最近有很多人咨詢網(wǎng)絡(luò)安全方面的問題���,身邊發(fā)生的一些網(wǎng)絡(luò)安全事件讓很多人心生憂懼�����,無所適從���。本文想從技術(shù)角度科普一下目前網(wǎng)絡(luò)攻擊的方法、過程和主要的網(wǎng)絡(luò)攻擊類型����,主要目的是普及網(wǎng)絡(luò)安全知識,從科學(xué)角度讓大家了解它是什么��,原理是怎么樣的�����,怎樣防控。在正文開始之前先說一個結(jié)論:“人是一切安全問題的根源,也是安全生產(chǎn)力��,人對網(wǎng)絡(luò)安全起著決定性作用”����。
周鴻祎:在大安全時代,人是一切安全問題的根源news.ifeng.com/c/7faO2uTC2hS1.網(wǎng)絡(luò)攻擊的過程
網(wǎng)絡(luò)安全圈有一個頗具爭議的說法叫“不知攻焉知防 ”����,這里不去討論其正確與否,但作為相關(guān)專業(yè)人員��,了解一下別人是怎么攻擊你的�,應(yīng)該還是有必要的。所謂“知彼知己��,百戰(zhàn)不殆”�����。
參考:攻防兼?zhèn)?是安全的基本要求 - 對《“未知攻 焉知防”是偽命題》的不同看法
百度百科上是這樣定義“網(wǎng)絡(luò)攻擊”的:
網(wǎng)絡(luò)攻擊(Cyber Attacks���,也稱賽博攻擊)是指針對計(jì)算機(jī)信息系統(tǒng)�、基礎(chǔ)設(shè)施�、計(jì)算機(jī)網(wǎng)絡(luò)或個人計(jì)算機(jī)設(shè)備的,任何類型的進(jìn)攻動作�。對于計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)來說,破壞�、揭露、修改�、使軟件或服務(wù)失去功能、在沒有得到授權(quán)的情況下偷取或訪問任何一計(jì)算機(jī)的數(shù)據(jù)�����,都會被視為于計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)中的攻擊�����。
參考: 網(wǎng)絡(luò)攻擊_百度百科
簡單來說�,網(wǎng)絡(luò)攻擊是利用網(wǎng)絡(luò)信息系統(tǒng)中存在的漏洞和安全缺陷對系統(tǒng)和資源進(jìn)行的攻擊。系統(tǒng)的的漏洞和安全缺陷會隨著人的加入變成動態(tài)的��、變化的�。
1.1 網(wǎng)絡(luò)攻擊鏈
2011年,美國洛克希德·馬�。↙ockheed Martin)公司的研究人員在其《智能驅(qū)動的計(jì)算機(jī)網(wǎng)絡(luò)防御-通過對敵對方的運(yùn)動與入侵的殺傷鏈分析》(Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains)白皮書中提出了“網(wǎng)絡(luò)殺傷鏈”的觀點(diǎn),國內(nèi)一些資料上也稱之為洛克希德-馬丁公司的七步網(wǎng)絡(luò)殺傷鏈。
“殺傷鏈”是美國國防部2007年提出的一種概念��,它是一個系統(tǒng)的過程����,該過程以瞄準(zhǔn)對手并與之交戰(zhàn),最終達(dá)到希望的效果��。美國的軍事目標(biāo)學(xué)說將這一過程的步驟定義為:find發(fā)現(xiàn)�,fix確認(rèn),track跟蹤�,target瞄準(zhǔn),engage交戰(zhàn)��,assess評估(F2T2EA):找到適合交戰(zhàn)的對手目標(biāo)��;確定他們的位置�����;跟蹤觀察����;用合適的武器或資產(chǎn)瞄準(zhǔn)以產(chǎn)生所需的效果;評估效果���。這是一個完整的����,端到端的過程���,稱為“鏈”�,因?yàn)槿魏我粋環(huán)節(jié)出現(xiàn)問題都會中斷整個過程���。
“網(wǎng)絡(luò)殺傷鏈”由攻擊流程與防御概念構(gòu)成���。攻擊流程分為偵察、武器化���、散布�、漏洞利用���、設(shè)置�����、命令與控制���、目標(biāo)達(dá)成七個階段�����。
洛克希德馬丁公司參考美國國防部信息作戰(zhàn)(Information Operation)小組的應(yīng)對方案���,將網(wǎng)絡(luò)防御類型分為探測、拒止�、干擾、弱化�、欺瞞、破壞六種��。
參考:網(wǎng)絡(luò)殺傷鏈概念及其在軍事領(lǐng)域中的應(yīng)用
1.2 網(wǎng)絡(luò)攻擊過程與原理
看到這里���,可能有點(diǎn)暈頭轉(zhuǎn)向���,上面的資料中是將網(wǎng)絡(luò)攻擊和防御過程抽象模型化之后的描述,而在滲透測試專業(yè)的教材中���,一般是這樣描述的網(wǎng)絡(luò)攻擊過程的:
預(yù)攻擊階段攻擊階段后攻擊階段
1)預(yù)攻擊階段
預(yù)攻擊階段主要包括信息收集和漏洞掃描��。
信息收集
盡可能多的收集目標(biāo)的相關(guān)信息��,為后續(xù)的“精確”攻擊打下基礎(chǔ)�����。這一階段收集的信息包括:網(wǎng)絡(luò)信息(域名�����、IP地址�、網(wǎng)絡(luò)拓?fù)洌�����、系統(tǒng)信息(操作系統(tǒng)版本��、開放的各種網(wǎng)絡(luò)服務(wù)版本)�、用戶信息(用戶標(biāo)識,組標(biāo)識��、共享資源����、即時通信軟件賬號、郵件賬號)等���。
收集的方法主要有被動收集和主動收集�����。
被動收集主要是通過搜索引擎���、社交網(wǎng)絡(luò)等方式對目標(biāo)信息進(jìn)行提取���,主要包括IP查詢、Whois查詢����、子域名搜集等。被動信息搜集不與目標(biāo)產(chǎn)生交互�,可以在不接觸目標(biāo)系統(tǒng)的情況下,挖掘目標(biāo)信息�。主要方法包括:DNS解析、子域名挖掘��、郵件爬取�����、社交軟件挖掘�。我們使用的一些軟件�����,如�、keep���、微博等就是被動收集的情報(bào)來源�。
主動收集則要與目標(biāo)進(jìn)行交互�����,一般是偽裝成正常的網(wǎng)絡(luò)數(shù)據(jù)包與目標(biāo)主機(jī)通信�,通過分析報(bào)文中的指紋信息來確定目標(biāo)系統(tǒng)的特征與漏洞�����。常見的技術(shù)有基于ICMP的主機(jī)發(fā)現(xiàn)�����、基于TCP和UDP協(xié)議的主機(jī)發(fā)現(xiàn)�、基于ARP協(xié)議(多用于局域網(wǎng))的主機(jī)發(fā)現(xiàn)、端口探測�����、服務(wù)識別、系統(tǒng)識別�、敏感目錄探測等。常見的工具有nmap等
漏洞掃描
漏洞掃描是和信息收集密不可分的����,是信息搜集完成之后的利用階段。它是基于漏洞數(shù)據(jù)庫��,通過掃描等手段對指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測���,發(fā)現(xiàn)可利用漏洞的一種安全檢測(滲透攻擊)行為��。
講怎么進(jìn)行漏洞掃描之前需要先了解什么是漏洞����,簡單來說就是“只要是人寫的系統(tǒng)����,就會有漏洞,有漏洞就會被人利用��������!
參考資料:漏洞_百度百科 周鴻祎:只要是人寫的系統(tǒng)就會有漏洞 有漏洞就會被利用
基于網(wǎng)絡(luò)的漏洞掃描就是通過遠(yuǎn)程檢測目標(biāo)主機(jī)TCP/IP不同端口的服務(wù)��,記錄目標(biāo)主機(jī)給與的回答�����,用這種方法來了解目標(biāo)主機(jī)的各種信息�,獲得相關(guān)信息后,與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配���,如果滿足匹配條件則視為漏洞存在。還有一種方法就是通過模擬黑客的進(jìn)攻手法����,對目標(biāo)主機(jī)進(jìn)行攻擊性的安全漏洞掃描,如測試弱口令等��,如果模擬攻擊成功�,則視為漏洞存在。常見的漏洞掃描工具有:NESSUS�����、NEXPOSE、OPENVAS���、AWVS����、APPSCAN等�。
2)攻擊階段
攻擊階段主要是在情報(bào)收集、威脅建模和漏洞分析之后進(jìn)行漏洞利用的過程�。
這個階段關(guān)注的重點(diǎn)是:如何繞過安全機(jī)制來控制目標(biāo)系統(tǒng)或訪問目標(biāo)資源。常見的攻擊方式有一下幾種:
Web應(yīng)用入侵(聚焦于web應(yīng)用程序)繞過IDS���、防火墻及蜜罐Web服務(wù)器入侵(聚焦于web服務(wù)器平臺軟件)拒絕服務(wù)緩沖區(qū)溢出
常見的工具有Metasploit框架����、Sqlmap�����、Kali linux等
因?yàn)檫@一階段涉及很多深入的網(wǎng)絡(luò)通信與安全知識��,就不深入講解了����,僅列出名詞���。
3)后攻擊階段
這是網(wǎng)絡(luò)攻擊的主要階段,是網(wǎng)絡(luò)存在問題會帶來的主要風(fēng)險(xiǎn)所在�����,這個階段可能會進(jìn)行的工作有:
控制權(quán)限的提升登錄憑證的竊取重要信息的獲取利用目標(biāo)作為跳板建立長期的控制通道
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
