信息安全软考 第二章 网络攻击原理与常用方法笔记总结

    信息安全工程师教程笔记汇总（点我跳转( •̀ ω •́ )✧）

1. 网络攻击概述
2. 网络攻击一般过程
3. 网络攻击常见技术方法 ※※
4. 黑客常用工具 ※
5. 网络攻击案列分析

  
  本章要记的内容有点多，主要是常见的技术方法和黑客工具。选择题一般会问到攻击方式，起码要大致知道攻击方式的原理
  本章选择题3-5分 案例好像不会考（从往年来看）

---

一、网络攻击方法概述

1.1 网络攻击概念

  网络攻击是指损害网络系统安全属性的危害行为。危害行为导致网络系统的机密性、完整性、可用性、可控性、真实性、抗抵赖性等受到不同程度的破坏。

  常见的危害行为有四个基本类型：

• 信息泄露攻击
• 完整性破坏攻击
• 拒绝服务攻击
• 非法使用攻击

---

1.2 网络攻击模型（了解即可）

  掌握网络攻击模型有助于更好地理解网络攻击活动，以便对目标系统的抗攻击能力进行测评。目前常见的网络攻击模型如下

• 攻击树模型

  • 攻击树的优点：能够采取专家头脑风暴法，并且将这些意见融合到攻击树中去；能够进行费效分析或者概率分析；能够建模非常复杂的攻击场景
  • 攻击树的缺点：由于树结构的内在限制，攻击树不能用来建模多重尝试攻击、时间依赖及访问控制等场景；不能用来建模循环事件；对于现实中的大规模网络，攻击树方法处理起来会很复杂

• MIRE ATT & CK 模型

  • 该模型把攻击活动抽象为初始访问(Initial Access) 、执行(Execution) 、持久化(Persistence) 、特权提升(Privilege Escalation)、躲避防御(Defense Evasion)、凭据访问(Credential Access) 、发现(Discovery)、横向移动(Lateral Movement)、收集(Collection) 、指挥和控制(Commandand Control) 、外泄Exiltration)、 影响(Impact)

• 网络杀伤立案（Kill Chain）模型

  • 该模型把攻击活动抽象为初始访问(Initial Access) 、执行(Execution) 、持久化(Persistence) 、特权提升(Privilege Escalation)、躲避防御(Defense Evasion)、凭据访问(Credential Access) 、发现(Discovery)、 横向移动(Lateral Movement)、收集(Collection) 、指挥和控制(Commandand Control) 、外泄Exiltration)、 影响(Impact)

---

二、网络攻击的一般过程（熟悉，起码要能有自己的理解，能复述）

前4是进入目标系统前，后4是进入后

1. 隐藏攻击源（隐藏自己，使用代理服务器、肉机、跳板，使得系统管理员无法追踪）
2. 收集攻击目标的信息（操作系统版本，数据库等目标系统相关信息）
3. 挖掘目标的漏洞信息（从收集到的目标信息中提取可使用的漏洞信息）
4. 获取目标的访问权限（获取目标系统的普通或特权账户的权限）
5. 隐藏攻击行为（通过加密等措施）
6. 实施攻击（进行破坏活动或者以目标系统为跳板向其他系统发起新的攻击）
7. 开辟后门（为了方便下一次的进攻、连接目标主机）
8. 清除攻击痕迹（避免被网络管理员发现、追踪以及法律部门取证）

---

三、 网络攻击常见的技术方法（重点，要知道原理，会出选择题的）

3.1 常见的端口扫描技术

端口扫描的目的：获取目标主机提供的服务列表
 
原理：端口扫描程序挨个尝试与TCP/UDP连接端口，然后根据端口与服务的对应关系，结合服务器端的反应推断目标系统上是否运行了某项服务，攻击者通过这些服务可能获得相关目标系统的进一步信息或通往目标系统的途径。

 

拓展：在TCP的首部报文中有六个标志比特，按照在报文中的顺序分别是URG（紧急指针有效）、ACK（1时表示确认序号有效）、PSH（为1表示接收方应尽快将这个报文交给应用层，为0表示不需要立即传、而是先进行缓存）、RST（为1时表示TCP连接异常，必须强制断开连接，然后重新连接）、SYN（同步序号用来发起一个连接）、FIN（表示关闭连接）

在为们日常分析中，一般也只会用到后五个标志比特位

• 完全连接扫描

  • 利用TCP/IP协议的三次握手连接机制，使源主机和目的主机的某个端口建立一次完整的连接。如果建立成功，则表明该端口开放；否则表明该端口关闭。
  • 准确度很高，但是最容易被防火墙和IDS检测到，并且在目标主机的日志中会记录有大量的链接请求以及错误信息。
    
    

• 半连接扫描

  • 源主机和目的主机的三次握手连接过程中，只完成了前两次握手，不建立一次完成的连接
  • ？这里我有一个疑问，看了半连接扫描和SYN扫描的定义…他们难道不是同一种扫描方式？我甚至百度都是。（SYN扫描属于半连接扫描？）
    

• SYN扫描

  • 扫描器向目标主机的一个端口发送连接请求(syn包)，扫描器收到目标主机响应的SYN/ACK数据包后，立刻断开连接，这是就能判断该端口是开放的。如果收到的是RST数据包，则端口关闭。
  • 由于三次握手没有完成，tcp连接是没有正常进行的，因此，这次扫描就不会被记录到系统日志中。这种扫描技术一般不会在目标主机上留下扫描痕迹。但是这种扫描需要有root权限。
  • （这种数据包发多就会造成DoS）

• ID头信息扫描

  • dumb主机（哑主机）：不太活跃的主机，类似于这个服务器上没有什么服务，被别人空置的主机（ID头信息扫描需要dump主机的配合）

  • 首先由源主机A向Dumb主机B发出连续的PING数据包，并且查看主机B返回的数据包的ID头信息。一般而言，每个顺序数据包的ID头的值会增加1.然后由源主机A假冒主机B的地址向目的主机C的任意端口（1~65535）发送SYN数据包。这时，主机C向主机B发送的数据包有两种可能的结果：
    

  • 从后续的PING数据包的响应信息的ID头信息可以看出，如果主机C的某个端口是开放的，则主机B返回A的数据包中，ID头的值不是递增1，而是大于1；反之端口关闭。

• 隐蔽扫描：隐蔽扫描是指能够成功绕过IDS（intrusion detction system 入侵检测系统）、防火墙和监视系统等安全机制，取得目标主机端口信息的一种扫描方式

• SYN | ACK扫描

  • 发送SYN | ACK数据包，不返回信息则端口开放，返回RST则端口关闭
  • 本方法是直接发送SYN | ACK数据包，而不是先发送SYN数据包，目的主机接收时会认为这是一次错误的连接，从而会报错

• FIN扫描 ：直接发送FIN数据包，不返回信息则端口开放，返回RST则端口关闭

• ACK扫描

  • 发送FIN数据包，查看返回数据包中的TTL值和WIN值
  • 开放 < TLL值64 <关闭 关闭<= WIN值0 <开放（关闭端口的win值一般为0）

• NULL扫描：将发送数据包中的ACK、FIN、RST、SYN、URG、PSH等标志位设置为0，不返回信息则端口开放，返回RST则端口关闭

• XMAS扫描：标志位全部置成1，不返回信息则端口开放，返回RST则端口关闭

---

3.2 缓冲区溢出

  缓冲区溢出可以使攻击者有机会获得一台主机的部分或全部的控制权。

  缓冲区溢出能成为远程攻击主要的方式的原因是，缓冲区溢出漏洞会给予攻击者控制程序执行流程的机会。攻击者将特意构造的攻击代码植入有缓冲区溢出漏洞的程序中，改变漏洞程序的执行过程，就可以得到攻击主机的控制权。

---

3.3 拒绝服务攻击

其他博主的拒绝服务攻击详解

拒绝服务攻击是指上就两种：

1、服务器的缓冲区满、不接受新的请求

2、IP欺骗迫使服务器吧合法用户的连接复位，影响合法用户连接，也是dos攻击实时的基本思想

  拒绝服务攻击是指攻击者利用系统的缺陷，执行一些恶意的操作，使得合法的系统用户不能及时得到应得的服务或系统资源，如CPU处理时间、存储器、网络宽带等。

  拒绝服务具有以下特点

（1）难确认性，拒绝服务攻击很难判断，用户在自己的服务得不到及时响应时，并不认为自己（或者系统）受到攻击，反而可能认为时系统故障造成一时的服务失效

（2）隐蔽性，正常请求服务隐藏拒绝服务攻击的过程

（3）资源有限性，由于计算机资源有限，容易实现拒绝服务攻击

（4）软件复杂性，由于软件所固有的复杂性，设计实现难以确保软件没有缺陷。因而攻击者有机可乘，可以直接利用软件缺陷进行拒绝服务攻击，如泪滴攻击
1
2
3
4
5
6
7

• 同步包风暴(SYN Flood）：攻击者伪造源ip（Source IP）发送多个同步数据包（标志位SYN为1）给服务器，收到数据包后服务器会向伪造的源Ip发送 SYN | ACK数据包，但却无法再收到确认的ACK数据包，会一直等待直至超时，导致tcp/ip协议的三次握手无法顺利完成。其原理就是发送大量的半连接状态的服务请求，通过占用目标系统的大量资源，影响其的正常运作。
• UDP洪水(UDP Flodd）：攻击者将UDP数据包发送到目标系统的服务端口上，通常是诊断回送服务Echo，因为此服务一般默认开启。若目标系统开启了此服务，就会回应一个带有原始数据内容的UDP数据包给源地址主机。若目标系统没有开启此服务，就会丢弃攻击者发送的数据包，可能会回应ICMP的“目标主机不可达”类型消息给攻击者。但是无论服务有没有开启，攻击者消耗目标系统链路容量的目的已经达到。几乎所有的UDP端口都可以作为攻击目标端口。
• Smurf攻击：是发生在网络层的Dos攻击。较为简单的Smurf攻击是将回复地址设置成目标网络广播地址的ICMP应答请求数据包，是该网络的所有聚集都对此ICMP应答请求做出应答，导致网络阻塞，比ping of death的流量高出一或两个数量级。更加复杂的Smurf攻击是将源地址改为第三方目标网络，最终导致第三方网络阻塞。
• 垃圾邮件**：利用邮件系统制造垃圾信息，甚至通过专门的邮件炸弹（mail bomb）程序给受害者的信箱发送垃圾短信，耗尽用户信箱的磁盘空间，使用户无法应用这个邮箱。
• 消耗CPU和内存资源的拒绝服务攻击**：**利用目标系统的计算机算法漏洞，构造恶意输入数据集，导致目标系统CPU或内存资源耗尽，从而是目标系统瘫痪，如Hash DoS
• 死亡之ping(ping ofdeath)：ICMP报文长固定（64KB），很多操作系统只开辟64KB的缓冲区用于存放ICMP数据包。如果ICMP数据包的实际尺寸超过64KB，就会残生缓冲区溢出，导致TCP/IP协议栈崩溃，造成主机重启或死机，从而达到拒绝服务攻击的目的。

通过Ping命令-l选项指定发送数据包的大小
ping -l 65540 192.168.1.2

由于现在的操作系统已经修复了该漏洞，当用户输入超出缓冲区大小的数值时，系统会提示用户输入范围错误
1
2
3
4

• 泪滴攻击(Teardrop Attack）：泪滴攻击暴露出IP分解与重组的弱点。当IP数据包在网络传输时，会被分解成许多不同的片传送，并借由偏移量字段（Offset Field）作为重组的依据。泪滴攻击通过加入过多或不必要的偏移量字段，事计算机系统重组错乱，产生不可预期的后果。

• 分布式拒绝服务攻击(Distributed Denial of service Attack)：DDos攻击是指植入后门程序从远程遥控攻击，攻击者从多个已入侵的跳板主机控制数个代理攻击主机，所以攻击者可以同时对已控制的代理主机激活干扰命令，对受害主机大量攻击

---

3.4其他网络攻击常见技术

• 口令破解：口令机制是资源访问控制的第一道屏障。网络攻击者常常以破解用户的弱口令为突破口，获取系统的访问权限。攻击者通过口令破解软件，进行远程猜测网络服务口令的流程如下：

   1. 建立与目标网络服务的网络连接
   2. 选取一个用户列表文件及字典文件
   3. 在两组文件中选取一组用户名和口令，安网络服务协议规定，将用户名及口令发送给目标网络服务端口
   4. 检测远程服务返回的信息，确定尝试是否成功；若失败则回到c步骤，直至成功破解
  1
  2
  3
  4

• 恶意代码：是网络攻击常见的攻击手段。常见的恶意代码类型有计算机病毒、网络蠕虫、特洛伊木马、后门、逻辑炸弹、僵尸网络等。比较著名的恶意代码是1988年小莫里斯编制的网络蠕虫、2010年的“震网”

• 网络钓鱼（Phishing）：通过假冒可信方（如银行）提供网上服务，以欺骗手段获取敏感个人信息（如口令、信用卡信息等）的攻击方式。最典型的钓鱼方法是，利用欺骗性的电子邮件和伪造的网站来进行诈骗活动。

• 网络窃听：是指利用网络通信技术缺陷，使得攻击者能够获取到其他人的网络信息通信信息。常见的网络窃听技术手段主要有网络嗅探，中间人攻击。网络攻击者将主机网络接口设置成“杂乱“模式，就剋接收到整个局域网上的信息包，从而获取敏感的口令，甚至将其重组，还原为用户传递的文件

• SQL注入：在web服务器中，一般采用三层架构模式（浏览器+web服务器+数据库）。其中web脚本程序负责处理来自浏览器端提交的信息（如用户登录名、密码、查询请求等）。但是，由于web脚本程序的编程漏洞，对来自于浏览器端的信息缺少输入安全合法性检查，导致攻击者吧SQL命令插入web表单的输入域或页面的请求查找字符串，欺骗服务器执行恶意的SQL命令。

• 社交工程：网络攻击通过一系列的社交活动，获取需要的信息（说的通俗一点，就是诈骗）。例如攻击者打电话给公司职员，自称是网络管理员，并且要求获得用户口令。

• 电子监听：网络攻击者采用电子设备远程距离监控电磁波的传送过程。灵敏的无线电收集装置能狗仔远处看到计算机操作者输入的字符或屏幕显示的内容

• 会话劫持：指攻击者在初始授权之后建立一个连接，在会话劫持以后，攻击者具有合法用户的特权权限

• 漏洞扫描：是一种自动检测远程或本地主机安全漏洞的软件，通过漏洞扫描器可以自动发现系统的安全漏洞。通过收集的漏胸信息，为下一步的攻击做准备。

• 代理技术：指攻击者通过代理服务器进行攻击，其目的是以代理服务器为“攻击跳板”，即使攻击者的攻击行为被发现，也难以追踪攻击者的真实身份或IP地址。黑客常利用所控制的机器当做代理服务器（肉鸡），进行DDoS攻击。

• 数据加密：攻击者常采用数据加密技术来逃避网络安全管理人员的追踪。加密使网络攻击者的数据得到有效保护，及时网络安全管理人员得到这些加密数据，没有秘钥也无法读懂，这样就实现了攻击者的自身保护。攻击者的安全原则是，任何与攻击有关的内容都必须加密或者立即销毁

---

四、黑客工具

• 扫描器：通过扫描程序，黑客可以获得攻击者的IP地址、开放端口、服务器系统版本、程序存在的漏洞等。根据不同的扫描目的，将扫描软件分为地址扫描器、端口扫描器、漏洞扫描器三个类别。几款经典的扫描软件如下。

NMAP（Network Map）即网络地图，通过NMap可以检测网络上主机的开放端口、主机的操作系统类型以及提供的网络服务

Nessus 主机扫描软件，可支持多线程和插件

SuperScan 是一款具有TCP connect端口扫描、ping和域名解析等功能的工具
1
2
3
4
5

• 远程监控：实际上就是在受害机上运行的一个代理软件，而在黑客电脑中运行管理软件，受害机受控于黑客的管理端。常见的远程监控工具有冰河、网络精灵、Netcat
• **密码破解：**常见的密码破解有口令猜测、穷举搜索、装库等。口令猜测主要针对用户弱口令；穷举搜索针对用户密码的选择空间，使用高性能计算机，逐个尝试，直到搜索到用户的密码；装库是根据已经收集到的用户密码的相关数据集，通过关键词搜索匹配，与目标系统的用户信息进行碰撞，以获取用户的密码。常见的密码破解工具如下

john the Ripper 用于检查 Unix/Linux系统的弱口令，支持几乎所有Unix平台上经加密函数加密后的口令哈希类型

LOphtCrack 常用于破解Windows系统口令，含有字典攻击、组合攻击、强行攻击等多种口令猜解方法
1
2
3

• 网络嗅探器(Network Sniffer)：通过网络嗅探，黑客可以接货网络的信息包，之后对加密的信息进行破解，进而分析包内的数据，获得有关系统的信息。常见的嗅探工具有

Tcpdump 是基于命令行的网络数据包分析软件，可以作为网络嗅探工具，能把匹配规则的数据包内容显示出来

wireshark	与tcpdump很像，都是使用libpcap作为其底层抓包的库，区别是wireshark提供图形化界面，可以看到一个包从链路层ethernet，网络层ip，传输层tcp的包信息

DSniff 是一套包含多个工具的软件套件，包括dsniff、filesnarf、mailsnarf、msgsnarf、rlsnarf和webspy。使用DSniff可以获取口令、邮件、文件等信息。
1
2
3
4
5

• 安全渗透工具箱

Metasploit：一个开源渗透测试工具，提供漏洞查找、漏洞利用、漏洞验证等服务功能
BackTrack5: 集成了大量的安全工具软件，支持信息收集、漏洞评估、漏洞利用、特权提升、保持访问、逆向工程、压力测试
1
2

网络分析案例

DDOS攻击

DDoS（Distributed Denial of Service）利用合理的请求造成资源过载，导致服务器不可用。它的整个攻击过程可分为以下五个步骤：

1. 通过探测扫描大量主机，寻找可被攻击的目标
2. 攻击有安全漏洞的主机，并设法获取控制权
3. 在已攻击成功的主机中安装客户端攻击程序
4. 利用已攻击成功的主机继续扫描和攻击，从而扩大可被利用的主机
5. 当安装了攻击程序的客户端，达到一定的数量后，攻击者在主控端给客户端攻击程序发布命令，同时攻击特定的主机

W32.Blaster.Worm

W32Blaster.Worm 是一种利用DCOM RPC漏洞进行传播的网络蠕虫，其传播能力很强。感染蠕虫的计算机系统运行不稳定，系统会不断重启。并且该蠕虫还将对Windowsupdate.com进行拒绝服务攻击，使得受害用户不能及时地得到这个漏洞补丁。

具体的攻击流程如下：

网络安全导致停电事件

2015年12月23日，乌克兰多地区发生同时停电事件。据调查显示，乌克兰停电是因为网络攻击导致电力基础设施被破坏。

这一章我感觉有好多东西需要记，但不一定要背的很全，起码要知晓一个大概。比如我问，黑客工具有哪几种类型？能针相应的类型说一个具体的工具吗？