《网络攻击技术及攻击实例介绍》由会员分享,可在线阅读,更多相关《网络攻击技术及攻击实例介绍(16页珍藏版)》请在金锄头文库上搜索。
1、网络攻击技术及攻击实例介绍摘要:随着计算机网络的广泛使用,网络攻击技术也迅猛发展。研究网络攻击带 来的各种威胁,有针对性的对这些威胁进行有效防范,是加固安全防御体系的重 要途径。研究计算机网络攻击技术,模拟黑客行为,以敌手推演为模型、以攻防 对抗为实践方式来验证网络整体安全防护效能,是加强网络安全防护的一种重要 手段。本文介绍了 WEB脚本入侵攻击、缓沖区滋出攻击、木马后门攻击、网络设 备攻击、内网渗透攻击、拒绝服务攻击、网电空间对抗六种典型网络攻击技术及 伊朗核设施遭震网技术的网络攻击案例。一、网络攻击技术分类计算机网络攻击是网络攻击者利用网络通信协议自身存在的缺陷、用户使用的操作系统内在缺
2、陷或用户使用的程序语言本身所具有的安全隐患,通过 使网络命令或者专门的软件非法进人本地或远程用户主机系统,获得、修改、 删除用户系统的信息以及在用户系统上插入有害信息,降低、破坏网络使用 效能等一系列活动的总称。从技术角度看,计算机网络的安全隐患,一方面是由于它面向所有用户,所有资源通过网络共享,另一方面是因为其技术是开放和标准化的。层出不 穷的网络攻击事件可视为这些不安全因素最直接的证据。其后果就是导致信 息的机密性、完整性、可用性、真实性、可控性等安全属性遭到破坏,进而 威胁到系统和网络的安全性。从法律定义上,网络攻击是入侵行为完全完成且入侵者已在目标网络内。但是更激进的观点是(尤其是对网
3、络安全管理员来说),可能使一个网络受到破坏的所有行为都应称为网络攻击,即从一个入侵者开始对目标机上展开工作的那个时刻起,攻击就开始了。通常网络攻击过程具有明显的阶段性,可以 粗略的划分为三个阶段:准备阶段、实施阶段、善后阶段。 为了获取访问权限,或者修改破坏数据等,攻击者会综合利用多种攻击方法 达到其目的。常见的攻击方法包括:网络探测、欺骗、嗅探、会话劫持、缓 冲区滋出、口令猜解、木马后门、社交工程、拒绝服务等。网络渗透是网络攻力的核心,攻击者通过一步步入侵目标主机或目标服务 器,达到控制或破坏目标的目的。攻击者往往通过对这些技术的综合使用, 对一个看似安全的网络,寻找到一个很小的安全缺陷或漏
4、洞,然后一步一步 将这些缺口扩大,最终导致整个网络安全防线的失守,从而掌控整个网络的 控制权限。剑有双刃,网络渗透攻击可以成为攻击者手中的一种破坏性极强的攻击手 段,也可以成为网络管理员和安全工作者保护网络安全的重要方案设计来 源。下面分别介绍这些渗透攻击技术。二、信息踩点与收集对于攻击者而言,目标网络系统上的任何漏洞都有可能成为撕开网络安全 防线的一个突破口。攻击者踢点与收集的信息,无非就是找到这条防线中最 薄弱的那个环节。首先获取尽可能详细的目标信息,然后制定人侵方案,寻 找突破口进人内部网络,再提升权限控制目标主机或网络。信息踩点主要有 以下三个方面。(一)管理员用户信息收集攻击者通过网
5、络搜索引擎、实地了解、电话咨询等方式,利用社会工程学 方式,收集目标系统或网络的归属性质、重要用户、结构分支、邮件联系地 址、电话号码、QQ或MSN等各种社交网络注册账户及信息,以及主要管理 员的网络习惯等。这些信息可用作制作弱口令猜解字典以及钓鱼攻击的先验 知识。(二)服务器系统信息收集利用各种扫描工具,收集服务器对外提供的服务,并测试其是否存在开放 式的漏洞。常用的针对系统漏洞的扫描工具有NESSUS、SSS、ISS、X-scan、 Retha等。针对服务端口的扫描工具有Nmap、Super Scan、Amap等。针对 WEB页面眼务的扫描工具有SQL扫播器、PHP扫描器、上传漏洞扫描器等
6、, 以及 WEB 站点扫描工具如 Appscan、Acunetix Web Vulnerability Scanner、Jsky 等。针对数据库的扫描工具有 shadow Database scanner、NGSSQuirreL、SQL 弱口令扫描器等。另外还可以根据需要自己开发专门的漏洞验证扫描器。(三)网络信息收集攻击者通过Google Hacking、WHOIS、DNS查询以及网络拓扑扫描器(如 Solar winds等),对目标网络拓扑结构、IP分布情况、网络连接设备信息、眼 务器分布情况等信息进行收集。三、WEB脚本入侵攻击WEB服务作为现今Intemet上使用最广泛的服务,底层软件
7、庞大、配置复 杂、漏洞较多,因此攻击手段也最多;一旦WEB服务被攻破,可能成为攻 击者渗透进内网的跳板。WEB服务往往大量采用动态网页,例如,使用ASP、 PHP和JSP等脚本。针对动态网页的脚本攻击方法越来越流行,包括文件上 传、注入、暴库、旁注、Cookies欺骗、xss跨站脚本攻击、跨站伪造请求攻 击、远程文件包含攻击等。WEB脚本人侵主要以WEB服务器以及数据库服务器为入侵攻击对象,米用脚本命令或浏览器访问的方式对目标实施人侵攻击。在攻击者对一个 WEB站点完成踩点和信息收集之后,可以采取数据库人侵或者各种脚本漏洞 获取到后台管理权限,再取得webshell权限,继而通过webshel
8、l提升权限打 开内网渗透的突破口。由于WEB脚本人侵所有操作都是通过80端口进行数据传送,可以顺利 的穿透防火墙,这种无孔不人的攻击方式让网站管理员难于防范。WEB脚本 攻击技术多种多样,并且时刻都在更新。(一)SQL注人攻击SQL注人攻击技术自2004年开始逐步发展,并日益流行,已成为WEB 入侵的常青技术。这主要是因为网页程序员在编写代码时,没有对用户输人 数据的合法性进行判断,使得攻击者可以构造并提交一段恶意的数据,根据 返回结果来获得数据库内存储的敏感信息。由于编写代码的程序员技术水平 参差不齐,一个网站的代码量往往又大得惊人,使得注入漏洞往往层出不穷, 也给攻击者带来了突破的机会。S
9、QL常用的注人工具有:pangolin. NBSI3.0 等。(二)数据库人侵攻击数据库人侵包括默认数据库下载、暴库下载以及数据库弱口令连接等攻击 方式。默认数据库漏洞,是指部分网站在使用开源代码程序时,未对数据库 路径以及文件名进行修改,导致攻击者可以直接下载到数据库文件进行攻击。 暴库下载攻击是指利用IIS的5C编码转换漏洞,造成攻击者在提交特殊构 造的地址时,网站将数据库真实物理路径作为错误信息返回到浏览器中。攻 击者即可以此下载到关键数据库。数据库弱口令连接人侵,攻击者通过扫推 得到的弱口令,利用数据库连接工具直接连接到目标主机的数据库上,并依 靠数据库的存储过程扩展等方式,添加后门账
10、号、执行特殊命令。(三)文件上传漏洞人侵网站的上传漏洞是由于网页代码中文件上传路径变量以及文件名变量过 滤不严造成的,利用这个漏洞可以将如.ASP等格式的网页木马上传到网站服 务器,继而获得网站的服务器权限。很多网站都提供文件上传功能,以方便 用户发图、资源共享等。但由于上传功能限制不严,导致了漏洞的出现。上 传漏洞的成因如下:首先,对文件的扩展名或文件头验证不严密,导致上传 任意或特殊文件;其次,对上传文件的文件头标识验证不严,也会导致文件 上传漏洞。如攻击者可以修改文件头伪装图片,或对图片和木马进行合并, 写入数据库中,然后通过数据库备份将文件保存为指定格式的木马文件。(四)跨站脚本攻击跨
11、站攻击,即ecosssitescriptexecution(通常简写为xss,因为CSS与层叠 样式表同名,故改为XSS)是指攻击者利用网站程序对用户输入过滤不足,输 入可以显不在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、 利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 使用最多的跨站攻击方法莫过于cookie窃取,即获cookie后直接借助工具或 其他可修改cookie的浏览器,被攻击者在访问网页时,其cookies将被盗取。跨站攻力还有一种用法是读取本地文件。跨站脚本攻击的方式主要还是依靠利用者的javascript编程水平,攻击者 编程水平够高,就能达到
12、更为复杂的攻击效果。诸如Attack API, XSS shell、 XSS蠕虫、读取浏览器密码、攻击Firefox插件等等。(五)webshell权限提升一般而言,webshell所获取的权限为IIS_USER权限,有些组件或应用程 序是不能直接运行的。为了提升webshell权限,攻击者往往会利用服务器上 的安全缺陷,或通过各种具有高权限的系统以及应用软件漏洞,来提高自己程 序的执行权限。四、缓沖区滋出攻击缓冲区溢出(buffer overflow)是一种系统攻击手段,通过在程序缓冲区写超 出其长度的内容,造成缓冲区溢出,从而破坏程序堆找,使程序转而执行其 他指令达到攻击目的。利用缓冲区溢
13、出进行系统攻击必须满足的两个基本条件:第一步,将攻志 代码植入被攻击程序;第二步,使被攻击程序跳转到植入的攻击代码处执行, 通过精心设计的溢出字符串同时实现这两个步骤。将溢出字符串作为用户数 据提供给被攻击程序,用来溢出被攻击程序的缓冲区,实现溢出攻击,例如, 针对网络服务程序,构造特殊格式的交互数据包;针对浏览器或第三方插件程 序,构造特殊格式的网页;针对办公程序,构造特殊格式的文档,等等。通 过缓冲区溢出进行系统攻击的难点在于溢出字符串的设计,其中包括设计良 好的返回地址和攻击代码shellcode。返回地址的设计影响着溢出字符串格 式的设计,而sheucode的存放位置需要根据返回地址的
14、设计来决定。溢出 字符串存放在被攻击程序的堆找缓冲区内。为了执行溢出字符串中的 shellcode,返回地址可以设计为直接指向shellcode的开始地址;或者可以在 shellcode前加上一段Nop指令,返回地址设计为指向这段NOP指令中的某 个地址。为了提高对返回地址猜测的命中率,溢出字符串中可以存放多份返回地址 来提高覆盖函数原返回地址的成功率。成功触发缓冲区溢出后,进程的控制权转交给shellcode, shellcode是溢出 字符串的有效负载,用来实现不同的攻击功能。shellcode的手工生成十分繁 琐,为加快开发速度,可以通过自动化shellcode生成平台Metasploi
15、t来产生 所需的shellcode,功能包括:本地提取、远程提权、下载执行、开放端口、反 弹连接、增添管理用户等。在网络渗透攻击中,攻击者可以利用缓冲区溢出直接控制多台主机,特别 是在内网渗透当中,由于内网主机一般处于防火墙里面,缓冲区溢出攻击所 针对的端口不会被防火墙所屏蔽,因此缓冲区溢出成为内网横向权限提升最 有效的手段之一。缓冲区溢出有两种方式,一种是远程溢出,另外一种是本地溢出。远程溢 出攻击是网络攻击中一种威力巨大的手段。攻击者可以通过远程溢出,直接 控制目标主机,获取最高权限:如针对windows的MS08-067漏洞,造成了 无数主机被溢出攻击。本地滋出的危害更多在于webshe
16、ll提权上面。缓冲区溢出攻击根据攻击目杨又可分为针对操作系统服务、针对WEB平台服 务,以及针对第三方软件的滋出攻击。针对操作系统服务漏洞的主要有RFC 服务远程溢出(包含多个,如冲击波,震荡波、扫荡波等、W1NS服务名称验 证漏洞、即插即用服务溢出漏洞等针对WEB平台服务的漏洞有IIS平台的 IDA、IDQ漏洞,Apache滋出漏洞,WEBDAV溢出漏洞、邮件服务器的溢 出漏洞、对FTP服务器的溢出漏洞等。针对第三方应用软件的溢出漏洞有 ccproxy代理溢出漏洞、Serv-U眼务器漠出漏洞、ISS RealSecure/BlackICE防 火墙溢出等。五、木马后门攻击木马后门攻击是攻击者延续其攻击效果的重要手段,包括特洛伊木马、网 页木马、隐秘后门、RootKit等方式。攻击者通过木巧攻击,最终达到获取下 一时刻服务器控制权限的目的。攻击的主要手段:文件描绑攻击、文件自动感 染攻击
