第2章 网络攻击原理与常用方法
网络攻击概述
• 网络攻击概念：损害网络系统安全属性的危害行为
o 信息泄露攻击
o 完整性破坏攻击
o 拒绝服务攻击
o 非法使用攻击
• 模型
o 攻击树模型：起源于故障树分析法
o MITRE ATT&CK模型：根据真实的网络攻击数据提炼形成矩阵攻击模型
o 网络杀伤链（Kill Chain）模型：7个阶段
• 发展演变
o 网络攻击工具智能化、自动化
o 网络攻击者群体普适化
o 网络攻击目标多样化和隐蔽性
o 网络攻击计算资源获取方便
o 网络攻击活动持续性强化
o 网络攻击速度加快
o 网络攻击影响扩大
o 网络攻击主体组织化
网络攻击的一般过程
• 隐藏攻击源：隐藏黑客主机位置使其无法追踪
• 收集攻击目标信息：收集目标系统资产
• 挖掘漏洞信息：提取可使用的漏洞信息
• 获取目标访问权限：getshell，获取普通或特权账户的权限
• 隐蔽攻击行为：隐蔽在目标系统中的操作
• 实施攻击：进行破坏活动
• 开辟后门：留后门持续控制目标系统
• 清除攻击痕迹：避免安全管理员的发现
网络攻击常见技术方法
• 端口扫描：基于TCP/UDP协议进行不同类型的扫描
o 完全连接
o 半连接
o SYN扫描
o ID头信息扫描
o SYN|ACK扫描
o 隐蔽扫描
o FIN扫描
o ACK扫描
o NULL扫描
• 口令破解
• 缓冲区溢出
• 恶意代码：计算机病毒、网络蠕虫、特洛伊木马、后门、僵尸网络
• 拒绝服务：SYN Flood、UDP Flood、Smurf攻击、垃圾邮件等
• 网络钓鱼
• 网络窃听
• SQL注入
• 社交工程：社交软件中泄露个人隐私信息
• 电子监听
• 会话劫持：TCP会话劫持
• 漏洞扫描：web漏扫
• 代理技术：使用代理服务器隐藏攻击者
• 数据加密：攻击数据进行加密
黑客常用工具
• 扫描器：nmap、Nessus、AWVS、xray、goby
• 远程监控：冰河、网络精灵、Netcat
• 密码破解：John the Ripper（Linux系统弱口令）、LOphtCrack (Windows)
• 网络嗅探：Wireshark、Tcpdump
• 安全渗透工具箱：Metaspolit、kali
网络攻击案例
• DDos攻击
• W32.Blaster.Worm：DCOM RPC漏洞传播的网络蠕虫
• 乌克兰停电事件