2021信息安全工程师学习笔记（二）

第二章 网络攻击原理与常用方法

1、网络攻击概述

网络攻击模型：
1、攻击树模型

• 用AND-OR形式的树结构
• 优点：采取专家头脑风暴法，并且将这些意见融合到攻击树中去；能进行费效分析或者概率分析；能够建模非常复杂的攻击场景。
• 缺点：不能用来建模多重常识攻击、时间依赖及访问控制等场景；不能用来建模循环事件；对于大规模网络处理起来特别复杂。

2、MITRE ATT&CK模型

• 根据真实观察到的网络攻击数据提炼形成的攻击矩阵模型
• 初始访问、执行、持久化、特权提升、躲避防御、凭据访问、发现、横向移动、收集、指挥和控制、外泄、影响
• 应用场景：网络红蓝对抗模拟、网络安全渗透测试、网络防御差距评估、网络威胁情报收集

3、网络杀伤链（Kill Chain）模型

• 七个阶段：目标侦查、武器构造、载荷投送、漏洞利用、安装植入、指挥和控制、目标行动

网络攻击一般过程

• 隐藏攻击源
• 收集攻击目标信息
• 挖掘漏洞信息
• 获取目标访问权限
• 隐蔽攻击行为
• 实施攻击
• 开辟后门
• 清楚攻击痕迹

2、网络攻击常见技术方法

1、端口扫描

• 目的：找出目标系统上提供的服务列表

• 原理：根据端口与服务的对应关系，判断是否运行了某项服务

• 完全连接扫描：建立一次完整的TCP/IP协议的三次握手连接

• 半连接扫描：只完成前两次握手，不能建立一次完整的连接

• SYN扫描：向目标主机发送连接请求，当目标主机返回响应后，立即切断连接过程，并查看响应情况。如果返回ACK信息，表示目标主机的该端口开放。如果目标主机返回RESET信息，表示端口没有开放

• ID头信息扫描：
  

• 隐蔽扫描：能成功绕过IDS、防火墙和监视系统等安全机制

• SYN|ACK扫描：

• FIN扫描：发送FIN数据包。返回RESET信息，则说明该端口关闭，如果端口没有返回任何消息，则说明端口开放。

• ACK扫描：发送FIN数据包。查看反馈数据包的TTL值和WIN值，开放端口的TTL值小于64，WIN值大于0；关闭端口的TTL值大于64，WIN值等于0。

• NULL扫描：发送数据包中的ACK、FIN、RST、SYN、URG、PSH等标志位全部置空。没有返回任何信息，则表明该端口是开放的。如果返回RST信息，端口是关闭的。

• XMAS扫描：发送数据包中的ACK、FIN、RST、SYN、URG、PSH等标志位全部置1。没有返回任何信息，则表明该端口是开放的。如果返回RST信息，端口是关闭的。

口令破解流程

• 建立与目标网络服务的网络连接
• 选取一个用户列表文件及字典文件
• 选取一组用户和口令，按网络服务协议规定，将用户名及口令发送给目标网络服务端口
• 检测远程服务返回信息，确定口令尝试是否破解成功
• 再取另一组用户和口令，重复循环试验

缓冲区溢出攻击

• 通过往程序的缓冲区写超出其长度的内容，造成缓冲区溢出，从而破坏程序的堆栈，使程序转而执行其他预设指令

恶意代码

• 为达到恶意目的而专门设计的程序或代码
• 计算机病毒
• 网络蠕虫
• 特洛伊木马
• 后面
• 逻辑炸弹
• 僵尸网络

拒绝服务攻击

• 借助于网络系统或网络协议的缺陷和配置漏洞进行网络攻击
• 阻止授权用户正常访问服务
• 实质：服务器的缓冲区满；迫使服务器把合法用户的连接复位
• 内部用户：通过长时间占用系统的内存、CPU处理时间使其他用户不能及时得到这些资源
• 外部用户：消耗资源、破坏或更改配置信息、物理破坏或改变网络部件、利用服务程序中的处理错误使服务失效

DOS攻击方式

• 同步包风暴：发送大量伪造的TCP连接请求，三次握手进行了两次
• Smurf攻击：攻击者伪装目标主机向局域网的广播地址发送大量欺骗性的ICMP请求
• Ping of Death：攻击者发送大于65535字节的IP数据包给对方，导致内存溢出
• Teardrop攻击：分段攻击，发送含有重叠偏移的数据分段，通过将各个分段重叠来使用目标系统崩溃或挂起
• Winnuke攻击：针对139端口，向该端口发送1字节的TCPOOB数据（TCP连接的一种特殊数据，设置了URG标志，优先级更高），出现蓝屏错误
• Land攻击：利用三次握手的缺陷，将SYN数据包的源地址和目的地址都设置为目标主机的地址
• 电子邮件轰炸：针对服务端口（SMTP端口，端口号25）的攻击，反复发送形成邮件轰炸
• 低速率拒绝服务攻击（LDoS）：不需要维持高速率攻击流，利用网络协议的自适应机制，周期性地在一个特定的短暂时间间隔内突发性地发送大量攻击数据包
• 分布式拒绝服务攻击DDoS：入侵控制一些计算机，引入了分布式攻击和C/S结构

网络钓鱼（Phishing）：通过假冒可信方（银行），以欺骗手段获取敏感个人信息

网络窃听：

• 利用网络通信技术缺陷，使得攻击者能够获取到其他人的网络通信信息
• 主要手段：网络嗅探，中间人攻击
• 将主机网络接口的方式设成“杂乱”模式，就可以接收整个网络上的信息包

SQL注入攻击

• Web服务三层架构：浏览器+Web服务器+数据库
• 原理：WEB脚本程序的编程漏洞，对来自浏览器端的信息缺少输入安全合法性检查
• 攻击过程：把SQL命令插入WEB表单的输入域或页面的请求查找字符串，欺骗服务器执行恶意的SQL命令

社交工程：通过一系列的社交活动，获取需要的信息

电子监听：采用电子设备远距离地监视电磁波的传送过程

会话劫持：在会话劫持以后，攻击者具有合法用户的特权权限

漏洞扫描：自动检测远程或本地主机安全漏洞的软件，通过漏洞扫描器可以自动发现系统的安全漏洞

代理技术：通过免费代理服务器进行攻击，难以追踪到网恋攻击者的真实身份或IP地址，代理服务器被叫做“肉鸡”

数据加密：采用数据加密技术来逃避网络安全管理人员的追踪。攻击者的安全原则是，任何与攻击有关的内容都必须加密或者立刻销毁

3、黑客常用工具

扫描器：地址扫描器、端口扫描器、漏洞扫描器

常见的扫描软件

• NMAP：网络地图
• Nessus：可运行在linux操作系统平台上，支持多线程和插件
• SuperScan:具有 TCP connect端口扫描、Ping和域名解析等功能的工具

远程监控：在受害机器上运行一个代理软件，而在黑客的电脑中运行管理软件，冰河、网络精灵、Netcat

密码破解：是安全渗透常用的工具

• John the Ripper：用户检查Unix/Linux系统的弱口令
• L0phtCrack：常用于破解Windows系统口令

网络嗅探器：截获网络的信息包

• Tcpdump
• WireShark

4、网络攻击案例分析

DDoS攻击：

W32.Blaster.Worm

乌克兰停电