2.1 网络攻击概述
网络攻击是指损害网络系统安全属性的危害行为。
(选择题)
常见的危害行为有四个基本类型:
(1) 信息泄露攻击;
(2) 完整性破坏攻击;
(3) 拒绝服务攻击;
(4) 非法使用攻击。
(选择题,要明确攻击者对应的攻击意图)
攻击树的优点:能够采取专家头脑风暴法,并且将这些意见融合到攻击树中去;能够进行费效分析或者概率分析;能够建模非常复杂的攻击场景。
攻击树的缺点:由千树结构的内在限制,攻击树不能用来建模多重尝试攻击、时间依赖及访问控制等场景;不能用来建模循环事件;对千现实中的大规模网络,攻击树方法处理起来将会特别复杂。
2.2 网络攻击一般过程
(了解,但要知道次序)
2.3 网络攻击常见技术方法(重点)
端口扫描的目的是找出目标系统上提供的服务列表。
原理:端口扫描程序挨个尝试与 TCP/UDP端口连接,然后根据端口与服务的对应关系,结合服务器端的反应推断目标系统上是否运行了某项服务,攻击者通过这些服务可能获得关千目标系统的进一步的知识或通往目标系统的途径。
根据端口扫描利用的技术,扫描可以分成多种类型:
- 完全连接扫描
- 半连接扫描
- SYN 扫描
- ID 头信息扫描
- 隐蔽扫描
- SYNIACK 扫描
- FIN 扫描
- ACK 扫描
- NULL 扫描
- .XMAS 扫描
完全连接扫描利用 TCP/IP 协议的三次握手连接机制,使源主机和目的主机的某个端口建立一次完整的连接。如果建立成功,则表明该端口开放。否则,表明该端口关闭。
半连接扫描是指在源主机和目的主机的三次握手连接过程中,只完成前两次握手,不建立一次完整的连接。
SYN 扫描首先向目标主机发送连接请求,当目标主机返回响应后,立即切断连接过程,并查看响应情况。如果目标主机返回 ACK 信息,表示目标主机的该端口开放。如果目标主机返回 RESET信息,表示该端口没有开放。
ID 头信息扫描
隐蔽扫描是指能够成功地绕过 IDS 、防火墙和监视系统等安全机制,取得目标主机端口信息的一种扫描方式。
SYNIACK 扫描由源主机向目标主机的某个端口直接发送 SYNIACK 数据包,而不是先发送 SYN 数据包。
FIN 扫描 源主机向目标主机 发送 FIN 数据包,然后查看反馈信息。如果端口返回 RESET 信息,则说明该端口关闭。如果端口没有返回任何信息,则说明该端口开放。
ACK 扫描首先由主机A向目标主机B发送 FIN 数据包,然后查看反馈数据包的 TTL 值和 WIN 值。
开放端口所返回的数据包的 TTL 值一般小于 64, 而关闭端口的返回值一般大于 64 。
开放端口所返回的数据包的 WIN 般大于 0, 而关闭端口的返回值一般等于0。
NULL 扫描将源主机发送的数据包中的 ACK FIN RST SYN URG PSH 等标志位全部置空。
如果目标主机没有返回任何信息,则表明该端口是开放的。如果返回 RST 信息,则表明该端口是关闭的。
XMAS 扫描的原理和 NULL 扫描相同,只是将要发送的数据包中的 ACK FIN RST SYN URG PSH 等头标志位全部置成1 。
如果目标主机没有返回任何信息,则表明该端口是开放的。
如果返回 RST 信息,则表明该端口是关闭的。
口令机制是资源访问控制的第一道屏障。网络攻击者常常以破解用户的弱口令为突破口,获取系统的访问权限。
(背诵,记熟)
口令破译软件,其主要工作流程:
(重要)
缓冲区溢出原理:通过往程序的缓冲区写超出其长度的内容,造成缓冲区溢出,从而破坏程序的堆栈,使程序转而执行其他预设指令。
恶意代码是网络攻击常见的攻击手段。常见的恶意代码类型有计算机病毒、网络蠕虫、特洛伊木马、后门、逻辑炸弹、僵尸网络等。
(选择题)
拒绝服务攻击的方式:
实质上就两种:
1、服务器的缓冲区满,不接受新的请求。
2、IP欺骗迫使服务器把合法用户的连接复位,影响合法用户连接,也是dos攻击实施的基本思想。
网络钓鱼 (Phishing) 种通过假冒可信方(知名银行、在线零售商和信用卡公司等可信的品牌)提供网上服务,以欺骗手段获取敏感个人信息(如口令、信用卡详细信息等)的攻击方式。
网络窃听是指利用网络通信技术缺陷,使得攻击者能够获取到其他人的网络通信信息。常见的网络窃听技术手段主要有网络嗅探、中间人攻击。网络攻击者将主机网络接口的方式设成“杂乱”模式,就可以接收整个网络上的信息包,从而可以获取敏感的口令,甚至将其重组,还原为用户传递的文件。
SQL 注人:Web 服务中,一般采用三层架构模式:浏览器+Web 服务器+数据库。 Web脚本程序的编程漏洞,对来自浏览器端的信息缺少输入安全合法性检查,网络攻击者利用这种类型的漏洞== 把SQL 命令插入 Web 表单的输入域或页面的请求查找字符串,欺骗服务器执行恶意的 SQL 命令==。
社交工程:网络攻击者通过一系列的社交活动,获取需要的信息。
电子监听:网络攻击者采用电子设备远距离地监视电磁波的传送过程。
会话劫持是指攻击者在初始授权之后建立一个连接,在会话劫持以后,攻击者具有合法用户的特权权限。典型的实例是 “TCP 会话劫持“。
漏洞扫描是一种自动检测远程或本地主机安全漏洞的软件,通过漏洞扫描器可以自动发现系统的安全漏洞。常见的漏洞扫描技术有 CGI 漏洞扫描、弱口令扫描、操作系统漏洞扫描、数据库漏洞扫描等。
网络攻击者通过免费代理服务器进行攻击,其目的是以代理服务器为“攻击跳板”,即使攻击目标的网络管理员发现了,也难以追踪到网络攻击者的真实身份或 IP 地址。例如 DDoS 攻击。
网络攻击者常常采用数据加密技术来逃避网络安全管理人员的追踪。攻击者的安全原则是,任何与攻击有关的内容都必须加密或者立刻销毁。
2.4 黑客常用工具
(选择题)
根据不同的扫描目的,扫描类软件又分为地址扫描器、端口扫描器、漏洞扫描器三个类别。
远程监控实际上是在受害机器上运行一个代理软件,而在黑客的电脑中运行管理软件,受害机器受控于黑客的管理端。
密码破解是安全渗透常用的工具,常见的密码破解方式有口令猜测、穷举搜索、撞库等。口令猜测主要针对用户的弱口令。密码破解工具大多数是由高级黑客编写出来的,供初级黑客使用的现成软件,使用者只要按照软件的说明操作就可以达到软件的预期目的。
网络嗅探器 (Network Sniffer) 是一种黑客攻击工具,通过网络嗅探,黑客可以截获网络的信息包,之后对加密的信息包进行破解,进而分析包内的数据,获得有关系统的信息。
WireShark 提供图形化的网络数据包分析功能,可视化地展示网络数据包的内容。
2.5 网络攻击案例分析(重点)
DDoS 是分布式拒绝服务攻击的简称。
(默写)
DDoS 的整个攻击过程可以分为以下五个步骤:
第一步,通过探测扫描大量主机,寻找可以进行攻击的目标;
第二步,攻击有安全漏洞的主机,并设法获取控制权;
第三步,在已攻击成功的主机中安装客户端攻击程序;
第四步,利用已攻击成功的主机继续进行扫描和攻击;
第五步,当攻击客户端达到一定的数目后,攻击者在主控端给客户端攻击程序发布向特定
目标进行攻击的命令。
(DDoS攻击手段对应的图一定要认得出)
DDoS 常用的攻击技术手段有 HTTP Flood 攻击、 SYN Flood 攻击、 DNS 放大攻击等。
HTTP Flood 攻击是利用僵尸主机向特定目标网站发送大量的 HTTP GET 请求,以导致网站瘫痪,如图 2-4 所示。
SYN Flood 攻击利用 TCP/IP 协议的安全缺陷,伪造主机发送大量的 SYN 包到目标系统,导致目标系统的计算机网络瘫痪,如图 2-5 所示。
DNS 放大攻击是攻击者假冒目标系统向多个 DNS 解析服务器发送大量请求,而导致 DNS解析服务器同时应答目标系统,产生大量网络流量,形成拒绝服务,如图 2-6 所示。
(重点)
W32.Blaster.Worm 是一种利用 DCOM RPC 漏洞进行传播的网络蠕虫,其传播能力很强。感染蠕虫的计算机系统运行不稳定,系统会不断重启。并且该蠕虫还将对 windowsupdate.com进行拒绝服务攻击,使得受害用户不能及时地得到这个漏洞的补丁。
(背熟,重点)
感染过程:
(1) 创建一个名为 BILLY 的互斥体。如果这个互斥体存在,蠕虫将放弃感染并退出。
(2) 在注册表中添加下列键值:
“windows auto update”=“msblast.exe”
并且将其添加至:
HKEY LOCAL MACHINE\SOFTWARE\Microsoft\ Windows\Current Version\Run
这样就可以使蠕虫在系统被重起的时候能够自动运行。
(3) 蠕虫生成攻击 IP 地址列表,尝试去感染列表中的计算机,蠕虫对有 DCOMRPC 漏洞
的机器发起 TCP 135 端口的连接,进行感染。
(4) TCP4444 端口绑定一个 cmd.exe 的后门。
(5) UDPport69 口上进行监听。如果收到了一个请求,将把 Msblast.exe 发送给目标机器。
(6) 发送命令给远端的机器使它回联已经受到感染的机器并下载 Msblast.exe
拒绝服务过程:
(7) 检查当前日期及月份,若当前日期为 16 日或以后,或当前月份处在9月到 12月之间,则W32.Blaster Worm 蠕虫将对 windowsupdate.com 发动 TCP 同步风暴拒绝服务攻击。
本文参考《信息安全工程师教程(第二版)》
1166
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
