day1：【软中信安知识学习】

一、网络攻击原理和常用方法

1、网络攻击概述

1.1、网络攻击概念
网络攻击：指的是损坏网络系统安全的危害行为，分为几种类型的攻击。

信息泄露攻击：针对保密性
完整性破坏攻击：针对完整性
拒绝服务攻击：针对可用性
非法使用攻击：针对可用性

#	#
攻击者	间谍、恐怖主义者、黑客、职业犯罪分子、公司职员、破坏者
攻击方式	用户命令、脚本或程序、自制主体、电磁泄露
攻击效果	破坏信息、信息泄密、窃取服务、拒绝服务
攻击访问	本地访问、远程访问

1.2、网络攻击模型
网络攻击模型：有助于更好地理解分析网络攻击活动，以便对目标系统的抗攻击能力进行测评。

• 攻击树模型
  树根节点是攻击目标，其他节点是攻击尝试，用ADN-OR的模式对目标对象进行网络安全威胁分析。

• MITRE ATT&CK模型
  MITRE根据真实观察到的网络攻击数据提炼成攻击矩阵模型MITRE ATT&CK。基于MITRE ATT&CK常见的应用场景主要有网络红蓝对抗模拟、网络安全渗透测试、网络防御差距评估、网络威胁情报收集。

• 网络杀伤链（Kill Chain）模型
  该模型将网络攻击活动分为目标侦察（选择目标）、武器构造（将木马程序和有效载荷结合）、载荷投送（将武器化有效载荷投送到目标环境）、漏洞利用（利用程序或系统漏洞触发恶意代码）、安装植入（在目标系统上安装木马或后门，以便持久控制）、指挥和控制（控制目标系统）、目标行动（采取恶意行动）等七个阶段。

1.3、网络攻击发展演变
发展演变：网络攻击随着时代发展，攻击速度越来越快，攻击范围越来越大，攻击方式越来越多

攻击自动化程度和速度提高
攻击工具越来越复杂
安全漏洞的发现速度越来越快
防火墙越来越多地被渗透
安全威胁不对称性持续增加 (ps：在互联网环境下，每台与互联网连接的计算机都有遭受攻击的可能，任何一台计算机受到攻击，都直接关系到与其连接的其他计算机的安全)
针对网络基础设备的攻击技术日趋增多

2、网络攻击一般过程

2.1、隐藏攻击源
攻击前的准备工作，主要是为了隐藏攻击者自身的信息，是系统管理者无法追踪，主要方式如下：

控制被侵入的主机作为跳板(ps:肉鸡)
利用代理网关
伪造ip地址
假冒用户账号

2.2、收集目标信息
攻击前的准备工作，主要是为了更好的利用信息来进行渗透攻击,主要信息收集如下：

目标系统的一般信息，如ip地址、dns地址、操作系统、软硬件版本等
目标系统的安全漏洞信息
目标系统的配置信息
目标系统的个人信息，如手机号、邮箱、个人地址等
目标系统的安全产品信息

2.3、挖掘目标漏洞信息
攻击前的准备工作，主要是为了选择目标薄弱的环节进行针对性攻击，主要漏洞如下：

系统或应用软件漏洞
主机信任关系漏洞 (ps:攻击者可以寻找那些被信任的主机，如管理员主机)
目标网络的使用者漏洞(ps:钓鱼邮件、弱口令等方式)
通信协议漏洞
网络业务系统漏洞

2.4、获取目标的访问权限
一般账户对系统的权限较小，一般只能读，需要获取更大的权限才能进行后续的攻击，方式如下：

获取目标管理员权限

• 获得系统管理员的口令
• 让管理员运行木马等方式
• 窃听管理员口令

2.5、隐藏攻击行为
隐藏攻击者自身的行踪，防止入侵被发现，隐藏方式如下：

连接隐藏
进程隐藏
文件隐藏

2.6、实施攻击
开始正式渗透攻击，多种攻击目的如下：

修改重要数据
删除重要数据
窃听
下载重要数据等

2.7、开辟后门
攻击成功不易，攻击者留下后门方便持续性攻击，方式如下：

放宽文件许可权
重新开放不安全的服务
修改系统配置
安装嗅探器
修改系统的源代码，安装特洛伊木马等

2.8、清除攻击痕迹
清除攻击痕迹，不留下证据给系统管理员溯源，也是网络攻击重要的一环，方式如下：

篡改日志文件中的审计信息
更改系统时间造成日志文件数据絮乱以迷惑系统管理员
删除或停止审计进程
干扰入侵检测系统的正常运行

3、网络攻击常见技术方法

常见技术方法：

#	#
端口扫描	口令破解
缓冲区溢出	恶意代码
拒绝服务	网络钓鱼
网络窃听	SQL注入
社交工程	电子监听
会话劫持	漏洞扫描
代理技术	数据加密

3.1、端口扫描：目的是为了找出系统开放的服务列表，方便利用后续利用相关漏洞攻击
3.2、口令破解：暴力破解，目的是破解系统口令，获取权限

ps：暴力破解通过不断尝试口令，观察远程服务的返回信息，直到破解成功

3.3、缓冲区溢出：通过往程序的缓冲区写超出其长度的内容，造成缓冲区溢出，破坏程序堆栈，使程序转而执行其他预设攻击指令

3.4、恶意代码：为了达到攻击目的专门设计的代码/程序

计算机病毒
特洛伊木马
网络蠕虫
逻辑炸弹

ps：病毒、木马、蠕虫都是人为制造的恶意代码，是以破坏目标主机为主要目的；逻辑炸弹不能复制自我，在一定条件下触发

僵尸网络
后门

ps：僵尸网络和后门都是需要攻击者主动执行命令才能达到破坏的目的，不能自行执行和自我复制

3.5、拒绝服务：消耗系统资源、导致目标主机宕机，阻止授权用户正常访问服务，常见拒绝服务攻击如下：

死亡ping攻击 ：利用ping命令向目标主机发送超过64k的数据包，导致缓冲区溢出，后续导致主机崩溃

泛洪攻击：利用TCP协议的三次握手机制，伪造发送方ip导致进行到第二次握手时得不到响应，直到超时，即形成半开连接，这种状态多了即可能导致主机崩溃

Smurf攻击：伪装目标主机向局域网的广播地址发送大量欺骗性的ICMP请求；将源地址改为第三方的目标网络，导致第三方网络阻塞

分布式拒绝服务攻击：植入后门程序从远程遥控攻击，攻击者从多个已入侵的跳板主机控制多个代理攻击主机。Trinoo、TFN、TFN2K、Stacheldraht

3.6、网络钓鱼：假冒可信方对目标发送恶意链接，恶意邮件等，诱使目标点击触发恶意代码获取相关信息
3.7、网络窃听：利用网络通信技术缺陷，使攻击者获取到他人网络通信信息

网络探嗅
中间人攻击

3.8、SQL注入
利用开发者的代码缺陷，在输入中插入恶意sql代码，从而欺骗服务器执行恶意代码
3.9、社交工程
通过社交活动，获取需要的信息
3.10、电子监听
采用电子设备远距离监视电磁破传送过程
3.11、会话劫持
在初始授权之后建立一个连接，在会话劫持后，攻击者具有合法用户的特权权限

CSRF，盗用cookie伪装成用户

3.12、漏洞扫描
使用自动检测本地或者远程主机安全漏洞的软件，从而发现目标主机的相关漏洞
3.13、代理技术
通过免费代理服务器（“肉鸡”）进行攻击，以代理服务器为“攻击跳板”，即使攻击目标的网络管理员发现了，也难以追踪到网络攻击者的真实身份/IP地址

ddos攻击

3.14、数据加密
攻击过程和结束攻击后，数据加密传输，隐藏攻击者自身的身份信息，从而逃避主机管理员的追踪

4、Hacker常用软件

4.1、扫描类软件

nmap：地址扫描器
Nessus：端口扫描器，Linux，支持多线程、插件
SuperScan：漏洞扫描器，TCP connect端口扫描、Ping、域名解析功能

4.2、远程监控类软件

冰河
网络精灵
Netcat

4.3、密码破解类软件

John the Ripper：用户检查Unix/Linux系统的弱口令
LOphtCrack：破解Windows口令

4.4、网络探嗅类软件

wireshark
brupsuite

5、网络攻击案例

5.1、DDOS攻击
步骤：
1、通过扫描工具探测可利用的主机和端口
2、找到有安全漏洞的主机，利用相关方式获取主机权限
3、在被利用主机中安装攻击程序
4、利用该主机对其他攻击目标进行扫描和攻击
5、攻击客户端达到一定数目后，攻击者在主控端给客户端攻击程序发布向特定目标攻击的命令