探测攻击
侦察是信息收集。这类似于小偷通过假装卖东西挨家挨户调查邻居。小偷实际上正在做的事情是寻找容易受到伤害的房屋,例如空置的房屋,带有易于打开的门或窗户的房屋以及那些没有安全系统或监控摄像头的房屋。
威胁参与者使用侦察(或侦察)攻击对系统,服务或漏洞进行未经授权的发现和映射。侦察攻击先于访问攻击或DoS攻击。
下表描述了恶意威胁参与者进行侦察攻击所使用的一些技术。
技术 | 描述 |
---|---|
执行目标信息查询 | 威胁参与者正在寻找有关目标的初始信息。可以使用各种工具,包括Google搜索,组织网站,whois等。 |
目标网络的ping扫描 | 信息查询通常会显示目标的网络地址。威胁参与者现在可以发起ping扫描以确定哪些IP地址处于活动状态。 |
启动活动IP地址的端口扫描 | 这用于确定哪些端口或服务可用。端口扫描程序的示例包括Nmap,SuperScan,Angry IP扫描程序和NetScanTools。 |
运行漏洞扫描程序 | 这是查询已标识的端口,以确定主机上运行的应用程序和操作系统的类型和版本。工具的示例包括Nipper,Secuna PSI,Core Impact,Nessus v6,SAINT和Open VAS。 |
运行开发工具 | 威胁参与者现在尝试发现可以利用的易受攻击的服务。存在多种漏洞利用工具,包括Metasploit,Core Impact,Sqlmap,Social Engineer Toolkit和Netsparker。 |
访问攻击
访问攻击利用了身份验证服务,FTP服务和Web服务中的已知漏洞。这些攻击的目的是获得对Web帐户,机密数据库和其他敏感信息的输入。
威胁参与者使用对网络设备和计算机的访问攻击来检索数据,获取访问权限或将访问权限提升为管理员身份。
密码攻击
在密码攻击中,威胁参与者尝试使用各种方法发现关键的系统密码。密码攻击非常普遍,可以使用多种密码破解工具来启动。
欺骗攻击
在欺骗攻击中,威胁参与者设备试图通过伪造数据来伪装成另一个设备。常见的欺骗攻击包括IP欺骗,MAC欺骗和DHCP欺骗。
其他访问攻击包括:
信任利用
在信任利用攻击中,威胁参与者使用未经授权的特权来访问系统,这可能会损害目标。单击图中的“播放”以查看信任利用的示例。
端口重定向
在端口重定向攻击中,威胁行为者使用受损的系统作为攻击其他目标的基础。图中的示例显示了威胁者使用SSH(端口22)连接到受感染的主机A。主机A受主机B信任,因此,威胁者可以使用Telnet(端口23)对其进行访问。
中间人攻击
在中间人攻击中,威胁参与者位于两个合法实体之间,以便读取或修改在两方之间传递的数据。该图显示了中间人攻击的示例。
缓冲区溢出攻击
在缓冲区溢出攻击中,威胁参与者会利用缓冲区内存,并以意外的值将其淹没。这通常会使系统无法运行,从而造成DoS攻击。该图显示了威胁参与者正在向受害者发送许多数据包,以试图使受害者的缓冲区溢出。
社会工程学攻击
社会工程是一种访问攻击,试图操纵个人执行操作或泄露机密信息。一些社交工程技术是亲自执行的,而其他则可能使用电话或互联网。
社会工程师经常依靠人们愿意提供帮助。他们还捕食人们的弱点。例如,威胁参与者可能会致电需要立即访问网络的紧急问题来呼叫授权员工。威胁参与者可以诉诸员工的虚荣心,使用掉名技术来调用权限,或诉诸员工的贪婪。
下表显示了有关社会工程技术的信息。
社会工程工具包(SET)旨在帮助白帽黑客和其他网络安全专业人员创建社会工程攻击以测试自己的网络。
企业必须教育其用户有关社会工程风险的知识,并制定策略以通过电话,通过电子邮件或亲自验证身份。
该图显示了所有用户都应遵循的建议做法。
DoS和DDoS攻击
拒绝服务(DoS)攻击会对用户,设备或应用程序造成某种形式的网络服务中断。DoS攻击有两种主要类型:
- 压倒性的流量 -威胁参与者以网络,主机或应用程序无法处理的速率发送大量数据。这导致传输和响应时间变慢。它还可能使设备或服务崩溃。
- 格式错误的数据包 -威胁执行者将恶意格式的数据包发送到主机或应用程序,接收者无法处理它。这导致接收设备运行非常缓慢或崩溃。
Dos攻击
DoS攻击是主要风险,因为它们会中断通信并造成大量时间和金钱损失。即使没有熟练的威胁参与者,这些攻击也相对容易实施。
DDoS攻击
分布式DoS攻击(DDoS)与DoS攻击类似,但是它来自多个协调的来源。例如,威胁参与者建立了被感染主机的网络,称为僵尸。威胁参与者使用命令和控制(CnC)系统向僵尸发送控制消息。僵尸会不断扫描bot恶意软件并感染更多主机。该Bot恶意软件旨在感染主机,使其成为可以与CnC系统通信的僵尸。僵尸的集合称为僵尸网络。准备就绪后,威胁参与者会指示CnC系统使僵尸僵尸网络进行DDoS攻击。