《网络攻防技术》课件 第1、2章 网络攻防技术概述、Windows操作系统的攻防

第一章网络攻防技术概述近年来，世界各国对网络空间的争夺日益激烈，针对网络空间的控制信息权和话语权成为新的战略制高点；现实空间的渗透和恐怖袭击正与网络空间的渗透和恐怖袭击更紧密地结合在一起，成为人类社会面临的新威胁；不断增长和扩散的计算机病毒（如木马、蠕虫）和黑客攻击等大量信息时代的“衍生物”，正在对信息化程度较高的金融、交通、商业、医疗、通信、电力等重要国家基础设施造成严重的破坏，成为影响国家安全的新威胁。保护网络空间安全作为重大挑战之一，已与防止核恐怖事件，利用核聚变能量等一起被列为新世纪亟待解决的难题。网络攻防背景本章概要本章立足网络空间安全，介绍网络攻防的基本概念和相关技术：黑客、红客以及红黑对抗网络攻击的类型网络攻击的属性主要攻击方法网络攻击的实施过程网络攻防的发展趋势1.1黑客、红客及红黑对抗计算机的出现使程序的自动运行变成了现实，而网络技术的应用使信息成为物质和能量以外维护人类社会的第三资源。随着计算机应用的普及和Internet的飞速发展，黑客、红客等概念出现，涉及到黑客与红客之间博弈的红黑对抗引起社会的关注。

1.1.1黑客与红客黑客简介（hacker）早期当前

特指哪些技术高超，爱好钻研计算机技术，能够洞察到各类计算机安全问题并加以解决的技术人员，是安全的守护者和捍卫者。白帽：挖掘并公开漏洞的黑客白帽网站：供白帽、安全厂商和安全研究者对安全漏洞等问题进行公开和反馈的网络平台，也是为互联网安全研究者提供学习、交流和研究的平台正面负面

指熟悉计算机操作系统的原理且能够及时发现和利用操作系统存在的安全漏洞，通过实施非法入侵、窃取、破坏等行为的计算机捣乱分子或计算机犯罪分子，也称为“骇客”（cracker）。

当前黑客通常通过使用已有工具软件对计算机系统进行攻击和控制，因此又称为软件黑客（softwarecracker）或脚本小子（scriptkids）。

黑客与骇客的异同黑客骇客系统安全守卫者工作具有建设性掌握计算机编程能力系统安全破坏者恶意破坏性操作掌握入侵和扫描工具使用方法，一般不具备计算机编程能力利用掌握的计算机技术在未经授权情况下访问计算机文件或网络计算机系统和网络的入侵者红客信息安全的守卫者具备传统黑客的技术能力能够有效阻止计算机系统和网络的破坏行为具有“正义感”确保用户能够按既定的秩序在系统中提供或获得服务

红客与黑客的区别红客黑客某种意义上代表“正义”行为一般都公开可以充分运用技术和非技术手段捍卫系统的安全某种意义代表“邪恶”在隐蔽环境下进行红客映射着一种正能量和正面精神，是正义感、爱国情怀和进取精神的从事网络安全的黑客1.1.2红黑对抗网络空间网络空间是继陆、海、空、天领域之后的第五维空间，它是以自然存在的电磁能为载体，人工网络为平台，信息控制为目的的空间。网络空间包括电子系统、计算机、通信网络和其他信息基础设施，通过对信息的产生、存储、修改、交换、分析和利用，实现对物理实体的实时控制，以影响人的认知活动和社会行为。网络空间已经成为国家最重要的基础设施，网络空间安全对抗也成为捍卫国家安全的重要使命。网络攻防实质是网络空间中人与人之间的智力博弈表现形式为红客与黑客之间的对抗，即“红黑对抗”红黑对抗是一种正义与非正义之间的斗争信息安全领域中红黑对抗是一个互相抗衡、此消彼长的动态过程红黑对抗伴随着信息技术的发展而不断演进模型创建是网络攻防的基础，通过建立和分析网络攻防博弈模型，可以评测攻防双方的既定策略，并基于攻防双方的驱动与能力，获得纵深的策略集合甚至是攻防均衡点，使防御方能够基于最小的代价获得最大的安全收益，为网络攻防提供理论依据1.2网络攻击的类型网络攻击是指任何非授权而进入或试图进入他人计算机网络的行为，是入侵者实现入侵目的所采取的技术手段和方法。网络攻击对象对网络中单个节点的攻击，如服务器、防火墙、路由器等对整个网络的攻击对节点上运行的某一个应用系统或应用软件的攻击网络攻击(根据实施方法差异)主动攻击被动攻击中断篡改伪造窃听流量分析1.2.1主动攻击主动攻击是指攻击者为了实现攻击目的，主动对需要访问的信息进行非授权的访问行为。中断攻击主动攻击篡改攻击伪造攻击可用性完整性真实性中断可用性（availability）是指授权实体按需对信息的取得能力强调信息系统的稳定性强调持续服务能力中断主要通过破坏计算机硬件、网络和文件管理系统来实现对系统可用性的攻击拒绝服务*针对身份识别应用的攻击针对访问控制应用的攻击针对审计跟踪应用的攻击篡改完整性（integrity）：防止信息在未经授权的情况下被篡改，强调保持信息的原始性和真实性，防止信息被蓄意地修改、插入、删除、伪造、乱序和重放，以致形成虚假信息原始性：网络环境信息完整性实现方式：篡改攻击：利用存在的漏洞破坏原有的机制，达到攻击目的协议纠错编码数字签名校验……信息正确生成信息正确存储信息正确传输伪造伪造攻击：针对信息的真实性（validity），指某个实体（人或系统）冒充成其他实体，发出含有其他实体身份信息的数据信息，从而以欺骗方式获取一些合法用户的权利和特权主要攻击对象：认证系统：使信息接收者相信所接收到的信息确实是由该信息声称的发送者发出的，即信息发送者的身份是可信赖的；保证通信双方的通信连接不能被第三方介入，防止攻击者假冒其中的一方进行数据的非法接收或传输对身份认证的攻击对资源授权的攻击1.2.2被动攻击利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。一般不对数据进行篡改通过截取或者窃听等方式未经用户授权对被动攻击窃听对消息内容进行获取，或对业务数据流进行分析流量分析窃听窃听概念：窃听内容：以明文形式保存和传输的信息通过数据加密技术处理后的密文信息窃听方式：打破原有工作机制式，如对加密密文的窃听利用网络已有工作机制式通过混杂模式窃听以太网本网段的广播分组报文信息接收WLAN信号，并通过信号分析恢复获得原始信息原指偷听别人之间的谈话本书指借助于技术手段窃取网络中的信息流量分析流量：数据在网络中传输时以流量进行描述流量分析：建立在数据拦截的基础上，对截获的数据根据需要进行定向分析协议数据单元（ProtocolDataUnit，PDU）：TCP/IP体系结构分层模型中每一层对网络流量的格式定义称为协议数据单元物理层数据链路层网络层传输层应用层数据位（bit）数据帧（frame）分组（packet）数据段（segment）报文（message）流量分析流量分析攻击可以针对分层结构的每一层，最直接的是通过对应用层报文的攻击直接获得用户的数据分析传输层及其以下的PDU通信双方的MAC地址、IP地址、通信时长等信息通信双方所在位置、传输的数据类型、通信的频度等信息为后续的攻击提供重要依据通信双方所占用带宽和通信时长通行双方信息交换的信息类型流量的协议分析用户数据的类型异常流量的分析判定网络是否存在攻击1.3网络攻击的属性网络攻击特点：同时涉及到技术和非技术因素实施过程是由一个或多个不同阶段组成，其中不同的阶段体现出不同的攻击特点网络攻击分类的必要性：基于攻击属性的分类：研究条件、研究环境、把控能力等因素人们对各种网络攻击的理解不尽相同对网络攻击的判定和特征的提取方法不相同对网络攻击及其造成的危害和威胁认识程度不一致对网络的防御带来一定困难权限转换方法动作1.3.1权限权限用于确定谁能够访问某一系统以及能够访问这一系统上的哪些资源。权限意义：通过对不同类型的用户设置不同的权限，可以加强对用户的分类管理，以提高系统的安全性。根据访问方式分类：远程网络访问权限本地网络访问超级网络管理员访问用户访问主机的物理访问1.3.2转换方法转换方法指攻击者对已有漏洞的利用。攻击过程的实施需要借助通信机制，通过对已有机制存在的漏洞的利用来实现。转换方法的分类：伪装转换方法滥用系统误设执行缺陷社会工程学伪装伪装:将攻击者的秘密信息隐藏于正常的非秘密文件中伪装对象：图像、声音、视频等多媒体数字文件伪装攻击特点：具有隐蔽性，不易被发现与加密技术的区别：加密操作隐藏信息的内容隐藏信息的内容信息伪装隐藏信息的存在社会工程学社会工程学:反映社会现象当代发展复杂性程度的一门综合性的社会科学，其目标是对各种社会问题进行实例分析和解决社会工程学工作方式：不是将人文科学、社会科学、自然科学的知识与技术简单相加，而是根据计划、政策的概念，在重构这些知识和技术的基础上，进行新的探索和整合社会工程学攻击：通过对受害者本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法优点：相对于传统计算机攻击方式，社会工程学攻击通过利用人为的漏洞缺陷进行欺骗来获取系统控制权表面上难以察觉不需要与受害者目标进行面对面的交流不会在系统留下任何可被追查的日志记录1.3.3动作动作是指攻击实施过程中的具体行为或采用的方法动作的分类：探测动作拒绝服务改变截获利用拒绝服务拒绝服务（DenyofService，DoS）

通过连续向攻击目标发送超出其处理能力的过量数据，消耗其有限的网络链路或操作系统资源，使之无法为合法用户提供有效服务DoS攻击方式利用目标系统或软件漏洞，发送一个或多个精心构造的数据包给目标系统，让被攻击系统崩溃、运行异常或重启等，导致无法为正常用户提供服务。如“ping-of-death”攻击。洪泛攻击，它让无用的信息占去系统的带宽或其他资源，使得系统不能服务于合法用户分布式拒绝服务分布式拒绝服务(DistributedDoS，DDoS）

利用网络中不同的主机同时发起DoS攻击，使得被攻击对象不能服务于正常用户DDoS与DoS差异DDoS攻击中的数据包来自不同攻击源DoS攻击中的数据包来自一个固定的攻击源DDoS四要素实际工作者隐藏攻击者身份的机器（控制僵尸网络并发送攻击命令）进行DDoS攻击的机器群（僵尸网络）被攻击目标低速率拒绝服务传统DoS攻击特点:

攻击者采取一种压力（sledge-hammer）方式向被攻击者发送大量攻击包，即要求攻击者维持一个高频、高速率的攻击流。这种特征，使得各种传统DoS攻击与正常网络流量相比都具有一种异常统计特性，使得对其进行检测相对简单低速率拒绝服务(Low-rateDoS，LDoS）

只是在特定时间间隔内发送数据，相同周期其他时间段内不发送任何数据，此间歇性攻击特点，使得攻击流的平均速率比较低，与合法用户的数据流区别不大，不再具有传统DoS攻击数据的异常统计特性，使得很难用已有的方法对其进行防范1.4主要攻击方法计算机网络风险来源：网络系统存在的缺陷或漏洞利用漏洞的攻击外部环境对网络的威胁网络攻击定义：

指任何形式的非授权行为（广义）网络攻击方式：

主要利用网络通信协议本身存在的设计缺陷或因安全配置不当而产生的安全漏洞而实施端口扫描网络攻击口令攻击彩虹表漏洞攻击缓冲区溢出电子邮件攻击高级持续威胁（APT）社会工程学1.4.1端口扫描网络扫描：

对计算机系统或网络设备进行与安全有关的检测，以便发现安全隐患和可利用的漏洞端口扫描：向目标主机的服务端口发送探测数据包，并记录目标主机的响应。通过分析响应的数据包来判断服务端口是否处于打开状态，从而得知端口提供的服务或信息捕获本地主机或服务器的流入流出数据包来监视本地IP主机的运行情况，它能对接收到的数据进行分析，帮助人们发现目标主机的某些内在的弱点端口扫描作用：了解系统向外界提供了哪些服务探测目标主机系统端口目前正向外提供何种服务TCP连接扫描TCP连接扫描（TCPconnectScan）

也称为“TCP全连接扫描”，它利用TCP协议的3次握手过程，直接连到目标端口并完成一个完整的3次握手过程目标主机状态及应答数据包Close状态RST数据包---》丢弃其它数据包---》返回RST数据包LISTEN状态SYN数据包---》返回SYN或ACK数据包---》SYN-RCVD状态ACK数据包---》返回RST数据包其它数据包---》丢弃SYN-RCVD状态RST数据包---》返回LISTEN状态ACK数据包---》进入ESTABLISHED（连接建立）状态，并建立TCP连接其它数据包---》丢弃ESTABLISHED状态TCP连接建立时的三次握手1.4.2口令攻击身份认证方式当前口令认证方式

大部分系统通过保存口令的Hash值来对用户认证信息进行管理。原理：利用了单向函数的单向性（给定口令输入，计算Hash值是容易的；但给定Hash值，难以计算出口令输入值。这样即使攻击者获取到存储口令Hash值的文件，也很难得到口令）保证口令的安全采用直接存储口令本身来进行比对认证基于图像、视觉和指纹等的认证方法可记忆的文本口令认证方法（便捷的应用和极低的成本）早期当前口令攻击口令攻击:

攻击者通过猜测口令，并且将计算出的Hash值进行比对的过程互联网环境中口令攻击方式：在线窃听：攻击者利用一些网络协议传输信息时未进行加密处理这一机制，通过在线截获数据包并经协议分析来获得用户名和密码等帐户信息获取口令文件：攻击者在窃取了操作系统保存的用户账号和加密口令文件后，通过破解来获取系统的帐户信息字典攻击：攻击者使用事先生成的口令字典库，依次向目标系统发起身份认证请求，直到某一个口令满足条件（攻击成功）或所有口令遍历后仍然无效（攻击失败）为止。字典攻击必须具备以下两个条件：目标系统的身份认证方式（如虹膜认证、指纹认证、口令认证等）字典库的准备

1.4.3彩虹表

Hash函数碰撞(Collision):

若两个输入串的hash函数的值一样，则称这两个串是一个碰撞碰撞的必然性：

理论范围内，存在一个输出串（Hash函数值）对应无穷多个输入串，所以碰撞具有其必然性彩虹表破解

通过暴力破解方式，搜寻指定输入的Hash碰撞值。彩虹表打破Hash函数不可逆的性质约定（无法从杂凑值计算得到原始输入串），但无法保证破解到的数据是原始数据Hash函数破解

彩虹表的建立

彩虹表破解Hash函数值

是否为彩虹表中最后一条记录YN

N

Y

N

破解失败

YYN彩虹表应用示例

彩虹表破解主要运算过程：（1）对Hash函数值“00BB33DF”通过换算函数R3得到一个终结点的明文密码“hammer”，在彩虹表的终结点一列中未找到对应内容，转到（2）；（2）通过换算函数R2、Hash函数H、换算函数R3得到终结点的明文密码“farmer”；（3）在彩虹表中找到相对应的终结点明文密码“farmer”；（4）利用对应的起始点“cccccc”重新构建哈希链，直至运算得到Hash值“00BB33DF”。这时，就获得了Hash值“00BB33DF”相对应的明文密码“summer”。破解成功。图1、经三次换算的简单哈希链表图2、对Hash值“00BB33DF”的破解过程1.4.4漏洞攻击漏洞计算机安全领域：指存在于一个系统内的弱点或缺陷，系统对一个特定的威胁攻击或危险事件的敏感性，或进行攻击的威胁作用的可能性。其通常是由软件错误（如未经检测的缓冲区或者竞争条件）引起网络安全领域：指区别于所有非受损状态的容易受攻击的状态特征计算机系统由若干描述实体配置的当前状态组成，包括授权状态、非授权状态、易受攻击状态和不易受攻击状态易受攻击状态：是指通过授权的状态转变从非授权状态可以到达的授权状态受损状态：是指已完成这种转变的状态，攻击是非受损状态到受损状态的状态转变过程漏洞特点软件编写过程中出现的逻辑错误(除专门设置的“后门”)多由疏忽造成漏洞和具体的系统环境密切相关漏洞问题与时间紧密相关漏洞的概念漏洞基本属性：漏洞类型造成后果严重程度利用需求环境特征……漏洞相关对象：存在漏洞的软(硬)件操作系统相应补丁程序修补漏洞方法……一个典型的漏洞库所包含的漏洞信息漏洞的概念安全漏洞

指信息技术、信息产品和信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的脆弱性，这些脆弱性以不同形式存在于信息系统各个层次和环节之中，能够被恶意主体所利用，从而影响信息系统及其服务的正常运行网络安全事件案例2010年“震网”（Stuxnet）蠕虫事件2011年韩国网站被黑导致的网民信息被盗案件2011年CSDN等站点账号信息泄漏事件0day漏洞一种特殊的安全漏洞。通常指还没有公开过的尚未有补丁的漏洞，也称为“未公开漏洞”0day攻击

利用0day漏洞进行的攻击，即在安全补丁发布之前攻击者已经掌握了漏洞的存在，并对存在该漏洞的系统进行的攻击漏洞的分类原因描述案例设计方面主要是在系统设计时受某种先决条件的限制，或考虑不够全面，从而导致设计上存在缺陷，此类漏洞通常难以修补最初的TCP/IP协议对于身份的确认、交互信息的确认都没有进行专门的考虑，从而导致假冒IP地址、利用TCP通信中三次握手等攻击行为很难防范实现方面主要体现在编码阶段，如忽略或缺乏编码安全方面的考虑、编程习惯不良的、以及测试工作的不充分等，导致在一些特殊的条件下，程序无法按照预定的步骤执行，从而给攻击者以可乘之机典型的编码漏洞攻击——缓冲区溢出攻击，如CodeRed、SQLSlammer、冲击波蠕虫、震荡波蠕虫等都是利用了缓冲区溢出的漏洞。此类攻击通常会使攻击者的权限得到非法提升，对系统的安全性威胁很大配置方面由于管理者缺乏相应的安全知识、对所使用的系统不了解、配置方法不专业等原因，经常为系统留下严重的安全隐患采用系统的默认配置，导致系统运行了本来不需要的服务，由此埋下了安全隐患，这个问题在操作系统服务的配置、应用服务的权限配置、口令配置方面表现得更为突出针对网络协议漏洞的攻击网络漏洞存在于计算机网络系统中的，可能对系统中的组成和数据造成损害的一切因素在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统网络协议漏洞（TCP/IP协议）概念：Internet中使用的一组通信协议的总称提供的服务：一种面向非连接的尽力而为的不可靠服务特点：未考虑网络中传输内容的保密性，整个体系结构是一种开放、松散的架构漏洞：

TCP/IP中的主流协议（如TCP、UDP、ARP/RARP、SMTP、DNS等）都不同程度地存在着安全漏洞，这些安全漏洞都可能会被攻击者利用，作为入侵的窗口或跳板。1.4.5缓冲区溢出缓冲区

计算机中的连续的一段存储空间缓冲区溢出

一种系统攻击手段，它通过向程序的缓冲区写入超出其长度要求的内容，造成缓冲区空间的溢出，溢出的数据将改写相邻存储单元上的数据，从而破坏程序的堆栈，使程序转去执行其它的指令。缓冲区溢出是一种典型的U2R（UsertoRoot）攻击方式。缓冲区溢出原因

代码在操作缓冲区时，没有有效地对缓冲区边界进行检查缓冲区溢出攻击后果使程序运行失败、系统崩溃或重新启动利用缓冲区溢出执行非授权指令，甚至取得系统特权，进而进行各种非法操作缓冲区溢出的原理事实1、输入的形参等数据存放在堆栈中2、程序由内存低端向内存高端按顺序执行3、堆栈的生长方向与内存的生长方向相反动作在堆栈中压入的数据超过预先分配给堆栈的容量结果出现堆栈溢出，使得程序运行失败程序在内存中的存储方式缓冲区溢出操作事例正常操作1、输入“networkattack”，先在栈底压入程序返回地址，接着将栈指针EBP入栈，此时EBP等于现在的ESP。之后，ESP减16，即向上增长16字节，用来存放name[]数组，如图(a)2、执行gets(name)命令，堆栈数据段压入字符串，如图(b）3、从main函数返回，弹出ret里的返回地址并赋值EIP，CPU继续执行EIP所指向的指令缓冲区溢出操作示例#include<stdio.h>intmain(){charname[16];gets(name);for(inti=0;i<16&&name[i];i++)print(name[i])};缓冲区操作程序缓冲区溢出操作事例溢出操作1、输入“networkattackDDD……DDD”，先在栈底压入程序返回地址，接着将栈指针EBP入栈，此时EBP等于现在的ESP。之后ESP减16，即向上增长16字节，用来存放name数组，如图(a)2、执行gets(name)命令，堆栈数据段压入字符串，由于输入的字符串长度超过了16字节，在name数组中无法容纳，只好向堆栈的底部方向继续写入，覆盖了堆栈中原有的内容，如图(c）3、从main函数返回，由于ret被输入的字符“D”覆盖，导致将“DDDD”的ASCII码看作返回地址并赋值EIP，CPU会试图执行该地址处的指令，结果出现难以预料的结果，便产生了一次堆栈溢出缓冲区溢出操作示例#include<stdio.h>intmain(){charname[16];gets(name);for(inti=0;i<16&&name[i];i++)print(name[i])};缓冲区操作程序缓冲区溢出攻击缓冲区溢出攻击破坏敏感数据攻击改变程序逻辑攻击缓冲区中的数据整个被攻击系统对缓冲区中的数据进行篡改操作通过改变缓冲区中的数据来改变原有的程序逻辑，以此获取对本地或远程被攻击系统的控制权分类（根据实现目标不同）攻击对象攻击目的缓冲区溢出攻击改变程序逻辑攻击操作步骤1、注入恶意数据恶意数据：用于实现攻击的数据，它的内容影响攻击模式中后续活动能否顺利进行注入方式：命令行参数、环境变量、输入文件或网络数据等2、缓冲区溢出前提条件：系统中存在的可以被利用的缓冲区溢出漏洞操作方式：通过特定外部输入，迫使缓冲区溢出的发生改变程序逻辑攻击操作步骤缓冲区溢出攻击改变程序逻辑攻击操作步骤3、控制流重定向概念：将系统从正常的控制流程转向非正常流程的过程方式：改写位于堆栈上的函数返回地址来改变指令流程改写被调用函数栈上保存的调用函数栈的栈地址改写指针改写跳转地址等4、执行攻击程序有效载荷：攻击程序中真正实现攻击的代码部分有效载荷方式：以可执行的二进制代码形式放置在恶意数据中，用于产生命令解释器（Shellcode）已经存在于内存中的代码，这种攻击方式也称为注入攻击改变程序逻辑攻击操作步骤1.4.6电子邮件攻击电子邮件攻击

电子邮件攻击是一种专门针对电子邮件系统的DoS攻击方式。电子邮件攻击利用电子邮件系统协议和工作机制存在的安全漏洞，通过利用或编写特殊的电子邮件软件，在短时间内向指定的电子邮件（被攻击对象）连续发送大容量的邮件，使电子邮件系统因带宽、CPU、存储空间等资源被耗尽而无法提供正常服务。为实现攻击而编写的特殊程序称为邮件炸弹（E-mailBomber），因此电子邮件攻击也称为电子邮件炸弹电子邮件攻击形式通过监听网络中的传输的电子邮件数据包或截获正在传输的电子邮件，窃取和篡改邮件数据通过伪造的发送人电子邮件地址对指定的目标邮箱进行欺骗性攻击通过发送大量的垃圾邮件产生拒绝服务攻击电子邮件攻击结果扰乱邮件的正常收发导致邮件系统瘫痪轻重目录收割攻击目录收割攻击（DirectoryHarvestAttack，DHA）

指攻击者通过编写脚本程序，对特定域名下所有可能存在的电子邮箱地址进行猜测，以获得该域名下所有邮箱地址的攻击方式针对SMTP的DHA攻击SMTP原理当邮件服务器接收到一个无效的邮件地址时，该邮件服务器会向邮件发送者返回一个标准的错误信息当邮件服务器接收到一个有效的邮件地址时，邮件服务器会返回一个表示邮件已成功接收的应答针对SMTP协议设计漏洞的DHA攻击攻击者根据SMTP邮件服务器回复的内容判断某一邮件地址是否有效，从而收割有邮箱地址，加入到垃圾邮件制造者数据库或提供给地下黑色产业链进行牟利针对SMTP的DHA攻击工作原理目录收割攻击DHA猜测特定域名下邮箱地址的方式：直接通过暴力方式穷尽所有的字母和数字组合采用字典攻击，攻击者在根据人们的习惯构造了邮箱地址字典库后进行字典攻击电子邮件攻击与垃圾邮件（spam）区别垃圾邮件定义：不请自来的“大量”邮件特征：发送者在同一时间内将同一份电子邮件发送给大量不同用户目的：主要是一些公司用于对其产品的宣传或发送一些虚假广告信息，一般不会对收件人造成伤害电子邮件攻击定义：是一种利用邮件协议漏洞的网络攻击行为1.4.7高级持续威胁（APT）高级持续威胁概念

高级持续威胁（AdvancedPersistentThreat，APT）也称为“针对特定目标的攻击”，APT并非一种新的网络攻击方法和单一类型的网络威胁，而是一种持续、复杂的网络攻击活动高级持续威胁应用国家和组织在对抗过程应用APT民间专业黑客组织利用APT攻击手段发起危害较大的攻击（如黑色产业链）指某些组织和团体以挖掘安全数据为目的、长时间内访问某一网络的网络间谍活动为了获取某个组织甚至是国家的重要信息，有针对性地进行的复杂且多方位的攻击方法最初现在高持续威胁案例高持续威胁对象：国家重要信息基础设施（如政府、金融、电信、电力、能源、军事等网络）和信息系统在全球大数据背景下，旨在破坏工业基础设施、窃取关于国家安全和国计民生的重要情报高持续威胁案例2011年美国信息安全厂商RSA令牌种子破解事件2013年国际黑客针对美国几大银行发起的APT攻击事件2013年“震网”攻击伊朗的铀浓缩设备事件2013年美国棱镜事件2015年乌克兰多家电厂遭攻击停电事件高持续威胁攻击方式APT攻击大量使用多种高技术手段组合各类未知威胁来发起攻击，攻击者先通过收集攻击目标的环境和防御手段的信息，通过了解的信息后再有针对性地发起攻击利用0day漏洞绕过传统入侵检测系统（IDS）的检测利用木马或已知木马的变形绕过传统杀毒软件的检测利用加密可以绕过审计检测利用搜索引擎反射可以绕过可信链路检测。。。。。。高持续威胁特点隐蔽性概念：指APT威胁可能在用户环境中存在较长的时间，而很难被传统的安全防御攻击检测到，也称为潜伏性动作：攻击者通过各种措施来掩盖攻击行为，避免在日志中留下入侵证据。通常利用目标主机上已有的工具或安装安全系统无法检测到的工具，通过常用网络端口和系统漏洞，不断收集各种信息，直到收集到重要情报持续性概念：体现在APT不是为了在短期内获利，攻击者经常会有针对性地进行为期数月甚至是数年的精心准备，从熟悉用户网络环境开始，先收集大量关于用户业务流程和目标系统使用情况的精确信息，搜集应用程序与业务流程中的安全隐患，定位关键信息的存储位置与通信方式动作：一个攻击手段无法达到目的，攻击者会不断尝试其他的攻击手段，以及渗透到网络内部后长期潜伏，不断收集各类信息，通过精心构造的命令控制网络定期回送目标文件进行分析，直到收集到重要情报高持续威胁主要环节APT攻击过程：

APT攻击是一个复杂的活动，主要包括侦察、准备、锁定、进一步渗透、数据收集、维持等多个过程。这些过程又可以分为攻击准备、入侵实施和后续攻击3个环节。APT攻击的3个阶段APT攻击准备APT攻击准备：攻击者主要为实施入侵做前期的准备工作信息收集

通过收集被攻击目标的网络环境、安全保护体系、人际关系及可能的重要资产等信息，为制定入侵方案作前期的准备（如开发特定的攻击工具）。信息收集贯穿全攻击生命过程技术准备

指根据获取的信息，攻击者做相应的技术性规划，常用的技术手段包括入侵路径设计并选定初始目标、发现可利用的漏洞并编写利用代码、木马准备、控制服务器和跳板等周边渗透

攻击者会入侵一些外围目标，这些受害者本身不是攻击者攻击的目标，但因为可以被攻击者用来做跳板、DDoS服务器、相关信息获取等而被入侵攻击准备的主要内容APT入侵实施APT入侵实施：攻击者针对实际的攻击目标逐步展开攻击常规手段：指攻击者利用常规的网络攻击手段，将恶意代码植入到系统中通过病毒传播感染目标通过薄弱安全意识和薄弱的安全管理控制目标通过社会工程学进行诱导通过供应链植入等缺陷和漏洞利用缺陷：指信息系统中广泛存在且事实上已知的欠缺或不够完善的地方常见缺陷：系统中的缺陷主要包括默认密码、弱密码、默认配置和错误配置、计算机和网络的脆弱性等，这些缺陷在成本、时间和可替代等方面有时是无法按需修复的，在未修复之前就可能会被利用常见漏洞：包括桌面文件处理类漏洞、浏览器类漏洞、桌面网络应用漏洞、网络服务类漏洞、系统逻辑类漏洞、对抗类漏洞、本地提权漏洞等入侵实施的主要内容APT入侵实施木马植入：在被攻击主机上植入事先准备的木马是ATP攻击过程中最为重要的一个环节，主要包括以下方式：远程下载植入绑定文档植入绑定程序植入等渗透提权：当攻击者获得了对内网中一台主机的控制权后，为了实现对攻击目标的进一步控制，还

需要在内网中进行渗透和提权，主要包括确定立足点、参透和特权获取3项确定立足点：攻击者在获得了内网中某一台主机的控制权后，相当于获得了一个内网的立足点渗透：内网一旦进入则突破了网络已有的安全边界，针对内网的安全防御就失去了作用。攻击者可以组合如社会工程学、文件共享服务器篡改程序、本地嗅探、漏洞等手段，通过借助立足点，对内网中的其他主机进行渗透，以获得更多主机的控制权特权获取：攻击者通过对更多主机的控制，逐步渗透到目标主机上并获得对该主机的特权入侵实施的主要内容APT后续攻击APT后续攻击：攻击者将窃取所需要的信息或进行破坏，同时还会在内部进行深度渗透，以保证攻击行为被发现后还能够继续潜伏下来，不会前功尽弃重要信息收集：攻击者利用获取到的权限和资源，从中分析和收集对攻击者有价值的信息传送与控制：对于获取到的信息，攻击者需要将其传回到由自己控制的外部服务器上模拟网络上一些常见的公开协议，并将数据进行加密回传继续保存部分木马并被长期控制，实现与外部服务器之间的通信针对一些物理隔离的网络，使用移动介质摆渡的方式进行数据的传送部分破坏性木马不需要传送和控制就可以进行长期潜伏和等待，并按照事先确定的逻辑条件，触发破坏流程后续攻击的主要内容APT后续攻击深度渗透

为了实现对已攻击目标的长期控制，确保在被受害者发现后还能复活，攻击者会渗透周边的一些机器，然后植入木马。但该木马可能处于非激活状态，检测和判断网络上是否有存活的木马，如果有则继续潜伏以避免被检测到，如果没有了，则启动工作痕迹清除

为了避免攻击行为被发现，攻击者还需要做一些痕迹清除工作，主要清除一些日志信息，以躲避一些常规的检测手段等后续攻击的主要内容1.4.8社会工程学社会工程学（SocialEngineering）概念一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的攻击方法利用了人们的心理特征，通过骗取用户的信任，获取机密信息、系统设置等不公开资料，为网络攻击和病毒传播创造有利条件社会工程学攻击危害

社会工程学是入侵手段的最大化体现，不仅能够利用系统漏洞进行入侵，还能够通过人性的弱点进行入侵，当攻击者将恶意钓鱼网络攻击、网页挂马攻击、软件漏洞利用攻击等技术攻击手段与社会工程学融为一体时，传统的网络安全体系将会土崩瓦解社会工程学网络攻击方式网络环境中常见的社会工程学攻击方式主要有以下几种类型：网络钓鱼式攻击密码心理学攻击收集敏感信息攻击恐吓被攻击者攻击反向社会工程学攻击网络钓鱼式攻击主要基于人性贪婪以及容易取信于人的心理因素来进行攻击，主要包括以下方式：利用虚假邮件进行攻击利用虚假网站进行攻击利用QQ及微信等即时通信工具进行攻击利用黑客木马进行攻击利用系统漏洞进行攻击利用移动通信设备进行攻击等社会工程学网络攻击方式密码心理学攻击

从人们心理入手，分析对方心理现状和变化，从而更快地得到所需要的密码，主要包括以下方式：针对被攻击者生日或出生年月日的密码破解针对用户移动电话号码或当地区号进行密码破解针对用户身份证号码进行密码破解针对用户姓名或旁边亲友及朋友姓名进行密码破解针对一些网站服务器默认使用的密码进行破解针对类似于“1234567”、“abc123”等常用密码进行破解等社会工程学网络攻击方式收集敏感信息攻击

通过在QQ、微信、博客等通信平台上收集被攻击者的相关信息，经整理分析后作为实施攻击的参考和依据，常见的收集敏感信息攻击手段有：根据搜索引擎对目标收集信息和资料根据踩点和调查对目标收集信息和资料根据网络钓鱼对目标收集信息和资料根据企业人员管理中存在的缺陷对目标收集信息和资料社会工程学网络攻击方式恐吓被攻击者攻击

攻击者在实施社会工程学攻击过程中，常常会利用被攻击目标管理人员对安全、漏洞、病毒等内容的敏感性，以权威机构的身份出现，散布安全警告、系统风险之类的消息，使用危言耸听的伎俩恐吓、欺骗被攻击者，并声称不按照他们的方式去处理问题就会造成非常严重的危害和损失，进而借此方式实现对被攻击者敏感信息的获取反向社会工程学攻击

指攻击者通过技术或非技术手段给网络或者计算机制造故障，使被攻击者深信问题的存在，诱使工作人员或者网络管理人员透漏或者泄露攻击者需要获取的信息。这种攻击方式比较隐蔽，危害性较大，而且不容易防范社会工程学攻击步骤

社会工程学攻击在实施前都要完成前期准备工作，通过收集和分析所需要的信息，再确定下一步的控制对象和范围。社会工程学攻击的主要步骤如下：信息收集：在社会工程学攻击的前期，需要针对具体攻击目标和攻击要求，收集被攻击者的相关信息。一方面，社会工程学攻击是一个较为复杂的过程，在攻击之前需要制定详尽的计划，在攻击过程中需要综合运用各方面的技巧另一方面，一些常人不太在意的信息（如电话号码、生日、单位的工号等），对于攻击者来说都可能蕴含着一些可能被利用的有效攻击信息心理学应用：对于收集到的信息，进行分类汇总和模拟测试，同时构造陷阱，以达到进一步获取信息并逐步实施攻击的目的。其重要手段包括：诱导、伪装和信任痕迹清除：与实施技术攻击一样，社会工程学攻击过程中也需要采取相应的方式，避免将攻击痕迹呈现给被攻击者1.5网络攻击的实施过程321攻击发起阶段攻击作用阶段攻击结果阶段一次完整网络攻击行为的生命周期1.5.1攻击发起阶段

在攻击发起阶段，攻击者进行攻击前的准备，如确定攻击所针对的操作系统类型、应用平台的类型等，这些系统和应用程序存在哪些可以利用的漏洞等。平台依赖性很多攻击都是针对一定范围内的平台发起的，这个平台可能是操作系统平台，也可能是应用平台也有一些攻击是针对特定的操作系统平台而发起的，一般来说是针对某个版本的漏洞而进行攻击还有一些攻击是针对TCP/IP网络体系中的底层协议平台而发起平台依赖性平台依赖性与攻击范围及破坏力的关系

攻击行为对平台依赖性，反映出了攻击可能影响的范围。攻击对平台的依赖性越强，表明该攻击所能够影响的范围越小，反之越大。因此在攻击的其他条件（如作用点、攻击强度、传播速度等）不变的情况下，能够对多个平台（平台依赖性较弱）发起的攻击，其破坏力要高于那些只对特定平台发起的攻击平台依赖性分类：平台依赖性强：针对特定版本或特定内核的操作系统平台、应用平台起作用的攻击。此类攻击涉及的范围一般较小平台依赖性中：针对某一品牌或某一品牌中的一个或几个系列的操作系统平台或应用平台起作用的攻击。此类攻击的涉及范围与平台应用范围相关，平台应用越广泛，此类攻击所涉及的范围就越大平台依赖性弱：同时针对两种或两种以上的操作系统平台或应用平台起作用的攻击，称为对平台依赖性弱。此类攻击影响的范围很广无平台依赖性：针对任何连接到互联网上的计算机都能够起作用的攻击。此类攻击针对的目标最为广泛，涉及面最广，理论上任何连接到互联网上的计算机都可能成为被攻击目标平台依赖性攻击范围平台依赖性与攻击范围关系漏洞相关性漏洞类型（产生原因）设计方面原因实现方面原因配置方面原因漏洞相关性判断原则设计漏洞：在系统设计阶段出现的问题，系统天生具有的实现漏洞：在编码过程中，因为没有遵循严格的安全编码方法或测试不严格而造成的漏洞配置漏洞：在使用阶段，因用户配置不当而产生的漏洞无：攻击与漏洞之间没有直接的关系，即使漏洞不存在也照样能够实现攻击目的漏洞相关性设计漏洞实现漏洞配置漏洞无不受条件约束或受条件约束弱破坏力和影响力较大防御起来通常非常困难通过打对应补丁可防范相应攻击通过正确配置系统可降低系统被攻击的可能性1.5.2攻击作用阶段

在攻击发起阶段确定了攻击的平台和利用的漏洞后，攻击就进入了作用阶段。攻击者在攻击作用阶段主要动作为选择被攻击者系统的某些资源作为攻击对象（“作用点”），以达到获得某些“利益”的目标攻击方式(攻击角度)在现有作用点的基础上，寻找其他薄弱地点进行攻击，进一步体现攻击的有效性在攻击有效的前提下，寻找其他关键的点进行攻击，体现攻击后果的严重性寻找其他可以入侵的作用点，实现攻击作用点的多样化

攻击的作用点在很大程度上体现了攻击者的目的，且一次攻击可以有多个作用点，即可同时攻击系统的多个“目标”。因此，作用点的选择对攻击有直接的影响，为此，本书将作用点作为攻击作用阶段的主要影响因素。作用点判断原则作用点判断原则：账户：包括系统账户、用户账户等。一般指攻击者对账户的猜测和字典攻击以及强力破解等，以便达到其非法进入的目的。另外，还包括安装木马后所创建的后门账户等文件系统：指被攻击系统的文件系统。涉及的攻击主要是修改、删除、增加、获取文件等操作进程：指被攻击系统内存空间中运行的进程。包括操作系统进程以及应用进程，涉及的攻击如杀死特定进程、探测进程活动、利用该进程对其他部分进行攻击等系统资源与信息：指被攻击者系统的硬件资源（如CPU、内存、硬盘等）、固定信息或相对固定的信息，如涉及到系统的硬件资源的参数（CPU数量、内存类型及大小、Cache容量、硬盘类型等）、系统的配置参数（分区类型、注册表信息、硬盘及文件访问的参数等）以及软件信息（如系统安装的软件列表、运行要求等）网络及网络服务：针对网络或网络服务的攻击，主要包括占用或利用网络资源与服务、影响网络性能和网络服务质量、增加网络流量、探测网络及相关服务的信息、利用网络提供的功能完成其他非法操作等，即对网络本身及服务的正常运行产生不利影响1.5.3攻击结果阶段攻击结果就是攻击对目标系统所造成的后果，也是被攻击者所能感受到的攻击带来的影响攻击结果阶段的影响因素攻击结果：攻击对目标系统的正常运行造成了那些方面的影响。即攻击者对目标系统的软硬件资源、其中的信息以及所提供的服务造成了哪些影响，如非法收集、破坏、恶意占用、非法使用等传播性：攻击是否具备传播性。即攻击是否会利用当前系统作为跳板继续对其他目标发起新的攻击破坏强度：攻击对目标系统各部分的影响程度。攻击对系统各部分可能造成的损害大概在什么水平

攻击结果

一个应用系统自身的价值主要体现在其所拥有的硬件资源、信息资源（含软件）以及对外提供的服务上，那么网络攻击的实质也就表现在对目标系统的硬件资源、信息和服务的非法访问、使用、破坏等攻击类型：对硬件资源的攻击：对目标系统硬件资源的攻击可以表现为对硬件资源的非法操作，如消耗网络带宽、占用存储资源、破坏系统的关键部件（如CMOS）等对信息资源的攻击：对目标系统信息资源发起的攻击可以表现为非法获取和破坏两个方面。其中，获取信息就是收集、读取目标系统中攻击者感兴趣的资料；破坏信息就是恶意篡改、删除目标系统中的各种资料，以达到攻击的目的对服务的攻击：对目标系统上运行的服务发起攻击可以表现为对系统中运行的各种服务进行非法的使用和破坏攻击结果网络攻击结果的判定原则分类：泄露信息：攻击造成被攻击者的操作系统、应用系统以及用户的相关信息的泄露。如攻击发起之前对目标的扫描会造成信息的泄露，攻击进入后将用户信息对外进行发送，监听网络上的流量等篡改信息：攻击者对目标系统的内存、硬盘、其他部分信息进行非法增、删、改的操作。如植入木马操作会导致系统配置信息的更改和硬盘文件的增加，文件类病毒的侵入会导致相应文件的修改等非法利用服务：利用系统的正常功能，来实现攻击者的其他目的的行为。如利用被攻击者的正常网络连接对其他系统进行攻击，通过正常的系统服务利用其他漏洞实现攻击者目的等拒绝服务：使目标系统正常的服务受到影响或系统功能的部分或全部丧失。如典型的DoS/DDoS攻击；杀死系统进程使其对外的服务中断；耗尽系统资源中内存使系统崩溃等非法提升权限：攻击者利用某种手段或者利用系统的漏洞，获得本不应具有的权限。最为典型的非法提升权限攻击为缓冲区溢出攻击，另外通过猜测口令、植入木马、预留后门等也可以使攻击者获得本不应具有的权限。传播性

Internet的出现导致了网络攻击的产生，移动互联网的应用摧生了大量新的攻击方式，目前的网络攻击在传播方面呈现出越来越明显的主动性、快速性、智能化等特点。毫无疑问，传播性越强的攻击，其攻击面越广、影响力越强、破坏力越大。而且随着连接到Internet上的主机越来越多，尤其是物联网技术的应用、工业控制系统的接入等，这类攻击的影响力已经从局部扩大到国家，甚至到整个互联网。不仅对被攻击目标造成了严重的灾难，而且因为其具有传播性强的特点，对网络本身的运行也造成了严重的影响。传播性的发展：早期：攻击基本上都不具备传播能力，或者具备较弱的传播能力，但受一些条件限制后期：在传播性方面得到了很大的加强，其传播是主动发起行为而不是被动的激活行为传播性传播性的判定原则：传播性弱：特点是“有条件激活，有条件传播”式，即需要其他条件进行激活，同时传播也不能在现有条件上立刻完成，需要借助其他手段进行。还有一种称为“无传播性”的攻击，它是一对一发起的攻击，传播不是其攻击的目的，不会借被攻击者对其他第三方发起新的攻击。如传统的病毒是此类型最为典型的代表传播性中：特点是“有条件激活，无条件传播”式，即需要其他条件进行激活，一旦激活后即可在现有条件上立刻完成传播，不再需要其他辅助条件。这类攻击一般都是通过网络实施。如通过电子邮件系统进行传播的蠕虫，一般来说需要由用户点击相应的邮件后，才能主动地通过搜索电子邮件地址表进行传播传播性强：特点是“无条件激活，无条件传播”式，能不依赖于其他条件自主对外搜索攻击目标并进行有效攻击，同时该传播性可以自主地继续进行下去，无限传播。典型代表为网络蠕虫，如CodeRedII蠕虫利用计算机的漏洞主动地对外寻找下一个受害者进行攻击，从而使得攻击在用户毫不知情的情况下大规模进行扩散破坏强度

无论从分析、评估、防范哪个角度看，正确了解网络攻击所造成的破坏程度都是非常有意义的。特别是对于最终用户来说，迫切需要知道如果一种攻击成功实施的话，会对系统造成什么样的伤害网络攻击破坏强度评价要素：等级定义明确：破坏强度的等级（强、中、弱）定义必需明确，根据定义，不同人对相同的攻击能够得出相同或相似的判断结果定位性强：通过描述，人们可以自行判断一种攻击实际上针对哪些位置进行的适应性强：能够适应复杂攻击情况，新型的攻击往往包含多种攻击手法，其攻击目标也不只一个，因此对攻击强度的描述需要同时反映出对多个目标的攻击情况可扩展性强：可扩展性强，该方案可以通过简单扩充来满足新出现攻击的特点，而不会造成结构上的重大调整破坏强度

本书给出对攻击强度的描述方法，即在攻击作用阶段所给出的作用点的基础上，分析攻击对每个作用点可能的破坏程度，具体划分准则如下：账号：一旦某种攻击取得了某个账户(系统账户或用户账户)的使用权，则意味着从此以后，攻击者就相当于系统的合法用户，其行为仅受所取得用户权限的约束而且很难被发现，其破坏力以及对系统的影响程度都是非常大的。同样对于木马植入后留下的秘密账户，也相当于系统的合法用户身份。为此，将所有针对账户发起的攻击的破坏强度都定义为“强”文件系统：对于文件系统的攻击一般有修改、删除、增加、获取文件的操作，也可以将其归纳为“读”和“写”两类操作强：对文件系统进行“写”操作，如修改、删除、增加文件等，都有可能造成不可恢复性的破坏，或者对需要保密的信息进行解密的，因此将这些攻击行为都定义为“强”中：对文件系统进行“读”操作，如查询、访问文件等，一般来说会造成系统信息的外泄，虽然也很严重，但与写操作相比，其影响尚没有达到不可恢复性的程度，因此将其攻击强度定义为“中”破坏强度进程：针对进程的攻击分为两种类型强：以破坏进程运行为目的操作，如杀死进程、修改进程资料、修改进程执行顺序（如执行攻击者代码）等，其造成的损失往往是不可恢复性的，因此属于一种破坏性“强”的攻击中：以侦察、获取进程信息为目的操作，或执行系统自身所有的特定代码，所造成的损失尚没有达到不可恢复的程度，因此属于“中”等强度的攻击行为系统资源与信息：对于系统资源与信息的攻击主要是通过固定的系统进程对特定区域的信息进行的写、读操作；对系统资源的攻击主要是对系统资源的消耗、占有等操作强：对系统信息进行写操作的攻击以及对系统资源进行占有、消耗为目的的攻击，其破坏性都比较“强”中：对系统信息进行读操作的攻击，其破坏性属于“中”等强度破坏强度网络及网络服务：针对网络及网络服务的攻击，根据其破坏强度可以分为3类强：对于自动地、不间断地（指无干预情况下）、攻击范围不针对某一固定区域的、通过网络传播而实施的攻击，一般利用网络对其他节点发起大量的攻击，造成网络资源的大量占用甚至耗尽，使得网络无法正常提供服务，属于一种高“强”度的攻击。另外，即使不通过网络进行攻击传播，但可能使网络的正常服务中断，也属于一种高“强”度攻击中：非自动地、有条件的、攻击范围局限于某一区域（如一个局域网）的，通过网络传播而实施的攻击，一般会造成局部网络的功能部分或全部失效，属于“中”等破坏性的攻击。另外，还有些攻击会影响到正常的网络服务或关键的网络节点，但还没有使网络服务完全无法进行，其攻击也属于“中”等破坏性的攻击弱：对于影响范围只局限于被攻击者本身，或者对被攻击者的网络服务影响轻微的（如扫描）攻击，属于一类破坏性较“弱”的攻击行为1.6网络攻防的发展趋势1、新应用产生新攻击云计算及面临的攻击威胁移动互联网面临的攻击威胁大数据应用面临的攻击威胁网络空间面临的攻击威胁3、网络攻击新特点形成黑色产业链针对移动终端的攻击大大增加APT攻击越来越多攻击工具越来越复杂对基础设施的威胁增大2、网络攻击的演进1.6.1新应用产生新攻击

应用需要建立在硬件资源、信息资源和服务上，而这些资源和服务都存在被攻击的可能。在网络空间中，一个新时代的到来需要一批新技术的推动，而新技术的应用必然导致新攻击的产生。Q1Q2Q4Q3新应用产生新攻击云计算及面临的攻击威胁大数据应用面临的攻击威胁移动互联网面临的攻击威胁网络空间面临的攻击威胁云计算及面临的攻击威胁云计算（CloudComputing）

公有云、私有云和混合云在全球各地广泛应用，向用户提供IaaS(InfrastructureasaService，基础设施即服务)、PaaS(PlatformasaService，平台即服务)和SaaS(SoftwareasaService，软件即服务)。普通用户不再需要自己构建信息基础设施和应用平台，只需要向云服务提供者租用就可以获得计算、存储等资源虚拟化技术

虚拟化技术是云计算的基础。虚拟化应用主要包括服务器虚拟化、存储虚拟化和网络虚拟化。虚拟化技术大大增加了资源调度的弹性，使得计算、存储和网络资源能够得到更合理的分配和更高效率的使用，并减少空置率和电能消耗。虚拟化技术在云计算领域已经得到了广泛应用云计算面临的威胁

在云计算的推广应用中，存在的一个重要障碍就是对安全问题的担心，当数据从硬盘、光盘、移动存储这些可以看得见的介质转移到看不见的云空间时，人们担心数据放在云里不安全，普遍认为数据在云端被泄密的风险要比起本地存储大得多。同时，还担心数据的安全性和服务的可用性得不到保障移动互联网面临的攻击威胁早期当前010203010203个人计算机以固定接入为主的互联网人机对话计算机网络的应用固定和移动智能终端接入方式并存的移动互联网M2M通信，包括：机器对机器(MachinetoMachine)人对机器(MantoMachine)机器对人(MachinetoMan)移动网络对机器(MobiletoMachine)实现人、机器、系统间的互联计算机、互联网、交互技术的发展个人计算机时代网络时代移动互联网时代大数据应用面临的攻击威胁大数据相关概念移动互联网、物联网、云计算等技术的广泛应用摧生了大数据时代的到来在今天的信息环境中，每个人都成为了信息的制造者和发布者，网络上存储和实时传输着文本、图像、视频、音频等不同格式的数据如何从海量的数据里挖掘出有价值的信息，是当前人们在不断研究的新技术在大数据应用过程中出现了“数据大集中”现象，即为了便于数据管理，将原来相互隔离、不同应用、不同格式的数据整合在一起，再通过构建应用模型进行大数据分析大数据应用面临的安全威胁在大数据分析中挖掘到更多的关联信息是否会导致隐私泄漏数据集中了，风险同样也集中了。大数据系统一旦被攻击，安全问题将更加严重网络空间面临的攻击威胁网络空间的特点与传统的空间概念相比，网络空间超越了国界，其边界更加模糊网络空间是一个虚拟的世界，人的身份更加难以确定，人的位置更加难以定位黑客、网络使用者、信息发布者、信息阅读者、网络警察等不同的人群都在这个虚拟的网络空间里从事各自的活动，这里有道德、信任和友善，也有虚假、造谣和攻击网络空间攻击威胁的防范要素在网络空间这一虚拟的世界里，主导权掌握在谁的手中自主、可信、可控能做到哪一步如何有效地对网络空间进行划界对于出现的相关攻击如何进行溯源等1.6.2网络攻击的演进网络攻击过程

网络攻击的实施可以分为查找系统漏洞、确定攻击手法、展开攻击行动和达到攻击目的4个主要过程网络攻击的演进1.6.3网络攻击的新特点

网络攻击的基础是对安全漏洞的利用，漏洞的发现需要一个过程，尤其对使用广泛且使用时间较长的系统来说发现的漏洞数量会逐渐减少，而一个新系统和新应用的出现，漏洞被发现和利用的可能性则会增大网络攻击的发展趋势和特点形成黑色产业链：

受经济利益的驱使，目前实施网络攻击行为的各个环节已经连接成为一个链条，形成了一个完整的产业链，即黑色产业链。如针对个人网上银行的攻击，其中有制作木马软件的，有负责植入木马的，有负责转账和异地取现的，等等。这就使得攻击行为由一种个人行为上升到“组织”行为。网络犯罪组织化、规模化、公开化，形成了一个非常完善的流水线作业的程序，这就使得攻击能力大大加强。网络攻击的发展趋势和特点针对移动终端的攻击大大增加

随着移动互联网的应用，各类移动智能终端成为互联网接入的重要组织部分。为了满足移动用户的需求，在各类移动智能终端功能不断丰富的同时，为用户提供软件下载的各类应用平台也应运而生。由于管理上存在的问题，这些应用平台已经成为攻击者的另一个目标APT攻击越来越多

APT（高级持续威胁）是近几年来出现的一种新型攻击。APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。不同于以往传统的病毒，APT攻击者掌握高级漏洞和超强的网络攻击技术。APT攻击的原理相对于其他攻击形式更为复杂和先进，这主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的信息收集，并挖掘被攻击对象和应用程序的漏洞，在这些漏洞的基础上形成攻击者所需的工具。ATP的这种攻击行为没有采取任何可能触发警报或者引起怀疑的行动，因此更易于融入被攻击者的系统或程序网络攻击的发展趋势和特点攻击工具越来越复杂攻击者会采用一定的技术隐藏攻击工具，这为防御攻击以及分析攻击工具的特征检测提高了难度当前攻击工具可以通过自动升级或自我复制等方式产生新的工具，并迅速发动新的攻击在一次攻击中会出现多种不同形态的攻击工具攻击工具越来越普遍地被开发为可在多种操作系统平台上执行对基础设施的威胁增大

基础设施攻击会导致Internet上的关键服务出现大面积破坏直至瘫痪。目前，Internet已经成为人们生活中依赖的信息交换载体，基础设施一旦被攻击，轻则引起人们的担心，重则引起能源、交通、公共服务等处于瘫痪。目前，基础设施面临的攻击主要有DoS/DDoS攻击、蠕虫、域名系统（DNS）攻击、对路由器攻击或利用路由器的攻击等其它

网络攻击还呈现出了安全漏洞的发现越来越快，防火墙参透率越来越高，自动化和攻击速度越来越高等特点Windows操作系统的攻防Windows操作系统的攻防98Windows在桌面操作系统中占有绝对的市场份额，在服务器操作系统中也拥有一席之地。然而，微软公司长期以来在强调易操作性和界面友好性的同时，其安全性一直被业界诟病。针对Windows操作系统安全漏洞的网络攻击频繁发生，且有愈演愈烈的趋势。由于Windows操作系统在网络攻防中具有的重要地位，所以针对Windows操作系统各类安全漏洞的渗透攻击和防御技术研究已成为当前信息安全领域一个关注的重点。本章从Windows操作系统基本结构入手，在分析其安全体系和机制的基础上，对相关的安全攻防技术进行介绍。目录04030206Windows操作系统的安全机制050701针对Windows数据的攻防针对账户的攻防针对进程与服务的攻防针对日志的攻防针对系统漏洞的攻防针对注册表和组策略的攻防Windows操作系统的安全机制/2.12.1Windows操作系统的安全机制101Windows操作系统的发展本章涉及操作系统版本说明

考虑到Windows操作系统的版本众多，且不同版本之间的功能和操作方式的差异较大。为突出重点，并便于读者理解和开展实验操作，本章主要针对Windows内核进行介绍。所涉及的操作，均在Windows7和WindowsServer2012环境下进行

自1985年Windows操作系统问世以来，其版本随着计算机硬件和软件发展不断升级，架构从16位、32位到64位，桌面操作系统版本从最初的Windows1.0到大家熟知的Windows95、Windows98直至现在的Windows10，服务器操作系统版本从WindowsNT3.1、WindowsNT4.0直至现在的WindowsServer2016，操作系统内核版本从1.x、2.x直至Windows10和WindowsServer2016的10.x，其功能在持续更新过程中不断完善2.1.1Windows操作系统的层次结构1021、操作系统的设计类型微软在开发Window服务器操作系统（WindowsNT3.1）之初，便将其定义为能够在用户级实现自主访问控制、提供审计访问对象机制的C2级操作系统01.小型系统

早期的一些小型系统（如MS-DOS）主要由可以相互调用的一系列过程组成

功能简单，实现容易02.层次系统模型

将一个大型复杂的系统分解成若干单向依赖的层次（最内部的一层为系统核），即每一层都提供一组功能且这些功能只依赖该层以内的各层

比较容易修改和测试，同时可以根据需要替换掉一层限制过于严格03.客户机/服务器结构

操作系统被划分为一个或多个进程，每个进程称为一个服务器，它提供服务。可执行的应用称为客户机，客户机通过向指定的服务器发送消息来请求服务。系统中所有的消息都是通过微内核发送的，如果有多个服务器存在，则这些服务器共享一个微内核。客户机和服务器都在用户模式下执行

当一个服务器出现错误或重新启动时，不会影响系统的其他部分

当修改一个过程时可能导致系统其他部分发生错误为满足计算机联网技术的发展和需求为解决调用过程中存在的问题Windows服务器操作系统结构103Windows服务器操作系统是层次结构和客户机/服务器结构的混合体2、Windows服务器操作系统的结构2、Windows服务器操作系统的结构104为其上层提供硬件结构的接口使系统运行在不同的硬件上，方便系统的移植硬件抽象层微内核位于硬件抽象层之上为低层提供执行、中断、异常处理和同步的支持微内核包括虚拟内存管理、对象管理、进程和线程管理、I/O管理、进程间通信和安全参考监视器模块之间的通信是通过定义在每个模块中的函数实现的最高层由一系列实现基本系统服务的模块组成(1)、执行者执行者是运行在内核模式（KernelMode）中的部分，它由3层组成2、Windows服务器操作系统的结构105会话管理系统启动时加载的第一个服务，它负责：启动DOS设备驱动将子系统在注册表中进行注册初始化动态链接库(DynamicLinkLibrary，DLLs)启动NT注册(WinLogon)NT注册是一个注册进程，在系统初始化时以logon进程通过Win32注册负责为交互式注册和注销提供接口服务管理操作系统的桌面Win32为应用程序提供有效的32位API提供图形用户接口并控制所有用户输入和输出该服务只输出两种对象：WindowsStation（如用户的鼠标、键盘和显示器的输入/输出等）和桌面对象本地安全认证提供安全认证服务，在用户注册进程、安全事件日志进程等本地系统安全策略中提供安全服务功能.安全策略是由本地安全策略库实现，库中主要保存可信域、用户和用户组特权、访问权限和安全事件安全策略库由本地安全认证来管理，并且只有通过本地安全认证后才能访问安全账号管理主要用于管理用户和用户组的账号，根据它的权限决定其作用是在本地域还是其他域范围内.为认证服务器提供支持.安全账号作为子对象存储在注册表中的数据库，这个数据库只有通过安全账号才能访问和管理

也称为被保护的子系统或服务器，提供了应用程序编程接口（ApplicationProgrammingInterface,

API），以具有一定特权的进程形式在用户模式下执行。当应用调用API时，调用者通过局部过程调用（LocalProcedureCall,LPC）发送请求信息给对应的服务器，服务器在接收到该请求信息后发送消息应答给调用者（2）、被保护的服务2、Windows服务器操作系统的结构106在Windows服务器操作系统中，所有的软件和硬件资源都是用对象表示的，如文件、信号量、计时器、线程、进程、内存等.具体可以分为微内核对象和执行者对象两种类型(3)、微内核对象和执行者对象01.微内核对象（内核对象）由微内核产生的、对用户不可见的最基本的对象.输出给执行者的相关应用，提供只有内核最低层才能完成的基本功能.02.执行者对象大多数执行者对象用于封装一个或多个微内核对象，它在用户模式下可见执行者为Win32等服务提供一系列的对象，通常服务直接为客户机程序提供执行