网络攻击类型:
(1)信息泄露攻击;
(2)完整性破坏攻击;
(3)拒绝服务攻击;
(4)非法使用攻击。
攻击工具
攻击者通过一系列攻击工具,对目标网络实施攻击,具体包括:
用户命令:攻击者在命令行状态下或者以图形用户接口方式输入攻击命令;
脚本或程序:利用脚本和程序挖掘弱点;
自治主体:攻击者初始化一个程序或者程序片断,独立执行漏洞挖掘;
电磁泄漏:通过电子信号分析方法,实施电磁泄漏攻击。
网络攻击模型
攻击树模型
攻击树方法起源于故障树分析方法。故障树分析方法主要用于系统风险分析和系统可靠性分析,后扩展为软件故障树,用于辅助识别软件设计和实现中的错误。攻击树用 AND-OR 形式的树结构对目标对象进行网络安全威胁分析。
MITRE ATT&CK 模型
MITRE 根据真实观察到的网络攻击数据提炼形成攻击矩阵模型。该模型把攻击活动抽象为初始访问(Initial Access )、执行(Execution )、持久化(Persistence )、特权提升(Privilege Escalation)、躲避防御(Defense Evasion)、凭据访问(Credential Access )、发现(Discovery)、横向移动(Lateral Movement )、收集(Collection )、指挥和控制(Command and Control )、外泄(Exfiltration )、影响(Impact ),然后给出攻击活动的具体实现方式
网络杀伤链(Kill Chain )模型
洛·马公司提出的网络杀伤链模型,该模型将网络攻击活动分成目标侦察(Reconnaissance )、武器构造(Weaponization )、载荷投送(Delivery )、漏洞利用(Exploitation )、安装植入(Installation )、指挥和控制(Command and Control)、目标行动(Actions on Objectives)等七个阶段。
网络攻击一般过程 了解攻击过程中各个步骤的概念。能准确区分即可。
网络攻击过程几个步骤:
(1)隐藏攻击源。隐藏黑客主机位置使得系统管理无法追踪。
(2)收集攻击目标信息。确定攻击目标并收集目标系统的有关信息。
(3)挖掘漏洞信息。从收集到的目标信息中提取可使用的漏洞信息。
(4)获取目标访问权限。获取目标系统的普通或特权账户的权限。
(5)隐蔽攻击行为。隐蔽在目标系统中的操作,防止入侵行为被发现。
(6)实施攻击。进行破坏活动或者以目标系统为跳板向其他系统发起新的攻击。
(7)开辟后门。在目标系统中开辟后门,方便以后入侵。
(8)清除攻击痕迹。避免安全管理员的发现、追踪以及法律部门取证。
常用的漏洞挖掘技术方法:
1.系统或应用服务软件漏洞
2.主机信任关系漏洞
3.目标网络的使用者漏洞
4.通信协议漏洞
5.网络业务系统漏洞
2.3 网络攻击常见技术方法 (其他的攻击类型和方法在相关章节有详细讲解)
2.3.1 端口扫描
端口扫描的目的是找出目标系统上提供的服务列表。端口扫描程序挨个尝试与端口连接,然后根据端口与服务的对应关系,结合服务器端的反应推断目标系统上是否运行了某项服务.
1.完全连接扫描
完全连接扫描利用 TCP/IP 协议的三次握手连接机制,使源主机和目的主机的某个端口建立一次完整的连接。如果建立成功,则表明该端口开放。否则,表明该端口关闭。
2.半连接扫描
半连接扫描是指在源主机和目的主机的三次握手连接过程中,只完成前两次握手,不建立一次完整
的连接。
3. SYN 扫描
首先向目标主机发送连接请求,当目标主机返回响应后,立即切断连接过程,并查看响应情况。如果目标主机返回 ACK 信息,表示目标主机的该端口开放。如果目标主机返回 RESET 信息,表示该端口没有开放。
4. ID 头信息扫描
这种扫描方法需要用一台第三方机器配合扫描,并且这台机器的网络通信量要非常少,即 dumb 主机。首先由源主机 A 向 dumb 主机 B 发出连续的 PING 数据包,并且查看主机 B 返回的数据包的 ID 头信息。
一般而言,每个顺序数据包的 ID 头的值会增加 1。然后由源主机 A 假冒主机 B 的地址向目的主机 C 的任意端口((1- 65535)发送 SYN 数据包。由后续 PING 数据包的响应信息的 ID 头信息可以看出,如果主机 C 的某个端口是开放的, ID 头的值不是递增 1,而是大于 1。如果主机 C 的某个端口是非开放的,则主机 B 返回 A的数据包中,ID 头的值递增 1,非常规律。
5.隐蔽扫描
隐蔽扫描是指能够成功地绕过 IDS、防火墙和监视系统等安全机制,取得目标主机端口信息的一种扫描方式。
6. SYN/ACK 扫描
由源主机向目标主机的某个端口直接发送 SYN/ACK 数据包,而不是先发送 SYN 数据包。
7. FIN 扫描
源主机 A 向目标主机 B 发送 FIN 数据包,然后查看反馈信息。如果端口返回 RESET 信息,则说明该端口关闭。如果端口没有返回任何信息,则说明该端口开放。
8. ACK 扫描
首先由主机 A 向目标主机 B 发送 FIN 数据包,然后查看反馈数据包的 TTL 值和 WIN 值。开放端口所返回的数据包的 TTL 值一般小于 64,而关闭端口的返回值一般大于 64。开放端口所返回的数据包的 WIN 值一般大于 0,而关闭端口的返回值一般等于 O.
9. NULL 扫描
将源主机发送的数据包中的 ACK, FIN, RST, SYN, URG, PSH 等标志位全部置空。如果目标主机没有返回任何信息,则表明该端口是开放的。如果返回 RST 信息,则表明该端口是关闭的。
10. XMAS 扫描
XMAS 扫描的原理和 NULL 扫描相同,只是将要发送的数据包中的 ACK, FIN, RST, SI'N,URG, PSH 等头标志位全部置成 1。如果目标主机没有返回任何信息,则表明该端口是开放的。
如果返回 RST 信息,则表明该端口是关闭的。
拒绝服务攻击特点
①难确认性,拒绝服务攻击很难判断,用户在自己的服务得不到及时响应时,并不认为自己(或者系
统)受到攻击,反而可能认为是系统故障造成一时的服务失效。
②隐蔽性,正常请求服务隐藏拒绝服务攻击的过程。
③资源有限性,由于计算机资源有限,容易实现拒绝服务攻击。
④软件复杂性,由于软件所固有的复杂性,设计实现难以确保软件没有缺陷。因而攻击者有机可乘,可以直接利用软件缺陷进行拒绝服务攻击,例如泪滴攻击。
1.同步包风暴(SYN Flood )
攻击者假造源网址(( Source IP )发送多个同步数据包(Syn Packet)给服务器(Server),服务器因无法收到确认数据包(Ack Packet ),使 TCP/IP 协议的三次握手(Three-Way Hand-Shacking)无法顺利完成,因而无法建立连接。其原理是发送大量半连接状态的服务请求,使 Unix 等服务主机无法处理正常的连接请求,因而影响正常运作。
2. UDP 洪水(UDP Flood)
利用简单的 TCP/IP 服务,如用 Chargen 和 Echo 传送毫无用处的占满带宽的数据。通过伪造与某一主机的 Chargen 服务之间的一次 UDP 连接,回复地址指向开放 Echo 服务的一台主机,生成在两台主机之间的足够多的无用数据流。
3. Smurf 攻击
一种简单的 Smurf 攻击是将回复地址设置成目标网络广播地址的 ICMP 应答请求数据包,使该网络的所有主机都对此 ICMP 应答请求作出应答,导致网络阻塞,比 ping of death 洪水的流量高出一或两个数量级。
4.垃圾邮件
攻击者利用邮件系统制造垃圾信息,甚至通过专门的邮件炸弹(mail bomb)程序给受害用户的信箱发送垃圾信息,耗尽用户信箱的磁盘空间,使用户无法应用这个信箱。
5.消耗 CPU 和内存资源的拒绝服务攻击
利用目标系统的计算算法漏洞,构造恶意输入数据集,导致目标系统的 CPU 或内存资源耗尽,从而使目标系统瘫痪,如 Hash DoS。
6.死亡之 ping ( ping of death )
当产生畸形的、尺寸超过 ICMP 上限的包,即加载的尺寸超过 64KB 上限时,就会出现内存分配错误,导致 TCP/IP 堆栈崩溃,使接收方停机。
7.泪滴攻击(Teardrop Attack)
泪滴攻击暴露出 IP 数据包分解与重组的弱点。泪滴攻击通过加入过多或不必要的偏移量字段,使计算机系统重组错乱,产生不可预期的后果。
8.分布式拒绝服务攻击(Distributed Denial of Service Attack)
分布式拒绝服务攻击是指植入后门程序从远程遥控攻击,攻击者从多个己入侵的跳板主机控制数个代理攻击主机,所以攻击者可同时对己控制的代理攻击主机激活干扰命令,对受害主机大量攻击。分布式拒绝服务攻击程序,最著名的有 Trinoo, TFN, TFN2K 和 Stacheldraht 四种。
2.3.8 SQL 注入
在 Web 服务中,一般采用三层架构模式:浏览器+Web 服务器+数据库。由于 Web脚本程序的编程漏洞,对来自浏览器端的信息缺少输入安全合法性检查,网络攻击者利用这种类型的漏洞,把 SQL 命令插入 Web 表单的输入域或页面的请求查找字符串,欺骗服务器执行恶意的 SQL 命令。
2.3.9 社交工程
网络攻击者通过一系列的社交活动,获取需要的信息。例如伪造系统管理员的身份,给特定的用户发电子邮件骗取他的密码口令。
2.4 黑客常用工具
经典的扫描软件:
NMAP NMap (Network Map)即网络地图,通过 NMap 可以检测网络上主机的开 放端口号、主机的操作系统类型以及提供的网络服务。
Nessus Nessus 早期是免费的、开放源代码的远程安全扫描器,可运行在 Linux 操作系统平台上,支持多线程和插件。
SuperScan 是一款具有 TCP connect 端口扫描、Ping 和域名解析等功能的工具,能较容易地对指定范围内的 IP 地址进行 Ping 和端口扫描.
密码破解工具
John the Ripper 用于检查 Unix/Linux 系统的弱口令,支持几乎所有 Unix 平台上经 crypt 函数加密后的口令哈希类型。
LOphtCrack 常用于破解 Windows 系统口令,含有词典攻击、组合攻击、强行攻击等多种口令猜解方法。
网络嗅探器
Tcpdump/WireShark 是基于命令行的网络数据包分析软件,可以作为网络嗅探工具,能把匹配规则的数据包内容显示出来。而 WireShark 则提供图形化的网络数据包分析功能。
DSniff 是由 Dug Song 开发的一套包含多个工具的软件套件,包括 dsniff,filesnarf, mailsnarf, msgsnarf, rlsnarf 和webspy。使用 DSniff 可以获取口令、邮件、文件等信息。
安全渗透工具箱
1. Metasploit
Metasploit 是一个开源渗透测试工具,提供漏洞查找、漏洞利用、漏洞验证等服务功能。
Metasploit 支持 1500 多个漏洞挖掘利用,提供 OWASP TOP10 漏洞测试。
2. BackTrackS
BackTrack 集成了大量的安全工具软件,支持信息收集、漏洞评估、漏洞利用、特权提升、保持访问、逆向工程、压力测试。
DNS 放大攻击
是攻击者假冒目标系统向多个 DNS 解析服务器发送大量请求,而导致 DNS 解析服务器同时应答目标系统,产生大量网络流量,形成拒绝服务,如图所示。
大家注意 W32.BIaster.Worm
是一种利用 DOOM RPC 漏洞进行传播的网络蠕虫,其传播能力很强。
感染蠕虫的计算机系统运行不稳定,系统会不断重启。并且该蠕虫还将对 windowsupdate.com 进行拒绝服务攻击,使得受害用户不能及时地得到这个漏洞的补丁。
扫一扫
8365
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
