软考 信息安全工程师（第二版）笔记-第2章 网络攻击原理与常用方法

软考 信息安全工程师（第二版）笔记-第1章 网络信息安全概述
软考 信息安全工程师（第二版）笔记-第2章 网络攻击原理与常用方法

第2章 网络攻击原理与常用方法

2.1 网络攻击概述

2.1.1网络攻击概念

网络攻击是指损害网络系统安全属性的危害行为，4个基本类型：

• 信息泄露攻击

• 完整性破坏攻击

• 拒绝服务攻击

• 非法使用攻击

攻击者	攻击工具	攻击访问	攻击效果	攻击意图
黑客 间谍 恐怖注意者 公司职员 职业犯罪份子 破坏者	用户命令 脚本或程序 自治主体 电磁泄漏	本地访问 远程访问	破坏信息 信息泄漏 窃取服务 拒绝服务	挑战 好奇 获取情报 经济利益 恐怖事件 报复

2.1.2 网络攻击模型

1. 攻击树模型
   用AND-OR形式的树结构对目标对象进行网络安全威胁分析
2. MITRE ATT&CK 模型
   初始访问、执行、持久化、特权提升、躲避访问、平局访问、发现、横向移动、收集、指挥和控制、外泄、影响
3. 网络杀伤链（KILL Chain）模型
   • 侦查
   • 武器构造
   • 载荷投送
   • 漏洞利用
   • 安装植入
   • 指挥控制
   • 目标行动

2.1.3 网络攻击发展

发展趋势：

1. 网络攻击工具智能化、自动化
2. 网络攻击者群体普实话
3. 网络攻击目标多样化和隐蔽性
4. 网络攻击计算资源获取方便
5. 网络攻击持续性强化
6. 网络攻击速度加快
7. 网攻击影响扩大
8. 网络攻击主体组织化

2.2 网络攻击一般过程

2.2.1 隐藏攻击源

• 跳板机
• 代理网关
• 伪造IP地址
• 假冒用户账号

2.2.2 收集攻击目标信息

关键信息：

• 目标系统一般信息
• 目标系统配置信息
• 目标系统的安全漏洞信息
• 目标系统的安全措施信息
• 目标系统的用户信息

2.2.3 挖掘漏洞信息

1. 系统或应用服务软件漏洞
2. 主机信任关系漏洞
3. 目标网络的使用者漏洞
4. 通信协议漏洞
5. 网络业务系统漏洞

2.2.4 获取目标访问权限

• 获得系统管理员的口令
• 利用系统管理上的漏洞
• 让系统管理员运行一些特洛伊木马
• 窃听管理员口令

2.2.5 隐蔽攻击行为

• 链接隐蔽
• 进程隐蔽
• 文件隐蔽

2.2.6 实施攻击

攻击目标：

• 攻击其他被信任的主机和网络
• 修改或删除重要数据
• 窃听敏感数据
• 停止网络服务
• 下载敏感数据
• 删除数据账号
• 修改数据记录

2.2.7 开辟后门

主要方法：

• 放宽文件许可权
• 重新开放不安全的服务
• 修改系统配置
• 替换系统本身的共享库文件
• 修改系统的源代码，安装各种该木马
• 安装嗅探器
• 建立隐蔽信道

2.2.8 清除修改痕迹

常见方法：

• 篡改日志文件中的审计信息
• 改变系统时间造成日志文件数据紊乱以迷惑系统管理员
• 删除或停止升级服务进程
• 干扰入侵检测系统的正常运行
• 修改完整性检测标签

2.3 网络攻击常见技术方法

2.3.1 端口扫描

1. 完整链接扫描-三次
2. 半连接扫描-两次
3. SYN扫描-一次
4. ID头信息扫描？？
5. 隐蔽扫描
6. SYN｜ACK扫描
7. FIN扫描
8. ACK扫描
9. NULL扫描
10. XMAS扫描

2.3.2 口令破解

字典破解

2.3.3.缓冲区溢出

2.3.4 恶意代码

计算机病毒、网络蠕虫、木马、后门、逻辑炸弹、僵尸网络

2.3.5 拒绝服务

1. 同步包风暴（SYN Flood）
2. UDP Flood
3. Smurf 攻击
4. 垃圾邮件
5. 消耗CPU和内存资源的拒绝服务攻击
6. Ping of death
7. Teardrop Attack
8. DDoS

2.3.6 网络钓鱼

Phshing

2.3.7 网络窃听

2.3.8 SQL注入

2.3.9 社会工程学

2.3.10 电子监听

2.3.11 会话劫持

2.3.12 漏洞扫描

2.3.13 代理技术

2.3.14 数据加密

2.4 黑客常用工具

扫描器、远程控制、密码破解、网络嗅探、安全渗透工具

2.5 案例分析

2.5.1 DDoS攻击

2.5.2 W32.Blaster.Worm

2.5.3 2015年乌克兰停电事件