软考信安02~网络攻击原理与常用方法

1、网络攻击概述

1.1、网络攻击概念

网络攻击是指损害网络系统安全属性的危害行为。常见的危害行为：

• 信息泄露攻击
• 完整性破坏攻击
• 拒绝服务攻击
• 非法使用攻击

网络攻击由攻击者发起，攻击者应用一定的攻击工具（包括攻击策略和方法），对目标网络系统进行（合法与非法的）共计操作，达到一定的攻击效果，实现攻击者预定的攻击意图。

安全攻击类型：

1. 中断，攻击计算机或网络系统，使其资源变得不可用或不能用，对应的是可用性；
2. 窃取，访问未授权的资源，对应的是机密性；
3. 篡改，截获并修改资源内容，对应的是完整性；
4. 伪造，伪造信息，对应的是真实性。

1.1.1、攻击者

分为两大类：内部人员和外部人员

常见的六种攻击者：间谍、恐怖主义者、黑客、职业犯罪分子、公司职员和破坏者

1.1.2、攻击工具

用户命令、脚本或程序、自治主体（攻击者制作一个程序或程序片断独立进行漏洞挖掘）、电磁泄露

1.1.3、攻击访问

合法和非法访问，主要是通过非法访问，即未授权访问和未授权使用目标系统的资源，前提是目标网络和系统存在弱点（设计弱点、实现弱点和配置弱点）

1.1.4、攻击效果

破坏信息：删除或修改存储中或传输中的数据

信息泄密：窃取或公布敏感信息

窃取服务：未授权使用计算机或网络服务

拒绝服务：干扰系统或网络的正常服务，降低系统和网络性能，甚至使系统和网络崩溃

1.1.5、攻击意图：

黑客：表现自己或技术挑战

间谍：获取情报信息

恐怖主义者：获取恐怖主义集团的利益

公司职员：好奇、显示才干

职业犯罪分子：获取经济利益

破坏者：报复或发泄不满情绪

1.2、网络攻击模型

1.2.1、攻击树模型

攻击树方法可以被Red Team 用来进行渗透测试，同时也可以被Blue Team 用来研究防御机制（红透蓝防）。

攻击树的优点：能够采取专家头脑风暴法，并且将这些意见融合到攻击树中去；能够进行费效分析或者概率分析；能够建模非常复杂的攻击场景。

攻击树的缺点：由于树结构的内在限制，攻击树不能用来建模多重尝试攻击、时间依赖及访问控制等场景；不能用来建模循环事件；对于现实中的大规模网络，攻击树方法处理起来将会特别复杂。

1.2.2、MITRE ATT&CK 模型

攻击矩阵模型，应用场景主要有：网络红蓝对抗模拟、网络安全渗透测试、网络防御差距评估、网络威胁情报收集等。

1.2.3、网络杀伤链（Kill Chain）模型

洛克希德·马丁公司提出的网络杀伤链模型（简称Kill Chain 模型），该模型将网络攻击活动分成目标侦察(Reconnaissance) 、武器构造(Weaponization) 、载荷投送(Delivery) 、漏洞利用(Exploitation) 、安装植入(Installation) 、指挥和控制(CommandandControl) 、目标行动(ActionsonObjectives) 等七个阶段。

1.3、网络攻击发展

网络攻击工具智能化、自动化

网络攻击者全体普适化

网络攻击目标多样化和隐蔽性

网络攻击计算资源获取方便

网络攻击活动持续性强化

网络攻击速度加快

网络攻击影响扩大

网络攻击主体组织化

2、网络攻击一般过程

2.1、隐藏攻击源

隐藏黑客主机位置使得系统管理无法追踪。

设法隐藏自己所在的网络位置，包括自己的网络域及IP 地址，使调查者难以发现真正的攻击者来源。常见技术有：利用被侵入的主机作为跳板、免费代理网关、伪造IP地址、假冒用户账号

2.2、收集攻击目标信息

确定攻击目标并收集目标系统的有关信息。

常收集的目标系统信息有：一般信息（IP、DNS、操作系统、版本号等）、配置信息、安全漏洞信息、安全措施信息（安全厂商、安全产品）、用户信息（邮箱、社交账号、手机号、照片、爱好等）

2.3、挖掘漏洞信息

从收集到的目标信息中提取可使用的漏洞信息。

常见的漏洞挖掘技术方法：系统或应用服务软件漏洞、主机信任关系漏洞、目标网络的使用者漏洞、通信协议漏洞、网络业务系统漏洞

2.4、获取目标访问权限

获取目标系统的普通或特权账户的权限。

常见途径：获得系统管理员的口令、利用系统管理上的漏洞、让系统管理员运行一些特洛伊木马、窃听管理员口令

2.5、隐蔽攻击行为

隐蔽在目标系统中的操作，防止入侵行为被发现。

连接隐藏、进程隐藏、文件隐蔽

2.6、实施攻击

进行破坏活动或者以目标系统为跳板向其他系统发起新的攻击。

实施攻击的目标有：攻击其他被信任的主机和网络、修改或删除重要数据、窃听敏感数据、停止网络服务、下载敏感数据、删除数据账号、修改数据记录

2.7、开辟后门

在目标系统中开辟后门，方便以后入侵。方法有：放宽文件许可权、重新开放不安全的服务、修改系统的配置、替换系统的源代码、安装嗅探器、建立隐蔽信道

2.8、清除攻击痕迹

避免安全管理员的发现、追踪以及法律部门取证。

常用方法：篡改曰志文件中的审计信息、改变系统时间造成日志文件数据紊乱以迷惑系统管理员、删除或停止审计服务进程、干扰入侵检测系统的正常运行、修改完整性检测标签

3、网络攻击常见技术方法

3.1、端口扫描

3.1.1、完全连接扫描

利用TCP/IP协议三次握手连接，连接成功表明端口开放，连接失败表明端口关闭。

3.1.2、半连接扫描

三次握手连接中，只完成前两次握手，不建立一次完整连接。

3.1.3、SYN扫描

向目标发送连接请求，目标主机返回响应后，立即切断连接查看响应情况，返回ACK表明端口开放，返回RESET表明端口关闭

3.1.4、ID头信息扫描

A假冒B向C发送SYN数据包，C给B回复SYN|ACK数据包，表示端口处于开放状态，B返回A的ID头值不是递增1而是大于1；C给B回复RST|ACK数据包，表示端口处于关闭状态，B返回A的ID头值规律递增1。

3.1.5、隐蔽扫描

绕过IDS、防火墙和监视系统等安全机制，去的目标主机端口信息的一种方式

3.1.6、SYN|ACK扫描

向目标主机某个端口直接发送SYN|ACK数据包，由于不先发送SYN包，目标主机会认为这是一次错误连接，从而会报错。

如果端口没有开放，则会返回RST信息，如果端口开放则不返回任何信息而将数据包直接丢弃。

3.1.7、FIN扫描

A向B发送SYN包，如果端口返回RESET信息说明端口关闭，如果没有返回信息说明端口开放。

3.1.8、ACK扫描

A向B发送SYN包，查看反馈包的TTL和WIN值，开放端口返回的TTL值一般小于64，关闭端口返回TTL值一般大于64。开放端口返回的WIN值一般大于0，关闭端口返回WIN值一般等于0。

3.1.9、NULL扫描

将源主机发送的数据包中的ACK 、FIN 、RST 、SYN 、URG 、PSH 等标志位全部置空。目标主机没返回任何信息，说明端口开放。目标主机返回RST信息，说明端口关闭。

3.1.10、XMAS扫描

原理同NULL扫描，只是将标志位全部置为1。

3.2、口令破解

攻击者利用软件工具，进行远程猜测网络服务口令，其主要工作流程如下：

第一步，建立与目标网络服务的网络连接；

第二步，选取一个用户列表文件及字典文件；

第三步，在用户列表文件及字典文件中，选取一组用户和口令，按网络服务协议规定，将用户名及口令发送给目标网络服务端口；

第四步，检测远程服务返回信息，确定口令尝试是否成功；

第五步，再取另一组用户和口令，重复循环试验，直至口令用户列表文件及字典文件选取完毕。

3.3、缓冲区溢出

攻击者将特意构造的攻击代码植入有缓冲区溢出漏洞的程序之中，改变漏洞程序的执行过程，就可以得到被攻击主机的控制权。

3.4、恶意代码

恶意代码是网络攻击常见的攻击手段。

常见的恶意代码类型有计算机病毒、网络蠕虫、特洛伊木马、后门、逻辑炸弹、僵尸网络等。

1988年小莫里斯编制，可以感染UNIX系统主机；

2001年8月，红色代码蠕虫病毒，利用微软Web服务器IIS4.0或5.0总的Index安全缺陷；

2010年，震网，利用软件定向攻击真实世界中基础（能源）硬件设施的恶意代码。

3.5、拒绝服务

拒绝服务攻击最本质的特征是延长服务等待时间。

拒绝服务攻击与其他的攻击方法相比较，具有以下特点：

1. 难确认性，拒绝服务攻击很难判断，用户在自己的服务得不到及时响应时。
2. 隐蔽性，正常请求服务隐藏拒绝服务攻击的过程。
3. 资源有限性，由于算机资源有限，容易实现拒绝服务攻击。
4. 软件复杂性，由千软件所固有的复杂性，设计实现难以确保软件没有缺陷。因而攻击者有机可乘，可以直接利用软件缺陷进行拒绝服务攻击，例如泪滴攻击。

    1、同步包风暴（SYN Flood），原理是发送大量半连接状态的服务请求；

    2、UDP洪水（UDP Flood），用毫无用处的Echo包等占满带宽的数据；

    3、Smurf攻击，将回复地址设置成目标网络广播地址的ICMP 应答请求数据包，使该网络的所有主机都对此ICMP 应答请求作出应答，导致网络阻塞。

    4、垃圾邮件，利用垃圾邮件占满邮箱

    5、消耗CPU 和内存资源的拒绝服务攻击，利用目标系统的计算算法漏洞，构造恶意输入数据集，导致目标系统的CPU 或内存资源耗尽，从而使目标系统瘫痪，如HashDoS

    6、死亡之Ping（Ping of Death），产生畸形的、尺寸超出ICMP上限的包，导致TCP/IP堆栈崩溃。

    7、泪滴攻击（TearDrop Attack）,数据包传送会分片，并由偏移量字段作为重组的依据，通过加入过多或不必要的偏移量字段，使计算机系统重组错乱，产生不可预期的后果。

    8、分布式拒绝服务攻击（Distributed Denial of Service Attack），分布式拒绝服务攻击是指植入后门程序从远程遥控攻击，攻击者从多个已入侵的跳板主机控制数个代理攻击主机。

3.6、网络钓鱼

网络钓鱼(Phishing) 是一种通过假冒可信方（知名银行、在线零售商和信用卡公司等可信的品牌）提供网上服务，以欺骗手段获取敏感个人信息（如口令、信用卡详细信息等）的攻击方式。

3.7、网络窃听

网络窃听是指利用网络通信技术缺陷，使得攻击者能够获取到其他人的网络通信信息。常见的网络窃听技术手段主要有网络嗅探、中间人攻击。是一种被动攻击的形式。

3.8、SQL注入

在Web 服务中，一般采用三层架构模式：浏览器＋Web 服务器＋数据库。是一种信任传递。

3.9、社交工程

网络攻击者通过一系列的社交活动，获取需要的信息。

3.10、电子监听

网络攻击者采用电子设备远距离地监视电磁波的传送过程。

3.11、会话劫持

会话劫持是指攻击者在初始授权之后建立一个连接，在会话劫持以后，攻击者具有合法用户的特权权限。攻击者能够使用合法用户的所有权限。典型的实例是“TCP 会话劫持“。

3.12、漏洞扫描

漏洞扫描是一种自动检测远程或本地主机安全漏洞的软件，通过漏洞扫描器可以自动发现系统的安全漏洞。

常见的漏洞扫描技术有CGI 漏洞扫描、弱口令扫描、操作系统漏洞扫描、数据库漏洞扫描等。

3.13、代理技术

网络攻击者通过免费代理服务器进行攻击，其目的是以代理服务器为“攻击跳板”，即使攻击目标的网络管理员发现了，也难以追踪到网络攻击者的真实身份或IP地址，在黑客中，代理服务器被叫作“肉鸡”，黑客常利用所控制的机器进行攻击活动，例如DDoS 攻击。

3.14、数据加密

网络攻击者常常采用数据加密技术来逃避网络安全管理人员的追踪。攻击者的安全原则是，任何与攻击有关的内容都必须加密或者立刻销毁。

4、黑客常用工具

4.1、扫描器

根据不同的扫描目的，扫描类软件又分为地址扫描器、端口扫描器、漏洞扫描器三个类别。

NMAP、Nessus、SuperScan

4.2、远程监控

冰河、网络精灵、Netcat

4.3、密码破解

常见的密码破解方式有口令猜测、穷举搜索、撞库等。口令猜测主要针对用户的弱口令。

穷举搜索就是针对用户密码的选择空间，使用高性能计算机，逐个尝试可能的密码，直至搜索到用户的密码。

撞库则根据已经收集到的用户密码的相关数据集，通过用户关键词搜索匹配，与目标系统的用户信息进行碰撞，以获取用户的密码。

John the Ripper 用于检查Unix/Linux 系统的弱口令；

LOphtCrack 常用于破解Windows 系统口令。

4.4、网络嗅探器（网络抓包工具）

网络嗅探器(Network Sniffer) 是一种黑客攻击工具，通过网络嗅探，黑客可以截获网络的信息包，之后对加密的信息包进行破解，进而分析包内的数据，获得有关系统的信息。

Tcpdump/WireShark 

Tcpdump 是基于命令行的网络数据包分析软件，可以作为网络嗅探工具，能把匹配规则的数据包内容显示出来。而WireShark 则提供图形化的网络数据包分析功能，可视化地展示网络数据包的内容。

DSniff

是由Dug Song 开发的一套包含多个工具的软件套件。

4.5、安全渗透工具箱

Metasploit

BackTrack5

5、网络攻击案例分析

5.1、DDoS 攻击

DDoS 是分布式拒绝服务攻击的简称。

DDoS 的整个攻击过程可以分为以下五个步骤：

第一步，通过探测扫描大量主机，寻找可以进行攻击的目标；

第二步，攻击有安全漏洞的主机，并设法获取控制权；

第三步，在已攻击成功的主机中安装客户端攻击程序；

第四步，利用已攻击成功的主机继续进行扫描和攻击；

第五步，当攻击客户端达到一定的数目后，攻击者在主控端给客户端攻击程序发布向特定目标进行攻击的命令。

DDoS 常用的攻击技术手段有HTTP Flood 攻击、SYN Flood 攻击、DNS 放大攻击等。

5.2、W32.Blaster.Worm（攻击波）

W32.Blaster.Worm 是一种利用DCOM RPC 漏洞进行传播的网络蠕虫，其传播能力很强。

(1) 创建一个名为BILLY 的互斥体。如果这个互斥体存在，蠕虫将放弃感染并退出。

(2) 在注册表中添加下列键值："windows auto update"="msblast.exe"并且将其添加至：HKEY LOCAL MACHINE\SOFTWARE\Microsoft\ Windows\Current Version\Run这样就可以使蠕虫在系统被重起的时候能够自动运行。

(3) 蠕虫生成攻击IP 地址列表，尝试去感染列表中的计算机，蠕虫对有DCOMRPC 漏洞的机器发起TCP 135 端口的连接，进行感染。

(4) 在TCP 4444 端口绑定一个cmd.exe 的后门。

(5) 在UDPport69 口上进行监听。如果收到了一个请求，将把Msblast.exe 发送给目标机器。

(6) 发送命令给远端的机器使它回联已经受到感染的机器并下载Msblast.exe 。

(7) 检查当前日期及月份，若当前日期为16日或以后，或当前月份处在9月到12月之间，则W32.Blaster. Worm 蠕虫将对windowsupdate.com 发动TCP 同步风暴拒绝服务攻击。

5.3、网络安全导致停电事件

2015年12月23日，乌克兰多地区发生同时停电的事件。

黑客首先利用钓鱼邮件，欺骗电力公司员工下载了带有BlackEnergy的恶意代码文件，然后诱导用户打开这个文件，激活木马，安装SSH 后门和系统自毁工具Killdisk, 致使黑客最终获得了主控电脑的控制权。最后，黑客远程操作恶意代码将电力公司的主控计算机与变电站断连并切断电源；同时，黑客发动DDoS攻击电力客服中心，致使电厂工作人员无法立即进行电力维修工作。