2023學(xué)年完整公開課版網(wǎng)絡(luò)攻擊02

網(wǎng)絡(luò)攻擊2網(wǎng)絡(luò)攻擊的概念

網(wǎng)絡(luò)攻擊是指任何非授權(quán)而進入或試圖進入他人計算機網(wǎng)絡(luò)的行為。這種行為包括對整個網(wǎng)絡(luò)的攻擊,也包括對網(wǎng)絡(luò)中的服務(wù)器或單個計算機的攻擊。網(wǎng)絡(luò)攻擊是入侵者實現(xiàn)入侵目的所采取的技術(shù)手段和方法。3網(wǎng)絡(luò)攻擊簡介網(wǎng)絡(luò)信息系統(tǒng)所面臨而對威脅來自很多方面，而且會隨著時間的變化而變化。從宏觀上看，這些威脅可分為人為威脅和自然威脅。自然威脅來自與各種自然災(zāi)害、惡劣的場地環(huán)境、電磁干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些威脅是無目的的，但會對網(wǎng)絡(luò)通信系統(tǒng)造成損害，危及通信安全。而人為威脅是對網(wǎng)絡(luò)信息系統(tǒng)的人為攻擊，通過尋找系統(tǒng)的弱點，以非授權(quán)方式達到破壞、欺騙和竊取數(shù)據(jù)信息等目的。兩者相比，精心設(shè)計的人為攻擊威脅難防備、種類多、數(shù)量大。從對信息的破壞性上看，攻擊類型可以分為被動攻擊和主動攻擊。4攻擊的分類-主動攻擊主動攻擊會導(dǎo)致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產(chǎn)生。這類攻擊可分為篡改、偽造消息數(shù)據(jù)和終端（拒絕服務(wù)）。（1）篡改消息篡改消息是指一個合法消息的某些部分被改變、刪除，消息被延遲或改變順序，通常用以產(chǎn)生一個未授權(quán)的效果。如修改傳輸消息中的數(shù)據(jù)，將“允許甲執(zhí)行操作”改為“允許乙執(zhí)行操作”。（2）偽造偽造指的是某個實體（人或系統(tǒng)）發(fā)出含有其他實體身份信息的數(shù)據(jù)信息，假扮成其他實體，從而以欺騙方式獲取一些合法用戶的權(quán)利和特權(quán)。（3）拒絕服務(wù)拒絕服務(wù)即常說的DoS（DenyofService），會導(dǎo)致對通訊設(shè)備正常使用或管理被無條件地終端。通常是對整個網(wǎng)絡(luò)實施破壞，以達到降低性能、終端服務(wù)的目的。這種攻擊也可能有一個特定的目標，如到某一特定目的地（如安全審計服務(wù)）的所有數(shù)據(jù)包都被組織。5攻擊的分類-被動攻擊被動攻擊中攻擊者不對數(shù)據(jù)信息做任何修改，截取/竊聽是指在未經(jīng)用戶同一和認可的情況下攻擊者獲得了信息或相關(guān)數(shù)據(jù)。通常包括竊聽、流量分析、破解弱加密的數(shù)據(jù)流等攻擊方式。（1）流量分析流量分析攻擊方式適用于一些特殊場合，例如敏感信息都是保密的，攻擊者雖然從截獲的消息中無法的到消息的真實內(nèi)容，但攻擊者還能通過觀察這些數(shù)據(jù)報的模式，分析確定出通信雙方的位置、通信的次數(shù)及消息的長度，獲知相關(guān)的敏感信息，這種攻擊方式稱為流量分析。（2）竊聽竊聽是最常用的首段。目前應(yīng)用最廣泛的局域網(wǎng)上的數(shù)據(jù)傳送是基于廣播方式進行的，這就使一臺主機有可能受到本子網(wǎng)上傳送的所有信息。而計算機的網(wǎng)卡工作在雜收模式時，它就可以將網(wǎng)絡(luò)上傳送的所有信息傳送到上層，以供進一步分析。如果沒有采取加密措施，通過協(xié)議分析，可以完全掌握通信的全部內(nèi)容，竊聽還可以用無限截獲方式得到信息，通過高靈敏接受裝置接收網(wǎng)絡(luò)站點輻射的電磁波或網(wǎng)絡(luò)連接設(shè)備輻射的電磁波，通過對電磁信號的分析恢復(fù)原數(shù)據(jù)信號從而獲得網(wǎng)絡(luò)信息。盡管有時數(shù)據(jù)信息不能通過電磁信號全部恢復(fù)，但肯得到極有價值的情報。由于被動攻擊不會對被攻擊的信息做任何修改，留下痕跡很好，或者根本不留下痕跡，因而非常難以檢測，所以抗擊這類攻擊的重點在于預(yù)防，具體措施包括虛擬專用網(wǎng)VPN，采用加密技術(shù)保護信息以及使用交換式網(wǎng)絡(luò)設(shè)備等。被動攻擊不易被發(fā)現(xiàn)，因而常常是主動攻擊的前奏。被動攻擊雖然難以檢測，但可采取措施有效地預(yù)防，而要有效地防止攻擊是十分困難的，開銷太大，抗擊主動攻擊的主要技術(shù)手段是檢測，以及從攻擊造成的破壞中及時地恢復(fù)。檢測同時還具有某種威懾效應(yīng)，在一定程度上也能起到防止攻擊的作用。具體措施包括自動審計、入侵檢測和完整性恢復(fù)等。6攻擊層次從淺入深的分為以下幾個層次：（1）簡單拒絕服務(wù)。（2）本地用戶獲得非授權(quán)讀權(quán)限。（3）本地用戶獲得非授權(quán)寫權(quán)限。（4）遠程用戶獲得非授權(quán)賬號信息。（5）遠程用戶獲得特權(quán)文件的讀權(quán)限。（6）遠程用戶獲得特權(quán)文件的寫權(quán)限。（7）遠程用戶擁有了系統(tǒng)管理員權(quán)限。7攻擊方法口令入侵特洛伊木馬WWW欺騙電子郵件節(jié)點攻擊網(wǎng)絡(luò)監(jiān)聽黑客軟件安全漏洞端口掃描8攻擊位置遠程攻擊指外部攻擊者通過各種手段，從該子網(wǎng)以外的地方向該子網(wǎng)或者該子網(wǎng)內(nèi)的系統(tǒng)發(fā)動攻擊。本地攻擊指本單位的內(nèi)部人員，通過所在的局域網(wǎng)，向本單位的其他系統(tǒng)發(fā)動攻擊，在本級上進行非法越權(quán)訪問。偽遠程攻擊指內(nèi)部人員為了掩蓋攻擊者的身份，從本地獲取目標的一些必要信息后，攻擊過程從外部遠程發(fā)起，造成外部入侵的現(xiàn)象。9攻擊工具DOS攻擊：例如：WinNuke通過發(fā)送OOB漏洞導(dǎo)致系統(tǒng)藍屏；Bonk通過發(fā)送大量偽造的UDP數(shù)據(jù)包導(dǎo)致系統(tǒng)重啟；TearDrop通過發(fā)送重疊的IP碎片導(dǎo)致系統(tǒng)的TCP/IP棧崩潰；WinArp通過發(fā)特別數(shù)據(jù)包在對方機器上產(chǎn)生大量的窗口；Land通過發(fā)送大量偽造源IP的基于SYN的TCP請求導(dǎo)致系統(tǒng)重啟動；FluShot通過發(fā)送特定IP包導(dǎo)致系統(tǒng)凝固；Bloo通過發(fā)送大量的ICMP數(shù)據(jù)包導(dǎo)致系統(tǒng)變慢甚至凝固；PIMP通過IGMP漏洞導(dǎo)致系統(tǒng)藍屏甚至重新啟動；Jolt通過大量偽造的ICMP和UDP導(dǎo)致系統(tǒng)變的非常慢甚至重新啟動。木馬程式：例如BO2000(BackOrifice)、“冰河”、NetSpy、Glacier、KeyboardGhost、ExeBind10攻擊步驟第一步：隱藏己方位置普通攻擊者都會利用別人的計算機隱藏他們真實的IP地址。老練的攻擊者還會利用800電話的無人轉(zhuǎn)接服務(wù)聯(lián)接ISP，然后再盜用他人的帳號上網(wǎng)。第二步：尋找并分析攻擊者首先要尋找目標主機并分析目標主機。在Internet上能真正標識主機的是IP地址，域名是為了便于記憶主機的IP地址而另起的名字，只要利用域名和IP地址就能順利地找到目標主機。當(dāng)然，知道了要攻擊目標的位置還是遠遠不夠的，還必須將主機的操作系統(tǒng)類型及其所提供服務(wù)等資料作個全方面的了解。此時，攻擊者們會使用一些掃描器工具，輕松獲取目標主機運行的是哪種操作系統(tǒng)的哪個版本，系統(tǒng)有哪些帳戶，WWW、FTP、Telnet、SMTP等服務(wù)器程式是何種版本等資料，為入侵作好充分的準備。第三步：帳號和密碼攻擊者要想入侵一臺主機，首先要該獲取主機的一個帳號和密碼，否則連登錄都無法進行。這樣常迫使他們先設(shè)法盜竊帳戶文件，進行破解，從中獲取某用戶的帳戶和口令，再尋覓合適時機以此身份進入主機。當(dāng)然，利用某些工具或系統(tǒng)漏洞登錄主機也是攻擊者常用的一種技法。第四步：獲得控制權(quán)攻擊者們用FTP、Telnet等工具利用系統(tǒng)漏洞進入進入目標主機系統(tǒng)獲得控制權(quán)之后，就會做兩件事：清除記錄和留下后門。他會更改某些系統(tǒng)設(shè)置、在系統(tǒng)中置入特洛伊木馬或其他一些遠程操縱程式，以便日后能不被覺察地再次進入系統(tǒng)。大多數(shù)后門程式是預(yù)先編譯好的，只需要想辦法修改時間和權(quán)限就能使用了，甚至新文件的大小都和原文件一模相同。攻擊者一般會使用rep傳遞這些文件，以便不留下FTB記錄。清除日志、刪除拷貝的文件等手段來隱藏自己的蹤跡之后，攻擊者就開始下一步的行動。第五步：資源和特權(quán)攻擊者找到攻擊目標后，會繼續(xù)下一步的攻擊，竊取網(wǎng)絡(luò)資源和特權(quán)。如：下載敏感信息；實施竊取帳號密碼、信用卡號等經(jīng)濟偷竊；使網(wǎng)絡(luò)癱瘓。11應(yīng)對策略在對網(wǎng)絡(luò)攻擊進行上述分析和識別的基礎(chǔ)上，我們應(yīng)當(dāng)認真制定有針對性的策略。明確安全對象，設(shè)置強有力的安全保障體系。有的放矢，在網(wǎng)絡(luò)中層層設(shè)防，發(fā)揮網(wǎng)絡(luò)的每層作用，使每一層都成為一道關(guān)卡，從而讓攻擊者無隙可鉆、無計可使。還必須做到未雨稠繆，預(yù)防為主，將重要的數(shù)據(jù)備份并時刻注意系統(tǒng)運行狀況。以下是針對眾多令人擔(dān)心的網(wǎng)絡(luò)安全問題，提出的幾點建議提高安全意識(1)不要隨意打開來歷不明的電子郵件及文件，不要隨便運行不太了解的人給你的程式，比如“特洛伊”類黑客程式就需要騙你運行。中國.網(wǎng)管聯(lián)盟(2)盡量避免從Internet下載不知名的軟件、游戲程式。即使從知名的網(wǎng)站下載的軟件也要及時用最新的病毒和木馬查殺軟件對軟件和系統(tǒng)進行掃描。(3)密碼設(shè)置盡可能使用字母數(shù)字混排，單純的英文或數(shù)字非常容易窮舉。將常用的密碼設(shè)置不同，防止被人查出一個，連帶到重要密碼。重要密碼最佳經(jīng)常更換。(4)及時下載安裝系統(tǒng)補丁程式。(5)不隨便運行黑客程式，不少這類程式運行時會發(fā)出你的個人信息。(6)在支持HTML的BBS上，如發(fā)現(xiàn)提交警告，先看原始碼，非常可能是騙取密碼的陷阱。12應(yīng)對策略防火墻軟件使用防毒、防黑等防火墻軟件。防火墻是個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網(wǎng)絡(luò)邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)視系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵入。代理服務(wù)器設(shè)置代理服務(wù)器，隱藏自已IP地址。保護自己的IP地址是非常重要的。事實上，即便你的機器上被安裝了木馬程式，若沒有你的IP地址，攻擊者也是沒有辦法的，而保護IP地址的最佳方法就是設(shè)置代理服務(wù)器。代理服務(wù)器能起到外部網(wǎng)絡(luò)申請訪問內(nèi)部網(wǎng)絡(luò)的中間轉(zhuǎn)接作用，其功能類似于一個數(shù)據(jù)轉(zhuǎn)發(fā)器，他主要控制哪些用戶能訪問哪些服務(wù)類型。當(dāng)外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請某種網(wǎng)絡(luò)服務(wù)時，代理服務(wù)器接受申請，然后他根據(jù)其服務(wù)類型、服務(wù)內(nèi)容、被服務(wù)的對象、服務(wù)者申請的時間、申請者的域名范圍等來決定是否接受此項服務(wù)，如果接受，他就向內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)這項請求。