信安-2.网络攻击原理与常用方法

概述

概念

网络攻击是指损害网络系统安全属性的危害行为。常见的有四类：

• 信息泄露攻击

• 完整性破坏攻击

• 拒绝服务攻击

• 非法使用攻击

网络攻击由攻击者发起，使用一定的攻击工具（包括策略与方法），对目标网络系统进行（合法与非法）的攻击操作，来达到一定的攻击效果，以实现攻击者的预定意图。

模型

模型，指的是已经抽象的数学公式、一组逻辑序列或者一套方法论。

常见的几种模型有：

• 攻击树模型

  基于软件故障树提出的概念，用AND-OR形式的树结构对目标进行网络安全威胁分析。很典型的逻辑步骤序列

• MITRE ATT&CK模型

  把攻击活动抽象为了以下几种，然后给出具体实现方式

  • 初始访问（Inital Access）

  • 执行（Execution）

  • 持久化（Persistence）

  • 特权提升（Privilege Escalation）

  • 躲避防御（Defense Evasion）

  • 凭据访问（Credential Access）

  • 发现（Discovery）

  • 横向移动（Lateral Movement）

  • 收集（Collection）

  • 指挥和控制（Command and Control）

  • 外泄（Exfiltration）

  • 影响（Impact）

• 网络杀伤链（Kill Chain）模型

  将网络攻击活动分为以下七个阶段：

  1. 目标侦察

  2. 武器构造

  3. 载荷投送

  4. 漏洞利用

  5. 安装填入

  6. 指挥与控制

  7. 目标行动

发展

网络攻击具有以下变化趋势：

1. 工具的智能化、自动化

2. 攻击者群体的普适化

3. 目标的多样化和隐蔽性

4. 计算资源获取方便

5. 活动持续性强化

6. 攻击速度加快

7. 攻击影响扩大

8. 攻击主体组织化

一般过程

一般的，网络攻击过程可以归纳为以下几个步骤：

1. 隐藏攻击源，隐藏黑客主机位置使得系统管理员无法追踪

2. 收集攻击目标信息。

3. 挖掘漏洞信息

4. 获取目标访问权限

5. 隐蔽攻击行为

6. 实施攻击

7. 开辟后门

8. 清除攻击痕迹

1.隐藏攻击源

常用手段：

• 利用被侵入的主机作为跳板

• 免费代理网关

• 伪造IP地址

• 假冒用户账号

2.收集攻击目标信息

常常收集的目标系统信息有：

• 系统一般信息，如IP、DNS、邮件服务器、网站服务器、操作系统等

• 配置信息，主要有是否禁止root远程登陆、缺省用户名/默认口令等

• 安全漏洞信息，主要是目标系统的有漏洞的软件和服务

• 安全措施信息，主要是目标系统的安全厂商、产品等

• 用户信息

3.挖掘漏洞信息

常用方法有：

1. 系统或应用服务软件的漏洞

2. 主机信任关系漏洞

3. 目标网络的使用者漏洞

4. 通信协议漏洞

5. 网络业务系统漏洞

4.获取目标访问权限

通常有以下途径：

• 获取系统管理员口令

• 利用系统管理上的漏洞，如错误的文件许可权，错误的系统配置，缓冲区溢出等

• 让系统管理员运行一些特洛伊木马，如经篡改之后的LOGIN程序等

• 窃听管理员口令

5.隐蔽攻击行为

常用到以下技术：

• 连接隐藏，如冒充其他用户、修改LOGNAME环境变量、修改utmp日志文件，使用IP SPOOF技术等

• 进程隐藏

• 文件隐蔽

6.实施攻击

实施攻击的目标可以归纳为：

• 攻击其他被信任的主机和网络

• 修改或删除重要数据

• 窃听敏感数据

• 停止网络服务

• 下载敏感数据

• 删除数据账号

• 修改数据记录

7.开辟后门

攻击者通常会考虑以下方法：

• 放宽文件许可权

• 重新开放不安全的服务，如REXD、TFTP等

• 修改系统配置

• 替换系统本身的共享库文件

• 修改系统的源代码，安装各种特洛伊木马

• 安装嗅探器

• 建立隐蔽信道

8.清除攻击痕迹

• 篡改日志中的审计信息

• 改变系统时间造成日志文件数据紊乱以迷惑系统管理员

• 删除或停止审计服务进程

• 干扰入侵检测系统的正常运行

• 修改完整性检测标签。

网络攻击常见的技术方法

端口扫描

程序挨个尝试与TCP/UDP端口连接，然后根据端口与服务的对应关系，结合服务器的反应来推断该端口是否开启、是否运行某项服务等。

• 完全连接扫描

• 半连接扫描

• SYN扫描

• ID头信息扫描

• 隐蔽扫描

• SYN|ACK扫描

• FIN扫描

• ACK扫描

• NULL扫描

• XMAS扫描

口令破解

在以前，攻击者常常以破解用户的弱口令为突破口，来获取系统的访问权限。

在软件工具日渐发达的今天，一些远程网络服务的口令破解软件也开始出现，其主要工作流程如下：

1. 建立链接

2. 选取用户列表文件和字典文件

3. 逐一将用户和口令发送给目标网络端口

4. 判断是否成功

缓冲区溢出

恶意代码

拒绝服务

指利用系统缺陷，执行一些恶意操作，使得合法的系统用户无法及时得到应得的服务或系统资源，如CPU、存储、网络带宽等。

拒绝服务和其他攻击方式比较有几个特点：

1. 难确认性

2. 隐蔽性

3. 资源有限性

4. 软件复杂性

这举一些拒绝服务攻击：

• 同步包风暴（SYN Flood）

• UDP洪水（UDP Flood）

• Smurf攻击

• 垃圾邮件

• 消耗CPU和内存资源

• 死亡之ping

• 雷迪攻击

• 分布式拒绝服务攻击

网络钓鱼

通过假冒可官方，来欺骗客户以获取个人敏感信息。

网络窃听

SQL注入

社交工程

电子监听

会话劫持

漏洞扫描

代理技术

数据加密

DDoS攻击

DDos是分布式拒绝服务攻击的简称，攻击者为了提高拒绝服务攻击的成功率，通过控制成百上千台被入侵的主机，来集中对目标主机发动攻击。

整个攻击过程可以分为以下五个步骤：

1. 通过探测扫描大量主机，寻找可以进行攻击和控制的目标

2. 共计有安全漏洞的主机，并设法获取控制权

3. 在以攻击成功的主机中安装客户端攻击程序

4. 利用控制的主机继续进行扫描与攻击

5. 共控制的客户端达到一定数目后，集中向特定目标进行攻击