3.4.2 网络安全攻击技术分类（下）在线视频

同学们

大家好

这一讲我们来讨论

《网络空间安全技术》第二篇

网络安全攻击技术体系当中的

第四点内容

第二部分

网络安全攻击技术分类

基于攻击方式维度分类的网络攻击

这里面

我们主要重点介绍6类攻击

第一是网络阻塞类攻击

第二是扫描探测类攻击

第三是系统控制类攻击

第四是欺骗诱骗类攻击

第五是恶意代码类攻击

第六是电磁能量类攻击

我们首先来看第一类

网络阻塞类攻击

网络阻塞类攻击的目的

首先是要消耗目标主机/服务器的可用资源

致使目标主机/服务器

忙于应付大量非法和无用的连接请求

耗尽其所有资源

致使主机/服务器

对正常的请求无法及时响应

形成服务中断

这个目的

是消耗网络的有效带宽

攻击者通过发送大量有用或者是无用的数据包

占用全部带宽

使合法的用户请求无法通过链路抵达服务器

服务器对合法请求的响应

也就无法返回给用户

从而形成服务中断

我们来看一下

网络阻塞类攻击的典型代表

DoS

也就是拒绝服务攻击

具体包括SYN洪水攻击

ACK洪水攻击

CC攻击

以及UDP洪水攻击等等

我们以SYN洪水攻击为例

洪水攻击主要是在

三次握手机制的基础上实现

它通过发送大量

伪造的带有SYN标志位的

TCP报文来实现

伪造IP报文

在IP报文原地址字段

随机输入伪造的IP地址

目的地址填入要攻击的服务器IP地址

TCP目的端口填入目的服务器的开放端口

SYN标志位置1

然后不停的循环

将伪造好的数据包发送到目的服务器

直到目标服务器连接耗尽

第二种是分布式拒绝服务攻击

也就是所谓的DDoS

其实这是一种分布式的

协同的、大规模的攻击方法

分布式拒绝服务攻击

它是基于普通的拒绝服务攻击基础之上的

具体包括四个部分

第一是攻击者

第二是主控端

也叫主服务器

第三是代理端

第四是攻击目标

攻击者使用网络上多个被攻陷的傀儡主机

作为攻击机器向特定目标发动DoS攻击

主控制端和代理端

分别用于控制和实际发起攻击

主控端只发出命令

不参与实际攻击

代理端发出向目标主机发送

大量服务请求的数据包

也就是实际的DDoS攻击包

那么这些数据包是伪装的

无法从其来源进行识别

数据包所请求的服务

会消耗大量的系统资源

最终导致系统的崩溃

接下来我们来看一下

第二类攻击

扫描探测类攻击

我们讨论一下扫描探测类攻击的目的

及其过程

扫描探测类攻击的目的

是在对目标对象实施网络攻击之前

攻击者查看攻击环境

搜集目标环境的各种相关数据和信息

为实施网络攻击进行准备

具体的过程包括六步

第一是获得基本的信息

第二是标识网络的地址范围

第三是要标识出活动的机器

第四要对开放端口和入口点进行标识

第五要获取操作系统类型

和机器端口所对应的服务

第六

要制定网络攻击蓝图

这个是扫描探测类攻击

它的具体过程

接下来我们看一下

扫描探测类攻击的

具体类型

包括Ping

ARP探测

Finger

Whois

DNS

nslookup

Nmap

Xscan等等

我们PPT右侧

给出了一个扫描的分类图

这个就是以端口扫描为例

那么扫描分类

包括

开放扫描

含TCP全连接

TCP反向ident扫描

半开放扫描包括SYN扫描

以及IP头信息dumb扫描

隐蔽扫描

包括FIN扫描

ACK扫描、空扫描

以及TCP分段

和SYN/ACK扫描等等

扫射扫描 包括ping扫射

UDP扫射

ACK扫射

SYN扫射

以及ICMP扫射等等

其它扫描包括

FTP弹跳

UDP/ICMP不可达

UDPrecvfrom/write扫描等等

接下来我们来讨论

系统控制类攻击

主要是讨论它的目的和实现工具

系统控制类攻击的目的

是实现对目标主机的远程监视

远程控制

或者是恶意推广

在被攻击对象不知情的情况下

将恶意程序

安装到被攻击的计算机之上

一旦安装成功

这个程序会自动启动

而且每次开机也都会自动启动

从而实现远程监视

远程控制

和远程推广的目的

那么从实现工具的角度来看

它通常是使用木马程序来实现

所谓木马

是表面上看起来无害

但隐藏在正常程序当中的一段

具有特殊功能的恶意代码

这种代码具备破坏和删除文件

发送密码

记录键盘和实施拒绝服务攻击等特殊功能

接下来我们讨论一下

木马的构成和分类

从构成上来讲

木马分为两个部分

一个是服务器端

二是控制器端

服务器端是指木马的

服务器端程序

通常安装在被攻击的主机之上

控制器端是指攻击者利用木马客户端

通过网络控制

被攻击主机

木马的分类

可以简单的分为三种类型

第一种是正向连接型

第二种是反向连接型

第三种是无连接型

正向连接型木马

服务器端安装在被攻击主机之上

再打开木马客户端

来连接服务端

从而实施控制

反向连接型呢

又称为反弹木马

这种木马

它的服务端安装在被攻击主机之上

而被攻击主机

会主动连接控制器端

无连接型木马

它的服务端安装在被攻击主机之上

木马服务端会自动记录一些重要的数据和信息

然后再通过EMAIL

FTP或者是网站ASP等方式

发送到控制器端

接下来我们来讨论一下

欺骗诱骗类攻击

欺骗诱骗类攻击

它的目的

是攻击者通过欺骗、诱骗等方式

来获取目标网络用户的重要信息

或者是获取目标用户的信任

常见的欺骗、诱骗攻击方式

包括IP欺骗

ARP欺骗，也就是地址解析协议欺骗

DNS欺骗，也就是域名欺骗

此外还包括鱼叉攻击和水坑攻击等等

我们来看一下IP欺骗

也就是IP Spoof

一台主机设备冒充另外一台主机

的IP地址

与其它设备进行通信

以达到攻击目的

那么这种欺骗方式呢

我们就称为IP欺骗

也叫做IP地址欺骗

它的具体攻击步骤分为六步

首先要确定

待攻击的目标主机A

第二

要寻找与目标主机A有关的被信任主机B

第三步

是利用某种方法将B攻击瘫痪

第四步

对目标主机A的seq号进行取样

第五步

是要猜测新的可能的seq号

并且使用该号来进行连接尝试

最后一步：如果连接成功

则执行一个命令

留下一个后门

这个就是IP欺骗攻击的六大步

接下来我们看一下

鱼叉攻击和水坑攻击

所谓鱼叉攻击是指攻击者

诱导人们连接那些已经被攻击者锁定的目标

比如说使用邮件附件来诱导点击链接

打开表格

或者是连接其他一些文件以感染病毒

水坑攻击

是指攻击者通过分析被攻击者的网络活动规律

寻找被攻击者

经常访问的网站的弱点或者是脆弱性

先攻下这个网站

并且植入攻击的恶意代码

等待被攻击者来访时再实施攻击

鱼叉攻击和水坑攻击

是常见的诱骗攻击

这二者的特点是

它与钓鱼攻击的“愿者上钩”不同

鱼叉攻击与水坑攻击则是“有的放矢”

它的攻击目标非常精准

而且

攻击效率很高

同学们

接下来我们来讨论一下

恶意代码类攻击

恶意代码类攻击的目的

是利用各种手段向攻击目标

注入病毒或者是木马等恶意程序

用以破坏目标系统资源

或获取目标系统资源信息

我们常见的恶意代码类攻击方式

包括僵尸网络

木马

蠕虫

也就是俗称的僵木蠕

此外还包括病毒

恶意移动代码

后门

内核套件

以及融合型恶意代码等等

接下来我们来看一下

僵尸网络

僵尸网络又称为Botnet

也就是机器人网络的意思

它这个名称取自机器人robot的后半部分

和网络network的前半部分

僵尸网络采用一种或多种传播手段

将大量主机感染bot程序

也就是所谓的僵尸程序

从而在控制者与被感染主机

之间所形成的一个

可一对多控制的这么一种网络

其中被感染主机

我们又称为僵尸主机

俗称肉鸡

接下来我们来看一下

Botnet工作过程

它包括传播

加入和控制三个主要阶段

在传播阶段

分为主动攻击漏洞

邮件病毒

即时通信软件

恶意网站脚本

和木马等工具

在加入阶段

各个被感染主机

均随隐藏在自身上的bot程序的发作

而加入Botnet

加入方式因控制方式

和通信协议的不同

而各有差异

在第三个阶段

也就是控制阶段

攻击者将通过中心服务器

发送预先定义好的控制指令

让被感染主机来执行恶意行为

比如说发起DDos攻击

窃取主机敏感信息等等

这个就是

僵尸网络工作的传播

加入

和控制

三个阶段的具体内容

接下来我们来讨论一下

恶意代码类攻击的发展趋势

首先第一个趋势是隐蔽性更强

很多恶意代码采用了注入

无文件

反沙箱

强混淆

动态解密

反调试等手段

这些新的手段

用来躲避检测可以说是层出不穷

第二个趋势是融合程度更高

我们现在见到的

恶意代码类攻击

一种攻击经常会融合僵木蠕

病毒

恶意移动代码

后门等多种方式

第三个趋势是传播速度更快

随着网络空间的形成和发展

通过各种途径

使得恶意代码类攻击加速传播

第四个特点

是危害性更大

尤其是在当下

在虚拟货币

工业控制

物联网

智慧系统

等网络空间的新的应用领域

所造成的危害更大

同学们

接下来我们来介绍一下

电磁能量类攻击

电磁能量类攻击

它的目的是绕过对加密算法的繁琐分析

利用密码算法的硬件

实现的运算中泄露的信息

比如说电磁泄露

电磁辐射

功能消耗，也就是功耗等等

结合统计理论来快速地破解密码

因此又称为旁路攻击

或者称为侧信道攻击

常见的电磁能量类的攻击方式包括

电磁攻击

能量分析攻击

缓存攻击

差别错误分析等等

我们看一下旁路攻击的基本原理

旁路攻击在进行加/解密操作时

加密算法逻辑（主信道）未被发现缺陷

但是其物理效应

提供了有用的额外信息

也就是所谓的侧信道

旁路攻击也是因此得名的

那么这些额外信息

通常包含密钥

密码

密文等隐密的数据信息

旁路攻击

在泄露的物理信号

与处理的数据之间

建立起一定的关联

也就是建立联系

在信息泄露模型当中处理的数据

与芯片当中处理的数据之间

也建立联系

这个就是旁路攻击

或者叫做侧信道攻击的基本原理

同学们

我们这一讲就讲到这里

感谢观看

下次再见