網(wǎng)絡(luò)攻擊攻擊類型多種多樣，相關(guān)技術(shù)也層出不窮，藍(lán)隊(duì)云整理了一些常見的網(wǎng)絡(luò)攻擊分享給大家。以便針對(duì)性進(jìn)行識(shí)別和防御。

一、端口掃描

端口掃描的目的是找出目標(biāo)系統(tǒng)上提供的服務(wù)列表。端口掃描程序挨個(gè)嘗試與 TCP/UDP端口連接，然后根據(jù)端口與服務(wù)的對(duì)應(yīng)關(guān)系，結(jié)合服務(wù)器端的反應(yīng)推斷目標(biāo)系統(tǒng)上是否運(yùn)行了某項(xiàng)服務(wù)，攻擊者通過這些服務(wù)可能獲得關(guān)于目標(biāo)系統(tǒng)的進(jìn)一步的知識(shí)或通往目標(biāo)系統(tǒng)的途徑。根據(jù)端口掃描利用的技術(shù)，掃描可以分成多種類型，下面分別敘述。

1、完全連接掃描

完全連接掃描利用 TCP/IP 協(xié)議的三次握手連接機(jī)制，使源主機(jī)和目的主機(jī)的某個(gè)端口建立一次完整的連接。如果建立成功，則表明該端口開放。否則，表明該端口關(guān)閉。

2、半連接掃描

半連接掃描是指在源主機(jī)和目的主機(jī)的三次握手連接過程中，只完成前兩次握手，不建立一次完整的連接。

3、SYN 掃描

首先向目標(biāo)主機(jī)發(fā)送連接請(qǐng)求，當(dāng)目標(biāo)主機(jī)返回響應(yīng)后，立即切斷連接過程，并查看響應(yīng)情況。如果目標(biāo)主機(jī)返回 ACK 信息，表示目標(biāo)主機(jī)的該端口開放。如果目標(biāo)主機(jī)返回 RESET信息，表示該端口沒有開放。

4、ID 頭信息掃描

這種掃描方法需要用一臺(tái)第三方機(jī)器配合掃描，并且這臺(tái)機(jī)器的網(wǎng)絡(luò)通信量要非常少，即dumb主機(jī)（啞主機(jī)）。

首先由源主機(jī)A向dumb主機(jī)B發(fā)出連續(xù)的 PING 數(shù)據(jù)包，并且查看主機(jī)B返回的數(shù)據(jù)包ID頭信息。一般而言，每個(gè)順序數(shù)據(jù)包的ID頭的值會(huì)增加 1。然后由源主機(jī)A假冒主機(jī)B的地址向目的主機(jī)C的任意端口 (1 ~65535) 發(fā)送 SYN 數(shù)據(jù)包。這時(shí)，主機(jī)C向主機(jī)B發(fā)送的數(shù)據(jù)包有兩種可能的結(jié)果：

? SYNIACK 表示該端口處于監(jiān)聽狀態(tài)。

? RSTIACK 表示該端口處于非監(jiān)聽狀態(tài)。

那么，由后續(xù) PING 數(shù)據(jù)包的響應(yīng)信息的 ID 頭信息可以看出，如果主機(jī)C的某個(gè)端口是開放的，則主機(jī)B返回A的數(shù)據(jù)包中，ID 頭的值不是遞增 1, 而是大于1。如果主機(jī)C的某個(gè)端口是非開放的，則主機(jī)B返回A的數(shù)據(jù)包中， ID 頭的值遞增 1, 非常規(guī)律。

5、 隱蔽掃描

隱蔽掃描是指能夠成功地繞過 IDS 、防火墻和監(jiān)視系統(tǒng)等安全機(jī)制，取得目標(biāo)主機(jī)端口信息的一種掃描方式。

6、SYN|ACK 掃描

由源主機(jī)向目標(biāo)主機(jī)的某個(gè)端口直接發(fā)送 SYN|ACK 數(shù)據(jù)包，而不是先發(fā)送 SYN 數(shù)據(jù)包。由于這種方法不發(fā)送 SYN 數(shù)據(jù)包，目標(biāo)主機(jī)會(huì)認(rèn)為這是一次錯(cuò)誤的連接，從而會(huì)報(bào)錯(cuò)。

如果目標(biāo)主機(jī)的該端口沒有開放，則會(huì)返回 RST 信息。如果目標(biāo)主機(jī)的該端口處于開放狀態(tài) (LISTENING) ，則不會(huì)返回任何信息，而是直接將這個(gè)數(shù)據(jù)包拋棄掉。

7、FIN 掃描

源主機(jī)A向目標(biāo)主機(jī)B發(fā)送 FIN 數(shù)據(jù)包，然后查看反饋信息。如果端口返回 RESET 信息，則說明該端口關(guān)閉。如果端口沒有返回任何信息，則說明該端口開放。

8、ACK 掃描

首先由主機(jī)A向目標(biāo)主機(jī)B發(fā)送 FIN 數(shù)據(jù)包，然后查看反饋數(shù)據(jù)包的 TTL 值和 WIN 值。開放端口所返回的數(shù)據(jù)包的 TTL 值一般小于 64, 而關(guān)閉端口的返回值一般大于64 。開放端口所返回的數(shù)據(jù)包的 WIN 般大于 0, 而關(guān)閉端口的返回值一般等于0。

9、NULL 掃描

將源主機(jī)發(fā)送的數(shù)據(jù)包中的 ACK FIN RST SYN URG PSH 等標(biāo)志位全部置空。如果目標(biāo)主機(jī)沒有返回任何信息，則表明該端口是開放的。如果返回 RST 信息，則表明該端口是關(guān)閉的。

10、XMAS 掃描

XMAS 掃描的原理和 NULL 掃描相同，只是將要發(fā)送的數(shù)據(jù)包中的 ACK、FIN、RST、SYN、URG、PSH 等頭標(biāo)志位全部置成 。如果目標(biāo)主機(jī)沒有返回任何信息，則表明該端口是開放的。如果返回 RST 信息，則表明該端口是關(guān)閉的。

二、口令破解

對(duì)于大部分人和系統(tǒng)來說，口令機(jī)制是資源訪問控制的第一道屏障，也是最后一道屏障。所以網(wǎng)絡(luò)攻擊者常常以破解用戶的弱口令為突破口，獲取系統(tǒng)的訪問權(quán)限。口令破解的主要工作流程如下：

1、建立與目標(biāo)網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)連接；

2、選取一個(gè)用戶列表文件及字典文件；

3、在用戶列表文件及字典文件中，選取一組用戶和口令，按網(wǎng)絡(luò)服務(wù)協(xié)議規(guī)定，將用戶名及口令發(fā)送給目標(biāo)網(wǎng)絡(luò)服務(wù)端口；

4、檢測(cè)遠(yuǎn)程服務(wù)返回信息，確定口令嘗試是否成功；

5、如未成功，再取另一組用戶和口令，重復(fù)循環(huán)試驗(yàn)，直至口令用戶列表文件及字典文件選取完畢。

三、緩沖區(qū)溢出

緩沖區(qū)溢出攻擊是攻擊者通過程序向緩沖區(qū)寫入超長的、預(yù)設(shè)的內(nèi)容，導(dǎo)致緩沖區(qū)溢出，覆蓋其它正常的程序或數(shù)據(jù)，然后讓計(jì)算機(jī)去運(yùn)行預(yù)設(shè)的程序，達(dá)到執(zhí)行非法操作、實(shí)現(xiàn)攻擊目的。

四、惡意代碼

惡意代碼是指為達(dá)到惡意目的而專門設(shè)計(jì)的程序或代碼，旨在破壞計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)的可靠性、可用性、安全性和數(shù)據(jù)完整性或者損耗系統(tǒng)資源的惡意程序。常見的惡意代碼類型有計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬、后門、邏輯炸彈、僵尸網(wǎng)絡(luò)等。

五、拒絕服務(wù)

拒絕服務(wù)攻擊是指攻擊者利用系統(tǒng)的缺陷，執(zhí)行一些惡意的操作消耗系統(tǒng)資源，使得目標(biāo)系統(tǒng)用戶不能及時(shí)得到應(yīng)得的服務(wù)或系統(tǒng)資源。

典型的攻擊服務(wù)有以下幾種：

1、同步包風(fēng)暴 (SYN Flood)

攻擊者假造源網(wǎng)址 (Source IP) 發(fā)送多個(gè)同步數(shù)據(jù)包 (Syn Packet) 給服務(wù)器 (Server),服務(wù)器因無法收到確認(rèn)數(shù)據(jù)包 (Ack Packet) ，使 TCP/IP 協(xié)議的三次握手 (Three-Way Hand-Shacking) 無法順利完成，因而無法建立連接。其原理是發(fā)送大量半連接狀態(tài)的服務(wù)請(qǐng)求，使Unix 等服務(wù)主機(jī)無法處理正常的連接請(qǐng)求，因而影響正常運(yùn)作。

2、UDP 洪水 (UDP Flood)

攻擊主機(jī)利用簡單的 TCP/IP 服務(wù)，對(duì)目標(biāo)主機(jī)發(fā)送海量的UDP報(bào)文，消耗完目標(biāo)主機(jī)的網(wǎng)絡(luò)帶寬。

3、Smurf 攻擊

攻擊者偽裝目標(biāo)主機(jī)向局域網(wǎng)的廣播地址發(fā)送大量欺騙性的ICMP請(qǐng)求，這些包被放大并發(fā)送至被欺騙的地址，大量的計(jì)算機(jī)向一臺(tái)計(jì)算機(jī)回應(yīng)ECHO包，導(dǎo)致目標(biāo)系統(tǒng)網(wǎng)絡(luò)阻塞。

4、垃圾郵件

攻擊者利用郵件系統(tǒng)制造垃圾信息，通過專門的郵件炸彈 (mail bomb) 程序給受害用戶的信箱發(fā)送垃圾信息，耗盡用戶信箱的磁盤空間。

5、消耗 CPU 和內(nèi)存資源的拒絕服務(wù)攻擊

利用目標(biāo)系統(tǒng)的計(jì)算算法漏洞，構(gòu)造惡意輸入數(shù)據(jù)集，導(dǎo)致目標(biāo)系統(tǒng)的 CPU 或內(nèi)存資源耗盡，從而使目標(biāo)系統(tǒng)癱瘓。

6、死亡之 ping (ping of death)

早期，路由器對(duì)包的最大尺寸都有限制，許多操作系統(tǒng)在實(shí)現(xiàn) TCP/IP 堆棧時(shí)，規(guī)定 ICMP包小于等于64KB, 并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭中包含的信息為有效載荷生成緩沖區(qū)。當(dāng)產(chǎn)生畸形的、尺寸超過 ICMP 上限的包，即加載的尺寸超過 64KB 上限時(shí)，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致 TCP/IP 堆棧崩潰，使接收方死機(jī)。

7、 淚滴攻擊 (Teardrop Attack)

淚滴攻擊暴露出 IP 數(shù)據(jù)包分解與重組的弱點(diǎn) IP 數(shù)據(jù)包在網(wǎng)絡(luò)中傳輸時(shí)，會(huì)被分解成許多不同的片傳送，并借由偏移量字段 (Offset Field) 作為重組的依據(jù)。淚滴攻擊通過加入過多或不必要的偏移量字段，使計(jì)算機(jī)系統(tǒng)重組錯(cuò)亂，產(chǎn)生不可預(yù)期的后果。

8、分布式拒絕服務(wù)攻擊 (Distributed Denial of Service Attack)

分布式拒絕服務(wù)攻擊是指植入后門程序從遠(yuǎn)程遙控攻擊，攻擊者從多個(gè)已入侵的跳板主機(jī)控制數(shù)個(gè)代理攻擊主機(jī)，所以攻擊者可同時(shí)對(duì)已控制的代理攻擊主機(jī)激活干擾命令，對(duì)受害主機(jī)大量攻擊。

六、網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚 (Phishing)是一種通過假冒可信方（知名銀行、在線零售商和信用卡公司等可信的品牌）提供網(wǎng)上服務(wù)，以欺騙手段獲取敏感個(gè)人信息（如口令、信用卡詳細(xì)信息等）的攻擊方式。目前，網(wǎng)絡(luò)釣魚綜合利用社會(huì)工程攻擊技巧和現(xiàn)代多種網(wǎng)絡(luò)攻擊手段，以達(dá)到欺騙意圖。網(wǎng)絡(luò)釣魚者利用欺騙性的電子郵件和偽造的網(wǎng)站來進(jìn)行詐騙活動(dòng)，誘騙訪問者提供一些個(gè)人信息，如信用卡號(hào)、賬戶和口令、社保編號(hào)等內(nèi)容，以謀求不正當(dāng)利益。

七、網(wǎng)絡(luò)竊聽

網(wǎng)絡(luò)竊聽是指利用網(wǎng)絡(luò)通信技術(shù)缺陷，使得攻擊者能夠獲取到其他人的網(wǎng)絡(luò)通信信息。常見的網(wǎng)絡(luò)竊聽技術(shù)手段主要有網(wǎng)絡(luò)嗅探、中間人攻擊。網(wǎng)絡(luò)攻擊者將主機(jī)網(wǎng)絡(luò)接口的方式設(shè)成“雜亂”模式，就可以接收整個(gè)網(wǎng)絡(luò)上的信息包，從而可以獲取敏感的口令，甚至將其重組，還原為用戶傳遞的文件。

八、SQL 注入

在Web 服務(wù)中，一般采用三層架構(gòu)模式：瀏覽器＋Web 服務(wù)器＋數(shù)據(jù)庫。其中， Web 腳本程序負(fù)責(zé)處理來自瀏覽器端提交的信息，如用戶登錄名和密碼、查詢請(qǐng)求等。但是，由于 Web腳本程序的編程漏洞，對(duì)來自瀏覽器端的信息缺少輸入安全合法性檢查，網(wǎng)絡(luò)攻擊者利用這種類型的漏洞 SQL 命令插入 Web 表單的輸入域或頁面的請(qǐng)求查找字符串，欺騙服務(wù)器執(zhí)行惡意的 SQL 命令。

九、社交工程

網(wǎng)絡(luò)攻擊者通過一系列的社交活動(dòng)，獲取需要的信息。例如偽造系統(tǒng)管理員的身份，給特定的用戶發(fā)電子郵件騙取他的密碼口令。有的攻擊者會(huì)給用戶送免費(fèi)程序，不過該程序除了完成用戶所需的功能外，還隱藏了一個(gè)將用戶的計(jì)算機(jī)信息發(fā)送給攻擊者的功能。

十、電子監(jiān)聽

網(wǎng)絡(luò)攻擊者采用電子設(shè)備遠(yuǎn)距離地監(jiān)視電磁波的傳送過程。靈敏的無線電接收裝置能夠在遠(yuǎn)處看到計(jì)算機(jī)操作者輸入的字符或屏幕顯示的內(nèi)容。

十一、會(huì)話劫持

會(huì)話劫持是指攻擊者在初始授權(quán)之后建立一個(gè)連接，在會(huì)話劫持以后，攻擊者具有合法用戶的特權(quán)權(quán)限

十二、漏洞掃描

漏洞掃描是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全漏洞的軟件，通過漏洞掃描器可以自動(dòng)發(fā)現(xiàn)系統(tǒng)的安全漏洞。常見的漏洞掃描技術(shù)有CGI 漏洞掃描、弱口令掃描、操作系統(tǒng)漏洞掃描、數(shù)據(jù)庫漏洞掃描等。

十三、代理技術(shù)

網(wǎng)絡(luò)攻擊者通過免費(fèi)代理服務(wù)器進(jìn)行攻擊，其目的是以代理服務(wù)器為“攻擊跳板”，即使攻擊目標(biāo)的網(wǎng)絡(luò)管理員發(fā)現(xiàn)了，也難以追蹤到網(wǎng)絡(luò)攻擊者的真實(shí)身份或 IP 地址。為了增加追蹤的難度，網(wǎng)絡(luò)攻擊者還會(huì)用多級(jí)代理服務(wù)器或者“跳板主機(jī)”來攻擊目標(biāo)。代理服務(wù)器被叫作“肉雞”，黑客常利用所控制的機(jī)器進(jìn)行攻擊活動(dòng)，例如 DDoS 攻擊。

十四、數(shù)據(jù)加密

網(wǎng)絡(luò)攻擊者常常采用數(shù)據(jù)加密技術(shù)來逃避網(wǎng)絡(luò)安全管理人員的追蹤。加密使網(wǎng)絡(luò)攻擊者的數(shù)據(jù)得到有效保護(hù)，即使網(wǎng)絡(luò)安全管理人員得到這些加密的數(shù)據(jù)，沒有密鑰也無法讀懂，這樣就實(shí)現(xiàn)了攻擊者的自身保護(hù)。攻擊者的安全原則是，任何與攻擊有關(guān)的內(nèi)容都必須加密或者立刻銷毀。

藍(lán)隊(duì)云是成立15年的云計(jì)算及網(wǎng)絡(luò)安全服務(wù)商，擁有專業(yè)網(wǎng)絡(luò)安全服務(wù)團(tuán)隊(duì)，豐富的網(wǎng)絡(luò)安全服務(wù)經(jīng)驗(yàn)。藍(lán)隊(duì)云自2015年以來多次為國際及國家會(huì)議、省級(jí)權(quán)威賽事提供技術(shù)服務(wù)，是國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）第九屆網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位，在2021年被聘選為聯(lián)合國《生物多樣性公約》第十五次締約方大會(huì)（COP15）網(wǎng)絡(luò)安全保衛(wèi)組特聘技術(shù)支撐單位，2022年獲頒由云南省委網(wǎng)信辦、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心云南分中心遴選的第一屆云南省網(wǎng)絡(luò)安全應(yīng)急技術(shù)服務(wù)支撐單位。藍(lán)隊(duì)云能夠?yàn)檎⑵髽I(yè)等客戶提供定制化的網(wǎng)絡(luò)安全服務(wù)，服務(wù)范圍涵蓋風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試、安全運(yùn)維、應(yīng)急響應(yīng)、代碼審計(jì)、攻防演練、等保合規(guī)、密評(píng)改造等，需要的朋友可以和藍(lán)隊(duì)云聯(lián)系。