点击报名后领取>>>软考16本电子版教材 & 36本辅导教材 + 27套历年真题试卷 + 21套精编知识点6G资料包
今天的内容为:
网络攻击概述
网络攻击一般过程
网络攻击常见技术方法
黑客常用工具
网络攻击案例分析
首先是
常见危害行为的四个基本类型:
信息泄露攻击 |
完整性破坏攻击 |
拒绝服务攻击 |
非法使用攻击 |
网络攻击
网络攻击的各种类型:
网络攻击原理表
攻击者 |
攻击工具 |
访问 |
攻击效果 |
攻击意图 |
黑客 |
用户命令 |
本地 |
破坏信息 |
挑战 |
间谍 |
脚本、程序 |
远程 |
信息泄露 |
好奇 |
恐怖主义者 |
自治主题 |
窃取服务 |
获取情报 |
|
公司职员 |
电磁泄漏 |
拒绝服务 |
经济利益 |
|
职业犯罪分子 |
恐怖事件 |
|||
破坏者 |
报复 |
网络攻击模型:
攻击树模型
起源于故障树分析法。主要用于系统风险分析、系统可靠性分析,后扩展为软件故障树,用于辅助识别软件设计和实现中的错误。
用AND-OR形式的树结构对目标对象进行网络安全威胁分析。
MITRE ATT &CK模型
应用场景:
网络红蓝对抗模拟、网络安全渗透测试、网络防御差距分析、网络威胁情报收集。
网络杀伤链模型(kill chain)
该活动将网络攻击分为:
目标侦察、武器构造、载荷投送、漏洞利用、安装植入、指挥和控制、目标行动七个阶段。
网络攻击过程一般分为几个步骤:
隐藏攻击源: 隐藏黑客主机位置使得系统管理无法追踪。
收集攻击目标信息: 确定攻击目标并收集目标系统的有关信息。
挖掘漏洞信息: 从收集到的目标信息中提取可使用的漏洞信息
获取目标访问权限: 获取目标系统的普通或特权账户的权限
隐藏攻击行为: 隐藏在目标系统中的操作,防止入侵行为被发现
实施攻击: 进行破坏活动或者已目标系统为跳板向其他系统发起攻击
开辟后门: 在目标系统中开辟后门,方便以后入侵
清除攻击痕迹: 避免安全管理员的发现、追踪以及法律部门取证
端口扫描
端口扫描:
目的:
找出目标系统上提供的服务列表
分类:
扫描名称 |
说明 |
完全连接扫描 |
完全连接扫描利用TCP/IP协议的三次握手协议,建立一次完整的连接。建立成功则端口开放,否则,端口关闭 |
半连接扫描 |
在三次握手过程中,只完成前两次握手,不建立一次完整的连接。 |
SYN扫描 |
先发送连接请求,响应后,立即切断连接过程,并查看响应情况。返回ACK信息,端口开放,否则,端口关闭 |
ID头信息扫描 |
首先A主机向B主机发出连续的PING数据包,并且查看主机返回的数据包ID头信息(一般每个顺序数据包的ID头的值会增加1)然后A主机假冒B主机的地址向目标主机的任意两个端口(1-65535)发送SYN数据包。这时,有两种结果: 1.SYN|ACK表示端口处于监听状态 2.RST|ACK表示端口处于非监听状态 后续的PING数据包响应信息的ID头可以看出,如果目标主机的端口是开放的,则B返回A的数据包中,ID头的值不是递增1,而是大于1.否则,B返回A的数据包中,ID头的值递增1,很规律。 |
隐蔽扫描 |
能够成功的绕过IDS、防火墙和监视系统等安全机制,取得目标主机端口信息的一种扫描方式。 |
SYN|ACK扫描 |
由源主机向目标主机某个端口发送SYN|ACK数据包,而不发送SYN数据包。由于这一方法不发送SYN数据吧,目标主机会认为这是错误的连接,从而报错。 如果端口没有开放,则返回RST信息,否则不会返回任何信息,数据包丢弃。 |
FIN扫描 |
发送FIN数据包,然后查看反馈信息,如果端口返回RESET信息,说明端口关闭。否则,端口开放。 |
ACK扫描 |
发送FIN数据包,查看反馈数据包的TTL值和WIN值。开放端口数据包TTL值一般小于64,关闭的返回值一般大于64;开放端口返回的WIN值一般大于0,关闭的端口返回值一般等于0。 |
NULL扫描 |
将源主机发送的数据包中ACK、FIN、RST、URG、PSH等标志位全部置空。如果没有返回任何信息,表明端口开放,返回RST信息,表明端口关闭。 |
XMAS扫描 |
原理和NULL扫描相同,区别是将发送数据包中ACK、FIN、RST、URG、PSH等标志位全部置1.如果没有信息,表明端口开放,返回RST,表明端口关闭。 |
口令破解
口令破解的主要工作流程:
建立与目标网络服务的网络连接;
选取一个用户列表文件及字典文件;
在用户列表文件及字典文件中,选取一组用户和口令按网络服务协议规定,将用户名及口令发送给目标网络服务端口;
监测远程服务返回信息,确定口令尝试是否成功;
再取一组用户口令,重复循环实现,直至列表文件及字典文件执行完毕。(这里的___部分,一般都成为“字典“)
缓冲区溢出攻击基本原理:
缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,可以利用它执行非授权执行,甚至可以取得系统特权,进行各种非法操作。缓冲区溢出(buffer overflow),是针对程序设计缺陷,向程序输入缓冲区写入使之溢出的内容(通常是超过缓冲区能保存的最大数据量的数据),从而破坏程序运行、趁著中断之际并获取程序乃至系统的控制权。
内存低端 程序段 存放程序机器码和只读数据
数据段 存放程序中的静态数据
内存高端 堆栈 存放程序中的动态数据
处理器中特殊的寄存器:
EIP:扩展指令寄存器,用于存下一条执行的指令地址
EBP:扩展基地址寄存器,存储栈底指针,通常称为栈基址
ESP:扩展堆栈寄存器,存放栈顶指针
堆栈的两个重要操作:
PUSH和POP
栈针的一般结构:
...[local1][local2]...[localn][EBP][RET地址][参数1][参数2]...[参数n]
内存低端 内存高端
RET地址为下一指令的首地址,覆盖他成为自己程序的首地址,然后执行的攻击程序
防范策略:
系统管理上:
关闭不需要的特权服务;及时给程序打补丁
软件开发上:
编写正确的代码;缓冲区不可执行;改进C语言数据库
漏洞防范:
地址空间随机化技术
数据执行阻止
堆栈保护
mian函数的本地变量所在的内存区域称为------------(堆栈)
拒绝服务攻击
原理:
消耗系统资源(宽带、内存、队列、CPU)
阻止目标主机宕机
阻止授权用户正常访问服务(慢、不能连接、无响应)
攻击模式:
消耗资源
破坏或更改配置信息
物理破坏或改变网络邮件
利用服务程序中的处理错误使服务无效
网络钓鱼
原理:
获取敏感数据
用户名
口令
账号ID
防范方法:
申请并安装数字证书
规范使用操作:
1.做到”三及时一避免“:
及时安装防火墙
及时修复漏洞
及时安装杀毒软件
避免直接下载来历不明的软件
2.在安全的网络环境下进行在线交易
3.不盲目接受英文邮件
4.认真查对短信的来源
5.对要求重新输入账号信息要进行电话验证
6.访问网站一定使用浏览器直接访问
网络窃听
利用网络通信技术缺陷,使得攻击者能够获得到其他人的网络通信信息。
常见手段:
网络嗅探
中间人攻击
SQL注入
原理:
浏览器+web服务器+数据库
利用web服务漏洞,攻击者将SQL命令插入web表单中查找字符串,欺骗服务器执行恶意SQL命令
做网络安全之光
一起学习、一起考证、一起做网络安全之光,本公众号会不定期分享干货知识、大家可以一起学习交流
32篇原创内容
公众号
代理技术 直接攻击
攻击者 |
代理服务器 |
攻击目标 |
搜集信息
网络攻击者通过免费的代理服务器进行攻击,其目的是以代理服务器为”攻击跳板“,即使攻击目标的网络管理员发现了,也难以追踪到网络攻击者的真实身份或IP地址
网络攻击常见技术方法
社会工程
为某些非容易的获取讯息,利用社会科学(此指其中的社会常识)尤其心理学,语言学,欺诈学将其进行综合,有效的利用(如《人性的弱点》),并以获得信息为最终目的学科称为“社会工程学”
电子监听
采用电子设备远距离的监视电磁波的传送过程
灵敏的无线电接收装置能够在远处看到操作者输入的字符或者屏幕的内容
会话劫持
在初始授权之后建立一个连接,劫持后,攻击者具有合法用户权限。
防范措施:数据加密
常采用数据加密技术逃避网安人的追踪,即使获得到了加密数据,没有密钥也无法读懂。
黑客常用工具
扫描器:
NMAP网络地图
Nessus远程安全扫描器
SuperScan
远程监控:
冰河、网络精灵、Netcat
密码破解:
John the Ripper:检查Unix/Linux系统的弱命令
LOphtCrack:破解windows系统命令
网络嗅探器:
Tcpdump/Wireshared
Dsniff
安全渗透工具
Metasploit
backTrack5
DDOS攻击
DDOS(分布式拒绝服务攻击)攻击步骤:
探测大量主机,寻找可攻击目标
攻击并获取控制权
成功后安装攻击程序
利用主机继续扫描和攻击
一定数量后,在主控端给客户端发布向特定目标攻击的命令。
常用手段:
HTTPFLood攻击、SYN Flood攻击(泛洪攻击)、DNS放大攻击
网络蠕虫(win32.Blaster.Worm)
win32
利用DCOM RPC漏洞进行传播的蠕虫;
传播过程:
1.初始化Worm执行
2.扫描:发起RPC利用攻击
3.远程下载初始化
其中涉及的端口:
TCP:135
UDP:4444(绑定后门)
UDP:69(监听)
4.TFTP下载蠕虫代码
5.远程执行蠕虫代码
易错习题:
网络攻击中,(流量分析)属于被动攻击。
(暴力破解)不属于信息泄露。
文章源于网络,如有侵权,请私信文章标题联系删除,谢谢。
为了能让更多人享受软考的政策福利和现实功利,51CTO旗下软考教研团队联合薛大龙老师,认真严肃向大家推出软考2日直播特训营。
扫码入群0元领取6G的软考6资料包+2天软考特训营名额
软考资料包括:软考16本电子版教材 & 36本辅导教材 + 27套历年真题试卷 + 21套精编知识点6G资料包
软考训练营名额+资料领取方式>>>
扫下方码入群后按照老师的要求操作即可领取。
51CTO软考两天直播训练营
这门课恰好能够为你答疑解惑,助你快速入门并掌握软考知识要点,获得技能提升。为自己的职业发展规划制定一个更明确的规划,迈出升职加薪的第一步。
训练营周期为 两天直播课 晚8:00-9:00
心急的小伙伴可直接扫码解锁。
☟☟☟
2天软考直播特训营
3大必备技能
↓↓↓
限时 0 元 即可解锁
点击下方链接报名
仅限前100个名额
报名链接: https://edu.51cto.com/surl=oR9sp3
课程涵盖:高分知识点梳理,案例分析解题方法、论文通用模板等。我们力争通过2天的直播课程,助力您快速入门并一次性通关软考!
如果你对这门课程还不太了解的话,就跟我一起往下看吧。
我们的主讲老师薛大龙老师,深耕软考教育培训20余年,主编出版软考辅导教材60余本,非常熟悉软考题目的要求、难度、以及判卷标准。
完成本体验营2天所有课程及作业考核,学员将掌握信息系统项目管理师、系统集成项目管理工程师的高频考点及答题技巧:
①掌握信息系统项目管理师知识体系;
②掌握考试高分占比知识领域;
③掌握考试考情前沿分析;
④掌握论文与案例超干货答题方法;
⑤掌握名师对真题的独到解析。
报名前,你还需要知道的3件事
1)课程形式
直播课程+社群学习活动
2)课程时间
报名后老师安排上课 晚8:00-9:00
3)报名后要做什么?
付费后根据提示添加学姐为好友,开营前学姐会统一拉人入群。
2天软考考证特训营
0 元 解锁课程
还可 领取「6G课程资料」
点击下方链接报名 仅限前100个名额
报名链接: https://edu.51cto.com/surl=oR9sp3