本文详细介绍了网络攻击的概念、类型、模型和发展趋势,包括信息泄露、完整性破坏、拒绝服务和非法使用等危害行为。网络攻击过程涉及隐藏源、信息收集、漏洞挖掘、权限获取等步骤。常见的攻击技术包括端口扫描、口令破解、缓冲区溢出、恶意代码、拒绝服务、网络钓鱼等。黑客常用工具有扫描器、远程监控、密码破解工具和网络嗅探器等。网络攻击案例分析中提到了DDoS攻击和W32.Blaster.Worm蠕虫的详细过程。
第 2 章 网络攻击原理与常用方法
2.1 网络攻击概述
2.1.1 网络攻击概念
网络攻击是指损害网络系统安全属性的危害行为。危害行为导致网络系统的机密性、完整性、可用性、可控性、真实性、抗抵赖性等受到不同程度的破坏。
常见的危害行为有四个基本类型:
(1) 信息泄露攻击;
(2) 完整性破坏攻击;
(3) 拒绝服务攻击;
(4) 非法使用攻击。
1.攻击者:间谍、恐怖主义者、黑客、职业犯罪分子、公司职员、破坏者。
2.攻击工具:用户命令、脚本或程序、自治主体、电磁泄露。
3.攻击访问:本地访问、远程访问。
4.攻击效果:破坏信息、信息泄露、窃取服务、拒绝服务。
5.攻击意图分为六类:
黑客:攻击的动机与目的是表现自己或技术挑战;
间谍:攻击的动机与目的是获取情报信息;
恐怖主义者:攻击的动机与目的是获取恐怖主义集团的利益;
公司职员:攻击的动机与目的是好奇,显示才干;
职业犯罪分子:攻击的动机与目的是获取经济利益;
破坏者:攻击的动机与目的是报复或发泄不满情绪 。
2.1.2 网络攻击橾型
1. 攻击树模型
2. MITRE ATT &CK 模型
3. 网络杀伤链(Kill Chain) 模型
2.1.3 网络攻击发展
攻击方法多种多样,如网络侦听获取网上用户的账号和密码、利用操作系统漏洞攻击、使用某些网络服务泄露敏感信息攻击、强力破解口令、认证协议攻击、创建网络隐蔽信道、安装特洛伊木马程序、拒绝服务攻击、分布式攻击等。
网络攻击具有以下变化趋势。
1.网络攻击工具智能化、自动化
2.网络攻击者群体普适化
3. 网络攻击目标多样化和隐蔽性
4. 网络攻击计算资源获取方便
5.网络攻击活动持续性强化
6. 网络攻击速度加快
7. 网络攻击影响扩大
8. 网络攻击主体组织化
---------------
2.2 网络攻击一般过程
(1) 隐藏攻击源。隐藏黑客主机位置使得系统管理无法追踪。
1.利用被侵入的主机作为跳板、2.免费代理网关、3.伪造IP地址、4.假冒用户账号。
(2) 收集攻击目标信息。确定攻击目标并收集目标系统的有关信息。
1.收集目标系统一般信息、2.配置信息、3.安全漏洞信息、4.安全措施信息、5.用户信息。
(3) 挖掘漏洞信息。从收集到的目标信息中提取可使用的漏洞信息。
1. 系统或应用服务软件漏洞、2. 主机信任关系漏洞、3.目标网络的使用者漏洞、4. 通信协议漏洞、5. 网络业务系统漏洞
(4) 获取目标访问权限。获取目标系统的普通或特权账户的权限。
1.获得系统管理员的口令、2.利用系统管理上的漏洞、3.让系统管理员运行一些特洛伊木马、4.窃听管理员口令。
(5) 隐蔽攻击行为。隐蔽在目标系统中的操作,防止入侵行为被发现。
1.连接隐藏、2.进程隐藏、3.文件隐藏
(6) 实施攻击。进行破坏活动或者以目标系统为跳板向其他系统发起新的攻击。
1.攻击其他被信任的主机和网络、2.修改或删除重要数据、3.窃听敏感数据、4.停止网络服务、5.下载敏感数据、6.删除数据账号、7.修改数据记录。
(7) 开辟后门。在目标系统中开辟后门,方便以后入侵。
1.放宽文件许可权、2.重新开放不安全的服务、3.修改系统的配置、4.替换系统本身的共享库文件、5.修改系统的源代码、6.安装各种特洛伊木马、7.安装嗅探器、8.建立隐蔽信道。
(8) 清除攻击痕迹。避免安全管理员的发现、追踪以及法律部门取证。
1.篡改日志文件中的审计信息、2.改变系统时间造成日志文件数据紊乱以迷惑系统管理员、3.删除或停止审计服务进程、4.干扰入侵检测系统的正常运行、5.修改完整性检测标签。
---------------
2.3 网络攻击常见技术方法
2.3.1 端口扫描
根据端口扫描利用的技术,扫描可以分成多种类型。
1. 完全连接扫描
2. 半连接扫描
3.SYN 扫描
4.ID 头信息扫描
5. 隐蔽扫描
6.SYNIACK 扫描
7.FIN 扫描
8.ACK 扫描
9.NULL 扫描
10.XMAS 扫描
2.3.2 口令破解
第一步:建立网络连接
第二步:选取一个用户列表文件及字典文件。
第三步:选取一组用户名和口令
第四步:尝试登录
第五步:再换一组用户和口令,重复循环试验。
2.3.3 缓冲区溢出
占远程网络攻击的绝大多数
2.3.4 恶意代码
常见的恶意代码类型有计算机病毒、网络蠕虫、特洛伊木马 、 后门 、 逻辑炸弹 、 僵尸网络等。
2.3.5 拒绝服务
利用系统的缺陷,执行一些恶意的操作,使得合法的系统用户不能及时得到应得的服务或系统资源,如 CPU 处理时间、存储器、网络带宽等。
1. 同步包风暴(SYN Flood)
2. UDP 洪水 (UDP Flood)
3. Smurf 攻击
4. 垃圾邮件
5. 消耗 CPU 和内存资源的拒绝服务攻击
6. 死亡之ping (ping of death)
7. 泪滴攻击 (Teardrop Attack)
8. DDos分布式拒绝服务攻击 (Distributed Denial of Service Attack)
2.3.6 网络钓鱼
网络钓鱼(Phishing) 是一种通过假冒可信方(知名银行、在线零售商和信用卡公司等可信的品牌)提供网上服务,以欺骗手段获取敏感个人信息(如口令、信用卡详细信息等)的攻击方式
例如,网络钓鱼攻击者构造一封所谓“安全提醒"邮件发给客户,然后让客户点击虚假网站 , 填写敏感的个人信息 , 这样网络钓鱼攻击者就能获取受害者的个人信息,并非法利用。
2.3.7 网络窃听
网络窃听是指利用网络通信技术缺陷,使得攻击者能够获取到其他人的网络通信信息。常见的网络窃听技术手段主要有网络嗅探、中间人攻击。网络攻击者将主机网络接口的方式设成“杂乱”模式,就可以接收整个网络上的信息包,从而可以获取敏感的口令,甚至将其重组,还原为用户传递的文件。
2.3.8 SQL注入
浏览器+Web服务器+数据库
Web脚本程序的编程漏洞,对来自浏览器端的信息缺少输入安全合法性检查,网络攻击者利用这种类型的漏洞,把 SQL 命令插入 Web 表单的输入域或页面的请求查找字符串,欺骗服务器执行恶意的 SQL 命令。
2.3.9 社交工程
网络攻击者通过一系列的社交活动,获取需要的信息。例如伪造系统管理员的身份,给特定的用户发电子邮件骗取他的密码口令。
2.3.10 电子监听
网络攻击者采用电子设备远距离地监视电磁波的传送过程。灵敏的无线电接收装置能够在远处看到计算机操作者输入的字符或屏幕显示的内容。
2.3.11 会话劫持
例如,一个合法用户登录一台主机,当工作完成后,没有切断主机。然后,攻击者乘机接管。
2.3.12 漏洞扫描
漏洞扫描是一种自动检测远程或本地主机安全漏洞的软件,通过漏洞扫描器可以自动发现系统的安全漏洞。网络攻击者利用漏洞扫描来搜集目标系统的漏洞信息,为下一步的攻击做准备。常见的漏洞扫描技术有 CGI 漏洞扫描、弱口令扫描、操作系统漏洞扫描、数据库漏洞扫描等。
2.3.13 代理技术
网络攻击者通过免费代理服务器进行攻击,其目的是以代理服务器为“攻击跳板”,即使攻击目标的网络管理员发现了,也难以追踪到网络攻击者的真实身份或 IP 地址,如图 2-3 所示。为了增加追踪的难度,网络攻击者还会用多级代理服务器或者“跳板主机”来攻击目标。在黑客中,代理服务器被叫作“肉鸡”,黑客常利用所控制的机器进行攻击活动,例如 DDoS 攻击。
2.3.14 数据加密
网络攻击者常常采用数据加密技术来逃避网络安全管理人员的追踪。加密使网络攻击者的数据得到有效保护,即使网络安全管理人员得到这些加密的数据,没有密钥也无法读懂,这样就实现了攻击者的自身保护。攻击者的安全原则是,任何与攻击有关的内容都必须加密或者立刻销毁。
---------------
2.4 黑客常用工具
2.4.1 扫描器
根据不同的扫描目的,扫描类软件又分为地址扫描器、端口扫描器、漏洞扫描器三个类别
面列出几种经典的扫描软件:
NMAP(Network Map) 即网络地图
Nessus 可运行在Linux操作系统平台上,支持多线程和插件。
SuperScan
2.4.2 远程监控
受害机器通常被称为“肉鸡”,其经常被用千发起 DDoS 拒绝服务攻击或作为攻击跳板。
2.4.3 密码破解
密码破解是安全渗透常用的工具,常见的密码破解方式有口令猜测、穷举搜索、撞库等。
2.4.4 网络嗅探器
1.Tcpdump(命令行)/WireShark(图形化) 2.DSniff( 可以获取口令、邮件、文件等信息。)
截获个人上网的信息包分析上网账号、系统账号、电子邮件账号等个人隐私资料。
2.4.5 安全渗透工具箱
1. Metasploit 2. BackTrack5
---------------
2.5 网络攻击案例分析
2.5.1 DDoS 攻击
DDoS 的整个攻击过程可以分为以下五个步骤:
第一步,通过探测扫描大量主机,寻找可以进行攻击的目标;
第二步,攻击有安全漏洞的主机,并设法获取控制权;
第三步,在已攻击成功的主机中安装客户端攻击程序;
第四步,利用已攻击成功的主机继续进行扫描和攻击;
第五步,当攻击客户端达到一定的数目后,攻击者在主控端给客户端攻击程序发布向特定目标进行攻击的命令。
DDoS 常用的攻击技术手段有 HTTPFlood 攻击、 SYN Flood 攻击、 DNS 放大攻击等。
1.HTTP Flood 攻击是利用僵尸主机向特定目标网站发送大量的 HTTP GET 请求,以导致网站瘫痪。
2.SYN Flood 攻击利用 TCP/IP 协议的安全缺陷,伪造主机发送大量的 SYN 包到目标系统,导致目标系统的计算机网络瘫痪
3.DNS 放大攻击是攻击者假冒目标系统向多个 DNS 解析服务器发送大量请求,而导致 DNS解析服务器同时应答目标系统,产生大量网络流量,形成拒绝服务。
2.5.2 W32.Blaster.Worm
是一种利用 DCOM RPC 漏洞进行传播的网络蠕虫,其传播能力很强。
感染蠕虫的计算机系统运行不稳定,系统会不断重启。并且该蠕虫还将对windowsupdate.com进行拒绝服务攻击,使得受害用户不能及时地得到这个漏洞的补丁。
1.创建一个名为 BILLY 的互斥体
2.在注册表中添加下列键值 Run "windows auto update" = "msblast.exe"
3.蠕虫生成攻击 IP 地址列表,尝试去感染列表中的计算机,蠕虫对有 DCOMRPC 漏洞的机器发起 TCP 135 端口的连接,进行感染。
4.在 TCP4444 端口绑定一个 cmd.exe 的后门。
5.在 UDPport69 口上进行监听。如果收到了一个请求,将把 Msblast.exe 发送给目标机器。
6.发送命令给远端的机器使它回联已经受到感染的机器并下载 Msblast.exe 。
7.检查当前日期及月份,若当前日期为 16 日或以后,或当前月份处在 9 月到 12 月之间,则 W32.Blaster.Worm 蠕虫将对 windowsupdate.com 发动 TCP 同步风暴拒绝服务攻击。
2.5.3 网络安全导致停电事件
乌克兰电力系统遭受攻击事件:黑客首先利用钓鱼邮件,欺骗电力公司员工下载了带有 BlackEnergy 的恶意代码文件,然后诱导用户打开这个文件,激活木马,安装 SSH 后门和系统自毁工具 Killdisk,致使黑客最终获得了主控电脑的控制权。最后,黑客远程操作恶意代码将电力公司的主控计算机与变电站断连并切断电源;同时,黑客发动 DDoS 攻击电力客服中心,致使电厂工作人员无法立即进行电力维修工作。
1413
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
