《入侵检测与防御原理及实践（微课版）》 课件全套 CH1 网络入侵与攻击 -CH6 Snort的规则

第一章网络入侵与攻击目录1.1基本概念1.2网络攻击的常用方法1.3典型的网络入侵事件1.4网络入侵应对本章学习目标1.了解入侵与攻击的基本概念；2.了解典型的网络入侵事件；3.了解网络入侵的发展趋势；4.了解入侵与攻击的应对方法5.理解入侵与攻击的流程；6.掌握常见的攻击方法；基本概念1.1入侵与攻击的基本概念网络入侵VS攻击：入侵是指具有熟练编写和调试计算机程序技巧的人，使用这些技巧访问非法或未授权的网络或文件，入侵公司内部网的行为。攻击一般是指入侵者进行入侵所采取的技术手段和方法。网络入侵的产生原因：计算机网络系统相对不完善，或者安全管理薄弱因特网采用的TCP/IP协议在设计之初没有考虑到网络信任和信息安全早期的操作系统更多的注重功能而忽略了安全问题各种攻击软件、病毒、木马等的泛滥大大降低了攻击的难度和成本（如KALI上有2000+工具）相关人员的安全意识低入侵的途径入侵者的入侵途径一般有以下3类：（1）物理途径：入侵者利用管理缺陷或人们的疏忽大意，乘虚而入，侵入目标主机，企图登录系统或窃取重要资源。（2）系统途径：入侵者使用自己所拥有的较低级别的操作权限进入目标系统，或装“后门”、复制信息、破坏资源、寻找系统漏洞以获取更高级别的操作权限等。（3）网络途径：入侵者通过网络渗透到目标系统中，进行破坏活动。网络入侵的对象通常入侵与攻击对象为计算机系统或网络中的逻辑实体和物理实体：（1）服务器：包括网络上对外提供服务的节点、服务器中的服务端软件及其操作系统等，如WWW、Oracle。（2）安全设备：提供安全防护的设备，如防火墙、IDS。（3）网络设备：网络建设所使用的关键网络或扩展设备，如路由器、交换机。（4）数据信息：在各网络节点设备中存放或用于对外提供服务的数据信息，如产品信息、财务信息。（5）进程：具有独立功能的程序，可并发执行。（6）应用系统：各业务流程运作的电子支撑系统或专用应用系统。安全和攻击的关系安全与攻击是相辅相成、紧密结合的，从某种意义上说，没有攻击就没有安全。（1）管理员可以利用常见的攻击手段对系统和网络进行检测，及时发现漏洞并采取补救措施。（2）网络攻击也有善意和恶意之分，善意的攻击可以帮助管理员检查系统漏洞，发现潜在的安全威胁；恶意的攻击可以包括为了私人恩怨、商业或个人目的、民族仇恨、寻求刺激、给别人帮忙以及一些无目的的攻击等。网络入侵的流程入侵的准备阶段确定目标信息收集漏洞挖掘模拟攻击实施攻击留下后门入侵的善后阶段擦除痕迹入侵的实施阶段网络入侵的流程确定目标：确定和探测被攻击的目标。

信息收集：利用公开协议或工具收集目标机的IP地址、操作系统类型和版本等，根据信息分析被攻击方系统可能存在的漏洞。被动收集：搜索引擎（百度、GOOGLE、SHODAN等）

主动收集：NMAP、OpenVAS、Burpsuite、域名遍历、目录遍历、指纹识别等3.漏洞挖掘：即主动收集，探测网络上的每台主机，寻求系统的安全漏洞。4.模拟攻击：建立模拟环境，攻击模拟目标机系统，测试系统可能的反应。5.实施攻击：使用多种方法对目标系统或网络实施攻击。6.留下后门：建立新的漏洞或后门供下次攻击利用增加管理员账号、提升账户权限、安装木马等方法7.擦除痕迹：更改系统日志，擦除入侵痕迹。入侵与攻击的发展趋势形成黑色产业链针对移动终端的攻击大大增加APT攻击越来越多攻击工具越来越复杂对基础设施的威胁增大，破坏效果越来越大攻击的自动化程度和入侵速度不断提高攻击者利用安全漏洞的速度越来越快防火墙被攻击者渗透的情况越来越多网络攻击的常用方法1.2网络攻击的常用方法网络攻击一般是利用网络和主机系统存在的漏洞和安全缺陷实现对系统和资源进行攻击的。自然威胁包括各种自然灾害、恶劣的场地环境、电磁干扰、网络设备的自然老化等。这些威胁是无目的的，但不可避免地会对网络或系统造成损害，危及通信安全。人为威胁是对网络和主机系统的人为攻击，通过寻找网络和主机系统的弱点，以非授权方式达到破坏、欺骗和窃取数据信息等目的。网络攻击的常用方法1.网络攻击的原因内因：网络和主机系统存在着漏洞外因：人类与生俱来的好奇心、利益的驱动等2.网络攻击的层次简单拒绝服务、本地用户获得非授权读权限、本地用户获得非授权写权限、远程用户获得非授权账号信息、远程用户获得特权文件的读权限、远程用户获得特权文件的写权限、远程用户或系统管理员权限七个层次3.网络攻击的位置（1）远程攻击（2）本地攻击（3）伪远程攻击：网络攻击的常用方法4.网络攻击的方法1）主机渗透攻击方法口令破解弱口令是口令安全的致命弱点。增强口令强度、保护口令存储文件和服务器、合理利用口令管理工具是避免网络入侵者利用口令破解渗透实施攻击的必不可少的措施。漏洞攻击缓冲区溢出漏洞、Unicode编码漏洞、SQL注入漏洞等特伊洛木马攻击利用远程控制技术实现网络攻击的常用方法2）网络攻击方法DoS/DDoS攻击DoS：DenialofService，DDoS：DistributedDenialofService其目的是使计算机或网络无法提供正常的服务。这些服务资源包括网络带宽、文件系统空间容量、开放的进程或者允许的连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。IP地址欺骗序列号欺骗、路由攻击、源地址欺骗、授权欺骗本质上是信任关系的破坏网络监听工具有wireshark、sniffer等监听效果最好的地方是网关、路由器、防火墙等，最方便的是局域网中的主机。网络攻击的常用方法3）其他攻击方法病毒攻击：

随着蠕虫病毒的泛滥以及蠕虫、计算机病毒、木马和黑客攻击程序的结合，病毒攻击成为了互联网发展以来遇到的巨大挑战。社会工程攻击 社会工程学利用人的好奇心、贪婪等弱点，给人设计陷阱，黑客通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的秘密，如用户名单、密码、网络架构等。社会工程学包含的知识并不简单，它存在诸多不确定因素，因此社会工程攻击也需要掌握大量的基础知识，而后才能通过交谈、欺骗等手段获取进一步信息，通过分析整理这些信息再实施攻击。它的种类有很多，主要包括网页仿冒、针对性网页仿冒和电子邮件欺诈等。如果想要对抗社会工程攻击，需抛弃传统的防火墙牢不可破的意识，多从“人”上做工作。强化用网人员的安全意识，增加相关知识培训，及时更新杀毒软件，及时安装软件及系统补丁。网络攻击的常用方法1.2.1信息收集1.2.2恶意代码1.2.3口令入侵1.2.4Web应用攻击1.2.5软件漏洞攻击1.2.6拒绝服务攻击1.2.7假消息攻击信息收集收集的信息：目标系统的DNS信息、IP地址、子域名、旁站和C段、CMS类型、敏感目录、端口信息、操作系统版本、网站架构、漏洞信息、服务器与中间件信息、管理人员邮箱、相关人员、地址等。先被动收集，再主动收集信息收集信息收集1.GoogleHacking技术参数用途site搜索和指定站点相关的页面inurl搜索包含有特定字符的URLintext搜索网页的正文内容，忽略标题和URL等文字intitle搜索标题中包含指定关键字的网页filetype搜索指定的后缀名或者扩展名的文件link搜索所有连接到某一个特定URL的列表信息收集2.Shodan参数用途举例hostname搜索指定的主机或域名hostname:"siemens"org搜索指定的组织org:"baidu"port搜索指定的端口port:3306product搜索指定的操作系统/服务product:SSHnet搜索指定的网段或IP地址net:/16city搜索指定的城市city:"SanDiego"country搜索指定的国家（国家名用2位字母代替）country:USShodan（撒旦搜索引擎https://www.shodan.io/）：物联网搜索引擎，被称为“最可怕的搜索引擎”，可扫描一切联网的设备，除了常见的Web服务器，还能扫描防火墙、路由器、交换机、摄像头、打印机等一切联网设备Shodan返回信息收集3.MaltegoMaltego是一款被动信息搜集工具，可以收集目标的IP地址、域名及域名的相关信息、邮箱信息、公司地址、人员等信息，并根据收集到的信息进行综合分析，有助于确定后期渗透测试的攻击的范围和目标。Maltego已经集成在Kalilinux中，使用之前需要进行注册下载和安装Maltego输入目标域名进行Transforms分析数据执行其他Transforms输出报告信息收集信息收集4.子域名收集主域名对应网站的安全措施通常会比较强，子域名相对较弱子域名收集工具主要有Windows版的Layer、开源扫描器OnlineTools和KaliLinux中的Fierce。信息收集5.网站架构针对网站的架构，主要收集服务器类型、网站服务组件和脚本类型、WAF（WebApplicationFirewall，Web应用防火墙）等信息。1）服务器类型即识别服务器的操作系统和版本信息，也叫操作系统指纹探测（OSFingerprint）。sudonmap-A-T4-vIP地址sudonmap-OIP地址sudonmap-sVIP地址信息收集5.网站架构针对网站的架构，主要收集服务器类型、网站服务组件和脚本类型、WAF（WebApplicationFirewall，Web应用防火墙）等信息。2）网站服务组件和脚本类型网站服务组件和脚本类型可以利用Linux的网站指纹识别工具Whatweb、Appprint、御剑指纹识别等。信息收集5.网站架构针对网站的架构，主要收集服务器类型、网站服务组件和脚本类型、WAF（WebApplicationFirewall，Web应用防火墙）等信息。3）防火墙识别WAF（Web应用防火墙）是WEB应用的保护措施，可以防止Web应用免受各种常见攻击，比如SQL注入、跨站脚本漏洞（XSS）等。信息收集6.旁站和C段旁站是指与目标网站在同一台服务器上的其它网站。可用站长工具/same在线查询旁站.信息收集6.旁站和C段C段是指与目标服务器IP地址处在同一个C段的其它服务器。C段查询的工具有Nmap、Masscan等，也可以用在线工具FOFA（/）、Shodan（https://www.shodan.io）信息收集6.旁站和C段Nmap和Masscan已经集成在KaliLinux中，命令语法格式如下。sudomasscan-p22,21,443,8080-Pn--rate=1000/24sudonmap-p22,21,443,8080-Pn/24网络扫描扫描器：是一种通过收集系统信息自动检测远程或本地主机安全弱点的程序。通过向远程主机不同的端口服务发出请求访问，并记录应答信息，收集大量关于目标主机的有用信息。扫描器收集的信息有远程服务器TCP端口的分配情况、提供的网络服务和软件的版本等。让黑客或管理员间接或直接的了解到远程主机存在的安全问题。扫描器的功能发现一个主机或网络一旦发现一台主机，可以发现有什么服务程序正运行在这台主机上通过测试这些服务，发现漏洞扫描器的分类端口扫描器：NMAP、OpenVAS、Portscan等漏洞扫描器：Burpsuite、Nessue、AWVS、AppScan、Nikto、SATAN等网络扫描网络扫描定义：是指对网络或者系统网络服务进行扫描，以检验系统提供服务的安全性。网络扫描技术有：侦查扫描利用各种网络协议产生的数据包以及网络协议本身固有的性质进行扫描，目的是确认目标系统是否处于激活状态，获取目标系统信息。方法有PING扫描、TCP扫描、UDP扫描、OSFingerprint（操作系统指纹探测）等。端口扫描：判断目标系统所能提供的服务信息中是否有漏洞。域查询回答扫描：通过发送没有被问过的域问题，判断目标主机是否存在。代理/FTP扫描：使用代理服务和FTP守护进程进行端口扫描。网络扫描工具NMAPnmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端，确定哪些服务运行在哪些连接端，并能推断计算机运行的操作系统（OSfingerprint）。它是网络管理员必用的软件之一，用以评估网络系统安全。sudonmap-help网络扫描工具NMAP网络安全实验室拓扑简介网络扫描工具NMAP打开KaliLinux与Windows虚拟机，测试连通性。查看IP地址KaliLinux与Windows能否互通能否上网网络扫描工具NMAPTCP扫描（全开扫描）——利用建立TCP连接的三次握手如果目标端口是打开的，则三次握手建立TCP连接如果目标端口是关闭的，则返回一个RST+ACK回应，表示不接受这次连接的请求；也可能收不到任何的回应。sudonmap-sT-p1-20034网络扫描工具NMAPTCPSYN扫描，也叫半开扫描这种扫描方法没有建立完整的TCP连接，有时也被称为“半开扫描（half-openscanning）”。A给B发送SYN分组，若端口打开则B返回SYN/ACK分组；若端口关闭则B返回RST/ACK分组。A再发送一个RST分组，这样并未建立一个完整的连接。这种技巧的优势比完整的TCP连接隐蔽，目标系统的日志中一般不记录未完成的TCP连接。sudonmap-sS-p1-100034网络扫描工具NMAPUDP扫描这种扫描往目标主机的端口发送UDP数据分组，如果目标端口是关闭状态，则返回一个“ICMP端口不可达（ICMPportunreachable）”消息；否则，该端口是开启的。sudonmap-sU-p1-20034网络扫描工具NMAP操作系统指纹探测（OSFingerprint）许多漏洞是系统相关的，而且往往与相应的版本对应，同时从操作系统或者应用系统的具体实现中发掘出来的攻击手段都需要辨识系统，因此操作系统指纹探测成为了黑客攻击中必要的环节。如何辨识一个操作系统是OSFingerprint技术的关键，常见的方法有：一些端口服务的提示信息，例如，telnet、http、ftp等服务的提示信息；TCP/IP栈指纹；DNS泄漏出OS系统；堆栈查询技术等NMAP可以识别500多个不同的操作系统，但一般的OS为了安全会在边界FW上实施端口过滤，识别效果就不那么好了。sudonmap-O34sudonmap-sV34恶意代码恶意代码（MaliciousCode或UnwantedCode）是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码，其设计目的是创建系统漏洞，造成后门、安全隐患、信息和数据盗窃、以及其他对文件和计算机系统的潜在破坏。恶意代码的特征（1）以恶意破坏为目的（2）其本身为程序（3）通过执行发生作用恶意代码恶意代码的分类恶意代码的分类主要有代码的独立性和自我复制性两个标准。（1）具有自我复制能力的依附性恶意代码，主要代表是病毒。（2）具有自我复制能力的独立性恶意代码，主要代表是蠕虫。（3）不具有自我复制能力的依附性恶意代码，主要代表是后门。（4）不具有自我复制能力的独立性恶意代码，主要代表是木马。恶意代码具体的分类包括计算机病毒、蠕虫、木马、后门、恶意移动代码、内核套件、逻辑炸弹、僵尸程序、流氓软件、间谍软件等。恶意代码病毒定义：是指在计算机程序中插入的、破坏计算机功能或数据的、可以自我复制的一组计算机指令或程序代码。通常具有显性破坏性，还可能有盗窃、勒索等经济目的。攻击者通过网页、邮件等传播电脑病毒对电脑系统进行破坏，如删除文件、硬盘格式化以及进行拒绝服务。常见的破坏性病毒有：冲击波：一种散播于Windows操作系统的蠕虫病毒。震荡波：一种让系统不停倒计时重启的恶性病毒。CIH：一种能够破坏计算机系统硬件的恶性病毒。

恶意代码木马定义与分类：全称特洛伊木马，是驻留在计算机中的非法程序，一般伪装成合法程序或者隐藏在合法程序的代码中，其目的是执行未经用户授权的操作。通常用于在没有被用户觉察的情况下窃取信息。木马可分为两部分，一是控制端的Server程序，二是被控制端的Client程序。只有当Server程序和Client程序同时存在，木马病毒才能发挥作用。常见分类：远程访问型、密码发送型、键盘记录型和毁坏型。木马攻击的关键技术有：木马植入技术：攻击者主动或被动的在用户计算机植入木马。自动加载技术：木马在被植入目标主机后可自动启动和运行。隐藏技术：使合法用户无法发现隐藏的木马的技术。连接技术：木马程序发现客户机的连接请求后自动连接。监控技术：攻击者可对木马程序进行远程控制。恶意代码恶意代码的工作机制口令入侵口令入侵是指通过破解口令或屏蔽口令保护，使用某些合法用户甚至系统管理员的账号和口令登录到目的主机，然后实施攻击活动。这种方法的操作流程一般是先得到目标系统上的某个合法用户的账号，然后再进行合法用户口令的破译。1.获取用户账号（1）利用目标系统的Finger功能口令入侵1.获取用户账号（1）利用目标系统的Finger功能（2）利用目标系统的X.500目录服务（3）从电子邮件地址中收集（4）查看是否有习惯性的账号（5）利用工具暴力破解口令入侵2.口令安全现状很多用户的口令保护意识薄弱，设置的口令过于简单。（1）弱口令（2）默认口令（3）社工口令（4）相同口令（5）口令泄露自己姓名的中文拼音37%常用英文单词23%计算机中经常出现的单词18%自己的出生日期7%良好的密码15%口令入侵3.获取用户口令1）通过网络监听获取用户口令：对于Telnet、FTP、HTTP、SMTP等没有采用任何加密或身份认证技术的传输协议，攻击者可以利用Wireshark、Ettercap等工具获取账号密码。2）通过暴力破解获取用户口令3）通过字典穷举获取用户口令4）利用系统漏洞破解用户口令【例】在KaliLinux上启动SSH服务，利用工具hydra（九头蛇）进行弱口令暴力破解，获取账号密码。WEB应用攻击Web应用攻击是针对用户上网行为或网站进行攻击的行为，如注入、植入恶意代码、修改网站权限、获取网站用户隐私信息等等。Web安全就是为保护站点不受未授权的访问、使用、修改和破坏而采取的行为或实践。Web应用的架构WEB应用攻击OWASP（OpenWebApplicationSecurityProject，开放式Web应用程序安全项目）是一个开源的非盈利的全球性安全组织，被视为Web应用安全领域的权威参考，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息OWASP的使命是使应用软件更加安全，使企业和组织能够对应用安全风险作出更清晰的决策。OWASP项目最具权威的就是其发布的“十大安全漏洞列表”（OWASPTOP10），用来分类网络安全漏洞的严重程度，目前被许多漏洞奖励平台和企业安全团队用来评估错误报告。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞，是开发、测试、服务、咨询人员应该会的应用知识，可以帮助IT公司和开发团队规范应用程序开发流程和测试流程，提高Web产品的安全性。SQL注入攻击对于WEB应用程序而言，用户核心数据存储在数据库中，如MySQL、SQLServer、Oracle。通过SQL注入攻击，可以获取、修改、删除数据库信息，并通过提权来控制WEB服务器等其他操作。SQL注入漏洞造成会造成严重的危害，所以常年稳居OWASPTOP10的榜首。SQL注入是指攻击者通过构造特殊的SQL语句，入侵目标系统，致使后台数据库泄露数据的过程。具体是指当应用程序没有检查用户输入，并将用户输入作为原始SQL查询语句的一部分时，攻击者构造的恶意输入将会改变程序原始的SQL查询逻辑，并执行任意命令。SELECT*FROMuser_tableWHEREname='admin'ANDpassword='admin';SELECT*FROMuser_tableWHEREname='admin'--'ANDpassword='aaa';SELECT*FROMuser_tableWHEREname=''or1=1--'ANDpassword='';SQL注入攻击SQL注入原理SQL注入攻击SQL注入攻击的特点：广泛性：大部分Web程序均使用SQL语法。技术难度低：网络中存在多种SQL注入工具。危害性大：查询数据，甚至脱库读写文件，执行命令，更改网页内容，甚至网络中其他的服务器用户信息被泄露用户信息被非法倒卖危害企业、政府、国家安全跨站脚本攻击XSS（CrossSiteScripting）跨站脚本攻击是基于客户端的WEB攻击，跟SQL注入攻击一样稳居OWASP前三，是WEB前端最常见的攻击方式，危害极大。XSS攻击存在于动态网站，攻击点一般出现在网页中的评论框、留言板、搜索框等用户输入的地方。攻击者构造脚本（一般是Javascript）到WEB页面，形成恶意链接，受害者点击链接即被攻击。XSS漏洞形成主要是WEB服务端没有对脚本文件如<script>进行安全过滤。XSS产生的根本原因在于数据和代码的混和使用。XSS的攻击目标不是WEB服务器，而是登录网站的用户。跨站脚本攻击跨站脚本的分类反射型XSS存储型XSS跨脚本攻击跨脚本攻击的危害盗取信息，包括Cookie信息、各类用户账号（如网银、游戏、电商等）、键盘记录等会话劫持，网页挂马，XSS蠕虫，与浏览器漏洞结合进行攻击突破外网内网不同安全设置屏蔽和伪造页面信息，如钓鱼网站进行XSSDDOS攻击爬虫攻击网络爬虫定义：又称网络蜘蛛或网络机器人，是一种按照一定的规则自动抓取万维网资源的程序或者脚本，有助于高效搜索及网站推广。攻击者可利用爬虫程序对WEB站点发起DOS攻击。攻击者可通过网络爬虫抓取各种敏感资料，用于不正当用途。收集的资料包括：站点的目录列表、核心文本。测试页面、手册文档、样本程序中的缺陷程序。管理员登录页面。互联网用户的个人资料。文件上传攻击文件上传攻击定义：是指攻击者利用Web应用对上传文件过滤不严，导致上传应用程序定义类型范围之外的文件到Web服务器，如可执行的脚本文件。攻击者实施文件上传攻击的前提条件：上传的文件能被WEB服务器解析执行。用户能够通过Web访问上传文件。知道文件上传到服务器后的存放路径和文件名称。软件漏洞攻击软件漏洞是在软件解决方案的代码、架构、实现或设计中发现的缺陷、错误、弱点或各种其他错误。攻击者可以利用漏洞获得系统的权限，从而使攻击者能够控制受影响的设备、访问敏感信息或触发拒绝服务条件等。比如缓冲区溢出漏洞、栈溢出漏洞等，都是普遍存在且危险的漏洞，在各种操作系统、应用软件中广泛存在。1.软件漏洞的分类1）操作系统服务程序漏洞2）文件处理软件漏洞3）浏览器软件漏洞4）其他软件漏洞软件漏洞攻击2.软件漏洞的攻击利用技术直接网络攻击技术诱骗式网络攻击技术3.软件漏洞攻击的防范（1）使用新版本的操作系统和软件，及时更新补丁。（2）访问正规网站。（3）不随意点击通过电子邮件或通信软件发来的文件。（4）使用安全杀毒软件和主动防御技术。缓冲区溢出攻击缓冲区溢出攻击定义：属于系统攻击，攻击者通过向程序发出很长的消息，使计算机向缓冲区填充超出应有容量的数据，导致缓冲区溢出，程序的堆栈遭到破坏，造成程序运行失败或者电脑死机，也可以修改与缓冲区相邻的数据，使得目标机器执行特定的恶意代码。缓冲区漏洞一般是开发者写代码时产生的，它不易被发现，但是这类漏洞一旦被黑客发现，缓冲区溢出攻击就变得非常简单。常见的攻击方法有：在通过利用已存在的代码或自行编写代码，在程序的地址空间里植入恶意代码。通过初始化寄存器和存储器，控制返回地址转到想要执行的程序入口。拒绝服务攻击拒绝服务（DenialofService，DOS）攻击定义：是指占据大量资源，是系统没有剩余资源给其他用户，从而使合法用户服务请求被拒绝，造成系统运行缓慢或瘫痪。攻击目的：通常不是为了获得访问权，而是让服务不可用或为完成其他攻击做准备。攻击原理：带宽耗尽资源衰竭利用缺陷编程路由与域名系统（DNS）攻击资源衰竭

拒绝服务攻击攻击方式：服务过载：发送大量的服务请求至计算机中的服务守护进程。消息流：向网络上的一台目标主机发送大量的数据包，来延缓目标主机的处理速度。信号接地：将网络的电缆接地，引入一些其他信号或者将以太网上的端接器拿走。拒绝服务攻击的症状网络异常缓慢（打开文件或访问网站）、特定网站无法访问、无法访问任何网站、垃圾邮件的数量急剧增加、无线或有线网络连接异常断开、长时间尝试访问网站或任何互联网服务时被拒绝、服务器容易断线、卡顿等。可能会导致与目标系统在同一网络中的其他计算机被攻击，互联网和局域网之间的带宽会被攻击导致大量消耗，不但影响目标系统，同时也影响网络中的其他主机。如果攻击的规模较大，整个地区的网络连接都可能会受到影响。拒绝服务攻击拒绝服务攻击的分类1）资源消耗：可消耗的资源包括目标系统的系统资源（如CPU、内存、存储空间、系统进程总数、打印机等）和网络带宽。如TCPSYN/ACKFloods（TCPSYN/ACK泛洪攻击）、TCPLAND攻击、ICMPFloods（ICMP泛洪攻击）、UDPFloods（UDP泛洪攻击）、HTTPCC（ChallengeCollapsar，挑战黑洞）泛洪攻击等。2）系统或应用程序缺陷利用操作系统、网络协议、应用程序的缺陷或漏洞来实现拒绝服务攻击，一个恶意的数据包可能导致协议栈崩溃，从而无法提供服务。这类攻击包括PingofDeath（死亡之Ping）、Teardrop（泪滴攻击）、Smurf攻击、IP分片攻击。3）配置修改通过修改系统的运行配置，导致网络不能正常提供服务，比如修改主机或路由器的路由信息、修改DNS缓存信息、修改注册表或者某些应用程序的配置文件等。拒绝服务攻击攻击方式：服务过载：发送大量的服务请求至计算机中的服务守护进程。消息流：向网络上的一台目标主机发送大量的数据包，来延缓目标主机的处理速度。信号接地：将网络的电缆接地，引入一些其他信号或者将以太网上的端接器拿走。拒绝服务攻击的症状网络异常缓慢（打开文件或访问网站）、特定网站无法访问、无法访问任何网站、垃圾邮件的数量急剧增加、无线或有线网络连接异常断开、长时间尝试访问网站或任何互联网服务时被拒绝、服务器容易断线、卡顿等。可能会导致与目标系统在同一网络中的其他计算机被攻击，互联网和局域网之间的带宽会被攻击导致大量消耗，不但影响目标系统，同时也影响网络中的其他主机。如果攻击的规模较大，整个地区的网络连接都可能会受到影响。拒绝服务攻击利用TCPSYN或TCPACK泛洪实现DOS攻击黑客构造海量的TCPSYN/ACK数据包发起泛洪攻击，以此消耗目标服务器资源，实现DOS/DDOS攻击。在正常情况下，服务器在特定端口上收到TCPSYN数据包时，通过两个步骤进行响应：①服务器首先检查是否有任何当前侦听指定端口请求的程序正在运行。②若该端口服务开启，则服务器返回SYN-ACK数据包，并进入半开连接阶段，等待最终建立会话。在正常情况下，服务器在特定端口上收到TCPACK数据包时，将通过以下两个步骤进行响应：①服务器首先检查该数据包所对应的TCP连接是否已存在，若存在则继续上传给应用层。②如果该会话没有开启或不合法，则服务器返回RST数据包。拒绝服务攻击利用TCPSYN或TCPACK泛洪实现DOS攻击拒绝服务攻击利用ICMP实现DOS攻击黑客利用ICMP协议，发起ICMPfloods或thepingofdeath等实现DOS/DDOS攻击。构造海量的ICMP数据包发起泛洪攻击，以此消耗目标带宽资源，实现DOS攻击。拒绝服务攻击利用TCPSYN/ACK或ICMP或UDP泛洪实现DOS攻击（Hping3程序）SYN泛洪攻击sudohping3-S-a-p80--flood目标IPsudohping3-S--random-source-p443--flood目标IPACK泛洪攻击

sudohping3-A-a-p80--flood目标IPsudohping3-A--random-source-p443--flood目标IPICMP泛洪攻击sudohping3--icmp--rand-source--flood目标IPUDP泛洪攻击sudohping3-a--udp-p444--flood目标IPsudohping3--udp--rand-source--flood目标IP注：目标IP请填写本地虚拟机地址，未经授权发起攻击是违法行为！拒绝服务攻击利用HTTP/HTTPS实现DOS攻击黑客利用HTTP/HTTPS协议发起“HTTPCC”（ChallengeCollapsar，挑战黑洞）泛洪攻击，实现对目标的DOS/DDOS攻击。攻击者构造大量的GET/POST请求，模拟大量正常用户点击目标网站，致使其瘫痪。相比TCP/UDP/ICMP等攻击，HTTPCC是直接攻击应用层，防御难度更大，正常或恶意流量较难区分拒绝服务攻击利用HTTP/HTTPS实现DOS攻击1、进入KaliLinux虚拟机，打开Wireshark抓包软件。2、进入命令终端，运行ab程序，发起CC泛洪攻击ab-n1000-c500

http://testhtml5.vulnweb.com/

-n设置发包总数量；-c设置并发数量；-h查看帮助；支持https3、Wireshark观察抓到的数据包，学习攻击行为特征，并保存攻击数据包到本地。ab程序也可以作为网站压力测试的工具一定要记住：未经授权发起攻击是违法行为！拒绝服务攻击分布式拒绝服务攻击（DistributedDenial-of-Service，简称DDoS）是指攻击者控制网络上两个或以上被攻陷的电脑作为“僵尸主机（肉鸡）”向目标系统发动“拒绝服务”式攻击。DDoS的攻击目标一般是游戏、电子商务、互联网金融、博彩等暴利且竞争激烈的行业。恶意竞争是目前DDoS攻击的主要动机，利润越高、竞争越激烈的行业，遭受攻击的频率越高。游戏行业已经成为了DDoS攻击的重灾区。DDoS攻击趋势拒绝服务攻击拒绝服务攻击的防御在基础设施方面进行升级，来缓解攻击，如提高网络带宽、增强CPU性能等。结合多种网络安全专用设备和工具组成防御体系，其中包括防火墙、入侵检测系统和网络异常行为检测器等，在网络边界采用专用的DoS/DDoS检测和防御技术，选择能提供自动限速、流量整形、后期连接、深度包检测和假IP过滤功能的网络设备。随时更新网络设备和主机的系统漏洞、关闭不需要的服务、安装必要的防毒和防火墙软件，随时注意系统安全，避免被黑客和自动化的DDoS程序植入攻击程序，成为黑客攻击的帮凶。假消息攻击假消息攻击是一种内网渗透方法，是指利用网络协议设计中的安全缺陷，通过发送伪装的数据包达到欺骗目标、从中获利的目的。目前最常用的协议TCP/IP存在缺乏有效的信息加密机制和缺乏有效的身份鉴别和认证机制的设计缺陷，导致其通信内容容易被第三方截获、通信双方无法确认彼此的身份，很多的假消息攻击方法就是利用了这些缺陷实现攻击的。假消息攻击的方法很多，如ARP欺骗攻击、ICMP重定向攻击、IP欺骗攻击、DNS欺骗攻击等。ARP欺骗攻击ARP请求采用广播方式，局域网中所有主机都“知晓”这个信息，即一对多；ARP回复采用单播方式，即一对一方式；无论是ARP请求包，还是ARP回复包，都可以通过软件和工具进行伪造。ARP欺骗攻击电脑通信需要查找ARP表（ip-mac)，而交换机通信需要查找CAM表(mac-port）；同一局域网内，攻击者可以根据主机的ARP广播请求监听其IP和MAC信息。ARP欺骗攻击PC3（Hacker）在监听之后，发起了ARP回复包：我就是PC2（IP2-MAC3）；这个ARP回复包就是典型的ARP欺骗包，PC3明明是IP3对应MAC3。ARP欺骗攻击PC1收到两个ARP回应包，内容分别如下：③我是PC2，我的IP地址是IP2，我的MAC地址是MAC2；③我是PC2，我的IP地址是IP2，我的MAC地址是MAC3；ARP缓存表采用「后到优先」原则，新的回复会覆盖旧的回复，类似通讯录。ARP欺骗攻击作为hacker，只要持续不停发出ARP欺骗包，就一定能够覆盖掉正常的ARP回应包。稳健的ARP嗅探/渗透工具，能在短时间内高并发做网络扫描（例如1秒钟成千上百的数据包），能够持续对外发送欺骗包。ARP欺骗攻击由于PC1采用错误的ARP映射，所以本来要发给PC2的数据，最终被PC3“拦截”了。好比PC1发快递给PC2，电话号码写的PC2的，但收件地址却写的PC3的。ARP欺骗攻击既然PC3能拦截PC1发给PC2的，也就能拦截PC2发给PC1的，继而能拦截整个局域网的；既然黑客能拦截数据，那也就可以「断网」「限速」「窃取敏感信息」。ARP欺骗攻击ARP欺骗攻击实战——获取上网账号密码1、打开KaliLinux与Windows虚拟机，测试连通性。2、进入KaliLinux，打开Wireshark，监听虚机上网网卡3、进入Kali终端，运行Ettercap程序：sudoettercap

-GEttercap（/）是一款在LAN中进行中间人攻击的工具集。它通过ARP攻击充当网络通信的中间人。一且ARP协议的攻击奏效，它就能够：●修改数据连接；●截获FTP、HTTP、POP和SSH1等协议的密码；●通过伪造SSL证书的手段劫持被测主机的HTTPS会话。ARP欺骗攻击ARP欺骗攻击实战——获取上网账号密码4、点击√启动ARP欺骗攻击ARP欺骗攻击实战——获取上网账号密码5、点放大镜搜索主机ARP欺骗攻击ARP欺骗攻击实战——获取上网账号密码6、查看主机列表ARP欺骗攻击ARP欺骗攻击实战——获取上网账号密码7、选择Windows受害主机和网关IPARP欺骗攻击ARP欺骗攻击实战——获取上网账号密码8、开启arppoisoning毒化ARP欺骗攻击ARP欺骗攻击实战——获取上网账号密码9、开启侦听sniffremote

connectARP欺骗攻击ARP欺骗攻击实战——获取上网账号密码10、进入Windows虚机，查看ARP表变化ARP欺骗攻击ARP欺骗攻击实战——获取上网账号密码11、进入KaliLinux虚机，查看WiresharkARP攻击包ARP欺骗攻击ARP欺骗攻击实战——获取上网账号密码12、Kali新建终端运行Ettercap：sudoettercap–Tq–ieth0ARP欺骗攻击ARP欺骗攻击实战——获取上网账号密码13、进入Windows虚机，用IE浏览器访问相关网址，如/login，/ARP欺骗攻击ARP欺骗攻击实战——获取上网账号密码14、进入KaliLinux虚机，观察上网账号密码信息ARP欺骗攻击ARP欺骗攻击实战——获取上网账号密码15、进入KaliLinux虚机，ettercap停止攻击间谍软件攻击间谍软件定义：是指未经用户允许安装在用户电脑中安装的用来监控用户网上活动或窥探用户资料的恶意软件，其常在用户不知情的情形下，将收集到的机密信息发给第三方。间谍软件的分类如下：A.Cookies和webbugs类 B.浏览器绑架类C.击键记录类 D.跟踪类E.恶意软件类 F.间谍虫类G.广告软件类0-day漏洞攻击0-day漏洞定义：是指被攻击者掌握，但却还未公开或软件厂商还没有发布相应补丁的软件漏洞。0-day漏洞由于缺少公开信息，易于躲避入侵检测系统和防火墙的检测。0-day漏洞的主要发布类型：ISRIPcrack&keygen僵尸网络僵尸网络定义：是指攻击者通过传播僵尸程序感染控制大量主机，由被感染主机所组成的网络。根据命令与控制信道采用协议的不同，可分为基于IRC的僵尸网络、基于P2P的僵尸网络和基于HTTP的僵尸网络僵尸网络工作机制（1）攻击者传播僵尸程序感染目标主机。（2）僵尸程序尝试加入指定的命令与控制服务器。（3）攻击者普遍使用动态域名服务将僵尸程序连接的域名映射到其所控制的多台IRC服务器上。（4）僵尸程序加入到控制信道中。（5）僵尸程序监听控制指令。（6）攻击者向僵尸网络发出攻击。（7）僵尸程序接受指令，完成攻击者的攻击目标。APT攻击APT攻击是指通过发动一系列针对重要的基础设施和单位的攻击，以获取某个组织甚至国家的重要信息。APT攻击的3个阶段：攻击前准备阶段、攻击入侵阶段和持续攻击阶段APT攻击的5个步骤：情报收集、防线突破、通道建立、横向渗透、信息收集及外传。典型网络入侵事件1.3典型的网络入侵事件（1）意大利监控软件厂商HackingTeam被攻击（2）益百利公司电脑遭到黑客入侵。（3）美国遭史上最大规模DDoS攻击（4）希拉里邮件门事件（5）WannaCry勒索病毒席卷全球意大利监控软件厂商HackingTeam被攻击2015年7月初，有“互联网军火库”之称的意大利监控软件厂商HackingTeam被黑客攻击。这次攻击造成HackingTeam中的400GB内部数据泄露，其掌握的大量漏洞和攻击工具也暴露在这400GB数据中，且泄露的数据可以在互联网上公开下载和传播。业内人士担忧一旦泄露数据广泛流传，将使得世界安全形势迅速恶化。益百利公司电脑遭到黑客入侵2015年10月1日，美国移动电话服务公司T-Mobile宣布，负责处理T-Mobile公司信用卡申请的益百利公司的一个业务部门被黑客入侵。这次攻击造成1500万用户个人信息泄露，包括用户姓名、出生日期、地址、社会安全号、ID号码（护照号或驾照号码）等资料。美国遭史上最大规模DDoS攻击2016年10月，美国域名服务器管理服务供应商Dyn遭受由恶意软件Mirai控制的僵尸网络发起的DDoS攻击。这次攻击造成许多网站在美国东海岸地区宕机，如GitHub、Twitter、PayPal等，用户无法通过域名访问这些站点。奇安信公司与全球安全社区在事件发生后一起参与了这次事件的追踪、分析、溯源和响应处置，通过利用奇安信公司的恶意扫描源数据，率先发现并持续追踪溯源了这个由摄像头等智能设备组成的僵尸网站。奇安信也是中国唯一参与全球协同处置该事件的机构。希拉里邮件门事件2016年年初，邮件门事件首次被曝光，希拉里在2009年至2013年担任美国国务卿期间，违规使用私人电子邮箱和位于家中的私人服务器收发大量涉密的邮件.涉嫌违反美国《联邦档案法》，面临调查时又匆匆删除。2016年夏季，美国民主党全国委员会、筹款委员会、竞选团队被黑客组织入侵，近2万封邮件被维基解密披露。邮件显示，希拉里涉嫌抹黑竞争对手，以及可能涉嫌洗钱等财务问题。WannaCry勒索病毒席卷全球2017年5月12日，新型"蠕虫"式勒索病毒WannaCry爆发。WannaCry病毒通过对被感染的计算机内的文档、图片、程序等实施高强度加密锁定，以向用户索取5个比特币（价值为人民币币5万多元）的赎金。这场全球最大的网络攻击已经造成至少150个国家和20万台机器受到感染，受害者包括中国、英国、俄罗斯、德国和西班牙等国的医院、大学、制造商和政府机构。2017年5月：WannaCry病毒席卷全球2017年5月：WannaCry病毒席卷全球一旦电脑中了WannaCry病毒，则电脑所有文件被加密，要求支付高昂比特币费用才能拿到解密秘钥。（注：即便支付了也没用）近十年来影响范围最大的一次黑客攻击事件，全球共有150多个国家超过30万台电脑被感染，波及政府、学校、医院、航班、金融等行业。第一次结合比特币勒索进行大规模传播，使得“黑产”完全裸露在大众面前。此勒索病毒基于NSA网络军火库中的“永恒之蓝”漏洞进行传播，基于445共享端口，微软漏洞编号为ms17-010。2017年5月：WannaCry病毒席卷全球2022年俄乌冲突之际，一场“网络世界大战”席卷全球…网络战场作战域：网络空间作战方式：

APT、0day、网络武器现实战场作战域：海陆空天作战方式：坦克、导弹、枪支2022年1月14~15日，乌克兰

70+

网站被DDOS或篡改1

月

14

~

15

日、2

月

15

日，乌克兰军方、内政部、外交部、教育部、能源部、国有银行等约

70

多个官方网站及关键基础信息设施，因遭受DDoS

攻击而瘫痪。部分官方网站主页被篡改并留下宣言：“所有乌克兰⼈的个⼈信息都已公开……不可能修复的。害怕吧！请做最坏的打算吧！”2022年2月22日，欧盟成立“网络快速反应小组”2

月

22

日

，欧盟成立了“网络快速反应小组”，由立陶宛、克罗地亚、波兰、荷兰等多国安全专家组建而成，目的是想通过远程协助的方式，来帮助乌克兰共同抵御网络攻击。该项目旨在为欧盟及其“合作伙伴”提供网络防御能力。至此，欧盟通过网络空间参与“作战”。2022

年

2

月

23

日，乌克兰再遭数据擦除攻击在

2

月

23

日，乌克兰等多家政府网站，以及数百台关键基础设施计算机，遭受到数据擦除攻击。根据公开情报显示，攻击者采用一种叫做HermeticWiper

的新型网络武器，一旦被攻击，则数据无法再恢复。2022年2月25日，乌克兰军方及士兵遭鱼叉钓鱼攻击在

2

月

25

日，乌克兰方面发布预警，声称有一系列针对乌克兰士兵的网络钓鱼电子邮件，涉及到‘i.ua’和‘meta.ua’账户，这两个网址都属于乌克兰的电子邮件服务。邮件中包含伪装为乌克兰军事机构文件、国防部命令文件、国家警察局文件等。2022年2月25日，“匿名者”宣布对俄发动“网络战”2

月

25

日，全球最大的黑客组织“匿名者”宣布对俄发动“网络Z争”。同日，美国前国务卿希拉里在接受采访时呼吁美国黑客对俄罗斯发动网络攻击。紧接着，俄罗斯国家媒体RT电视台网站就被攻克，有几个小时无法访问。同日，美国前国务卿希拉里在接受采访时呼吁美国黑客对俄罗斯发动网络攻击。同日，乌克兰还向韩国等相关国家发起求助，希望大家在网络空间提供援助。2022年2月27日，乌克兰招募全球黑客组建“IT军队”2

月

27

日，乌克兰通过Facebook、Twitter、Telegram等互联网渠道，招募来自全球的网络特工和志愿者黑客，由此组成“IT军队”

，成立“网络联军”

，已有

20万+

人参与加入。同日，应乌克兰请求，美国Telsa、Space和Starlink创始人马斯克宣布，为其开通卫星互联网服务。2022年2月28日，“匿名者”称已关闭俄数百关键站点2

月

28

日，黑客组织匿名者通过推特声称，在数天内已关闭了超过数百个俄罗斯政府、媒体、银行站点，包括一些关键信息基础设施。2022年3月1日，Conti“拆伙”引发网络武器泄露危机俄乌冲突引发相关黑客犯罪组织分裂，因政见不统一，Conti

勒索软件选择站队俄罗斯，引发内部乌克兰安全研究人员的愤怒，疯狂地公开泄露Conti内部数据；从

2

月27日到

3

月1

日，相关成员持续公开泄露Conti/TrickBot源代码、Conti团伙超10万条聊天消息、

泄露数据库等、团伙培训材料。其

TTPs（战术、技术、流程）也已被剖析且公开，恐引发新一轮网络武器/勒索软件危机。2022年3月2日，乌军第72信息心理作战中心遭精确打击3

月

2

日，俄国防部发言人宣称，俄方针对基辅的乌克兰国家安全局技术设施及乌军第72信息心理作战中心实施了精确打击，电视塔广播设备已经基本瘫痪。乌克兰特种作战部队共有

4

个心理战单位：驻扎在圭瓦的第16信息化心理作战中心、驻扎在布罗瓦里的第72信息化心理作战中心、驻扎在利维夫的第83信息化心理作战中心、驻扎在敖德萨的第74信息化心理作战中心。2022年3月3日，

俄发言人：遭受前所未有网络攻击3

月

3

日，俄罗斯外交部发言人称，其外交部网站及相关基础设施正在遭受“前所未有的网络攻击”。相关组织通过社交媒体，发动舆论心理战，引导大批民众加入网络战。2022年2

~3月，全球数十黑客组织加入这场网络混战俄乌网络战总结分析在

2月24日交战前，乌方在网络空间领域，似乎没有任何还手之力；相比之下，俄方通过DDOS

攻击、断网攻击、数据擦除等混合作战手段，结合网空舆论战，形成战略威慑，占据主导优势。在

2

月

24

日火力开战后，乌方开始采取主动防御思路，通过招募全球志愿者网络联军、请求相关国家企业参与支持等多种策略，正式在网络空间领域，与俄罗斯展开攻防对抗局势。在网络作战力量层面，本次网络战可谓规模空前、史无前例，从全球APT黑客组织到国家级网络军队，再到民间志愿者再到私营组织，其影响范围丝毫不亚于物理世界的真枪实弹。2019年3月：委内瑞拉遭黑客攻击致全国大规模停电2019年3月7号，委内瑞拉全国21个洲断电，直到13号才陆续恢复。总统马杜罗指责这是来自美国芝加哥的网络攻击，采用电磁脉冲的方式。美国国务卿蓬佩奥幸灾乐祸地发推文：没有食物、没有医药、没有电，下一步就是没有马杜罗！2018年11月：万豪集团5亿用户开房信息泄露2018年11月30号，万豪国际集团发布公告称，旗下喜达屋酒店宾客数据库信息在未经授权情况下被访问，最多涉及5亿名客人，其中3.27亿人包括姓名、地址、电话、生日、护照、甚至部分支付卡号和有效期等。调查显示最早被黑客入侵于2014年。这是史上第二大大规模的信息泄露案件，受此影响，万豪集团股价大跌5%。2017年4月：NSA方程式组织核武器级攻击库遭泄露NSA（NationalSecurityAgency）即美国安全局，而方程式组织（Equation

Group）据称是旗下一支技术高超的黑客组织；本次泄露事件即影子经纪人（

Shadow

Brokers）黑客组织入侵方程式组织武器库，并最终拿到部分泄密武器。影子经纪人最初希望100万比特币公开售卖（接近5亿美元），但最终没有人支付，所以陆续公开到互联网上。（2016年发布部分，2017年4月14号再次发布）Shadow

Brokers公开的NSA武器库地址：

/misterch0c/shadowbroker美国情报体系解读：/wiki/%E7%BE%8E%E5%9C%8B%E6%83%85%E5%A0%B1%E9%AB%94%E7%B3%BB席卷全球150个国家的WannaCry病毒仅仅用到武器库中的“永恒之蓝”泄露出来的部分武器库，包括以下攻击工具（部分）：EternalBlue（永恒之蓝）

EternalChampion（永恒王者）EternalRomance（永恒浪漫）

EternalSynergy（永恒协作）EmeraldThread（翡翠纤维）

ErraticGopher（古怪地鼠）EsikmoRoll（爱斯基摩卷）

EducatedScholar（文雅学者）

EclipsedWind（日食之翼）

EsteemAudit（尊重审查）以上工具主要基于Windows

135、445、3389等端口进行传播和攻击。2017年4月：NSA方程式组织核武器级攻击库遭泄露NSA武器库安全检测与修复微软官方NSA武器库修复补丁（MS17-010）：/zh-cn/library/security/MS17-010360

NSA武器库免疫工具：2017年3月~至今：CIA

Vault

7武器库持续被泄露美国中央情报局7号军火库在维基解密网站上持续被公开/vault7/ExpressLane：“快车道”，秘密收集系统数据；CouchPotato：“沙发土豆”，实时远程监控视频流；Dumbo：“小飞象”，可以暂停摄像头的进程并破坏相关视频记录；Imperial：“帝国”，针对运行OSX和不同版本的Linux操作系统的计算机；UCL/Raytheon：为CIA远程开发部门提供技术情报；OutlawCountry：“法外之地”，入侵运行有Linux操作系统的计算机；Elsa：“艾尔莎”，利用WiFi追踪电脑地理位置；Brutal

Kangaroo：“野蛮袋鼠”，攻击网闸设备和封闭网络；BothanSpy：“博萨间谍”，对SSH凭证进行拦截与渗透;Cherry

Blossom：“樱花”，攻击无线设备的框架；2017年3月~至今：CIA

Vault7武器库持续被泄露Pandemic：“流行病”，文件服务器转换为恶意软件感染源；Athena：“雅典娜”，恶意间谍软件，能威胁所有Windows版本；AfterMidnight

：“午夜之后”，Winodws平台上的恶意软件框架；Archimedes：“阿基米德”，中间人攻击工具

；Scribbles：CIA追踪涉嫌告密者的程序；Weeping

Angel：“哭泣天使”，将智能电视的麦克风转变为监控工具；Grasshopper：“蝗虫”，针对Windows高度可配置木马远控植入工具；Dark

Matter：“暗物质”，CIA入侵苹果Mac和iOS设备的技术与工具;HighRise：“摩天大楼”，通过短信窃取智能手机数据的工具；Angelfire：专门用于感染Windows计算机设备的恶意软件框架；Protego：“盔甲护身”，导弹控制系统。2017年3月~至今：CIA

Vault7武器库持续被泄露2013年6月：棱镜门事件，斯诺登外逃棱镜计划（PRISM）是美国国家安全局从2007年开始实施的“绝密级”电子监听计划，项目名称为“US-984XN”。PRISM计划的前身是911事件之后“恐怖分子监听计划”，奥巴马任期内一直由美国安全局持续执行。监听对象包括全球政要人物、美国本土及境外人士，包括电话语音、电子邮件、社交通信等图片/语音/视频信息。爱德华·斯诺登（前CIA职员NSA外包技术员）于2013年6月在香港将棱镜计划绝密文档交给英国卫报和美国华盛顿邮报，遭到全球通缉。6月23号从香港逃往莫斯科，得到俄罗斯庇护。2013年6月：棱镜门事件，斯诺登外逃斯诺登电影/纪录片推荐《第四公民》注：第87届奥斯卡金像奖

《斯诺登》2010年6月：震网Stuxnet：第一个工控蠕虫病毒震网（stuxnet）病毒首次于2010年6月被白俄罗斯安全公司VirtusBlokAda发现，是全球第一例被发现针对工业控制系统的网络病毒，据称是美国与以色列用于摧毁伊朗核基础设施铀浓缩离心机而合作研发的；震网（stuxnet）也是罕见的同时采用4个零日漏洞的高复杂性病毒，而这种情况几乎只能是由“国家队”投入大量人力和时间才能做到的。震网纪录片推荐：《零日网络战》国外大规模黑客攻击事件层次不穷2017.09：美国征信巨头Equifax数据库遭攻击，近1.43亿个人信息泄露，占美国人口一半2016.12：雅虎曝史上最大规模信息泄露，10亿用户资料被窃2016.12：俄罗斯央行遭黑客攻击

3100万美元不翼而飞2016.09：Dropbox6800万帐号密码遭泄露2014.05：eBay被攻击导致1亿多用户账户信息遭泄露2011.04：索尼PSN7000万个人账号信息被盗……中国网络安全大事件2022年3月3日，外交部谴责美国NSA全球攻击计划3

月

3

日，我方外交部发言人称：谴责报告曝光的恶意网络活动，再次强烈敦促美方作出解释，并立即停止此类活动。中方将采取必要措施维护中国的网络安全和自身利益。3

月

2

日，360

发布《网络战序幕：美国国安局NSA（APT-C-40）对全球发起长达十余年无差别攻击》2022年3月12日，我国互联网遭持续攻击，IP来自美国根据人民日报、央视新闻报道，

2月下旬以来，我国互联网持续遭受境外网络攻击，境外组织通过攻击控制我境内计算机，进而对俄罗斯、乌克兰、白俄罗斯进行网络攻击。攻击地址主要来自美国，仅来自纽约州的攻击地址就有10余个，攻击流量峰值达36Gbps，87%的攻击目标是俄罗斯和白俄罗斯。3

月

2

日，境外黑客组织AgainstTheWest

声称，其已攻破了Z国南方H空公司、Z国H空公司、广Z地T系统、山X煤矿、中C、黄H机C、海N省Z府单位等。AgainstTheWest

对我方有明确的作战意图和攻击事件，该组织此前明确支持台W。2022年3月，AgainstTheWest黑客组织发起攻击3

月

以来，境外黑客组织

Anonymous

通过多个社交账号声称，其将对中国、俄罗斯等发起网络作战攻击，且持续发布攻破目标源代码，比如三一Z工、小M等。Anonymous

对我方有明确的作战意图和攻击事件，该组织此前明确声援香G事件，曾发动舆论呼吁全球黑客加入攻击行动。截止当前，其已陆续开启进一步行动。2022年3月，Anonymous匿名者黑客组织发起攻击2022年3月，Anonymous匿名者黑客组织发起攻击2020年3月：360披露美国CIA对中国APT攻击

360安全大脑通过对

“Vault7（穹窿7）”网络武器库的研究，于全球首次发现与其关联的一系列针对我国航空航天、科研机构、石油行业、互联网以及政府机构等长达11年的定向攻击。从2008年9月持续到2019年6月左右，主要集中在北京、广东、浙江等省份。涉美攻击组织为APT-C-39，隶属美国中央情报局，具有高超的技术能力和专业化水准。2020年2月：印度APT组织对我国医疗系统进行攻击2020年2月正当中国新冠防疫进行时，印度APT组织对我国医疗机构发起持续性威胁攻击。黑客利用新冠肺炎疫情题材制作诱饵文档，采用鱼叉式攻击，定向投放到医疗机构领域。

注：武汉旅行信息收集申请表.xlsm此次攻击是为了获取最新前沿的医疗新技术和医疗数据、扰乱中国的稳定、制造更多的恐怖。2020年3月：新浪微博5亿用户信息泄露2020

年

3

月

19

号，新浪微博数据信息在暗网和Telegram等平台被交易，其中

5.38

亿微博用户的个人信息中，有

1.72亿被人打包出售。2020

年

3

月

24

号，工信部官网发布公告，要求微博遵循《网络安全法》和《电信和互联网用户个人信息保护规定》等要求，采取有效措施消除数据安全风险。2018年8月：华住集团5亿条用户开房信息泄露2018年8月28号，华住酒店集团数据库暗网公开售卖，包括个人身份和开房信息约5亿条，被标价为

8

比特币或520

门罗币（约等于37

万人民币）出售。泄露数据涉及用户姓名、注册手机号码、电子邮箱地址、身份证号、登录密码、入住时登记信息、酒店开房记录等。国内网络安全事件回顾2017.09：中国互联网安全大会/网络安全宣传周2017.06：央视曝光8成智能摄像头存安全隐患2016.12：京东12G用户信息泄露并流通于黑市2015.10：网易163/126邮箱5亿条用户数据泄露2015.04：30个省市社保系统遭入侵，上千万个人信息泄露2014.08：“XX神器”短信病毒致数百万用户隐私泄露2011.12：CSDN网站

600万账号信息泄露2011.06：新浪微博XSS蠕虫病毒大规模用户中招2010.01：百度域名被伊朗黑客劫持，超8个小时无法访问……网络入侵应对1.4网络入侵应对安全的网络环境，是指在网络环境中的硬件设备和软件都能够正常有序的工作，不受任何因素的影响。这种定义当然只是理想状态下，但是通过一些技术手段，在一定时间内实现相对的安全，让人们放心的使用网络，是可以做到的。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。防火墙=警卫，IDS=摄像头防火墙通常不能阻止来自内部网络的攻击，入侵检测是网络安全的第二道闸门，IPS/IDS是防火墙的的必要补充。防火墙VSIDS/IPS前期主要用于访问限制，后者主要实现深度防御前期侧重流量路径控制，后者侧重病毒过滤总结“俄乌网络战”背后，本质是国家间网络安全力量的对抗。当一个国家在网络安全领域，拥有越来越多网络安全人才、企业、资源时，就可以实现真正的“藏兵于民”，以此在国家网空领域冲突时，争夺更有利的话语权。简单来讲，无论在哪个领域，话语权要么是威慑出来的，要么是“打”出来的。因此，抓紧全球百年未有之变局，跟随国家网络安全战略，选择网络安全领域作为职业发展赛道，大有可为。攻防一体是网络安全的发展趋势。只懂攻击不懂防御不行，只懂防御不懂攻击也不行，在本次俄乌网空战中，可谓体现得淋漓尽致。我们在学习网络安全技术时，除了学习“Web渗透”、“内网渗透”、“漏洞挖掘”，也需要学习“安全建设”、“等保合规”、“应急响应”。当今网络安全事件已经完全渗透到真实世界里，“比特世界”和“原子世界”边界彻底被打破。毫无疑问地，国家与国家之间的对抗已经在“第五空间”展开。思政要点：安全意识、责任意识、爱国精神网络安全已经上升到国家安全的高度THANKS!让网络更安全让世界更美好第二章入侵检测与防御原理入侵检测与防御基本概念入侵检测系统的基本模型入侵检测系统的分类入侵检测与防御的关键技术入侵检测与防御的流程入侵检测系统的体系架构入侵检测与防御基本概念2.1入侵检测基本概念入侵检测：依据一定的安全策略，对网络及系统的运行状况进行检测，识别对计算机或网络信息的恶意行为，并对此行为做出响应的过程。入侵检测系统（IntrusionDetectionSystem，IDS）：具有入侵检测功能的系统，是进行入侵检测的软件与硬件的组合。一般来讲，攻击分为来自外部网络的攻击，来自内部网络的攻击以及内部人员误操作导致的虚假攻击，IDS会从这三个方面进行分析。可以将IDS理解为一位有丰富经验的网络侦查员，任务就是分析出可疑信息并做出相应处理。IDS通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。IDS通过分析网络行为、安全日志、审计数据和其他信息对应执行监视系统活动、审计系统漏洞、识别攻击行为和报警攻击。入侵检测基本概念入侵检测系统的主要功能：监视、分析用户及系统的活动；系统构造和弱点的审计；识别已知的进攻并报警；对异常行为模式进行统计