網(wǎng)絡(luò)攻擊基本過(guò)程

網(wǎng)絡(luò)攻擊基本過(guò)程何路helu@

2目標(biāo)信息收集攻擊源隱藏弱點(diǎn)挖掘掌握控制權(quán)攻擊行為隱藏實(shí)施目標(biāo)攻擊開(kāi)辟后門(mén)攻擊痕跡清除

攻擊基本過(guò)程網(wǎng)絡(luò)攻擊的基本過(guò)程攻擊身份和位置隱藏：隱藏網(wǎng)絡(luò)攻擊者的身份以及主機(jī)的位置，隱藏的主機(jī)位置使得系統(tǒng)管理無(wú)法追蹤；目標(biāo)系統(tǒng)信息收集：確定攻擊目標(biāo)并收集目標(biāo)系統(tǒng)的有關(guān)信息；弱點(diǎn)信息挖掘分析：從收集到的目標(biāo)信息中提取可使用的漏洞信息；目標(biāo)使用權(quán)限獲取：獲取目標(biāo)系統(tǒng)的普通或者特權(quán)帳戶(hù)的權(quán)限；攻擊行為隱蔽：隱蔽在目標(biāo)系統(tǒng)中的操作，防止攻擊行為被發(fā)現(xiàn)；攻擊實(shí)施：實(shí)施攻擊或者以目標(biāo)系統(tǒng)為跳板向其他系統(tǒng)發(fā)起新的攻擊；開(kāi)辟后面：在目標(biāo)系統(tǒng)中開(kāi)辟后門(mén)，方便以后的入侵；攻擊痕跡清除：清除攻擊痕跡，逃避攻擊取證。3攻擊身份和位置隱藏攻擊者通常應(yīng)用如下技術(shù)隱藏攻擊的IP地址或域名：利用被侵入的主機(jī)作為跳板，如利用配置不當(dāng)?shù)腜roxy作為跳板；應(yīng)用電話(huà)轉(zhuǎn)接技術(shù)隱蔽攻擊者身份，如利用電話(huà)的轉(zhuǎn)接服務(wù)連接ISP盜用他人的帳號(hào)上網(wǎng)通過(guò)免費(fèi)代理網(wǎng)關(guān)實(shí)施攻擊；偽造IP地址假冒用戶(hù)帳號(hào)等4目標(biāo)系統(tǒng)信息收集在侵入系統(tǒng)的過(guò)程中，收集信息是最重要的步驟。通過(guò)信息收集，從中發(fā)現(xiàn)有利用價(jià)值的東西,這些信息暴露出系統(tǒng)的安全脆弱性或潛在入口。攻擊者對(duì)系統(tǒng)了解得越多，就越可能達(dá)到自己的目的，同時(shí)，落網(wǎng)的可能性就越小。攻擊者通常使用端口掃描工具或者通過(guò)服務(wù)信息、電話(huà)號(hào)碼簿、電子郵件帳號(hào)、網(wǎng)頁(yè)等獲取信息。目標(biāo)信息收集工具：掃描器之王-NMAP漏洞檢查利器－NESSUS大范圍掃描工具－X-SCAN常用掃描工具－SHADOWSCAN、CIS、SUPERSCAN和HOLESCAN等。Neotrc20－圖形化的Trace雜項(xiàng)工具,生動(dòng)地顯示出各節(jié)點(diǎn)和路由5弱點(diǎn)信息的挖掘與分析擊者收集到大量目標(biāo)系統(tǒng)的信息后，開(kāi)始從中挖掘可用于攻擊目標(biāo)的弱點(diǎn)信息。常用的弱點(diǎn)挖掘技術(shù)方法如下：系統(tǒng)或者應(yīng)用服務(wù)軟件的漏洞主機(jī)信任關(guān)系漏洞目標(biāo)網(wǎng)絡(luò)的管理漏洞；通信協(xié)議漏洞網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)漏洞6漏洞挖掘工具實(shí)例：SNIFFER工具：常見(jiàn)免費(fèi)的SNIFFER有tcpdump、Windump、SNIFFIT、NETXRAY口令竊聽(tīng)工具：dsniff密碼破解工具：WINDOWS密碼導(dǎo)出工具——PWDDUMP，WINDOWS密碼破解工具—L0phtCrack，大眾型破解2000/Nt的小工具－－NtKill其他工具：IDA、W32dasm－優(yōu)秀的反匯編工具Softice、Trw2000－優(yōu)秀的調(diào)試工具7目標(biāo)使用權(quán)限獲取最終的目標(biāo)是獲得超級(jí)用戶(hù)權(quán)限——對(duì)目標(biāo)系統(tǒng)的絕對(duì)控制。獲得系統(tǒng)管理員權(quán)限通常有以下途徑：專(zhuān)門(mén)針對(duì)root用戶(hù)的口令進(jìn)行破解。利用系統(tǒng)管理上的漏洞，如錯(cuò)誤的文件許可權(quán)，錯(cuò)誤的系統(tǒng)配置等。令系統(tǒng)管理員運(yùn)行特洛伊木馬程序，截獲LOGIN口令等。竊聽(tīng)管理員口令。8攻擊行為隱蔽進(jìn)入系統(tǒng)之后，攻擊者要作的第一件事就是隱藏行蹤，避免安全管理發(fā)現(xiàn)或IDS發(fā)現(xiàn).通常使用下述技術(shù)來(lái)隱藏行蹤：連接隱藏：如冒充其他用戶(hù)，修改LOGNAME環(huán)境變量、修改登錄日志文件、使用IPSPOOF技術(shù)等。進(jìn)程隱藏：如使用重定向技術(shù)減少ps給出的信息量、用特洛伊木馬代替ps程序等。文件隱藏：如利用字符串的相似來(lái)麻痹系統(tǒng)管理員，或修改文件屬性使普通顯示方法無(wú)法看到。利用操作系統(tǒng)可加載模塊特性，隱藏攻擊時(shí)所產(chǎn)生的信息9實(shí)施攻擊進(jìn)行非法活動(dòng)或者以目標(biāo)系統(tǒng)為跳板向其他系統(tǒng)發(fā)起新的攻擊。不同的攻擊者有不同的攻擊目標(biāo)。一般來(lái)說(shuō)，攻擊目標(biāo)有以下幾個(gè)方面：1）信息訪問(wèn)和破壞：信息經(jīng)常成為攻擊的目標(biāo)。通過(guò)對(duì)信息的訪問(wèn)，他們可以使用、破壞或篡改信息。攻擊者也可以通過(guò)擁有信息來(lái)獲取利益，例如對(duì)專(zhuān)有信息、信用卡信息、個(gè)人信息和政府機(jī)密信息的利用等。2）資源利用：系統(tǒng)資源可能是系統(tǒng)成為攻擊目標(biāo)的原因所在。這些資源可能是獨(dú)一無(wú)二的，例如黑客希望使用專(zhuān)業(yè)硬件或?qū)Ｓ猛庠O(shè)；資源也可能是非常豐富，例如，高速的計(jì)算機(jī)系統(tǒng)或具備高速網(wǎng)絡(luò)的系統(tǒng)經(jīng)常成為黑客的目標(biāo)。黑客可能利用這些資源來(lái)實(shí)現(xiàn)自己的企圖。攻擊其他被信任的主機(jī)和網(wǎng)絡(luò)；3）系統(tǒng)破壞：修改或刪除重要數(shù)據(jù)，刪除用戶(hù)帳號(hào)，停止網(wǎng)絡(luò)服務(wù)等。10開(kāi)辟后門(mén)一次成功的入侵通常要耗費(fèi)攻擊者大量的時(shí)間與資源，因此攻擊者在退出系統(tǒng)之前會(huì)在系統(tǒng)中制造一些后門(mén)，方便下次入侵。攻擊者開(kāi)辟后門(mén)時(shí)通常會(huì)應(yīng)用以下方法：放寬文件許可權(quán)重新開(kāi)放不安全的服務(wù)，如REXD、TFTP等。修改系統(tǒng)的配置，如系統(tǒng)啟動(dòng)文件、網(wǎng)絡(luò)服務(wù)配置文件等。替換系統(tǒng)的共享文件。修改系統(tǒng)的源代碼，安裝各種特洛伊木馬；安裝木馬或者嗅探器；建立隱蔽信道；11攻擊痕跡清除加固攻擊“根據(jù)地”切斷攻擊追蹤鏈常用的方法有：篡改日志文件中的審計(jì)信息；改變系統(tǒng)時(shí)間造成日志文件數(shù)據(jù)紊亂；刪除或者停止審計(jì)服務(wù)進(jìn)程；干擾入侵檢測(cè)系統(tǒng)的正常進(jìn)行；修改完整性檢測(cè)標(biāo)簽等。12攻擊者能否成功攻破一個(gè)系統(tǒng)，取決于多方面的因素。一方面，攻擊者在實(shí)施攻擊之前要先摸清目標(biāo)的防范措施，挖掘目標(biāo)系統(tǒng)的脆弱點(diǎn)，乘虛而入，攻破系統(tǒng)。另一方面，網(wǎng)絡(luò)的安全防范不僅要從正面去進(jìn)行防御，還要從攻擊者的角度出發(fā)，設(shè)計(jì)更加安全的保障系統(tǒng)13攻擊趨勢(shì)一：更加自動(dòng)化自動(dòng)化的攻擊通常包含四個(gè)階段掃描潛在有漏洞的機(jī)器。威脅攻擊有漏洞的主機(jī)。傳播攻擊。攻擊工具的并發(fā)管理。趨勢(shì)二：攻擊工具的混和反檢測(cè)動(dòng)態(tài)的行為早期的攻擊工具按照預(yù)定好的單一順序執(zhí)行攻擊步驟。攻擊工具的模塊化不像早期的攻擊實(shí)現(xiàn)了一種類(lèi)型的攻擊，現(xiàn)在的工具可以通過(guò)升級(jí)或者替換工具的某個(gè)部分來(lái)快速的改變。趨勢(shì)三：漏洞更新更快0DayExploit的概念PrivateExploit和Underground的交易行為自動(dòng)化分析工具的出現(xiàn)趨勢(shì)四：防火墻攻擊防火墻不是網(wǎng)絡(luò)安全的最終解決方案；移動(dòng)代碼，例如ActiveX控件，java&javascript等。安全軟件自身也存在著漏洞趨勢(shì)五：被動(dòng)攻擊的增加2005年微軟公布了60多個(gè)IE瀏覽器的漏洞。Symantec網(wǎng)絡(luò)安全分析報(bào)告：攻擊者的注意力更多地轉(zhuǎn)向Web以及其它客戶(hù)端程序。SANSTop20:20類(lèi)中有8大類(lèi)是與客戶(hù)端程序漏洞相關(guān)的。趨勢(shì)六：趨于非對(duì)稱(chēng)性因?yàn)楣艏夹g(shù)的進(jìn)步，單個(gè)的攻擊者可以很容易的利用大量的分布式系統(tǒng)對(duì)一臺(tái)主機(jī)發(fā)起破壞性的攻擊。由于攻擊工具的自動(dòng)配置和組合管理的提高，威脅的非對(duì)稱(chēng)本質(zhì)將繼續(xù)增加。趨勢(shì)七：基礎(chǔ)設(shè)施的威脅分布式拒絕服務(wù)蠕蟲(chóng)Internet域名服務(wù)器的攻擊攻擊或者利用路由器21網(wǎng)絡(luò)代理跳板當(dāng)從本地入侵其他主機(jī)的時(shí)候，自己的IP會(huì)暴露給對(duì)方。通過(guò)將某一臺(tái)主機(jī)設(shè)置為代理，通過(guò)該主機(jī)再入侵其他主機(jī)，這樣就會(huì)留下代理的IP地址，這樣就可以有效的保護(hù)自己的安全。二級(jí)代理的基本結(jié)構(gòu)如圖所示。22清除日志電影中通常會(huì)出現(xiàn)這樣的場(chǎng)景，當(dāng)有黑客入侵計(jì)算機(jī)系統(tǒng)的時(shí)候，需要全樓停電來(lái)捉住黑客，為什么停電就可以逮住黑客呢？這是因?yàn)楫?dāng)黑客入侵系