概述
概念
网络攻击是指损害网络系统安全属性的危害行为。常见的有四类:
-
信息泄露攻击
-
完整性破坏攻击
-
拒绝服务攻击
-
非法使用攻击
网络攻击由攻击者发起,使用一定的攻击工具(包括策略与方法),对目标网络系统进行(合法与非法)的攻击操作,来达到一定的攻击效果,以实现攻击者的预定意图。
模型
模型,指的是已经抽象的数学公式、一组逻辑序列或者一套方法论。
常见的几种模型有:
-
攻击树模型
基于软件故障树提出的概念,用AND-OR形式的树结构对目标进行网络安全威胁分析。很典型的逻辑步骤序列
-
MITRE ATT&CK模型
把攻击活动抽象为了以下几种,然后给出具体实现方式
-
初始访问(Inital Access)
-
执行(Execution)
-
持久化(Persistence)
-
特权提升(Privilege Escalation)
-
躲避防御(Defense Evasion)
-
凭据访问(Credential Access)
-
发现(Discovery)
-
横向移动(Lateral Movement)
-
收集(Collection)
-
指挥和控制(Command and Control)
-
外泄(Exfiltration)
-
影响(Impact)
-
-
网络杀伤链(Kill Chain)模型
将网络攻击活动分为以下七个阶段:
-
目标侦察
-
武器构造
-
载荷投送
-
漏洞利用
-
安装填入
-
指挥与控制
-
目标行动
-
发展
网络攻击具有以下变化趋势:
-
工具的智能化、自动化
-
攻击者群体的普适化
-
目标的多样化和隐蔽性
-
计算资源获取方便
-
活动持续性强化
-
攻击速度加快
-
攻击影响扩大
-
攻击主体组织化
一般过程
一般的,网络攻击过程可以归纳为以下几个步骤:
-
隐藏攻击源,隐藏黑客主机位置使得系统管理员无法追踪
-
收集攻击目标信息。
-
挖掘漏洞信息
-
获取目标访问权限
-
隐蔽攻击行为
-
实施攻击
-
开辟后门
-
清除攻击痕迹
1.隐藏攻击源
常用手段:
-
利用被侵入的主机作为跳板
-
免费代理网关
-
伪造IP地址
-
假冒用户账号
2.收集攻击目标信息
常常收集的目标系统信息有:
-
系统一般信息,如IP、DNS、邮件服务器、网站服务器、操作系统等
-
配置信息,主要有是否禁止root远程登陆、缺省用户名/默认口令等
-
安全漏洞信息,主要是目标系统的有漏洞的软件和服务
-
安全措施信息,主要是目标系统的安全厂商、产品等
-
用户信息
3.挖掘漏洞信息
常用方法有:
-
系统或应用服务软件的漏洞
-
主机信任关系漏洞
-
目标网络的使用者漏洞
-
通信协议漏洞
-
网络业务系统漏洞
4.获取目标访问权限
通常有以下途径:
-
获取系统管理员口令
-
利用系统管理上的漏洞,如错误的文件许可权,错误的系统配置,缓冲区溢出等
-
让系统管理员运行一些特洛伊木马,如经篡改之后的LOGIN程序等
-
窃听管理员口令
5.隐蔽攻击行为
常用到以下技术:
-
连接隐藏,如冒充其他用户、修改LOGNAME环境变量、修改utmp日志文件,使用IP SPOOF技术等
-
进程隐藏
-
文件隐蔽
6.实施攻击
实施攻击的目标可以归纳为:
-
攻击其他被信任的主机和网络
-
修改或删除重要数据
-
窃听敏感数据
-
停止网络服务
-
下载敏感数据
-
删除数据账号
-
修改数据记录
7.开辟后门
攻击者通常会考虑以下方法:
-
放宽文件许可权
-
重新开放不安全的服务,如REXD、TFTP等
-
修改系统配置
-
替换系统本身的共享库文件
-
修改系统的源代码,安装各种特洛伊木马
-
安装嗅探器
-
建立隐蔽信道
8.清除攻击痕迹
-
篡改日志中的审计信息
-
改变系统时间造成日志文件数据紊乱以迷惑系统管理员
-
删除或停止审计服务进程
-
干扰入侵检测系统的正常运行
-
修改完整性检测标签。
网络攻击常见的技术方法
端口扫描
程序挨个尝试与TCP/UDP端口连接,然后根据端口与服务的对应关系,结合服务器的反应来推断该端口是否开启、是否运行某项服务等。
-
完全连接扫描
-
半连接扫描
-
SYN扫描
-
ID头信息扫描
-
隐蔽扫描
-
SYN|ACK扫描
-
FIN扫描
-
ACK扫描
-
NULL扫描
-
XMAS扫描
口令破解
在以前,攻击者常常以破解用户的弱口令为突破口,来获取系统的访问权限。
在软件工具日渐发达的今天,一些远程网络服务的口令破解软件也开始出现,其主要工作流程如下:
-
建立链接
-
选取用户列表文件和字典文件
-
逐一将用户和口令发送给目标网络端口
-
判断是否成功
缓冲区溢出
恶意代码
拒绝服务
指利用系统缺陷,执行一些恶意操作,使得合法的系统用户无法及时得到应得的服务或系统资源,如CPU、存储、网络带宽等。
拒绝服务和其他攻击方式比较有几个特点:
-
难确认性
-
隐蔽性
-
资源有限性
-
软件复杂性
这举一些拒绝服务攻击:
-
同步包风暴(SYN Flood)
-
UDP洪水(UDP Flood)
-
Smurf攻击
-
垃圾邮件
-
消耗CPU和内存资源
-
死亡之ping
-
雷迪攻击
-
分布式拒绝服务攻击
网络钓鱼
通过假冒可官方,来欺骗客户以获取个人敏感信息。
网络窃听
SQL注入
社交工程
电子监听
会话劫持
漏洞扫描
代理技术
数据加密
DDoS攻击
DDos是分布式拒绝服务攻击的简称,攻击者为了提高拒绝服务攻击的成功率,通过控制成百上千台被入侵的主机,来集中对目标主机发动攻击。
整个攻击过程可以分为以下五个步骤:
-
通过探测扫描大量主机,寻找可以进行攻击和控制的目标
-
共计有安全漏洞的主机,并设法获取控制权
-
在以攻击成功的主机中安装客户端攻击程序
-
利用控制的主机继续进行扫描与攻击
-
共控制的客户端达到一定数目后,集中向特定目标进行攻击