- 网络攻击:损害网络系统安全属性的行为。
- 4大类型:信息泄露攻击、完整性破坏攻击、拒绝服务攻击、非法使用攻击。 (对应机密性、完整性、可用性)
- 网络攻击模型://可以记为:攻击杀伤ck
- 1)攻击树模型:故障攻击方法(被red-team用来渗透测试 ,也可以被用来blue team 用来防御机制)//可记为红透蓝防
- 优点:采取专家头脑风暴法,能够进行费效分析或者概率分析;能够建模非常复杂的攻击场景。
- 缺点:不能用来建模多重尝试攻击,时间依赖以及访问控制。对于现实中的大规模网络,攻击树处理起来非常的复杂。
- 2)mitre att&ck模型 场景:红蓝对抗模拟、网络安全渗透测试、网络防御差距评估、网络威胁情报收集。 3)网络杀伤链模型(kill chain):目标侦察、武器构造、载荷投送、漏洞滥用、安装植入、指挥和控制。
- 重点.网络攻击一般过程(前4后4)
- 1)隐藏攻击源
- 2)收集攻击目标信息
- 3)挖掘漏洞信息
- 4)获取目标访问权限
- 5)隐蔽攻击行为
- 6)实施攻击
- 7)开辟后门
- 8)清除攻击痕迹
- 端口扫描
- 目标: 找出目标系统提供的服务列表
-
- 类型:
-
1)完全扫描:3次握手连接 建立成功->端口开放 -
2)半连接扫描:2次连接 不建立一次完整的连接 -
3)SYN扫描:立即切断连接过程 返回ack->端口开放 返回RESET ,端口没有开放 -
4)ID头信息扫描:第三方机器配合扫描 dumb主机。 - A向B发出的ping数据包,并且查看B返回数据包的ID头信息。一般而言,每个ID头的值会加1。SYN|ACK 监听 RST|ACK 非监听。
- 端口开放:ID头的值不是递增,而是大于1。
- 端口非开放:ID头的值规律递增1.
-
5)隐蔽扫描:成功绕过IDS、防火墙、监视系统等安全机制。 -
6)直接发送SYN|ACK数据包 。未开放:返回RST信息;开放:不会返回,直接抛弃掉这个数据包。 -
7) FIN扫描:发送FIN数据包,查看反馈信息; 返回RESET信息,端口关闭。 没有返回,则端口开放。 -
8)ACK扫描:发送FIN数据包,开放:TTL<64.WIN>0 关闭:TTL>64. WIN=0 -
9)NULL扫描:标志位全部置空,未返回任何信息:端口开放;返回RST,端口关闭 -
10)XMAS扫描:标志位全部换成1 ,未返回任何信息:端口开放;返回RST,端口关闭
- 口令破解(口令猜测、穷举搜索、撞库)
- 工作流程:
-
1)建立与目标网络服务的网络联网 -
2)选取用户列表文件及字典文件 -
3)在用户列表及文件字典中,选取一组用户和口令,发送给目标网络服务端口 -
4)检测远程服务返回信息,确定口令是否成功 -
5)再选取另一组,重复循环试验。
- 拒绝服务攻击特点:1.难确认性 2.隐蔽性3.资源有限性4.软件复杂性 //特点:难隐原件
- 方式:
- 同步包风暴:发送大量半连接状态服务请求
- UDP洪水:无用数据流
- Smurf攻击 回复地址设置成目标网络广播地址/第三方的目标网络
- 垃圾邮件:耗尽用户信箱的磁盘空间
- 消耗CPU和内存资源的拒绝服务攻击:构造恶意输入数据集、导致目标系统的CPU或内存资源耗尽
- 死亡之ping :ICMP超过64kb,就会出现内存分配错误。
- 泪滴攻击:通过加入过多或不必要的偏移量字段,使计算机系统重组错乱,产生不可预期的后果。
- 分布式拒绝服务攻击 值植入后门程序从远程遥控攻击,统一攻击同一目标。 常用包括:HTTP FLood、SYN Flood 、DNS 放大攻击
- 分布式拒绝服务攻击(DDos)
- 1)寻找可以进行攻击的目标
- 2)设法获取控制权
- 3)安装客户端攻击程序
- 4)继续扫描和攻击,扩大可被利用的主机
- 5)攻击者在主控端给客户端攻击程序发布向特定目标进行攻击的命令 攻击者进行大型或复杂的攻击前,需要利用已经攻击成功的主机,等时机成熟后再向最终的目标发起攻击。
