网络攻防——网络攻击技术分类

听课笔记，课程《网络攻击与防御》

攻击分类方式：

• 攻击主动性
• 攻击位置
• 具体的攻击方法

一、攻击主动性

• 主动攻击：对被害者的消息进行更改或拒绝用户使用资源的攻击方式；

         包括：篡改信息、伪造信息、拒绝服务等

          篡改信息：一个合法消息的某些部分未经授权被改变、删除，或许消息被延迟、改变顺序等行为

          伪造：某个实体（人或系统）发出含有其他实体身份信息的数据信息，假扮成其他实体，从而以欺骗方式获取一些合法用户的权利和特权的行为；

          拒绝消息：即常说的DOS，该行为会导致对通讯设备正常使用或管理被无条件的中断，通常是对整个网络的破坏，已达到降低性能、中断服务的目的。

    目前，对抗主动攻击的手段是过滤与检测

• 被动攻击：攻击者不对数据信息做任何修改，但在未经授权用户同意或许可的情况下截取或窃听授权用户的信息或相关数据。通常包括窃听、流量分析等攻击方式。

     由于被动攻击不会对被攻击的信息做任何修改，难以检测，对抗这类攻击主要是预防

          使用虚拟专用网VPN技术、采用加密技术保护信息、以及使用交换式网络设备等

二、攻防位置

• 本地攻击：攻击者可以物理接触到被害者的主机，并对该主机实施攻击行为
• 远程攻击：攻击者通过网络对被害者进行攻击的行为包括：

       服务方攻击、客户端攻击、中间人攻击

1.  服务方攻击  ：攻击者对被害者主机的各种网络服务（如web、FTP、Telnet等）进行攻击的行为
2. 客户端攻击：攻击者对客户端应用程序（如浏览器、邮件接收程序、文字处理程序等）进行攻击的行为     
3. 中间人攻击：攻击者处于正常客户端与服务端通信链路中间的位置，进行窃听或篡改通信数据的行为 

三、具体的攻击方法

• SQL注入攻击：由于开发人员在构建代码时，没有对输入边界进行过滤或者过滤不足，导致攻击者能够通过注入点对后台数据库进行攻击的行为。

           例：strSQL = "SELECT * FROM users WHERE (name = '1'OR'1'='1')and(pw='1'OR'1'='1')"

              无论用户输入什么密码都将成功登录系统，SQL存在的注入点（注入漏洞）

• 跨站脚本攻击（XSS）：攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的漏洞，进而在网站的web页面中添加一些恶意代码，使别的用户访问该web页面时执行恶意代码，从而盗取用户资料或利用用户身份进行某种动作的一种攻击方式
• 拒绝服务攻击（DOS）
• SYN Flood攻击
• 欺骗攻击：一种冒充身份通过认证骗取信任的攻击方式

1.    IP欺骗：使用其他计算机的IP来骗取连接，获得信息或者得到特权
2.    ARP欺骗：利用ARP协议的缺陷，把自己伪装成“中间人”，效果明显，威力惊人
3.    电子邮件欺骗：电子邮件发送方地址的欺骗
4.    DNS欺骗：域名与IP地址转换过程中实现的欺骗
5.    Web欺骗：创造某个万维网网站的复制影像，从而达到欺骗网站用户目的的攻击

• 口令入侵：使用某些合法用户的账号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提：必须先得到该主机上的某个合法用户的账号，然后再进行合法用户口令的破译

         获得普通用户账号的方法：（1）利用目标主机的Finger功能，当用Finger命令查询时，主机系统会保存用户的资料（如用户名、登录时间等）显示在终端或计算机上（2）利用目标主机的X.500服务，有些主机没有关闭X.500的目录查询服务（3）从电子邮件地址中收集

• 密码破解：彩虹表是一个用于加密散列函数逆运算的预先计算好的表，为破解密码的散列值而准备
• 特洛伊木马：通常称为木马，恶意代码等，是指潜伏在电脑中，可受外部用户控制以窃取本机信息或者控制权的程序。

      木马程序带来的危害：（1）占用系统资源、降低电脑的性能（2）危害本机信息安全（3）将本机作为工具攻击其他的设备等

• 缓冲区溢出攻击：向固定长度的缓冲区中写入超出其预告分配长度的内容，造成缓冲区中数据的溢出，从而覆盖了缓冲区周围的内存空间

        缓冲区：包含相同数据类型实例的一个连续的计算机内存块，是程序运行期间在内存中分配的一个连续的区域，用于保存包括字符数组在内的各种数据类型。

        溢出：所填充的数据超出了原有的缓冲区边界

       攻击者借此精心构造的数据，导致原有的流程发生改变，让程序转而执行特殊的代码，最终获取系统的控制权，与其他的攻击类型相比，缓冲区溢出攻击不需要太多的先决条件，杀伤力很强，技术性强，更具有破坏力和隐蔽性。

• 缓冲区溢出攻击的隐蔽性主要体现在以下几个方面：

1. 首先，漏洞被发现之前，程序员一般是不会意识到自己的程序存在漏洞的（事实上，漏洞的发现者往往并非编写者），于是疏于监测；
2. 其次，被植入的攻击代码一般都很短，执行时间也非常短，很难在执行过程中被发现，而且其执行并不一定会使系统报告错误，并可能不影响正常程序的运行；
3. 第三，由于漏洞存在于防火墙内部的主机上，攻击者可以在防火墙内部堂而皇之地取得本来不被允许或没有权限的控制权；
4. 第四，攻击的随机性和不可预测性使得防御变得异常艰难，没有攻击时，被攻击程序本身并不会有什么变化，也不会存在任何异常的表现；
5. 最后，缓冲区溢出漏洞的普遍存在，针对它的攻击让人防不胜防（各种补丁程序也可能存在这种漏洞）