网络攻击
主要内容
知己知彼,百战不殆
了解别人怎样攻击,才能更好地、有针对性地进行防护。
网络攻击的一般流程与常见技术
踩点—>扫描—>入侵—>获取权限—>提升权限—>清除日志信息
密码破解攻击、缓冲区溢出攻击、欺骗攻击、DoS/DdoS攻击 、SQL注入攻击、网络蠕虫、社会工程……
攻击的一般流程
踩点:主要是获取对方的IP地址,域名服务器信息,可以通过工具扫描获取获取管理员的个人信息以及公司的组织信息
扫描:对网址进行扫描,寻找后台地址;用工具对一些常见的漏洞和端口进行扫描。
入侵:根据具体的情况来选择入侵渠道。采用Web入侵,或者利用服务器漏洞入侵,或者通过社会工程方法进行欺骗攻击
获取权限:通过Web入侵能利用系统的漏洞获取后台管理员密码,上传一个shell木马,如ASP、php等。木马的权限视具体情况不同,需要提升权限。
提升权限:把普通用户的权限提升为管理员权限。可以采用系统服务或社会工程学的方法,或采用的第三方软件的方法。
清除日志:避免留下蛛丝马迹,清除系统日志,IIS日 志和入侵检测系统日志,有时需要手工删除,避免删除内容过多引起管理员怀疑。
攻击的方式
——密码破解
密码破解不一定涉及复杂的工具。可能就是贴在显示器右上角或者藏在键盘底下的一张纸,或者就是办公电话。
另一种蛮力技术称为“垃圾搜寻(dumpster diving)”,攻击者把垃圾筒搜寻一遍,找出可能含有密码的纸质文档攻击的方式
字典攻击
使用一个包含常用密码的字典文件,逐个尝试,因为大多数密码通常比较简单,所以运行字典攻击非常有效
根据大多数用户设置密码的习惯,在字典基础上做变换,比如加数字
暴力破解(Brute force )
最全面的攻击形式,穷举并尝试所有可能的密码
通常需要很长的时间,取决于密码的复杂程度。
攻击的工具
——密码破解
Word Password Recovery Master
Powerpoint-PasswordRecovery
Brutus是针对Windows的远程密码破解工具,可以破解HTTP、FTP、POP3、Telnet、SMB等密码
Intelore RAR Password Recovery
RARPasswordUnlocker
邮箱密码(黑雨——OPP3邮箱密码)
攻击方法与技术
缓冲区溢出漏洞利用
缓冲区溢出(buffer overflow)是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。
第一个缓冲区溢出攻击--Morris蠕虫
通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令。
#include<stdio.h>
int main ( )
{
char name[8];
pritf("Please input your name: ");
gets(name);
printf("you name is: %s!", name);
return 0;
}
如何预防?
采用安全函数、输入检查
拒绝服务攻击DoS/DDoS
(Distributed)Denial of Service攻击是被广泛使用的一种攻击手段,破坏系统可用性,业务连续性。
带宽攻击是一种常见的DoS攻击,极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。
SYN Flood: 以多个随机的源主机地址向目标主机发送SYN包,并不回应SYN ACK,导致被攻击主机维护大量的连接队列,大量消耗资源而无法向正常请求提供服务。
(SYN数据包是TCP协议建立连接过程当中某个标志为1的一种数据包)
Smurf:向一个子网的广播地址发一个带有特定请求(如ICMP echo)的包,将源地址伪装为攻击目标的地址。子网上所有主机都回应广播包请求而向被攻击主机发送数据包,消耗其带宽和资源。通俗来说,就如同假冒被攻击者向所有人问好,按照网络协议大家都需要回答这个问候消息,导致被攻击者被数量巨大的问候回答消息所淹没
Teardrop:IP数据包在网络传递时,数据包可以分成更小的片段。可以通过发送偏移量无法合并的数据段,消耗被攻击主机的TCP/IP堆栈,造成系统资源的缺乏甚至系统重启。
Pingflood: 该攻击在短时间内向目的主机发送大量 ping包,造成网络堵塞或主机资源耗尽。
分布式拒绝服务攻击是在传统的DoS攻击基础上利用分布在网络各处的僵尸主机同时发起攻击,以量取胜。
SQL注入
从正常的Web页面,通过构造输入,导致Web服务器产生特殊SQL 语句,进而攻击数据库服务器。
源自Web应用设计缺陷
自动化攻击工具 sql map
防范方法: 参数化、前端输入过滤、服务器端检查
社会工程学
所有社会工程学攻击都建立在使人决断产生认知偏差的基础上。利用心理习惯或者弱点对用户进行欺骗攻击的方法与技术
通过伪基站发送虚假信息,伪装成招商银行,迷惑用户
QQ群发一条用户感兴趣的链接,用户在QQ空间登录界面输账号、密码(记录密码),界面跳转向一个真的QQ空间界面(真的QQ空间不需要输入不需密码)盗号过程不易察觉
点击邮箱附件,点击即跳转至、虚假登录页面
(记录用户明密码 、页面相似度极高)
高级持续威胁ATP(Advance Persistent Threat)
采用多种手段,有组织的长期渗透特定目标
海莲花
OceanLotus是高度组织化的、专业化的境外国家级黑客组织。自2012年4月起针对中国政府的海事机构、海域建设部门、科研院所和航运企业展开了精密组织的网络攻击.
断头草,与海莲花来自同一国家。
震网 (伊朗)
1 TCP/IP网络分层模型中TCP协议位于哪一层
- A.主机到网络层
- B.传输层 √
- C.网络互连层
- D.应用层
2 以下哪项不是TCP协议的标志位
- A.FIN
- B.RST
- C.EPM √
- D.SYN
3 以下哪一项不是网络监听防护手段
- A.检测发现监听模式的网卡
- B.使用防火墙进行防护
- C.安装反病毒软件 √
- D.对网络上传输的信息进行加密
4 关于防火墙的主要作用说法不正确的是
- A.防火墙可以监视网络的安全性,并产生报警。
- B.防火墙可以作为部署NAT的逻辑地址
- C.防火墙是审计和记录 Internet 使用量的一个最佳地方
- D.可以有效阻止被病毒感染的程序或文件的传递 √
5 以下哪项不是防火墙的性能指标
- A.丢包率
- B.吞吐量
- C.加密算法强度 √
- D.最大位转发率
6 以下哪项不是WWW服务器软件
- A.Tomcat
- B.Squid √
- C.Microsoft IIS
- D.Apache
7.以下哪一项不是防火墙一般包含的接口
- A.内网接口
- B.外网接口
- C.音频接口 √
- D.安全服务器网络SSN
8.入侵检测系统工作流程为
- A.信息收集-信息存储-信息分析-攻击响应
- B.信息收集-攻击响应-信息分析-信息存储
- C.信息分析-信息收集-信息存储-攻击响应
- D.信息收集-信息分析-信息存储-攻击响应 √
