網(wǎng)絡攻擊基本過程

網(wǎng)絡攻擊基本過程何路helu@

2目標信息收集攻擊源隱藏弱點挖掘掌握控制權攻擊行為隱藏實施目標攻擊開辟后門攻擊痕跡清除

攻擊基本過程網(wǎng)絡攻擊的基本過程攻擊身份和位置隱藏：隱藏網(wǎng)絡攻擊者的身份以及主機的位置，隱藏的主機位置使得系統(tǒng)管理無法追蹤；目標系統(tǒng)信息收集：確定攻擊目標并收集目標系統(tǒng)的有關信息；弱點信息挖掘分析：從收集到的目標信息中提取可使用的漏洞信息；目標使用權限獲?。韩@取目標系統(tǒng)的普通或者特權帳戶的權限；攻擊行為隱蔽：隱蔽在目標系統(tǒng)中的操作，防止攻擊行為被發(fā)現(xiàn)；攻擊實施：實施攻擊或者以目標系統(tǒng)為跳板向其他系統(tǒng)發(fā)起新的攻擊；開辟后面：在目標系統(tǒng)中開辟后門，方便以后的入侵；攻擊痕跡清除：清除攻擊痕跡，逃避攻擊取證。3攻擊身份和位置隱藏攻擊者通常應用如下技術隱藏攻擊的IP地址或域名：利用被侵入的主機作為跳板，如利用配置不當?shù)腜roxy作為跳板；應用電話轉接技術隱蔽攻擊者身份，如利用電話的轉接服務連接ISP盜用他人的帳號上網(wǎng)通過免費代理網(wǎng)關實施攻擊；偽造IP地址假冒用戶帳號等4目標系統(tǒng)信息收集在侵入系統(tǒng)的過程中，收集信息是最重要的步驟。通過信息收集，從中發(fā)現(xiàn)有利用價值的東西,這些信息暴露出系統(tǒng)的安全脆弱性或潛在入口。攻擊者對系統(tǒng)了解得越多，就越可能達到自己的目的，同時，落網(wǎng)的可能性就越小。攻擊者通常使用端口掃描工具或者通過服務信息、電話號碼簿、電子郵件帳號、網(wǎng)頁等獲取信息。目標信息收集工具：掃描器之王-NMAP漏洞檢查利器－NESSUS大范圍掃描工具－X-SCAN常用掃描工具－SHADOWSCAN、CIS、SUPERSCAN和HOLESCAN等。Neotrc20－圖形化的Trace雜項工具,生動地顯示出各節(jié)點和路由5弱點信息的挖掘與分析擊者收集到大量目標系統(tǒng)的信息后，開始從中挖掘可用于攻擊目標的弱點信息。常用的弱點挖掘技術方法如下：系統(tǒng)或者應用服務軟件的漏洞主機信任關系漏洞目標網(wǎng)絡的管理漏洞；通信協(xié)議漏洞網(wǎng)絡業(yè)務系統(tǒng)漏洞6漏洞挖掘工具實例：SNIFFER工具：常見免費的SNIFFER有tcpdump、Windump、SNIFFIT、NETXRAY口令竊聽工具：dsniff密碼破解工具：WINDOWS密碼導出工具——PWDDUMP，WINDOWS密碼破解工具—L0phtCrack，大眾型破解2000/Nt的小工具－－NtKill其他工具：IDA、W32dasm－優(yōu)秀的反匯編工具Softice、Trw2000－優(yōu)秀的調試工具7目標使用權限獲取最終的目標是獲得超級用戶權限——對目標系統(tǒng)的絕對控制。獲得系統(tǒng)管理員權限通常有以下途徑：專門針對root用戶的口令進行破解。利用系統(tǒng)管理上的漏洞，如錯誤的文件許可權，錯誤的系統(tǒng)配置等。令系統(tǒng)管理員運行特洛伊木馬程序，截獲LOGIN口令等。竊聽管理員口令。8攻擊行為隱蔽進入系統(tǒng)之后，攻擊者要作的第一件事就是隱藏行蹤，避免安全管理發(fā)現(xiàn)或IDS發(fā)現(xiàn).通常使用下述技術來隱藏行蹤：連接隱藏：如冒充其他用戶，修改LOGNAME環(huán)境變量、修改登錄日志文件、使用IPSPOOF技術等。進程隱藏：如使用重定向技術減少ps給出的信息量、用特洛伊木馬代替ps程序等。文件隱藏：如利用字符串的相似來麻痹系統(tǒng)管理員，或修改文件屬性使普通顯示方法無法看到。利用操作系統(tǒng)可加載模塊特性，隱藏攻擊時所產(chǎn)生的信息9實施攻擊進行非法活動或者以目標系統(tǒng)為跳板向其他系統(tǒng)發(fā)起新的攻擊。不同的攻擊者有不同的攻擊目標。一般來說，攻擊目標有以下幾個方面：1）信息訪問和破壞：信息經(jīng)常成為攻擊的目標。通過對信息的訪問，他們可以使用、破壞或篡改信息。攻擊者也可以通過擁有信息來獲取利益，例如對專有信息、信用卡信息、個人信息和政府機密信息的利用等。2）資源利用：系統(tǒng)資源可能是系統(tǒng)成為攻擊目標的原因所在。這些資源可能是獨一無二的，例如黑客希望使用專業(yè)硬件或專用外設；資源也可能是非常豐富，例如，高速的計算機系統(tǒng)或具備高速網(wǎng)絡的系統(tǒng)經(jīng)常成為黑客的目標。黑客可能利用這些資源來實現(xiàn)自己的企圖。攻擊其他被信任的主機和網(wǎng)絡；3）系統(tǒng)破壞：修改或刪除重要數(shù)據(jù)，刪除用戶帳號，停止網(wǎng)絡服務等。10開辟后門一次成功的入侵通常要耗費攻擊者大量的時間與資源，因此攻擊者在退出系統(tǒng)之前會在系統(tǒng)中制造一些后門，方便下次入侵。攻擊者開辟后門時通常會應用以下方法：放寬文件許可權重新開放不安全的服務，如REXD、TFTP等。修改系統(tǒng)的配置，如系統(tǒng)啟動文件、網(wǎng)絡服務配置文件等。替換系統(tǒng)的共享文件。修改系統(tǒng)的源代碼，安裝各種特洛伊木馬；安裝木馬或者嗅探器；建立隱蔽信道；11攻擊痕跡清除加固攻擊“根據(jù)地”切斷攻擊追蹤鏈常用的方法有：篡改日志文件中的審計信息；改變系統(tǒng)時間造成日志文件數(shù)據(jù)紊亂；刪除或者停止審計服務進程；干擾入侵檢測系統(tǒng)的正常進行；修改完整性檢測標簽等。12攻擊者能否成功攻破一個系統(tǒng)，取決于多方面的因素。一方面，攻擊者在實施攻擊之前要先摸清目標的防范措施，挖掘目標系統(tǒng)的脆弱點，乘虛而入，攻破系統(tǒng)。另一方面，網(wǎng)絡的安全防范不僅要從正面去進行防御，還要從攻擊者的角度出發(fā)，設計更加安全的保障系統(tǒng)13攻擊趨勢一：更加自動化自動化的攻擊通常包含四個階段掃描潛在有漏洞的機器。威脅攻擊有漏洞的主機。傳播攻擊。攻擊工具的并發(fā)管理。趨勢二：攻擊工具的混和反檢測動態(tài)的行為早期的攻擊工具按照預定好的單一順序執(zhí)行攻擊步驟。攻擊工具的模塊化不像早期的攻擊實現(xiàn)了一種類型的攻擊，現(xiàn)在的工具可以通過升級或者替換工具的某個部分來快速的改變。趨勢三：漏洞更新更快0DayExploit的概念PrivateExploit和Underground的交易行為自動化分析工具的出現(xiàn)趨勢四：防火墻攻擊防火墻不是網(wǎng)絡安全的最終解決方案；移動代碼，例如ActiveX控件，java&javascript等。安全軟件自身也存在著漏洞趨勢五：被動攻擊的增加2005年微軟公布了60多個IE瀏覽器的漏洞。Symantec網(wǎng)絡安全分析報告：攻擊者的注意力更多地轉向Web以及其它客戶端程序。SANSTop20:20類中有8大類是與客戶端程序漏洞相關的。趨勢六：趨于非對稱性因為攻擊技術的進步，單個的攻擊者可以很容易的利用大量的分布式系統(tǒng)對一臺主機發(fā)起破壞性的攻擊。由于攻擊工具的自動配置和組合管理的提高，威脅的非對稱本質將繼續(xù)增加。趨勢七：基礎設施的威脅分布式拒絕服務蠕蟲Internet域名服務器的攻擊攻擊或者利用路由器21網(wǎng)絡代理跳板當從本地入侵其他主機的時候，自己的IP會暴露給對方。通過將某一臺主機設置為代理，通過該主機再入侵其他主機，這樣就會留下代理的IP地址，這樣就可以有效的保護自己的安全。二級代理的基本結構如圖所示。22清除日志電影中通常會出現(xiàn)這樣的場景，當有黑客入侵計算機系統(tǒng)的時候，需要全樓停電來捉住黑客，為什么停電就可以逮住黑客呢？這是因為當黑客入侵系