信息安全技术——（六）网络与系统攻击技术

1.网络与系统攻击过程

1.1典型攻击的过程

1.2网络与系统调查定义

• 网络与系统调查是指攻击者对网络信息和弱点的搜索 与判断，是攻击不可缺少是步骤
• 对象主要包括网络的拓扑结构、主机地址、打开的服务器端口和服务程序的版本等技术方面的信息，也包括管理员姓名、爱好、电子邮件地址等非技术方面的信息

1.3网络与系统调查的主要手段

1.3.1网络扫描

1.定义

• 网络扫描是基于网络的远程服务发现和系统脆弱点的一种发现技术。
• 扫描可分为基于主机的扫描和基于网络的扫描。
• 漏洞扫描有两种技术：基于漏洞的匹配方法和基于插件方法

2.系统漏洞扫描与分析软件

Nessus 是全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件。

• Nessus是一个功能强大而又易于使用的远程安全扫描器，它不仅免费而且更新极快。
• Nessus采用基于插件的技术。
• 工作原理是通过插件模拟黑客攻击，对目标主机系统进行攻击性的安全漏洞扫描。
• 发展的目的是帮助系统管理者搜寻系统主机的弱点所在，让系统管理者对主机进行更正或防护，以免被入侵者攻击。
• 在新版本中，Nessus支持的操作系统平台有Linux、FreeBSD、Solaris、Mac OSX和Windows。

1.3.2直接访问

• PING命令用来检查网络是否通畅或者网络连接的速度。
• 它的原理是这样的：网络上的计算机都有唯一确定的ip地址，给目标ip地址发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包可以确定目标主机的存在，可以初步判断目标主机的操作系统等。

1.3.3网络拓扑探测

1.网络拓扑定义

• 网络拓扑(Network Topology)结构是指用传输介质互连各种设备的物理布局。如果两个网络的连接结构相同我们就说它们的网络拓扑相同,尽管它们各自内部的物理接线、节点间距离可能会有不同。

2.网络拓扑探测

• 对于攻击者而言，掌握目标网络的拓扑结构，了解目标网络的设备类型，明确目标设备实体对应的地理位置，可以更好地指导其实施入侵行为。这就像在军事作战中，指挥官拥有战场的精确地图，就能够准确地部署兵力，重点打击要害据点。

1.3.4利用网络协议

• 网络层协议攻击主要有IP源地址欺骗、ARP欺骗和ICMP路由重定向攻击。
• IP源地址欺骗
  简单来说：是指攻击者伪造具有虚假源地址的IP数据包进行发送，以达到隐藏发生者身份、假冒其他计算机的目的。
• ARP欺骗
  ARP欺骗又称为ARP下毒，攻击者在有线以太网或无线网络上发送伪造的ARP信息，对特定的IP所对应的MAC地址进行假冒欺骗，达到恶意目的的攻击技术。
• ICMP路由重定向攻击
  是指攻击者伪装成路由器发送虚假的ICMP路由路径控制报文，使得受害主机选择攻击者指定的路由路径，从而进行嗅探或假冒攻击的技术。

1.3.5利用系统弱点

• 扫描攻击目标主机中开放的端口是否存在可以被利用的哪类弱点。
• 在类Linux系统中，要完成指定主机端口的弱点检测任务，最好的方式就是使用Nessus弱点扫描软件;
• 而在Windows系统下，除了使用这款软件外，还可以使用X-Scan和SuperScan等软件。
  

1.3.6口令攻击

1.枚举口令

• 暴力破解。 暴力破解口令是历史上常见的一种口令攻击方式，黑客利用一个海量口令字典，穷举用户口令。随着人们安全意识的增强，登录认证系统通常限制失败登录次数，目前这种攻击方式已显著减少。

2.词典生成

• 字典是按照特定组合方式生成包含很多密码的字典文件，包括字符型、数字型、组合型等，Web账号常见口令如admin、test、guest、administrator、666666、123456等。通常管理员会选择容易记住的口令好，这会造成账号和口令被暴力破解。

3.口令截收与欺骗

• 网络嗅探。 网络嗅探口令方式通常利用某台主机进行网络监听，抓取网络数据来分析口令。目前口令等敏感信息多进行加密处理，所以这种攻击方式也受到了一定限制。但是对占比很高的Web应用来讲，黑客会嗅探未加密的HTTP通信，以获取网站的Cookie（浏览器访问服务器后，服务器传给浏览
  器的一段数据），进而不使用口令也能盗用身份。

4.非技术手段

• 社会工程学破解。黑客社会工程学破解口令是通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行欺骗、伤害等，以获取得用户口令。如冒充邮件管理员发送邮箱升级信息，把你引到钓鱼网站，盗取邮箱口令。现在这种攻击方式也比较普遍，国内某知名网络安全公司就曾遭到这种攻击，大量员工的口令被盗。

2.网络与系统安全漏洞

2.1安全漏洞

• 安全漏洞是指受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。漏洞是硬件软件使用策略上的缺陷，他们会使计算机遭受病毒和黑客攻击。

2.2常见安全漏洞

2.2.1注入漏洞

• 注入漏洞是因为字符过滤不严谨所造成的，可以得到管理员的账号密码等相关资料。
• SQL注入漏洞，它是所有漏洞类型中危害最严重的漏洞之一。SQL注入漏洞主要是通过伪造客户端请求，把SQL命令提交到服务端进行非法请求的操作，最终达到欺骗服务器从而执行恶意的SQL命令。

2.2.2缓冲区溢出

1.缓冲区溢出

• 计算机程序一般都会使用到一些内存，这些内存或是程序内部使用，或是存放用户的输入数据，这样的内存一般称作缓冲区。
• 而缓冲区溢出则是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量，溢出的数据覆盖在合法数据上。

2.缓冲区溢出攻击

• 缓冲区溢出攻击即破坏指定buff的缓冲区大小，使其溢出到别的空间上去，破坏堆栈。
• Linux下反编译开发可进行缓冲区溢出攻击

2.2.3敏感数据泄露

• 敏感信息泄露是指包括用户信息、企业员工信息、内部资料等不应当被外部访问到的数据通过网站、接口、外部存储等途径被未授权泄露到外部的漏洞。

2.2.4认证和会话管理攻击

• 应用程序中与身份验证或者会话相关的功能未正确实现，导致攻击者可以破坏密码、会话令牌或者利用其他缺陷来假冒用户的身份，达到攻击的目的。

2.2.5拒绝服务攻击Dos

1.定义

• 拒绝服务攻击（DoS）是指，攻击者通过发送大量的服务器或操作请求，致使服务程序出现难以正常运行的情况
• DDOS：中文名称是分布式拒绝服务攻击。指的是攻击者控制多台主机同时向同一主机或网络发起DOS攻击

2.DDOS表现形式

DDoS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的政击，即通过大量攻击包导致主机的内存被耗尽或CPU内核及应用程序占完而造成无法提供网络服务

3.攻击识别

Ping测试：若发现Ping超时或丢包严重，则可能遭受攻击，若发现相同交换
机上的服务器也无法访问，基本可以确定为流量攻击。

3.网络与系统调查

4.主要的网络与系统攻击原理