Security+ 学习笔记44 网络攻击
Posted 格洛米爱学习
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Security+ 学习笔记44 网络攻击相关的知识,希望对你有一定的参考价值。
一、拒绝服务攻击(Denial of service attacks)
CIA三要素描述了信息安全的三个目标,即保密性、完整性和可用性。攻击者使用的大多数攻击技术都集中在破坏数据的保密性或完整性上。
攻击者最常见的动机是窃取敏感信息,如信用卡号码或身份证号码,或以未经授权的方式改变信息。然而,有些攻击的重点是破坏系统的合法使用。与其他攻击不同,这些攻击针对的是CIA三要素中的可用性(Availability)。我们把这些攻击称为拒绝服务的DoS攻击。拒绝服务攻击是一种使系统或资源对合法用户不可用的攻击。它向一个网络、服务器或应用程序发送数以千计或数百万计的请求,使其不堪重负,并使其无法回应任何合法的请求。如果攻击做得好的话,就很难将Dos攻击请求与合法流量区分开来。
从攻击者的角度来看,基本的拒绝服务方法有两个巨大的问题:
- 首先,DoS攻击需要大量的带宽。发送大量的请求,占用服务器,需要一个很大的网络连接,这就变成了谁的网络连接更大的问题;
- 第二,简单的DoS攻击很容易被阻止。一旦受害者认识到他们受到了攻击,他们可以简单地定位到攻击者的IP地址。
这就是分布式拒绝服务(Distributed denial of service)或DDoS攻击发挥作用的地方。DDoS攻击使用僵尸网络来攻击其目标。攻击请求来自各个地方,因此很难将它们与合法请求区分开来。
例如,攻击者用一个伪造的源地址向第三方服务器的广播地址发送ICMP的echo request报文。该源地址是受害者服务器的IP地址。当第三方服务器收到该请求时,他们认为这些请求来自受害者,于是他们向受害者发送回波回复。然后,受害者的网络连接就会被来自各地的echo reply所淹没。这种攻击被称为Smurf attack,是一种特殊类型的DDoS攻击的例子,被称为放大攻击(Amplified attacks)。在基本的DDoS攻击中,带宽是一个限制性因素。在放大攻击中,攻击者精心选择了具有非常大的响应的请求。然后,攻击者可以通过他们的网络连接发送非常小的请求,在第三方的网络连接上产生非常大的回复。Smurf attack的变种是攻击者发送精心制作的请求,这些请求有非常大的响应抱我。放大系数是指在攻击中发生的放大的程度。如果响应是请求大小的两倍,则放大系数为2。如果攻击者设计了一个放大的攻击,使用64字节的查询来产生512字节的响应,那么放大系数,就是8。该攻击向受害者发送的流量,是攻击者向中间商发送的流量的八倍。
拒绝服务攻击可能发生在各种环境中。他们可能直接攻击网络带宽或可用性。防御它们需要安全专业人员充分了解它们,并在网络上实施阻断技术,在可疑的攻击流量到达目标服务器之前将其剔除。这通常是在互联网服务提供商和第三方DDoS预防服务的配合下完成的。
二、窃听攻击(Eavesdropping attacks)
如果一个攻击者能够获得对网络的物理或逻辑访问,他们可能会窃听该网络上两个系统之间的通信。如果攻击者能够解密加密的通信,并在发件人不知情或不同意的情况下查看机密信息,那么这些攻击可能特别危险。所有的窃听攻击都需要对客户端和服务器之间的通信路径进行一些破坏。 这可能包括窃听网络设备或电缆,或进行DNS或ARP中毒攻击,以欺骗系统将流量直接发送到攻击者而不是预定的收件人。
1.中间人攻击
我们需要注意,当一个运行网络浏览器的用户启动了与位于数据中心某处的服务器的连接。但实际情况是,这些通信在途中经过许多不同的网络连接。
中间的任何一个设备都代表着一个可能的点,窃听者可能会监听该通信。加密,如HTTPS使用的加密,可以防止任何这些中间设备查看或改变通信。由于简单的窃听很容易被加密所击败,攻击者可以使用中间人攻击(Man-in-the-Middle Attack) 来进一步欺骗用户。在中间人攻击中,攻击者在初始通信中欺骗发送系统。这可能是通过重新配置网络设备或使用DNS或ARP中毒来完成。用户不是与合法服务器建立通信,而是直接连接到攻击者。攻击者反过来连接到合法服务器。用户对攻击者建立的假服务器进行认证,而攻击者则充当中间人,可以查看客户端和服务器之间发生的所有通信。攻击者接收用户的请求,将它们传递给服务器,然后接收真正的响应,阅读它们,然后将它们复制给原用户,而原用户并不知道有一个中间人在截获这些通信。
Man-in-the-browser attack是中间人攻击的一个变种,攻击者破坏了用户的网络浏览器或浏览器插件,以获得网络通信的权限。中间人攻击和Man-in-the-browser attack一起被描述为On-path attacks,因为攻击者处于用户和服务之间的路径上。
2.重放攻击
如果攻击者有能力捕获网络流量,他们也可以进行重放攻击(Replay attack)。重放攻击使用先前捕获的数据,如加密的认证令牌,创建一个单独的连接到服务器,该连接经过认证,但不涉及真正的最终用户。
在重放攻击中,攻击者通常不能看到实际的凭证,而只能得到它们的编码版本。幸运的是,重放攻击可以通过使用一个简单的会话令牌(Simple session token)或通过使用时间戳(Timestamps)来防御。与远程系统建立的每个会话都应该使用一个新的令牌,该令牌是随机选择的,并有一个适合认证会话持续时间的有限的寿命。然后,当攻击者试图重放该令牌时,它已经过期,不再有效。时间戳的工作方式与此类似,它依赖于两个系统都有正确的系统时间设置,以确保他们发送的数据包是在一个类似的时间窗口内发送的。在这个短暂的时间窗口内,重放攻击可以成功,但在稍后时间的攻击将被拒绝。
4.SSL stripping
SSL stripping是窃听攻击的一个变种。在 SSL stripping攻击中,有能力查看用户的加密网络通信的攻击者利用一个漏洞,欺骗用户的浏览器恢复到可以轻易查看的未加密的通信。我们可以把这想象成剥去通信中的SSL或TLS保护,将其暴露在窥探者面前。
三、DNS攻击
DNS使用一个分层的查询系统,最初的请求会发送到客户网络上的一个服务器。如果该服务器还不知道答案,它就会询问一系列其他服务器,直到找到有正确答案的服务器。例如,当查询www.wikipedia.org,一个组织的DNS服务器首先询问根名称服务器。现在,如果根名称服务器不知道答案,它会告诉请求者哪个名称服务器负责.org顶级域名。客户端然后询问.org服务器,该服务器也不知道答案,但该服务器告诉请求者什么名称服务器负责wikipedia.org域名。然后,客户询问那个知道答案的服务器,客户收到地址和服务器的答复。
1.DNS中毒(Poisoning)
DNS中毒通过在层次结构的任何一点插入不正确的DNS记录,在这个过程中引入了错误的结果。攻击者可以将流量重定向到攻击者系统。然后,攻击者系统可能包含一个网络服务器,它与毫无戒心的受害者预期访问的系统非常相似。当受害者登录到攻击者的系统时,攻击者就能捕捉到这个登录。执行得好的攻击会将凭证传递给真实的系统,然后捕获两者之间的所有流量,防止受害者注意到中间人攻击的存在。
2.误植域名(Typosquatting)
Typosquatting是一种依靠人们犯简单打字错误的攻击。注册一个域名是非常便宜的。从事Typosquatting的攻击者只需注册数百个官方网站的错别字。然后,当人们错误地猜测或错误地输入域名时,他们就会访问攻击者的网站而不是真正的网站。
3.域名劫持攻击(Domain hijacking attacks)
在域名劫持攻击中,攻击者实际上是在未经许可的情况下从真正的所有者手中接管了域名注册。他们可能通过使用社会工程技术对域名注册商进行预置攻击,假装成授权所有者,或通过窃取授权域名管理员的访问凭证来实现这一目的。
4.URL重定向攻击(URL redirection attacks)
URL重定向攻击在合法网站上放置内容,自动将用户从该合法网站转到一个恶意网站。攻击者可能通过在允许重定向的论坛上发布恶意内容,或通过破坏合法的网络服务器来做到这一点。
5.域名信誉(Domain reputation)
域名信誉(Domain reputation)系统帮助网络安全分析人员识别流量是否来自一个已知和可信的域名,或者该域名是否与过去的恶意活动有关,无论是作为攻击者还是作为无辜的第三方。威胁情报服务提供域名信誉评分,作为其核心能力之一,许多组织将这种域名信誉纳入入侵防御系统和其他安全控制。
四、二层攻击(Layer 2 attacks)
1.ARP毒化(poisoning)
攻击也可以发生在影响数据链路层的OSI模型的第二层。地址解析协议(Address resolution protocol),即ARP在这一层工作,执行类似于DNS的功能。ARP不是把普通域名翻译成IP地址,而是把IP地址翻译成局域网上使用的硬件地址。这些硬件地址被称为MAC地址。与DNS中毒一样,ARP毒化(poisoning) 是一种欺骗技术,也称为ARP欺骗,它在响应ARP请求时提供虚假信息。
但与DNS中毒不同的是,ARP毒化只在本地网络中起作用。通常情况下,系统会将所有流量发送到一个网关设备。当ARP欺骗成功时,受害者系统认为另一个系统是网关,并将所有流量发送到该系统。但是,这个系统实际上属于一个恶意的用户,他正在进行中间人攻击。
2.MAC泛洪(Mac flooding)
MAC flooding是另一种发生在第二层的攻击类型。网络交换机的职责之一是跟踪连接到该交换机上每个端口的系统的MAC地址。他们通过维护一个存储在交换机内存中的MAC地址表来实现这一目标。该表的大小是有限的,MAC泛洪攻击的目标是使MAC表不堪重负,这样它就不得不丢弃旧条目,为新条目腾出空间。 攻击者通过在一个系统上快速循环使用MAC地址来实现这一目标。一旦MAC表被淹没,对应MAC的条目现在已经从MAC表中消失了。因此,交换机不知道该用什么端口把流量送出去,只能将该流量以广播的形式发送到所有端口,这使得窃听者可以看到他们通常不会看到的流量。
交换机的端口安全(Security Port) 功能限制了一个交换机端口上可能使用的Mac地址的数量,并阻止了MAC flooding攻击。
五、网络地址欺骗(Network address spoofing)
网络地址很容易被任何对系统有管理权限的人篡改,所以不应该依赖它们来进行验证。攻击者可以同时修改一个系统的IP地址和MAC地址。ARP中毒攻击,将前往一个系统的流量重定向到不同的设备。这并不是唯一涉及MAC地址的攻击类型。攻击者也可能使用MAC欺骗攻击。
1.MAC欺骗攻击(MAC spoofing attacks)
MAC地址通常是由制造商分配给硬件的,所以许多人错误地认为它们不能被改变。但是,这与事实相差甚远。虽然分配给系统的默认MAC地址确实是由制造商创建的,但管理员可以通过正常的操作系统命令,使用一个称为MAC克隆的过程轻松地改变这个值。攻击者可能会这样做来冒充另一个系统的身份或参与MAC Flood攻击。
2.IP欺骗攻击(IP spoofing attacks)
IP欺骗攻击(IP spoofing attacks)和MAC欺骗攻击一样容易进行。任何对一个系统有管理权限的人都可以改变该系统的IP地址。然而,它们在真正的攻击中往往更难使用,因为很难重新配置网络以接收被欺骗的IP地址的返回流量。欺骗的IP地址经常被用于拒绝服务攻击,但它们通常不能用于双向通信。
3.反欺骗技术
网络安全专业人员可以部署各种反欺骗技术,以防止针对或来自其网络的欺骗攻击。反欺骗控制可以在路由器、防火墙或交换机上实施。
入站过滤(Ingress filtering) 可以观察所有进入的流量是否有欺骗的迹象,并阻止这些流量进入网络。例如,一个入口过滤器可能会监测外部入站流量的源地址是否与内部系统的地址相符。内部源地址不应该出现在来自内部网络以外的系统的流量上,所以它们的出现是欺骗的迹象。
出口过滤(Egress filtering) 监视出站流量中不属于本组织的源地址。如果有人用属于另一个网络的源地址从我们的网络向外发送数据包,该系统很可能从事欺骗活动。这可能是你网络上的一个恶意用户,但更有可能的是,这表明我们网络上的一个系统被入侵,并被用于拒绝服务攻击。
六、无线攻击(Wireless attacks)
1.针对加密技术的攻击
我们知道,在Wi-fi中,WEP是不安全的。现在,我们来进一步了解攻击者如何利用WEP网络。当我们建立一个新的WEP连接时,计算机和AP交换一个初始化向量或IV,以帮助建立连接。这个IV是在没有加密的情况下发送的,因为它是用来创建加密通道的。如果攻击者捕捉到足够多的不同初始化向量,他们就可以重建加密密钥。
WPA像WEP一样依赖于RC4加密算法。WEP的问题是,黑客长期监控网络,可以收集足够的明文信息来确定从未改变的加密密钥。WPA在WEP的基础上增加了一个新变化,即TKIP,加密密钥在网络上发送的每个数据包都会改变。这使得攻击者不可能收集大量用同一密钥加密的流量。那么,WPA是否安全?不幸的是,答案是否定的。攻击者已经发现了WPA使用的散列函数的问题,使其也不安全。因此,为了安全起见,如果你可以选择使用WPA2或WPA3。这些标准不使用TKIP,所以它们不容易受到这个问题的影响。研究人员尚未发现WPA2或3的任何重大安全漏洞。
2.针对WPS技术的攻击
另一个问题是,Wi-Fi protected setup或WPS的技术。WPS的目的是使用户能够轻松地将新设备连接到无线网络,特别是在家庭环境中。当使用Wi-Fi保护设置连接一个新设备时,用户有两个选择。他们可以在两台设备上按下WPS按钮,然后让它们自动建立连接,或者他们可以使用八位数的WPS Pin来建立连接。这可能听起来很安全。毕竟,有1100万个可能的Pin,要猜出所有的引脚需要一段时间。不幸的是,密码学家在WPS算法中发现了一个数学上的缺陷,使其很容易猜出密码。攻击者只需猜测11,000次就能确定WPS Pin。一旦有了密码,就可以很容易地确定网络的加密密钥,并获得该网络上的所有通信,真正的关键是我们不能改变设备上的WPS密码。现在,我们不会经常在商务类Wi-Fi接入点上发现WPS,但当你发现时,一定要禁用该技术。
七、传播性攻击(Propagation attacks)
无线网络的开放性使其成为盗取无线电波传播的完美攻击目标。攻击者可以简单地使用强大的天线,从空气中提取信号进行分析。如下是一些基于无线电波传播(Radio wave propagation)的一些无线攻击。
1.干扰攻击(Interference attacks)
Jamming and interference attacks试图拒绝用户对无线网络的合法访问。攻击者在这种攻击中并不试图进入网络本身或窃听通信。他们只是想阻止其他人使用该网络。在干扰攻击中,攻击者将一个强大的发射器带到无线网络附近,并广播一个非常强的信号,以压倒合法的无线接入点(WAPs)。这相当于把一个人放在一个拥挤的体育场里,要求他们与几英尺外的人进行对话。噪声压倒了对话。
2.驾驶攻击(Wardriving attacks)
在Wardriving attacks中,攻击者采用移动方式。他们使用一个强大的无线天线在附近行走或开车,并抓取他们可以捕捉到的关于该地区无线接入点的任何信息。他们可能会注意到开放的无线网络或那些使用弱WEP或WPA加密的网络。攻击者使用特殊的软件,自动捕捉这些信息,甚至将其与GPS数据联系起来,在地图上绘制。在驾车收集信息后,攻击者可以返回到他们想要利用脆弱网络的地区。
3.空中攻击(Warflying attacks)
Warflying attacks通过使用飞机、无人机或无人驾驶飞行器(UAV)来收集网络情报。让我们来看看几个工具。首先,这是一个叫做Wifi Explorer的工具。这是一个MAC工具,向我们显示附近无线网络的非常详细的信息,包括加密方式等。
这里还有一个叫wigle.net的网站。这是一个网站,人们们通过贡献信息来帮助对方了解一个地区存在哪些无线网络,放大后甚至能够看到对应的SSID。
这些是一些常见的工具,使收集无线网络的信息变得非常容易。这些技术的出现强调了使用强加密技术来保护无线网络安全的重要性。
八、防止流氓(Rogues)和双面恶魔攻击(Evil twin attacks)
1.流氓接入点(Rogue access points)
当有人将未经授权的无线接入点连接到企业网络上时,就会出现流氓接入点(Rogue access points)。这可能只是一个在办公室里有不良无线连接的员工购买了一个接入点,并将其插入网络插口以获得更好的信号,也黑客连接一个接入点,然后获得对网络的远程访问。
流氓接入点的巨大风险在于,它们可以绕过其他无线认证机制。如果我们花了几个小时配置我们的系统来使用WPA3,一个被配置为避免加密的流氓接入点可以迅速绕过所有这些。任何连接到流氓AP的人都可以不受限制地访问我们的网络。
流氓接入点带来的第二个风险是干扰。可用的Wifi通道数量有限,流氓AP可以迅速干扰合法的无线使用。IT人员应该监测他们的建筑物和网络是否存在流氓接入点,并在检测到它们时迅速将其关闭。可以通过如下的方式帮助实现这一目标:首先,企业级无线网络通常有内置的无线入侵检测系统(Wireless intrusion detection systems)。这些网络的接入点可以识别该地区的未知接入点。它们还可以通过三角测量法大致了解流氓接入点的位置。从三个或更多的合法接入点读取信号强度和方向,可以很好地了解到流氓的大致位置。应对该位置的IT人员可以使用手持设备来确定流氓设备的位置,并将其与网络断开。
2.双面恶魔攻击(Evil twin attacks)
黑客用一个合法网络的SSID设置了一个假的接入点。然后他们引诱毫无戒心的用户,当他们在附近时自动连接到该网络。
由于黑客控制了网络,他们可以使用DNS中毒和类似的策略,将用户重定向到钓鱼网站。如果攻击者使用非常常见的SSID,而这些SSID已经被配置为自动连接,那么进行Evil twin attacks就很容易。攻击者可以使用被称为Karma工具包的软件自动进行Evil twin attacks。Karma搜索该地区的合法网络,创建一个恶意的孪生网络,然后建立假网站,从恶意的孪生网络的用户那里获取证书。
九、解除关联攻击(Disassociation attacks)
许多针对无线加密的攻击需要攻击者从无线客户端收集信息。解除关联攻击加快了这个耗时的过程,也可能被用于针对无线网络的拒绝服务攻击。我们知道,针对WEP和WPA的攻击需要攻击者从大量的无线客户端认证尝试中收集信息。通常情况下,一旦客户端连接到一个网络,它就会在很长一段时间内继续使用该网络而不重新认证。例如,一个客户可能每小时只重新认证一次或两次。在一个低流量的网络中,这意味着在攻击者能够收集到足够的信息来进行攻击之前,可能需要相当长的时间。
Wi-Fi标准为接入点提供了一种立即断开设备与网络连接的方法。接入点可以向目标客户发送一个特殊的帧,称解除认证帧(Deauthentication frame),通知客户它已经与网络断开联系,如果想要继续访问,必须重新连接并重新认证。这个解除认证帧是由接入点(AP)发送给客户端的。因此,它带有接入点的源MAC地址和客户端的目标MAC地址。下面是一个合法的解除认证帧的样子:
现在,攻击者可以利用这种解除关联的能力来迫使网络客户重新认证。他们通过发送一个欺骗性的数据帧来做到这一点,该数据帧使用接入点的MAC地址作为源地址,使用客户端的MAC地址作为目标地址。当客户端收到欺骗的帧时,它认为它来自接入点,然后断开与Wi-Fi网络的连接。然后,系统可能试图通过对网络的重新认证来重新建立连接。
攻击者可以出于两个目的多次重复这种分离攻击。首先,该攻击可能被用来收集信息,以便对无线网络进行加密攻击。其次,如果快速重复,该攻击可能具有简单地阻止用户成功访问无线网络的效果。
十、了解蓝牙(Bluetooth)和NFC攻击
今天的智能手机将近场通信技术(Near Field Communication)用于各种各样的用途。这种短程无线电通信方法允许使用耳机、移动支付、外部扬声器、键盘和其他各种用途。然而,与任何技术一样,NFC通信的使用为攻击者提供了另一种利用安全漏洞的途径。NFC通信覆盖的范围非常短,它们被设计用来处理设备相距30到50英尺的情况。而蓝牙是最常见的NFC技术。大多数人都熟悉使用蓝牙来连接智能手机和汽车音响系统、外部扬声器和耳机。NFC通信非常有用,但它们也可能成为安全漏洞的来源。
当攻击者使用蓝牙技术直接向设备发送垃圾信息时,就会发生蓝牙劫持攻击(Bluejacking attacks)。通常,他们试图说服用户访问一个网站或采取一些其他行动,从而照成更高级的攻击。现实情况是,蓝牙劫持攻击是一个过时的概念,它们今天很少见。
蓝牙漏洞攻击(Bluesnarfing attacks) 在旧的蓝牙实现中是可能的,攻击者能够在受害者设备和他们自己的设备之间强制配对,然后利用这种配对从设备抢走联系人和其他信息。攻击者还可以监控设备上的通信。我们可以做一些简单的事情来提高NFC的安全性:
- 首先,如果我们不使用设备上的NFC功能,就禁用它们;
- 第二,定期对设备进行固件更新和操作系统更新。如果出现新的NFC漏洞,应用补丁通常是纠正这些漏洞的最快方法;
- 最后,我们需要了解自己是如何使用NFC技术的,并观察是否有异常活动。
十一、RFID安全
无线电频率识别(Radio frequency identification)或RFID芯片使组织能够实现各种各样的商业目标。RFID的工作原理是在各种各样的设备中嵌入小芯片。当一个RFID芯片接近一个RFID扫描仪时,该芯片就会激活并向该扫描仪发送信息。现在有许多RFID技术的应用,RFID被企业和消费者广泛使用。例如,许多国家发行的护照现在都含有RFID芯片,允许边防人员访问有关护照持有人的数字信息;许多城市使用的交通卡和许多信用卡一样都使用了RFID技术;企业在其供应链中使用RFID来跟踪商品在仓库、运输机制和商店中的流动,等等。
但是,RFID在企业和消费者中都引入了安全和隐私问题。企业必须确保他们部署的RFID技术使用足够的加密和认证技术,以防止攻击者伪造设备。例如,如果有人能生成一个假的收费通行证,他们就能通过收费站,并将他们的旅行记入别人的账户。消费者不仅希望确信没有人能够进入他们的账户,而且还应该确信他们的隐私得到保护。例如,攻击者可能在没有需消费者的许可的情况下,扫描他们携带的RFID芯片,以检测他们在某一地区的存在。如果攻击者扫描的是消费者根本不知道自己拥有的RFID芯片,如制造商嵌入在衣服或书中的标签,这就更麻烦了。RFID仍然是一个值得关注的新兴领域,安全专家应确保他们解决安全和隐私问题,并紧跟这一领域的新技术和法规发展。
以上是关于Security+ 学习笔记44 网络攻击的主要内容,如果未能解决你的问题,请参考以下文章