信息安全|网络攻防技术 笔记
扫描
扫描技术是网络侦查的重要技术
主机发现(Host Discovery)
Ping命令基于ICMP实现
向目标主机发送ICMP Echo Request数据包,如果主机可达,回复ICMP Echo Reply包
Ping Scan 探测多个主机地址是否处于存活状态
常用nmap工具
端口扫描(port scan)
TCP UDP用端口号唯一标识一种网络应用可用端口号为0到65535(socket)
80端口 WEB服务(HTTP)
443端口 HTTPS
23端口 TELNET服务
135端口 主机RPC服务
139端口 文件
TCP端口扫描
TCP的连接建立
TCP协议建立连接采用三次握手实现
- 客户端发送 SYN报文段
- 服务端发送 ACK+SYN报文段
- 客户端发送 ACK报文段
开放扫描
建立完整连接
建立后客户端发送 RST报文段结束
若未开放则第二步服务端发送 RST+ACK报文段
数据包被过滤则无第二步
半开扫描
不需要建立一个完整连接
目标端口开放则第三步客户端回复RST或者不回
操作系统探测
操作系统扫描的目的是获取目标系统的操作系统信息和漏洞,以便进行针对性的攻击或防护
栈指纹技术,利用TCP/IP协议栈实现的特点辨识操作系统
差异通常表现在数据包头的标志字段中
漏洞扫描
采取一定的技术主动发现系统的安全漏洞
漏洞特征库
嗅探
网络监听
网络管理工具
被动攻击工具
软件嗅探器 Wireshark
硬件嗅探器 协议分析仪
使用加密协议、启用防火墙和网络分段都可以有效防止嗅探攻击
网卡的工作方式
非混杂模式
只接受与自己MAC地址匹配的数据帧
混杂模式
接受所有数据帧
共享网络
通过集线器连接的网络HUB
将监听主机网卡设为混杂模式,监听共享式网络内传输的所有数据包
交换网络
交换机连接的网络
由交换机构造 MAC-端口 映射表,发送包时只发送到特定端口
ARP欺骗技术
ARP协议无状态性、缺乏认证
数据加密
使用安全的拓扑结构
使用相应的安全技术
拒绝服务攻击
Denial of Service DOS
使提供服务资源的目标主机资源耗尽
攻击手法多样,威胁范围扩大
攻击具有持久性,攻击资源具有共享性,攻击服务化
SYN-Flood
伪造大量源地址的TCP SYN数据包
UDP-Flood
消耗带宽,不仅影响服务器,还会对整个传输链路造成阻塞
对需要维持会话表的网络设备杀伤
ICMP-flood
针对同一目标的ICMP包大量出现
CC Challenge Collapsar
攻击CPU资源、内存资源。发送大量的HTTP Get请求
反射攻击
借助开放服务器的反射以及放大作用
DDoS分布式拒绝服务攻击
控制多台主机同时对目标网络攻击
DRoS分布式反射拒绝服务攻击
拒绝服务攻击的防御
- CDN
- 云服务
- 过滤限制
- 流量识别
- 流量清洗
漏洞利用
exploit
缓冲区溢出攻击
Buffer Overflow
缓冲区数据溢出,覆盖了相邻的内存空间
用户空间的堆栈区域存放函数参数、函数返回地址、函数局部变量
指针和数组越界不保护是根源
社会工程学攻击
为了获取目标系统未授权访问,利用人的弱点
手段
- 伪装
- 引诱
- 恐吓
- 说服
- 拱卫
- 渗透
- 翻垃圾
- 背后偷窥
- 反向社会工程学
APT攻击
2010年震网攻击
利用windows的0day漏洞
Advanced Persistent Threat高级持续性渗透攻击
处于特殊目的针对特定目标长周期攻击,不追求短期收益或单纯破坏,而是步步为营的渗透入侵策略
最薄弱的环节是人
全球性、有组织,利用社工攻击、利用供应链攻击
五个阶段
- 情报收集
- 防线突破
- 通道建立
- 横向渗透
- 信息发掘和外传
浙公网安备 33010602011771号