网络攻击概述

（本文为笔者学习《网络攻防技术》所做总结，侵删）

一、网络安全威胁

网络安全威胁的内涵从广义上看是泛指所有对网络安全造成不良影响的事件，包括自然灾害、非恶意的人为损害以及网络攻击等；狭义上看是指各类网络攻击行为。

（一）重大的网络安全威胁事件

1. 凯文·米特尼克 20世纪80年代
   入侵多家公司内部网络，窃取大量信息资产和源代码，造成损失数百万美元（这个算是鼻祖之一吧，当年的数百万美元估计房子可以在北上广这样的城市买几十套）
2. Morris蠕虫病毒 1988年
   当时莫里斯蠕虫病毒在网络上传播，感染了约6000台计算机，造成数千万美元的损失，随着互联网的发展和谐网络安全威胁事件造成的损失只会越来越大，从那个时候开始网络安全引起广泛关注
   说实话网络里现在还有好多蠕虫病毒的变种在继续潜伏，不过大多数杀毒软件都能直接识别
3. web攻击出现 1998年
   以SQL注入为代表的web脚本攻击方式出现，迅速成为互联网安全的最大威胁之一
4. 基于IRC的僵尸网络 1999年
   大量出现，为分布式拒绝服务攻击提供了前沿阵地
5. 梅丽莎病毒 1999年
   是首个具有全球破坏力的病毒，破坏了世界上300多家公司的计算机系统，造成近4亿美元的损失
6. 震网病毒 2010年
   针对伊朗核设施，是首个被公开披露的武器级网络攻击病毒
7. “棱镜计划” 2013年
   由美国前中央情报局职员爱德华·斯诺登披露，棱镜监听项目，公开了大量针对实时通信和网络存储的监听窃密技术与计划
8. 网络攻击工具集被盗取并被公开拍卖 2016年8月
   黑客组织“影子经纪人”陆续以多种形式在互联网公开拍卖据称来自美国国家安全局的网络攻击工具集，公开的部分资料显示这些工具集包含了大量针对路由设备、安全设备、WINDOWS操作系统等多个平台的0Day工具、攻击辅助工具和恶意代码
9. 勒索病毒 2017年
   2017年5月，勒索病毒在全球范围内广泛传播，感染了150多个国家的近20万台计算机。勒索病毒借鉴的是工具集中“永恒之蓝”的漏洞利用工具《Start up》里面就讲到好几次这个病毒，男主贼强自己破解的，666

（二）网络安全威胁的成因

< 一 >技术因素

1. 协议缺陷
   以TCP/IP协议簇为重点研究对象，主要安全缺陷有两方面：
   （1）缺乏有效的身份鉴别机制
   （2）缺乏有效的信息加密机制
2. 软件漏洞
   比如冯氏结构的指数混存导致的缓冲区溢出问题；多线程对同一内存区域的访问限制问题导致机密信息泄露
3. 策略弱点
   （1）安全策略设计时考虑不周，安全机制选择不适当；
   （2） 安全需求和应用需求相矛盾时，用户更愿意选择在安全策略方面做出妥协
4. 硬件漏洞

< 二 >人为因素

1. 攻击方：黑客、敌对国家间谍组织、恐怖分子、商业间谍、犯罪分子等等
2. 防守方：被动、人员缺口大

二、网络攻击技术

（一）网络攻击分类

1. 按攻击的目的分：DOS拒绝服务攻击、获取系统权限攻击、获取敏感信息攻击
2. 按攻击的机理分：缓冲区溢出攻击、SQL注入攻击
3. 按攻击的实施过程：获取初级权限的攻击、提升最高权限的攻击、后门控制攻击等
4. 按攻击的实施对象：对各种操作系统的攻击、对网络设备的攻击、对特定应用系统的攻击等
5. 按攻击发生时攻击者与被攻击者的交互关系分：本地攻击、主动攻击、被动攻击、中间人攻击
   （1）本地攻击：攻击者通过实际接触被攻击的主机而实施的攻击
   特点：难以防御
   防御：主要依靠严格的安全管理制度
   （2）主动攻击：攻击者对被攻击主机所运行的web、FTP、Telnet等开放网络服务实施攻击
   防御：通过技术手段或安全策略加固系统开放的网络服务
   （3）被动攻击：攻击者对被攻击主机的客户程序实施攻击，包括钓鱼攻击、XSS攻击、网站挂马攻击等，通常从诱骗开始
   防御：①对系统及网络应用中的客户程序进行安全加固
   ②加强安全意识，辨别并应对网络攻击中的社会工程学手段
   （4）中间人攻击：攻击者处于被攻击主机的某个网络应用的中间人位置，实施数据窃听、破坏、篡改等攻击
   防御：为网络通信提供可靠的认证和加密机制，确保通信双方身份的合法性与通信内容的机密与完整性

（二）网络攻击的步骤与方法

一个完整的、有预谋的攻击可分为5个阶段：
信息收集 >> 权限获取 >> 安装后门（长期控守） >> 扩大影响 >> 消除痕迹

1. 信息收集（耗费时间最长）：攻击者重点收集的内容有网络信息、系统信息、用户信息等
   （1）网络信息：域名、IP地址、网络拓扑
   （2）系统信息：OS版本、开放的各种网络服务版本
   （3）用户信息：用户标识、组标识、共享资源、邮件账号、及时通信软件账号
   攻击者收集的途径：通过技术手段直接对目标网络进行扫描探测、利用其他渠道了解攻击目标的类型和工作模式
   可能借助的方式有：互联网搜索、社会工程学、垃圾数据搜寻、域名管理/搜索服务
2. 权限获取：获取目标系统的读、写、执行等权限，获得超级用户权限是攻击者在单个系统中的终极目标
   主要使用的技术：口令攻击、缓冲区溢出、web应用攻击等
3. 安装后门（长期控守）：在目标系统中安装后门或木马程序，从而以更加方便、更加隐蔽的方式对目标系统进行长期操控
   主要使用恶意代码相关技术：隐藏技术、通信机制、生存性技术等
4. 扩大影响：以目标系统为跳板，对目标所属网络的其他主机进行攻击，最大程度地扩大有效攻击的效果
   主要使用的技术：嗅探、假消息攻击
5. 清除痕迹：清除一切的攻击痕迹，以便尽可能长久地对目标进行控制，并防止被识别、追踪
   主要方法：针对目标所采取的安全措施清除各种日志及审计信息

三、网络攻击发展趋势

1. 攻击影响日益深远
2. 攻击领域不断拓展
3. 攻击技术愈加精细
4. 供应链安全成为重要战场
5. 数据泄露问题将导致更严重后果