信安工程师学习笔记（2）：第2章知识点

点击标题下「蓝色微信名」可快速关注

免责声明：本公众号尊重知识产权，如有侵权请联系我们删除。

第2章 网络攻击原理与常用方法

1、网络攻击模型

（1）攻击树模型

攻击树方法起源于故障树分析方法。故障树分析方法主要用千系统风险分析和系统可靠性分析，后扩展为软件故障树，用千辅助识别软件设计和实现中的错误。 Schneier 首先基于软件故障树方法提出了攻击树的概念，用 AND-OR 形式的树结构对目标对象进行网络安全威胁分析。

（2）MITREATT&CK模型

MITRE根据真实观察到的网络攻击数据提炼形成攻击矩阵模型MITREATT&CK，该模型把攻击活动抽象为初始访问（InitialAccess）、执行（Execution）、持久化（Persistence）、特权提升（Privilege Escalation）、躲避防御（Defense Evasion）、凭据访问（CredentialAccess）、发现（Discovery）、横向移动（LateralMovement）、收集（Collection）、指挥和控制（Command and Control）、外泄（Exfiltration）、影响（Impact），然后给出攻击活动的具体实现方式，详见MITRE官方地址链接。基于MITREATT&CK常见的应用场景主要有网络红蓝对抗模拟、网络安全渗透测试、网络防御差距评估、网络威胁情报收集等。

（3）网络杀伤链（KillChain）模型

活动分成目标侦察（Reconnaissance）、武器构造（Weaponization）、载荷投送（Delivery）、漏洞利用（Exploitation）、安装植入（Installation）、指挥和控制（Command andControl）、目标行动（Actions onObjectives）等七个阶段。

1）目标侦察。研究、辨认和选择目标，通常利用爬虫获取网站信息，例如会议记录、电子邮件地址、社交关系或有关特定技术的信息。

2）武器构造。将远程访问的特洛伊木马程序与可利用的有效载荷结合在一起。例如，利用AdobePDF或MicrosoftOffice文档用作恶意代码载体。

3）载荷投送。把武器化有效载荷投送到目标环境，常见的投送方式包括利用电子邮件附件、网站和USB可移动介质。

4）漏洞利用。将攻击载荷投送到受害者主机后，漏洞利用通常针对应用程序或操作系统漏洞，会触发恶意代码功能。

5）安装植入。在受害目标系统上安装远程访问的特洛伊木马或后门程序，以持久性地控制目标系统。

6）指挥与控制。构建对目标系统的远程控制通道，实施远程指挥和操作。通常目标系统与互联网控制端服务器建立C2通道。

7）目标行动。采取行动执行攻击目标的任务，如从受害目标系统中收集、加密、提取信息并将其送到目标网络外；或者破坏数据完整性以危害目标系统；或者以目标系统为“跳板”进行横向扩展渗透内部网络。

2、网络攻击一般过程

网络攻击过程归纳为下面几个步骤：

（1）隐藏攻击源。隐藏黑客主机位置使得系统管理无法追踪。

（2）收集攻击目标信息。确定攻击目标并收集目标系统的有关信息。

（3）挖掘漏洞信息。从收集到的目标信息中提取可使用的漏洞信息。

（4）获取目标访问权限。获取目标系统的普通或特权账户的权限。

（5）隐蔽攻击行为。隐蔽在目标系统中的操作，防止入侵行为被发现。

（6）实施攻击。进行破坏活动或者以目标系统为跳板向其他系统发起新的攻击。

（7）开辟后门。在目标系统中开辟后门，方便以后入侵。

（8）清除攻击痕迹。避免安全管理员的发现、追踪以及法律部门取证。

3、网络攻击常见技术方法

（1）端口扫描

端口扫描的目的是找出目标系统上提供的服务列表。端口扫描程序挨个尝试与TCP/UDP端口连接，然后根据端口与服务的对应关系，结合服务器端的反应推断目标系统上是否运行了某项服务，攻击者通过这些服务可能获得关于目标系统的进一步的知识或通往目标系统的途径。

1）完全连接扫描

完全连接扫描利用TCP/IP协议的三次握手连接机制，使源主机和目的主机的某个端口建立一次完整的连接。如果建立成功，则表明该端口开放。否则，表明该端口关闭。

2）半连接扫描

半连接扫描是指在源主机和目的主机的三次握手连接过程中，只完成前两次握手，不建立一次完整的连接。

3）SYN扫描

首先向目标主机发送连接请求，当目标主机返回响应后，立即切断连接过程，并查看响应情况。如果目标主机返回ACK信息，表示目标主机的该端口开放。如果目标主机返回RESET信息，表示该端口没有开放。

4）SYNACK扫描

由源主机向目标主机的某个端口直接发送SYN|ACK数据包，而不是先发送SYN数据包。

5）FIN 扫描

源主机 向目标主机 发送 FIN 数据包，然后查看反馈信息。如果端口返回 RESET 信息，则说明该端口关闭。如果端口没有返回任何信息，则说明该端口开放。

6）ACK 扫描

首先由主机 向目标主机 发送 FIN 数据包，然后查看反馈数据包的 TTL 值和 WIN 值。开放端口所返回的数据包的 TTL 值一般小千 64, 而关闭端口的返回值一般大千 64 。开放端口所返回的数据包的 WIN 一般大于 0, 而关闭端口的返回值一般等于0。

7）NULL 扫描

将源主机发送的数据包中的 ACK FIN RST SYN URG PSH 等标志位全部置空。如果目标主机没有返回任何信息，则表明该端口是开放的。如果返回 RST 信息，则表明该端口是关闭的。

8）XMAS 扫描

XMAS 扫描的原理和 NULL 扫描相同，只是将要发送的数据包中的 ACK、FIN、RST、SYN、URG、PSH 等头标志位全部置成 。如果目标主机没有返回任何信息，则表明该端口是开放的。如果返回 RST 信息，则表明该端口是关闭的。

（2）口令破解

网络攻击者常常以破解用户的弱口令为突破口，获取系统的访问权限。

（3）缓冲区溢出

攻击者将特意构造的攻击代码植入有缓冲区 溢出漏洞的程序之中，改变漏洞程序的执行过程，就可以得到被攻击主机的控制权。

（4）恶意代码

恶意代码是网络攻击常见的攻击手段。常见的恶意代码类型有计算机病毒、网络蠕虫、特洛伊木马、后门 逻辑炸弹、僵尸网络等。 其中，网络蠕虫程序是 1988 年由小莫里斯编制的，该程序具有复制传播功能，可以感染 UNIX 系统主机，使网上 6000 多台主机无法运行； 2001月，红色代码蠕虫病毒利用微软Web 服务器 IIS4 index 服务的安全缺陷，通过自动扫描感染方式传播蠕虫； 2010 年“震网“网络蠕虫是首个专门用千定向攻击真实世界中基础（能源）设施的恶意代码。

（5）拒绝服务

拒绝服务攻击是指攻击者利用系统的缺陷，执行 些恶意的操作，使得合法的系统用户不能及时得到应得的服务或系统资源，如 CPU 处理时间、存储器、网络带宽等。

1）同步包风暴(SYN Flood)

攻击者假造源网址(Source IP)发送多个同步数据包(Syn Packet)给服务器(Server),服务器因无法收到确认数据包(Ack Packet),使TCP/IP协议的三次握手(Three-WayHand-Shacking)无法顺利完成，因而无法建立连接。其原理是发送大量半连接状态的服务请求，使Unix等服务主机无法处理正常的连接请求，因而影响正常运作。

2）UDP洪水(UDP Flood)

利用简单的TCP/IP服务，如用Chargen和Echo传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次UDP连接，回复地址指向开放Echo服务的一台主机，生成在两台主机之间的足够多的无用数据流。

3）Smurf攻击

一种简单的Smurf攻击是将回复地址设置成目标网络广播地址的ICMP应答请求数据包，使该网络的所有主机都对此ICMP应答请求作出应答，导致网络阻塞，比ping of death洪水的流量高出一或两个数量级。更加复杂的Smurf攻击是将源地址改为第三方的目标网络，最终导致第三方网络阻塞。

4）垃圾邮件

攻击者利用邮件系统制造垃圾信息，甚至通过专门的邮件炸弹(mail bomb)程序给受害用户的信箱发送垃圾信息，耗尽用户信箱的磁盘空间，使用户无法应用这个信箱。

5）消耗CPU和内存资源的拒绝服务攻击

利用目标系统的计算算法漏洞，构造恶意输入数据集，导致目标系统的CPU或内存资源耗尽，从而使目标系统瘫痪，如Hash DoS。

6）死亡之ping(ping of death)

早期，路由器对包的最大尺寸都有限制，许多操作系统在实现TCP/IP堆栈时，规定ICMP包小于等于64KB,并且在对包的标题头进行读取之后，要根据该标题头中包含的信息为有效载荷生成缓冲区。当产生畸形的、尺寸超过ICMP上限的包，即加载的尺寸超过64KB上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，使接收方停机。

7）泪滴攻击(Teardrop Attack)

泪滴攻击暴露出IP数据包分解与重组的弱点。当IP数据包在网络中传输时，会被分解成许多不同的片传送，并借由偏移量字段(Offset Field)作为重组的依据。泪滴攻击通过加入过多或不必要的偏移量字段，使计算机系统重组错乱，产生不可预期的后果。

8）分布式拒绝服务攻击(Distributed Denial of Service Attack)

分布式拒绝服务攻击是指植入后门程序从远程遥控攻击，攻击者从多个已入侵的跳板主机控制数个代理攻击主机，所以攻击者可同时对已控制的代理攻击主机激活干扰命令，对受害主机大量攻击。分布式拒绝服务攻击程序，最著名的有Trinoo、TFN、TFN2K和Stacheldraht四种。

（6）网络钓鱼

网络钓鱼 (Phishing) 种通过假冒可信方（知名银行、在线零售商和信用卡公司等可信的品牌）提供网上服务，以欺骗手段获取敏感个人信息（如口令、信用卡详细信息等）的攻击方式。

（7）网络窃听

网络窃听是指利用网络通信技术缺陷，使得攻击者能够获取到其他人的网络通信信息。常见的网络窃听技术手段主要有网络嗅探、中间人攻击。

（8）SQL注入

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。

（9）社会工程

网络攻击者通过一系列的社交活动，获取需要的信息。例如伪造系统管理员的身份，给特定的用户发电子邮件骗取他的密码口令。有的攻击者会给用户送免费实用程序，不过该程序除了完成用户所需的功能外，还隐藏了 个将用户的计算机信息发送给攻击者的功能。

（10）电子监听

网络攻击者采用电子设备远距离地监视电磁波的传送过程。灵敏的无线电接收装置能够在远处看到计算机操作者输入的字符或屏幕显示的内容。

（11）会话劫持

会话劫持是指攻击者在初始授权之后建立一个连接，在会话劫持以后，攻击者具有合法用户的特权权限。例如，一个合法用户登录一台主机，当工作完成后，没有切断主机。然后，攻击者乘机接管，因为主机并不知道合法用户的连接已经断开。于是，攻击者能够使用合法用户的所有权限。典型的实例是“TCP会话劫持”。

（12）漏洞扫描

漏洞扫描是一种自动检测远程或本地主机安全漏洞的软件，通过漏洞扫描器可以自动发现系统的安全漏洞。网络攻击者利用漏洞扫描来搜集目标系统的漏洞信息，为下一步的攻击做准备。常见的漏洞扫描技术有CGI漏洞扫描、弱口令扫描、操作系统漏洞扫描、数据库漏洞扫描等。一些黑客或安全人员为了更快速地查找网络系统中的漏洞，会针对某个漏洞开发专用的漏洞扫描工具，例如RPC漏洞扫描器。

（13）代理技术

网络攻击者通过免费代理服务器进行攻击，其目的是以代理服务器为“攻击跳板”,即使攻击目标的网络管理员发现了，也难以追踪到网络攻击者的真实身份或IP地址。为了增加追踪的难度，网络攻击者还会用多级代理服务器或者“跳板主机”来攻击目标。

（14）数据加密

网络攻击者常常采用数据加密技术来逃避网络安全管理人员的追踪。加密使网络攻击者的数据得到有效保护，即使网络安全管理人员得到这些加密的数据，没有密钥也无法读懂，这样就实现攻击者的自身保护。攻击者的安全原则是，任何与攻击有关的内容都必须加密或者立刻销毁。

4、黑客常用工具

网络攻击者常常采用的工具，主要包括扫描器、远程监控、密码破解、网络嗅探器、安全渗透工具箱等。

（1）扫描器

扫描器正如黑客的眼睛，通过扫描程序，黑客可以找到攻击目标的IP地址、开放的端口号、服务器运行的版本、程序中可能存在的漏洞等。扫描类软件又分为地址扫描器、端口扫描器、漏洞扫描器三个类别。下面列出几种经典的扫描软件：

·NMAP (Network Map)即网络地图，通过NMap可以检测网络上主机的开放端口号、主机的操作系统类型以及提供的网络服务。

·Nessus 早期是免费的、开放源代码的远程安全扫描器，可运行在Linux操作系统平台上，支持多线程和插件。目前，该工具已商业化。

·SuperScan 是一款具有TCP connect端口扫描、Ping和域名解析等功能的工具，能较容易地对指定范围内的IP地址进行Ping和端口扫描。

（2）远程监控

远程监控实际上是在受害机器上运行一个代理软件，而在黑客的电脑中运行管理软件，受害机器受控于黑客的管理端。受害机器通常被称为“肉鸡”,其经常被用于发起DDoS拒绝服务攻击或作为攻击跳板。常见的远程监控工具有冰河、网络精灵、Netcat。

（3）密码破解

密码破解是安全渗透常用的工具，常见的密码破解方式有口令猜测、穷举搜索、撞库等。口令猜测主要针对用户的弱口令。穷举搜索就是针对用户密码的选择空间，使用高性能计算机，逐个尝试可能的密码，直至搜索到用户的密码。撞库则根据已经收集到的用户密码的相关数据集，通过用户关键词搜索匹配，与目标系统的用户信息进行碰撞，以获取用户的密码。密码破解工具大多数是由高级黑客编写出来的，供初级黑客使用的现成软件，使用者只要按照软件的说明操作就可以达到软件的预期目的。密码破解的常见工具如下。

·John the Ripper John the Ripper用于检查Unix/Linux系统的弱口令，支持几乎所有Unix平台上经crypt函数加密后的口令哈希类型。

·LOphtCrack LOphtCrack常用于破解Windows系统口令，含有词典攻击、组合攻击、强行攻击等多种口令猜解方法。

（4）网络嗅探器

网络嗅探器(Network Sniffer)是一种黑客攻击工具，通过网络嗅探，黑客可以截获网络的信息包，之后对加密的信息包进行破解，进而分析包内的数据，获得有关系统的信息。如可以截获个人上网的信息包，分析上网账号、系统账号、电子邮件账号等个人隐私资料。网络嗅探类软件已经成为黑客获取秘密信息的重要手段，常见的网络嗅探器工具有Tcpdump、DSniff、WireShark等。

·Tcpdump/WireShark Tcpdump是基于命令行的网络数据包分析软件，可以作为网络嗅探工具，能把匹配规则的数据包内容显示出来。而WireShark则提供图形化的网络数据包分析功能，可视化地展示网络数据包的内容。

·DSniff DSniff是由Dug Song开发的一套包含多个工具的软件套件，包括dsniff、filesnarf、mailsnarf、msgsnarf、rlsnarf和webspy。使用DSniff可以获取口令、邮件、文件等信息。

（5）安全渗透工具箱

1）Metasploit

Metasploit是一个开源渗透测试工具，提供漏洞查找、漏洞利用、漏洞验证等服务功能。Metasploit支持1500多个漏洞挖掘利用，提供OWASP TOP10漏洞测试。

2）BackTrack5

BackTrack集成了大量的安全工具软件，支持信息收集、漏洞评估、漏洞利用、特权提升、保持访问、逆向工程、压力测试。

5、网络攻击案例分析

（1）W32.Blaster.Worm

W32.Blaster.Worm 是一种利用 DCOM RPC 漏洞进行传播的网络蠕虫，其传播能力很强。感染蠕虫的计算机系统运行不稳定，系统会不断重启。并且该蠕虫还将对 windowsupdate.com进行拒绝服务攻击，使得受害用户不能及时地得到这个漏洞的补丁。

THE END

亲爱的朋友，若你觉得文章不错，请点击关注。你的关注是笔者创作的最大动力，感谢有你！

原文始发于微信公众号（菜根网络安全杂谈）：信安工程师学习笔记（2）：第2章知识点