网络安全:网络攻击原理与方法.
Posted 半个西瓜.
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络安全:网络攻击原理与方法.相关的知识,希望对你有一定的参考价值。
网络安全:网络攻击原理与方法.
网络攻击:是损害网络系统安全属性的危害行为。危害行为导致网络系统的机密性、完整性、可控性、真实性、抗抵赖性等受到不同程度的破坏。
目录:
(4)密码破解工具大多数是由高级黑客编写,供初级黑客使用,常见工具如下:
(1)DDoS攻击:分布式拒绝服务攻击,整个攻击过程可以分为下面五个步骤:
常见的危害行为有四个基本类型:
(1)信息泄露攻击;(2)完整性破坏攻击;(3)拒绝服务攻击;(4)非法使用攻击。
网络攻击者由攻击者发出,攻击者应用一定的攻击工具,对目标网络系统进行的攻击操作,达到一定的攻击效果,实现攻击者一定的攻击意图。其中网络攻击原理表:
攻击者:间谍、恐怖主义者、黑客、职业犯罪分子、公司职员和破坏者。
攻击工具:用户命令、脚本或程序、自治主体、电磁泄露。
攻击访问:本地访问、远程访问。
攻击效果:破坏信息、信息泄密、窃取服务、拒绝服务。
攻击意图:获取情报信息;获取恐怖主义集团的利益;表现自己或技术挑战;获取经济利益;好奇;报复或发泄不满情绪;
网络攻击模型:
(1)攻击树模型:起源于故障树分析方法,经过扩展用AND-OR形式的树结构对目标对象进行网络安全威胁分析。可以被Red Team用来进行渗透测试,同时也可以被Blue Team用来研究防御机制。
★ 优点:能够采取专家头脑风暴法,并且将这些意见融合到攻击树中去;能够进行费效分析或者概率分析;能够建模非常复杂的攻击场景。
★ 缺点:由于树结构的内在限制,攻击树不能用来建模多重常识攻击、时间依赖及访问控制等场景;不能用来建模循环事件;对于现实中的大规模网络,攻击树方法处理起来将会特别复杂。
(2)MITRE ATT&CK模型:根据真实观察到的网络攻击数据提炼形成的攻击矩阵模型。该模型把攻击活动抽象为初始访问、执行、持久化、特权提升、躲避防御、凭据访问、发现、横向移动、收集、指挥和控制、外泄、影响,然后给出攻击活动的具体实现方式。主要应用场景有网络红蓝对抗模拟、网络安全渗透测试、网络防御差距评估、网络威胁情报收集等。
(3)网络杀伤链(Kill Chain)模型:将网络攻击活动分成目标侦察、武器构造、载荷投送、漏洞利用、安装植入、指挥和控制、目标行动等七个阶段。
网络攻击会发展的趋势:
(1)网络攻击工具智能化、自动化;
(2)网络攻击者群体普适化;
(3)网络攻击目标多样化和隐蔽性;
(4)网络攻击计算资源获取方便;
(5)网络攻击活动持续性强化;
(6)网络攻击速度加快;网络攻击影响扩大;
(7)网络攻击主体组织化;
网络攻击一般过程:
(1)隐藏攻击源:方法---利用被侵入的主机作为跳板;免费代理网关;伪造IP地址;假冒用户账号.
(2)收集攻击目标信息:方法---收集目标系统一般信息、配置信息、安全漏洞信息、安全措施信息、用户信息.
(3)挖掘漏洞信息:方法-----系统或应用服务软件漏洞;主机信任关系漏洞;目标网络的使用者漏洞;通信协议漏洞;网络业务系统漏洞.
(4)获取目标访问权限:方法-----获得系统管理员的口令;利用系统管理上的漏洞;让系统管理员运行一些特洛伊木马;窃听管理员口令.
(5)隐蔽攻击行为:方法-----连接隐藏;进程隐藏;文件隐蔽.
(6)实施攻击:方法-----攻击其他被信任的主机和网络、修改或删除重要数据、窃听敏感数据、停止网络服务、下载敏感数据、删除数据账号、修改数据记录.
(7)开辟后门:方法-----放宽文件许可权;重新开放不安全的服务;修改系统的配置;替换系统本身的共享库文件;修改系统的源代码,安装各种特洛伊木马;安装嗅探器;建立隐蔽信道.
(8)清除攻击痕迹:方法-----篡改日志文件中的审计信息;改变系统时间造成日志文件数据紊乱以迷惑系统管理员;删除或停止审计服务进程;干扰入侵检测系统的正常运行;修改完整性检测标签.
网络攻击常见技术方法
(1)端口扫描:目的是找出目标系统上提供的服务列表。挨个尝试与TCP/UDP端口连接,然后根据端口与服务的对应关系,结合服务器端的反映推断目标系统上是否运行了某项服务,攻击者通过这些服务可能获得关于目标系统的进一步的知识或通往目标系统的途径。扫描类型包括:
★ 完全连接扫描:利用TCP/IP协议的三次握手连接机制,使源主机和目的主机的某个端口建立一次完整的连接。如果建立成功,则表明该端口开放。否则,表明该端口关闭。
★ 半连接扫描:在源主机和目的主机的三次握手连接过程中,只完成前两次握手,不建立一次完整的连接。
DoS
简介
DoS,是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。
一般是使用一台计算机进行攻击。
DDoS
DDoS,是Distributed Denial of Service的简称,即分布式拒绝服务,分布式拒绝服务攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
相关事件
Github DDoS事件
迄今为止最大的DDoS攻击发生在2018年2月。美国东部时间2018年2月28日下午12点15分左右,GitHub 遭遇了可能是迄今为止最大的 DDoS 攻击,最高访问量为 1.35Tbps。当地时间2月28日起,GitHub 经历了两次间歇性不可访问。攻击发生 10 分钟后,GitHub 向 CDN 服务商 Akamai 请求协助,访问 GitHub 的流量交由后者接管。攻击在 Akamai 介入 8 分钟后结束,GitHub 确认该网站上用户数据的机密性或完整性未受到威胁。
这是一个memcached DDoS攻击,因此没有涉及僵尸网络。相反,攻击者利用了一种称为memcached的流行数据库缓存系统的放大效应。通过使用欺骗性请求充斥memcached服务器,攻击者能够将其攻击放大约50,000倍!
幸运的是,GitHub正在使用DDoS保护服务,该服务在攻击开始后的10分钟内自动发出警报。此警报触发了缓解过程,GitHub才能够快速阻止攻击。最终这次世界上最大的DDOS攻击只持续了大约20分钟。
最近发生的事件:
17岁少年买不到票,买DDOS攻击套餐攻击南航
原理
常见的攻击针对以下协议:
- TCP
- UDP
- NTP
- DNS
- HTTP
- SSDP
- Memcached
这里对其中几个进行简要说明
TCP SYN Flood
TCP SYN Flood是一种利用TCP协议缺陷的攻击,这种方式通过伪造IP向攻击服务器发送大量伪造的TCP SYN请求,被攻击服务器回应握手包后(SYN+ACK),伪造的IP不会回应之后的握手包,服务器会保持在SYN_RECV状态,并尝试重试。这会使得TCP等待连接队列资源耗尽,正常业务无法进行。
UDP
无论是基于 DNS 还是基于 NTP,其最终都是基于 UDP 协议的。在 UDP 协议中正常情况下客户端发送请求包到服务端,服务端返回响应包到客户端,但是 UDP 协议是面向无连接的,所以客户端发送请求包的源 IP 很容易进行伪造,当把源 IP 修改为受害者的 IP,最终服务端返回的响应包就会返回到受害者的 IP。这就形成了一次反射攻击。
放大攻击就是一次小的请求包最终会收到一个或者多个多于请求包许多倍的响应包,这样就达到了四两拨千斤的效果。
CC攻击(Http Flood)
CC(Challenge Collapsar)攻击是一种针对资源的DoS攻击,攻击者通常会常用请求较为消耗服务器资源的方式来达到目的。
CC攻击的方式有很多种,常见的攻击可以通过大量访问搜索页、物品展示页等消耗大的功能来实现。部分HTTP服务器也可通过上传超大文件、发送大量且复杂的参数的请求来实现攻击。
防御
- 基于特定攻击的指纹检测攻击,对相应流量进行封禁/限速操作
- 对正常流量进行建模,对识别出的异常流量进行封禁/限速操作
- 基于IP/端口进行综合限速策略
- 基于地理位置进行封禁/限速操作
云服务商一般都会提供DDOS防御服务,一般通过流量清洗的方式,视频类的网站可以购买CDN。
参考
gatekeeper
TCP协议详解
UDP协议详解
NTP协议
SSDP协议
Memcached
阿里云-DDOS缓解
DoS
简介
DoS,是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。
一般是使用一台计算机进行攻击。
DDoS
DDoS,是Distributed Denial of Service的简称,即分布式拒绝服务,分布式拒绝服务攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
相关事件
Github DDoS事件
迄今为止最大的DDoS攻击发生在2018年2月。美国东部时间2018年2月28日下午12点15分左右,GitHub 遭遇了可能是迄今为止最大的 DDoS 攻击,最高访问量为 1.35Tbps。当地时间2月28日起,GitHub 经历了两次间歇性不可访问。攻击发生 10 分钟后,GitHub 向 CDN 服务商 Akamai 请求协助,访问 GitHub 的流量交由后者接管。攻击在 Akamai 介入 8 分钟后结束,GitHub 确认该网站上用户数据的机密性或完整性未受到威胁。
这是一个memcached DDoS攻击,因此没有涉及僵尸网络。相反,攻击者利用了一种称为memcached的流行数据库缓存系统的放大效应。通过使用欺骗性请求充斥memcached服务器,攻击者能够将其攻击放大约50,000倍!
幸运的是,GitHub正在使用DDoS保护服务,该服务在攻击开始后的10分钟内自动发出警报。此警报触发了缓解过程,GitHub才能够快速阻止攻击。最终这次世界上最大的DDOS攻击只持续了大约20分钟。
最近发生的事件:
17岁少年买不到票,买DDOS攻击套餐攻击南航
原理
常见的攻击针对以下协议:
- TCP
- UDP
- NTP
- DNS
- HTTP
- SSDP
- Memcached
这里对其中几个进行简要说明
TCP SYN Flood
TCP SYN Flood是一种利用TCP协议缺陷的攻击,这种方式通过伪造IP向攻击服务器发送大量伪造的TCP SYN请求,被攻击服务器回应握手包后(SYN+ACK),伪造的IP不会回应之后的握手包,服务器会保持在SYN_RECV状态,并尝试重试。这会使得TCP等待连接队列资源耗尽,正常业务无法进行。
UDP
无论是基于 DNS 还是基于 NTP,其最终都是基于 UDP 协议的。在 UDP 协议中正常情况下客户端发送请求包到服务端,服务端返回响应包到客户端,但是 UDP 协议是面向无连接的,所以客户端发送请求包的源 IP 很容易进行伪造,当把源 IP 修改为受害者的 IP,最终服务端返回的响应包就会返回到受害者的 IP。这就形成了一次反射攻击。
放大攻击就是一次小的请求包最终会收到一个或者多个多于请求包许多倍的响应包,这样就达到了四两拨千斤的效果。
CC攻击(Http Flood)
CC(Challenge Collapsar)攻击是一种针对资源的DoS攻击,攻击者通常会常用请求较为消耗服务器资源的方式来达到目的。
CC攻击的方式有很多种,常见的攻击可以通过大量访问搜索页、物品展示页等消耗大的功能来实现。部分HTTP服务器也可通过上传超大文件、发送大量且复杂的参数的请求来实现攻击。
防御
- 基于特定攻击的指纹检测攻击,对相应流量进行封禁/限速操作
- 对正常流量进行建模,对识别出的异常流量进行封禁/限速操作
- 基于IP/端口进行综合限速策略
- 基于地理位置进行封禁/限速操作
云服务商一般都会提供DDOS防御服务,一般通过流量清洗的方式,视频类的网站可以购买CDN。
参考
gatekeeper
TCP协议详解
UDP协议详解
NTP协议
SSDP协议
Memcached
阿里云-DDOS缓解