一、网络攻击概述
网络攻击:是指破坏网络系统安全属性的有害行为。 危害行为导致网络系统的机密性、完整性、可控性、真实性、不可抵赖性受到不同程度的破坏。
四种基本的危害行为类型:信息泄露攻击、完整性破坏攻击、拒绝服务攻击、非法使用攻击
攻击者
间谍
恐怖分子
职业罪犯
职员
破坏者
攻击意图
获取情报信息
收割恐怖组织的利益
表达自己或技术挑战
获得经济利益
好奇的
报复或发泄不满
攻击工具:用户命令、脚本或程序、自制对象、电磁泄漏
攻击访问方式:本地访问、远程访问
攻击效果:信息破坏、信息泄露、窃取服务、拒绝服务
网络攻击趋势
1.1 网络攻击模型
网络攻击模型:有助于更好地理解和分析网络攻击活动,从而评估目标系统的抗攻击能力
优点:可以采用专家集思广益的方法(思路开阔,畅所欲言),并将这些意见整合到攻击树中,可以进行成本效益(cost-effective,cost)分析或概率分析,可以对非常复杂的攻击场景进行建模
缺点:由于树结构的先天局限性(一个入度,多个出度),攻击树不能用于对多种常识攻击(图片可以)、事件依赖和访问控制场景进行建模,不能被用于模拟循环事件。 对于真正的大型网络(往往不是树结构),攻击树的方法处理起来会特别复杂
1.2 网络攻击的一般流程 隐藏攻击源:以被入侵主机为跳板、免费代理网关、伪造IP地址、假冒用户账号等方式收集攻击目标信息:收集目标系统的一般信息、配置、安全漏洞、安全措施和用户信息挖掘 漏洞信息:系统或应用服务软件漏洞、主机信任关系漏洞、目标网络用户漏洞、通信协议漏洞、网络业务系统漏洞。 系统管理员运行一些木马程序,窃听管理员指令隐藏攻击行为:连接隐藏、进程隐藏、文件隐藏来实施攻击:攻击其他可信主机和网络,修改或删除重要数据,窃听敏感数据,停止网络服务,下载敏感数据、删除数据账号、修改数据记录开后门:放宽文件权限、重启不安全服务、修改系统配置、替换系统自身共享库文件、修改系统源代码、安装各种木马、安装嗅探器、建立隐藏通道清除攻击痕迹:篡改日志文件中的审计信息、更改系统时间导致日志文件中的数据紊乱迷惑系统管理员、删除或停止审计服务进程、干扰入侵检测系统的正常运行、以及修改完整性检测标签 二、网络攻击的常见技术手段 2.1 端口扫描宁
目的:找出目标系统上提供的服务列表,尝试与TCP/UDP(Transmission Control Protocol/User Datagram Protocol,传输控制协议/用户数据协议)端口一一连接,然后根据组合服务器端口与服务的对应关系 终端的反射可以推断出目标系统上是否运行着某个服务,攻击者可以通过它进一步了解目标系统或通往目标系统的途径
扫描类型
全连接扫描:利用TCP/IP(Internet Protocol,网际协议)协议的三次握手连接机制,在源主机的一个端口和目的主机之间建立一个完整的连接。 如果建立成功,则表示端口是开放的,否则是关闭的
半连接扫描:指源主机和目标主机的三次握手连接过程,只完成前两次握手,不建立完整的连接
SYN扫描:先向目标主机发送连接请求,目标主机返回响应后,立即切断连接进程,并检查响应,如果返回ACK信息,说明端口开放,如果返回RESET信息,表示端口没有打开
ID头信息扫描:需要第三方机器配置扫描,并且本机网络流量应该很小,也就是dumb hosts(少活跃主机,空置主机,dumb hosts),首先从源主机A to dumb 主机B发送连续的ping数据包,查看主机B返回的数据包的ID头信息。一般来说,每一个顺序数据包的ID头的值都会加1,然后源主机A会伪造主机B的地址发送一个SYN包到目的主机C的任意端口(1~65535)
主机 C 发送给主机 B 的数据包有两种可能的结果:
从ping数据包的响应信息中的ID头信息可以看出,如果C的某个端口是开放的,则B在数据包中返回给A,ID头的值增加超过1; 如果C的某个端口没有打开,则B在返回给A的数据包中,ID头值加1
Stealth scanning:指能够成功绕过IDS(入侵检测系统,入侵检测系统)、防火墙和监控系统等安全机制,获取目标主机端口信息
SYN|ACK扫描:源主机直接向目标主机的某个端口发送SYN|ACK包。 如果没有发送SYN包,目标主机会认为这是一个错误的连接而报错。如果目标主机的端口没有打开,会返回RST信息,如果端口打开(LISTENING),则没有返回信息,数据包直接丢弃
FIN扫描:源主机A向目标主机B发送一个FIN包,然后检查反馈报文。 如果没有返回信息,则端口是打开的。 如果端口返回 RESET 信息,则端口关闭。
ACK扫描:首先主机A向目标主机B发送FIN,然后检查反馈数据包的TTL值和WIN值。 如果 TTL<64 或 WIN>0,则端口打开。 如果 TTL>64 或 WIN=0,则端口关闭
NULL扫描:将源主机发送的数据包中的ACK、FIN、RST、SYN、URG、PSH等标志位全部设置为空。 如果目标主机没有返回任何信息,则表明该端口是开放的。 如果返回RST信息,说明该端口已关闭
XMAS扫描:原理与NULL扫描相同,只是将要发送的数据包中的ACK、FIN、RST、SYN、URG、PSH等标志位全部设置为1,不返回表示打开,返回RST表示关闭
2.2 密码破解
密码机制是资源访问控制的第一道屏障。 网络攻击者往往以用户的弱口令为突破口,进入系统。
工作过程
与目标网络服务建立网络连接 选择一个用户列表文件和字典文件 在用户列表文件和字典文件中,选择一组用户和密码,将用户名和密码发送到目标网络服务端口进行检测向网络服务协议远程服务返回信息黑客工具箱手机版qq,判断密码尝试是否成功,然后到另一组用户和密码,重复循环实验,直到选择密码用户列表文件和字典文件。 2.3 缓冲区溢出攻击
是一种向程序的缓冲区写入超过其长度,造成缓冲区溢出,从而破坏程序的堆栈,使程序执行其他预设指令,从而达到攻击目的的攻击方式
基本原理:将超长和预设的内容写入缓冲区,造成缓冲区溢出,覆盖掉其他正常的程序或数据,然后让电脑切换执行这行预设程序,从而进行非法操作,实现目的攻击
2.4 恶意代码
指专门为达到恶意目的而设计的程序或代码,指一切旨在破坏计算机或网络系统的可靠性、可用性、安全性和数据完整性或耗尽系统资源的恶意程序
常见的恶意代码类型:计算机病毒、网络蠕虫、木马、后门程序、逻辑炸弹、僵尸网络等。
2.5 拒绝服务攻击
拒绝服务攻击(DoS,Denial of Service):主要是利用网络系统或网络协议缺陷和配置漏洞,进行网络攻击,造成网络拥塞、系统资源耗尽或系统应用死锁,使目标主机和网络系统无法正常工作。立即响应正常的用户服务请求,造成服务性能受损甚至服务中断
原理:消耗系统资源,导致目标主机宕机,从而导致授权用户无法正常访问服务
服务器拒绝服务攻击的本质:
服务器缓冲区已满,收不到新的请求 利用IP欺骗强制服务器重置合法用户的连接,影响合法用户的连接(DoS的基本思路) DoS类型
内部用户发起:通过长期占用系统内存和CPU处理时间,其他用户无法及时获取这些资源
外部用户发起:外部黑客通过占用网络连接,阻止其他用户接受网络服务
外部启动方式:消耗资源、破坏或更改配置信息、物理破坏或更改网络组件、利用服务程序中的处理错误来禁用服务
DoS 攻击方式 2.6 网络钓鱼(Phishing)
它是一种通过冒充受信任方(知名银行等)提供在线服务,以欺诈手段获取个人敏感信息(如密码、信用卡资料等)的攻击方式。 钓鱼者利用欺骗性邮件和虚假网站进行诈骗活动,诱骗访问者提供部分个人信息,谋取异常利益
2.7 网络窃听
指利用网络通信技术漏洞,让攻击者获取他人的网络通信信息
常用技术手段:网络嗅探、中间人攻击
网络攻击者将主机网络接口模式设置为“混乱”模式,即可接收全网信息包,从而获取敏感密码,甚至重组还原为用户传递的文件
2.8 SQL注入攻击
在Web服务中,一般采用三层架构模型,浏览器+Web服务器+数据库。 其中,web脚本程序负责处理从浏览器端提交的新事物,但是由于web脚本程序的编程漏洞,来自浏览器端的信息缺乏输入的安全性和合法性检测,网络攻击者趁虚而入该漏洞在Web表单的输入域或页面的请求搜索字符串中插入SQL命令,诱使服务器执行恶意SQL命令
2.9 社会工程学
网络攻击者通过一系列社会活动获取所需信息,例如伪造系统管理员的身份,通过电子邮件将他的密码和密码骗给特定用户,还有一些攻击者会给用户免费的实用程序,但该程序除了完成用户需要的功能外,还隐藏了一个将用户电脑信息发送给攻击者的功能
2.10 电子监控
网络攻击者利用电子设备远程监控电磁波的传输过程,敏感的无线电接收器可以在远处看到电脑操作者输入的字符或屏幕上显示的内容
2.11 会话劫持
指攻击者在初始授权后建立连接。 会话劫持后,攻击者拥有合法用户的权限,如“TCP会话劫持”
2.12 漏洞扫描
是一款自动检测远程或本地主机安全漏洞的软件,可以通过漏洞扫描器自动发现系统安全漏洞
常见的漏洞扫描技术:CCI漏洞扫描、弱口令扫描、操作系统漏洞扫描、数据库漏洞扫描等。
2.13 代理技术
网络攻击者通过免费代理服务器进行攻击。 目的是利用代理服务器作为“攻击跳板”。 即使被攻击目标的网络管理员发现,也很难追踪到网络攻击者的真实身份或IP地址。 ,网络攻击者还会使用多级代理服务器或“跳板主机”来攻击目标。 在黑客中,代理服务器被称为“肉鸡”。 黑客经常利用他们控制的机器进行攻击活动,例如 DDoS 攻击
2.14 数据加密
网络攻击者经常使用数据加密技术来逃避网络安全管理人员的追踪。 加密有效地保护了网络攻击者的数据。 即使网络安全管理人员获得了加密数据,如果没有密钥,他们也无法读取。 自我保护免受攻击
攻击者的安全原则:任何与攻击有关的东西都必须立即加密或销毁
三、黑客常用的工具
Scanner:通过扫描程序,可以找到攻击目标的IP地址、开放的端口号、运行的服务器版本、程序可能存在的漏洞等。
扫描软件按扫描目的分类:地址扫描器、端口扫描器、漏洞扫描器
3.1 经典扫描软件
网络地图(NMAP:Network Map):可以检测主机在网络上开放的端口号、主机的操作系统类型以及提供的网络服务
Nessus:可以运行在Linux操作系统上,支持多线程和插件
SuperScan:是一款具有TCP连接端口扫描、Ping和域名解析等功能的工具,可以轻松对指定范围内的IP地址进行Ping和端口扫描
3.2 远程监控工具
远程监控:其实就是在受害机器上运行一个代理软件,在黑客电脑上运行管理软件。 受害机器由黑客的管理终端控制,常用于发起DDoS拒绝服务攻击或作为攻击的跳板
常用的远程监控工具:Glacier、Net Wizard、Netcat
3.3 密码破解工具
密码破解工具:是一种常用的安全渗透工具,多由资深黑客编写,初级黑客使用
常用的密码破解方法:密码猜测(针对用户的弱密码)、穷举搜索(针对用户密码的选择空间,使用高性能计算机,逐一尝试可能的密码)、凭证库(根据用户密码的相关性)收集到的)数据集,通过用户关键词搜索匹配,与目标系统的用户信息碰撞获取用户密码)等。
常用密码破解工具
3.4 网络嗅探器工具
通过网络嗅探,黑客可以拦截网络信息包,进而破解加密的信息包,进而分析数据包中的数据,获取系统信息
常用嗅探器工具
3.5 安全渗透工具箱 4. 网络攻击案例分析 4.1 DDoS攻击的整个攻击过程
五个步骤
通过检测扫描大量主机,发现可以攻击的目标,攻击存在安全漏洞的主机,并试图获得控制权 在被攻击成功的主机上安装客户端攻击程序 使用成功攻击的主机扫描并攻击攻击客户端 达到一定数量后、攻击者向主控端的客户端攻击程序发出命令,攻击特定目标 DDoS 常见攻击技术 4.2 W32.Blaster.Worm(冲击波病毒)
它是一种利用DCOM RPC漏洞分析和传播的网络蠕虫。 它具有很强的传播能力。 感染该蠕虫的计算机系统不稳定,会不断重启。 该蠕虫还会对windowsupdate.com进行拒绝服务攻击,使受害用户无法及时获取该漏洞的补丁
RPC(Remote Procedure Call,远程过程调用):是操作系统的消息传递功能,允许分布式应用程序调用网络上不同计算机上可用服务的消息传递实用程序。在远程管理计算机时使用
DCOM(Distributed Component Object Model,分布式组件对象模型):是微软的一系列概念和程序接口。 使用此接口,客户端程序对象可以从网络中的另一台计算机请求服务器程序对象。 DCOM 基于组件对象模型 (COM),它提供了一组接口,允许在同一台计算机上的客户端和服务器之间进行通信
攻击过程创建了一个名为 BILLY 的互斥量。 如果 HILLY 存在,蠕虫将放弃感染并退出。 在注册表中添加一个键值:"windows auto update"="msblast.exe",添加到:HKEY_LOCAL_mACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run黑客工具箱手机版qq,这样当系统重启时,蠕虫就可以自动运行蠕虫生成攻击 IP 地址列表并尝试感染列表中的计算机。 蠕虫向存在DCOM RPC漏洞的机器发起TCP 135端口连接,进行感染,在TCP 4444端口绑定一个cmd.exe客户端监听UDP 69端口,如果收到请求,发送Msblast.exe到目标机器并向远程机器发送命令让他重新连接 已收到感染机器并下载 Msblast.exe 查看当前日期和月份 4.3 网络安全导致断电
乌克兰电力系统遭到攻击
攻击过程
黑客首先利用钓鱼邮件诱骗电力公司员工下载带有BlackEnergy的恶意代码文件,诱导用户打开该文件,激活木马,安装SSH后门和系统自毁工具Killdisk,黑客最终取得了主控计算机的控制权。 黑客远程操作。 恶意代码将电力公司的主控计算机与变电站断开连接,切断电源。 黑客向电力客服中心发起DDoS攻击,致使电厂工作人员无法立即进行电力维护。
链接:
