“知己知彼,百战不殆”
一、网络攻击概念
指损害网络系统安全属性的危害行为。危害行为导致网络系统的机密性、完整性、可用性、可控性、真实性、抗抵赖性受到不同程度的破坏。常见危害行为有四个基本类型:
- 信息泄露攻击
- 完整性破坏攻击
- 拒绝服务攻击
- 非法使用攻击
(任何攻击最终都可以归纳为对机密性、完整性、可用性、可控性、真实性、抗抵赖性中一个或多个属性的破坏)
二、攻击模型
2-1 攻击树模型
起源:故障树分析方法,Schneier提出。
概述:树的根节点表示最终目标, 子节点表示实现该目标的子目标,层层细化,叶子节点表示不可分解的原子攻击,从根节点到叶子节点的路径表示实现目标的一个完整攻击流程。节点之间关系有“与(AND)”“或(OR)”
评价:(优)专家头脑风暴,能够进行费效分析或者概率分析,建模复杂攻击场景;(缺)不能建模多重尝试攻击、时间依赖及访问控制场景,不能建模循环事件,难以处理大规模网络
(费效分析:工程经济学,研究如何使工程技术方案或投资项目取得最佳经济效果的一种科学的评价体系)
2-2 Kill Chain模型
目标侦查-武器构造-载荷投送-漏洞利用-安装植入-指挥与控制-目标行动
2-3 MITRE ATT&CK
起源:MITRE起源于MIT,由NIST资助;
概述:ATT&CK是“对抗战术、技术和常识”框架,是由攻击者在攻击企业时会利用的12种战术和244种企业技术组成的精选知识库(APT热门技术)
初始访问-执行-持久化-特权提升-躲避防御-凭据访问-发现-横向移动-收集-智慧和控制-外泄-影响
三、网络攻击一般过程
1、隐藏攻击源:
隐藏攻击源,核心是隐藏攻击者IP地址和域名
隐藏技术:
- 利用被侵入的主机作为跳板
- 免费代理网关
- 伪造IP地址
- 假冒用户账号
2、收集攻击目标信息
确定目标:
- 针对性攻击:已经确定了攻击目标,专门收集该目标的信息
- 破坏性攻击:先大量收集网上主机信息,再根据系统脆弱性确定目标
收集信息:
- 一般信息(IP、DNS、邮件服务器、OS、DB等类型、版本、开发商等)
- 配置信息(远程登录、缺省口令)
- 安全漏洞信息
- 安全措施信息(安全厂商、安全产品)
- 用户信息(账号、手机、固话、照片)
3、挖掘漏洞信息
- 系统或应用服务软件漏洞
- 主机信任关系漏洞
- 目标网络的使用者漏洞
- 通信协议漏洞
- 网络业务系统漏洞
4、获取目标访问权限
提权(获取管理账户权限):
- 获得系统管理员口令
- 利用系统管理上的漏洞
- 让系统管理员运行木马
- 窃听管理员口令
5、隐蔽攻击行为
- 连接隐藏
- 进程隐藏
- 文件隐藏
6、实施攻击
- 攻击其他被信任的主机和网络
- 修改或删除重要数据
- 窃听敏感数据
- 停止网络服务
- 下载敏感数据
- 删除数据账号
- 修改数据记录
7、开辟后门
- 放宽文件许可权
- 重新开放不安全服务
- 修改系统配置
- 替换系统本身共享库代码
- 修改系统源代码,安装木马
- 安装嗅探器
- 建立隐蔽信道
8、清除攻击痕迹
- 篡改日志文件中的审计信息
- 改变系统时间造成日志文件数据紊乱
- 删除或停止审计服务进程
- 干扰入侵检测系统运行
- 修改完整性检测标签
四、网络攻击发展
- 网络攻击工具智能化、自动化(红色代码、永恒之蓝、冲击波)
- 网络攻击者群体普适化(技术滥用)
- 网络攻击目标多样化和隐蔽性(协议、路由、设备、域名、安全设备、物理环境)
- 网络攻击计算资源获取方便(云、僵尸)
- 网络攻击活动持续性强化(APT:方程式、海莲花)
- 网络攻击速度加快
- 网络攻击影响扩大(网络空间-基础设施)
- 网络攻击主体组织化(震网)
五、网络攻击常见技术方法
- 端口扫描(完全连接扫描、半连接扫描、SYN扫描、ID头信息扫描、隐蔽扫描、SYN|ACK扫描、FIN扫描、ACK扫描、NULL扫描、XMAS扫描)
- 口令破解(弱口令、口令字典)
- 缓冲区溢出
- 恶意代码
- 拒绝服务(①难确认性 ②隐蔽性 ③资源有限性 ④软件复杂性)
- 网络钓鱼(假冒可信方)
- 网络窃听(杂乱模式)
- SQL注入
- 社交工程(社会工程)
- 电子监听(电磁波)
- 会话劫持(中间人)
- 漏洞扫描
- 代理技术
- 数据加密
六、常用工具
- 扫描器(种类:地址扫描器、端口扫描器、漏洞扫描器;经典软件:Nmap、Nessus、SuperScan;)
- 远程监控(模式:控制端-受控端“肉鸡”;经典软件:冰河、网络精灵)
- 密码破解(方式:口令猜测、穷举搜索、撞库;经典软件:John the Ripper、LOphtCrack)
- 网络嗅探器(经典软件:Tcpdump/Wireshark、Dsniff)
- 安全渗透工具箱(Metasploit、BackTrack5)