软考-信息安全-网络攻击原理与常用方法

2.1 网络攻击概述

• 《孙子兵法》曰：知己知彼，百战不殆，现在的网络攻击活动日益频繁，要掌握网络信息安全主动权，就要了解网络威胁者的策略方法。

2.1.1 网络攻击概念

• 网络攻击是指损害网络系统安全属性的危害行为。其中危害行为导致网络系统的机密性，完整性，可用性，可控性，真实性，抗抵赖性等受到不同程度的破坏。
• 常见的危害行为有以下4个基本类型：
  • 信息泄露攻击；
  • 完整性破坏攻击；
  • 拒绝服务攻击；
  • 非法使用攻击；
• 1.攻击者
  • 根据网络攻击来源，攻击者可分为两大类：内部人员和外部人员，根据网络攻击的动机和目的，常见的攻击者可分为六种，间谍，恐怖主义，黑客，职业犯罪分子，公司职员和破坏者。
• 2.攻击工具
  • 用户命令：攻击者在命令行状态下或者以图形用户接口方式输入攻击命令。
  • 脚本或程序：利用脚本和程序挖掘弱点。
  • 自治主体：攻击者初始化一个程序或者程序片段，独立执行漏洞挖掘。
  • 电磁泄露：通过电子信号分析方法，实施电磁泄露攻击。
• 3.攻击访问
  • 攻击者为了达到攻击目的，一定要访问目标网络系统，包括合法和非法的访问。
• 4.攻击效果
  • 破坏信息：删除或修改系统中存储的信息或者网络中传送的信息。
  • 信息泄露：窃取或公布敏感信息。
  • 窃取服务：未授权使用计算机或网络服务。
  • 拒绝服务：干扰系统和网络的正常服务，降低系统和网络性能，甚至使系统和网络崩溃。
• 5.攻击意图
  • 黑客：攻击的动机与目的是表现自己或技术挑战；
  • 间谍：攻击的动机与目的是获取情报信息；
  • 公司职员：攻击的动机与目的是好奇，显示才干；
  • 职业犯罪分子：攻击的动机与目的是获取经济利益；
  • 破坏者：攻击的动机与目的是报复或发泄不满情绪；

2.1.2 网络攻击模型

• 掌握网络攻击模型有助于更好地理解分析网络攻击活动，以便对目标系统的抗攻击能力进行测评。

• 1.攻击树模型

  • 攻击树方法起源于故障分析方法。故障树分析方法主要用于系统风险分析和系统可靠性分析，后扩展为软件故障树，用于辅助识别软件设计和实现中的错误，Schneier首先基于软件故障树方法提出了攻击树的概念，用AND-OR形式的树结构对目标对象进行网络安全威胁分析。
  • 攻击树方法可以被红队用来进行渗透测试，同时也可以被蓝队用来研究防御机制。
  • 攻击树的优点：能够采取专家头脑风暴法，并且将这些意见融合到攻击树中去；能够进行费效分析或者概率分析；能够建模非常复杂的攻击场景。
  • 攻击树的缺点：由于树结构的内在限制，攻击树不能用来建模多重尝试攻击，时间依赖及访问控制等场景；不能用来建模循环事件；对现实中的大规模网络，攻击树方法处理起来将会特别复杂。

• 2.Mitre Att&ck模型

  • 这个攻击模型是目前最流行最被安全圈广泛认可的一套攻击模型，本书只是简单的介绍了名称，没有具体细讲，所以要看具体的，就去官网看吧，官网地址：https://attack.mitre.org/tactics/enterprise/

• 3.网络杀伤链（Kill Chain）模型

  • 洛克希德马丁公司提出的网络杀伤链模型（简称Kill Chain 模型），该模型将网络攻击活动分成如下：
  • 侦察（Reconnaissance）
    • 目标侦察。研究，辨认和选择目标，通常利用爬虫获取网站信息，例如：会议记录，电子邮件地址，社交关系或有关特定技术的信息。
  • 武器构造（Weaponization）
    • 将远程访问的特洛伊木马程序与可利用的有效载荷结合在一起。例如：利用Adobe PDF或Microsoft Office文档用作恶意代码载体。
  • 载荷投送（Delivery）
    • 把武器化有效载荷投送到目标环境，常见的投送方式包括利用电子邮件附件，网站和USB可移动介质。
  • 漏洞利用（Exploitation）
    • 将攻击载荷投送到受害者主机后，漏洞利用通常针对应用程序或操作系统漏洞，会触发恶意代码功能。
  • 安装植入（Installation）
    • 在受害者目标系统上安装远程访问的特洛伊木马或后面程序，以持久性地控制目标系统。
  • 指挥和控制（Command and Control）
    • 构建对目标系统的远程控制通道，实施远程指挥和操作。通常目标系统与互联网控制端服务器建立C2通道。
  • 目标行动（Actions on Objectives）
    • 采取行动执行攻击目标的任务，如从受害目标系统中收集，加密，提取信息并将其送到目标网络外；或者破坏数据完整性以危害目标系统；或者以目标系统为“跳板”进行横向扩展渗透内部网络。

2.1.3 网络攻击发展

• 1.网络攻击工具智能化，自动化。
• 2.网络攻击者群体普适化。
• 3.网络攻击目标多样化和隐蔽性。
• 4.网络攻击计算资源获取方便。
• 5.网络攻击活动持续性强化。
• 6.网络攻击速度加快。
• 7.网络攻击影响扩大。
• 8.网络攻击主体组织化。

2.2 网络攻击一般过程

• （1）隐藏攻击源。
• （2）收集攻击目标信息。
• （3）挖掘漏洞信息。
• （4）获取目标访问权限。
• （5）隐藏攻击行为。
• （6）实施攻击。
• （7）开辟后门。
• （8）清除攻击痕迹。

2.3 网络攻击常见技术方法

2.3.1 端口扫描

• 完全连接扫描
• 半连接扫描
• SYN扫描
• ID头信息扫描
• 隐蔽扫描
• SYN|ACK扫描
• FIN扫描
• ACK扫描
• NULL扫描
• XMAS扫描

2.3.2 口令破解

• 口令机制是资源访问控制的第一道屏障，网络攻击者常常以破解用户的弱口令为突破口，获取系统的访问权限。
• 主要工作流程：
  • 建立于目标网络服务的网络连接。
  • 选取一个用户列表文件及字典文件。
  • 在用户列表文件及字典文件中，选取一组用户和口令，按网络服务协议规定，将用户名及口令发送给目标网络服务端口。
  • 检测远程服务返回信息，确定口令尝试是否成功。
  • 再娶另一组用户和口令，重复循环试验，直至口令用户列表文件及字典文件选取完毕。

2.3.3 缓冲区溢出

2.3.4 恶意代码

2.3.5 拒绝服务

• 同步包风暴（SYN Flood）
• UDP洪水（UDP Flood）
• Smurf攻击
• 垃圾邮件
• 消耗CPU和内存资源的拒绝服务攻击
• 死亡之ping（ping of death）
• 泪滴攻击（Teardrop Attack）
• 分布式拒绝服务攻击（Distributed Denial of Service Attack）

2.3.6 网络钓鱼

2.3.7 网络窃听

2.3.8 SQL注入

2.3.9 社交工程（社会工程学）

2.3.10 电子监听

• 网络攻击者采用电子设备远距离地监视电磁波的传送过程。灵敏的无线电接收装置能够在远处看到计算机操作者输入的字符或屏幕现实的内容。

2.3.11 会话劫持

2.3.12 漏洞扫描

2.3.13 代理技术

2.3.14 数据加密

2.4 黑客常用工具

2.4.1 扫描器

• Nmap
• Nessus
• Superscan

2.4.2 远程监控

• 冰河
• 灰鸽子
• gh0st

2.4.3 密码破解

• John the Ripper -- 这个一般用户白盒测试，知道口令密文，然后进行密码破解。
• LOphtCrack -- Windows系统口令破解工具，字典攻击破解等。

2.4.4 网络嗅探器

• Tcpdump
• Wireshark
• Dsniff

2.4.5 安全渗透工具箱

• Metasploit
• Kali

2.5 网络攻击案例分析

2.5.1 DDoS攻击

2.5.2 W32.Blaster.Worm

• W32.Blaster.Worm是一种利用DCOM RPC漏洞进行传播的网络蠕虫，其传播能力很强。感染蠕虫的计算机系统运行不稳定，系统会不断重启。并且该蠕虫还将对windowsupdate.com进行拒绝服务攻击。

2.5.3 网络安全导致停电事件

• 手法是首先利用钓鱼邮件，欺骗电力公司员工下载了带有BlackEnergy的恶意代码文件，然后诱导用户打开这个文件，激活木马，安装SSH后门和系统自毁工具Killdisk，致使攻击者获得了主控电脑的控制权。