（软考信息安全工程师--中级）二、网络攻击原理与常用方法

2.1、网络攻击概述

2.1.1、什么是网络攻击：指损害网络系统安全属性的行为

网络系统安全属性（详见第一章）：CIA三大特性（机密性、完整性、可用性）、可控性、真实性、抗抵赖性等
常见的危害行的基本类型：（针对CIA特性）

1、信息泄露攻击：--机密性攻击

2、完整性破坏攻击：--完整性攻击

3、拒绝服务攻击：--可用性攻击

4、非法使用攻击：--可用性攻击：指攻击者在非授权下，使用计算机或网络系统服务，使得计算机或网络提供错误服务

网络攻击原理表
攻击者	攻击工具	攻击访问	攻击效果	攻击意图
1：黑客 2：间谍 3：恐怖主义者 4：公司职员 5：职业犯罪分子、 6：破坏者	用户命令行脚本或程序自治主体电磁泄露	本地访问远程访问	破坏信息信息泄露窃取服务拒绝服务	1、4、挑战 1、4、好奇 2、获取情报 5、经济利益 3、恐怖事件 6、报复

攻击者：教程第二版22页原文：根据网络攻击的动机与目的，常见的攻击者可用分为六类。（个人觉得公司职员的分类有所不当，但官方指定教程咱也无法）

2.1.2、网络攻击模型：

攻击树模型：起源于故障树分析方法，AND-OR形式的树结构
MITRE ATT&CK模型：根据真实观察到的数据提炼形成的攻击矩阵模型，该模型把攻击活动分为：初始访问（Initial Access）、执行（Execution）、持久化（Persistence）、特权提升（Privilege Escalation）、躲避防御（Defense Evasion）、凭据访问（CredentialAccess）、发现（Discovery）、横向移动（Lateral Movement）、收集（Collection）、指挥和控制（Command and Control）、外泄（E下filtration）、影响（Impact）。应用场景：红蓝对抗模拟、渗透测试、网络防御差距评估、网络威胁情报收集。
网络杀伤链（Kill Chain）模型：将攻击活动分为：目标侦察（Reconnaissance）、武器构造（Weaponization）、载荷投放（Delivery）、漏洞利用（Exploration）、安装植入（Installation）、指挥和控制（Conmand and Control）、目标行动（Actions on Objectives）

2.2、网络攻击一般过程

步骤	目的	实现
隐藏攻击源	隐蔽黑客主机位置使得系统管理无法追踪	隐藏真实IP或域名（利用已被入侵的主机作为跳板、免费代理网关、伪造IP地址、假冒用户信息）
收集目标信息	确定攻击目标并收集目标系统相关信息	目标系统一般信息、目标系统配置信息、目标系统安全漏洞信息、目标系统安全措施信息、目标系统用户信息
挖掘漏洞信息	从目标信息中提取可使用漏洞信息	系统或应用服务软件漏洞、主机信任关系漏洞、目标网络使用者漏洞、通信协议漏洞、网络业务系统漏洞
获取目标访问权限	获取目标系统普通或特权账户权限	获取系统管理员口令。利用系统管理上的漏洞、如错误文件许可权、错误系统配置，某些SUID程序中存在的缓冲区溢出问题。让系统管理员运行一些特洛伊木马窃取管理源口令
隐蔽攻击行为	隐蔽在目标主机上的操作，防止入侵行为被发现	连接隐蔽：如冒充其他用户、修改LOGNAME环境变量、修改utmp日志文件、使用IP SPOOF技术。进程隐藏：如使用重定向减少ps给出的信息、用特洛伊木马代替ps程序。文件隐藏：如利用字符串相似麻痹系统管理员，修改文件属性使普通方法无法显示
实施攻击	进行破坏或以此为跳板向其他系统发起攻击	攻击其他被信任的主机和网络修改或删除重要数据窃听敏感数据停止网络服务下载敏感数据修改删除账号修改数据记录
开辟后门	方便以后入侵	放款文件许可权开放不安全服务：REXD、TFTP等修改系统配置替换系统本身共享库文件修改系统源代码安装嗅探器建立隐蔽信道
清除攻击痕迹	避免安全管理员发现、追踪以及法律部门取证	篡改日志文件中的审计信息改变系统时间造成日志文件数据紊乱删除或停止审计服务进程干扰入侵检测系统运行修改完整性检测标签

2.3、网络攻击常见方法

2.3.1、端口扫描

1、完全连接扫描：利用TCP/IP协议的三次握手使源主机与目标主机的某个端口建立一次完整的连接，建立成功则表面端口开放，失败端口关闭

2、半连接扫描：只完成前两次握手

3、SYN扫描：首先向目标主机发送连接请求，当目标主机返回响应后，立即向目标主机发送一个RST数据断开连接，如果响应信息为ACK信息，则端口开放，为RESET信息则关闭。

4、ID头信息扫描：

5、隐蔽扫描：指能够绕过IDS、防火墙和监视系统等安全机制的一种扫描方式

6、SYN|ACK扫描：直接向目标主机某端口发送SYN|ACK数据包，目标主机会认为是一次错误连接，从而报错。如果返回RST,则端口关闭，无返回数据则端口可能开放。

7、FIN扫描：发送FIN数据包，返回RST则端口关闭，无返回数据，则端口开放

8、ACK扫描：教程上是向目标主机发送FIN数据包，检查其返回数据的TTL值和WIN值，开发端口返回的数据TTL<64，WIN>0；关闭端口TTL>64,WIN=0。

下面来源与网络其他资料 （个人任务教程上发送FIN数据包检测其返回数据，前面FIN扫描为发送FIN数据包，如果端口开放并没有数据返回，从而无法半段TTL和WIN。矛盾）

ACK 扫描不是用于发现端口开启或关闭状态的，而是用于发现服务器上是否存在有状态防火墙的。它的结果只能说明端口是否被过滤。再次强调，ACK 扫描不能发现端口是否处于开启或关闭状态。

客户端会发送一个带有 ACK 标识和端口号的数据包给服务器。如果服务器返回一个带有 RST 标识的 TCP 数据包，则说明端口没有被过滤，不存在状态防火墙。
如果目标服务器没有任何回应或者返回ICMP 错误类型3且代码为1，2，3，9，10或13的数据包，则说明端口被过滤且存在状态防火墙。

TCP 窗口扫描的流程同 ACK 扫描类似，同样是客户端向服务器发送一个带有 ACK 标识和端口号的 TCP 数据包，但是这种扫描能够用于发现目标服务器端口的状态。在 ACK 扫描中返回 RST 表明没有被过滤，但在窗口扫描中，当收到返回的 RST 数据包后，它会检查窗口大小的值。

如果窗口大小的值是个非零值，则说明目标端口是开放的。
如果返回的 RST 数据包中的窗口大小为0，则说明目标端口是关闭的。

9、NULL扫描：发送标识位位空的数据包，无返回，端口开放，返回RST,端口关闭。

10、XMAS扫描：发送标识位都为1的数据包，无返回，端口开放，返回RST端口关闭。

2.3.2、口令破解：

步骤:

1、建立连接

2、选取用户列表文件及字典文件

3、在用户列表和字典中选取一组数据，发送到目标主机的目标服务

4、检测返回信息，判断是否成功

5、再选取另一组数据，重复循环实验。

2.3.3、缓冲区溢出：

原理：通过溢出堆栈为局部变量分配的空间，精确覆盖rest地址，使其变为攻击者主机植入的攻击代码程序如果地址，从而使攻击代码得到运行。

防范：

系统上：关闭不需要的特权服务、及时给程序漏洞打补丁。

软件开发上：编写正确代码、缓冲区不可执行、改进C语言函数库。

漏洞防范上：地址空间随机变化、数据执行阻止、堆栈保护。

2.3.4、恶意代码：

类型：计算机病毒、网络蠕虫、特洛伊木马、后门、逻辑炸弹、僵尸网络等

2.3.5、拒绝服务：

1、同步风暴（SYN Flood）：源主机伪造IP向目标主机发送多个同步数据包，目的主机因无法收到ACK确认，使三次握手无法正常完成。

2、UDP洪水（UDP Flood）：

3、Smurf攻击：将回复地址设置成目标网络广播地址的ICMP应答请求数据包，使改网络的所有主机都对此ICMP应答请求做出应答，导致网络堵塞，

4、垃圾邮件：发送大量垃圾邮件，耗尽用户信箱磁盘空间。

5、消耗CPU和内存资源的拒绝服务攻击：利用目标系统上计算算法漏洞，构造恶意输入数据集，导致目标系统的CPU或内存耗尽，如Hash Dos。

6、死亡之ping（ping of death）:

7、泪滴攻击（Teardrop Attack）:利用IP数据包分解与重组的弱点，通过加入过多或不必要的偏移量字段，使计算机系统在重组IP包时错乱。

8、分布式拒绝服务攻击（DDoS）:控制大量肉机攻击

著名的有：Trinoo、TFN、TFN2K、Stacheldraht

2.3.6、网络钓鱼：

通过假冒可信方提供网上服务，以欺骗手段获取敏感个人信息的攻击方法。

2.3.7、网络窃听：网络嗅探、中间人攻击

2.3.8、SQL注入：SQL命令插入web表单的输入域或页面请求查找字符串，欺骗服务器执行恶意SQL命令

2.3.9、社交工程：社会工程学

2.3.10、电子监听：利用电子设备远距离监视电磁波传送过程

2.3.11、会话劫持：典型有 TCP会话劫持

2.3.12、漏洞扫描：自动检测远程或本地主机安全漏洞的软件

2.3.13、代理技术：以控制的肉机作为跳板攻击目标主机

2.3.14、数据加密：利用加密技术逃避网络安全管理员的追踪

2.4、黑客常用工具：

扫描器	NMAP Nessus SuperScan
远程控制	冰河网络精灵 Netcat
密码破解	John the Ripper LOphtCrack
网络嗅探	Tcpdump/WireShark DSniff
安全渗透工具箱	Metasploit BackTrack5

2.5、网络攻击案例分析：详见信息安全工程师教程（第2版39页）