网络攻击技术及攻击实例介绍

网络攻击技术及攻击实例介绍摘要：随着计算机网络的广泛使用，网络攻击技术也迅猛发展。研究网络攻击带来的多个威胁，有针对性的对这些威胁进行有效防备，是加固安全防御体系的重要途径。研究计算机网络攻击技术，模拟黑客行为，以敌手推演为模型、以攻防对抗为实践方式来验证网络整体安全防护效能，是加强网络安全防护的一种重要手段。本文介绍了WEB脚本入侵攻击、缓冲区滋出攻击、木马后门攻击、网络设备攻击、内网渗入攻击、回绝服务攻击、网电空间对抗六种典型网络攻击技术及伊朗核设施遭震网技术的网络攻击案例。网络攻击技术分类?计算机网络攻击是网络攻击者运用网络通信合同本身存在的缺点、顾客使用的操作系统内在缺点或顾客使用的程序语言本身所含有的安全隐患，通过使网络命令或者专门的软件非法进人本地或远程顾客主机系统，获得、修改、删除顾客系统的信息以及在顾客系统上插入有害信息，减少、破坏网络使用效能等一系列活动的总称。?从技术角度看，计算机网络的安全隐患，首先是由于它面对全部顾客，全部资源通过网络共享，另首先是由于其技术是开放和原则化的。层出不穷的网络攻击事件可视为这些不安全因素最直接的证据。其后果就是造成信息的机密性、完整性、可用性、真实性、可控性等安全属性遭到破坏，进而威胁到系统和网络的安全性。?从法律定义上，网络攻击是入侵行为完全完毕且入侵者已在目的网络内。但是更激进的观点是(特别是对网络安全管理员来说)，可能使一种网络受到破坏的全部行为都应称为网络攻击，即从一种入侵者开始对目的机上展开工作的那个时刻起，攻击就开始了。普通网络攻击过程含有明显的阶段性，能够粗略的划分为三个阶段:准备阶段、实施阶段、善后阶段。为了获取访问权限，或者修改破坏数据等，攻击者会综合运用多个攻击办法达成其目的。常见的攻击办法涉及：网络探测、欺骗、嗅探、会话劫持、缓冲区滋出、口令猜解、木马后门、社交工程、回绝服务等。?网络渗入是网络攻力的核心，攻击者通过一步步入侵目的主机或目的服务器，达成控制或破坏目的的目的。攻击者往往通过对这些技术的综合使用，对一种看似安全的网络，寻找到一种很小的安全缺点或漏洞，然后一步一步将这些缺口扩大，最后造成整个网络安全防线的失守，从而掌控整个网络的控制权限。?剑有双刃，网络渗入攻击能够成为攻击者手中的一种破坏性极强的攻击手段，也能够成为网络管理员和安全工作者保护网络安全的重要方案设计来源。下面分别介绍这些渗入攻击技术。信息踩点与收集?对于攻击者而言，目的网络系统上的任何漏洞都有可能成为撕开网络安全防线的一种突破口。攻击者踢点与收集的信息，无非就是找到这条防线中最单薄的那个环节。首先获取尽量具体的目的信息，然后制订人侵方案，寻找突破口进人内部网络，再提高权限控制目的主机或网络。信息踩点重要有下列三个方面。?管理员顾客信息收集?攻击者通过网络搜索引擎、实地理解、电话咨询等方式，运用社会工程学方式，收集目的系统或网络的归属性质、重要顾客、构造分支、邮件联系地址、电话号码、QQ或MSN等多个社交网络注册账户及信息，以及重要管理员的网络习惯等。这些信息可用作制作弱口令猜解字典以及钓鱼攻击的先验知识。?服务器系统信息收集?运用多个扫描工具，收集服务器对外提供的服务，并测试其与否存在开放式的漏洞。惯用的针对系统漏洞的扫描工含有NESSUS、SSS、ISS、X-scan、Retha等。针对服务端口的扫描工含有Nmap、SuperScan、Amap等。针对WEB页面眼务的扫描工含有SQL扫播器、PHP扫描器、上传漏洞扫描器等，以及WEB站点扫描工具如Appscan、AcunetixWebVulnerabilityScanner、Jsky等。针对数据库的扫描工含有shadowDatabasescanner、NGSSQuirreL、SQL弱口令扫描器等。另外还可以根据需要自己开发专门的漏洞验证扫描器。网络信息收集攻击者通过谷歌Hacking、WHOIS、DNS查询以及网络拓扑扫描器(如Solarwinds等)，对目的网络拓扑构造、IP分布状况、网络连接设备信息、眼务器分布状况等信息进行收集。?WEB脚本入侵攻击?WEB服务作为现今Intemet上使用最广泛的服务，底层软件庞大、配备复杂、漏洞较多，因此攻击手段也最多；一旦WEB服务被攻破，可能成为攻击者渗入进内网的跳板。WEB服务往往大量采用动态网页，例如，使用ASP、PHP和JSP等脚本。针对动态网页的脚本攻击办法越来越流行，涉及文献上传、注入、暴库、旁注、Cookies欺骗、xss跨站脚本攻击、跨站伪造请求攻击、远程文献包含攻击等。WEB脚本人侵重要以WEB服务器以及数据库服务器为入侵攻击对象，采用脚本命令或浏览器访问的方式对目的实施人侵攻击。在攻击者对一种WEB站点完毕踩点和信息收集之后，能够采用数据库人侵或者多个脚本漏洞获取到后台管理权限，再获得webshell权限，继而通过webshell提高权限打开内网渗入的突破口。?由于WEB脚本人侵全部操作都是通过80端口进行数据传送，能够顺利的穿透防火墙，这种无孔不人的攻击方式让网站管理员难于防备。WEB脚本攻击技术多个多样，并且时刻都在更新。SQL注人攻击?SQL注人攻击技术自开始逐步发展，并日益流行，已成为WEB入侵的常青技术。这重要是由于网页程序员在编写代码时，没有对顾客输人数据的正当性进行判断，使得攻击者能够构造并提交一段恶意的数据，根据返回成果来获得数据库内存储的敏感信息。由于编写代码的程序员技术水平参差不齐，一种网站的代码量往往又大得惊人，使得注入漏洞往往层出不穷，也给攻击者带来了突破的机会。SQL惯用的注人工含有：pangolin.等。?数据库人侵攻击?数据库人侵涉及默认数据库下载、暴库下载以及数据库弱口令连接等攻击方式。默认数据库漏洞，是指部分网站在使用开源代码程序时，未对数据库途径以及文献名进行修改，造成攻击者能够直接下载到数据库文献进行攻击。暴库下载攻击是指运用IIS的％5C编码转换漏洞，造成攻击者在提交特殊构造的地址时，网站将数据库真实物理途径作为错误信息返回到浏览器中。攻击者即能够此下载到核心数据库。数据库弱口令连接人侵，攻击者通过扫推得到的弱口令，运用数据库连接工具直接连接到目的主机的数据库上，并依靠数据库的存储过程扩展等方式，添加后门账号、执行特殊命令。文献上传漏洞人侵?网站的上传漏洞是由于网页代码中文献上传途径变量以及文献名变量过滤不严造成的，运用这个漏洞能够将如.ASP等格式的网页木立刻传到网站服务器，继而获得网站的服务器权限。诸多网站都提供文献上传功效，以方便顾客发图、资源共享等。但由于上传功效限制不严，造成了漏洞的出现。上传漏洞的成因以下：首先，对文献的扩展名或文献头验证不严密，造成上传任意或特殊文献；另首先，对上传文献的文献头标记验证不严，也会造成文献上传漏洞。如攻击者能够修改文献头伪装图片，或对图片和木马进行合并，写入数据库中，然后通过数据库备份将文献保存为指定格式的木马文献。?跨站脚本攻击?跨站攻击，即ecosssitescriptexecution(普通简写为xss，由于CSS与层叠样式表同名，故改为XSS)是指攻击者运用网站程序对顾客输入过滤局限性，输入能够显不在页面上对其它顾客造成影响的HTML代码，从而盗取顾客资料、运用顾客身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。使用最多的跨站攻击办法莫过于cookie窃取，即获cookie后直接借助工具或其它可修改cookie的浏览器，被攻击者在访问网页时，其cookies将被盗取。?跨站攻力尚有一种使用方法是读取本地文献。跨站脚本攻击的方式重要还是依靠运用者的javascript编程水平，攻击者编程水平够高，就能达成更为复杂的攻击效果。诸如AttackAPI,XSSshell、XSS蠕虫、读取浏览器密码、攻击Firefox插件等等。?webshell权限提高?普通而言，webshell所获取的权限为IIS_USER权限，有些组件或应用程序是不能直接运行的。为了提高webshell权限，攻击者往往会运用服务器上的安全缺点,或通过多个含有高权限的系统以及应用软件漏洞，来提高自己程序的执行权限。缓冲区滋出攻击缓冲区溢出(bufferoverflow)是一种系统攻击手段，通过在程序缓冲区写超出其长度的内容，造成缓冲区溢出，从而破坏程序堆找，使程序转而执行其它指令达成攻击目的。?运用缓冲区溢出进行系统攻击必须满足的两个基本条件：第一步，将攻志代码植入被攻击程序；第二步，使被攻击程序跳转到植入的攻击代码处执行，通过精心设计的溢出字符串同时实现这两个环节。将溢出字符串作为顾客数据提供应被攻击程序，用来溢出被攻击程序的缓冲区，实现溢出攻击，例如，针对网络服务程序，构造特殊格式的交互数据包;针对浏览器或第三方插件程序，构造特殊格式的网页；针对办公程序，构造特殊格式的文档，等等。通过缓冲区溢出进行系统攻击的难点在于溢出字符串的设计，其中涉及设计良好的返回地址和攻击代码shellcode。返回地址的设计影响着溢出字符串格式的设计，而sheucode的寄存位置需要根据返回地址的设计来决定。溢出字符串寄存在被攻击程序的堆找缓冲区内。为了执行溢出字符串中的shellcode,返回地址能够设计为直接指向shellcode的开始地址；或者能够在shellcode前加上一段Nop指令，返回地址设计为指向这段NOP指令中的某个地址。?为了提高对返回地址猜想的命中率，溢出字符串中能够寄存多份返回地址来提高覆盖函数原返回地址的成功率。?成功触发缓冲区溢出后，进程的控制权转交给shellcode,shellcode是溢出字符串的有效负载，用来实现不同的攻击功效。shellcode的手工生成十分繁琐，为加紧开发速度，能够通过自动化shellcode生成平台Metasploit来产生所需的shellcode,功效涉及：本地提取、远程提权、下载执行、开放端口、反弹连接、增添管理顾客等。?在网络渗入攻击中，攻击者能够运用缓冲区溢出直接控制多台主机，特别是在内网渗入当中，由于内网主机普通处在防火墙里面，缓冲区溢出攻击所针对的端口不会被防火墙所屏蔽，因此缓冲区溢出成为内网横向权限提高最有效的手段之一。?缓冲区溢出有两种方式，一种是远程溢出，另外一种是本地溢出。远程溢出攻击是网络攻击中一种威力巨大的手段。攻击者能够通过远程溢出，直接控制目的主机，获取最高权限：如针对windows的MS08-067漏洞，造成了无数主机被溢出攻击。本地滋出的危害更多在于webshell提权上面。?缓冲区溢出攻击根据攻击目杨又可分为针对操作系统服务、针对WEB平台服务，以及针对第三方软件的滋出攻击。针对操作系统服务漏洞的重要有RFC服务远程溢出(包含多个，如冲击波，震荡波、扫荡波等)、W1NS服务名称验证漏洞、即插即用服务溢出漏洞等针对WEB平台服务的漏洞有IIS平台的IDA、IDQ漏洞，Apache滋出漏洞，WEBDAV溢出漏洞、邮件服务器的溢出漏洞、对FTP服务器的溢出漏洞等。针对第三方应用软件的溢出漏洞有ccproxy代理溢出漏洞、Serv-U?眼务器漠出漏洞、ISSRealSecure/BlackICE防火墙溢出等。?木马后门攻击?木马后门攻击是攻击者延续其攻击效果的重要手段，涉及特洛伊木马、网页木马、隐秘后门、RootKit等方式。攻击者通过木巧攻击，最后达成获取下一时刻服务器控制权限的目的。攻击的重要手段:文献描绑攻击、文献自动感染攻击、网页挂马攻击、账号密码破解攻击，预留后门攻法、RootKit后门攻击等。?Rootkir技术?Rootkit与普通木马后门以及病毒的区别在于其更为强大的隐秘性，如通信隐蔽、自启动项隐藏、文献隐藏、进程通信隐蔽、进程/模块隐藏、注册表隐藏、服务隐藏、端口隐藏。Rootkit本身并没有害处，但它能够作为其它恶意代码的载体。其极强的隐蔽性给其它恶意代码的生存及传输提供了良好的温床。Rootkit大多数是进一步操作系统内核的.通过进行代码的注人，以及某些针对操作系统的漏洞的溢出攻击.或通过驱动程序加载的方式进人系统内核。由于在绝大多数当代操作系统中都采用了整体单内核的设计；内核的各个模块之间是互相透明的，只要Rootkit侵人了内核的任何一种部分，那么它就拥有了整个系统的全部控制权。之后Rootkit能够进行诸多操作，例如，隐藏文献、进程，制造隐蔽的网络通信信道等等。网页挂马攻击?网页木马普通是指运用IE浏览器的某些漏洞，通过构造出特殊代码，在网页中夹带木马程序，或一段使得客户端下载并执行指向木马程序连接地址的攻击代码。使得其它上网者在浏览该网页时，会在后台悄悄执行网页中的攻击代码，达成控制顾客主机的目的。?常见网页木马重要有操作系统自带lE组件或其它软件漏洞网页木马和应用软件漏洞网页木马。对于第一类，最典型的有MIME漏洞网页木马、ActiveX漏洞木马、OBJECT对象漏洞木马。事实上，被曙光的IE浏览器漏洞始终源源不绝，由于网页木马是由服务器攻击客户端，顾客往往又是信任服务器的，这类攻击产生的后果和危害往往是非常严重的。网络设备攻击?路由器和交换机是最常见的网络设备，决定着内网与互联网之间的连接。在攻击者入侵目的中，路由器和交换机是重要的攻击对象。在惯用网络设备中，Cisco路由器占据主导地位。下面以cisco为例，介绍攻击者人侵路由器的办法。?路由器远程控制办法普通有两种，一种是telnet或HTTP管理，一种是SNMP代理。前一种方式只适合管理小型局域网路由器，而后一种是更为惯用的管理方案。1.SNMP社区字串弱口令每个SNMP启用的路由设备都包含一种管理信息模块(MIB)，这是一种包含简朴等级的数据目录构造,在这种树构造中包含设备多个信息。通过SNMP命令GET，能够检索MIB的信息，而SET命令则可设立MIB变量。SNMP合同通过社区(community)字串的概念实现对设备MIB对象访问的权限。如：?(conf)#snmp-servercommunityread_onlyRO?(conf)#snmp-servercommunityread_writeRW?上例中设立了只读访问的社区字串read_only和可进行读写操作的read_write社区字串。而大部分管理员喜欢使用public和private设立只读字串和读写字串，这种配备成果将给网络带来巨大的安全风险。攻击者能够通过SolarWinds等路由器管理工具扫描到这些弱口令字串，并运用TFTP下载或上传配备文献，破解其特权密码或直接上传本地修改后的配备文献，达成完全控制路由器的目的。Cisco配备文献中，意外创立和暴露SNMP共享字符串，能够允许未授权地査阅或者修改感染的设备。这种漏洞是调用SNMP函数中的缺点引发的。SNMP运用community的标记来划分object组，能够在设备上查看或者修改它们。在组中的数据组织MIB，单个设备能够有几个MIBs，连接在一起形成一种大的构造，不同的社团字符串能够提供只读或者读写访问不同的、可能重叠的大型数掘构造的一部分。?启用SNMP,键入snmp-server时，如果社区在设备上不是以有效的社区字串存在，就会不可预料地添加一种只读社区字率。如果删除它，这个社区字串中将会在重载设备时重新出现。?缺点源于SNMPv2的告知(informs)功效的实现，这个功效涉及交换只读社区字符串来共享状态信息。当一种有漏洞设各解决一条定义接受SNMP"traps"(陷阱消息)主机的命令时(常规snmp-server配备)，在trap消息中指定的社团也还是配备成通用，如果它在保存配备中没有定义。即使社区在前面被删除并统配备在系统重载前保存到存储器，也会发生这种状况。?当通过"snmpwalk"(—种检测SNMP配备对的性的工具)，或者使用设备的只读社团字符串遍历基于社团的访问控制MIB来检查设备时，就会泄漏读写社团字符串。这意味着懂得只读社区字串允许读访问存储在设备中的MIB,造成信息泄露。而更为严重的是，如果懂得读写社区字符串就能够允许远程配备的路由，能够绕开授权认证机制，从而完全控制路由器的整体功效。内网渗入攻击?windows系统密码破解?在内网渗入中，如果能得到域管理员的密码Hash,并破解之，将使攻击者很可能通过此密码控制到整个网络。?在windows系统中，某个顾客登陆系统后，其顾客名和密码都是以明文的方式保存在内存中的。控制顾客登陆的系统进程是，当有多个顾客同时登陆系统时，系统在每个顾客登陆时都会产生一种进程。当AWGINA模式被设立时，能够用aio等工具直接读取到现在顾客的密码。攻击者在获取目的主机emdshell后，能够采用LC5、SAMInside等工具进行暴力或字典破解。然而，由于windows密码采用的是NTLMHash加密的方式，对于一种位数不太长密码，完全能够采用查表法进行破解，opcrack加彩虹表进行查表搜索破解就是一种较好的选择。其在破解14位任意字符时，普通都在几分钟之内。ARP欺骗攻击?ARP合同即地址解析合同addressresolutionprotocol,ARP合同是将Ip地址与网络物理地址一一对应的合同。负责IP地址和网+实体地址(MAC)之间的转换。也就是将网络层(IP层’也就是相称于ISOOSI的第三层)地址解析为数据连接层(MAC层，也就是相称于ISOOSI的第二层)的MAC地址。ARP表支持在MAC地址和IP地址之间的一一对应关系，并提供两者的互相转换。?由于ARP合同无法识别ARP谓求kg响应报文的衣实性，使得攻击者能够通过抢先构造出ARP报文，对内网所主机以及交换设备进行欺编，从而达成流量重定向的攻击的目的。常见内网ARP欺骗攻击的重要手段有ARP内网挂马攻击，ARP内网嗅探攻击，ARP挂马攻击重要使得内网主机在访问外部网页时，被强行插入一种恶意网页木马链接，达成种植木巧的攻击效果。ARP内网嗅探攻击重要是攻击机在被攻击机与访问站点之间做一种中间人攻击，使得全部通信数据先流向攻击机，再转发出去。惯用内网鸣探攻击工含有cain、cttcrcap。回绝服务攻击?在网络攻击中，恶意攻击者为了破坏目的服务的可用性，或者让目的服务器进行重启来执行某些功效，普通会采用回绝服务攻击的方式。回绝服务攻击的分类办法有诸多个，从不同的角度能够进行不同的分类，而不同的应用场合需要采用不同的分类。惯用的柜绝服务工含有：SYNFlood,UDPFlood、傀儡僵尸等分布式回绝服务工具。?回绝服务攻击能够是物理的(硬件的)，也能够是逻辑的(logicattack),也称为软件的(sofwareattack)。物理形式的攻击，如盗窃、破坏物理设备，破坏电源等。按攻击的目的又可分为节点型和网络连接型，前者旨在消耗节点(主机host)资源，后者旨在消耗网络连接和带宽。而节点型又能够进一步细分为主机型和应用型，主机型攻击的目的重要是主机中的公共资源如CPU、磁盘等，使得主机对全部的服务都不能响应；而应用型则是攻击特定的应用，如邮件服务、DNS服务、Web服务等。受攻击时，受害者上的其它服务可能不受影响或者受影响的程度较小(与受攻击的服务相比而言)。?按照攻击方式来分能够分为：资源消耗和服务中断。资源消耗指攻击者试图消耗目的的正当资源，例如，网络带宽、内存和磁盘空间、CPU使用率等。服务中止则是指攻击者运用服务中的某些缺点造成服务崩淸或中断。?按受害者类型能够分为服务器端回绝服务攻击和客户端回绝服务攻击。前者是指攻击的目的是特定的服务器，使之不能提供服务(或者不能向某些客户端提供某种服务)，例如，攻击一种web服务器使之不能访问；后者是针对特定的客户端，即顾客，使之不能使用某种服务，例如，游戏、聊天室中的"踢人"，即不让某个特定的顾客登录游戏系统或聊天室中，使之不能使用系统的服务。大多数的回绝服务攻击(无论从种类还是发生的频率角度)是针对服务器的，针对客户端的攻击普通发生得少些，同时由于涉及面小，其危害也会小诸多。按攻击与否直接针对受害者，能够分为直接回绝服务攻击和间接回绝服务攻击，如要对某个E-mail账号实施回绝服务攻击，直接对该账号用邮件炸弹攻击就属于直接攻击为了使某个邮件账号不可用，攻击邮件服务器而使整个邮件服务器不可用就是间接攻击。?按攻击地点能够分为本地攻击和远程(网络)攻击，本地攻击是指不通过网络，直接对本地主机的攻击，远程攻击则必须通过网络连接。由于本地攻击规定攻击者与受害者处在同一地，这对攻击者的规定太高，普通只有内部人员能够做到。网电空间对抗?随着军用信息网络的发展，网电空间(cyberspace)成为继陆、海、天之后的又一重要战场，网电空间对抗技术也逐步成为各同军队争相发展的热点。美军于6月正式成立网电司令部，全方面规划和管理各军种网电对抗的指挥控制、信息共享、装备论证和作战训练。网电空间是通过网络化系统有关物理基础设施，运用电子信号和电磁频谱，存储、修改和交换数据的域，涵盖了信息的产生、解决、传输、使用、存储的全过程，涉及信息通过电磁信号在电磁频谱空间中传输的过程，是一种全新的作战域。?网电空间中包含多个异构网络。异构网络的连接方式涉及物理连接和虚拟连接。物理连接指异构网络之间通过网络设备互联，如计算机网络和移动通信网络之间通过网关互联。虚拟连接指异构网络之间没有通过网络设备进行直接连接，但可以运用移动介质、终端等实现连接，如外部网络和隔离网络之间没有直接连接但是能够通过移动介质、终端等实现两个网络间的信息传输。网电空间对抗的范畴涉及网电态势感知、网电攻击和网电防御等三大领域其基本模式是结合传统网络战和电子对抗的特色和优势，实现自上而下、自下而上的信息干预，从而影响认知域。具体的技术发展思路内容涉及两个层面，即实现网络化的电子对抗和实现电磁化的网路攻击。?美军在网电对抗方面已经形成了一系列含有实战能力的技本和装备体系，其中比较有代表性的涉及：舒特系统、震网攻击技术、数字大炮、网电飞行器等。其中震网攻击技术在针对伊朗核设施的作战应用中一举成名，成力现在网电攻击的典型范例。攻击案例——震网攻击技术?，伊朗核设施中大量浓缩袖离心机报废，核项目进展严重停滞。2月，为避免核泄漏，伊朗宣布临时卸载其布什尔梭电站的核燃料。据权威反病毒机构分析显示，造成该事件的罪魁祸首为"超级工厂"（震网)病毒。经分析发现，超级工厂病毒攻击核电站的办法是:摧毁核电站的浓缩轴离心机。为了摧毁离心机，病毒使用了三种办法：?(1)在控制浓缩袖离心机的可编程逻辑控制器(PLC)上植人恶意代码，使离