当前课程知识点:网络空间安全技术 > 第3章 网络安全攻击技术体系 > 3.4 网络安全攻击技术分类 > 3.4.2 网络安全攻击技术分类(下)
同学们
大家好
这一讲我们来讨论
《网络空间安全技术》第二篇
网络安全攻击技术体系当中的
第四点内容
第二部分
网络安全攻击技术分类
基于攻击方式维度分类的网络攻击
这里面
我们主要重点介绍6类攻击
第一是网络阻塞类攻击
第二是扫描探测类攻击
第三是系统控制类攻击
第四是欺骗诱骗类攻击
第五是恶意代码类攻击
第六是电磁能量类攻击
我们首先来看第一类
网络阻塞类攻击
网络阻塞类攻击的目的
首先是要消耗目标主机/服务器的可用资源
致使目标主机/服务器
忙于应付大量非法和无用的连接请求
耗尽其所有资源
致使主机/服务器
对正常的请求无法及时响应
形成服务中断
这个目的
是消耗网络的有效带宽
攻击者通过发送大量有用或者是无用的数据包
占用全部带宽
使合法的用户请求无法通过链路抵达服务器
服务器对合法请求的响应
也就无法返回给用户
从而形成服务中断
我们来看一下
网络阻塞类攻击的典型代表
DoS
也就是拒绝服务攻击
具体包括SYN洪水攻击
ACK洪水攻击
CC攻击
以及UDP洪水攻击等等
我们以SYN洪水攻击为例
洪水攻击主要是在
三次握手机制的基础上实现
它通过发送大量
伪造的带有SYN标志位的
TCP报文来实现
伪造IP报文
在IP报文原地址字段
随机输入伪造的IP地址
目的地址填入要攻击的服务器IP地址
TCP目的端口填入目的服务器的开放端口
SYN标志位置1
然后不停的循环
将伪造好的数据包发送到目的服务器
直到目标服务器连接耗尽
第二种是分布式拒绝服务攻击
也就是所谓的DDoS
其实这是一种分布式的
协同的、大规模的攻击方法
分布式拒绝服务攻击
它是基于普通的拒绝服务攻击基础之上的
具体包括四个部分
第一是攻击者
第二是主控端
也叫主服务器
第三是代理端
第四是攻击目标
攻击者使用网络上多个被攻陷的傀儡主机
作为攻击机器向特定目标发动DoS攻击
主控制端和代理端
分别用于控制和实际发起攻击
主控端只发出命令
不参与实际攻击
代理端发出向目标主机发送
大量服务请求的数据包
也就是实际的DDoS攻击包
那么这些数据包是伪装的
无法从其来源进行识别
数据包所请求的服务
会消耗大量的系统资源
最终导致系统的崩溃
接下来我们来看一下
第二类攻击
扫描探测类攻击
我们讨论一下扫描探测类攻击的目的
及其过程
扫描探测类攻击的目的
是在对目标对象实施网络攻击之前
攻击者查看攻击环境
搜集目标环境的各种相关数据和信息
为实施网络攻击进行准备
具体的过程包括六步
第一是获得基本的信息
第二是标识网络的地址范围
第三是要标识出活动的机器
第四要对开放端口和入口点进行标识
第五要获取操作系统类型
和机器端口所对应的服务
第六
要制定网络攻击蓝图
这个是扫描探测类攻击
它的具体过程
接下来我们看一下
扫描探测类攻击的
具体类型
包括Ping
ARP探测
Finger
Whois
DNS
nslookup
Nmap
Xscan等等
我们PPT右侧
给出了一个扫描的分类图
这个就是以端口扫描为例
那么扫描分类
包括
开放扫描
含TCP全连接
TCP反向ident扫描
半开放扫描包括SYN扫描
以及IP头信息dumb扫描
隐蔽扫描
包括FIN扫描
ACK扫描、空扫描
以及TCP分段
和SYN/ACK扫描等等
扫射扫描 包括ping扫射
UDP扫射
ACK扫射
SYN扫射
以及ICMP扫射等等
其它扫描包括
FTP弹跳
UDP/ICMP不可达
UDPrecvfrom/write扫描等等
接下来我们来讨论
系统控制类攻击
主要是讨论它的目的和实现工具
系统控制类攻击的目的
是实现对目标主机的远程监视
远程控制
或者是恶意推广
在被攻击对象不知情的情况下
将恶意程序
安装到被攻击的计算机之上
一旦安装成功
这个程序会自动启动
而且每次开机也都会自动启动
从而实现远程监视
远程控制
和远程推广的目的
那么从实现工具的角度来看
它通常是使用木马程序来实现
所谓木马
是表面上看起来无害
但隐藏在正常程序当中的一段
具有特殊功能的恶意代码
这种代码具备破坏和删除文件
发送密码
记录键盘和实施拒绝服务攻击等特殊功能
接下来我们讨论一下
木马的构成和分类
从构成上来讲
木马分为两个部分
一个是服务器端
二是控制器端
服务器端是指木马的
服务器端程序
通常安装在被攻击的主机之上
控制器端是指攻击者利用木马客户端
通过网络控制
被攻击主机
木马的分类
可以简单的分为三种类型
第一种是正向连接型
第二种是反向连接型
第三种是无连接型
正向连接型木马
服务器端安装在被攻击主机之上
再打开木马客户端
来连接服务端
从而实施控制
反向连接型呢
又称为反弹木马
这种木马
它的服务端安装在被攻击主机之上
而被攻击主机
会主动连接控制器端
无连接型木马
它的服务端安装在被攻击主机之上
木马服务端会自动记录一些重要的数据和信息
然后再通过EMAIL
FTP或者是网站ASP等方式
发送到控制器端
接下来我们来讨论一下
欺骗诱骗类攻击
欺骗诱骗类攻击
它的目的
是攻击者通过欺骗、诱骗等方式
来获取目标网络用户的重要信息
或者是获取目标用户的信任
常见的欺骗、诱骗攻击方式
包括IP欺骗
ARP欺骗,也就是地址解析协议欺骗
DNS欺骗,也就是域名欺骗
此外还包括鱼叉攻击和水坑攻击等等
我们来看一下IP欺骗
也就是IP Spoof
一台主机设备冒充另外一台主机
的IP地址
与其它设备进行通信
以达到攻击目的
那么这种欺骗方式呢
我们就称为IP欺骗
也叫做IP地址欺骗
它的具体攻击步骤分为六步
首先要确定
待攻击的目标主机A
第二
要寻找与目标主机A有关的被信任主机B
第三步
是利用某种方法将B攻击瘫痪
第四步
对目标主机A的seq号进行取样
第五步
是要猜测新的可能的seq号
并且使用该号来进行连接尝试
最后一步:如果连接成功
则执行一个命令
留下一个后门
这个就是IP欺骗攻击的六大步
接下来我们看一下
鱼叉攻击和水坑攻击
所谓鱼叉攻击是指攻击者
诱导人们连接那些已经被攻击者锁定的目标
比如说使用邮件附件来诱导点击链接
打开表格
或者是连接其他一些文件以感染病毒
水坑攻击
是指攻击者通过分析被攻击者的网络活动规律
寻找被攻击者
经常访问的网站的弱点或者是脆弱性
先攻下这个网站
并且植入攻击的恶意代码
等待被攻击者来访时再实施攻击
鱼叉攻击和水坑攻击
是常见的诱骗攻击
这二者的特点是
它与钓鱼攻击的“愿者上钩”不同
鱼叉攻击与水坑攻击则是“有的放矢”
它的攻击目标非常精准
而且
攻击效率很高
同学们
接下来我们来讨论一下
恶意代码类攻击
恶意代码类攻击的目的
是利用各种手段向攻击目标
注入病毒或者是木马等恶意程序
用以破坏目标系统资源
或获取目标系统资源信息
我们常见的恶意代码类攻击方式
包括僵尸网络
木马
蠕虫
也就是俗称的僵木蠕
此外还包括病毒
恶意移动代码
后门
内核套件
以及融合型恶意代码等等
接下来我们来看一下
僵尸网络
僵尸网络又称为Botnet
也就是机器人网络的意思
它这个名称取自机器人robot的后半部分
和网络network的前半部分
僵尸网络采用一种或多种传播手段
将大量主机感染bot程序
也就是所谓的僵尸程序
从而在控制者与被感染主机
之间所形成的一个
可一对多控制的这么一种网络
其中被感染主机
我们又称为僵尸主机
俗称肉鸡
接下来我们来看一下
Botnet工作过程
它包括传播
加入和控制三个主要阶段
在传播阶段
分为主动攻击漏洞
邮件病毒
即时通信软件
恶意网站脚本
和木马等工具
在加入阶段
各个被感染主机
均随隐藏在自身上的bot程序的发作
而加入Botnet
加入方式因控制方式
和通信协议的不同
而各有差异
在第三个阶段
也就是控制阶段
攻击者将通过中心服务器
发送预先定义好的控制指令
让被感染主机来执行恶意行为
比如说发起DDos攻击
窃取主机敏感信息等等
这个就是
僵尸网络工作的传播
加入
和控制
三个阶段的具体内容
接下来我们来讨论一下
恶意代码类攻击的发展趋势
首先第一个趋势是隐蔽性更强
很多恶意代码采用了注入
无文件
反沙箱
强混淆
动态解密
反调试等手段
这些新的手段
用来躲避检测可以说是层出不穷
第二个趋势是融合程度更高
我们现在见到的
恶意代码类攻击
一种攻击经常会融合僵木蠕
病毒
恶意移动代码
后门等多种方式
第三个趋势是传播速度更快
随着网络空间的形成和发展
通过各种途径
使得恶意代码类攻击加速传播
第四个特点
是危害性更大
尤其是在当下
在虚拟货币
工业控制
物联网
智慧系统
等网络空间的新的应用领域
所造成的危害更大
同学们
接下来我们来介绍一下
电磁能量类攻击
电磁能量类攻击
它的目的是绕过对加密算法的繁琐分析
利用密码算法的硬件
实现的运算中泄露的信息
比如说电磁泄露
电磁辐射
功能消耗,也就是功耗等等
结合统计理论来快速地破解密码
因此又称为旁路攻击
或者称为侧信道攻击
常见的电磁能量类的攻击方式包括
电磁攻击
能量分析攻击
缓存攻击
差别错误分析等等
我们看一下旁路攻击的基本原理
旁路攻击在进行加/解密操作时
加密算法逻辑(主信道)未被发现缺陷
但是其物理效应
提供了有用的额外信息
也就是所谓的侧信道
旁路攻击也是因此得名的
那么这些额外信息
通常包含密钥
密码
密文等隐密的数据信息
旁路攻击
在泄露的物理信号
与处理的数据之间
建立起一定的关联
也就是建立联系
在信息泄露模型当中处理的数据
与芯片当中处理的数据之间
也建立联系
这个就是旁路攻击
或者叫做侧信道攻击的基本原理
同学们
我们这一讲就讲到这里
感谢观看
下次再见
-课程总览
-1.1 网络与网络空间
-1.2 网络安全与网络空间安全
-1.3 网络空间安全与国家安全
-1.4 网络空间安全威胁 风险与攻防
-第1章 习题
--第1章 习题
-2.1 安全理论 技术 与工程的关系
-2.2 网络空间信息系统安全工程
-2.3 网络空间安全技术体系
-2.4 网络安全与攻防对抗模型
-第2章 习题
--第2章 习题
-3.1 攻击模型与攻击链
-3.2 攻击向量与攻击面
-3.3 攻击图
--3.3 攻击图
-3.4 网络安全攻击技术分类
-3.5 典型的安全攻击方法
-第3章 习题
--第3章 习题
-4.1 密码与加密概述
-4.2 对称加密技术
-4.3 非对称加密技术
-4.4 哈希技术
--4.4 哈希技术
-4.5 认证技术与PKI体系
-第4章 习题
--第4章 习题
-5.1 信任体系与零信任安全
-5.2 操作系统与终端安全
-5.3 网络安全防护架构
-5.4 典型的网络安全技术
-第5章 习题
--第5章 习题
-6.1 漏洞扫描与漏洞挖掘技术
-6.2 Web安全技术
-6.3 软件安全技术
-6.4 数据安全技术体系
-6.5 信息隐藏技术
-第6章 习题
--第6章 习题
-7.1 网络安全风险评估技术
-7.2 网络安全测评技术
-7.3 网络安全等级保护
-7.4 网络安全情报分析与态势感知技术
-7.5 内容安全技术
-第7章 习题
--第7章 习题
-8.1 工业控制系统安全保障
-8.2 物联网安全保障
-8.3 信息物理系统安全保障
-8.4 云计算安全保障
-8.5 区块链安全保障
-第8章 习题
--第8章 习题