网络安全技术PPT课件(共8单元)第三章网络攻击技术

网络安全技术第三章网络攻击技术 任何以干扰、破坏网络系统为目的的非授权行为都可称为网络攻击。网络系统的攻击者有黑客、间谍、恐怖主义者、职业犯罪分子、网络系统内部员工等。黑客是最常见的网络攻击者，其常用的攻击手段有获取用户口令、放置木马程序、电子邮件攻击、网络监听、利用账号进行攻击、获取超级用户权限等。本章导读 本章将对黑客实施网络攻击的过程进行详细讲解，包括信息收集、端口和漏洞扫描、网络隐身、实施攻击、植入后门和清除痕迹等，并通过实战演练具体介绍如何使用各种工具实施网络攻击等。学习目标掌握网络攻击的概念和类型。掌握网络攻击的常见形式。掌握网络攻击的一般过程。掌握收集攻击目标信息的方法。掌握网络隐身的概念和常用方法。了解实施攻击的操作和攻击的作用点类型。掌握植入后门和清除攻击痕迹的方法。目 录3.1 网络攻击概述3.2 网络攻击的常见形式3.3 网络攻击的一般过程3.4 网络攻击的准备阶段3.5 网络攻击的实施阶段3.6 网络攻击的善后阶段3.7 实战演练6引导案例 国家电网遭网络攻击，委内瑞拉大规模停电晚上，古里水电站发生故障，导致委内瑞拉大部分地区断电，委内瑞拉当局设法恢复了该国“许多地区”的电力供应。中午又受到一次攻击，干扰了重新连接（电力系统）的过程，中午之前所有的系统都瘫痪了。委内瑞拉总统尼古拉斯马杜罗表示，该国电力系统已成为最新一轮“网络攻击”的目标。委内瑞拉政府指责美国“蓄意破坏”，而美国官员则将停电归咎于委内瑞拉国内腐败和管理不善。2019年3月7日2019年3月9日2019年3月11日7引导案例 国家电网遭网络攻击，委内瑞拉大规模停电委内瑞拉政府将3月7日的大规模停电归咎于美国的“破坏”。总统尼古拉斯马杜罗指责华盛顿对本国发动“电力战”，而通信和信息部长乔治罗德里格斯则将停电归咎于“美国精心策划的网络攻击”。而包括公开支持委内瑞拉政权更迭的美国参议员马可卢比奥在内的美国官员，指责马杜罗政府让该国基础设施接近崩溃地步。声称委内瑞拉全国电力工人工会已经预测到了将发生大规模停电，指责马杜罗把本可以用来维修电力系统的钱装进了自己的口袋。8引导案例 国家电网遭网络攻击，委内瑞拉大规模停电网络攻击，没有硝烟的战争 由于信息披露有限，无法给出更为详细的技术分析，但从马杜罗总统言论来看，有多个关键词值得关注：“电网再次受到攻击”“网络攻击”“发电机遭受攻击”“内部攻击”等。不言而喻，这是一起非常典型的工控安全事件，发起者目标明确，整个攻击过程有组织、有计划、多渠道、持续性展开。在遭受严重损失的同时，也充分暴露出委内瑞拉关键信息基础设施安全防护投入的不足，安全事件的应急处理手段有待加强。委内瑞拉是一个资源丰富的国家，石油、天然气探明储量位居世界前列，水力资源也极为丰富。由于近几年来国内局势的动荡，敌对势力、恐怖组织的破坏行为持续存在。在所有的破坏行为中，通过网络进行攻击无疑是一种更为便捷、投入产出比更高的方式，其带来的影响往往也是深远的。9引导案例 国家电网遭网络攻击，委内瑞拉大规模停电前车之鉴，加强国内的电力系统工控安全建设 作为现代战争的一种重要作战手段，通过网络攻击打击对手的国家基础设施，从而造成生产停止、通信中断、交通瘫痪、能源供给不足等重大损失，其破坏性远胜于常规炮火打击，甚至可以决定战争的走势。居安思危，对于这些正在发生的网络攻击事件，我们应该引以为鉴。从委内瑞拉遭受的此次攻击来看，整个电力系统的多个环节都遭到了攻击，并且攻击的渠道也呈现多样化。就我国而言，电力系统体系庞大、系统复杂，如何做好安全防护工作，需要引起我们进一步的思考。建立和发展一种信息安全方案是电力系统安全的基础。应根据情况建立一套切合实际需要的安全防御体系。电力包括其他工业领域的工控安全建设是一个持久战，从点到面，从被动到主动，从安全防御到态势感知，从技术手段到安全管理，需要不断地持续优化。只有这样，才能应对瞬息万变的对峙局面，也只有这样，才能打赢未来的“网络战争”。103.1 网络攻击概述一二指攻击仅仅发生在入侵行为完成，且入侵者已在目标网络中；指可能使网络系统受到破坏的所有行为。网络攻击的定义 网络攻击可对网络系统的保密性、完整性、可用性、可控性和可审查性等造成威胁和破坏。113.1 网络攻击概述获取超级用户权限，对系统进行非法访问获取所需信息，包括科技情报、个人资料、银行卡密码及系统信息等篡改、删除或暴露数据资料，达到非法目的利用系统资源，对其他目标进行攻击、发布虚假信息、占用存储空间等占满服务器的所有服务线程或网络带宽，使其瘫痪，无法正常提供服务攻击网络系统的目的 网络攻击的基本特征是：由攻击者发起并使用一定的攻击工具，对目标网络系统进行攻击访问，并呈现出一定的攻击效果，实现了攻击者的攻击意图。根据攻击实现方法的不同，可将网络攻击分为主动攻击和被动攻击两类。123.1 网络攻击概述1主动攻击 主动攻击是指攻击者为了实现攻击目的，主动对需要访问的信息进行非授权的访问行为。针对系统可用性的攻击，主要通过破坏计算机硬件、网络和文件管理系统来实现。最常见的是拒绝服务，针对身份识别、访问控制、审计跟踪等应用的攻击也属于中断。中断1是针对信息完整性的攻击，主要利用存在的漏洞破坏原有的机制，实现攻击目的。篡改2伪造3主动攻击的类型指某个实体冒充成其他实体，发出含有其他实体身份信息的数据信息，从而以欺骗方式获取一些合法用户的权利和特权。它主要用于对身份认证和资源授权进行攻击。133.1 网络攻击概述2被动攻击 被动攻击是利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及系统中的数据进行的攻击。被动攻击一般不会对数据进行篡改，而是通过截取或窃听等方式在未经用户授权的情况下对信息内容进行获取，或者对业务数据流进行分析。被动攻击的类型窃听是指借助于技术手段窃取网络中的信息，既包括以明文形式保存和传输的信息，也包括通过数据加密技术处理后的密文信息。数据在网络中传输时都以流量进行描述，流量分析建立在数据拦截的基础上，对截获的数据根据需要进行定向分析。窃听流量分析143.2 网络攻击的常见形式01口令窃取04恶意代码攻击05拒绝服务攻击02欺骗攻击03漏洞攻击网络攻击常见形式1口令窃取 口令窃取是指通过网络监听、弱口令扫描、社会工程学或暴力破解等各种方式非法获取目标系统的用户账号和口令，然后冒充该合法用户非法访问目标系统。网络攻击的常见形式主要包括口令窃取、欺骗攻击、漏洞攻击、恶意代码攻击、拒绝服务攻击等。153.2 网络攻击的常见形式1网络监听 许多网络协议如 HTTP，SMTP，POP3 和 Telnet 等默认采用明文传输账号和口令信息，攻击者只需在信息传输路径的某个节点使用网络监听技术，即可轻易截获目标系统的账号和口令。弱口令扫描 针对采用散列算法加密口令的网络协议，如 SMB，SSH，VNC，MySQL，NTLM 等，攻击者应用弱口令扫描技术并结合适当的口令字典，可以破解一些设置较为简单的用户口令。23暴力破解 前提是获取经过散列算法单向加密的口令，然后采用口令字典或穷举口令字符空间的方式，对加密后的口令进行离线破解。其原理是根据不同协议所采用的公开的散列算法进行口令的正向猜测。当针对猜测的口令生成的散列值与截获的口令散列值相同时，则找到了正确的口令。163.2 网络攻击的常见形式4彩虹表攻击 由于穷举字符空间费时，攻击者们开发出一种称为“彩虹表攻击”的破解技术。彩虹表是一张预先计算好，针对不同散列算法的逆运算表，其中存储部分明文口令和口令散列的对应关系。社会工程学 也可以用于窃取用户口令，这种方式一般称为“钓鱼”，其基本原理是攻击者通过伪造登录界面、提供虚假页面、发送恶意链接、发送伪造邮件等方式，使用高度逼真的图片和内容诱使用户输入真实的口令，隐藏在这些虚假界面、页面、链接和邮件后的程序或脚本会通过各种途径记录这些口令并隐蔽地提交给攻击者。5 口令机制是资源访问控制的第一道屏障。网络攻击者常常以破解用户的弱口令为突破口，获取系统的访问权限。随着计算机软硬件技术的发展，以及人们计算能力的提高，目前有许多专用的口令攻击软件流行，使得口令窃取变得更为有效。173.2 网络攻击的常见形式 欺骗攻击拦截正常的网络通信数据并进行数据篡改和嗅探，而通信双方却毫不知情，因此也称为中间人攻击（MITM）。2欺骗攻击实现欺骗攻击的首要任务是截获通信双方的数据，然后才是篡改数据进行攻击。在集线器组成的局域网中，监听十分容易，所有主机共享一条信道，数据会广播至所有端口，攻击者只需要将网卡设置为混杂模式即可。现在已经普遍采用通过交换机组成的局域网，通信双方独占信道，其他主机的通信报文不会发送至攻击者的网卡，因此攻击者必须主动攻击以截获主机间的通信数据。183.2 网络攻击的常见形式 在广域网上实现欺骗攻击，攻击者必须控制路径中的某个中间节点，或者欺骗某个交换节点接收虚假路由，从而使报文通过错误的路由传递给攻击者，攻击者才可能截获双方的报文，进而篡改报文实施攻击。根据截获报文的不同应用协议，欺骗攻击有不同的攻击方式。漏洞攻击是指利用硬件、软件、协议的具体实现或系统安全策略方面存在的缺陷，编写利用该缺陷的破解代码和破解工具，实施远程攻击目标系统或目标网络。这是最主流的主动攻击方式。3漏洞攻击193.2 网络攻击的常见形式本地漏洞远程漏洞指需要操作系统的有效账号登录到本地才能破解的漏洞，主要是权限提升类漏洞，即把自身的执行权限从普通用户级别提升到管理员级别；漏洞根据破解的位置可分为 2 种指无须操作系统账号的验证即可通过网络访问目标进行漏洞破解，如果漏洞仅需要诸如 FTP 用户账号即可破解，则该漏洞属于远程漏洞。203.2 网络攻击的常见形式漏洞根据威胁类型可分为 3 种非法访问漏洞可以导致程序执行流程被劫持，转向执行攻击者指定的任意指令或命令，从而进一步控制应用系统或操作系统。此类漏洞威胁最大，同时破坏了系统的保密性、完整性，甚至可用性。信息泄露漏洞可以导致劫持程序访问非授权的资源并泄露给攻击者，破坏系统的保密性。拒绝服务漏洞可以导致目标应用或系统暂时或永远性地失去响应正常服务的能力，破坏系统的可用性。213.2 网络攻击的常见形式0104050203内存破坏漏洞逻辑错误漏洞输入验证漏洞设计错误漏洞配置错误漏洞漏洞根据形成的技术可分为5种 无论系统存在何种漏洞，攻击者都可以通过漏洞扫描的方法进行远程发现，然后利用破解工具或破解程序基于该漏洞实施攻击。具有较高编程水平的攻击者可以自行编写相应漏洞的全新破解程序并展开对目标的远程攻击；大部分攻击者通常基于已有的开发工具或平台，采用类似搭积木的方式编写破解程序或者直接利用已经存在的破解程序对目标发起攻击。223.2 网络攻击的常见形式 恶意代码是指未经授权认证且可以破坏系统完整性的程序或代码，恶意代码攻击则是指将恶意代码隐蔽传送到目标主机，并可远程执行未经授权的操作，从而实施信息窃取、信息篡改或其他破坏行为。4恶意代码攻击0305010402僵尸网络涉及的重要概念网络病毒恶意脚本后门攻击网络蠕虫木马攻击233.2 网络攻击的常见形式 恶意代码的一般攻击过程为：一段成功的恶意代码，首先必须具有良好的隐蔽性和生存性，不能轻易被防御工具察觉，然后才是良好的攻击能力。入侵系统提升权限隐蔽自己实施攻击010203040506远程控制键盘记录网络监听设备控制进程控制信息窃取恶意代码的功能243.2 网络攻击的常见形式 拒绝服务（DoS）攻击通常是指造成目标无法正常提供服务的攻击，可能是利用TCP/IP协议的设计或实现漏洞、各种系统或服务程序的实现漏洞造成目标系统无法提供正常服务的攻击，也可能是通过各种手段消耗网络带宽及目标的系统资源（如CPU时间、磁盘空间、物理内存等）使得目标停止提供正常服务的攻击。5拒绝服务攻击攻击者使用大量垃圾数据流填充目标的网络链路，导致响应速度变慢甚至系统崩溃，进而停止服务。带宽攻击利用网络协议的设计和实现漏洞进行的攻击。协议攻击利用目标系统或服务程序的实现漏洞发起攻击。逻辑攻击常见拒绝服务攻击253.3 网络