目录
1、网络攻击概述
1.1 网络攻击概述
网络攻击是指损害网络系统安全的危害行为。
常见的危害行为有四个基本类型:
- 信息泄露攻击(针对保密性)
- 完整性破坏攻击(针对完整性)
- 拒绝服务攻击(针对可用性)
- 非法使用攻击(针对可用性)
网络攻击原理表:不同的攻击者的攻击意图不同,采用的攻击工具和攻击效果也不同。
1.2 网络攻击模型
- 攻击树模型:源于故障树分析方法。故障树分析方法主要用于系统风险分析和系统可靠性分析,后扩展为软件故障树,用于辅助识别软件设计和实现中的错误。用AND-OR形式的树结构对目标对象进行网络安全威胁分析。
- MITRE ATT&CK模型:MITRE根据真实观察到的网络攻击数据提炼成攻击矩阵模型MITRE ATT&CK。基于MITRE ATT&CK常见的应用场景主要有网络红蓝对抗模拟、网络安全渗透测试、网络防御差距评估、网络威胁情报收集。
- 网络杀伤链(Kill Chain)模型:该模型将网络攻击活动分为目标侦察(选择目标)、武器构造(将木马程序和有效载荷结合)、载荷投送(将武器化有效载荷投送到目标环境)、漏洞利用(利用程序或系统漏洞触发恶意代码)、安装植入(在目标系统上安装木马或后门,以便持久控制)、指挥和控制(控制目标系统)、目标行动(采取恶意行动)等七个阶段。
1.3 网络攻击发展演变
(1)网络攻击工具智能化、自动化
(2)网络攻击者群体普适化
(3)网络攻击目标多样化和隐蔽性
(4)网络攻击计算资源获取方便
(5)网络攻击活动持续性强化
(6)网络攻击速度加快
(7)网络攻击影响扩大
(8)网络攻击主体组织化
2、网络攻击一般过程
网络攻击过程主要为以下几个步骤:
(1)隐藏攻击源:隐藏黑客主机位置使得系统管理无法追踪。
攻击者常利用以下技术隐藏他们真实的IP地址或者域名:
- 利用被侵入的主机作为跳板
- 免费代理网关
- 伪造IP地址
- 假冒用户账户
(2)收集攻击目标信息:确定攻击目标并收集目标系统的有关信息。
- 目标系统一般信息:IP地址、DNS服务器、邮件服务器、网站服务器、操作系统软件类型及版本号、数据库软件类型及版本号、应用程序类型及版本号、系统开发商等
- 目标系统配置信息:是否禁止root远程登陆、缺省用户名/默认口令等
- 目标系统的安全漏洞信息:有漏洞的软件及服务
- 目标系统的安全措施信息:安全厂商、安全商品等
- 目标系统的用户信息:用户的邮件账号、社交网账号、手机号、电话号码、照片、爱好等个人信息
(3)挖掘漏洞信息:从收集到的目标信息中提取可使用的漏洞信息。
- 系统或应用软件漏洞
- 主机信任关系漏洞
- 目标网络的使用者漏洞
- 通信协议漏洞
- 网络业务系统漏洞
(4)获取目标访问权限:获取目标系统的普通或特权账户的权限。
获取系统管理权限通常有以下途径:
- 获得系统管理员口令,如针对root用户的口令攻击
- 利用系统管理上的漏洞,如错误的文件许可权/系统配置,缓冲区溢出等
- 诱使管理员运行特洛伊木马,如经篡改后的LOGIN程序等
- 窃听管理员口令
(5)隐藏攻击行为:隐蔽在目标系统中的操作,防止入侵行为被发现。
- 连接隐藏,如冒充其他用户、修改LOGNAME环境变量、修改utmp日志文件、使用IP SPOOF技术等
- 进程隐藏,如使用重定向技术减少ps给出的信息量、用特洛伊木马代替ps程序等
- 文件隐藏,如利用字符串相似麻痹系统管理员、修改文件属性使得普通显示方法无法看到、利用操作系统可加载模块的特性隐瞒攻击时产生的信息
(6)实施攻击:进行破坏活动或者以目标系统为跳板向其它系统发起新的攻击。
- 攻击其他被信任的主机和网络
- 修改删除重要数据
- 窃听敏感数据
- 停止网络服务
- 下载敏感数据
- 删除数据账号
- 修改数据记录
(7)开辟后门:在目标系统中开辟后门,方便以后入侵。
- 放宽文件许可权
- 重新开发不安全的服务
- 修改系统配置,如系统启动文件、网络服务配置文件等
- 替换系统本身的共享库文件
- 修改系统的源代码,安装各种特洛伊木马
- 安装嗅探器
- 建立隐蔽信道
(8)清除攻击行为:避免安全管理员的发现、追踪以及法律部门取证。
- 篡改日志文件中的审计信息
- 改变系统时间造成日志文件数据紊乱
- 删除或停止审计服务进程
- 干扰入侵检测系统的正常运行
- 修改完整性检测标签
3、网络攻击常见技术方法
3.1 端口扫描
目的是找出目标系统上提供的服务列表。
- 完全连接扫描:TCP三次握手建立完整连接,建立成功则端口开放。
- 半连接扫描:三次握手过程中只完成前两次握手,不建立完整连接。
- SYN扫描:向目标主机发送连接请求,目标主机返回响应后立即切断连接,若返回ACK信息,则该端口开放,若返回RESET信息,则端口关闭。
- ID头信息扫描:源主机向第三方主机连续PING数据包,查看返回的ID头(一般每个顺序数据包的ID头的值递增1)。主机假冒第三方主机向目标主机发送SYN数据包,若返回值为SYN|ACK,表示端口开启,若返回RST|ACK,则端口不开放,观测ID值,如果第三方主机返回给源主机的数据包里ID头的值不递增1,而是大于1,则说明目标主机端口开放;若ID值规律递增1,则说明目标主机端口关闭。
- 隐蔽扫描:能够成功绕过IDS、防火墙和监听系统等安全机制获取目标主机端口信息
- SYN|ACK扫描:直接向目标主机某个端口发送SYN|ACK数据包,如果返回RST,说明端口未开放;若无返回信息,则端口开放。
- FIN扫描:向目标主机某个端口发送FIN数据包,如果返回RST,说明端口未开放;若无返回信息,则端口开放。
- ACK 扫描:向目标主机发送FIN数据包,若返回数据包的TTL值<64或WIN值>0,则端口开放,反之端口关闭。
- NULL扫描:将源主机发送的数据包中的标志位全部置空,若返回RST,说明端口未开放;若无返回信息,则端口开放。
- XMAS扫描:将源主机发送的数据包中的标志位全部置1,若返回RST,说明端口未开放;若无返回信息,则端口开放。
3.2 口令破解
- 建立与目标网络服务的网络连接
- 选取一个用户列表文件及字典文件
- 在用户列表文件及字典文件中,选取一组用户和口令按网络服务协议规定,将用户名及口令发送给目标网络服务端口
- 检测远程服务返回信息,查看是否成功
- 重复循环,直至口令用户列表文件及字典文件选取完毕
3.3 缓冲区溢出(大题)
程序分配的内存空间叫缓冲区。从内存低端取数据,往内存高端放数据。
攻击者将特意构造的攻击代码植入有缓冲区溢出漏洞的程序之中,改变漏洞程序的执行过程,获得目标主机的控制权。
具体讲解缓冲区溢出的原理:(3条消息) 什么是缓冲区溢出?有什么危害?原因是什么?_Chackca的博客-CSDN博客_缓冲区溢出
3.4 恶意代码
常见的有计算机病毒、网络蠕虫、特洛伊木马、后门、逻辑炸弹、僵尸网络等。
3.5 拒绝服务
本质是消耗目标主机的大量资源,延长服务等待时间,使得计算机或网络无法正常工作。
包括:
- SYN Flood 同步包风暴/泛洪攻击
- UDP Flood
- Smurf攻击
- 垃圾邮件
- 消耗CPU和内存资源的拒绝服务攻击
- ping of death
- Teardrop Attack 泪滴攻击
- 分布式拒绝服务
3.6 网络钓鱼
假冒可信方提供网上服务,以欺骗手段获取个人敏感信息。
3.7 网络窃听
获取他人网络通信信息,例如网络嗅探、中间人攻击。
3.8 SQL注入
利用漏洞把SQL命令插入Web表单的插入域或页面的请求查找字符串,欺骗服务器执行恶意的SQL命令。
3.9 社交工程
通过社交会话,欺骗获取所需信息。
3.10 电子监听
采用电子设备远距离监视电磁波的传送过程。
3.11 会话劫持
一个用户合法登录主机后未切断主机,攻击者就可以趁机接管,使用该用户的所有权限。典型实例:TCP会话劫持。
3.12 漏洞扫描
3.13 代理技术
以代理服务器(肉鸡)作为攻击跳板,隐藏真实身份。
3.14 数据加密
4、黑客常用工具
4.1 扫描器
通过扫描器可以找到攻击目标的IP地址、开放端口、服务器运行版本、程序漏洞等
- NMAP(网络地图):可以检测到主机的开放端口号、主机操作系统类型及提供的网络服务
- Nessus:远程安全扫描器
- Super Scan:能较容易地对指定范围内的IP地址进行ping和端口扫描
4.2 远程监控
“控制肉鸡”
- 冰河
- 网络精灵
- Netcat
4.3 密码破解
- John the Ripper
- LOphtCrack
4.4 网络嗅探器
通过网络嗅探,黑客可以截获网络信息包,对加密的信息包进行破解,分析包内数据,获得信息
- Tcpdump/WireShark
- DSniff
4.5 安全渗透工具箱
- Metasploit
- BackTrack5
5、网络攻击案例
这个还是看书吧= =
码不动了实在是