网络攻击原理与常用方法

• 网络攻击常见危害行为四个基本类型：信息泄露攻击、完整性破坏攻击、拒绝服务攻击、非法使用攻击。
• 网络攻击原理表

攻击者	攻击工具	攻击访问	攻击效果	攻击意图
黑客 间谍 恐怖主义者 公司职员 职业犯罪分子 破坏者	用户命令 脚本或程序 自治主体（初始化一个程序或程序片段，独立执行漏洞挖掘） 电磁泄露	本地访问 远程访问	破坏信息 信息泄密 窃取服务 拒绝服务	挑战 好奇 获取情报 经济利益 恐怖事件 报复

• 网络攻击模型
  1. 攻击树模型（攻击树方法可被红队进行渗透也可以被蓝队用来防御）
     1. 攻击树优点：能够采取专家头脑风暴法，并将这些意见融合到攻击树中去；能够进行费效分析或概率分析；能够建模非常复杂的攻击场景。
     2. 攻击树缺点：不能用来建模多重尝试攻击、时间依赖及访问控制等场景；不能建模循环事件；对于现实大规模网络，攻击树方法处理起来将会特别复杂。
  2. MITRE ATT&CK模型
  3. 网络杀伤链（KillChain）模型：将网络攻击分成目标侦察、武器构造、载荷投送、漏洞利用、安装植入、指挥与控制、目标行动七个阶段。
• 网络攻击发展
  1. 网络攻击工具智能化、自动化
  2. 网络攻击群体普适化
  3. 网络攻击目标多样化和隐蔽性
  4. 网络攻击计算资源获取方便
  5. 网络攻击活动持续性强化
  6. 网络攻击速度加快
  7. 网络攻击影响扩大
  8. 网络攻击主体组织化
• 网络攻击一般过程
  1. 隐藏攻击源：利用被入侵主机做跳板；免费代理网关；伪造IP；假冒用户账号。
  2. 收集攻击目标信息
  3. 挖掘漏洞信息：系统或应用软件漏洞；主机信任关系漏洞；目标网络使用者漏洞；通信协议漏洞；网络业务系统漏洞
  4. 获取目标访问权限
  5. 隐蔽攻击行为：连接、进程、文件隐藏
  6. 实施攻击：（目标）攻击其他被信任的主机和网络；修改或删除重要数据；窃取敏感数据；停止网络服务；下载敏感数据；删除数据账号；修改数据记录。
  7. 开辟后门
  8. 清楚攻击痕迹
• 网络攻击常见技术方法
  1. 端口扫描：目的是找出目标系统上提供的服务列表
     1. 完全连接扫描：利用TCP/IP协议的三次握手连接机制，使源主机与目标主机的某个端口建立一次完整的连接，成功则端口开放
     2. 半连接扫描：源主机与目标主机的三次握手连接过程中，只完成前两次连接，不建立一次完整连接。
     3. SYN扫描：向目标主机发送连接请求，当目标主机返回响应后立即断开连接，查看响应情况；若返回ACK信息则目标主机端口开放，返回RESET信息则没有开放。
     4. ID头信息扫描：需要用一台第三方机器配合扫描，并且这机器的网络通信量要非常少，及dumb主机。
     5. 隐蔽扫描：值能绕过IDS、防火墙和监视系统等安全机制，取得目标主机端口信息的一种扫描方式。
     6. SYN|ACK扫描：源主机直接向目标主机发送SYN|ACK数据包，，目标主机会认为是一次错误的连接，若返回RST则该端口未开放，若开放则不会返回信息。
     7. FIN扫描：发送FIN数据包，返回RESET信息则端口关闭，无信息返回则开放。
     8. ACK扫描：
     9. NULL扫描
     10. XMAS扫描
  2. 口令破解
  3. 缓冲区溢出：可以使攻击者获取控制权
  4. 恶意代码
  5. 拒绝服务
     1. 同步包风暴（SYN Flood）
     2. UDP洪水：利用简单的TCP/IP服务
     3. Smurf攻击：将回复地址设置成目标网络广播地址的ICMP应答请求数据包，是该网络所有主机对此ICMP应答请求做出应答，导致网络阻塞。
     4. 垃圾邮件
     5. 消耗CPU和内存资源的拒绝服务攻击
     6. 死亡之ping
     7. 泪滴攻击
     8. 分布式拒绝服务攻击
  6. 网络钓鱼
  7. 网络窃听
  8. SQL注入
  9. 社交工程
  10. 电子监听
  11. 会话劫持
  12. 漏洞扫描
  13. 代理技术
  14. 数据加密
• 黑客常用工具
  1. 扫描器：NMAP、Nessus、SuperScan
  2. 远程监控：冰河、网络精灵、Netcat
  3. 密码破解：John the Ripper(用于检查Unix/Linux系统弱口令）、LOphCrack
  4. 网络嗅探器（Network Sniffer）：Tcpdump/Wireshark、Dsniff
  5. 安全渗透工具箱：Metasploit、BackTrack5