常见的网络攻击技术及其原理
一、网络攻击的一般步骤
1.确定攻击目标
常见的攻击目的
破坏型 :只破坏攻击目标,使之不能正常工作,而不能随意控制目标上的系统运行。
入侵型 :要获得一定的权限才能达到控制攻击目标的目的。
2.信息收集
信息收集的主要方法:
1.利用公开信息服务收集信息
2.通过主机扫描与端口扫描收集系统信息
3.通过操作系统探测与应用程序类型识别收集系统与应用程序信息
3.获取用户的权限
获取用户权限的主要方法:
1.口令攻击
2.缓冲区溢出
3.脚本攻击等
4.安装后门
主要方法:
通过上传木马实现对目标的控制
5.扩大影响
1.使用远程方式攻击
2.使用局域网内部攻击所特有的嗅探、假消息攻击等方法实施攻击
6.清除痕迹
清除痕迹的主要方法:
1.Rootkit隐藏
2.系统安全日志清除
3.应用程序日志清除
二、攻击前奏
1.确定攻击目标
2.为后继攻击做准备:进行信息收集
| 信息收集的方式 | ||||
|---|---|---|---|---|
| 主动 | 被动 | |||
| 定义 | 与渗透目标发生大量的交互行为从而获取信息的行为,比如网络扫描 | 与渗透目标不发生交互或者极少的交互,通过第三方工具进行信息收集,比如Google搜索 | ||
| 特点 | 能够获取更多的信息,但是目标主机可能会记录你的操作记录 | 收集的信息相对较少,但是你的行动并不会被目标主机发现 | ||
2.1、信息收集的四个阶段
1.网络踩点
在攻击前通过网络搜索来获取目标公开信息的一种手段
(1)web信息搜索与挖掘:
主要是通过搜索引擎来对目标组织和个人的大量公开或意外泄露的web信息进行搜索和挖掘。
(2)DNS与IP查询:
通过DNS查询能够获取网站的注册信息,而IP查询则能获取目标的地理位置等敏感信息。
2.网络扫描
网络扫描根据对方服务所采用的协议,在一定时间内,通过自身系统对对方协议进行特定读取、猜想验证、恶意破坏,并将对方直接或间接的返回数据作为某项指标的判断依据。
网络扫描的主要功能
扫描目标主机识别其工作状态(开/关机)
识别目标主机端口的状态(监听/关闭)
识别目标主机操作系统的类型和版本
识别目标主机服务程序的类型和版本
常见的网路扫描技术
(1)TCP Connect Scan(TCP连接扫描):
也称为全连接扫描。它是一种利用TCP协议的完整的3次握手过程进行端口扫描的技术。操作系统提供的“connect()”连接函数完成系统调用,用来与目标计算机的端口进行连接。如果端口处于侦听状态,那么就能连接成功;否则,连接失败。
TCP连接扫描技术优点:
1.不需要任何权限,系统中的任何用户都有权利使用这个调用
2.实现简单,稳定可靠
TCP连接扫描技术缺点:
1.扫描方式不稳定
2.很容易被发现
(2)TCP SYN Scan(TCP同步序列号扫描)
又称为“半连接扫描”,也称为“间接扫描”或“半开式扫描”。它是一种利用TCP协议但不是完整的3次握手过程来进行端口扫描技术。扫描主机向目标主机的选择端口发送SYN包,如果应答是RST,那么,说明端口是关闭的,按照设定继续探听其他端口;如果应答中包含SYN和ACK,说明目标端口处于监听状态。此时已完成两次握手,但在第三次握手前,扫描主机中断本次连接,使连接没有完全建立起来。
TCP连接扫描技术优点:
不容易被发现
TCP连接扫描技术缺点:
在大部分操作系统中,发送主机需要构造适用于这种扫描的IP包,通常情况下,构造SYN数据包需要超级用户或者得到授权的用户,才能访问专门的系统调用
(3)TCP FIN Scan(TCP结束标志扫描)
也称为隐蔽扫描。这种扫描方式不依赖于TCP的3次握手过程,而是依靠TCP连接的“FIN”(即结束)位标志。其原理是扫描主机向目标主机某端口发送一个带有FIN标志的数据包,如果目标主机端口未开,则会回应一个RST的连接复位数据报;而开放的端口则会对这种可疑的数据报不加理睬,将它丢弃。因此可以根据是否收到RST数据报来判断对方的端口是否开放。
优点:隐蔽,不易被目标系统的日志机制,扫描监测和入侵检测系统捕获。
缺点:1.要判断对方端口是否开放必须等待超时,增加了探测时间,而且容易得出错误的结论;2.一些系统并没有严格遵循TCP协议标准,最典型的就是windows系列操作系统,该系列系统一旦收到这样的数据报,无论端口是否开放都会回应一个RST连接复位数据报,这样一来,这种扫描方案对于这类操作系统是无效的。
FIN扫描的两个变种:
1.TCP Xmas Tree Scan (TCP圣诞树扫描)
发送一个设置了FIN,URG(紧急)和PUSH(弹出)标志位的数据包
2.TCP Null Scan(TCP空扫描)
发送一个不包含任何标志位的数据包
(4)UDP协议扫描
1.秘密扫描
特点:利用UDP端口关闭时返回的ICMP信息,不包含标准的TCP三次握手协议的任何部分,隐蔽性好。
(5)ICMP扫描
如果接收到的数据包协议出现了错误,那么接收端将产生一个“Destination Unreachable”(目标主机不可达)ICMP的错误报文。
如果向目标主机发送一个特殊IP数据包,比如异常的IP头长度,目标主机将返回“Parameter Problem”(参数有问题)的ICMP错误报文
3.网络查点
根据网络扫描的结果进一步地对目标主机的服务以及系统版本等信息进行更具针对性的检测,来寻找真正可以攻击的入口,以及攻击过程中可能需要的关键数据。
(1) 服务判定
根据端口判定
23端口对应telnet
21端口对应ftp
80端口对应http
(2) 网络服务旗标(banner)抓取技术
(3) 操作系统指纹识别技术
| 指纹识别技术 | ||||
|---|---|---|---|---|
| 主动 | 被动 | |||
| 定义 | 主动往远程主机发送数据包并对相应的响应进行分析的过程,使扫描器在更短的时间内获得比被动扫描更准确的结果 | 获取目标主机发过来的数据包并对其进行分析的一种方法 | ||
4.网络监听
网络监听技术又叫做网络嗅探技术。是一种在他方未察觉的情况下捕获其通信报文,并分析获得的数据包从而获得一些敏感信息的技术。
网络监听的工作原理:
利用网卡混杂模式接受一切所能接受的数据,从而捕获数据包,分析数据包,达到网络监听的目的。
| 网络监听工具(嗅探器) | |||
|---|---|---|---|
| 硬件 | 软件 | ||
| 网络分析仪 | https://blog.csdn.net/xyw591238/article/details/51802504 | ||
网络监听技术按照网络类型主要分为:
1.基于共享式局域网的监听技术
监听者通过网卡获取同属于一个共享式局域网中所有其他主机发送的数据包的技术
2.基于交换式局域网的监听技术
监听者通过欺骗等方式获取同属于一个局域网中其他主机发送的数据的技术
三、实施攻击
1.口令攻击
口令的作用就是向系统提供唯一标识个体身份的机制,只给个体所需要信息的访问权,从而达到保护敏感信息和个人隐私的作用
获得口令的思路
穷举方式:最容易想到的方法
设法找到存放口令的文件并破解
通过其它途径如网络嗅探、键盘记录器等获取口令
具体攻击方式:
词典攻击、强行攻击以及组合攻击
2.缓冲区溢出攻击
缓冲区:包含相同数据类型实例的一个连续的计算机内存块,是程序运行期间在内存中分配的一个连续的区域,用于保存包括字符数组在内的各种数据类型
溢出:所填充的数据超出了原有的缓冲区边界
缓冲区溢出:
向固定长度的缓冲区中写入超出其预告分配长度的内容,造成缓冲区中数据的溢出,从而覆盖了缓冲区周围的内存空间
缓冲区溢出漏洞攻击的危害:
1.导致程序运行失败、系统崩溃以及重新启动
2.利用缓冲区溢出执行非授权指令,甚至取得系统特权,进而进行各种非法操作
缓冲区溢出攻击一般有三个步骤:
1.构造需要执行的代码shellcode,并将其放到目标系统的内存
2.获得缓冲区的大小和定位溢出点ret的位置
3.控制程序跳转,改变程序流程
3.木马攻击
木马,又称为特洛伊木马,在计算机网络系统中,指系统中被植入的、人为设计的程序,目的在于通过网络远程控制其他用户的计算机,窃取信息资料,并可致使目标系统瘫痪
| 木马植入技术 | |||
|---|---|---|---|
| 主动植入 | 被动植入 | ||
| 攻击者主动将木马程序种到本地或者是远程主机上,这个行为过程完全由攻击者主动掌握 | 攻击者预先设置某种环境,然后被动等待目标系统用户的某种可能的操作,只有这种操作执行,木马程序才有可能被植入目标系统 | ||
4.欺骗攻击
5.拒绝服务攻击
6.web攻击
4225
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
