网络攻击的概念与发展

网络攻击的概念与发展第1页，共48页，2023年，2月20日，星期二基本内容网络攻击的相关概念攻击的目标和分类网络攻击的基本过程攻击技术的演变与发展趋势第2页，共48页，2023年，2月20日，星期二重点与难点重点：网络攻击的发展变化趋势；网络攻击的目标与分类；网络攻击的基本步骤难点：网络攻击的基本步骤第3页，共48页，2023年，2月20日，星期二网络攻击的发展Internet的飞速发展和普及，促进了网络信息系统的应用和发展。社会信息化、信息网络化。信息化和网络化是一把双刃剑，对网络的依赖性越大，所产生的风险也越大由于网络中的信息具有共享和易于扩散等特性，它在存储、传输和使用过程中极易受到各种威胁第4页，共48页，2023年，2月20日，星期二1989－2006年的连入网的主机第5页，共48页，2023年，2月20日，星期二中国计算机网络的发展趋势第6页，共48页，2023年，2月20日，星期二第7页，共48页，2023年，2月20日，星期二第8页，共48页，2023年，2月20日，星期二主要的安全事件及其影响1988年著名的“Internet蠕虫事件”使得6000余台计算机的运行受到影响。1998年2月份，黑客利用SolarSunrise弱点入侵美国国防部网络，攻击相关系统超过500台计算机，而攻击者只是采用了中等复杂工具。2000年春季黑客分布式拒绝服务攻击（DDOS）大型网站，导致大型ISP服务机构Yahoo网络服务瘫痪。2001年8月，“红色代码”蠕虫利用微软web服务器IIS6.0或5.0中index服务的安全缺陷，攻破目的机器，并通过自动扫描感染方式传播蠕虫，已在互联网上大规模泛滥。2003年，“冲击波”蠕虫的破坏力就更大，安全专家BruceSchneier撰文分析认为，美国2003年8月份大停电与“冲击波蠕虫”相关。第9页，共48页，2023年，2月20日，星期二信息安全与国家安全兰德公司信息安全专家认为，“信息战没有前线，潜在的战场是一切联网系统可以访问的地方――如电力网、电话交换网。总体来说，美国本土不再是能提供逃避外部攻击的避难所。”

信息攻击方法用于军事对抗领域，“信息战”（informationwar）成为新的军事对抗模式，“数字空间”将变成新战场。计算机病毒和网络黑客攻击技术将会用作军事武器

第10页，共48页，2023年，2月20日，星期二3网络攻击的目标和分类1网络攻击目标2网络攻击的分类方法第11页，共48页，2023年，2月20日，星期二网络信息的保密性网络中需要保密的信息包括：网络重要配置文件、用户个人信息、商业数据等。常见的攻击方法：网络信息拦截Tempest技术社交工程信息重定向数据推理网络监听邮件病毒：“梅丽莎”

第12页，共48页，2023年，2月20日，星期二网络信息的完整性未授权地修改信息。常见的针对网络信息完整性的攻击方法：身份认证攻击会话劫持程序异常输入，最常用的是缓冲区溢出攻击方法第13页，共48页，2023年，2月20日，星期二对网络的可用性进行攻击拒绝服务攻击常见的拒绝服务攻击方法有：消耗网络带宽：攻击者有意制造大量的数据包或传输大量文件以占据有限的网络带宽，使合法的用户无法正常使用网络资源。消耗磁盘空间：如产生大量的邮件信息、故意制造出错的log信息、在磁盘上制造垃圾文件、在匿名ftp站点的公开目录下或者网上邻居的共享区域下放置垃圾文件。消耗CPU资源和内存资源。第14页，共48页，2023年，2月20日，星期二网络的可控性利用网络或者系统的弱点，使网络失去可控性。常见的针对网络运行可控性的攻击方法有：网络蠕虫垃圾邮件破坏域名服务数据第15页，共48页，2023年，2月20日，星期二网络攻击的分类方法根据攻击术语分类基于攻击种类列表基于攻击效果分类基于弱点和攻击者的攻击分类基于攻击过程的分类Cert组织的攻击分类中科院的分类方法第16页，共48页，2023年，2月20日，星期二3.2网络攻击的分类方法1．基于攻击术语分类Cohen给出了下面的例子：特洛伊木马制造漏洞伪造网络包监测伪造人名PBX漏洞监测网络基础结构旧磁盘信息电子邮件溢出输入溢出时间炸弹悬挂进程刺探保护措施伪造访问社交工程非法值插入口令猜测邮件欺骗包插入注册欺骗扰乱数据制造失效事件计算机病毒网络服务攻击无效调用组合攻击第17页，共48页，2023年，2月20日，星期二3.2网络攻击的分类方法1．基于攻击术语分类Icove给出另一种攻击术语列表：窃听潜入电磁泄漏拒绝服务口令窃听扫描伪造软件盗版未授权复制数据超越特权流量分析陷门隐蔽信道病毒蠕虫会话拦截时间戳攻击隧道特洛伊木马IP欺骗逻辑炸弹数据扰乱第18页，共48页，2023年，2月20日，星期二3.2网络攻击的分类方法2.基于攻击种类列表Cheswick和Bellovin给出了下述攻击分类方法，将攻击分为如下7种类型：窃取口令、社会工程、错误和后门、认证失效、协议失效、信息泄漏、拒绝服务。第19页，共48页，2023年，2月20日，星期二3.2网络攻击的分类方法3．基于攻击效果分类Russel和Gangemi把攻击分为：针对秘密和机密性的攻击；针对准确性、完整性和授权性的攻击；针对可用性的攻击。第20页，共48页，2023年，2月20日，星期二3.2网络攻击的分类方法4．基于弱点和攻击者的攻击分类攻击者攻击效果操作员程序员数据录入员内部用户外部用户物理破坏电源短路信息破坏删除磁盘恶意软件恶意软件数据欺骗恶意软件伪造数据入口窃取服务窃取用户帐号未授权操作拨号浏览信息窃取介质未授权操作拨号窃取信息未授权操作访问拨号第21页，共48页，2023年，2月20日，星期二3.2网络攻击的分类方法5．基于攻击过程的分类Stallings基于攻击过程，将攻击分为以下四类：中断：中断发送方与接收方之间的通信；拦截侦听：作为第三者，截获或者侦听通信内容；篡改：攻击者截断通信，将截获的数据更改之后交付给接收者，接收者认为窜改后的信息就是发送者的原始信息。伪造：攻击者伪造信息，将其以原始发送者的身份发送给接收者。第22页，共48页，2023年，2月20日，星期二3.2网络攻击的分类方法6．Cert组织的攻击分类缓冲区溢出文件非安全处理参数检查不完全非安全程序特征特洛伊木马弱认证或加密配置错误程序实现错误第23页，共48页，2023年，2月20日，星期二3.2网络攻击的分类方法7．中科院的分类方法中科院信息安全研究中心分析了网络攻击的过程，从攻击者、攻击工具、对目标网络和系统进行的访问、达到的攻击效果、攻击者的预期目标等多个方面，给出了一种多维度攻击方法分类：第24页，共48页，2023年，2月20日，星期二3.2网络攻击的分类方法7．中科院的分类方法（1）攻击者黑客：攻击的动机与目的是为了表现自己或获取访问权限；间谍：攻击的动机与目的是获取情报信息；恐怖主义者：攻击的动机与目的是获取恐怖主义集团的利益；公司职员：攻击的动机与目的是获取经济利益；职业犯罪分子：攻击的动机与目的是是获取个人利益；破坏者：攻击的动机与目的是破坏目标网络和系统。第25页，共48页，2023年，2月20日，星期二3.2网络攻击的分类方法7．中科院的分类方法（2）攻击访问：一般的，攻击过程主要依赖于非法访问和使用目标网络的资源，即未授权访问或未授权使用目标系统的资源。攻击者能够进行未授权访问和使用系统资源的前提是目标网络和系统存在安全弱点，包括设计弱点、实现弱点、和配置弱点。进入目标系统之后，攻击者就开始执行相关命令，如修改文件、传送数据等，以实施各类不同的攻击。第26页，共48页，2023年，2月20日，星期二3.2网络攻击的分类方法7．中科院的分类方法（3）攻击效果破坏信息：删除或修改系统中存储的信息或者网络中传送的信息；信息泄密：窃取或公布敏感信息；窃取服务：未授权使用计算机或网络服务；拒绝服务：干扰系统和网络的正常服务，降低系统和网络的性能，甚至使系统和网络崩溃。第27页，共48页，2023年，2月20日，星期二3.2网络攻击的分类方法7．中科院的分类方法（4）攻击工具集用户命令：攻击者在命令行状态下或者以图形用户接口方式输入攻击命令；脚本或程序：利用脚本或者程序挖掘弱点；自治主体：攻击者初始化一个程序或者程序片段，独立执行弱点挖掘；工具包：攻击者使用的攻击工具软件包，包含开发弱点的脚本、程序、自治主体；分布式工具：攻击者分发攻击工具到多台主机，通过协作方式执行攻击；电磁泄漏工具：通过Tempest方法实施电磁泄漏攻击。第28页，共48页，2023年，2月20日，星期二

目标信息收集攻击源隐藏弱点挖掘掌握控制权攻击行为隐藏实施目标攻击开辟后门攻击痕迹清除

攻击基本过程第29页，共48页，2023年，2月20日，星期二网络攻击的基本过程攻击身份和位置隐藏：隐藏网络攻击者的身份以及主机的位置，隐藏的主机位置使得系统管理无法追踪；目标系统信息收集：确定攻击目标并收集目标系统的有关信息；弱点信息挖掘分析：从收集到的目标信息中提取可使用的漏洞信息；目标使用权限获取：获取目标系统的普通或者特权帐户的权限；攻击行为隐蔽：隐蔽在目标系统中的操作，防止攻击行为被发现；攻击实施：实施攻击或者以目标系统为跳板向其他系统发起新的攻击；开辟后面：在目标系统中开辟后门，方便以后的入侵；攻击痕迹清除：清除攻击痕迹，逃避攻击取证。第30页，共48页，2023年，2月20日，星期二攻击身份和位置隐藏攻击者通常应用如下技术隐藏攻击的IP地址或域名：利用被侵入的主机作为跳板，如利用配置不当的Proxy作为跳板；应用电话转接技术隐蔽攻击者身份，如利用电话的转接服务连接ISP盗用他人的帐号上网通过免费代理网关实施攻击；伪造IP地址假冒用户帐号等第31页，共48页，2023年，2月20日，星期二目标系统信息收集在侵入系统的过程中，收集信息是最重要的步骤。通过信息收集，从中发现有利用价值的东西,这些信息暴露出系统的安全脆弱性或潜在入口。攻击者对系统了解得越多，就越可能达到自己的目的，同时，落网的可能性就越小。攻击者通常使用端口扫描工具或者通过服务信息、电话号码簿、电子邮件帐号、网页等获取信息。目标信息收集工具：扫描器之王-NMAP漏洞检查利器－NESSUS大范围扫描工具－X-SCAN常用扫描工具－SHADOWSCAN、CIS、SUPERSCAN和HOLESCAN等。Neotrc20－图形化的Trace杂项工具,生动地显示出各节点和路由第32页，共48页，2023年，2月20日，星期二弱点信息的挖掘与分析击者收集到大量目标系统的信息后，开始从中挖掘可用于攻击目标的弱点信息。常用的弱点挖掘技术方法如下：系统或者应用服务软件的漏洞主机信任关系漏洞目标网络的管理漏洞；通信协议漏洞网络业务系统漏洞第33页，共48页，2023年，2月20日，星期二漏洞挖掘工具实例：SNIFFER工具：常见免费的SNIFFER有tcpdump、Windump、SNIFFIT、NETXRAY口令窃听工具：dsniff密码破解工具：WINDOWS密码导出工具——PWDDUMP，WINDOWS密码破解工具—L0phtCrack，大众型破解2000/Nt的小工具－－NtKill其他工具：IDA、W32dasm－优秀的反汇编工具Softice、Trw2000－优秀的调试工具第34页，共48页，2023年，2月20日，星期二目标使用权限获取最终的目标是获得超级用户权限——对目标系统的绝对控制。获得系统管理员权限通常有以下途径：专门针对root用户的口令进行破解。利用系统管理上的漏洞，如错误的文件许可权，错误的系统配置等。令系统管理员运行特洛伊木马程序，截获LOGIN口令等。窃听管理员口令。第35页，共48页，2023年，2月20日，星期二攻击行为隐蔽进入系统之后，攻击者要作的第一件事就是隐藏行踪，避免安全管理发现或IDS发现.通常使用下述技术来隐藏行踪：连接隐藏：如冒充其他用户，修改LOGNAME环境变量、修改登录日志文件、使用IPSPOOF技术等。进程隐藏：如使用重定向技术减少ps给出的信息量、用特洛伊木马代替ps程序等。文件隐藏：如利用字符串的相似来麻痹系统管理员，或修改文件属性使普通显示方法无法看到。利用操作系统可加载模块特性，隐藏攻击时所产生的信息第36页，共48页，2023年，2月20日，星期二实施攻击进行非法活动或者以目标系统为跳板向其他系统发起新的攻击。不同的攻击者有不同的攻击目标。一般来说，攻击目标有以下几个方面：1）信息访问和破坏：信息经常成为攻击的目标。通过对信息的访问，他们可以使用、破坏或篡改信息。攻击者也可以通过拥有信息来获取利益，例如对专有信息、信用卡信息、个人信息和政府机密信息的利用等。2）资源利用：系统资源可能是系统成为攻击目标的原因所在。这些资源可能是独一无二的，例如黑客希望使用专业硬件或专用外设；资源也可能是非常丰富，例如，高速的计算机系统或具备高速网络的系统经常成为黑客的目标。黑客可能利用这些资源来实现自己的企图。攻击其他被信任的主机和网络；3）系统破坏：修改或删除重要数据，删除用户帐号，停止网络服务等。第37页，共48页，2023年，2月20日，星期二开辟后门一次成功的入侵通常要耗费攻击者大量的时间与资源，因此攻击者在退出系统之前会在系统中制造一些后门，方便下次入侵。攻击者开辟后门时通常会应用以下方法：放宽文件许可权重新开放不安全的服务，如REXD、TFTP等。修改系统的配置，如系统启动文件、网络服务配置文件等。替换系统的共享文件。修改系统的源代码，安装各种特洛伊木马；安装木马或者嗅探器；建立隐蔽信道；第38页，共48页，2023年，2月20日，星期二攻击痕迹清除加固攻击“根据地”切断攻击追踪链常用的方法有：篡改日志文件中的审计信息；改变系统时间造成日志文件数据紊乱；删除或者停止审计服务进程；干扰入侵检测系统的正常进行；修改完整性检测标签等。第39页，共48页，2023年，2月20日，星期二攻击者能否成功攻破一个系统，取决于多方面的因素。一方面，攻击者在实施攻击之前要先摸清目标的防范措施，挖掘目标系统的脆弱点，乘虚而入，攻破系统。另一方面，网络的安全防范不仅要从正面去进行防御，还要从攻击者的角度出发，设计更加安全的保障系统第40页，共48页，2023年，2月20日，星期二网络攻击技术的演变网络攻击自动化：网络攻击者利用已有攻击技术，编制能够自动进行攻击的攻击软件。自动扫描可能的受害者：自1997年起，广泛的扫描变得司空见惯。目前，扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。破坏存在脆弱点的系统：以前，安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分，从而加快了攻击的传播速度。自动传播攻击：在2000年之前，攻击工具需要人来发动新一轮攻击。目前，攻击工具可以自己发动新一轮攻击。像红色代码和Nimda（尼姆达）这类工具能够自我传播，在不到18个小时内就传遍全球。攻击工具的协调管理：随着分布式攻击工具的出现，攻击者可以管理和协调分布在许多Internet系统上的大量已部署的攻击工具，有效地发动拒绝服务攻击，扫描潜在的受害者，危害存在安全隐患的系统。目前主要是利用大量大众化的协同协议，如IRC（InternetRelayChat）、IR（InstantMessage）等。第41页，共48页，2023年，2月20日，星期二攻击工具越来越复杂1）反侦破：攻击者采用隐蔽攻击工具特性的技术，这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多；2）动态行为：早期的攻击工具是以单一确定的顺序执行攻击步骤，今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理，来变化它们的模式和行为；3）攻击工具的成熟性：与早期的攻击工具不同，目前攻击工具可以通过升级或更换工具的一部分迅速变化，发动迅速变化的攻击，且在每一次攻击中会出现多种不同形态的攻击工具。此外，攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。许多常见攻击工具使用IRC或HTTP(超文本传输协议)等协议，从入侵者那里向受攻击的计算机发送数据或命令，使得人们将攻击特性与正常、合法的网络传输流区别开变得越来越困难。第42页，共48页，2023年，2月20日，星期二已知漏洞数迅速增多近年每年报告给CERT/CC的漏洞数量都成倍增长，因此对于管理员来说，想要跟上补丁的步伐是很困难的，另外，每年都会发现新类型的漏洞，而且，入侵者往往能够在软件厂商更正这些漏洞之前先发现这些漏洞，特别是随着发现漏洞工具变得自动化后，留给用户打补丁的时间将越来越短。新发现的安全漏洞每年都要增加一倍，管理人员不断用最新的补丁修补这些漏洞，而且每年都会发现安全漏洞的新类型。第43页，共48页，2023年，2月20日，星期二(4)直接渗透防火墙当前，很多企业都把提供安全边界保护的重任交给了防火墙，但实际上，却存在一些可绕过防火墙的更“高明”的技术，如IPP（InternetPrintingProtocol）和WebDAV（Web-basedDistributedAuthoringandVersioning），特别是一些标榜是“防火墙适用”的协议，实际上却被设计为可绕过典型防火墙的配置；还有，如A