1、www. 第二章 安全 入侵原理 常见的网络攻击手段 攻击类型概述(一 ) 遍历服务器开放的通信端口,确认端口提供的服务类型,针对服务的漏洞进行攻击。 在电脑中,需要各种服务以支持各种功能,也可以手动开启或关闭某些服务以达到相应的功能。 银行平面图 服务类型漏洞 攻击类型概述(二) Web类型漏洞 通常是指网站程序上的漏洞,可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞,常见的 WEB漏洞有 Sql注入、 Xss漏洞、上传漏洞等 攻击类型概述(二) 服务类型漏洞 攻击类型概述(三) 因服务器或客户端配置缺乏安全规范,导致机密资料外泄或被入侵。 常见的非安全配置: 1.密码过于简单
2、 2.会话没有结束时间 3.会话非加密传输 攻击类型概述(三) 什么是网络攻击 网络攻击: 网络攻击者利用目前网络通信协议(如TCP/IP协议)自身存在的或因配置不当而产生的安全漏洞、用户使用的操作系统内在缺陷或者用户使用的程序语言本身所具有的安全隐患等,通过使用网络命令、从 Internet上下载的专用软件或者攻击者自己编写的软件,非法进入本地或远程用户主机系统,非法获得、修改、删除用户系统的信息以及在用户系统上添加垃圾、色情或者有害信息(如特洛伊木马)等一系列过程的总称。 常见的网络攻击手段 探测类攻击 拒绝服务类攻击 破坏类攻击 控制 类攻击 欺骗 类攻击 注意 : 在一次网络攻击中,并
3、非只使用上述六种攻击手段中的某一种,而是多种攻击手段相综合,取长补短,发挥各自不同的作用。 探测类攻击 信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息,为下一步入侵提供帮助。 主要包括:扫描技术、体系结构刺探、系统信息服务收集等。 目前正在发展更先进的网络无踪迹信息探测技术。 网络安全扫描技术: 网络安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。它既可用于对本地网络进行安全增强,也可被网络攻击者用来进行网络攻击。 漏洞扫描 拒绝服务类攻击 拒绝服务类攻击 企图通过强制占有信道资源、网络连接资源、存储空间资源,使服务器崩溃或资源耗尽无法
4、对外继续提供服务。 拒绝服务攻击( DoS, Denial of Service)是典型 的拒绝服务类攻击 ,它是一类个人或多人利用 Internet协议组的某些工具,拒绝合法用户对目标系统(如服务器)和信息的合法访问的攻击。 常见的方法 : (不管系统是否存在漏洞) TCP SYN洪泛攻击、 Land攻击、 Smurf攻击、电子邮件炸弹等多种方式 。 利用系统的漏洞实现 Internet DDOS攻击的过程 瘫痪最终服务器 阻塞沿途带宽 DNS 攻击基础网络设施 BOT 命令 命令控制 合法使用者 DoS Bot (受感染机器 ) DoS Bot (受感染机器 ) DoS Bot (受感染机
5、器 ) DoS Bot (受感染机器 ) 漏洞类型 DDOS攻击 破坏类攻击 破坏类攻击指对目标机器的各种数据与软件实施破坏的一类攻击,包括计算机病毒、逻辑炸弹等攻击手段。 逻辑炸弹与计算机 病毒 的主要区别: 逻辑炸弹 没有感染能力,它不会自动传播到其他软件内。 注意: 由于我国使用的大多数系统都是国外进口的,其中是否存在逻辑炸弹,应该保持一定的警惕。对于机要部门中的计算机系统,应该以使用自己开发的软件为主。 控制类攻击 控制型攻击是一类试图获得对目标机器控制权的攻击。 最常见的三种:口令攻击、特洛伊木马、缓冲区溢出攻击。 口令截获与破解 仍然是最有效的口令攻击手段,进一步的发展应该是研制功
6、能更强的口令破解程序; 木马技术 目前着重研究更新的隐藏技术和秘密信道技术; 缓冲区溢出 是一种常用的攻击技术,早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击,现在研究制造缓冲区溢出。 服务器网马 在数据库中插入一句话木马 如 或者上传网页木马 欺骗类攻击 欺骗类攻击包括 IP欺骗和假消息攻击,前一种通过冒充合法网络主机骗取敏感信息,后一种攻击主要是通过配制或设置一些假信息来实施欺骗攻击。 主要包括: ARP缓存虚构、 DNS高速缓存污染、伪造电子邮件等。 入侵的过程 扫描 使用工具(服务漏洞类型和 web漏洞类型) 手工试探(经验) 扫描 入侵 远控 恶意行为 攻击者 入侵的过程 入侵
7、手工验证 工具攻击 扫描 入侵 远控 恶意行为 攻击者 入侵的过程 远控 账号密码 新建用户 扫描 入侵 远控 恶意行为 攻击者 入侵的过程 恶意行为 木马病毒 向外打流量( DDoS) 监听窃取文件 扫描 入侵 远控 恶意行为 攻击者 入侵的过程 恶意行为 木马病毒 向外打流量( DDoS) 监听窃取文件 扫描 入侵 远控 恶意行为 攻击者 DDOS攻击原理 DOS攻击概念 DoS Denial of Service的简称,拒绝服务。属于攻击早期形态,由于攻击者带宽、 CPU等资源不足,较难形成威胁。如果是目标有明显漏洞,不需要僵尸网络,攻击成本较低。 DDoS 分布式拒绝服务 (Distr
8、ibuted Denial of Service)。当前主流攻击手段,带宽消耗、主机消耗、打漏洞都可以 。 福建 金融企业 广东 在线交易 这些年的 DDoS攻击大事件 谁会是下一个攻击案例的主角? 浙江 门户网站 海外 未知业务 2016年 1月末,春节来临之际,福建多家金融企业遭受海外黑客攻击威胁。主要为脉冲式攻击,辐射客户面积广泛。 2015年 12月,浙江互联网大会举办期间,浙江某门户网站在凌晨遭到 10G以上的DDoS攻击,持续时间长达 1个多小时。 2015年 10月,广东某在线交易平台遭到攻击组织 DD4BC邮件勒索,受到持续时间长达 3个小时的混个攻击及反射攻击 2014年,
9、Cloudflare的客户遭受 400G反射攻击,刷新了 DDoS单次攻击的最高峰值。攻击源来自全球开放的NTP服务器。 DDoS攻击的分类和特点 不是只有大流量才叫 DDoS 攻击者利用发包机或攻击工具等手段构造大流量攻击,通过消耗带宽资源和路由过载影响网络连接。常见攻击类型有 SYN flood、 UDP flood和 ACK flood。 带宽消耗型 通过控制僵尸主机对目标业务和应用发起请求,模拟正常客户端行为,消耗主机资源使服务器运行缓慢或过载。常见攻击类型有 HTTP GET Flood和 DNS Flood。 资源消耗型 结合目标业务的特征发起大量请求,利用受害主机的业务逻辑缺陷造成服务器性能骤降,无法响应所有访问请求。例如在网络购物车中添加过多的产品造成异常。 应用利用型 带宽消耗型攻击成本低,占 DDoS攻击数量的 70%以上;资源消耗型攻击操作技术难度大,是攻防双方之间的绝对较量。 1 2 3 DDoS攻击的发展趋势 魔高一尺,道高一丈 流量大 频次高 复杂化 产业化 2015年全年 DDoS攻击数量为 179,298次,平均 20+次 /小时。 DOS种类 应用层 垃圾邮件、病毒邮件 DNS Flood 网络层 SYN Flood、 ICMP Flood 伪造 链路层 ARP 伪造报文 物理层 直接线路破坏 电磁干扰
