软考2-网络攻击原理和常用方法

网络攻击原理和常用方法-重点

网络攻击的一般过程

1. 隐藏攻击源

2. 收集攻击目标的信息

3. 挖掘目标的漏洞信息

4. 获取目标的访问权限

5. 隐蔽攻击行为

6. 实施攻击

7. 开辟后门

8. 清除攻击痕迹

   口诀：进入前、进入后(前4后4)

常见的端口扫描技术

完全连接扫描	源主机和目的主机的端口，建立一次三次握手
半连接扫描	只完成前两次握手，不建立一次完整的连接
SYN扫描	向目标主机发送连接请求，当目标主机返回响应后，立即切断连接过程【返回ACK开放、RESET关闭】
ID头信息扫描	借助第三方主机，ID头递增1则端口关闭，否则端口开放
隐蔽扫描	绕过安全设备，取得目标主机端口信息
SYN|ACK扫描	发送SYN|ACK数据包，不返回信息则端口开放，返回RST则端口关闭
FIN扫描	发送FIN数据包，不返回信息则端口开放，返回RST则端口关闭
ACK扫描	发送FIN数据包，开放<TTL值64<关闭 关闭<WIN值0<开放
NULL扫描	标志位置空，不返回信息则端口开放，返回RST则端口关闭
XMAS扫描	标志位全部置为1，不返回信息则端口开放，返回RST则端口关闭

端口扫描的目的就是获取目标主机提供的服务

DDOS攻击的一般过程

1. 通过探测扫描大量主机，寻找可被攻击的目标

2. 攻击有安全漏洞的主机，并设法获取控制权

3. 在已攻击成功的主机中安装客户端攻击程序

4. 利用以攻击成功的主机继续扫描和攻击，从而扩大可被利用的主机

5. 当安装了攻击程序的客户端，达到一定的数量后，攻击者在主控端给客户端攻击程序发布命令，同时攻击特定主机

   DDOS常用的攻击手段包括：HTTP FLood攻击、SYN Flood攻击、DNS放大攻击

拒绝服务攻击的特点

1. 难确认性：用户在得不到及时响应时，很难判断自己是否受到攻击
2. 隐蔽性：正常请求服务，从而隐藏拒绝服务攻击的过程
3. 资源有限性：计算机的资源是有限的，容易实现拒绝服务攻击
4. 软件复杂性：因难以确保软件没有缺陷，所以攻击者利用软件缺陷进行拒绝服务攻击

拒绝服务攻击的方式

1. 同步包风暴(SYN Flood)：发送大量的半连接状态的服务请求，使TCP/IP的三次握手无法完成，从而无法建立连接
2. UDP洪水(UDP Flood)：利用主机能自动回复的服务，在两台主机之间传送足够多的无用数据流
3. Smurf攻击：将回复地址设置成目标网络广播地址，如果再复杂点就把原地址改为第三方的目标网络
4. 垃圾邮件：耗尽用户信箱的磁盘空间，使用户无法应用这个邮箱
5. 消耗CPU和内存资源的拒绝服务攻击：构造恶意的输入数据，导致目标系统CPU或资源耗尽
6. 死亡Ping：ICMP数据包大于64KB，就会出现内存分配的错误
7. 泪滴攻击：暴露出IP数据包分解与重组的弱点，增加了偏移量
8. 分布式拒绝服务攻击：植入后门程序，然后统一攻击同一目标

远程口令破解的流程

1. 建立与目标网络服务的网络连接

2. 选取一个用户列表文件及字典文件

3. 在用户列表文件及字典文件中，选取一组用户名和口令，发送到目标网络服务端口

4. 检测远程服务返回的信息，确定口令尝试是否成功

5. 若不成功，再取另一组，重复试验，直到口令用户列表及字典文件选取完毕

   口诀：联网----用户名密码字典----选取用户名密码尝试破解----确认破解结果----重复尝试

特点：
口令猜测：主要针对弱口令
穷举搜索：使用高性能计算机，逐个尝试可能得密码
撞库：用已经收集的用户名密码，去和目标系统的用户信息进行匹配

网络攻击模型

1. 攻击树模型(又称故障树模型)

   攻击树方法可以被Red Team用来进行渗透测试，同事也可以被Blue Team用来研究防御机制
   攻击树的优点：能够采取专家头脑风暴法。并将这些意见融合到攻击树中去；能够进行费效分析或者概率分析；能够建模非常复杂的攻击场景。
   攻击树的缺点：依赖访问控制不能建模循环事件和多重攻击，对大规模网络处理复杂

2. MITRE ATT & CK模型(又称攻击矩阵模型)
   基于MITRE ATT & CK常见的应用场景主要有网络红蓝对抗模拟、网络安全渗透测试、网络防御差距评估、网络威胁情报收集等

3. 网络杀伤链(Kill Chain)模型
   该模型将网络攻击活动分成：目标侦查、武器构造、载荷投送、漏洞利用、安装植入、指挥和控制、目标行动等七个阶段。

其它

加密用以确保数据的保密性，阻止对手的被动攻击，如截取、窃听等，而对于各类主动攻击，如篡改、冒充、重播等却是无能为力的。