網(wǎng)絡(luò)攻擊攻擊類(lèi)型多種多樣�����,相關(guān)技術(shù)也層出不窮�,藍(lán)隊(duì)云整理了一些常見(jiàn)的網(wǎng)絡(luò)攻擊分享給大家。以便針對(duì)性進(jìn)行識(shí)別和防御。
一����、端口掃描
端口掃描的目的是找出目標(biāo)系統(tǒng)上提供的服務(wù)列表�����。端口掃描程序挨個(gè)嘗試與 TCP/UDP端口連接,然后根據(jù)端口與服務(wù)的對(duì)應(yīng)關(guān)系�����,結(jié)合服務(wù)器端的反應(yīng)推斷目標(biāo)系統(tǒng)上是否運(yùn)行了某項(xiàng)服務(wù)��,攻擊者通過(guò)這些服務(wù)可能獲得關(guān)于目標(biāo)系統(tǒng)的進(jìn)一步的知識(shí)或通往目標(biāo)系統(tǒng)的途徑���。根據(jù)端口掃描利用的技術(shù)�,掃描可以分成多種類(lèi)型����,下面分別敘述。
1、完全連接掃描
完全連接掃描利用 TCP/IP 協(xié)議的三次握手連接機(jī)制����,使源主機(jī)和目的主機(jī)的某個(gè)端口建立一次完整的連接�����。如果建立成功�����,則表明該端口開(kāi)放��。否則,表明該端口關(guān)閉��。
2���、半連接掃描
半連接掃描是指在源主機(jī)和目的主機(jī)的三次握手連接過(guò)程中�����,只完成前兩次握手��,不建立一次完整的連接。
3�、SYN 掃描
首先向目標(biāo)主機(jī)發(fā)送連接請(qǐng)求����,當(dāng)目標(biāo)主機(jī)返回響應(yīng)后�,立即切斷連接過(guò)程,并查看響應(yīng)情況�。如果目標(biāo)主機(jī)返回 ACK 信息���,表示目標(biāo)主機(jī)的該端口開(kāi)放�。如果目標(biāo)主機(jī)返回 RESET信息����,表示該端口沒(méi)有開(kāi)放。
4�����、ID 頭信息掃描
這種掃描方法需要用一臺(tái)第三方機(jī)器配合掃描�����,并且這臺(tái)機(jī)器的網(wǎng)絡(luò)通信量要非常少,即dumb主機(jī)(啞主機(jī))�。
首先由源主機(jī)A向dumb主機(jī)B發(fā)出連續(xù)的 PING 數(shù)據(jù)包�����,并且查看主機(jī)B返回的數(shù)據(jù)包ID頭信息����。一般而言����,每個(gè)順序數(shù)據(jù)包的ID頭的值會(huì)增加 1。然后由源主機(jī)A假冒主機(jī)B的地址向目的主機(jī)C的任意端口 (1 ~65535) 發(fā)送 SYN 數(shù)據(jù)包�����。這時(shí)�����,主機(jī)C向主機(jī)B發(fā)送的數(shù)據(jù)包有兩種可能的結(jié)果:
? SYNIACK 表示該端口處于監(jiān)聽(tīng)狀態(tài)����。
? RSTIACK 表示該端口處于非監(jiān)聽(tīng)狀態(tài)��。
那么�����,由后續(xù) PING 數(shù)據(jù)包的響應(yīng)信息的 ID 頭信息可以看出�����,如果主機(jī)C的某個(gè)端口是開(kāi)放的�����,則主機(jī)B返回A的數(shù)據(jù)包中,ID 頭的值不是遞增 1, 而是大于1�。如果主機(jī)C的某個(gè)端口是非開(kāi)放的����,則主機(jī)B返回A的數(shù)據(jù)包中��, ID 頭的值遞增 1, 非常規(guī)律����。
5�����、 隱蔽掃描
隱蔽掃描是指能夠成功地繞過(guò) IDS ����、防火墻和監(jiān)視系統(tǒng)等安全機(jī)制��,取得目標(biāo)主機(jī)端口信息的一種掃描方式����。
6��、SYN|ACK 掃描
由源主機(jī)向目標(biāo)主機(jī)的某個(gè)端口直接發(fā)送 SYN|ACK 數(shù)據(jù)包,而不是先發(fā)送 SYN 數(shù)據(jù)包。由于這種方法不發(fā)送 SYN 數(shù)據(jù)包�,目標(biāo)主機(jī)會(huì)認(rèn)為這是一次錯(cuò)誤的連接�,從而會(huì)報(bào)錯(cuò)����。
如果目標(biāo)主機(jī)的該端口沒(méi)有開(kāi)放,則會(huì)返回 RST 信息。如果目標(biāo)主機(jī)的該端口處于開(kāi)放狀態(tài) (LISTENING) �����,則不會(huì)返回任何信息��,而是直接將這個(gè)數(shù)據(jù)包拋棄掉���。
7�����、FIN 掃描
源主機(jī)A向目標(biāo)主機(jī)B發(fā)送 FIN 數(shù)據(jù)包��,然后查看反饋信息。如果端口返回 RESET 信息,則說(shuō)明該端口關(guān)閉����。如果端口沒(méi)有返回任何信息��,則說(shuō)明該端口開(kāi)放。
8、ACK 掃描
首先由主機(jī)A向目標(biāo)主機(jī)B發(fā)送 FIN 數(shù)據(jù)包���,然后查看反饋數(shù)據(jù)包的 TTL 值和 WIN 值。開(kāi)放端口所返回的數(shù)據(jù)包的 TTL 值一般小于 64, 而關(guān)閉端口的返回值一般大于64 。開(kāi)放端口所返回的數(shù)據(jù)包的 WIN 般大于 0, 而關(guān)閉端口的返回值一般等于0��。
9��、NULL 掃描
將源主機(jī)發(fā)送的數(shù)據(jù)包中的 ACK FIN RST SYN URG PSH 等標(biāo)志位全部置空���。如果目標(biāo)主機(jī)沒(méi)有返回任何信息,則表明該端口是開(kāi)放的。如果返回 RST 信息����,則表明該端口是關(guān)閉的����。
10�����、XMAS 掃描
XMAS 掃描的原理和 NULL 掃描相同����,只是將要發(fā)送的數(shù)據(jù)包中的 ACK���、FIN���、RST����、SYN、URG����、PSH 等頭標(biāo)志位全部置成 ����。如果目標(biāo)主機(jī)沒(méi)有返回任何信息��,則表明該端口是開(kāi)放的�����。如果返回 RST 信息���,則表明該端口是關(guān)閉的��。
二�、口令破解
對(duì)于大部分人和系統(tǒng)來(lái)說(shuō)�����,口令機(jī)制是資源訪問(wèn)控制的第一道屏障����,也是最后一道屏障���。所以網(wǎng)絡(luò)攻擊者常常以破解用戶(hù)的弱口令為突破口�����,獲取系統(tǒng)的訪問(wèn)權(quán)限���?���?诹钇平獾闹饕ぷ髁鞒倘缦拢?/span>
1、建立與目標(biāo)網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)連接���;
2、選取一個(gè)用戶(hù)列表文件及字典文件�;
3��、在用戶(hù)列表文件及字典文件中���,選取一組用戶(hù)和口令��,按網(wǎng)絡(luò)服務(wù)協(xié)議規(guī)定����,將用戶(hù)名及口令發(fā)送給目標(biāo)網(wǎng)絡(luò)服務(wù)端口��;
4�、檢測(cè)遠(yuǎn)程服務(wù)返回信息�����,確定口令嘗試是否成功��;
5、如未成功,再取另一組用戶(hù)和口令,重復(fù)循環(huán)試驗(yàn)��,直至口令用戶(hù)列表文件及字典文件選取完畢�����。
三�����、緩沖區(qū)溢出
緩沖區(qū)溢出攻擊是攻擊者通過(guò)程序向緩沖區(qū)寫(xiě)入超長(zhǎng)的、預(yù)設(shè)的內(nèi)容�,導(dǎo)致緩沖區(qū)溢出����,覆蓋其它正常的程序或數(shù)據(jù)���,然后讓計(jì)算機(jī)去運(yùn)行預(yù)設(shè)的程序��,達(dá)到執(zhí)行非法操作、實(shí)現(xiàn)攻擊目的����。
四����、惡意代碼
惡意代碼是指為達(dá)到惡意目的而專(zhuān)門(mén)設(shè)計(jì)的程序或代碼��,旨在破壞計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)的可靠性�、可用性����、安全性和數(shù)據(jù)完整性或者損耗系統(tǒng)資源的惡意程序。常見(jiàn)的惡意代碼類(lèi)型有計(jì)算機(jī)病毒�、網(wǎng)絡(luò)蠕蟲(chóng)���、特洛伊木馬�、后門(mén)��、邏輯炸彈�、僵尸網(wǎng)絡(luò)等���。
五���、拒絕服務(wù)
拒絕服務(wù)攻擊是指攻擊者利用系統(tǒng)的缺陷,執(zhí)行一些惡意的操作消耗系統(tǒng)資源,使得目標(biāo)系統(tǒng)用戶(hù)不能及時(shí)得到應(yīng)得的服務(wù)或系統(tǒng)資源���。
典型的攻擊服務(wù)有以下幾種:
1、同步包風(fēng)暴 (SYN Flood)
攻擊者假造源網(wǎng)址 (Source IP) 發(fā)送多個(gè)同步數(shù)據(jù)包 (Syn Packet) 給服務(wù)器 (Server),服務(wù)器因無(wú)法收到確認(rèn)數(shù)據(jù)包 (Ack Packet) ,使 TCP/IP 協(xié)議的三次握手 (Three-Way Hand-Shacking) 無(wú)法順利完成�,因而無(wú)法建立連接���。其原理是發(fā)送大量半連接狀態(tài)的服務(wù)請(qǐng)求���,使Unix 等服務(wù)主機(jī)無(wú)法處理正常的連接請(qǐng)求,因而影響正常運(yùn)作����。
2��、UDP 洪水 (UDP Flood)
攻擊主機(jī)利用簡(jiǎn)單的 TCP/IP 服務(wù),對(duì)目標(biāo)主機(jī)發(fā)送海量的UDP報(bào)文�,消耗完目標(biāo)主機(jī)的網(wǎng)絡(luò)帶寬����。
3���、Smurf 攻擊
攻擊者偽裝目標(biāo)主機(jī)向局域網(wǎng)的廣播地址發(fā)送大量欺騙性的ICMP請(qǐng)求���,這些包被放大并發(fā)送至被欺騙的地址���,大量的計(jì)算機(jī)向一臺(tái)計(jì)算機(jī)回應(yīng)ECHO包�����,導(dǎo)致目標(biāo)系統(tǒng)網(wǎng)絡(luò)阻塞��。
4、垃圾郵件
攻擊者利用郵件系統(tǒng)制造垃圾信息��,通過(guò)專(zhuān)門(mén)的郵件炸彈 (mail bomb) 程序給受害用戶(hù)的信箱發(fā)送垃圾信息�����,耗盡用戶(hù)信箱的磁盤(pán)空間����。
5�����、消耗 CPU 和內(nèi)存資源的拒絕服務(wù)攻擊
利用目標(biāo)系統(tǒng)的計(jì)算算法漏洞,構(gòu)造惡意輸入數(shù)據(jù)集�����,導(dǎo)致目標(biāo)系統(tǒng)的 CPU 或內(nèi)存資源耗盡�����,從而使目標(biāo)系統(tǒng)癱瘓�。
6�、死亡之 ping (ping of death)
早期,路由器對(duì)包的最大尺寸都有限制�����,許多操作系統(tǒng)在實(shí)現(xiàn) TCP/IP 堆棧時(shí)�����,規(guī)定 ICMP包小于等于64KB, 并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后���,要根據(jù)該標(biāo)題頭中包含的信息為有效載荷生成緩沖區(qū)���。當(dāng)產(chǎn)生畸形的�����、尺寸超過(guò) ICMP 上限的包,即加載的尺寸超過(guò) 64KB 上限時(shí),就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤�,導(dǎo)致 TCP/IP 堆棧崩潰����,使接收方死機(jī)��。
7��、 淚滴攻擊 (Teardrop Attack)
淚滴攻擊暴露出 IP 數(shù)據(jù)包分解與重組的弱點(diǎn) IP 數(shù)據(jù)包在網(wǎng)絡(luò)中傳輸時(shí),會(huì)被分解成許多不同的片傳送,并借由偏移量字段 (Offset Field) 作為重組的依據(jù)�����。淚滴攻擊通過(guò)加入過(guò)多或不必要的偏移量字段�����,使計(jì)算機(jī)系統(tǒng)重組錯(cuò)亂�����,產(chǎn)生不可預(yù)期的后果。
8��、分布式拒絕服務(wù)攻擊 (Distributed Denial of Service Attack)
分布式拒絕服務(wù)攻擊是指植入后門(mén)程序從遠(yuǎn)程遙控攻擊��,攻擊者從多個(gè)已入侵的跳板主機(jī)控制數(shù)個(gè)代理攻擊主機(jī)��,所以攻擊者可同時(shí)對(duì)已控制的代理攻擊主機(jī)激活干擾命令,對(duì)受害主機(jī)大量攻擊。
六、網(wǎng)絡(luò)釣魚(yú)
網(wǎng)絡(luò)釣魚(yú) (Phishing)是一種通過(guò)假冒可信方(知名銀行���、在線零售商和信用卡公司等可信的品牌)提供網(wǎng)上服務(wù),以欺騙手段獲取敏感個(gè)人信息(如口令、信用卡詳細(xì)信息等)的攻擊方式�����。目前��,網(wǎng)絡(luò)釣魚(yú)綜合利用社會(huì)工程攻擊技巧和現(xiàn)代多種網(wǎng)絡(luò)攻擊手段,以達(dá)到欺騙意圖�����。網(wǎng)絡(luò)釣魚(yú)者利用欺騙性的電子郵件和偽造的網(wǎng)站來(lái)進(jìn)行詐騙活動(dòng)����,誘騙訪問(wèn)者提供一些個(gè)人信息,如信用卡號(hào)、賬戶(hù)和口令��、社保編號(hào)等內(nèi)容�����,以謀求不正當(dāng)利益����。
七�����、網(wǎng)絡(luò)竊聽(tīng)
網(wǎng)絡(luò)竊聽(tīng)是指利用網(wǎng)絡(luò)通信技術(shù)缺陷�,使得攻擊者能夠獲取到其他人的網(wǎng)絡(luò)通信信息���。常見(jiàn)的網(wǎng)絡(luò)竊聽(tīng)技術(shù)手段主要有網(wǎng)絡(luò)嗅探�、中間人攻擊。網(wǎng)絡(luò)攻擊者將主機(jī)網(wǎng)絡(luò)接口的方式設(shè)成“雜亂”模式����,就可以接收整個(gè)網(wǎng)絡(luò)上的信息包�����,從而可以獲取敏感的口令����,甚至將其重組,還原為用戶(hù)傳遞的文件����。
八��、SQL 注入
在Web 服務(wù)中�����,一般采用三層架構(gòu)模式:瀏覽器+Web 服務(wù)器+數(shù)據(jù)庫(kù)。其中����, Web 腳本程序負(fù)責(zé)處理來(lái)自瀏覽器端提交的信息�,如用戶(hù)登錄名和密碼���、查詢(xún)請(qǐng)求等�。但是,由于 Web腳本程序的編程漏洞�����,對(duì)來(lái)自瀏覽器端的信息缺少輸入安全合法性檢查�����,網(wǎng)絡(luò)攻擊者利用這種類(lèi)型的漏洞 SQL 命令插入 Web 表單的輸入域或頁(yè)面的請(qǐng)求查找字符串���,欺騙服務(wù)器執(zhí)行惡意的 SQL 命令���。
九、社交工程
網(wǎng)絡(luò)攻擊者通過(guò)一系列的社交活動(dòng)����,獲取需要的信息����。例如偽造系統(tǒng)管理員的身份����,給特定的用戶(hù)發(fā)電子郵件騙取他的密碼口令。有的攻擊者會(huì)給用戶(hù)送免費(fèi)程序����,不過(guò)該程序除了完成用戶(hù)所需的功能外�,還隱藏了一個(gè)將用戶(hù)的計(jì)算機(jī)信息發(fā)送給攻擊者的功能���。
十��、電子監(jiān)聽(tīng)
網(wǎng)絡(luò)攻擊者采用電子設(shè)備遠(yuǎn)距離地監(jiān)視電磁波的傳送過(guò)程�����。靈敏的無(wú)線電接收裝置能夠在遠(yuǎn)處看到計(jì)算機(jī)操作者輸入的字符或屏幕顯示的內(nèi)容。
十一、會(huì)話(huà)劫持
會(huì)話(huà)劫持是指攻擊者在初始授權(quán)之后建立一個(gè)連接,在會(huì)話(huà)劫持以后,攻擊者具有合法用戶(hù)的特權(quán)權(quán)限
十二、漏洞掃描
漏洞掃描是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全漏洞的軟件�����,通過(guò)漏洞掃描器可以自動(dòng)發(fā)現(xiàn)系統(tǒng)的安全漏洞�。常見(jiàn)的漏洞掃描技術(shù)有CGI 漏洞掃描、弱口令掃描����、操作系統(tǒng)漏洞掃描�、數(shù)據(jù)庫(kù)漏洞掃描等�。
十三�、代理技術(shù)
網(wǎng)絡(luò)攻擊者通過(guò)免費(fèi)代理服務(wù)器進(jìn)行攻擊,其目的是以代理服務(wù)器為“攻擊跳板”,即使攻擊目標(biāo)的網(wǎng)絡(luò)管理員發(fā)現(xiàn)了�,也難以追蹤到網(wǎng)絡(luò)攻擊者的真實(shí)身份或 IP 地址���。為了增加追蹤的難度���,網(wǎng)絡(luò)攻擊者還會(huì)用多級(jí)代理服務(wù)器或者“跳板主機(jī)”來(lái)攻擊目標(biāo)�。代理服務(wù)器被叫作“肉雞”���,黑客常利用所控制的機(jī)器進(jìn)行攻擊活動(dòng),例如 DDoS 攻擊。
十四��、數(shù)據(jù)加密
網(wǎng)絡(luò)攻擊者常常采用數(shù)據(jù)加密技術(shù)來(lái)逃避網(wǎng)絡(luò)安全管理人員的追蹤���。加密使網(wǎng)絡(luò)攻擊者的數(shù)據(jù)得到有效保護(hù)���,即使網(wǎng)絡(luò)安全管理人員得到這些加密的數(shù)據(jù)��,沒(méi)有密鑰也無(wú)法讀懂��,這樣就實(shí)現(xiàn)了攻擊者的自身保護(hù)。攻擊者的安全原則是,任何與攻擊有關(guān)的內(nèi)容都必須加密或者立刻銷(xiāo)毀����。
藍(lán)隊(duì)云是成立15年的云計(jì)算及網(wǎng)絡(luò)安全服務(wù)商��,擁有專(zhuān)業(yè)網(wǎng)絡(luò)安全服務(wù)團(tuán)隊(duì),豐富的網(wǎng)絡(luò)安全服務(wù)經(jīng)驗(yàn)��。藍(lán)隊(duì)云自2015年以來(lái)多次為國(guó)際及國(guó)家會(huì)議��、省級(jí)權(quán)威賽事提供技術(shù)服務(wù)����,是國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)第九屆網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位�,在2021年被聘選為聯(lián)合國(guó)《生物多樣性公約》第十五次締約方大會(huì)(COP15)網(wǎng)絡(luò)安全保衛(wèi)組特聘技術(shù)支撐單位��,2022年獲頒由云南省委網(wǎng)信辦�����、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心云南分中心遴選的第一屆云南省網(wǎng)絡(luò)安全應(yīng)急技術(shù)服務(wù)支撐單位。藍(lán)隊(duì)云能夠?yàn)檎?、企業(yè)等客戶(hù)提供定制化的網(wǎng)絡(luò)安全服務(wù)�����,服務(wù)范圍涵蓋風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試���、安全運(yùn)維、應(yīng)急響應(yīng)���、代碼審計(jì)、攻防演練����、等保合規(guī)����、密評(píng)改造等����,需要的朋友可以和藍(lán)隊(duì)云聯(lián)系。
