網(wǎng)絡(luò)入侵與攻擊技術(shù)

1、第6章 網(wǎng)絡(luò)入侵與攻擊技術(shù)2022/7/201知識(shí)點(diǎn)： 網(wǎng)絡(luò)攻擊基礎(chǔ)知識(shí) 網(wǎng)絡(luò)攻擊的基本步驟 典型的網(wǎng)絡(luò)攻擊技術(shù) 操作系統(tǒng)中常用的網(wǎng)絡(luò)工具2022/7/2026.1 網(wǎng)絡(luò)入侵與攻擊概述 6.1.1 入侵和攻擊的基本概念 1入侵和攻擊 入侵是指任何威脅和破壞系統(tǒng)資源的行為（如非授權(quán)或越權(quán)訪問系統(tǒng)資源、搭線竊聽信息），實(shí)施入侵行為的“人”稱為入侵者。而攻擊是入侵者進(jìn)行入侵所采取的技術(shù)手段和方法。入侵的整個(gè)過(guò)程（包括入侵準(zhǔn)備、進(jìn)攻、侵入）都伴隨著攻擊，因此有時(shí)也把入侵者稱為攻擊者。 入侵者的入侵途徑有3類：一是物理途徑（入侵者利用管理缺陷或人們的疏忽大意，乘虛而入，侵入目標(biāo)主機(jī)企圖登錄系統(tǒng)或偷竊重要

2、資源進(jìn)行研究與分析）；二是系統(tǒng)途徑（入侵者使用自己所擁有的較低級(jí)別的操作權(quán)限進(jìn)入目標(biāo)系統(tǒng)，或裝“后門”、復(fù)制信息、破壞資源、尋找系統(tǒng)漏洞以獲取更高級(jí)別的操作權(quán)限等）；三是網(wǎng)絡(luò)途徑（入侵者通過(guò)網(wǎng)絡(luò)滲透到目標(biāo)系統(tǒng)中，進(jìn)破壞活動(dòng)）。 2022/7/203 2入侵與攻擊的關(guān)系 入侵與攻擊是直接相關(guān)的，入侵是目的，攻擊是手段，在整個(gè)入侵過(guò)程中都存在攻擊。入侵的目的就是搶占資源，但它不一定有攻擊能力，可能雇傭攻擊者來(lái)達(dá)到入侵目的。因此，攻擊是由入侵者發(fā)起并由攻擊者實(shí)現(xiàn)的一種“非法”行為。無(wú)論是入侵還是攻擊，僅僅是概念上和形式上的描述有所區(qū)別而已。 對(duì)計(jì)算機(jī)網(wǎng)絡(luò)而言，入侵與攻擊并沒有什么本質(zhì)的區(qū)別，入侵伴隨

3、著攻擊的結(jié)果就是入侵（比如在入侵者沒有侵入目標(biāo)之前，他想方設(shè)法利用各種手段對(duì)目標(biāo)進(jìn)行攻擊，這屬于網(wǎng)絡(luò)外的主動(dòng)攻擊行為）；當(dāng)攻擊者得手而侵入目標(biāo)之后，入侵者利用各種手段掠奪和破壞別人的資源（這屬于網(wǎng)絡(luò)內(nèi)的主動(dòng)攻擊行為）。 從網(wǎng)絡(luò)安全角度來(lái)看，入侵和攻擊的結(jié)果是一樣的。2022/7/204 3入侵者的攻擊手段 （1）冒充； （2）篡改； （3）重放； （4）服務(wù)拒絕； （5）陷阱門； （6）外部攻擊； （7）內(nèi)部攻擊； （8）特洛伊木馬。 2022/7/205 冒充：把自己偽裝成別人，并以他人的名義攻擊系統(tǒng)。篡改：通過(guò)秘密篡改合法用戶所傳送的數(shù)據(jù)內(nèi)容，實(shí)現(xiàn)自己的入侵目的。重放：利用修改或復(fù)制合法用

4、戶所發(fā)出的數(shù)據(jù)再重發(fā)，以欺騙接收者，從而達(dá)到非法入侵的目的。服務(wù)拒絕：終止或干擾服務(wù)器為合法用戶提供服務(wù)或抑制所有流向某一特定目標(biāo)的數(shù)據(jù)，達(dá)到入侵的目的。陷阱門：首先通過(guò)某種方式入侵到系統(tǒng)，然后安裝陷阱門，并通過(guò)更改系統(tǒng)屬性和相關(guān)特性，使入侵者在非授權(quán)情況下能對(duì)系統(tǒng)進(jìn)行各種非法操作。外部攻擊：通過(guò)搭線竊聽，截獲信息，冒充系統(tǒng)管理人員、授權(quán)用戶或系統(tǒng)的某個(gè)部分，設(shè)置旁路躲避鑒別與訪問控制機(jī)制等入侵2022/7/206 內(nèi)部攻擊：利用其所擁有的權(quán)限或越權(quán)對(duì)系統(tǒng)進(jìn)行破壞活動(dòng)。特洛伊木馬：利用特洛伊木馬攻擊不但可以擁有授權(quán)功能，還可以擁有非授權(quán)功能，一旦系統(tǒng)被特洛伊木馬控制，整個(gè)系統(tǒng)將會(huì)被占領(lǐng)。特洛伊

5、木馬系統(tǒng)是具有雙重功能的客戶/服務(wù)體系結(jié)構(gòu)。2022/7/2076.1.2 防止入侵和攻擊的主要技術(shù) （1）訪問控制技術(shù)是網(wǎng)絡(luò)安全保護(hù)和防范的核心策略之一，其主要目的是確保網(wǎng)絡(luò)資源不被非法訪問和非法利用。訪問控制技術(shù)所涉及的內(nèi)容較為廣泛，包括網(wǎng)絡(luò)登錄控制、網(wǎng)絡(luò)使用權(quán)限控制、目錄級(jí)安全控制以及屬性安全控制等技術(shù)。 （2）防火墻技術(shù)是用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的惡意入侵和攻擊，防止計(jì)算機(jī)犯罪，將入侵者拒之門外的網(wǎng)絡(luò)安全技術(shù)。防火墻是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的邊界，它能夠嚴(yán)密監(jiān)視進(jìn)出網(wǎng)絡(luò)邊界的數(shù)據(jù)包，能夠阻擋入侵者，嚴(yán)格限制外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問，也可以有效地監(jiān)視內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)的訪問。 （3）入侵

6、檢測(cè)技術(shù)是網(wǎng)絡(luò)安全技術(shù)和信息技術(shù)結(jié)合的產(chǎn)物，它可以實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)系統(tǒng)的某些區(qū)域，當(dāng)這些區(qū)域受到攻擊時(shí)能夠及使檢測(cè)和立即響應(yīng)。2022/7/208 （4）安全審計(jì)是在網(wǎng)絡(luò)中模擬現(xiàn)實(shí)社會(huì)的監(jiān)察機(jī)構(gòu)，對(duì)網(wǎng)絡(luò)系統(tǒng)的活動(dòng)進(jìn)行監(jiān)視、記錄并提出安全意見和建議的一種機(jī)制。利用安全審計(jì)可以有針對(duì)性地對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)和過(guò)程進(jìn)行記錄、跟蹤和審查。通過(guò)安全審計(jì)不僅可以對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行有效評(píng)估，還可以為制定合理的安全策略和加強(qiáng)安全管理提供決策依據(jù)，使網(wǎng)絡(luò)系統(tǒng)能夠及時(shí)調(diào)整對(duì)策。 （5）安全掃描技術(shù)是指對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)等設(shè)備進(jìn)行相關(guān)安全檢測(cè)，以查找安全隱患和可能被攻擊者利用的漏洞。從安全掃描的角度來(lái)看，它既是保護(hù)計(jì)算機(jī)及網(wǎng)絡(luò)系

7、統(tǒng)必不可少的方法，也攻擊者攻擊系統(tǒng)的技術(shù)之一。系統(tǒng)管理員利用安全掃描技術(shù)可以排除隱患，防止攻擊者入侵；而攻擊者也可以利用安全掃描技術(shù)來(lái)尋找入侵計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的機(jī)會(huì)。 （6）安全管理技術(shù)一般意義上講是指為實(shí)現(xiàn)信息系統(tǒng)安全的目標(biāo)而采取的一系列管理制度和技術(shù)手段，包括安全檢測(cè)、監(jiān)控、響應(yīng)和調(diào)整的全部控制過(guò)程。2022/7/2096.2 網(wǎng)絡(luò)攻擊的基本步驟 要實(shí)施網(wǎng)絡(luò)攻擊，必須進(jìn)行3個(gè)基本步驟：搜集信息選擇目標(biāo)、實(shí)施攻擊上傳攻擊程序、下載用戶數(shù)據(jù)。網(wǎng)絡(luò)攻擊的關(guān)鍵一步就搜集信息，即踩點(diǎn)。 1搜集攻擊目標(biāo)的初始信息 攻擊者搜集的攻擊目標(biāo)初始信息包括開放信息源（Open Source Informatio

8、n）、公司新聞信息、公司員工信息和新聞組等。這些信息雖然對(duì)最終實(shí)施攻擊的用處不是很大，但能決定是否對(duì)該目標(biāo)實(shí)施攻擊行為。在這一步中常采用的工具主要有whois和nslookup。2022/7/2010 2查找網(wǎng)絡(luò)地址范圍 當(dāng)攻擊者獲得了目標(biāo)機(jī)器的IP地址后，下一步需要找出網(wǎng)絡(luò)的地址范圍或者子網(wǎng)掩碼。需知道地址范圍的主要原因是保證攻擊者能集中精力對(duì)付一個(gè)網(wǎng)絡(luò)而沒有闖入其他網(wǎng)絡(luò)。 3查找活動(dòng)機(jī)器 知道了IP地址范圍后，攻擊者想知道哪些機(jī)器是活動(dòng)的，哪些不是。公司里一天中不同的時(shí)間有不同的機(jī)器在活動(dòng)。一般攻擊者會(huì)在白天尋找活動(dòng)的機(jī)器，然后在深夜再次查找，這樣他就能區(qū)分工作站和服務(wù)器。服務(wù)器會(huì)被一直使

9、用，而工作站只在正常工作日是活動(dòng)的。2022/7/2011 4查找開放的端口和入口點(diǎn) 網(wǎng)絡(luò)通信除了需要知道目標(biāo)IP地址以外，還需要知道對(duì)方開放的端口。因此攻擊者在攻擊前也要知道可以利用的端口。此時(shí)可以利用PortScanners（端口掃描器）工具進(jìn)行，它可以在一系列端口上運(yùn)行以找出哪些端口是開放的。 5查看操作系統(tǒng)類型 攻擊者知道哪些機(jī)器是活動(dòng)的和哪些端口是開放的后，下一步是識(shí)別每臺(tái)主機(jī)運(yùn)行哪種操作系統(tǒng)。有一些探測(cè)遠(yuǎn)程主機(jī)并確定在運(yùn)行哪種操作系統(tǒng)的程序。這些程序通過(guò)向遠(yuǎn)程主機(jī)發(fā)送不平常的或者沒有意義的數(shù)據(jù)包來(lái)完成。因?yàn)檫@些數(shù)據(jù)包RFC（Internet標(biāo)準(zhǔn)）沒有列出，不同的操作系統(tǒng)對(duì)它們的處理方法不同，攻擊者通過(guò)解析輸出，能夠弄清自己正在訪問的是什么類型的設(shè)備和在運(yùn)行哪種操作系統(tǒng)。這些工具軟件中比較著名的有Queso、Nmap、CheckOS等。2022/7/2012 6掃描目標(biāo)網(wǎng)絡(luò)弱點(diǎn) 攻擊者了解目標(biāo)系統(tǒng)中主要端口所運(yùn)行的服務(wù)是相當(dāng)重要的，因?yàn)樗?/p>