網(wǎng)絡空間安全導論第四章

網(wǎng)絡攻擊技術目錄CONTENTS01網(wǎng)絡攻擊概述02信息收集技術03常用的網(wǎng)絡攻擊手段04網(wǎng)絡后門技術05本章小結01網(wǎng)絡攻擊概述PRAT01網(wǎng)絡攻擊的目標1.101數(shù)據(jù)攻擊的特點系統(tǒng)攻擊的特點02攻擊發(fā)生在網(wǎng)絡層，破壞系統(tǒng)的可用性，使系統(tǒng)不能正常工作，可能留下明顯的攻擊痕跡。網(wǎng)絡攻擊的目標主要有兩類，分別為系統(tǒng)和數(shù)據(jù)，其對應的安全性也涉及系統(tǒng)安全和數(shù)據(jù)安全兩個方面。攻擊發(fā)生在應用層，面向信息，主要目的是竊取和篡改信息，不會留下明顯的攻擊痕跡。網(wǎng)絡攻擊的手段1.2當前，網(wǎng)絡攻擊的主要手段涵蓋以下幾個方面：利用網(wǎng)絡系統(tǒng)及各類網(wǎng)絡軟件的漏洞，比如基于TCP/IP協(xié)議自身的不完善、操作系統(tǒng)存在的種種缺陷等防火墻配置不合理實施電子欺詐發(fā)起拒絕服務攻擊（包括DDoS攻擊）傳播網(wǎng)絡病毒使用專門的攻擊軟件利用用戶網(wǎng)絡安全意識薄弱的特點，比如口令設置不當，或者直接將口令文件存放在系統(tǒng)中網(wǎng)絡攻擊的危害1.3網(wǎng)絡攻擊所使用的方法不同，造成的危害程度也不同，一般分為以下7個層次。（1）簡單拒絕服務。（2）本地用戶獲得非授權讀權限。（3）本地用戶獲得非授權寫權限。（4）遠程用戶獲得非授權賬號信息。（5）遠程用戶獲得特權文件的讀權限。（6）遠程用戶獲得特權文件的寫權限。（7）遠程用戶擁有了系統(tǒng)管理員權限。在這7個層次中，隨著層號的增加，造成的危害程度逐漸加重。網(wǎng)絡攻擊的分類1.4網(wǎng)絡攻擊可以分為以下6種類型。（1）阻塞類攻擊。阻塞類攻擊企圖通過強制占有信道資源、網(wǎng)絡連接資源、存儲空間資源，使服務器崩潰或資源耗盡而無法繼續(xù)對外提供服務。（2）探測類攻擊。探測類攻擊主要收集目標系統(tǒng)與網(wǎng)絡安全有關的各種信息，為下一步入侵做鋪墊。（3）控制類攻擊?？刂祁惞羰且活愒噲D獲得對目標主機控制權的攻擊。（4）欺騙類攻擊。欺騙類攻擊包括IP欺騙和偽造消息攻擊，前一種攻擊主要通過冒充合法網(wǎng)絡主機騙取敏感信息，后一種攻擊主要通過配置或設置一些虛假信息來實施欺騙攻擊。（5）漏洞類攻擊。如果系統(tǒng)硬件或軟件存在安全層面的脆弱性，則會導非法用戶未經(jīng)授權獲得訪問權限或提升自身訪問權限。（6）破壞類攻擊。破壞類攻擊是指對目標主機上的各種數(shù)據(jù)與軟件造成破壞性后果的一類攻擊。網(wǎng)絡攻擊的一般模型1.5在一般情況下，網(wǎng)絡攻擊通常遵循一種行為模型，都要經(jīng)過收集信息、獲取權限、清除痕跡、深入攻擊等階段，如圖1所示。然而，一些高明的入侵者會把自己隱藏得更好，利用“傀儡機”來實施攻擊。入侵成功后，他們還會徹底清除入侵痕跡并留下后門，為日后實施攻擊提供便利。圖1網(wǎng)絡攻擊的一般模型02信息收集技術PRAT02信息收集技術2.0在對特定的網(wǎng)絡資源進行攻擊之前，攻擊者需要了解將要攻擊的環(huán)境，這就需要收集與目標系統(tǒng)相關的各種信息，包括主機數(shù)目、操作系統(tǒng)類型等。攻擊者收集信息一般經(jīng)過以下7個步驟，每一步均有可利用的工具。（1）找到初始信息。（2）找到網(wǎng)絡的IP地址范圍。（3）找到活動主機。（4）找到開放的端口和入口點。（5）弄清操作系統(tǒng)。（6）弄清每個端口上運行的是哪種服務。（7）畫出網(wǎng)絡圖。信息收集技術2.0隱藏地址PART01確定目標主機PART02了解目標主機所在的網(wǎng)絡結構PART03收集系統(tǒng)信息PART04收集信息的主要方法和步驟如下。信息收集技術2.0在對特定的網(wǎng)絡資源進行攻擊之前，攻擊者需要了解將要攻擊的環(huán)境，這就需要收集與目標系統(tǒng)相關的各種信息，包括主機數(shù)目、操作系統(tǒng)類型等。攻擊者收集信息一般經(jīng)過以下7個步驟，每一步均有可利用的工具。（1）找到初始信息。（2）找到網(wǎng)絡的IP地址范圍。（3）找到活動主機。（4）找到開放的端口和入口點。（5）弄清操作系統(tǒng)。（6）弄清每個端口上運行的是哪種服務。（7）畫出網(wǎng)絡圖。網(wǎng)絡踩點2.1網(wǎng)絡踩點就是通過各種途徑對所要攻擊的目標進行多方面的了解，包括任何可得到的蛛絲馬跡，但要確保信息的準確性，以便確定攻擊的時間和地點。常見的網(wǎng)絡踩點方法有以下幾種：（1）查詢域名及其注冊機構。（2）了解公司性質(zhì)。（3）對主頁進行分析。（4）搜索電子郵件地址。（5）查詢目標IP地址范圍。常見的信息收集工具有以下幾種：（1）ping、fping、pingsweep。（2）ARP探測。（3）Finger。（4）Whois。（5）DNS/nslookup。（6）Telnet。網(wǎng)絡掃描2.2網(wǎng)絡掃描方式有兩種，分別是主動方式和被動方式。主動方式基于網(wǎng)絡，通過執(zhí)行一些腳本文件模擬對系統(tǒng)的攻擊并記錄系統(tǒng)的反應，從而發(fā)現(xiàn)其中的漏洞。被動方式基于主機，對系統(tǒng)中不合適的設置、脆弱的口令及其他與安全規(guī)則相抵觸的對象進行檢查。在一般情況下，被動方式掃描不會對系統(tǒng)造成破壞；而主動方式掃描會對系統(tǒng)進行模擬攻擊，可能會對系統(tǒng)造成破壞。1．網(wǎng)絡掃描方式網(wǎng)絡掃描2.2主動方式掃描一般可以分為以下幾種類型：（1）活動主機探測。（2）ICMP查詢。（3）網(wǎng)絡ping掃描。（4）端口掃描。（5）標識UDP和TCP服務。（6）指定漏洞掃描。（7）綜合掃描。1．網(wǎng)絡掃描方式網(wǎng)絡掃描2.2網(wǎng)絡掃描方式也可以分為慢速掃描和亂序掃描兩大類。慢速掃描是指對非連續(xù)端口進行的源地址不一致、時間間隔較長且沒有規(guī)律的掃描。由于一般掃描偵測器的實現(xiàn)邏輯是通過監(jiān)視某個時間段內(nèi)一臺特定主機發(fā)起連接的次數(shù)（如每秒10次）來判斷該主機是否正在被掃描，因而可以使用掃描速度慢一些的掃描軟件進行掃描。亂序掃描是指對連續(xù)端口進行的源地址一致、時間間隔較短的掃描。1．網(wǎng)絡掃描方式網(wǎng)絡掃描2.2定義：網(wǎng)絡掃描工具是一種能夠自動檢測遠程或本地主機安全弱點的程序，通過它可以獲得遠程主機的端口分配情況、提供的服務及其版本信息。原理：網(wǎng)絡掃描工具的工作原理是通過選用遠程TCP/IP不同端口提供的服務，并記錄目標主機給予的應答，收集關于目標主機的各種有用信息。2．網(wǎng)絡掃描工具網(wǎng)絡掃描2.2常用的網(wǎng)絡掃描工具2．網(wǎng)絡掃描工具（1）netenum和fping：用來查看哪些主機在線，以及進行IP地址段掃描（2）Nmap：用于檢測操作系統(tǒng)的版本號（3）Superscan：用于檢測目標主機是否在線，支持IP地址和域名相互轉換（4）X-Scan：采用多線程方式對指定的IP地址或IP地址范圍進行漏洞掃描（5）ARPing：ARPing用于探測MAC地址（6）netdiscover：netdiscover用于探測內(nèi)網(wǎng)信息（7）Dmitry：用于獲取目標主機的詳細信息（8）WAF：用于檢測網(wǎng)絡服務器是否處于Web應用防火墻的保護狀態(tài)網(wǎng)絡監(jiān)聽2.3定義：網(wǎng)絡監(jiān)聽是指通過截獲他人網(wǎng)絡通信中的數(shù)據(jù)流，從中非法提取重要信息的一種技術。作用：網(wǎng)絡監(jiān)聽是主機的一種工作模式，在這種模式下，主機可以接收到本網(wǎng)段在同一物理通道上傳輸?shù)乃行畔ⅲ还苓@些信息的發(fā)送方和接收方是誰，監(jiān)聽者可能會在兩端進行監(jiān)聽。限制：網(wǎng)絡監(jiān)聽的目的是截獲通信的內(nèi)容，監(jiān)聽的手段是利用現(xiàn)有網(wǎng)絡協(xié)議的一些漏洞，不直接對受害主機系統(tǒng)的整體性進行任何操作或造成任何破壞。幾種工具：（1）SnifferPro （2）嗅探經(jīng)典Iris（3）密碼監(jiān)聽工具WinSniffer （4）非交換環(huán)境局域網(wǎng)的fsiffere03常用的網(wǎng)絡攻擊手段PRAT03社會工程學攻擊3.1定義：社會工程學是使用計謀和假情報去獲得系統(tǒng)登錄口令和其他敏感信息的科學。研究一個組織的策略之一就是盡可能多地了解這個組織，以及這個組織中的每個個體。攻擊手段：社會工程學攻擊通常利用大眾疏于防范的心理，讓受害者落入陷阱，主要以交談、欺騙、假冒等方式從語言中套取敏感信息。攻擊方式：1．打電話請求系統(tǒng)登錄口令2．偽造電子郵件口令攻擊3.2定義：口令認證是身份認證的一種手段，既可用于用戶與主機之間的認證，也可用于主機與主機之間的認證。攻擊方式：口令攻擊是指使用某些合法用戶的賬戶和口令登錄目標主機實施攻擊。這種攻擊得以實施的前提是必須得到目標主機某個合法用戶的賬戶。目標：攻擊者的目標是破譯用戶口令。獲得用戶賬戶方法：（1）利用目標主機的Finger功能（2）利用目標主機的X.500服務（3）從電子郵件地址中收集（4）查看主機是否有習慣性賬戶口令攻擊3.2一、口令攻擊方法：1.通過網(wǎng)絡監(jiān)聽非法得到用戶口令2.在知道了用戶賬戶（如電子郵件@前面的部分）后，利用一些專門的軟件強行破解用戶口令3.利用系統(tǒng)管理員的失誤二、口令攻擊技術1）暴力攻擊 2）字典攻擊3）組合攻擊 4）針對口令存儲的攻擊5）針對Windows系統(tǒng)賬戶口令的攻擊口令攻擊3.2三、口令破解工具（1）L0phtCrack：是一個WindowsNT口令審計工具（2）NTSweep：利用微軟允許用戶改變口令的機制進行口令破解（3）NTCrack：NTCrack與UNIX中的破解類似（4）PWDump2：從SAM數(shù)據(jù)庫中提取密碼雜湊函數(shù)值（5）Crack：旨在快速定位UNIX口令弱點的口令破解程序（6）JohntheRipper：一個UNIX口令破解程序（7）XIT：執(zhí)行字典攻擊的UNIX口令破解程序（8）Slurpie：執(zhí)行字典攻擊和定制的暴力攻擊漏洞攻擊3.31．漏洞的基本概念漏洞是指硬件、軟件或策略上的缺陷，可使攻擊者在未經(jīng)授權的情況下訪問系統(tǒng)。2．產(chǎn)生漏洞的原因（1）人為因素，為了實現(xiàn)不可告人的目的（2）能力、經(jīng)驗不足，受編程人員能力、經(jīng)驗和當時的安全技術所限（3）客觀因素，編程人員無法彌補硬件的漏洞3．漏洞涉及的范圍漏洞涉及的范圍很廣，包括路由器、防火墻、操作系統(tǒng)本身及其支撐軟件等。漏洞攻擊3.34．漏洞的時間效應一個系統(tǒng)從發(fā)布的那一天起，隨著用戶的深入使用，系統(tǒng)中存在的漏洞會被不斷暴露出來。5．漏洞與網(wǎng)絡攻擊之間的關系網(wǎng)絡攻擊者往往是漏洞的發(fā)現(xiàn)者和使用者。如果不能發(fā)現(xiàn)和使用系統(tǒng)中存在的安全漏洞，那么攻擊是不可能成功的。6．漏洞的類型（1）管理漏洞

（2）軟件漏洞（3）結構漏洞

（4）信任漏洞漏洞攻擊3.37．漏洞的分類（1）從用戶群體的角度進行分類①大眾類軟件的漏洞，如Windows漏洞、IE漏洞等。②專用軟件的漏洞，如Oracle漏洞、Apache漏洞等。（2）從作用范圍的角度進行分類①遠程漏洞②本地漏洞漏洞攻擊3.37．漏洞的分類（3）從觸發(fā)條件的角度進行分類①主動觸發(fā)漏洞②被動觸發(fā)漏洞（4）從時序的角度進行分類①已發(fā)現(xiàn)很久的漏洞②剛發(fā)現(xiàn)的漏洞③0day漏洞漏洞攻擊3.38．已發(fā)布的漏洞早在2002年，SANS就發(fā)布了20個最危險的安全漏洞，并將其分為三大類，分別為影響所有操作系統(tǒng)的7個漏洞（G1～G7）、影響Windows操作系統(tǒng)的6個漏洞（W1～W6）和影響UNIX操作系統(tǒng)的7個漏洞（U1～U7）欺騙攻擊3.4基本概念：欺騙攻擊是利用TCP/IP協(xié)議本身的缺陷對網(wǎng)絡實施攻擊的一種復雜的攻擊技術，主要有IP地址、ARP、DNS、Web、E-mail、Cookie、路由等欺騙攻擊，也有一些非技術類欺騙攻擊。幾種常見的欺騙攻擊：1．IP地址欺騙攻擊2．IP源路由欺騙攻擊3．E-mail欺騙攻擊4．Web欺騙攻擊5．DNS欺騙攻擊DoS攻擊3.5基本概念：DoS（DenialofService，拒絕服務）已經(jīng)不是較早時候的DOS（DiskOperatingSystem，磁盤操作系統(tǒng)）了。DoS攻擊是一種利用合理的服務請求占用過多的服務資源，從而使合法用戶無法得到服務響應的網(wǎng)絡攻擊行為。幾種常見的DoS攻擊：1．TCPSYN拒絕服務攻擊TCPSYN（TransmissionControlProtocolSynchronizeSequenceNumbers）拒絕服務攻擊利用了TCP/IP協(xié)議的固有漏洞，面向連接的TCP三次握手是TCPSYN拒絕服務攻擊存在的基礎DoS攻擊3.51．TCPSYN拒絕服務攻擊在一般情況下，一個TCP連接的建立需要經(jīng)過三次握手的過程，如圖2所示。如果目標服務器接收到大量TCPSYN報文，而沒有接收到發(fā)起者的第三次ACK回應，就會一直等待，會把目標服務器有限的TCB資源耗盡，而不能響應正常的TCP連接請求，如圖3所示。圖2TCP三次握手協(xié)議圖3TCPSYN拒絕服務攻擊DoS攻擊3.52．ICMP洪水和UDP洪水ICMP是TCP/IP協(xié)議簇中的一個子協(xié)議，用于在主機、路由器之間傳遞控制消息。如果攻擊者向目標主機發(fā)送大量的ICMPECHO，產(chǎn)生ICMP洪水，則目標主機會忙于處理這些ECHO，而無法繼續(xù)處理其他的網(wǎng)絡數(shù)據(jù)報文，這也是一種拒絕服務攻擊。UDP洪水的原理與ICMP洪水的原理類似，攻擊者通過向目標主機發(fā)送大量UDP報文，導致目標主機忙于處理這些UDP報文而無法繼續(xù)處理正常報文。04網(wǎng)絡后門技術PRAT04網(wǎng)絡后門4.1基本概念：簡單地說，只要攻擊者不通過正常登錄流程就進入系統(tǒng)的途徑都被稱為網(wǎng)絡后門。也可以認為網(wǎng)絡后門是攻擊者進入網(wǎng)絡或系統(tǒng)而不被發(fā)現(xiàn)的隱蔽通道。作用：網(wǎng)絡后門是保持對目標主機長久控制的關鍵策略，通常可以通過建立服務端口和克隆管理員賬戶來實現(xiàn)。攻擊：如果攻擊者獲得了系統(tǒng)存取權限，則建立后門是相當容易的。如果攻擊者沒有完全獲得系統(tǒng)存取權限，則可以借助木馬來實現(xiàn)。常見的簡單木馬：（1）有NetBus遠程控制軟件

（2）“冰河”木馬（3）PCAnyWhere遠程控制軟件網(wǎng)絡代理跳板4.2當通過本地主機入侵其他主機的時候，本地主機的IP地址會暴露給對方。如果將某臺主機設置為代理，通過該主機入侵其他主機，就會留下代理的IP地址，從而有效地保護本地主機的安全。雖然攻擊者可以選擇更多的代理級別，但是考慮到網(wǎng)絡帶寬的問題，一般選擇2～3級代理比較合適。二級代理的基本結構如圖4所示。圖4二級代理的基本結構清除日志4.3在大多數(shù)情況下，攻擊者入侵一個系統(tǒng)后，往往還想在適當?shù)臅r候再次進入該系統(tǒng)。當攻擊者成功獲得了系統(tǒng)存取權限且達成了自己的預定目標后，還有最后一項關鍵工作，就是隱藏攻擊痕跡，把所有能夠證明他曾經(jīng)來過的證據(jù)都掩蓋起來。清除日志就是攻擊者入侵的最后一步。清除日志4.31．清除IIS日志IIS服務器都會記錄訪問者的IP地址及訪問時間等信息。這些信息位于Windows\System32\LogFiles目錄下，如圖5所示。圖5IIS日志信息清除日志4.31．清除IIS日志打開任意文件夾下的任意文件，可以看到IIS日志的基本格式，里面記錄了用戶訪問的服務器文件、用戶登錄時間、用戶IP地址、用戶使用的瀏覽器、操作