第2章 网络攻击原理与常用方法
网络攻击概述
• 网络攻击概念:损害网络系统安全属性的危害行为
o 信息泄露攻击
o 完整性破坏攻击
o 拒绝服务攻击
o 非法使用攻击
• 模型
o 攻击树模型:起源于故障树分析法
o MITRE ATT&CK模型:根据真实的网络攻击数据提炼形成矩阵攻击模型
o 网络杀伤链(Kill Chain)模型:7个阶段
• 发展演变
o 网络攻击工具智能化、自动化
o 网络攻击者群体普适化
o 网络攻击目标多样化和隐蔽性
o 网络攻击计算资源获取方便
o 网络攻击活动持续性强化
o 网络攻击速度加快
o 网络攻击影响扩大
o 网络攻击主体组织化
网络攻击的一般过程
• 隐藏攻击源:隐藏黑客主机位置使其无法追踪
• 收集攻击目标信息:收集目标系统资产
• 挖掘漏洞信息:提取可使用的漏洞信息
• 获取目标访问权限:getshell,获取普通或特权账户的权限
• 隐蔽攻击行为:隐蔽在目标系统中的操作
• 实施攻击:进行破坏活动
• 开辟后门:留后门持续控制目标系统
• 清除攻击痕迹:避免安全管理员的发现
网络攻击常见技术方法
• 端口扫描:基于TCP/UDP协议进行不同类型的扫描
o 完全连接
o 半连接
o SYN扫描
o ID头信息扫描
o SYN|ACK扫描
o 隐蔽扫描
o FIN扫描
o ACK扫描
o NULL扫描
• 口令破解
• 缓冲区溢出
• 恶意代码:计算机病毒、网络蠕虫、特洛伊木马、后门、僵尸网络
• 拒绝服务:SYN Flood、UDP Flood、Smurf攻击、垃圾邮件等
• 网络钓鱼
• 网络窃听
• SQL注入
• 社交工程:社交软件中泄露个人隐私信息
• 电子监听
• 会话劫持:TCP会话劫持
• 漏洞扫描:web漏扫
• 代理技术:使用代理服务器隐藏攻击者
• 数据加密:攻击数据进行加密
黑客常用工具
• 扫描器:nmap、Nessus、AWVS、xray、goby
• 远程监控:冰河、网络精灵、Netcat
• 密码破解:John the Ripper(Linux系统弱口令)、LOphtCrack (Windows)
• 网络嗅探:Wireshark、Tcpdump
• 安全渗透工具箱:Metaspolit、kali
网络攻击案例
• DDos攻击
• W32.Blaster.Worm:DCOM RPC漏洞传播的网络蠕虫
• 乌克兰停电事件