網(wǎng)絡(luò)攻擊與防護(hù) 課件 1-網(wǎng)絡(luò)攻防概述

網(wǎng)絡(luò)攻防概述前言2017年5月12日全球范圍內(nèi)爆發(fā)基于Windows網(wǎng)絡(luò)共享協(xié)議進(jìn)行攻擊傳播的蠕蟲(chóng)惡意代碼WannaCry，該蠕蟲(chóng)感染計(jì)算機(jī)后會(huì)向計(jì)算機(jī)中植入敲詐者病毒，導(dǎo)致電腦大量文件被加密。受害者電腦被黑客鎖定后，病毒會(huì)提示支付價(jià)值相當(dāng)于300美元(約合人民幣2069元)的比特幣才可解鎖。五個(gè)小時(shí)內(nèi)，包括英國(guó)、俄羅斯、整個(gè)歐洲以及我國(guó)大量行業(yè)企業(yè)內(nèi)網(wǎng)遭受大規(guī)模感染。企業(yè)、醫(yī)療、電力、能源、銀行、交通等多個(gè)行業(yè)均受到不同程度的影響，對(duì)重要數(shù)據(jù)造成嚴(yán)重?fù)p失。網(wǎng)絡(luò)攻擊又一次影響到全人類(lèi)社會(huì)。網(wǎng)絡(luò)攻防網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)防護(hù)網(wǎng)絡(luò)安全（cybersecurity）網(wǎng)絡(luò)安全（cybersecurity）是指通過(guò)采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。（定義來(lái)源：GB∕T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求）。網(wǎng)絡(luò)中的潛在威脅網(wǎng)絡(luò)安全的屬性網(wǎng)絡(luò)安全的屬性完整性保密性可用性網(wǎng)絡(luò)攻防的發(fā)展趨勢(shì)入侵工具越來(lái)越復(fù)雜黑客利用安全漏洞的速度越來(lái)越快自動(dòng)化程度和入侵速度不斷提高攻擊門(mén)檻越來(lái)越低攻擊網(wǎng)絡(luò)基礎(chǔ)設(shè)施產(chǎn)生的破壞效果越來(lái)越大美軍發(fā)展網(wǎng)絡(luò)攻擊武器網(wǎng)絡(luò)攻防網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)防護(hù)網(wǎng)絡(luò)攻擊（CyberAttacks）網(wǎng)絡(luò)攻擊（CyberAttacks，也稱(chēng)賽博攻擊）是指針對(duì)計(jì)算機(jī)信息系統(tǒng)、基礎(chǔ)設(shè)施、計(jì)算機(jī)網(wǎng)絡(luò)或個(gè)人計(jì)算機(jī)設(shè)備的，任何類(lèi)型的進(jìn)攻動(dòng)作。對(duì)于計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)來(lái)說(shuō)，破壞、揭露、修改、使軟件或服務(wù)失去功能、在沒(méi)有得到授權(quán)的情況下偷取或訪(fǎng)問(wèn)任何一計(jì)算機(jī)的數(shù)據(jù)，都會(huì)被視為于計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)中的攻擊。網(wǎng)絡(luò)攻擊路徑網(wǎng)絡(luò)攻擊流程信息收集漏洞掃描獲取權(quán)限／提權(quán)維持權(quán)限清除痕跡IP發(fā)現(xiàn)互聯(lián)網(wǎng)信息收集服務(wù)器信息收集人力資源情報(bào)收集網(wǎng)站關(guān)鍵信息收集端口掃描域名發(fā)現(xiàn)漏洞掃描掃描結(jié)果關(guān)聯(lián)分析手工驗(yàn)證確定攻擊路徑效果確認(rèn)漏洞測(cè)試自動(dòng)化測(cè)試手工方法測(cè)試漏洞研究對(duì)公開(kāi)資源的研究私有環(huán)境下的研究獲取敏感信息初步分析橫向滲透權(quán)限提升權(quán)限維持攻擊途徑Web入侵系統(tǒng)入侵0day攻擊釣魚(yú)攻擊繞過(guò)防御機(jī)制使用代理清理日志清理工具網(wǎng)絡(luò)攻擊的類(lèi)型主動(dòng)攻擊篡改消息偽造拒絕服務(wù)被動(dòng)攻擊流量分析竊聽(tīng)網(wǎng)絡(luò)攻擊模型1、網(wǎng)絡(luò)殺傷鏈模型偵察跟蹤偵察跟蹤武器構(gòu)建載荷投遞漏洞利用安裝植入命令與控制目標(biāo)達(dá)成2、ATT&CK模型PRE-ATT&CKATT&CKforEnterpriseATT&CKforMobile網(wǎng)絡(luò)攻擊對(duì)象1、網(wǎng)絡(luò)設(shè)備各種防火墻、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)設(shè)備。2、主機(jī)操作系統(tǒng)WINDOWS、SOLARIS、AIX、LINUX、SCO、SGI等操作系統(tǒng)。3、應(yīng)用系統(tǒng)Web、Ftp、Mail、DNS等等應(yīng)用系統(tǒng)。4、數(shù)據(jù)庫(kù)系統(tǒng)MS-SQL、ORACLE、MYSQL、SYBASE、DB2等數(shù)據(jù)庫(kù)。5、安全管理安全管理手段技術(shù)、制度、流程，人員的安全意識(shí)等。網(wǎng)絡(luò)入侵的主要攻擊方法網(wǎng)絡(luò)掃描 緩沖區(qū)溢出攻擊口令攻擊病毒木馬網(wǎng)絡(luò)蠕蟲(chóng)拒絕服務(wù)網(wǎng)頁(yè)掛馬Web攻擊僵尸網(wǎng)絡(luò)攻擊APT攻擊網(wǎng)絡(luò)掃描常見(jiàn)網(wǎng)絡(luò)攻擊技術(shù)網(wǎng)絡(luò)掃描：主要收集目標(biāo)主機(jī)的相關(guān)信息，主要包括端口、服務(wù)、漏洞等信息。掃描手段多樣，可借助工具也多種多樣。端口掃描：Nmap。漏洞掃描：awvs\appscan\openvas\nessus等。掃描過(guò)程與目的：掃描目標(biāo)主機(jī)識(shí)別其工作狀態(tài)（開(kāi)/關(guān)機(jī)）。識(shí)別目標(biāo)主機(jī)端口的狀態(tài)（監(jiān)聽(tīng)/關(guān)閉）。識(shí)別目標(biāo)主機(jī)系統(tǒng)及服務(wù)程序的類(lèi)型和版本。根據(jù)已知漏洞信息，分析系統(tǒng)脆弱點(diǎn)。口令攻擊常見(jiàn)網(wǎng)絡(luò)攻擊技術(shù)暴力破解手工方式：社會(huì)工程學(xué)、嘗試默認(rèn)口令。自動(dòng)猜測(cè)：工具：Hydra、John、LC等。嗅探竊聽(tīng)網(wǎng)絡(luò)截獲、鍵盤(pán)監(jiān)聽(tīng)。工具：Dsniff、SnifferPro、IKS等。拒絕服務(wù)攻擊常見(jiàn)網(wǎng)絡(luò)攻擊技術(shù)拒絕服務(wù)（DenialofService，簡(jiǎn)稱(chēng)DoS）是一種簡(jiǎn)單的破壞性攻擊，通常是利用傳輸協(xié)議中的某個(gè)弱點(diǎn)、系統(tǒng)存在的漏洞、或服務(wù)的漏洞，對(duì)目標(biāo)系統(tǒng)發(fā)起大規(guī)模的進(jìn)攻，用超出目標(biāo)處理能力的海量數(shù)據(jù)包消耗可用系統(tǒng)資源、帶寬資源等，或造成程序緩沖區(qū)溢出錯(cuò)誤，致使其無(wú)法處理合法用戶(hù)的正常請(qǐng)求，無(wú)法提供正常服務(wù)，最終致使網(wǎng)絡(luò)服務(wù)癱瘓，甚至系統(tǒng)死機(jī)。網(wǎng)絡(luò)緩沖區(qū)溢出常見(jiàn)網(wǎng)絡(luò)攻擊技術(shù)緩沖區(qū)溢出攻擊原理緩沖區(qū)溢出攻擊利用編寫(xiě)不夠嚴(yán)謹(jǐn)?shù)某绦?，通過(guò)向程序的緩沖區(qū)寫(xiě)入超過(guò)預(yù)定長(zhǎng)度的數(shù)據(jù)，造成緩存的溢出，從而破壞程序的堆棧，導(dǎo)致程序執(zhí)行流程的改變。

如果可精確控制?內(nèi)存跳轉(zhuǎn)地址就可以執(zhí)行指定代碼，獲得權(quán)限或破壞系統(tǒng)。尋找程序漏洞編制緩沖區(qū)溢出程序精確控制跳轉(zhuǎn)地址執(zhí)行設(shè)定的代碼獲得系統(tǒng)權(quán)限或破壞系統(tǒng)病毒木馬常見(jiàn)網(wǎng)絡(luò)攻擊技術(shù)病毒定義是指在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或數(shù)據(jù)的，可以自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。病毒的分類(lèi)普通病毒木馬病毒網(wǎng)絡(luò)蠕蟲(chóng)木馬病毒常見(jiàn)網(wǎng)絡(luò)攻擊技術(shù)木馬病毒定義木馬病毒是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤(pán)和攻擊Dos等特殊功能的后門(mén)程序。木馬病毒的功能監(jiān)視用戶(hù)的操作。竊取用戶(hù)隱私。讓用戶(hù)主機(jī)執(zhí)行任意指令。你能做到的木馬都有可能做到。網(wǎng)絡(luò)蠕蟲(chóng)常見(jiàn)網(wǎng)絡(luò)攻擊技術(shù)蠕蟲(chóng)病毒蠕蟲(chóng)病毒是一種常見(jiàn)的計(jì)算機(jī)病毒，是無(wú)須計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的獨(dú)立程序，它通過(guò)不停的獲得網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)上的部分或全部控制權(quán)來(lái)進(jìn)行傳播。蠕蟲(chóng)病毒危害獨(dú)立運(yùn)行，自動(dòng)掃描與入侵，借助互聯(lián)網(wǎng)可快速傳播形成危害嚴(yán)重的僵尸網(wǎng)絡(luò)，被作者用來(lái)發(fā)動(dòng)任何攻擊。網(wǎng)頁(yè)掛馬概念常見(jiàn)網(wǎng)絡(luò)攻擊技術(shù)攻擊者通過(guò)在正常的Web頁(yè)面中插入掛馬鏈接，當(dāng)Web客戶(hù)端訪(fǎng)問(wèn)該被掛馬的Web頁(yè)面時(shí)，這段代碼將被執(zhí)行，從木馬服務(wù)器下載木馬程序，木馬程序利用Web客戶(hù)端的本地漏洞，加載執(zhí)行，從而實(shí)現(xiàn)對(duì)Web客戶(hù)端的權(quán)限控制。web攻擊常見(jiàn)網(wǎng)絡(luò)攻擊技術(shù)Web攻擊主要包括對(duì)we系統(tǒng)的各類(lèi)攻擊手段SQL注入。XSS跨站腳本。文件上傳。Webshell網(wǎng)頁(yè)后門(mén)?！┦W(wǎng)絡(luò)常見(jiàn)網(wǎng)絡(luò)攻擊技術(shù)僵尸網(wǎng)絡(luò)是指攻擊者通過(guò)傳播僵尸程序感染控制大量主機(jī)，由被感染主機(jī)所組成的網(wǎng)絡(luò)。根據(jù)命令與控制信道采用協(xié)議的不同，可分為基于IRC的僵尸網(wǎng)絡(luò)、基于P2P的僵尸網(wǎng)絡(luò)和基于HTTP的僵尸網(wǎng)絡(luò)。ATP攻擊常見(jiàn)網(wǎng)絡(luò)攻擊技術(shù)APT（AdvancedPersistentThreat）：高級(jí)可持續(xù)性攻擊APT是指高級(jí)的持續(xù)性的滲透攻擊，是針對(duì)特定組織的多方位的攻擊。APT不是一種新的攻擊手法，而是借助各類(lèi)攻擊手段實(shí)現(xiàn)的對(duì)某一特定目標(biāo)持續(xù)的攻擊或間諜活動(dòng)。高級(jí)安全威脅（APT）攻擊特點(diǎn)攻擊技術(shù)進(jìn)化大量采用0day漏洞有計(jì)劃性的針對(duì)特定目標(biāo)采用未知的惡意代碼高隱秘性（通信流量加密）攻擊手段多樣魚(yú)叉水坑弱口令…社工網(wǎng)絡(luò)攻防網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)防護(hù)企業(yè)網(wǎng)絡(luò)架構(gòu)網(wǎng)絡(luò)安全域的劃分網(wǎng)絡(luò)架構(gòu)劃分為1.網(wǎng)絡(luò)接入?yún)^(qū)2.內(nèi)網(wǎng)服務(wù)器區(qū)3.互聯(lián)網(wǎng)服務(wù)器區(qū)4.核心交換區(qū)5.互聯(lián)網(wǎng)接入?yún)^(qū)6.