0%

第2章 网络攻击原理与常用方法

网络攻击概述

网络攻击概念

常见的危害行为:

  • 信息泄露攻击
  • 完整性破坏攻击
  • 拒绝服务攻击
  • 非法使用攻击

网络攻击模型

  1. 攻击树模型:进行费效或概率分析,建模复杂场景;不能建模循环事件。
  2. MITRE ATT&CK模型:战术有访问初始化、执行、常驻、提权、防御规避、访问凭证、发现、横向移动、收集、数据获取、命令和控制。
  3. 网络杀伤链模型:目标侦察、武器构造、载荷投送、漏洞利用、安装植入、指挥和控制、目标行动。

网络攻击的一般过程

  1. 隐藏攻击源。(利用被侵入的主机作跳板、免费代理网关、伪造IP地址、假冒用户账号)
  2. 收集攻击目标信息。(一般信息、配置信息、安全漏洞、安全防护措施、用户信息)
  3. 挖掘漏洞信息。(系统或应用服务软件漏洞、主机信任关系漏洞、目标网络的使用者漏洞、通信协议漏洞、网络业务系统漏洞)
  4. 获取目标访问权限。(获取更高权限)
  5. 隐蔽攻击行为。(连接隐藏、进程隐藏、文件隐蔽)
  6. 实施攻击。(攻击其他被信任的主机和网络,修改或删除重要数据,窃听、下载敏感数据,停止网络服务,删除数据账号,修改数据记录)
  7. 开辟后门。(放宽文件许可权限,开放不安全服务,修改系统配置、源代码,替换共享库文件,安装嗅探器,建立隐蔽信道)
  8. 清除攻击痕迹。(篡改日志文件的审计信息,改变系统时间造成日志文件紊乱,删除或停止审计服务进程,干扰入侵检测系统正常运行,修改完整性标签)

网络攻击常见技术方法

端口扫描

  • 完全连接扫描(利用三次握手,建立一次完整的连接)
  • 半连接扫描(三次握手过程中,只完成前两次握手)
  • SYN扫描(发送连接请求,主机响应后,立即切断连接。若返回ACK信息,则表示端口开放,若返回RESET,则表示端口未开放)
  • ID头信息扫描(源主机A向主机B发出连续PING包,源主机A假冒主机B向目标主机C发送SYN包,主机C向主机B发送两种可能的包(SYN|ACK,RST|ACK),查看主机B返回A的包ID头的值是否增加1,大于1则端口非开放。)
  • 隐蔽扫描(绕过IDS、防火墙等安全机制)
  • SYN|ACK扫描(直接发送SYN|ACK包,目标主机认为是一次错误连接,若端口没开放,则返回RST信息;若端口开发,则不返回任何信息)
  • FIN扫描(发送FIN包,若返回RESET信息,则端口关闭;若没返回任何信息,则端口开放)
  • ACK扫描(先发送FIN包,查看反馈数据包的TTL值和WIN值。端口开放:TTL<64,WIN>0;端口关闭:TTL>64,WIN=0)
  • NULL扫描(源主机将数据包中ACK、FIN、RST、SYN、URG、PSH等标志位全部置空。若未返回信息,则端口开放;若返回RST信息,则端口关闭)
  • XMAS扫描(将数据包中ACK、FIN、RST、SYN、URG、PSH等头标志位全部置1.若未返回信息,则端口开放;若返回RST信息,则端口关闭)

口令破解

缓冲区溢出

攻击者将特意构造的攻击代码植入缓冲区溢出漏洞的程序中,改变漏洞程序的执行过程,获取攻击主机的控制权。

恶意代码

类型有计算机病毒、网络蠕虫、特洛伊木马、后门、逻辑炸弹、僵尸网络等

拒绝服务

特点:①难确认性②隐蔽性③资源有限性④软件复杂性

  • 同步包风暴(SYN Flood)
  • UDP洪水(UDP Flood)
  • Smurf攻击
  • 垃圾邮件
  • 消耗CPU和内存资源等拒绝服务攻击
  • 死亡之ping(ping of death)
  • 泪滴攻击(Teardrop Attack)
  • 分布式拒绝服务攻击(Distribute Denial of Service Attack)

网络钓鱼

网络窃听

技术手段:网络嗅探、中间人攻击

SQL注入

社交工程

电子监听

会话劫持

漏洞扫描

扫描技术:CGI漏洞扫描、弱口令扫描、操作系统漏洞扫描、数据库漏洞扫描

代理技术

数据加密

黑客常用工具

扫描器:NMAP、Nessus、SuperScan

远程监控:冰河、网络精灵、Netcat

密码破解:John the Ripper、LOphtCrack

网络嗅探器:Tcpdump/WireShark、DSniff

安全渗透工具箱:Metasploit、BackTrack5

-------本文结束  感谢您的阅读-------