【网络信息安全】第2章 网络安全威胁
网络安全威胁
- 主要内容
- 网络防御技术
- 2.1 隐藏攻击者的地址和身份
- 2.2 踩点技术 (Footprinting)
- 2.3 扫描技术 (Scanning)
- 主机扫描 (Host Scanning)
- 端口扫描 (Port Scanning)
- TCP三次握手缺陷
- 端口扫描的类型
- 操作系统探测 (Operate System Probing)
- 操作系统探测的方法
- 漏洞扫描 (Hole Scanning)
- 2.4 嗅探技术 (Sniffing)
- 攻击的分类
- 嗅探技术的分类
- 2.5 攻击技术(Attack Technology)
- DNS欺骗(DNS Spoofing)
- 会话劫持(Session Hijacking)
- 会话注射(Session Injection)
- 拒绝服务(Denial of Service)攻击
- 分布式拒绝服务攻击
- DDoS 攻击模型的四种角色
- 2.6 权限提升(Escalating Privilege)
- 2.7 掩盖踪迹(Covering Tracks)
- 2.8 创建后门(Creating Bookdoor)
- 常用的后门创建方法
- 2.9 Web攻击技术
主要内容
- 2.1 隐藏攻击者的地址和身份
- 2.2 踩点技术(Footprinting)
- 2.3 扫描技术(Scanning)
- 2.4 嗅探技术(Sniffing)
- 2.5 攻击技术(Attack Technology)
- 2.6 权限提升(Escalating Privilege)
- 2.7 掩盖踪迹(Covering Tracks)
- 2.8 创建后门(Creating Bookdoor)
- 2.9 Web攻击技术
网络防御技术
- 加密/签名/散列技术(理论基础)
- 主机加固技术(打补丁)
- 病毒防护技术(广义病毒)
- 防火墙技术(门卫/被动/进出)
- 虚拟专用网技术(端-端/密码技术)
- 入侵检测技术(警察/动态/内部)
- 蜜罐技术(主动/位置/误报漏报少)
- 计算机取证技术(主机取证和网络取证)
2.1 隐藏攻击者的地址和身份
IP地址欺骗或盗用技术
源IP地址为假冒或虚假
MAC地址盗用技术
修改注册表或使用ifconfig命令
通过Proxy隐藏技术
作为攻击跳板;实际上很难真正实现隐藏
网络地址转换技术
私有IP地址可以隐藏内部网络拓扑结构
盗用他人网络账户技术
网络安全链路中最薄弱的链接
2.2 踩点技术 (Footprinting)
黑客尽可能地收集目标系统安全状况的各种信息:
① 目标系统的用户注册信息——Whois
② 域名、IP地址、DNS服务器、邮件服务器——Nslookup 、host
③ 网络拓扑和路由信息——Traceroute
获取公开的信息;采用的技术合法。
2.3 扫描技术 (Scanning)
主机扫描 (Host Scanning)
一般使用 Ping 实现:发送 ICMP echo 请求给目标主机,若收到 ICMP echo 应答则表明目标主机激活。
① Fping 工具以并行轮转方式发送大量 Ping 请求,以加快扫描速度。
② 防火墙的存在使得 Ping 扫描的应答可能丢失,扫描结果就不一定准确。
端口扫描 (Port Scanning)
通常采用 Nmap 等扫描工具:
① 获得目标主机开放的 TCP 和 UDP 端口列表
② 确定主机上开放的网络服务
③ 得到监听端口返回的 Banner 信息
利用这些服务的漏洞,进行进一步入侵。
TCP三次握手缺陷
端口扫描的类型
操作系统探测 (Operate System Probing)
协议栈指纹鉴别(TCP Stack Fingerprinting)
各个OS实现协议栈细节不同的原因如下:
- 对 RFC 相关文件理解不同;
- TCP/IP 规范并不被严格执行;
- 规范中一些选择性特性只在某些系统使用;
- 某些系统私自对 IP 协议做了改进。
操作系统探测的方法
① 对目标主机发出OS探测包,每种OS有其独特响应方法,可根据返回的响应包确定目标主机OS类型。
协议栈指纹:TTL值、TCP窗口大小、DF标志、TOS、IP碎片、ACK值、TCP选项等。
② 利用Ping扫描返回的TTL值进行简单的OS探测
漏洞扫描 (Hole Scanning)
① 漏洞 (脆弱性,Vulnerability)
计算机或网络系统具有的某种可能被入侵者恶意利用的特性。
② 漏洞扫描
针对特定应用和服务(如操作系统、Web服务器、数据库服务器、防火墙、路由器)查找目标网络漏洞,并抽取有效账号或导出资源名。
2.4 嗅探技术 (Sniffing)
嗅探属于内部攻击、被动攻击、第三方攻击。
嗅探可以用于攻击,也可用于入侵检测,只用于局域网。
ARP欺骗属于嗅探。
攻击的分类
- 内部攻击,比较少,成功率高
- 外部攻击
- 被动攻击,不主动发包,捕获别人的包,不容易被发现,不一定能得到想要的信息
- 得到数据包的内容——嗅探
- 得到数据包的通讯形式——流量分析(信息量分析)
- 主动攻击,更容易得到想要的数据,但是容易被发现,对别人发的包进行破坏,篡改
- 第三方攻击
- 相互攻击
- 否认(实现不可否认,可以防止)
嗅探技术的分类
共享式局域网(以往)
- 基于hub,设置网卡混杂模式实现嗅探
交换式局域网(现在)
- 采用 ARP欺骗
- A的ARP缓存,记录B,C1,C2的IP地址和MAC地址映射关系
- B进行ARP欺骗,给A发一个虚假的ARP应答包,让A误以为B是C1,并告诉A自己的MAC地址,B可以再将包转发给C1,让A和C1以为他们在正常通讯。
2.5 攻击技术(Attack Technology)
DNS欺骗(DNS Spoofing)
DNS协议是将域名转换为IP地址,和将IP地址转换为域名的双向协议。
DNS协议的缺陷:DNS服务器向另一个DNS服务器发送解析请求时并不认证被请求方,黑客可以冒充被请求方返回一个被篡改的IP地址。(域名是正确的)
DNS服务器会缓存被黑客篡改的IP地址,以后对该服务器的同一域名的解析请求,在该条目被缓存的生存期内,得到的结果都将被篡改。
会话劫持(Session Hijacking)
会话注射(Session Injection)
拒绝服务(Denial of Service)攻击
拒绝服务攻击即是攻击者想办法让目标机器停止提供服务,拒绝服务攻击并非某一种具体的攻击方式,而是攻击所表现出来的结果:使服务器不能正常地对外界提供服务(可用性),所有造成这种结果的攻击都可以被称为是拒绝服务攻击。
拒绝服务攻击造成的后果:
- 内存损耗
- 带宽损耗
产生拒绝服务供给的原因:
- 系统程序和应用程序的漏洞
- 网络协议实现中的缺陷(如TCP三次握手缺陷)
拒绝服务攻击的特点:
攻击者不需要与目标交互—>可伪造源IP地址—>难以追踪
老师提问:SYN Flood 攻击,攻击者发的是什么包?
答:实施SYN Flood,攻击者需向攻击目标发送 SYN TCP包。
Smurf Attack 发送的是 ICMP包。
以前的拒绝服务攻击都是单机版,DoS放到现在已经没什么威胁了,但是网上又出现了分布式拒绝服务攻击(DDos),分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用。
分布式拒绝服务攻击
DDoS(Distributed DoS)攻击是DoS攻击的一种延伸,它威力巨大是因为其协同攻击能力。
黑客使用DDoS攻击工具,可同时控制众多傀儡机,向单点目标发动攻击,并结合使用各种传统DoS攻击。(例如SYN Flood)
对DDoS攻击,至今没有一个很好的防御方法。
DDoS 攻击模型的四种角色
• 黑客(Intruder/Attacker/Client)
黑客操作主机的接口,向Master发送各种命令。
• 主控端(Master/Handler)
监听Intruder的命令,向各个Daemon发送攻击命令。
• 守护进程端(Daemon/Slave/Agent/Zombie/Bot/Server)
接收和响应来自Master的攻击命令,是真正攻击前锋。
• 受害者(Victim):被攻击的目标主机。
阶段一:构造攻击网络(此时不发动攻击)
阶段二:发动攻击
2.6 权限提升(Escalating Privilege)
黑客进入系统获得访问权,但他的最终目是得到系统的控制权(root或最高管理员权限),由访问权变成控制权这一过程称为权限提升。
权限提升的方法:
- 使用su命令
- 种植获取口令的木马(键盘扫描器)
- 破解口令散列文件得到管理员口令(彩虹表)
- 利用Web浏览和电子邮件(诈骗、网络钓鱼、恶意连接)
2.7 掩盖踪迹(Covering Tracks)
当黑客攻入系统以后,会进行掩盖踪迹。目的是隐藏自己踪迹,以防被管理员发觉,以便能随时返回被入侵系统继续破坏或作为跳板。
常见的掩盖踪迹的方法如下:
- 隐藏上传的文件
- 禁止或篡改日志审计信息
- 清除日志记录
- 改变系统时间造成日志文件数据紊乱
- 干扰入侵检测系统的正常运行
- 修改完整性检测数据
- 使用Rootkit工具
2.8 创建后门(Creating Bookdoor)
黑客已经侵入后,通过创建后门可以让下次的入侵更为简单。无论用户账号增加/减少、服务开启/关闭等配置如何改变,“后门程序”都能为攻击者提供访问权限。
- 重新开放不安全的服务端口
- 修改系统配置留下漏洞
- 安装嗅探器和建立隐藏通道
- 创建具有root权限的虚假用户账号
- 安装批处理文件
- 安装远程控制工具
- 使用木马程序替换系统程序
常用的后门创建方法
- SUID后门:提升权限后门
- 利用信任关系建立rlogin后门
- 使用Netcat建立远程登录后门(十大经典网络攻击工具—“瑞士军刀”)
- 采用隧道技术的后门:通过封包来穿越防火墙(黑客编程改造协议栈)
- 端口重定向后门:通过中转主机将请求转发给目标
- 采用反向连接来穿越防火墙
- 键盘记录器后门
- 木马服务器后门
- 内核级Rootkit后门:工作效率高且很难发现
2.9 Web攻击技术
攻击Web服务器的方式:
- 样板文件和源代码泄露、缓冲区溢出攻击
- 资源解析和二次解码攻击(即同义异名攻击)
- 服务器功能扩展模块问题
- 服务器端包含(Server Side Include,SSI)问题
- SQL注入(SQL Injection)攻击
攻击Web浏览器的方式:
- 对ActiveX和JavaScript脚本的攻击
- 攻击会话跟踪(cookie)机制
- 跨站脚本(Cross-Site Scripting,XSS)攻击(最常见)
- 同形异义词(Homograph)漏洞
【网络信息安全】第2章 网络安全威胁相关推荐
- 信息安全第7章 网络安全
第7章 网络安全 网络安全威胁与控制 7.1.1 网络安全威胁 分类 人为的无意失误 人为的恶意攻击 网络软件系统的漏洞和"后门" 对网络本身的威胁(网络自身可能遭受的攻击) 协议 ...
- 计算机网络技术与网络信息安全,计算机网络技术与网络安全精讲.ppt
计算机网络技术与网络安全;信息时代;IT信息技术;信息化;信息技术;计算机与网络技术基础;培训内容;信号数据传输网络及网络安全;培训内容;内容;第一章 绪论;第1章 计算机基础知识;第1章 计算机基础 ...
- 国家网络信息安全第三章:桌面终端安全
第三章:桌面终端安全 3.1 恶意代码防护: 恶意代码是没有有效作用,但会干扰或破坏计算机系统及网络功能的程序.代码或一组指令. 表现形式:计算机病毒.蠕虫病毒.木马病毒.后门程序.流氓软件.逻辑炸弹 ...
- 网络安全:网络信息安全的概述.
网络安全:网络信息安全的概述 网络信息安全是一门涉及计算机科学,网络技术,通信技术.密码技术.信息安全技术.应用数学.数论.信息论等多种学科的综合性学科. 它主要是指网络系统的硬件.软件及其系统中的数 ...
- 信息安全工程第四章网络安全体系与网络安全模型要点小结
其中安全模型为重点 4.1 网络安全体系概述 网络安全体系是网络安全保障系统的最高层概念抽象,是由各种网络安全单元按照一定的规则组成的,共同实现网络安全的目标. 网络安全体系包括法律法规政策文件.安全 ...
- 《信息安全工程师教程》——网络信息安全概述
网络发展现状与重要性认识 计算机网络演变成人类活动的新空间,即网络空间,它是国家继陆.海.空.天后的第五个疆域. 网络信息安全相关概念 网络信息安全的发展历经了通信保密.计算机安全.信息保障.可信计算 ...
- 笔记-网络信息安全概述
<信息安全工程师教程>第2版 相关概念 狭义上的网络信息安全特指网络信息系统的各组成要素符合安全属性的要求,即机密性.完整性.可用性.抗抵赖性.可控性. 广义上的则是涉及国家安全.城市安全 ...
- 信息安全工程师----五天修炼(第五章 5.1常见的网络安全威胁)
第五章 5.1常见的网络安全威胁 网络安全威胁与攻击是以网络为手段窃取网络上其他计算机的资源或特权,对其安全性或可用性进行破坏的行为 APT 高级持续性威胁(APT)利用先进的攻击手段和社会工程学方法 ...
- 《工业控制网络安全技术与实践》一一第3章 工业控制网络安全威胁
第3章 工业控制网络安全威胁 第2章介绍了工业控制系统的相关知识.本章主要介绍工业控制网络的基本知识,并详细介绍工业控制网络的常见安全威胁.之后,分析工业控制系统的脆弱性.
最新文章
- 用户列表-投资记录sql
- android看电脑视频,教你用手机/平板,直接播放电脑上的视频
- C++调用web服务(java事例供参考)
- java构建protobuf中的map,Protobuf对象作为Maps中的键
- (78)FPGA内部资源与FPGA开发流程-面试必问(二)(第16天)
- kettle定时调度
- vscode如何快捷键一键生成vue模板
- MinGW编译windows可以调试的ffmpeg4.4
- Docker安装详细安装步骤
- 交付管理——怎样构建项目团队
- 【干货】大数据招聘官就业指导
- android解析包时出现问题怎么解决方法,手机安装APP提示解析错误怎么办?解析包时出现问题如何解决?...
- xgboost缺失值处理
- torch中的inplace操作问题解决方法
- trunc和date_trunc的区别
- 基于simulink的双闭环矢量控制的电压型PWM整流器仿真
- python判断奇数和偶数_从Python中的给定列表中提取偶数和奇数
- 每次进入命令需要重新source的解决方法
- python 通达信公式函数,481009_易基策略二号
- 电梯默纳克系统服务器,电梯人必看:默纳克系统运行中报E51原因分析和处理方法...