第1章-网络攻击概述

第一章网络攻击概述2023/2/5网络攻防技术2本章主要内容1.1网络安全威胁1.2网络攻击技术1.3网络攻击的发展趋势一、网络安全威胁事件凯文•米特尼克（KevinMitnick）入侵多家公司的内部网络，窃取了大量信息资产和源代码，造成了数百万美元的损失。2023/2/5网络攻防技术3一、网络安全威胁事件1988年，Morris蠕虫爆发，感染约6000台计算机，造成数千万美元的损失。2023/2/5网络攻防技术4一、网络安全威胁事件1999年，梅丽莎病毒破坏了世界上300多家公司的计算机系统，造成近4亿美元的损失，成为首个具有全球破坏力的病毒。2023/2/5网络攻防技术5一、网络安全威胁事件2010年，针对伊朗核设施的震网病毒（Stuxnet）被检测并曝光，成为首个被公开披露的武器级网络攻击病毒。2023/2/5网络攻防技术6一、网络安全威胁事件2013年，前美国中央情报局职员E.J.斯诺登披露了美国国家安全局的“棱镜”监听项目，公开了大量针对实时通信和网络存储的监听窃密技术与计划。2023/2/5网络攻防技术7一、网络安全威胁事件2023/2/5网络攻防技术8一、网络安全威胁事件2016年8月，黑客组织TheShadowBrokers陆续以多种形式在互联网公开拍卖据称来自NSA的网络攻击工具集，其中的永恒之蓝漏洞直接导致了17年勒索病毒“WannaCry”全球爆发。2023/2/5网络攻防技术9一、网络安全威胁事件网络安全威胁的三个时期：“游侠”期：少数“黑客”影响“未成年”互联网安全；“海盗”期：网络“黑产”兴起，犯罪团伙利用网络敛财；国家间对抗期：网络攻击成本提高，国家层面的对抗浮出水面2023/2/5网络攻防技术10二、网络安全威胁成因1、技术因素协议缺陷：网络协议缺乏认证、加密等基本的安全特性；软件漏洞：软件规模庞大，复杂度提高，开发者安全知识缺乏；策略弱点：安全需求与应用需求不相一致，安全策略设计不当；硬件漏洞：硬件设计软件化使得软件漏洞同样出现在硬件之中2023/2/5网络攻防技术11二、网络安全威胁成因2、人为因素攻击者：成分复杂，多数掌握着丰富的攻击资源；防御者：广大的网络应用人群缺少安全知识，专业人员数量、质量尚难满足对安全人才的迫切需求2023/2/5网络攻防技术121.2网络攻击技术网络攻击是指利用安全缺陷或不当配置对网络信息系统的硬件、软件或通信协议进行攻击，损害网络信息系统的完整性、可用性、机密性和抗抵赖性，导致被攻击信息系统敏感信息泄露、非授权访问、服务质量下降等后果的攻击行为。网络：狭义上讲是计算机网络，广义上讲则是网络空间2023/2/5网络攻防技术13一、攻击分类网络攻击的形式与种类很多：DDoSPhishing&Pharming蠕虫木马SQLInjection跨站脚本（XSS）ARP欺骗、IP欺骗、DNS欺骗……一、攻击分类日常对网络攻击的分类并不严谨，学术上攻击分类从入侵检测需求出发，要求遵循以下标准：互斥性（分类类别不应重叠）完备性（覆盖所有可能的攻击）非二义性（类别划分清晰）可重复性（对一个样本多次分类结果一致）可接受性（符合逻辑和直觉）实用性（可用于深入研究和调查）AmorosoEG,Fundamentalsofcomputersecuritytechnology.EnglewoodCliffs(NewJersey):PrenticeHall,1994.一、攻击分类从攻击者的角度，按照攻击发生时，攻击者与被攻击者之间的交互关系进行分类，可以将网络攻击分为：物理攻击（LocalAttack）主动攻击（Server-sideAttack）被动攻击（Client-sideAttack）中间人攻击（Man-in-MiddleAttack）本地攻击（LocalAttack）指攻击者通过实际接触被攻击的主机实施的各种攻击方法主动攻击（Server-sideAttack）指攻击者利用Web、FTP、Telnet等开放网络服务对目标实施的各种攻击。攻击者服务器被动攻击（Client-sideAttack）攻击者利用浏览器、邮件接收程序、文字处理程序等客户端应用程序漏洞或系统用户弱点，对目标实施的各种攻击。用户恶意服务器中间人攻击（Man-in-MiddleAttack）指攻击者处于被攻击主机的某个网络应用的中间人位置，进行数据窃听、破坏或篡改等攻击攻击者服务器客户程序二、攻击步骤与方法InformationGatheringExploitControl LanPenetrationClearing 信息收集权限获取安装后门扩大影响清除痕迹信息收集任务与目的：尽可能多地收集目标的相关信息，为后续的“精确”攻击建立基础。主要方法：主动攻击利用公开信息服务主机扫描与端口扫描操作系统探测与应用程序类型识别被动攻击客户端应用的有关信息用户的有关信息获取权限任务与目的：获取目标系统的读、写、执行等权限。主要方法：主动攻击口令攻击缓冲区溢出脚本攻击……被动攻击特洛伊木马使用邮件、IM等发送恶意链接….,,安装后门任务与目的：在目标系统中安装后门程序，以更加方便、更加隐蔽的方式对目标系统进行操控。主要方法：主机控制木马Web服务控制木马扩大影响任务与目的：以目标系统为“跳板”，对目标所属网络的其它主机进行攻击，最大程度地扩大攻击的效果。主要方法：可使用远程攻击主机的所有攻击方式还可使用局域网内部攻击所特有的嗅探、假消息攻击等方法清除痕迹任务与目的：清除攻击的痕迹，以尽可能长久地对目标进行控制，并防止被识别、追踪。主要方法：Rootkit隐藏系统安全日志清除应用程序日志清除二、攻击步骤与方法信息收集获取权限安装后门扩大影响清除痕迹其它攻击模型AttackLifecycleModel其它攻击模型APT’sKillingChainModel侦察跟踪武器构建载荷投递突防利用安装植入通信控制达成目标洛克希德·马丁公司的“杀伤链”模型Intelligence-DrivenComputerNetworkDefenseInformedbyAnalysisofAdversaryCampaignsandIntrusionKillChains,LockheedMartinCorporation1.3网络攻击的发展趋势掌握着更多资源的组织、团体试图通过网络攻击谋取利益时，网络攻击涉及的领域必然会越来越多，网络攻击技术必然会越来越复杂，网络攻防的对抗必然会越来越激烈。2023/2/5网络攻防技术30一、攻击影响日益深远网络成为现代社会不可或缺的工具，网络攻击的影响力也将愈加重要。Morris蠕虫的爆发造成了当时互联网的瘫痪2003年冲击波、2004年震荡波的爆发，给普通网民带来深刻感受2016年Mirai蠕虫使得美国东海岸地区遭受大面积网络瘫痪2016年的美国大选，黑客组织攻入竞选党派的办公网络、发布敏感消息或文件，“影响”大选局势2023/2/5网络攻防技术31二、攻击领域不断拓展物联网技术的飞速发展，使我们更快地进入一个万物互联的时代，网络攻击技术在这些新领域中也将获得新的舞台。2010年，“震网”病毒成功攻击了伊朗的布什尔核电站的离心机2017年

BlackHat大会上，研究者分享了远程入侵特斯拉汽车的技术细节针对无人机、刷卡机、智能家电、智能开关等各种联网设备的攻击不断被研究者呈现在大众面前2023/2/5网络攻防技术32三、攻击技术愈加精细从普通“黑客”到APT组织，攻击者的资源也越来越多，攻击工具的针对性越来越强，新的攻击技术呈现出精细化的趋势。2015年泄露的HackingTeam“武器库”包含多个零日漏洞、手机木马、固件木马等2016年泄露的NSA“武器库”包含了多个可攻击操作系统、企业级防火墙、防病毒软件的零日工具，2017年在全球范围内爆发的WannaCry勒索病毒，就是借鉴了其中的“永恒之蓝”（EternalBlue）2023/2/5网络攻防技术33本章小结深入了解网络攻击的方法和技术，是实施有效防范的前提和基础。骇客、网络犯罪分子、情报机构等均会试图通过网络攻击来达到其目的。有预谋的网络攻击行为往往体现出计划性和系统性的特点，通常可以分为信息收集