僵尸网络发送大量垃圾邮件或投放广告，用于传播恶意软件、推销假冒产品或欺诈活动。
3. 数据盗取和钓鱼：攻击者使用僵尸网络收集受感染设备上存储的敏感信息，如个人身份信息、账户凭据等。

木马

木马（Trojan horse）是一种隐藏在正常程序中的具有特殊功能的代码，实质上是一种远程控制软件，是一种未经授权，利用网络欺骗或者攻击的手段装入目标计算机中。攻击者通过木马可以完全控制受害者的计算机，包括执行命令、遥控操作、下载/上传文件等。有很多黑客就是热衷使用木马程序来控制别人的电脑，比如灰鸽子、Gh0st、PcShare等。

常见利用方式：

1. 密码窃取木马：能够盗取用户登录凭证和密码信息的木马程序。这类木马常常通过钓鱼网站、恶意软件下载、邮件附件等方式传播。一旦受害者在感染后输入账户密码，攻击者就能够获取这些信息，从而窃取受害者的个人财产或者滥用其身份。
2. 键盘记录木马：通过键盘记录木马可以获取用户的登录凭证、敏感信息或者银行卡、支付宝等账户的用户名和密码。
3. 屏幕记录木马：一种能够在受感染计算机上记录用户屏幕活动的木马程序。攻击者可以通过屏幕记录木马获悉受害者的各类敏感信息，如银行账号、密码和其他个人隐私。
4. 控制技术：即攻击者如何控制服务器端实施攻击任务。

网页木马

网页木马（Webshell）是一种隐藏在正常网页文件中的恶意代码，当用户访问被感染的网页时，这些恶意代码会自动执行，窃取用户的信息或执行恶意程序，控制用户的计算机系统或将受影响的客户电脑变成肉鸡或纳入僵尸网络。网页木马通常利用用户的浏览器漏洞或者用户的不小心操作来传播和感染计算机。

常见利用方式：

1. 欺骗用户点击链接或下载附件：有些网页会伪装成其他网站或者以虚假信息吸引用户点击，从而诱导用户打开恶意链接或下载附件。这些附件可能会包含网页木马程序，一旦被激活就会感染用户的计算机。
2. 浏览器漏洞：利用浏览器漏洞是另一种常见的网页木马攻击方式。攻击者可以利用漏洞在用户浏览网页时执行恶意代码，从而实现控制用户计算机的目的。
3. 代码混淆：一些网页木马使用混淆技术来绕过杀毒软件和安全软件的检测。混淆技术可以将代码重新编码，使其看起来像合法代码，从而避免被识别为恶意代码。
4. 跨站脚本（XSS）：有些网页木马会在用户访问页面时注入恶意代码，这种被称为跨站脚本攻击。当用户访问该页面时，恶意代码会被加载并执行，从而控制用户的计算机。
5. 钓鱼陷阱：这是一种比较隐蔽的网页木马攻击方式，通常会伪装成合法的网站或者电子邮件地址，诱使用户点击或者下载附件。一旦用户点击或者下载了附件，就会感染网页木马程序。
6. 社会工程学：这是指利用人类心理弱点进行欺骗的一种攻击方式。攻击者可能冒充合法网站或者电子邮件地址，发送带有恶意附件的邮件，诱使用户点击或者下载附件。

Rootkit

Rootkit是一种特殊的恶意软件，主要功能是隐藏其他程序进程，可能是一个或一个以上的软件组合。Rootkit通常用于隐藏攻击者的踪迹和保留root访问权限。攻击者通过远程攻击获得root访问权限，或者首先通过密码猜测或密码强制破译的方式获得系统的访问权限。进入系统后，如果攻击者还没有获得root权限，他可能会通过某些安全漏洞获得系统的root权限。接着，攻击者会在侵入的主机中安装Rootkit，以达到自己长久控制对方的目的，Rootkit功能上与木马和后门很类似，但远比它们要隐蔽。然后经常通过Rootkit的后门检查系统是否有其他的用户登录。一旦确认只有自己，攻击者就开始着手清理日志中的有关信息。通过Rootkit的嗅探器获得其他系统的用户和密码之后，攻击者会利用这些信息侵入其他的系统。

常见利用方式：

1. 利用系统漏洞：攻击者利用操作系统的漏洞或缺陷，将rootkit安装到目标系统上。这些漏洞可能包括缓冲区溢出、格式化字符串漏洞、整数溢出等。
2. 网络攻击：攻击者通过网络向目标系统发送恶意代码，一旦目标系统打开或运行恶意代码，rootkit就会被安装。这种攻击方式包括拒绝服务攻击、特洛伊木马、蠕虫病毒等。
3. 恶意软件：攻击者通过安装恶意软件，如间谍软件、广告软件等，来传播rootkit。这些恶意软件会在用户不知情的情况下，在其电脑上安装后门、收集用户信息、篡改用户设置等。
4. 物理访问攻击：如果攻击者有物理访问目标系统的权限，他们可以直接将rootkit安装到系统上。这种攻击方式通常需要攻击者有足够的权限或口令，以便在目标系统上进行操作。

蠕虫病毒

蠕虫病毒（Worm）是一类相对独立的恶意代码。它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。蠕虫病毒是自包含的程序，它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中。与一般病毒不同，蠕虫不需要将其自身附着到宿主程序中，而是通过将自身拷贝放置到所攻击的系统中进行攻击。蠕虫病毒利用系统漏洞进行传播，如操作系统漏洞、蠕虫病毒传播时利用的漏洞等。一旦蠕虫病毒被激活，它会在计算机系统内部迅速传播，导致计算机运行异常、数据丢失或被窃取。

常见利用方式：

1. 利用系统漏洞：蠕虫病毒通常利用操作系统或应用程序的漏洞进行传播。当系统存在未修复的漏洞时，蠕虫病毒能够利用这些漏洞在系统中快速传播，并对系统造成破坏。
2. 自动传播：蠕虫病毒具有自动传播的能力，它能够在计算机内部自我复制，并将自身传播到其他计算机上。这种传播方式通常是通过网络进行，如电子邮件附件、网络共享、网页等。
3. 欺骗用户点击：蠕虫病毒经常通过伪装成可执行文件或链接来欺骗用户点击。当用户点击这些恶意链接或下载恶意文件时，蠕虫病毒就会被激活，并在系统中迅速传播。
4. 弱密码攻击：蠕虫病毒可能会利用弱密码进行攻击，尝试破解用户的账户密码，从而获得对系统的控制权。
5. 感染其他程序：蠕虫病毒可能会感染其他应用程序或文件，使其携带病毒并继续传播。

震网病毒

震网病毒（Stuxnet）是一种计算机蠕虫病毒，是第一个专门定向攻击真实世界中基础能源设施的“蠕虫”病毒，包括核电站、水坝、国家电网。震网病毒的由来可以追溯到2006年，当时伊朗重启核计划的消息一出，美国和以色列都感到了威胁。以色列决定对伊朗实施外科手术式的打击，派出由F-16组成的攻击机群，像1981年摧毁伊拉克核设施那样摧毁伊朗的核工业。而美国则将目光瞄准了西门子，希望通过控制西门子的工控机来破坏伊朗的核设施。为此，美国情报机构和以色列情报机构合作，开发出了震网病毒。主要针对西门子型号为S7-315和S7-417的工控机，利用高度复杂的恶意代码和多个零日漏洞作为攻击武器。主要破坏经过是：在核设施中，它可以让离心机过载运转，从而破坏离心机本身以及与之相关的系统和设施；同时，它还会掩盖离心机故障的情况，使得维护人员无法及时发现问题。

常见利用方式：

1. 漏洞利用：震网病毒利用了多个零日漏洞（0Day）来绕过系统防护措施，从而进入目标系统。这些零日漏洞通常是未被及时修复的安全漏洞，使得病毒可以轻松地感染系统和相关设备。
2. 隐蔽传播：震网病毒在传播过程中采用了多种隐蔽手段，如伪装成合法文件、修改图标、使用虚假信息等。这些隐蔽手段使得病毒可以在不被用户注意的情况下快速传播到其他系统中。
3. 持久化感染：震网病毒可以通过多种方式实现持久化感染，如在系统启动时自动运行、在后台隐藏运行、通过网络连接等方式激活等。这种持续感染能力使得病毒能够在目标系统中长期存在并造成更大的破坏。
4. 控制网络流量：震网病毒可以通过控制网络流量来实现对目标系统的控制。它能够阻断网络通信，使目标系统无法访问外部网络，从而达到保护自己的目的。
5. 破坏系统资源：震网病毒可以对计算机系统进行各种破坏操作，包括占用大量系统资源、破坏文件系统、干扰操作系统等。这些破坏行为可能导致系统崩溃、数据丢失等问题。
6. 远程控制：震网病毒可以通过网络远程控制目标系统，实现对目标系统的控制和操纵。这种远程控制功能可以为黑客提供更多的非法操作权限和便利条件。

勒索病毒

勒索病毒（Ransomware）是一种恶意软件，这种病毒通常会利用各种漏洞和加密算法对被感染者的计算机文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。

常见利用方式：

1. 感染系统文件：勒索病毒会感染系统文件，如exe、sys等可执行文件或驱动程序。一旦感染成功，病毒就会对文件进行加密，导致文件无法正常打开和使用。
2. 破坏数据：勒索病毒会对数据进行破坏，包括用户的个人信息、银行账户信息等敏感数据。这些数据被破坏后，可能会导致严重的后果。
3. 锁定设备：勒索病毒可以对计算机设备进行锁定，使设备无法正常使用。这会导致用户无法完成工作、学习等日常活动。
4. 要求支付赎金：有些勒索病毒会在受害者付款后才会解密受感染的文件。因此，很多受害者因为不想支付赎金而选择不采取任何措施，但这会导致更多的受害者受到感染。
5. 社会工程学：一些勒索病毒可能会利用社会工程学的方法进行传播，即通过伪装成合法软件或者钓鱼网站来吸引用户点击或者下载。

挖矿木马

挖矿木马（Mining Malware）是一种恶意软件，将电脑、移动设备甚至是服务器变为矿机的木马，通常由挖矿团伙植入，用于挖掘比特币从而赚取利益。它会在受感染的计算机上运行，并利用计算机的资源来进行加密货币挖矿操作，从而赚取利润。这种木马可以隐藏在用户下载的文件或链接中，或者通过网络漏洞进行远程传播。一旦感染，木马会在后台默默地运行，用户可能会发现计算机变得缓慢，甚至出现崩溃的情况。

常见利用方式：

1. 利用系统漏洞：挖矿木马会利用各种系统漏洞，如Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、Web漏洞等，通过自动化脚本扫描互联网上的所有机器，寻找漏洞并部署挖矿进程。
2. 弱密码暴力破解：挖矿木马会通过弱密码暴力破解进行传播，但这种方法攻击时间较长。
3. 利用僵尸网络：利用僵尸网络也是挖矿木马重要的传播方法，如利用Mykings、 WannaMine、Glupteba等控制大量主机。攻击者通过任务计划、数据库存储过程、WMI等技术进行持久化攻击，很难被清除，还可随时从服务器下载最新版本的挖矿木马，控制主机挖矿。
4. 无文件攻击：通过在PowerShell中嵌入PE文件加载的形式，达到执行“无文件”形式挖矿攻击。新的挖矿木马执行方法没有文件落地，会直接在PowerShell.exe进程中运行，这种注入“白进程”执行的方法更加难以实施检测和清除恶意代码。
5. 利用网页挂马：在网页内嵌入挖矿JavaScript脚本，用户一旦进入此类网页，脚本就会自动执行，自动下载挖矿木马。
6. 利用社交软件、邮件传播：攻击者将木马程序伪装成正规软件、热门文件等，通过社交软件或邮件发送给受害者，受害者一旦打开相关软件或文件就会激活木马。
7. 内部人员私自安装和运行挖矿程序：机构、企业内部人员带来的安全风险往往不可忽视，需要防范内部人员私自利用内部网络和机器进行挖矿获取利益。

攻击载荷

攻击载荷（Payload）是一种系统被攻陷后执行的多阶段恶意代码，也称为载荷或有效负载。在网络安全攻击中，黑客或攻击者使用的恶意代码或攻击工具。它可以是一段恶意代码或可执行文件、脚本，如病毒、蠕虫或木马程序，也可以是一种攻击技术或手段，如拒绝服务攻击、网络钓鱼或社交工程攻击。攻击载荷的目的是对目标系统进行破坏、信息窃取、远程控制或其他非法活动。攻击者通过将攻击载荷附在恶意代码上，利用各种漏洞或欺骗手段将恶意代码传播到目标系统中，并在目标系统上执行攻击载荷。攻击载荷通常会被嵌入到可信的文件、网站或应用程序中，以欺骗用户并使其在不知情的情况下运行或访问。攻击载荷可以用于各种恶意目的，如窃取敏感信息、破坏系统资源、执行拒绝服务攻击等。

常见利用方式：

1. 远程攻击类载荷：通过利用漏洞或欺骗手段，攻击者可以远程控制目标系统并执行恶意代码。这种攻击方式通常需要攻击者拥有一定的技术水平，但可以快速地传播和感染大量目标系统。
2. 投递攻击类载荷：攻击者通过将恶意文件或可执行程序投递给目标用户，并诱骗其打开或运行这些文件或程序，从而感染目标系统。这种攻击方式通常需要针对特定的目标或群体，但可以获得较高的成功率。
3. 连接控制类载荷：攻击者通过在恶意代码中嵌入后门、木马等恶意程序，控制目标系统并窃取敏感信息。这种攻击方式通常需要攻击者具备较高的技术水平，但可以长期控制目标系统并获取大量敏感信息。
4. 独立攻击类载荷：攻击者通过利用漏洞或欺骗手段，直接在目标系统上执行恶意代码并获取控制权。这种攻击方式通常需要攻击者具备较高的技术水平，但可以快速地感染大量目标系统并获得控制权。

嗅探器

嗅探器（Sniffer）是一种网络分析工具，通过使用嗅探器，攻击者可以截获在网络上传输的数据包，并获取敏感信息。例如，一些黑客会使用嗅探器来截获用户的敏感信息，如用户名、密码、信用卡信息等。它通常被用于网络故障排查、数据分析、网络流量监控、网络安全领域等场景。嗅探器可以在共享网络环境下工作，但也可以在交换式网络环境下捕获只能单播的数据包。嗅探器基于被动侦听原理，在以太网中是一种将网络适配卡设置为杂乱模式的设备，用于接收传输在网络上的每一个信息包。

常见利用方式：

1. 密码破解：攻击者可以使用嗅探器截获网络中传输的明文密码，然后使用密码破解工具来获取用户的登录凭据。例如，攻击者可以截获用户在登录网站时发送的密码，然后尝试用该密码在其他网站上登录，以窃取用户的个人信息。
2. 数据包捕获：攻击者可以使用嗅探器截获网络中传输的数据包，对捕获的数据包进行分析和解析，提供详细的数据包信息，如协议类型、数据长度、源目IP地址等。
3. 钓鱼攻击：攻击者利用数据包中的敏感信息，进行钓鱼攻击，截获用户在登录银行账户时发送的账号和密码，然后伪装成银行工作人员向用户发送钓鱼邮件，诱导用户点击恶意链接或下载恶意附件，以窃取用户的个人信息或执行其他恶意操作。
4. 数据泄露：攻击者利用数据包中的信息数据，截获用户在社交媒体上发送的私信或聊天记录，然后将其发布到网上或出售给其他人，以获取经济利益。

恶意软件

恶意软件（Malware）是一种有意制造的、具有恶意目的被设计来达到非授权控制计算机或窃取计算机数据等多种恶意行为的程序。种类很多，包括病毒、蠕虫、木马、间谍软件、广告软件等。主要目的是窃取用户的个人信息，如账号密码、银行卡信息等，进行盗窃或欺诈活动。通过控制计算机系统，将其加入一个僵尸网络用于进行黑客攻击或发送垃圾邮件。还有一些会故意破坏计算机系统的正常运行，导致系统崩溃或数据丢失。这些恶意软件通常会伪装成合法的软件，如游戏、工具等，以欺骗用户点击或下载，其传播方式多种多样，包括网络下载、电子邮件附件、社交媒体、移动应用程序等。一旦被安装到计算机系统中，恶意软件就可以执行各种恶意操作，如窃取个人信息、破坏系统资源、发送垃圾邮件等。

常见利用方式：

1. 欺骗性安装：攻击者会伪装成合法的软件或应用程序，通过欺骗用户点击或下载的方式进行传播。这种攻击方式通常会利用社会工程学方法，如发送虚假邮件、社交媒体消息等。
2. 漏洞利用：攻击者可以利用系统或应用程序的漏洞进行恶意软件的传播和感染。例如，有些恶意软件可以通过浏览器漏洞来感染用户的计算机，或者利用操作系统本身的漏洞来执行恶意代码。
3. 供应链感染：供应链中的供应链是恶意软件的重要传播途径之一。供应链中的供应链可能包括供应商、制造商、物流公司等环节，任何一个环节出现问题都可能导致供应链中的供应链受到病毒感染。
4. 后门程序：后门程序是一种绕过安全机制的方法，可以让攻击者访问被感染系统的控制权。后门程序的类型有很多种，如远程访问工具、密码破解工具等。
5. 病毒木马：病毒木马是最常见的恶意软件之一，它们可以感染用户的计算机并执行各种恶意操作，如窃取个人信息、破坏系统资源、发送垃圾邮件等。
6. 勒索软件：勒索软件是一种新型恶意软件，它们会在用户计算机中锁定文件并进行加密，要求用户支付赎金才能解密文件。这种类型的恶意软件对用户的危害更大。

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！