网络攻击概述
网络攻击概念
常见的危害行为:
- 信息泄露攻击
- 完整性破坏攻击
- 拒绝服务攻击
- 非法使用攻击
网络攻击模型
- 攻击树模型:进行费效或概率分析,建模复杂场景;不能建模循环事件。
- MITRE ATT&CK模型:战术有访问初始化、执行、常驻、提权、防御规避、访问凭证、发现、横向移动、收集、数据获取、命令和控制。
- 网络杀伤链模型:目标侦察、武器构造、载荷投送、漏洞利用、安装植入、指挥和控制、目标行动。
网络攻击的一般过程
- 隐藏攻击源。(利用被侵入的主机作跳板、免费代理网关、伪造IP地址、假冒用户账号)
- 收集攻击目标信息。(一般信息、配置信息、安全漏洞、安全防护措施、用户信息)
- 挖掘漏洞信息。(系统或应用服务软件漏洞、主机信任关系漏洞、目标网络的使用者漏洞、通信协议漏洞、网络业务系统漏洞)
- 获取目标访问权限。(获取更高权限)
- 隐蔽攻击行为。(连接隐藏、进程隐藏、文件隐蔽)
- 实施攻击。(攻击其他被信任的主机和网络,修改或删除重要数据,窃听、下载敏感数据,停止网络服务,删除数据账号,修改数据记录)
- 开辟后门。(放宽文件许可权限,开放不安全服务,修改系统配置、源代码,替换共享库文件,安装嗅探器,建立隐蔽信道)
- 清除攻击痕迹。(篡改日志文件的审计信息,改变系统时间造成日志文件紊乱,删除或停止审计服务进程,干扰入侵检测系统正常运行,修改完整性标签)
网络攻击常见技术方法
端口扫描
- 完全连接扫描(利用三次握手,建立一次完整的连接)
- 半连接扫描(三次握手过程中,只完成前两次握手)
- SYN扫描(发送连接请求,主机响应后,立即切断连接。若返回ACK信息,则表示端口开放,若返回RESET,则表示端口未开放)
- ID头信息扫描(源主机A向主机B发出连续PING包,源主机A假冒主机B向目标主机C发送SYN包,主机C向主机B发送两种可能的包(SYN|ACK,RST|ACK),查看主机B返回A的包ID头的值是否增加1,大于1则端口非开放。)
- 隐蔽扫描(绕过IDS、防火墙等安全机制)
- SYN|ACK扫描(直接发送SYN|ACK包,目标主机认为是一次错误连接,若端口没开放,则返回RST信息;若端口开发,则不返回任何信息)
- FIN扫描(发送FIN包,若返回RESET信息,则端口关闭;若没返回任何信息,则端口开放)
- ACK扫描(先发送FIN包,查看反馈数据包的TTL值和WIN值。端口开放:TTL<64,WIN>0;端口关闭:TTL>64,WIN=0)
- NULL扫描(源主机将数据包中ACK、FIN、RST、SYN、URG、PSH等标志位全部置空。若未返回信息,则端口开放;若返回RST信息,则端口关闭)
- XMAS扫描(将数据包中ACK、FIN、RST、SYN、URG、PSH等头标志位全部置1.若未返回信息,则端口开放;若返回RST信息,则端口关闭)
口令破解
缓冲区溢出
攻击者将特意构造的攻击代码植入缓冲区溢出漏洞的程序中,改变漏洞程序的执行过程,获取攻击主机的控制权。
恶意代码
类型有计算机病毒、网络蠕虫、特洛伊木马、后门、逻辑炸弹、僵尸网络等
拒绝服务
特点:①难确认性②隐蔽性③资源有限性④软件复杂性
- 同步包风暴(SYN Flood)
- UDP洪水(UDP Flood)
- Smurf攻击
- 垃圾邮件
- 消耗CPU和内存资源等拒绝服务攻击
- 死亡之ping(ping of death)
- 泪滴攻击(Teardrop Attack)
- 分布式拒绝服务攻击(Distribute Denial of Service Attack)
网络钓鱼
网络窃听
技术手段:网络嗅探、中间人攻击
SQL注入
社交工程
电子监听
会话劫持
漏洞扫描
扫描技术:CGI漏洞扫描、弱口令扫描、操作系统漏洞扫描、数据库漏洞扫描
代理技术
数据加密
黑客常用工具
扫描器:NMAP、Nessus、SuperScan
远程监控:冰河、网络精灵、Netcat
密码破解:John the Ripper、LOphtCrack
网络嗅探器:Tcpdump/WireShark、DSniff
安全渗透工具箱:Metasploit、BackTrack5