网络攻击基本过程

网络攻击基本过程何路helu@

2目标信息收集攻击源隐藏弱点挖掘掌握控制权攻击行为隐藏实施目标攻击开辟后门攻击痕迹清除

攻击基本过程网络攻击的基本过程攻击身份和位置隐藏：隐藏网络攻击者的身份以及主机的位置，隐藏的主机位置使得系统管理无法追踪；目标系统信息收集：确定攻击目标并收集目标系统的有关信息；弱点信息挖掘分析：从收集到的目标信息中提取可使用的漏洞信息；目标使用权限获取：获取目标系统的普通或者特权帐户的权限；攻击行为隐蔽：隐蔽在目标系统中的操作，防止攻击行为被发现；攻击实施：实施攻击或者以目标系统为跳板向其他系统发起新的攻击；开辟后面：在目标系统中开辟后门，方便以后的入侵；攻击痕迹清除：清除攻击痕迹，逃避攻击取证。3攻击身份和位置隐藏攻击者通常应用如下技术隐藏攻击的IP地址或域名：利用被侵入的主机作为跳板，如利用配置不当的Proxy作为跳板；应用电话转接技术隐蔽攻击者身份，如利用电话的转接服务连接ISP盗用他人的帐号上网通过免费代理网关实施攻击；伪造IP地址假冒用户帐号等4目标系统信息收集在侵入系统的过程中，收集信息是最重要的步骤。通过信息收集，从中发现有利用价值的东西,这些信息暴露出系统的安全脆弱性或潜在入口。攻击者对系统了解得越多，就越可能达到自己的目的，同时，落网的可能性就越小。攻击者通常使用端口扫描工具或者通过服务信息、电话号码簿、电子邮件帐号、网页等获取信息。目标信息收集工具：扫描器之王-NMAP漏洞检查利器－NESSUS大范围扫描工具－X-SCAN常用扫描工具－SHADOWSCAN、CIS、SUPERSCAN和HOLESCAN等。Neotrc20－图形化的Trace杂项工具,生动地显示出各节点和路由5弱点信息的挖掘与分析击者收集到大量目标系统的信息后，开始从中挖掘可用于攻击目标的弱点信息。常用的弱点挖掘技术方法如下：系统或者应用服务软件的漏洞主机信任关系漏洞目标网络的管理漏洞；通信协议漏洞网络业务系统漏洞6漏洞挖掘工具实例：SNIFFER工具：常见免费的SNIFFER有tcpdump、Windump、SNIFFIT、NETXRAY口令窃听工具：dsniff密码破解工具：WINDOWS密码导出工具——PWDDUMP，WINDOWS密码破解工具—L0phtCrack，大众型破解2000/Nt的小工具－－NtKill其他工具：IDA、W32dasm－优秀的反汇编工具Softice、Trw2000－优秀的调试工具7目标使用权限获取最终的目标是获得超级用户权限——对目标系统的绝对控制。获得系统管理员权限通常有以下途径：专门针对root用户的口令进行破解。利用系统管理上的漏洞，如错误的文件许可权，错误的系统配置等。令系统管理员运行特洛伊木马程序，截获LOGIN口令等。窃听管理员口令。8攻击行为隐蔽进入系统之后，攻击者要作的第一件事就是隐藏行踪，避免安全管理发现或IDS发现.通常使用下述技术来隐藏行踪：连接隐藏：如冒充其他用户，修改LOGNAME环境变量、修改登录日志文件、使用IPSPOOF技术等。进程隐藏：如使用重定向技术减少ps给出的信息量、用特洛伊木马代替ps程序等。文件隐藏：如利用字符串的相似来麻痹系统管理员，或修改文件属性使普通显示方法无法看到。利用操作系统可加载模块特性，隐藏攻击时所产生的信息9实施攻击进行非法活动或者以目标系统为跳板向其他系统发起新的攻击。不同的攻击者有不同的攻击目标。一般来说，攻击目标有以下几个方面：1）信息访问和破坏：信息经常成为攻击的目标。通过对信息的访问，他们可以使用、破坏或篡改信息。攻击者也可以通过拥有信息来获取利益，例如对专有信息、信用卡信息、个人信息和政府机密信息的利用等。2）资源利用：系统资源可能是系统成为攻击目标的原因所在。这些资源可能是独一无二的，例如黑客希望使用专业硬件或专用外设；资源也可能是非常丰富，例如，高速的计算机系统或具备高速网络的系统经常成为黑客的目标。黑客可能利用这些资源来实现自己的企图。攻击其他被信任的主机和网络；3）系统破坏：修改或删除重要数据，删除用户帐号，停止网络服务等。10开辟后门一次成功的入侵通常要耗费攻击者大量的时间与资源，因此攻击者在退出系统之前会在系统中制造一些后门，方便下次入侵。攻击者开辟后门时通常会应用以下方法：放宽文件许可权重新开放不安全的服务，如REXD、TFTP等。修改系统的配置，如系统启动文件、网络服务配置文件等。替换系统的共享文件。修改系统的源代码，安装各种特洛伊木马；安装木马或者嗅探器；建立隐蔽信道；11攻击痕迹清除加固攻击“根据地”切断攻击追踪链常用的方法有：篡改日志文件中的审计信息；改变系统时间造成日志文件数据紊乱；删除或者停止审计服务进程；干扰入侵检测系统的正常进行；修改完整性检测标签等。12攻击者能否成功攻破一个系统，取决于多方面的因素。一方面，攻击者在实施攻击之前要先摸清目标的防范措施，挖掘目标系统的脆弱点，乘虚而入，攻破系统。另一方面，网络的安全防范不仅要从正面去进行防御，还要从攻击者的角度出发，设计更加安全的保障系统13攻击趋势一：更加自动化自动化的攻击通常包含四个阶段扫描潜在有漏洞的机器。威胁攻击有漏洞的主机。传播攻击。攻击工具的并发管理。趋势二：攻击工具的混和反检测动态的行为早期的攻击工具按照预定好的单一顺序执行攻击步骤。攻击工具的模块化不像早期的攻击实现了一种类型的攻击，现在的工具可以通过升级或者替换工具的某个部分来快速的改变。趋势三：漏洞更新更快0DayExploit的概念PrivateExploit和Underground的交易行为自动化分析工具的出现趋势四：防火墙攻击防火墙不是网络安全的最终解决方案；移动代码，例如ActiveX控件，java&javascript等。安全软件自身也存在着漏洞趋势五：被动攻击的增加2005年微软公布了60多个IE浏览器的漏洞。Symantec网络安全分析报告：攻击者的注意力更多地转向Web以及其它客户端程序。SANSTop20:20类中有8大类是与客户端程序漏洞相关的。趋势六：趋于非对称性因为攻击技术的进步，单个的攻击者可以很容易的利用大量的分布式系统对一台主机发起破坏性的攻击。由于攻击工具的自动配置和组合管理的提高，威胁的非对称本质将继续增加。趋势七：基础设施的威胁分布式拒绝服务蠕虫Internet域名服务器的攻击攻击或者利用路由器21网络代理跳板当从本地入侵其他主机的时候，自己的IP会暴露给对方。通过将某一台主机设置为代理，通过该主机再入侵其他主机，这样就会留下代理的IP地址，这样就可以有效的保护自己的安全。二级代理的基本结构如图所示。22清除日志电影中通常会出现这样的场景，当有黑客入侵计算机系统的时候，需要全楼停电来捉住黑客，为什么停电就可以逮住黑客呢？这是因为当黑客入侵系