信息安全工程师备考笔记
网络攻击概述
网络攻击概念
网络攻击是指损害网络系统安全属性的危害行为,常见的危害行为有以下四种:
- 信息泄露攻击
- 完整性破坏攻击
- 拒绝服务攻击
- 非法使用攻击
攻击者 | 攻击工具 | 攻击访问 | 攻击效果 | 攻击意图 |
---|---|---|---|---|
黑客、间谍、恐怖主义者、公司职员、职业犯罪分子、破坏者 | 用户命令、脚本或程序、自治主体、电磁泄露 | 本地访问、远程访问 | 破坏信息、信息泄密、窃取服务、拒绝服务 | 挑战、好奇、获取情报、经济利益、恐怖事件、报复 |
网络攻击模型
攻击树模型
MITRE ATT&CK模型
- Initial Access(初始访问):通过各种手段尝试访问目标的系统
- Execution(执行):命令执行、软件执行
- Persistence(持久化):使目标长时间处于攻击者受控状态,就算目标进行重启、修改密码等操作也无法摆脱控制
- Privilege Escalation(权限提升):提升到高权限用户,例如root
- Defense Evasion(防御绕过):绕过安全设备的检查
- Credential Access(凭据访问):通过各种方式尝试拿到目标的凭据,通过凭据直接访问系统,例如暴力破解账号密码、用户输入捕获等
- Discovery(发现):发现各种信息,例如系统版本、用户账号、服务探测、进程扫描、注册表扫描等。其实感觉用探测来描述更为贴切?
- Lateral Movement(横向移动):入侵者单点突破系统后尝试通过网络横向移动,来达到控制更多主机,获取更多信息的目的
- Collection(收集):收集各种数据,例如用户数据、邮件数据、图片数据、数据库、视频等。
- Command and Control(命令和控制):入侵者使用各种手段对目标进行远程控制
- Exflitration(外泄):数据转移,数据泄露
- Impact(影响):对目标进行一些破坏性操作,例如清空磁盘、停止服务、关闭/重启系统、去除正常用户权限、数据加密等等
网络杀伤链模型
目标侦察、武器构造、载荷投送、漏洞利用、安装植入、指挥和控制,目标行动
网络攻击发展
- 网络攻击工具智能化、自动化
- 网络攻击者群体普适化
- 网络攻击者目标多样化和隐蔽性
- 网络攻击计算资源获取方便
- 网络攻击活动持续性强化
- 网络攻击速度加快
- 网络攻击影响扩大
- 网络攻击主体组织化
网络攻击一般过程
隐藏攻击源
攻击者常用以下技术隐藏真实IP或域名:
- 利用被侵入的主机作为跳板
- 免费代理网关
- 伪造IP地址
- 假冒用户账号
收集攻击目标信息
- 一般信息
- 配置信息
- 安全漏洞信息
- 安全措施信息
- 用户信息
挖掘漏洞信息
- 系统或应用服务软件漏洞
- 主机信任关系漏洞
- 目标网络的使用者漏洞
- 通信协议漏洞
- 网络业务系统漏洞
获取目标访问权限
- 获取系统管理员的口令
- 利用系统管理上的漏洞
- 特洛伊木马
- 窃听管理员口令
隐蔽攻击行为
- 连接隐藏
- 进程隐藏
- 文件隐蔽
实施攻击
- 攻击其他被信任的主机和网络
- 修改或删除重要数据
- 窃听敏感数据
- 停止网络服务
- 下载敏感数据
- 删除数据账号
- 修改数据记录
开辟后门
攻击者设计后门时通常考虑以下方法:
- 放宽文件许可权
- 重新开发不安全的服务
- 修改系统的配置
- 替换系统本身的共享库文件
- 修改系统的源代码
- 安装嗅探器
- 建立隐蔽信道
清除攻击痕迹
- 篡改日志文件中的审计信息
- 改变系统时间造成日志文件数据紊乱以迷惑系统管理员
- 删除或停止审计服务进程
- 干扰入侵检测系统的正常允许
- 修改完整性检测标签
网络攻击常见技术方法
端口扫描
- 完全连接扫描
- 半连接扫描
- SYN扫描
- ID头信息扫描
- 隐蔽扫描
- SYN|ACK扫描
- FIN扫描
- ACK扫描
- NULL扫描
- XMAS扫描
口令破解
缓冲区溢出
恶意代码
拒绝服务
- 同步包分包
- UDP洪水
- Smurf攻击
- 垃圾邮件
- 消耗CPU和内存资源的拒绝服务攻击
- 死亡之ping
- 泪滴攻击
- 分布式拒绝服务攻击