随着网络规模和复杂性不断增大,网络攻击的类型也日益繁多,企业面临的网络安全问题越发严峻。
提到网络攻击,很多人脑海会浮现特洛伊木马、黑客……多方位多手段化的网络攻击让人防不胜防。概括来说网络安全攻击主要分为五大类:黑客与骇客攻击、IP欺骗与防范、Sniffer 探测与防范、端口扫描技术、特洛伊木马。
本文将就此五大类攻击方法展开简单介绍,帮助大家进一步了解网络安全攻击相关知识。
黑客与骇客攻击
-
黑客(hacker):指技术上的行家或热衷于解决问题, 克服限制的人;
-
骇客(cracker):是那些喜欢进入其他人系统的人;
骇客和黑客之间最主要的不同是:黑客们创造新东西,骇客们破坏东西。
入侵方法
(1)物理侵入:侵入者绕过物理控制而获得对系统的访问。对机器有物理进入权限 (比如他们能使用键盘) 。方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。
(2)系统侵入:已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁,就会给侵入者提供一个利用漏洞获得系统管理员权限的机会。
(3)远程侵入:通过网络远程进入系统。侵入者从无特权开始这种侵入方式,包括多种形式。如果在他和受害主机之间有防火墙存在,侵入就复杂得多。
系统的威胁
-
软件bug
软件bug存在于服务器后台程序, 客户程序, 操作系统,网络协议栈。
-
系统配置
(1)缺省配置:许多系统交付给客户的时候采用的缺省的易用的配置;
(2)懒惰的系统管理员:惊人数量的主机被配置成没有系统管理员口令;
(3)生成的漏洞:事实上所有的程序可能被配置成一个非安全的模式;
(4)信任的关系:侵入者常用“跳板”的方法利用信任关系攻击网络。一个互相信任主机的网络和他们最脆弱的环节一样安全。
-
口令解密
(1)字典攻击:字典攻击可以利用重复的登录或者收集加密的口令并且试图同加密后的字典中单词匹配;
(2)暴力破解(Brute Force Attacks):同字典攻击类似, 侵入者可能尝试所有的字符组合方式。
-
监听不安全的通信
(1)共享媒体:传统的以太网中, 你只要在线上启动 Sniffer就可以看到在一个网段的所有通信;
(2)服务器监听:在一个交换的网络里,如果入侵者可以在一个服务器(特别是做路由器的)安装sniffer程序,入侵者就可以使用得到的信息来攻击客户主机和信任主机。比如,你可能不知道某个用户的口令,通过在他登录的时候监听Telnet会话,就可以得到他的口令;
(3)远程监听:大量的主机可以远端网络监控,且使用缺省的community。
-
设计的缺点
(1)TCP/IP 协议缺点;
(2)系统设计缺点。
IP欺骗与防范
IP欺骗就是伪造数据包源IP地址的攻击,它基于两个前提:
-
TCP/IP网络在路由数据包时,不对源IP地址进行判断— 可以伪造待发送数据包的源IP地址。目前黑客入侵攻击的重要手段之一;
-
主机之间有信任关系存在—基于IP地址认证,不再需要用户账户和口令。
TCP等IP欺骗基础知识
-
TCP数据报首部标志域
(1)URG:紧急数据标志,指明数据流中已经放置紧急数据,紧急指针有效;
(2)ACK:确认标志,用于对报文的确认;
(3)PSH:推标志,通知接收端尽可能的将数据传递给应用层,在telnet登录时,会使用到这个标志;
(4)RST:复位标志,用于复位TCP连接;
(5)SYN:同步标志,用于三次握手的建立,提示接收TCP连接的服务端检查序号;
(6)FIN:结束标志,表示发送端已经没有数据再传输了,希望释放连接, 但接收端仍然可以继续发送数据。
-
TCP三次握手过程
(1)A发送带有SYN标志的数据段通知B需要建立TCP连接。并将TCP报头中的sequence number 设置成自己本次连接的初始值ISN。
(2)B回传给A一个带有SYS+ACK标志的数据段,并告诉A自己的ISN,并确认A发送来的第一个数据段,将acknowledge number设置成A的ISN+1。
(3)A确认收到的B的数据段,将acknowledge number设置成B的ISN+1。
-
信任与认证
(1)基于口令的认证:如SMTP(TCP 25)和远程登录 Telnet(TCP 23),只通过账号/口令认证用户;
(2)基于IP地址的认证(即信任):登录主机的地址受到被登录服务器信任,则从该主机登录不要口令;如远程登录rlogin(TCP 513),首先是基于信任关系的认证,其次才进行口令认证。
IP欺骗可行的原因
-
在TCP/IP协议组中,IP协议是非面向连接,非可靠传输的协议,IP数据包是进行松散发送的,并不是连续发送的,所以可以在源地址和目的地址中间放入满足要求的IP地址,(也就是说可以进行虚假IP 地址的提供)
-
在TCP/IP协议簇中, TCP是面向连接,提供可靠传输。
-
面向连接是两个主机首先必须建立连接,然后才能进行数据交换。
-
可靠性是由数据包中的多位控制字来提供,其中有 两个是SYN和ACK。
IP欺骗过程
-
IP欺骗步骤
(1)选定目标主机
利用端口扫描,网络监听工具,看有哪些机器和目标主机进行TCP/IP连接。
(2)寻找目标主机信任的主机
选择好进攻的目标主机后,必须寻找到目标主机信任的主机;可以尝试显示目标主机的文件系统在哪里被export,或者使用rpcinfo来分析有用信息;或者尝试目标主机的相邻IP地址,获取有价值信息。
(3)控制被信任的主机
黑客向被信任的主机的TCPA发送大量SYN请求, 使得被信任主机的TCP/IP链接达到队列的最上限, 从而无法响应目标主机的SYN请求。
(4)采样目标主机的TCP序列号,猜测数据包序列号,尝试建立连接
在此期间,黑客就有机会伪装成被信任主机的IP地址,将SYN请求返回给目标主机,黑客利用网络监听和抓包软件,采样目标主机的 TCP序列号,并猜测目标主机的数据包序列号, 尝试建立与目标主机的基于地址验证的应用连接。
(5)建立连接,种植后门
一旦与目标主机建立TCP/IP连接,黑客就会使用命令,通过目标主机的安全性较弱的端口,种植后门程序。
(6)进行远程控制和非法操作
后门种植成功后,黑客一般会断开与目标主机的连 接,并且停止对被信任主机的攻击,全身而退。黑客退出后,找寻合理时机,对目标主机进行远程控制和非法操作。
-
IP欺骗原理:序列号猜测
(1)序列号猜测的重要性
攻击者X冒充受攻击目标A信任的对象B,远程连接A 的rlogin端口,如果能连接成功,不再需要口令就能登录A。
因为A对X请求的响应包返回给B,X不可能知道其中A的序列号,要想在图中的第5步完成三次握手并连 接成功,他必须“猜”到A的序列号(ISN)。
(2)序列号猜测的过程
X首先连接A的SMTP端口(X是A的合法的邮件用户,但不是它所信任的rlogin用户,因为邮件应用的安全级别相对不高 ),试探其ISN变化规律,以估算下一次连接时A的ISN值。
X必须马上按照图中3—5步的方法假冒B来与A建立rlogin连接。
X必须立刻进行欺骗攻击,否则其他主机有可能与A建立了新的连接,X所猜测的序列号就不准了,当然就这样也不一定能一次猜测成功。
-
不同网络环境下的序列号猜测
(1)若X和A及B在同一局域网中,从理论上说很容易实现IP欺骗攻击。因为攻击者X甚至于不用猜测A发送给B的数据包中包含的序列号——用嗅探技术即可。
(2)若X来自于外网,要想猜测到A和B所在的局域网中传送的数据包中的序列号非常困难——理论可行。
(3)美国头号电脑黑客米特尼克是第一个在广域网成功实现IP欺骗攻击的人。但当时的序列号相对现在非常容易猜测。
-
关于被冒充对象B
(1)X首先必须对B进行DoS攻击,否则在图中第4步中B 收到A发送来的它未请求过的请求应答包,将向A返 回RST报文而终止连接,黑客不能冒充连接成功。
(2)X发送到A的rlogin端口的伪造数据包的源IP地址是 “假冒”了B的IP地址。
(3)为何X不能直接将自己的IP地址修改为B的IP地址来连接到A的rlogin端口?
原因:IP地址产生冲突;外网X不能这样修改。
-
IP欺骗防范
(1)使用较强壮的随机序列号生成器,要准确猜测TCP连接的ISN几乎不可能。
(2)在边界路由器上进行源地址过滤,也就是说,对进入本网络的IP包,要检查其源IP地址,禁止外来的 却使用本地IP的数据包进入,这也是大多数路由器的缺省配置。
(3)禁止r-类型的服务,用SSH(专为远程登录会话和其 他网络服务提供安全性的协议,传输的数据均加密) 代替rlogin这样的不安全的网络服务。
(4)在通信时要求加密传输和验证。
(5)分割序列号空间。Bellovin提出一种弥补TCP序列号随机性不足的方法,就是分割序列号空间,每一个连接都将有自己独立的序列号空间。连接之间序列号没有明显的关联。
Sniffer 探测与防范
Sniffer原理
-
广播类网络上,可以将某一网络适配器(NIC)设为接收相应广播域上传输的所有帧;
-
sniffer属第二层次(数据链路层)的攻击。通常是攻击者已经进入了 目标系统;
-
如果sniffer运行在路由器,或有路由器功能的主机上,则可同时监视多个广播域,危害更大;
-
通常,sniffer程序只需看到一个数据包的前200-300个字节的数据, 就能发现用户名和口令等信息。
Sniffer防范
-
设法保证系统不被入侵:Sniffer往往是攻击者在侵入系统后使用;
-
加密传输:传输前加密,使收集的信息无法解读;
-
采用安全拓扑结构:采用交换技术,分割广播域。
管理员应使各计算机之间的信任关系最小,如lan要和internet相 连,仅有firewall是不行的,要考虑一旦入侵成功后他能得到什么, 保证一旦出现sniffer他只对最小范围有效。
现代网络常常采用交换机作为网络连接设备枢纽:
(1)交换机不会让网络中每一台主机侦听到其他主机的通讯,因此Sniffer技术在这时必须结合网络端口镜像技术进行配合。
(2)而衍生的安全技术则通过ARP欺骗来变相达到交换网络中的侦听。
-
网络端口镜像技术:在交换机或路由器上, 将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听
-
ARP欺骗:ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网上,尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。
端口扫描技术
原理
端口扫描是指某些别有用心的人发送一组端口扫描消息,试图以此侵入某台计算机,并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关);
扫描器(工作原理):自动检测远端或本机安全性弱点的程序,用户可不留痕迹的发现远端机器各端口的分配及运行的服务及软件版本。
功能:
-
发现一个主机或网络;
-
发现该主机运行何种服务;
-
测试这些服务发现漏洞。
分类
常见的端口扫描类型:
-
TCPconnect():入侵者无需任何权限,速度快,但是其易被发现,也易被过滤;
-
TCPSYN:扫描器发送syn数据包,如果返回ack/syn同时需要再发送 RST关闭连接过程,表示端口处监听状态;如果返回RST,则不在侦听,不会留下入侵记录,但需要有root权限才能建立自己的syn数据包;
-
TCPFIN:一般防火墙或过滤器会过掉syn包,但FIN可以没有麻烦的通过,于是可能存在关闭的端口会用RST来响应FIN,而打开的端口 则不会响应,但有的系统不管打开与否都响应回复RST包。
ping命令
-
Ping的原理:
通过向目标主机传送一个小数据包,目标主机接收并将该包返送回来,如果返回的数据包和发送的数据包一致,则Ping命令成功。根据返回的信息,可以推断TCP/IP参数是否设置正确,以及运行是否正常、网络是否通畅等。
-
作用和特点:
(1)用来判断目标是否活动;
(2)最常用、最简单的探测手段;
(3)Ping 程序一般是直接实现在系统内核中的, 而不是一个用户进程。
-
Ping命令可以进行以下操作:
(1)通过将ICMP(Internet控制消息协议)回显数据包发 送到计算机并侦听回显回复数据包来验证与一台或多 台远程计算机的连接;
(2)每个发送的数据包最多等待一秒;
(3)打印已传输和接收的数据包数。
特洛伊木马
木马与病毒的区别
-
载体:
(1)一般情况下,病毒是依据其能够进行自我复制即传染性的特点而定义的;
(2)木马主要是根据它的有效载体,或者是其功能来定义的,更多情况下是根据其意图来定义的。
-
自我复制和传播:
(1)木马一般不进行自我复制,但具有寄生性,如捆绑在合法程序中得到安装、启动木马的权限,DLL木马甚至采用动态嵌入技术寄生在合法程序的进程中;
(2)木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等特性, 但我们习惯上将其纳入广义病毒,也就是说,木马也是广义病毒的一个子类。
-
意图:
(1)木马的最终意图是窃取信息、实施远程监控;
(2)木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是 否具有隐蔽性、是否具有非授权性。
木马的组成
木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成。
木马攻击过程
-
木马通道与远程控制:
(1)木马连接建立后,控制端端口和服务端木马端口之间将会出现一条通道;
(2)控制端上的控制端程序可借助这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制,实现的 远程控制就如同本地操作。
传播方式
-
捆绑欺骗
(1)把木马服务端和某个游戏/软件捆绑成一个文件;
(2)通过即时通讯工具、邮件、下载工具等渠道发送出去。
-
钓鱼欺骗(Phishing)
(1)构造一个链接或者一个网页;
(2)利用社会工程学欺骗方法;
(3)欺骗用户输入某些个人,隐私信息,然后窃取个人隐私。
-
漏洞攻击
(1)利用操作系统和应用软件的漏洞进行的攻击。
-
网页挂马
(1)网页挂马就是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码;
(2)浏览者在打开该页面的时候,这段代码被执行, 然后下载并运行某木马的服务器端程序,进而控制浏览者的主机。
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
- 2023届全国高校毕业生预计达到1158万人,就业形势严峻;
- 国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图 
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
1093
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
