網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊行徑

網(wǎng)絡(luò)安全

劉敏賢副教授西南科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院第一章回顧什么是安全信息安全的級(jí)別安全的幾個(gè)要素安全威脅的來(lái)源安全的目標(biāo)信息安全體系P2DR模型PDRR第2章網(wǎng)絡(luò)攻擊行徑分析本章對(duì)攻擊事件、攻擊的目的、攻擊的步驟及攻擊的訣竅作一些簡(jiǎn)要的介紹，為隨后深入學(xué)習(xí)攻擊技術(shù)打下基礎(chǔ)。第2章網(wǎng)絡(luò)攻擊行徑分析2.1攻擊事件2.2攻擊的目的2.3攻擊的步驟2.4攻擊訣竅攻擊事件安全威脅外部攻擊、內(nèi)部攻擊行為濫用第2章第1節(jié)潛在的攻擊者競(jìng)爭(zhēng)對(duì)手黑客政治家有組織的罪犯恐怖主義者政府雇傭殺手虛偽朋友不滿(mǎn)的員工客戶(hù)供應(yīng)商廠商商務(wù)伙伴契約者、臨時(shí)雇員和顧問(wèn)攻擊者的水平腳本小孩（ScriptKiddies）普通技能攻擊者高級(jí)技能攻擊者安全專(zhuān)家杰出攻擊者Whois黑客黑客(Hacker)一詞，原指熱心于計(jì)算機(jī)技術(shù)，水平高超的電腦專(zhuān)家，尤其是程序設(shè)計(jì)人員。黑客是一群喜歡用智力通過(guò)創(chuàng)造性方法來(lái)挑戰(zhàn)腦力極限的人，特別是他們所感興趣的領(lǐng)域。歷史上最著名的

五大黑客KevinDavidMitnickKevinDavidMitnick（凱文·米特尼克）-世界上公認(rèn)的頭號(hào)黑客。曾成功入侵北美防空指揮系統(tǒng)，他是第一個(gè)被美國(guó)聯(lián)邦調(diào)查局通緝的黑客。巡游五角大樓，登錄克里姆林宮，進(jìn)出全球所有計(jì)算機(jī)系統(tǒng)，摧垮全球金融秩序和重建新的世界格局，誰(shuí)也阻擋不了我們的進(jìn)攻，我們才是世界的主宰。

———Kevin

MitnickRobertTappanMorrisMorris是前國(guó)家家安全局局科學(xué)家家RortMorris的兒子。。Robert曾編寫(xiě)過(guò)過(guò)著名的的Morris蠕蟲(chóng)病毒毒。Morris最后被判判了400小時(shí)的社社區(qū)服務(wù)務(wù)和一萬(wàn)萬(wàn)美元的的罰款。。Morris現(xiàn)在是MIT計(jì)算機(jī)科科學(xué)和人人工智能能實(shí)驗(yàn)室室的一一名專(zhuān)家家。他專(zhuān)專(zhuān)注于計(jì)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)體系系。JonathanJames(喬納森·詹姆斯)16歲的時(shí)候候James就已經(jīng)惡惡名遠(yuǎn)播播，成為為了第一一個(gè)因?yàn)闉楹诳托行袕奖徊恫度氇z的的未成年年人。James攻擊過(guò)的的高度機(jī)機(jī)密組織織包括：：國(guó)防威威脅降低低局，這這是國(guó)防防部的一一個(gè)機(jī)構(gòu)構(gòu)。他還進(jìn)入入侵過(guò)NASA的電腦，，并且竊竊取了價(jià)價(jià)值超過(guò)過(guò)170萬(wàn)美元的的軟件。。發(fā)現(xiàn)這次次入侵之之后，NASA不得不立立刻關(guān)閉閉了整個(gè)個(gè)電腦系系統(tǒng)，造造成的損損失達(dá)到到41000美元。2008年5月18日喬納森森死于癌癌癥，25歲。AdrianLamo(阿德里安安·拉莫)Lamo專(zhuān)門(mén)找大大的組織織下手，，例如破破解進(jìn)入入微軟和和《紐約時(shí)報(bào)報(bào)》。Lamo喜歡使用用咖啡店店、Kinko店或者圖圖書(shū)館的的網(wǎng)絡(luò)來(lái)來(lái)進(jìn)行他他的黑客客行為，，因此得得了一個(gè)個(gè)諢號(hào)：：不回家家的黑客客。Lamo經(jīng)常發(fā)現(xiàn)現(xiàn)安全漏漏洞，并并加以利利用。通通常他會(huì)會(huì)告知企企業(yè)相關(guān)關(guān)的漏洞洞。在Lamo攻擊過(guò)的的名單上上包括，，雅虎、、花旗銀銀行，美美洲銀行行和Cingular等。由于侵入入《紐約時(shí)報(bào)報(bào)》內(nèi)部網(wǎng)絡(luò)絡(luò)，Lamo成為頂尖尖的數(shù)碼碼罪犯之之一。也也正是由由于這一一罪行，，Lamo被處以65000美元的罰罰款，并并被處以以六個(gè)月月的家庭庭禁閉和和兩年的的緩刑。。KevinPoulsen(凱文·普爾森)他的另一一個(gè)經(jīng)常常被提及及的名字字是DarkDante，Poulsen受到廣泛泛關(guān)注是是因?yàn)樗捎煤诤诳褪侄味芜M(jìn)入洛洛杉磯電電臺(tái)的KIIS-FM電話(huà)線(xiàn)，，這一舉舉動(dòng)為他他贏得了了一輛保保時(shí)捷。。此后FBI開(kāi)始追查查Poulson，因?yàn)樗J入了了FBI的數(shù)據(jù)庫(kù)庫(kù)和用于于敏感竊竊聽(tīng)的聯(lián)聯(lián)邦電腦腦系統(tǒng)。。Poulsen的專(zhuān)長(zhǎng)就就是闖入入電話(huà)線(xiàn)線(xiàn)，他經(jīng)經(jīng)常占據(jù)據(jù)一個(gè)基基站的全全部電話(huà)話(huà)線(xiàn)路。。Poulsen還會(huì)重新新激活黃黃頁(yè)上的的電話(huà)，，并提供供給自己己的伙伴伴進(jìn)行出出售。Poulson留下了很很多未解解之謎，，最后在在一家超超市被捕捕，判處處以五年年監(jiān)禁。。

在獄獄中，Poulson干起了記記者的行行當(dāng)，并并且被推推舉為WiredNews的高級(jí)編編輯。在在他最出出名的文文章里面面，詳細(xì)細(xì)的通過(guò)過(guò)比對(duì)Myspace的檔案，，識(shí)別出出了744名性罪犯犯。攻擊事件件攻擊事件件分類(lèi)破壞型攻攻擊利用型攻攻擊信息收集集型攻擊擊網(wǎng)絡(luò)欺騙騙攻擊垃圾信息息攻擊第2章第1節(jié)破壞型攻攻擊以破壞對(duì)對(duì)方系統(tǒng)統(tǒng)為目標(biāo)標(biāo)破壞的方方式：使使對(duì)方系系統(tǒng)拒絕絕提供服服務(wù)(DoS攻擊)、刪除數(shù)數(shù)據(jù)、破破壞硬件件系統(tǒng)等等。拒絕服務(wù)務(wù)攻擊的的分類(lèi)：：帶寬耗耗盡型、、目標(biāo)主主機(jī)資源源耗盡型型、網(wǎng)絡(luò)絡(luò)程序漏漏洞利用用型、本本地漏洞洞利用型型拒絕服務(wù)攻擊擊的技術(shù)：P.9第2章第1節(jié)DOS攻擊的手段PingofDeathIGMPFloodTeardropUDPfloodSYNfloodLand攻擊Smurf攻擊Fraggle攻擊畸形消息攻擊擊Ddos目的地不可達(dá)達(dá)到攻擊電子郵件炸彈彈對(duì)安全工具的的拒絕服務(wù)攻攻擊利用型攻擊利用型攻擊試圖直接對(duì)目目標(biāo)計(jì)算機(jī)進(jìn)進(jìn)行控制后果：信息竊竊取、文件篡篡改、跳板（（傀儡主機(jī)））攻擊手段：口口令攻擊（嗅嗅探、破解））、木馬攻擊擊（后門(mén)）、、緩沖區(qū)溢出出攻擊手段口令猜想特洛依木馬緩沖區(qū)溢出信息收集型攻攻擊信息收集型攻攻擊為進(jìn)一步攻擊擊提供有利信信息種類(lèi)：掃描、、體系結(jié)構(gòu)探探測(cè)（又叫系系統(tǒng)掃描）、、利用信息服服務(wù)掃描技術(shù)體系結(jié)構(gòu)探測(cè)測(cè)利用信息服務(wù)務(wù)網(wǎng)絡(luò)欺騙攻擊擊網(wǎng)絡(luò)欺騙攻擊擊為進(jìn)一步攻擊擊做準(zhǔn)備種類(lèi)：DNS欺騙、電子郵郵件欺騙、Web欺騙、IP欺騙垃圾信息攻擊擊攻擊目的攻擊的動(dòng)機(jī)惡作劇惡意破壞商業(yè)目的政治軍事第2章第2節(jié)攻擊目的攻擊性質(zhì)破壞入侵攻擊目的破壞目標(biāo)工作作竊取目標(biāo)信息息控制目標(biāo)機(jī)器器利用假消息欺欺騙對(duì)方第2章第2節(jié)攻擊的步驟一般的攻擊都都分為三個(gè)階階段：攻擊的準(zhǔn)備階階段攻擊的實(shí)施階階段攻擊的善后階階段第2章第3節(jié)攻擊的一般過(guò)過(guò)程預(yù)攻擊內(nèi)容：獲得域名及IP分布獲得拓?fù)浼癘S等獲得端口和服務(wù)獲得應(yīng)用系統(tǒng)情況跟蹤新漏洞發(fā)布目的：收集信息，進(jìn)行進(jìn)一步攻擊決策攻擊內(nèi)容：獲得遠(yuǎn)程權(quán)限進(jìn)入遠(yuǎn)程系統(tǒng)提升本地權(quán)限進(jìn)一步擴(kuò)展權(quán)限進(jìn)行實(shí)質(zhì)性操作目的：進(jìn)行攻擊，獲得系統(tǒng)的一定權(quán)限后攻擊內(nèi)容：植入后門(mén)木馬刪除日志修補(bǔ)明顯的漏洞進(jìn)一步滲透擴(kuò)展目的：消除痕跡，長(zhǎng)期維持一定的權(quán)限網(wǎng)絡(luò)攻擊一般般過(guò)程偵察掃描拒絕服務(wù)攻擊掩蓋蹤跡和隱藏使用應(yīng)用程序和操作系統(tǒng)的攻擊獲得訪問(wèn)權(quán)使用網(wǎng)絡(luò)攻擊獲得訪問(wèn)權(quán)維護(hù)訪問(wèn)權(quán)網(wǎng)絡(luò)攻擊步驟驟典型攻擊步驟驟預(yù)攻擊探測(cè)收集信息,如OS類(lèi)型,提供的服務(wù)端端口發(fā)現(xiàn)漏洞,采取攻擊行為為獲得攻擊目標(biāo)標(biāo)的控制權(quán)系系統(tǒng)繼續(xù)滲透網(wǎng)絡(luò)絡(luò),直至獲取機(jī)密密數(shù)據(jù)消滅蹤跡破解口令文件件,或利用緩存溢溢出漏洞以此主機(jī)為跳跳板，尋找其其它主機(jī)的漏漏洞獲得系統(tǒng)帳號(hào)號(hào)權(quán)限，并提提升為root權(quán)限安裝系統(tǒng)后門(mén)門(mén)方便以后使用用端口判斷判斷系統(tǒng)選擇最簡(jiǎn)簡(jiǎn)方式式入侵侵分析析可能能有漏漏洞的的服務(wù)務(wù)獲取取系統(tǒng)統(tǒng)一定定權(quán)限限提升為最高權(quán)限安裝裝多個(gè)個(gè)系統(tǒng)統(tǒng)后門(mén)門(mén)清除除入侵侵腳印印攻擊擊其其他系系統(tǒng)統(tǒng)獲取取敏敏感信信息息作為為其其他用用途途較高高明明的的入入侵侵步步驟驟攻擊擊的的步步驟驟攻擊擊的的準(zhǔn)準(zhǔn)備備階階段段確定定攻攻擊擊目目的的準(zhǔn)備備攻攻擊擊工工具具收集集目目標(biāo)標(biāo)信信息息第2章第第3節(jié)攻擊擊的的步步驟驟攻擊擊實(shí)實(shí)施施階階段段的的一一般般步步驟驟隱藏藏自自已已的的位位置置利用用收收集集到到的的信信息息獲獲取取賬賬號(hào)號(hào)和和密密碼碼，，登登錄錄主主機(jī)機(jī)利用用漏漏洞洞或或者者其其它它方方法法獲獲得得控控制制權(quán)權(quán)并并竊竊取取網(wǎng)網(wǎng)絡(luò)絡(luò)資資源源和和特特權(quán)權(quán)第2章第第3節(jié)攻擊擊的的步步驟驟攻擊擊的的善善后后階階段段日志志W(wǎng)indows禁止止日日志志審審計(jì)計(jì)，清除除事事件件日日志志，清除除IIS服務(wù)務(wù)日日志志Unixmessages、lastlog、loginlog、sulog、utmp、utmpx、wtmp、wtmpx、pacct為了了下下次次攻攻擊擊的的方方便便，，攻攻擊擊者者都都會(huì)會(huì)留留下下一一個(gè)個(gè)后后門(mén)門(mén)，，充充當(dāng)當(dāng)后后門(mén)門(mén)的的工工具具種種類(lèi)類(lèi)非非常常多多，，最典典型型的的是是木馬馬程程序序第2章第第3節(jié)攻擊擊訣訣竅竅第2章第第4節(jié)攻擊擊訣訣竅竅基本本方方法法黑客客軟軟件件BackOrifice2000、冰冰河河安全全漏漏洞洞攻攻擊擊Outlook，IIS，Serv-U對(duì)防防火火墻墻的的攻攻擊擊Firewalking、Hping滲透透路由由器器攻攻擊擊第2章第第4節(jié)攻擊擊訣訣竅竅常用用攻攻擊擊工工具具網(wǎng)絡(luò)絡(luò)偵偵查查工工具具superscan，Nmap拒絕絕服服務(wù)務(wù)攻攻擊擊工工具具DDoS攻擊擊者者1.4,sqldos,Trinoo木馬馬BO2000，冰河河，NetSpy，第2章第第4節(jié)攻擊擊的的發(fā)發(fā)展展趨趨勢(shì)勢(shì)漏洞洞趨趨勢(shì)勢(shì)嚴(yán)重重程程度度中中等等或或較較高高的的漏漏洞洞急急劇劇增增加加,新漏漏洞洞被被利利用用越越來(lái)來(lái)越越容容易易(大約約60%不需需或或很很少少需需用用代代碼碼)混合合型型威威脅脅趨趨勢(shì)勢(shì)將病病毒毒、、蠕蠕蟲(chóng)蟲(chóng)、、特特洛洛伊伊木木馬馬和和惡惡意意代代碼碼的的特特性性與與服服務(wù)務(wù)器器和和Internet漏洞洞結(jié)結(jié)合合起起來(lái)來(lái)而而發(fā)發(fā)起起、、傳傳播播和和擴(kuò)擴(kuò)散散的的攻攻擊擊,例：：紅紅色色代代碼碼和和尼尼姆姆達(dá)達(dá)等等。。主動(dòng)動(dòng)惡惡意意代代碼碼趨趨勢(shì)勢(shì)制造造方方法法：：簡(jiǎn)簡(jiǎn)單單并并工工具具化化技術(shù)術(shù)特特征征：：智智能能性性、、攻攻擊擊性性和和多多態(tài)態(tài)性性,采用用加加密密、、變變換換、、插插入入等等技技術(shù)術(shù)手手段段巧巧妙妙地地偽偽裝裝自自身身，，躲躲避避甚甚至至攻攻擊擊防防御御檢檢測(cè)測(cè)軟軟件件.表現(xiàn)現(xiàn)形形式式：：多多種種多多樣