网络攻防
网络攻防概要
-
黑客、红客以及红黑对抗
-
黑客(hacker)
- 早期:白帽,挖掘并公开漏洞的黑客
- 现在:骇客(cracker),熟悉计算机操作系统的原理且能够及时发现和利用操作系统存在的漏洞,通过实施非法入侵、窃取、破坏等行为的计算机捣乱分子和计算机犯罪分子
黑客和骇客的异同
-
异:
黑客:系统安全守卫者、工作具有建设性、掌握计算机编程能力
骇客:系统安全破坏者、恶意破坏性操作、掌握入侵和扫描工具使用方法且一般不具有计算机编程能力
-
同
利用掌握的计算机技术
在未经授权的情况下访问计算机文件或网络
计算机系统和网络的入侵者
-
红客
- 信息安全的守卫者
- 具备传统黑客的技术能力
- 具有正义感
- 能够有效阻止计算机系统和网络的破坏行为
- 确保用户能够按既定的秩序在系统中提供或获得服务
-
红客与黑客的区别
- 红客:某种意义代表着“正义”
-
红黑对抗
对抗环境:网络空间,以信息控制为目的
网络空间包括电子系统、计算机、通信网络和其它信息基础设施,通过对信息的产生、存储、修改、交换、分析和利用,实现对物理实体的实时控制,以影响人的认知活动和社会行为
网络空间成为国家最重要的基础设施之一
表现形式为红客与黑客之间的对抗,即“红黑对抗”
-
-
网络攻防
教学环节中,网络攻防通过配置虚拟网络实验环境,对基于过程的网络行为分析、网络跟踪、网络主动防御等技术及进行研究。
模型创建是网络攻防的基础,通过建立和分析网络攻防博弈模型,可以评测攻防双方的既定策略。
-
网络攻击的类型
网络攻击是指任何非授权而进入或试图进入他人计算机网络的行为,是入侵者实现入侵目的所采取的技术手段和方法
网络攻击对象
- 对整个网络的攻击
- 对网络中单个节点的攻击,如服务器、防火墙、路由器等
- 对节点上运行的某一个应用系统应用软件攻击的攻击
网络攻击方法
-
主动攻击
中断、篡改、伪造
-
被动攻击
窃听、流量分析
-
主动攻击
主动攻击是指攻击者为了实现工具目的,主动对需要访问的信息进行非授权的访问方式
- (可用性)中断攻击
- (完整性)篡改信息
- (真实行)伪造攻击
中断
-
可用性(availability)是指授权实体需对信息的取得能力
强调信息系统的稳定性
强调持续服务能力
-
中断主要通过破坏计算机硬件、网络和文件管理系统来实现对系统的可用性的攻击
拒绝服务
针对身份识别应用的攻击
针对访问控制应用的攻击
针对审计跟踪应用的攻击
篡改
- 完整性(intergrity):防止信息在未经授权的情况下篡改
- 原始性:信息正确生成、信息正确存储、信息正确存储
- 网络环境信息完整性实现方式:协议、纠错编码、数字签名、校验等
- 篡改攻击:利用存在的漏洞破坏原有的机制,达到攻击目的
伪造
针对信息的真实性指某个实体(人或系统)冒充成其他实体,发出含有其他实体信息的数据信息,从而以欺骗方式获取一些合法用户的特权和权力
主要攻击对象:对身份认证的攻击、对资源授权的攻击
-
被动攻击(窃听、流量分析)
利用网络存在的漏洞和安全缺陷对网路系统的硬件、软件及其系统的数据进行的攻击
- 一般不对数据进行篡改
- 未经用户授权
- 对消息内容进行获取或对业务数据流进行分析
窃听:借助于技术手段窃取网络中的信息
-
窃听内容
以明文形式保存和传输的信息
通过对数据加密技术处理过后的密文信息
-
窃听方式
打破原有工作机制,如对加密密文的窃听
利用网络已由的工作机制方式
- 通过混杂模式窃听以太网网段的广播分组报文信息
- 接受WLAN信号,并通过信号分析恢复获得原始报文信息
混杂模式:指一台机器的网卡能够接受所有经过它的数据流,而不论其目的地址是否是它
一般计算机网卡都工作在非混杂模式下,此时网卡只接受来自网络目的端口的目的地址指向自己的数据。网卡的混杂模式一般在网络管理员分析网络数据作为网络故障诊断手段;
通常在需要用到抓包工具是,需要把网卡置于混杂模式
流量分析
- 流量:数据在网络中传输时已流量进行描述
- 流量分析:建立在拦截的基础上,对截获的数据根据需要进行分析
- 协议数据单元:PDU,TCP/IP体系结构分层模型中每一层对网络流量的格式的定义
流量分析攻击可以针对分层结构的每一层,最直接的是通过对应用层报文的攻击直接获取用户的数据
分析传输层及其下的PDU->通信双方的MAC地址、IP地址、通信时长等信息->通信双方所在的位置、传输的数据类型、通信的频度等信息
通信双方所占用带宽和通信时长->通信双方信息交换的信息类型
流量的协议分析->用户数据的类型
异常流量的分析->判定网络是否存在攻击
-
-
网络攻击的属性
一台中毒的电脑,重装系统要断网,通过离线的方式打上系统补丁
-
网络攻击的特点
- 同时涉及到技术和非技术因素
- 实施过程是由一个或多个不同阶段组成,其中不同的阶段体现出不同的攻击特点
基于攻击属性的分类:
- 权限
- 转换方法
- 动作
-
权限
-
权限用于确定谁能够访问某一系统以及能够访问这一系统上的哪些资源
-
权限意义:通过对不同类型的用户的分类管理,以提高系统的安全性
-
Windows系统权限分为组
-
根据访问方式分类
权限
- 远程网络访问
- 本地网络访问
- 用户访问
- 超级用户管理员访问
- 主机的物理访问
-
-
转换方法
转换方法指攻击者对已有漏洞的利用。攻击过程的实施需要借助通信机制,通过对已有机制存在的漏洞的利用来实现
分类
- 伪装
- 滥用
- 执行缺陷
- 系统误设
- 社会工程学
a. 伪装
将攻击者的秘密信息隐藏于正常的非秘密文件中
伪装对象:图象、声音、视频等多媒体数字文件
攻击特点:具有隐蔽性、不易被发现
b. 滥用
主要是指对系统功能和权限的非法利用
c. 执行缺陷
缺陷(bug)是指系统或程序隐藏着的一些未被发现的错误或不足,程序设计中存在着的缺陷会导致功能不正常或运行不稳定
执行缺陷:执行缺陷是指攻击者对系统或程序中缺陷的发现和利用
d. 系统误设
e.社会工程学
-
动作
动作是指攻击实施过程中的具体行为或采用的方法
动作的分类
-
探测:针对计算机网络或服务器进行扫描,以获取有效IP地址、活动端口号、主机操作系统类型和安全弱点的攻击方式
探测工具:扫描器(一种自动检测远程登陆或本地主机在安全性方面的弱点的程序包)
-
截获:针对信息安全中的秘密性。攻击者在截取了通信双方的正常数据包后,通过篡改数据包的字段信息(包括首发地址、数据、窗口大小等)伪造了一个虚假的数据包,从而实现攻击目的。通常应用于无线网络中的数据包获取
-
改变:改变攻击是指攻击行为的泛指,在具体的攻击实施过程中凡是破坏或扰乱了原有秩序的行为统称为改变,包括地址改变、内容改变、路径改变、时间改变
-
利用:在攻击过程利用一般借助于系统存在的漏洞来实现。在网络攻击中,利用即是一个动作,也是一种手段和方法。如ARP欺骗
-
拒绝服务:
拒绝服务攻击(Deny of Service,DoS)
通过连续向目标发送超出其处理能力的数量数据,消耗其有限的网络链路或操作系统资源,使之无法为合法用户提供有效服务
DoS攻击方式
- 利用目标系统或软件漏洞,发送一个或多个精心构造的数据包给目标系统,让被攻击者系统崩溃、运行异常或重启等,导致无法为正常用户提供服务,如“ping-of-death”攻击
- 洪范攻击,它让无用的信息占去系统的带宽或其他资源,是的系统不能服务于合法用户
分布式拒绝服务攻击(Distributed DoS,DDoS):利用网络中不同的主机同时发起DoS攻击,使得被攻击对象不能服务于正常用户
DDoS和DoS的差异
- DoS攻击来自一个固定的攻击源,DDoS攻击中的数据包来自不同攻击源
DDoS四要素
- 实际攻击者
- 隐藏攻击者身份的机器(控制僵尸网络并发送攻击命令)
- 进行DDoS攻击的机器群(僵尸网络)
- 被攻击目标
低速率攻击拒绝服务
-
传统DoS攻击特点
攻击者采取一种压力方式向被攻击者发送大量攻击包,即要求攻击者维持一个高频、高速率的攻击流。这种特征,使得各种传统DoS攻击与正常网络流量相比都具有一种异常统计特性,使得对其进行检测相对简单
-
低速率拒绝服务
只是在特定时间间隔发送数据,相同周期其他时间段内不发送任何数据,此间歇性攻击特点,使得攻击流的平均速率比较低,与合法用户的数据流区别不大,不再具有传统DoS攻击数据的异常统计特性,使得很难用已由的方法对其进行防范
-
-
主要攻击方法
-
计算机网络风险来源:
- 网络系统存在的漏洞
- 利用漏洞的攻击
- 外部环境对网络的威胁
网络攻击定义:指任何形式的非授权行为(广义)
网络攻击方式:主要利用网络通信协议本身存在的设计缺陷或因安全配置不当而产生的安全漏洞而实施
网络攻击:端口扫描、口令攻击、彩虹表、漏洞攻击、缓冲区溢出、电子邮件攻击、高级持续威胁(APT)、社会工程学
-
端口扫描
网络扫描:对计算机系统或网络设备进行安全有关的检测,以便发现安全隐患和可利用的漏洞
端口扫描
- 向目标主机的服务器端口发送探测数据包,并记录目标主机的响应。通过分析响应的数据包来判断服务端口是否处于打开状态,从而得知端口提供的服务或信息
- 捕获本地主机或服务器的流入流出数据包来监视本地IP主机运行情乱,它能对接收到的数据进行分析,帮助人们发现目标主机的某些内在的弱点
端口扫描作用
- 了解系统向外界提供了哪些服务
- 探测目标主机系统端口目前正向外提供何种服务
- 向目标主机的服务器端口发送探测数据包,并记录目标主机的响应。通过分析响应的数据包来判断服务端口是否处于打开状态,从而得知端口提供的服务或信息
-
TCP连接扫描(TCP connect Scan)
也称TCP全连接扫描,利用TCP协议的三次握手过程,直接连接到目标端口并完成一个完整的3次握手过程。
目标主机状态及应答数据包
-
CLOSE状态
- RST数据包--丢弃
- 其他数据包--返回RST数据包
-
LISTEN状态
- SYN数据包--返回SYN数据包或ACK数据包-(进入)-SYN-RCVD状态
- ACK数据包--返回RST数据包
- 其他数据包--丢弃
-
SYN-RCVD状态
- RST数据包--返回LISTEN状态
- ACK数据包--进入ESTABLISHED(连接建立)
- 其他数据包--丢弃
-
ESTABLISHED状态
表示主机的端口处于连接已建立状态,即TCP连接已建立
-
-
口令攻击
早期采用直接存储口令本身进行比对认证(基于图像、视觉和指纹等的认证方式,可记忆的文本口令认证方法)
当前的口令认证方式:大部分系统通过保存口令的hash值来对用户认证信息进行管理
原理:利用了单项函数的单向性(给定口令输入,计算hash值是容易的;但给定hash值,难以计算出口令输入值。这样即使攻击者获取到存储口令hash值的文件,也很难得到口令)保证口令的安全
口令攻击:攻击者通过猜测口令,并且将计算出的hash值进行比对的过程
互联网环境中口令攻击方式
- 在线窃听:攻击者利用一些网络协议传输信息时未经加密处理这一机制,通过在线截获数据包并经协议分析来获得用户名和密码等账户信息
- 获取口令文件:攻击者在窃取了操纵系统保存的用户账号和加密口令文件后,通过破解来获取系统的账户信息
- 字典攻击:攻击者使用事先生成的口令字典库,依次向目标系统发起身份认证请求,直到某一个口令满足条件(攻击完成)或所有口令遍历后任然无效(攻击完成)为止。字典攻击必须具备以下两个条件:
- 目标系统的身份验证(如虹膜认证、指纹认证、口令认证)
- 字典库的准备
-
彩虹表(Rainbow Table)
一种破解Hash函数的技术。可以针对不同的hash函数,利用其漏洞进行暴力破解
Hash函数
是将任意长的数字串M映射成一个较短的定长输出数字串H的函数,也称杂凑函数
H = h(M)
h为hash函数,H为M杂凑值(hash值),H也可称为M的数字指纹
Hash函数
-
碰撞(Collision)
若两个输入串的hash值一样,则称这两个串时一个碰撞
-
碰撞的必然性
理论范围内,存在一个输出串(Hash函数值)对应无穷多个输入串,所以碰撞具有必然性
-
彩虹表破解
通过暴力破解,搜寻指定输入的hash碰撞值。彩虹表打破Hash函数不可逆的性质约定(无法从杂凑值计算得到原始输入串),但无法保证破解到的数据是原始数据
-
-
-
浙公网安备 33010602011771号