第1章-網(wǎng)絡攻擊概述

第一章網(wǎng)絡攻擊概述2023/2/5網(wǎng)絡攻防技術2本章主要內(nèi)容1.1網(wǎng)絡安全威脅1.2網(wǎng)絡攻擊技術1.3網(wǎng)絡攻擊的發(fā)展趨勢一、網(wǎng)絡安全威脅事件凱文?米特尼克（KevinMitnick）入侵多家公司的內(nèi)部網(wǎng)絡，竊取了大量信息資產(chǎn)和源代碼，造成了數(shù)百萬美元的損失。2023/2/5網(wǎng)絡攻防技術3一、網(wǎng)絡安全威脅事件1988年，Morris蠕蟲爆發(fā)，感染約6000臺計算機，造成數(shù)千萬美元的損失。2023/2/5網(wǎng)絡攻防技術4一、網(wǎng)絡安全威脅事件1999年，梅麗莎病毒破壞了世界上300多家公司的計算機系統(tǒng)，造成近4億美元的損失，成為首個具有全球破壞力的病毒。2023/2/5網(wǎng)絡攻防技術5一、網(wǎng)絡安全威脅事件2010年，針對伊朗核設施的震網(wǎng)病毒（Stuxnet）被檢測并曝光，成為首個被公開披露的武器級網(wǎng)絡攻擊病毒。2023/2/5網(wǎng)絡攻防技術6一、網(wǎng)絡安全威脅事件2013年，前美國中央情報局職員E.J.斯諾登披露了美國國家安全局的“棱鏡”監(jiān)聽項目，公開了大量針對實時通信和網(wǎng)絡存儲的監(jiān)聽竊密技術與計劃。2023/2/5網(wǎng)絡攻防技術7一、網(wǎng)絡安全威脅事件2023/2/5網(wǎng)絡攻防技術8一、網(wǎng)絡安全威脅事件2016年8月，黑客組織TheShadowBrokers陸續(xù)以多種形式在互聯(lián)網(wǎng)公開拍賣據(jù)稱來自NSA的網(wǎng)絡攻擊工具集，其中的永恒之藍漏洞直接導致了17年勒索病毒“WannaCry”全球爆發(fā)。2023/2/5網(wǎng)絡攻防技術9一、網(wǎng)絡安全威脅事件網(wǎng)絡安全威脅的三個時期：“游俠”期：少數(shù)“黑客”影響“未成年”互聯(lián)網(wǎng)安全；“海盜”期：網(wǎng)絡“黑產(chǎn)”興起，犯罪團伙利用網(wǎng)絡斂財；國家間對抗期：網(wǎng)絡攻擊成本提高，國家層面的對抗浮出水面2023/2/5網(wǎng)絡攻防技術10二、網(wǎng)絡安全威脅成因1、技術因素協(xié)議缺陷：網(wǎng)絡協(xié)議缺乏認證、加密等基本的安全特性；軟件漏洞：軟件規(guī)模龐大，復雜度提高，開發(fā)者安全知識缺乏；策略弱點：安全需求與應用需求不相一致，安全策略設計不當；硬件漏洞：硬件設計軟件化使得軟件漏洞同樣出現(xiàn)在硬件之中2023/2/5網(wǎng)絡攻防技術11二、網(wǎng)絡安全威脅成因2、人為因素攻擊者：成分復雜，多數(shù)掌握著豐富的攻擊資源；防御者：廣大的網(wǎng)絡應用人群缺少安全知識，專業(yè)人員數(shù)量、質(zhì)量尚難滿足對安全人才的迫切需求2023/2/5網(wǎng)絡攻防技術121.2網(wǎng)絡攻擊技術網(wǎng)絡攻擊是指利用安全缺陷或不當配置對網(wǎng)絡信息系統(tǒng)的硬件、軟件或通信協(xié)議進行攻擊，損害網(wǎng)絡信息系統(tǒng)的完整性、可用性、機密性和抗抵賴性，導致被攻擊信息系統(tǒng)敏感信息泄露、非授權訪問、服務質(zhì)量下降等后果的攻擊行為。網(wǎng)絡：狹義上講是計算機網(wǎng)絡，廣義上講則是網(wǎng)絡空間2023/2/5網(wǎng)絡攻防技術13一、攻擊分類網(wǎng)絡攻擊的形式與種類很多：DDoSPhishing&Pharming蠕蟲木馬SQLInjection跨站腳本（XSS）ARP欺騙、IP欺騙、DNS欺騙……一、攻擊分類日常對網(wǎng)絡攻擊的分類并不嚴謹，學術上攻擊分類從入侵檢測需求出發(fā)，要求遵循以下標準：互斥性（分類類別不應重疊）完備性（覆蓋所有可能的攻擊）非二義性（類別劃分清晰）可重復性（對一個樣本多次分類結果一致）可接受性（符合邏輯和直覺）實用性（可用于深入研究和調(diào)查）AmorosoEG,Fundamentalsofcomputersecuritytechnology.EnglewoodCliffs(NewJersey):PrenticeHall,1994.一、攻擊分類從攻擊者的角度，按照攻擊發(fā)生時，攻擊者與被攻擊者之間的交互關系進行分類，可以將網(wǎng)絡攻擊分為：物理攻擊（LocalAttack）主動攻擊（Server-sideAttack）被動攻擊（Client-sideAttack）中間人攻擊（Man-in-MiddleAttack）本地攻擊（LocalAttack）指攻擊者通過實際接觸被攻擊的主機實施的各種攻擊方法主動攻擊（Server-sideAttack）指攻擊者利用Web、FTP、Telnet等開放網(wǎng)絡服務對目標實施的各種攻擊。攻擊者服務器被動攻擊（Client-sideAttack）攻擊者利用瀏覽器、郵件接收程序、文字處理程序等客戶端應用程序漏洞或系統(tǒng)用戶弱點，對目標實施的各種攻擊。用戶惡意服務器中間人攻擊（Man-in-MiddleAttack）指攻擊者處于被攻擊主機的某個網(wǎng)絡應用的中間人位置，進行數(shù)據(jù)竊聽、破壞或篡改等攻擊攻擊者服務器客戶程序二、攻擊步驟與方法InformationGatheringExploitControl LanPenetrationClearing 信息收集權限獲取安裝后門擴大影響清除痕跡信息收集任務與目的：盡可能多地收集目標的相關信息，為后續(xù)的“精確”攻擊建立基礎。主要方法：主動攻擊利用公開信息服務主機掃描與端口掃描操作系統(tǒng)探測與應用程序類型識別被動攻擊客戶端應用的有關信息用戶的有關信息獲取權限任務與目的：獲取目標系統(tǒng)的讀、寫、執(zhí)行等權限。主要方法：主動攻擊口令攻擊緩沖區(qū)溢出腳本攻擊……被動攻擊特洛伊木馬使用郵件、IM等發(fā)送惡意鏈接….,,安裝后門任務與目的：在目標系統(tǒng)中安裝后門程序，以更加方便、更加隱蔽的方式對目標系統(tǒng)進行操控。主要方法：主機控制木馬Web服務控制木馬擴大影響任務與目的：以目標系統(tǒng)為“跳板”，對目標所屬網(wǎng)絡的其它主機進行攻擊，最大程度地擴大攻擊的效果。主要方法：可使用遠程攻擊主機的所有攻擊方式還可使用局域網(wǎng)內(nèi)部攻擊所特有的嗅探、假消息攻擊等方法清除痕跡任務與目的：清除攻擊的痕跡，以盡可能長久地對目標進行控制，并防止被識別、追蹤。主要方法：Rootkit隱藏系統(tǒng)安全日志清除應用程序日志清除二、攻擊步驟與方法信息收集獲取權限安裝后門擴大影響清除痕跡其它攻擊模型AttackLifecycleModel其它攻擊模型APT’sKillingChainModel偵察跟蹤武器構建載荷投遞突防利用安裝植入通信控制達成目標洛克希德·馬丁公司的“殺傷鏈”模型Intelligence-DrivenComputerNetworkDefenseInformedbyAnalysisofAdversaryCampaignsandIntrusionKillChains,LockheedMartinCorporation1.3網(wǎng)絡攻擊的發(fā)展趨勢掌握著更多資源的組織、團體試圖通過網(wǎng)絡攻擊謀取利益時，網(wǎng)絡攻擊涉及的領域必然會越來越多，網(wǎng)絡攻擊技術必然會越來越復雜，網(wǎng)絡攻防的對抗必然會越來越激烈。2023/2/5網(wǎng)絡攻防技術30一、攻擊影響日益深遠網(wǎng)絡成為現(xiàn)代社會不可或缺的工具，網(wǎng)絡攻擊的影響力也將愈加重要。Morris蠕蟲的爆發(fā)造成了當時互聯(lián)網(wǎng)的癱瘓2003年沖擊波、2004年震蕩波的爆發(fā)，給普通網(wǎng)民帶來深刻感受2016年Mirai蠕蟲使得美國東海岸地區(qū)遭受大面積網(wǎng)絡癱瘓2016年的美國大選，黑客組織攻入競選黨派的辦公網(wǎng)絡、發(fā)布敏感消息或文件，“影響”大選局勢2023/2/5網(wǎng)絡攻防技術31二、攻擊領域不斷拓展物聯(lián)網(wǎng)技術的飛速發(fā)展，使我們更快地進入一個萬物互聯(lián)的時代，網(wǎng)絡攻擊技術在這些新領域中也將獲得新的舞臺。2010年，“震網(wǎng)”病毒成功攻擊了伊朗的布什爾核電站的離心機2017年

BlackHat大會上，研究者分享了遠程入侵特斯拉汽車的技術細節(jié)針對無人機、刷卡機、智能家電、智能開關等各種聯(lián)網(wǎng)設備的攻擊不斷被研究者呈現(xiàn)在大眾面前2023/2/5網(wǎng)絡攻防技術32三、攻擊技術愈加精細從普通“黑客”到APT組織，攻擊者的資源也越來越多，攻擊工具的針對性越來越強，新的攻擊技術呈現(xiàn)出精細化的趨勢。2015年泄露的HackingTeam“武器庫”包含多個零日漏洞、手機木馬、固件木馬等2016年泄露的NSA“武器庫”包含了多個可攻擊操作系統(tǒng)、企業(yè)級防火墻、防病毒軟件的零日工具，2017年在全球范圍內(nèi)爆發(fā)的WannaCry勒索病毒，就是借鑒了其中的“永恒之藍”（EternalBlue）2023/2/5網(wǎng)絡攻防技術33本章小結深入了解網(wǎng)絡攻擊的方法和技術，是實施有效防范的前提和基礎。駭客、網(wǎng)絡犯罪分子、情報機構等均會試圖通過網(wǎng)絡攻擊來達到其目的。有預謀的網(wǎng)絡攻擊行為往往體現(xiàn)出計劃性和系統(tǒng)性的特點，通?？梢苑譃樾畔⑹占?/p>