三、信息安全之网络攻击流程（由浅入深的笔记整理）

本篇文章讲解网络攻击技术

​网络攻击技术
网络攻击的定义是对网络安全的目标产生危害的行为，信息泄露、完整性破坏、拒绝服务和非法访问。
基本特征是使用一定的攻击工具对目标网络系统进行攻击访问，呈现出一定的攻击效果，实现了攻击者的攻击意图

攻击方式
①读取攻击：用于侦察和扫描，识别目标主机运行的网络服务以及可能的漏洞
②操作攻击：以篡改数据为手段，攻击并取得程序的控制权如缓冲区溢出攻击
③欺骗攻击 将自身伪装成其他用户实施攻击行为，如网络钓鱼
④泛洪攻击 让远程主机无法承受巨大的流量而瘫痪，如TCP SYN Flood和DDoS攻击
⑤重定向攻击 将发往目标的信息全部重定向到攻击者指定的目标主机上，如ARP重定向
⑥Rootkits技术 用于隐藏自身及指定文件、进程和链接的恶意软件工具集，分为进程注入式和驱动级

网络攻击手段
①网络监听 只要攻击者获取数据通信的传输路径即可轻易实现监听 
②篡改数据 攻击者对截获的数据进行修改，使得数据收发双方无法察觉 
③网络欺骗 常见的欺骗攻击主要有IP欺骗、ARP欺骗、DNS欺骗 
④弱口令攻击 通过各种方式成功获取和破解合法用户的口令 
⑤拒绝服务 使目标系统停止工作或耗尽目标网络的带宽
⑥漏洞破解 利用系统漏洞实施攻击，获取系统访问权限 
⑦木马攻击 植入恶意代码或链接，诱使用户查看或点击，然后自动下载木马程序到到目标用户主机

接下来讲解攻击的具体流程

 攻击的具体工作流程

第一步，信息收集：通过各种方式获取目标主机或网络的信息，属于攻击前的准备阶段。
收集的信息有
①网络接入方式：拨号接入、无线局域网接入、以太网接入、VPN远程接入等
②目标网络信息：域名范围、IP地址范围、具体地理位置等
③网络拓扑结构：交换设备类型、设备生产厂家、传输网络类型等
④网络用户信息：邮件地址范围、用户账号密码等
收集方式有
①使用常见的搜索引擎如Google、必应、百度等
②使用工具通过whois服务器查询主机的具体域名和地理信息
③使用netdiscover等工具查询主机的IP地址范围
④使用dnsmap、dnswalk、dig等工具查询域名空间
⑤使用社会工程学手段获得有关社会信息

 第二步，网络隐身：在网络中隐藏自己真实的IP地址，使受害者无法反向追踪到攻击者。
①IP假冒或盗用，TCP/IP协议不检查源IP地址，修改IP地址绕过访问控制黑名单
②MAC地址盗用，修改自身主机的MAC地址为允许访问的MAC地址
③代理隐藏，通过免费代理进行信息收集，甚至通过多个代理级联
④冒充真实用户，监听或破解用户的账号和口令，然后冒充该账户
⑤僵尸机器，入侵僵尸主机，并通过该主机进行攻击

第三步，端口和漏洞扫描
①端口扫描是检测有关端口是打开还是关闭，判定目标端口运行的服务类型和版本信息和识别不同操作系统的类型和版本
②漏洞扫描，专用的漏洞扫描工具如Openvas，WEB应用程序的漏洞扫描如Nikto。

第四步，实施攻击：攻击者检测到可用漏洞后，利用漏洞破解程序即可发起入侵或破坏性攻击。
①拒绝服务攻击，危害极大，目前还没有防御DDoS的较好解决办法
②获取访问权限，利用远程漏洞进行远程入侵，获得目标系统的一个普通用户权限
③提升访问权限  配合本地漏洞把获得的权限进行提升，提升为系统管理员的最高权限。暴力破解管理员口令、检测系统配置错误、网络监听或设置钓鱼木马

第五步，设置后门：攻击者再次轻松和隐蔽地进入网络或系统而不被发现的通道。
①开放不安全的服务端口
②修改系统配置
③安装网络嗅探器
④建立隐藏通道
⑤创建具有root权限的虚假用户账号
⑥安装批处理文件
⑦安装远程控制木马如上兴远程或者灰鸽子
⑧使用木马程序替换系统程序如backdoor-factory

第六步，消除痕迹：成功获得访问权后，必须清除所有痕迹，防止被管理员发现。
清除登录日志和其它有关记录
①隐藏上传的文件
②修改日志文件中的审计信息
③修改系统时间造成日志文件数据紊乱
④删除或停止审计服务进程
⑤干扰入侵检测系统正常运行
⑥修改完整性检测数据
⑦使用Rootkits工具
并且Windows的系统日志--“%systemroot%\system32\config”

以上就是具体的攻击流程。
由于作者水平有限，其中难免有错误和疏漏之处，还望各位网友指正并补充，谢谢大家
​