網(wǎng)絡(luò)攻擊概述課件

1、第一章 網(wǎng)絡(luò)攻擊概述2022/8/1網(wǎng)絡(luò)攻防技術(shù)2本章主要內(nèi)容1.1 網(wǎng)絡(luò)安全威脅1.2 網(wǎng)絡(luò)攻擊技術(shù)1.3 網(wǎng)絡(luò)攻擊的發(fā)展趨勢一、網(wǎng)絡(luò)安全威脅事件凱文米特尼克（Kevin Mitnick）入侵多家公司的內(nèi)部網(wǎng)絡(luò)，竊取了大量信息資產(chǎn)和源代碼，造成了數(shù)百萬美元的損失。2022/8/1網(wǎng)絡(luò)攻防技術(shù)3一、網(wǎng)絡(luò)安全威脅事件1988年，Morris蠕蟲爆發(fā)，感染約6000臺計算機(jī)，造成數(shù)千萬美元的損失。2022/8/1網(wǎng)絡(luò)攻防技術(shù)4一、網(wǎng)絡(luò)安全威脅事件1999年，梅麗莎病毒破壞了世界上300多家公司的計算機(jī)系統(tǒng)，造成近4億美元的損失，成為首個具有全球破壞力的病毒。2022/8/1網(wǎng)絡(luò)攻防技術(shù)5一、網(wǎng)絡(luò)安

2、全威脅事件2010年，針對伊朗核設(shè)施的震網(wǎng)病毒（Stuxnet）被檢測并曝光，成為首個被公開披露的武器級網(wǎng)絡(luò)攻擊病毒。2022/8/1網(wǎng)絡(luò)攻防技術(shù)6一、網(wǎng)絡(luò)安全威脅事件2013年，前美國中央情報局職員E.J.斯諾登披露了美國國家安全局的“棱鏡”監(jiān)聽項(xiàng)目，公開了大量針對實(shí)時通信和網(wǎng)絡(luò)存儲的監(jiān)聽竊密技術(shù)與計劃。2022/8/1網(wǎng)絡(luò)攻防技術(shù)7一、網(wǎng)絡(luò)安全威脅事件2022/8/1網(wǎng)絡(luò)攻防技術(shù)8一、網(wǎng)絡(luò)安全威脅事件2016年8月，黑客組織 The Shadow Brokers 陸續(xù)以多種形式在互聯(lián)網(wǎng)公開拍賣據(jù)稱來自NSA的網(wǎng)絡(luò)攻擊工具集，其中的永恒之藍(lán)漏洞直接導(dǎo)致了17年勒索病毒“WannaCry”全球

3、爆發(fā)。2022/8/1網(wǎng)絡(luò)攻防技術(shù)9一、網(wǎng)絡(luò)安全威脅事件網(wǎng)絡(luò)安全威脅的三個時期：“游俠”期：少數(shù)“黑客”影響“未成年”互聯(lián)網(wǎng)安全；“海盜”期：網(wǎng)絡(luò)“黑產(chǎn)”興起，犯罪團(tuán)伙利用網(wǎng)絡(luò)斂財；國家間對抗期：網(wǎng)絡(luò)攻擊成本提高，國家層面的對抗浮出水面2022/8/1網(wǎng)絡(luò)攻防技術(shù)10二、網(wǎng)絡(luò)安全威脅成因1、技術(shù)因素協(xié)議缺陷：網(wǎng)絡(luò)協(xié)議缺乏認(rèn)證、加密等基本的安全特性；軟件漏洞：軟件規(guī)模龐大，復(fù)雜度提高，開發(fā)者安全知識缺乏；策略弱點(diǎn)：安全需求與應(yīng)用需求不相一致，安全策略設(shè)計不當(dāng)；硬件漏洞：硬件設(shè)計軟件化使得軟件漏洞同樣出現(xiàn)在硬件之中2022/8/1網(wǎng)絡(luò)攻防技術(shù)11二、網(wǎng)絡(luò)安全威脅成因2、人為因素攻擊者：成分復(fù)雜，多

4、數(shù)掌握著豐富的攻擊資源；防御者：廣大的網(wǎng)絡(luò)應(yīng)用人群缺少安全知識，專業(yè)人員數(shù)量、質(zhì)量尚難滿足對安全人才的迫切需求2022/8/1網(wǎng)絡(luò)攻防技術(shù)121.2 網(wǎng)絡(luò)攻擊技術(shù)網(wǎng)絡(luò)攻擊是指利用安全缺陷或不當(dāng)配置對網(wǎng)絡(luò)信息系統(tǒng)的硬件、軟件或通信協(xié)議進(jìn)行攻擊，損害網(wǎng)絡(luò)信息系統(tǒng)的完整性、可用性、機(jī)密性和抗抵賴性，導(dǎo)致被攻擊信息系統(tǒng)敏感信息泄露、非授權(quán)訪問、服務(wù)質(zhì)量下降等后果的攻擊行為。網(wǎng)絡(luò)：狹義上講是計算機(jī)網(wǎng)絡(luò)，廣義上講則是網(wǎng)絡(luò)空間2022/8/1網(wǎng)絡(luò)攻防技術(shù)13一、攻擊分類 網(wǎng)絡(luò)攻擊的形式與種類很多：DDoSPhishing & Pharming蠕蟲木馬SQL Injection跨站腳本（XSS）ARP欺騙、I

5、P欺騙、DNS欺騙一、攻擊分類日常對網(wǎng)絡(luò)攻擊的分類并不嚴(yán)謹(jǐn)，學(xué)術(shù)上攻擊分類從入侵檢測需求出發(fā)，要求遵循以下標(biāo)準(zhǔn)：互斥性（分類類別不應(yīng)重疊）完備性（覆蓋所有可能的攻擊）非二義性（類別劃分清晰）可重復(fù)性（對一個樣本多次分類結(jié)果一致）可接受性（符合邏輯和直覺）實(shí)用性（可用于深入研究和調(diào)查）Amoroso E G, Fundamentals of computer security technology. Englewood Cliffs (New Jersey):PrenticeHall, 1994. 一、攻擊分類從攻擊者的角度，按照攻擊發(fā)生時，攻擊者與被攻擊者之間的交互關(guān)系進(jìn)行分類，可以將網(wǎng)絡(luò)攻擊

6、分為：物理攻擊（Local Attack）主動攻擊（Server-side Attack）被動攻擊（Client-side Attack）中間人攻擊（Man-in-Middle Attack）本地攻擊（Local Attack）指攻擊者通過實(shí)際接觸被攻擊的主機(jī)實(shí)施的各種攻擊方法主動攻擊（Server-side Attack）指攻擊者利用Web、FTP、Telnet等開放網(wǎng)絡(luò)服務(wù)對目標(biāo)實(shí)施的各種攻擊。攻擊者服務(wù)器被動攻擊（Client-side Attack）攻擊者利用瀏覽器、郵件接收程序、文字處理程序等客戶端應(yīng)用程序漏洞或系統(tǒng)用戶弱點(diǎn)，對目標(biāo)實(shí)施的各種攻擊。用戶惡意服務(wù)器中間人攻擊（Man-i

7、n-Middle Attack）指攻擊者處于被攻擊主機(jī)的某個網(wǎng)絡(luò)應(yīng)用的中間人位置，進(jìn)行數(shù)據(jù)竊聽、破壞或篡改等攻擊攻擊者服務(wù)器客戶程序二、攻擊步驟 與方法Information GatheringExploitControlLan Penetration Clearing信息收集權(quán)限獲取安裝后門擴(kuò)大影響清除痕跡信息收集任務(wù)與目的：盡可能多地收集目標(biāo)的相關(guān)信息，為后續(xù)的“精確”攻擊建立基礎(chǔ)。主要方法：主動攻擊利用公開信息服務(wù)主機(jī)掃描與端口掃描操作系統(tǒng)探測與應(yīng)用程序類型識別被動攻擊客戶端應(yīng)用的有關(guān)信息用戶的有關(guān)信息獲取權(quán)限任務(wù)與目的：獲取目標(biāo)系統(tǒng)的讀、寫、執(zhí)行等權(quán)限。主要方法：主動攻擊口令攻擊緩沖區(qū)

8、溢出腳本攻擊被動攻擊特洛伊木馬使用郵件、IM等發(fā)送惡意鏈接.,安裝后門任務(wù)與目的：在目標(biāo)系統(tǒng)中安裝后門程序，以更加方便、更加隱蔽的方式對目標(biāo)系統(tǒng)進(jìn)行操控。主要方法：主機(jī)控制木馬Web服務(wù)控制木馬擴(kuò)大影響任務(wù)與目的：以目標(biāo)系統(tǒng)為“跳板”，對目標(biāo)所屬網(wǎng)絡(luò)的其它主機(jī)進(jìn)行攻擊，最大程度地擴(kuò)大攻擊的效果。主要方法：可使用遠(yuǎn)程攻擊主機(jī)的所有攻擊方式還可使用局域網(wǎng)內(nèi)部攻擊所特有的嗅探、假消息攻擊等方法清除痕跡任務(wù)與目的：清除攻擊的痕跡，以盡可能長久地對目標(biāo)進(jìn)行控制，并防止被識別、追蹤。主要方法：Rootkit隱藏系統(tǒng)安全日志清除應(yīng)用程序日志清除二、攻擊步驟與方法信息收集獲取權(quán)限安裝后門擴(kuò)大影響清除痕跡其它攻

9、擊模型Attack Lifecycle Model其它攻擊模型APTs Killing Chain Model偵察跟蹤武器構(gòu)建載荷投遞突防利用安裝植入通信控制達(dá)成目標(biāo)洛克希德馬丁公司的“殺傷鏈”模型Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains, Lockheed Martin Corporation1.3 網(wǎng)絡(luò)攻擊的發(fā)展趨勢掌握著更多資源的組織、團(tuán)體試圖通過網(wǎng)絡(luò)攻擊謀取利益時，網(wǎng)絡(luò)攻擊涉及的領(lǐng)域必然會越來越多，網(wǎng)

10、絡(luò)攻擊技術(shù)必然會越來越復(fù)雜，網(wǎng)絡(luò)攻防的對抗必然會越來越激烈。2022/8/1網(wǎng)絡(luò)攻防技術(shù)30一、攻擊影響日益深遠(yuǎn)網(wǎng)絡(luò)成為現(xiàn)代社會不可或缺的工具，網(wǎng)絡(luò)攻擊的影響力也將愈加重要。Morris蠕蟲的爆發(fā)造成了當(dāng)時互聯(lián)網(wǎng)的癱瘓2003年沖擊波、2004年震蕩波的爆發(fā)，給普通網(wǎng)民帶來深刻感受2016年Mirai蠕蟲使得美國東海岸地區(qū)遭受大面積網(wǎng)絡(luò)癱瘓2016年的美國大選，黑客組織攻入競選黨派的辦公網(wǎng)絡(luò)、發(fā)布敏感消息或文件，“影響”大選局勢 2022/8/1網(wǎng)絡(luò)攻防技術(shù)31二、攻擊領(lǐng)域不斷拓展物聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，使我們更快地進(jìn)入一個萬物互聯(lián)的時代，網(wǎng)絡(luò)攻擊技術(shù)在這些新領(lǐng)域中也將獲得新的舞臺。2010年，

11、“震網(wǎng)”病毒成功攻擊了伊朗的布什爾核電站的離心機(jī)2017年 BlackHat 大會上，研究者分享了遠(yuǎn)程入侵特斯拉汽車的技術(shù)細(xì)節(jié)針對無人機(jī)、刷卡機(jī)、智能家電、智能開關(guān)等各種聯(lián)網(wǎng)設(shè)備的攻擊不斷被研究者呈現(xiàn)在大眾面前2022/8/1網(wǎng)絡(luò)攻防技術(shù)32三、攻擊技術(shù)愈加精細(xì)從普通“黑客”到APT組織，攻擊者的資源也越來越多，攻擊工具的針對性越來越強(qiáng)，新的攻擊技術(shù)呈現(xiàn)出精細(xì)化的趨勢。2015年泄露的Hacking Team“武器庫”包含多個零日漏洞、手機(jī)木馬、固件木馬等2016年泄露的NSA“武器庫”包含了多個可攻擊操作系統(tǒng)、企業(yè)級防火墻、防病毒軟件的零日工具，2017年在全球范圍內(nèi)爆發(fā)的WannaCry勒索病毒，就是借鑒了其中的“永恒之藍(lán)”（EternalBlue）2022/8/1網(wǎng)絡(luò)攻防技術(shù)33本章小結(jié)深入了解網(wǎng)絡(luò)攻擊的方法和技術(shù)，是實(shí)施有效防范的前提和基礎(chǔ)。駭客、網(wǎng)絡(luò)犯罪分子、情報機(jī)構(gòu)等均會試圖通過網(wǎng)絡(luò)攻擊來達(dá)到其目的。有預(yù)謀的網(wǎng)絡(luò)攻擊行為往往體現(xiàn)出計劃性和系統(tǒng)性的特點(diǎn)，通常可以分為信息收集、權(quán)限獲取、安裝后門