2-网络攻击原理与常用方法

news/2024/11/15 12:08:17/文章来源:https://www.cnblogs.com/lhxBlogs/p/18380017

2.1 网络攻击概述

1）概念

：指损害网络系统安全属性的危害行为。

危害行为导致网络系统的机密性、完整性、可用性、可控性、真实性、抗抵赖性等受到不同程度的破坏。

常见的危害行为有四个基本类型：

信息泄漏攻击
完整性破坏攻击
拒绝服务攻击
非法使用攻击

自治主体：攻击者初始化一个程序或者程序片段，独立执行漏洞挖掘

电磁泄漏：通过电子信号分析方法，实施电磁泄露攻击

2）模型

攻击树模型

优点：能够采取专家头脑风暴法，并且将这些意见融合到攻击树中去；能够进行费效分析或者概率分析；能够建模非常复杂的攻击场景。

缺点：由于树结构的内在限制，攻击树不能用来建模多重尝试攻击、时间依赖及访问控制等场景；不能用来建模循环事件；对于现实中的大规模网络，攻击树方法处理起来将会特别复杂。

MITRE ATT&CK 模型

一文说清楚MITRE ATT&CK威胁框架 - 先知社区 (aliyun.com)

该模型把攻击活动抽象为初始访问（initial access）、执行（execution）、持久化（presistence）、特权提升（privilege escalation）、躲避防御（defense evasion）、凭据访问（credential access）、发现（discovery）、横向移动（lateral movement）、收集（collection）、指挥和控制（command and control）、外泄（exfiltration）、影响（impact），然后给出攻击活动的具体实现方式。

应用场景：网络红蓝对抗模拟、网络安全渗透测试、网络防御差距评估、网络威胁情报收集等。

网络杀伤链（kill chain）模型

该模型将网络攻击分成目标侦察（reconnaissance）、武器构造（weaponization）、载荷投送（delivery）、漏洞利用（exploitation）、安装植入（installation）、指挥和控制（command and control）、目标行动（action on objectives）等七个阶段。

(1) 目标侦察。研究、辨认和选择目标，通常利用爬虫获取网站信息，例如会议记录、电子邮件地址、社交关系或有关特定技术的信息。

(2) 武器构造。将远程访问的特洛伊木马程序与可利用的有效载荷结合在一起。例如，利用 Adobe PDF 或 Microsoft Ofce 文档用作恶意代码载体。

(3) 载荷投送。把武器化有效载荷投送到目标环境，常见的投送方式包括利用电子邮件附件、网站和 USB 可移动介质。

(4) 漏洞利用。将攻击载荷投送到受害者主机后，漏洞利用通常针对应用程序或操作系统漏洞，会触发恶意代码功能。

(5) 安装植入。在受害目标系统上安装远程访问的特洛伊木马或后门程序，以持久性地控制目标系统。

(6) 指挥与控制。构建对目标系统的远程控制通道，实施远程指挥和操作。通常目标系统与互联网控制端服务器建立 C2 通道。

(7) 目标行动。采取行动执行攻击目标的任务，如从受害目标系统中收集、加密、提取信息并将其送到目标网络外；或者破坏数据完整性以危害目标系统；或者以目标系统为“跳板”进行横向扩展渗透内部网络。

3）发展

归纳起来，网络攻击具有以下变化趋势：

网络攻击工具智能化、自动化
网络攻击者群体普适化（网络攻击者由技术人员向非技术人员变化）
网络攻击目标多样化和隐蔽性
网络攻击计算资源获取方便
网络攻击活动持续性强化（高级持续威胁-APT 日趋常态化）
网络攻击速度加快
网络攻击影响扩大
网络攻击主体组织化

2.2 网络攻击一般过程

1）隐藏攻击源

2）收集攻击目标信息

目标系统一般信息，主要有目标系统的 IP 地址、DNS服务器、邮件服务器、网站服务器、操作系统软件类型及版本号、数据库软件类型及版本号、应用软件类型及版本号、系统开发商等
目标系统配置信息，主要有系统是否禁止root远程登录、缺省用户名/默认口令等
目标系统的安全漏洞信息，主要是目标系统的有漏洞的软件及服务
目标系统的安全措施信息，主要是目标系统的安全厂商、安全产品等
目标系统的用户信息，主要是目标系统用户的邮件账号、社交网账号、手机号、固定电话号码、照片、爱好等个人信息。

3）挖掘漏洞信息

系统或应用服务软件漏洞
主机信任关系漏洞
目标网络的使用者漏洞（钓鱼邮件、弱口令、U盘摆渡攻击、网页恶意代码）
通信协议漏洞
网络业务系统漏洞

4）获取目标访问权限

5）隐蔽攻击行为

连接隐藏
进程隐蔽
文件隐蔽

6）实施攻击

攻击其他被信任的主机和网络
修改或删除重要数据
窃听敏感数据
停止网络服务
下载敏感数据
删除数据账号
修改数据记录

7）开辟后门

放宽文件许可权
重新开放不安全的服务
修改系统的配置，如系统启动文件、网络服务配置文件等
替换系统本身的共享库文件
修改系统的源代码，安装各种特洛伊木马
安装嗅探器
建立隐蔽信道

8）清除攻击痕迹

篡改日志文件中的审计信息
改变系统时间造成日志文件数据紊乱以迷惑系统管理员
删除或停止审计服务进程
干扰入侵检测系统的正常运行
修改完整性检测标签

2.3 网络攻击常见技术方法

1）端口扫描

完全连接扫描：三次握手机制
半连接扫描：三次握手机制，只完成前两次握手
SYN扫描：发送请求，当主机返回响应后，立即切断连接过程（ACK-开放，RESET-没开放）
ID头信息扫描：这种扫描方法需要用一台第三方机器配合扫描，并且这台机器的网络通信量要非常少，即dumb 主机。
- 首先由源主机 A 向 dumb 主机 B 发出连续的 PING 数据包，并且査看主机 B 返回的数据包的 ID 头信息。一般而言，每个顺序数据包的 ID 头的值会增加 1。然后由源主机 A 假冒主机 B 的地址向目的主机C的任意端口(1~65535)发送SYN数据包。这时，主机 C 向主机 B 发送的数据包有两种可能的结果：SYN I ACK 表示该端口处于监听状态。RST I ACK 表示该端口处于非监听状态。
- 那么，由后续 PING 数据包的响应信息的 ID 头信息可以看出，如果主机 C 的某个端口是开放的，则主机B返回A的数据包中，ID头的值不是递增1，而是大于1。如果主机C的某个端口是非开放的，则主机B返回A的数据包中，ID头的值递增1，非常规律。
隐蔽扫描：绕过IDS、防火墙和监视系统等安全机制
SYN | ACK 扫描：由源主机向目标主机的某个端口直接发送 SYNIACK 数据包，而不是先发送 SYN 数据包。由于这种方法不发送 SYN 数据包，目标主机会认为这是一次错误的连接，从而会报错。
- 如果目标主机的该端口没有开放，则会返回RST信息。如果目标主机的该端口处于开放状态(LISTENING)，则不会返回任何信息，而是直接将这个数据包抛弃掉。
FIN 扫描：源主机 A 向目标主机 B发送 FIN 数据包，然后査看反馈信息。如果端口返回 RESET 信息，则说明该端口关闭。如果端口没有返回任何信息，则说明该端口开放。
ACK 扫描：首先由主机 A 向目标主机 B 发送 FIN 数据包，然后查看反馈数据包的 TTL 值和 WIN 值。开放端口所返回的数据包的 TTL值一般小于 64，而关闭端口的返回值一般大于 64。开放端口所返回的数据包的 WIN 值一般大于 0，而关闭端口的返回值一般等于 0。
NULL 扫描：将源主机发送的数据包中的 ACK、FIN、RST、SYN、URG、PSH 等标志位全部置空。如果目标主机没有返回任何信息，则表明该端口是开放的。如果返回RST信息，则表明该端口是关闭的。
XMAS 扫描：XMAS 扫描的原理和 NULL 扫描相同，只是将要发送的数据包中的 ACK、FIN、RST、SYNURG、PSH 等头标志位全部置成1。如果目标主机没有返回任何信息，则表明该端口是开放的如果返回 RST信息，则表明该端口是关闭的。

2）口令破解

3）缓冲区溢出

缓冲区溢出攻击可以使攻击者有机会获得一台主机的部分或全部的控制权。据统计，缓冲区溢出攻击占远程网络攻击的绝大多数。缓冲区溢出成为远程攻击主要方式的原因是，缓冲区溢出漏洞会给予攻击者控制程序执行流程的机会。攻击者将特意构造的攻击代码植入有缓冲区溢出漏洞的程序之中，改变漏洞程序的执行过程，就可以得到被攻击主机的控制权