网络攻击技术及攻击实例介绍样本

网络袭击技术及袭击实例简介摘要：随着计算机网络广泛使用，网络袭击技术也迅猛发展。研究网络袭击带来各种威胁，有针对性对这些威胁进行有效防范，是加固安全防御体系重要途径。研究计算机网络袭击技术，模仿黑客行为，以敌手推演为模型、以攻防对抗为实践方式来验证网络整体安全防护效能，是加强网络安全防护一种重要手段。本文简介了WEB脚本入侵袭击、缓沖区滋出袭击、木马后门袭击、网络设备袭击、内网渗入袭击、回绝服务袭击、网电空间对抗六种典型网络袭击技术及伊朗核设施遭震网技术网络袭击案例。网络袭击技术分类

计算机网络袭击是网络袭击者运用网络通信合同自身存在缺陷、顾客使用操作系统内在缺陷或顾客使用程序语言自身所具备安全隐患，通过使网络命令或者专门软件非法进人本地或远程顾客主机系统，获得、修改、删除顾客系统信息以及在顾客系统上插入有害信息，减少、破坏网络使用效能等一系列活动总称。

从技术角度看，计算机网络安全隐患，一方面是由于它面向所有顾客，所有资源通过网络共享，另一方面是由于其技术是开放和原则化。层出不穷网络袭击事件可视为这些不安全因素最直接证据。其后果就是导致信息机密性、完整性、可用性、真实性、可控性等安全属性遭到破坏，进而威胁到系统和网络安全性。

从法律定义上，网络袭击是入侵行为完全完毕且入侵者已在目的网络内。但是更激进观点是(特别是对网络安全管理员来说)，也许使一种网络受到破坏所有行为都应称为网络袭击，即从一种入侵者开始对目的机上展开工作那个时刻起，袭击就开始了。普通网络袭击过程具备明显阶段性，可以粗略划分为三个阶段：准备阶段、实行阶段、善后阶段。为了获取访问权限，或者修改破坏数据等，袭击者会综合运用各种袭击办法达到其目。常用袭击办法涉及：网络探测、欺骗、嗅探、会话劫持、缓冲区滋出、口令猜解、木马后门、社交工程、回绝服务等。

网络渗入是网络攻力核心，袭击者通过一步步入侵目的主机或目的服务器，达到控制或破坏目的目。袭击者往往通过对这些技术综合使用，对一种看似安全网络，寻找到一种很小安全缺陷或漏洞，然后一步一步将这些缺口扩大，最后导致整个网络安全防线失守，从而掌控整个网络控制权限。

剑有双刃，网络渗入袭击可以成为袭击者手中一种破坏性极强袭击手段，也可以成为网络管理员和安全工作者保护网络安全重要方案设计来源。下面分别简介这些渗入袭击技术。信息踩点与收集

对于袭击者而言，目的网络系统上任何漏洞均有也许成为撕开网络安全防线一种突破口。袭击者踢点与收集信息，无非就是找到这条防线中最薄弱那个环节。一方面获取尽量详细目的信息，然后制定人侵方案，寻找突破口进人内部网络，再提高权限控制目的主机或网络。信息踩点重要有如下三个方面。

管理员顾客信息收集

袭击者通过网络搜索引擎、实地理解、电话征询等方式，运用社会工程学方式，收集目的系统或网络归属性质、重要顾客、构造分支、邮件联系地址、电话号码、QQ或MSN等各种社交网络注册账户及信息，以及重要管理员网络习惯等。这些信息可用作制作弱口令猜解字典以及钓鱼袭击先验知识。

服务器系统信息收集

运用各种扫描工具，收集服务器对外提供服务，并测试其与否存在开放式漏洞。惯用针对系统漏洞扫描工具备NESSUS、SSS、ISS、X-scan、Retha等。针对服务端口扫描工具备Nmap、SuperScan、Amap等。针对WEB页面眼务扫描工具备SQL扫播器、PHP扫描器、上传漏洞扫描器等，以及WEB站点扫描工具如Appscan、AcunetixWebVulnerabilityScanner、Jsky等。针对数据库扫描工具备shadowDatabasescanner、NGSSQuirreL、SQL弱口令扫描器等。此外还可以依照需要自己开发专门漏洞验证扫描器。网络信息收集袭击者通过GoogleHacking、WHOIS、DNS查询以及网络拓扑扫描器(如Solarwinds等)，对目的网络拓扑构造、IP分布状况、网络连接设备信息、眼务器分布状况等信息进行收集。

WEB脚本入侵袭击

WEB服务作为现今Intemet上使用最广泛服务，底层软件庞大、配备复杂、漏洞较多，因而袭击手段也最多；一旦WEB服务被攻破，也许成为袭击者渗入进内网跳板。WEB服务往往大量采用动态网页，例如，使用ASP、PHP和JSP等脚本。针对动态网页脚本袭击办法越来越流行，涉及文献上传、注入、暴库、旁注、Cookies欺骗、xss跨站脚本袭击、跨站伪造祈求袭击、远程文献包括攻击等。WEB脚本人侵重要以WEB服务器以及数据库服务器为入侵袭击对象，采用脚本命令或浏览器访问方式对目的实行人侵袭击。在袭击者对一种WEB站点完毕踩点和信息收集之后，可以采用数据库人侵或者各种脚本漏洞获取到后台管理权限，再获得webshell权限，继而通过webshell提高权限打开内网渗入突破口。

由于WEB脚本人侵所有操作都是通过80端口进行数据传送，可以顺利穿透防火墙，这种无孔不人袭击方式让网站管理员难于防范。WEB脚本袭击技术各种各样，并且时刻都在更新。SQL注人袭击

SQL注人袭击技术自开始逐渐发展，并日益流行，已成为WEB入侵常青技术。这重要是由于网页程序员在编写代码时，没有对顾客输人数据合法性进行判断，使得袭击者可以构造并提交一段恶意数据，依照返回成果来获得数据库内存储敏感信息。由于编写代码程序员技术水平参差不齐，一种网站代码量往往又大得惊人，使得注入漏洞往往层出不穷，也给袭击者带来了突破机会。SQL惯用注人工具备：pangolin.NBSI3.0等。

数据库人侵袭击

数据库人侵涉及默认数据库下载、暴库下载以及数据库弱口令连接等袭击方式。默认数据库漏洞，是指某些网站在使用开源代码程序时，未对数据库途径以及文献名进行修改，导致袭击者可以直接下载到数据库文献进行袭击。暴库下载袭击是指运用IIS％5C编码转换漏洞，导致袭击者在提交特殊构造地址时，网站将数据库真实物理途径作为错误信息返回到浏览器中。袭击者即可以此下载到核心数据库。数据库弱口令连接人侵，袭击者通过扫推得到弱口令，运用数据库连接工具直接连接到目的主机数据库上，并依托数据库存储过程扩展等方式，添加后门账号、执行特殊命令。文献上传漏洞人侵

网站上传漏洞是由于网页代码中文献上传途径变量以及文献名变量过滤不严导致，运用这个漏洞可以将如.ASP等格式网页木立即传到网站服务器，继而获得网站服务器权限。诸多网站都提供文献上传功能，以以便顾客发图、资源共享等。但由于上传功能限制不严，导致了漏洞浮现。上传漏洞成因如下：一方面，对文献扩展名或文献头验证不严密，导致上传任意或特殊文献；另一方面，对上传文献文献头标记验证不严，也会导致文献上传漏洞。如袭击者可以修改文献头伪装图片，或对图片和木马进行合并，写入数据库中，然后通过数据库备份将文献保存为指定格式木马文献。

跨站脚本袭击

跨站袭击，即ecosssitescriptexecution(普通简写为xss，由于CSS与层叠样式表同名，故改为XSS)是指袭击者运用网站程序对顾客输入过滤局限性，输入可以显不在页面上对其她顾客导致影响HTML代码，从而盗取顾客资料、运用顾客身份进行某种动作或者对访问者进行病毒侵害一种袭击方式。使用最多跨站袭击办法莫过于cookie窃取，即获cookie后直接借助工具或其她可修改cookie浏览器，被袭击者在访问网页时，其cookies将被盗取。

跨站攻力尚有一种用法是读取本地文献。跨站脚本袭击方式重要还是依托运用者javascript编程水平，袭击者编程水平够高，就能达到更为复杂袭击效果。诸如AttackAPI，XSSshell、XSS蠕虫、读取浏览器密码、袭击Firefox插件等等。

webshell权限提高

普通而言，webshell所获取权限为IIS_USER权限，有些组件或应用程序是不能直接运营。为了提高webshell权限，袭击者往往会运用服务器上安全缺陷,或通过各种具备高权限系统以及应用软件漏洞，来提高自己程序执行权限。缓沖区滋出袭击缓冲区溢出(bufferoverflow)是一种系统袭击手段，通过在程序缓冲区写超过其长度内容，导致缓冲区溢出，从而破坏程序堆找，使程序转而执行其她指令达到袭击目。

运用缓冲区溢出进行系统袭击必要满足两个基本条件：第一步，将攻志代码植入被袭击程序；第二步，使被袭击程序跳转到植入袭击代码处执行，通过精心设计溢出字符串同步实现这两个环节。将溢出字符串作为顾客数据提供应被袭击程序，用来溢出被袭击程序缓冲区，实现溢出袭击，例如，针对网络服务程序，构造特殊格式交互数据包;针对浏览器或第三方插件程序，构造特殊格式网页；针对办公程序，构造特殊格式文档，等等。通过缓冲区溢出进行系统袭击难点在于溢出字符串设计，其中涉及设计良好返回地址和袭击代码shellcode。返回地址设计影响着溢出字符串格式设计，而sheucode存储位置需要依照返回地址设计来决定。溢出字符串存储在被袭击程序堆找缓冲区内。为了执行溢出字符串中shellcode，返回地址可以设计为直接指向shellcode开始地址；或者可以在shellcode前加上一段Nop指令，返回地址设计为指向这段NOP指令中某个地址。

为了提高对返回地址猜测命中率，溢出字符串中可以存储多份返回地址来提高覆盖函数原返回地址成功率。

成功触发缓冲区溢出后，进程控制权转交给shellcode，shellcode是溢出字符串有效负载，用来实现不同袭击功能。shellcode手工生成十分繁琐，为加快开发速度，可以通过自动化shellcode生成平台Metasploit来产生所需shellcode,功能涉及：本地提取、远程提权、下载执行、开放端口、反弹连接、增添管理顾客等。

在网络渗入袭击中，袭击者可以运用缓冲区溢出直接控制多台主机，特别是在内网渗入当中，由于内网主机普通处在防火墙里面，缓冲区溢出袭击所针对端口不会被防火墙所屏蔽，因而缓冲区溢出成为内网横向权限提高最有效手段之一。

缓冲区溢出有两种方式，一种是远程溢出，此外一种是本地溢出。远程溢出袭击是网络袭击中一种威力巨大手段。袭击者可以通过远程溢出，直接控制目的主机，获取最高权限：如针对windowsMS08-067漏洞，导致了无数主机被溢出袭击。本地滋出危害更多在于webshell提权上面。

缓冲区溢出袭击依照袭击目杨又可分为针对操作系统服务、针对WEB平台服务，以及针对第三方软件滋出袭击。针对操作系统服务漏洞重要有RFC服务远程溢出(包括各种，如冲击波，震荡波、扫荡波等)、W1NS服务名称验证漏洞、即插即用服务溢出漏洞等针对WEB平台服务漏洞有IIS平台IDA、IDQ漏洞，Apache滋出漏洞，WEBDAV溢出漏洞、邮件服务器溢出漏洞、对FTP服务器溢出漏洞等。针对第三方应用软件溢出漏洞有ccproxy代理溢出漏洞、Serv-U

眼务器漠出漏洞、ISSRealSecure/BlackICE防火墙溢出等。

木马后门袭击

木马后门袭击是袭击者延续其袭击效果重要手段，涉及特洛伊木马、网页木马、隐秘后门、RootKit等方式。袭击者通过木巧袭击，最后达到获取下一时刻服务器控制权限目。袭击重要手段:文献描绑袭击、文献自动感染袭击、网页挂马袭击、账号密码破解袭击，预留后门攻法、RootKit后门袭击等。

Rootkir技术

Rootkit与普通木马后门以及病毒区别在于其更为强大隐秘性，如通信隐蔽、自启动项隐藏、文献隐藏、进程通信隐蔽、进程/模块隐藏、注册表隐藏、服务隐藏、端口隐藏。Rootkit自身并没有害处，但它可以作为其她恶意代码载体。其极强隐蔽性给其她恶意代码生存及传播提供了良好温床。Rootkit大多数是进一步操作系统内核.通过进行代码注人，以及某些针对操作系统漏洞溢出袭击.或通过驱动程序加载方式进人系统内核。由于在绝大多数当代操作系统中都采用了整体单内核设计；内核各个模块之间是互相透明，只要Rootkit侵人了内核任何一种某些，那么它就拥有了整个系统所有控制权。之后Rootkit可以进行诸多操作，例如，隐藏文献、进程，制造隐蔽网络通信信道等等。网页挂马袭击

网页木马普通是指运用IE浏览器某些漏洞，通过构造出特殊代码，在网页中夹带木马程序，或一段使得客户端下载并执行指向木马程序连接地址袭击代码。使得其她上网者在浏览该网页时，会在后台悄悄执行网页中袭击代码，达到控制顾客主机目。

常用网页木马重要有操作系统自带lE组件或其她软件漏洞网页木马和应用软件漏洞网页木马。对于第一类，最典型有MIME漏洞网页木马、ActiveX漏洞木马、OBJECT对象漏洞木马。事实上，被曙光IE浏览器漏洞始终源源不绝，由于网页木马是由服务器袭击客户端，顾客往往又是信任服务器，此类袭击产生后果和危害往往是非常严重。网络设备袭击

路由器和互换机是最常用网络设备，决定着内网与互联网之间连接。在袭击者入侵目的中，路由器和互换机是重要袭击对象。在惯用网络设备中，Cisco路由器占据主导地位。下面以cisco为例，简介袭击者人侵路由器办法。

路由器远程控制办法普通有两种，一种是telnet或HTTP管理，一种是SNMP代理。前一种方式只适合管理小型局域网路由器，而后一种是更为惯用管理方案。1.SNMP社区字串弱口令每个SNMP启用路由设备都包括一种管理信息模块(MIB)，这是一种包括简朴级别数据目录构造,在这种树构造中包括设备各种信息。通过SNMP命令GET，可以检索MIB信息，而SET命令则可设立MIB变量。SNMP合同通过社区(community)字串概念实现对设备MIB对象访问权限。如：

(conf)#snmp-servercommunityread_onlyRO

(conf)#snmp-servercommunityread_writeRW

上例中设立了只读访问社区字串read_only和可进行读写操作read_write社区字串。而大某些管理员喜欢使用public和private设立只读字串和读写字串，这种配备成果将给网络带来巨大安全风险。袭击者可以通过SolarWinds等路由器管理工具扫描到这些弱口令字串，并运用TFTP下载或上传配备文献，破解其特权密码或直接上传本地修改后配备文献，达到完全控制路由器目。Cisco配备文献中，意外创立和暴露SNMP共享字符串，可以容许未授权地査阅或者修改感染设备。这种漏洞是调用SNMP函数中缺陷引起。SNMP运用community标记来划分object组，可以在设备上查看或者修改它们。在组中数据组织MIB，单个设备可以有几种MIBs，连接在一起形成一种大构造，不同社团字符串可以提供只读或者读写访问不同、也许重叠大型数掘构造一某些。

启用SNMP，键入snmp-server时，如果社区在设备上不是以有效社区字串存在，就会不可预料地添加一种只读社区字率。如果删除它，这个社区字串中将会在重载设备时重新浮现。

缺陷源于SNMPv2告知(informs)功能实现，这个功能涉及互换只读社区字符串来共享状态信息。当一种有漏洞设各解决一条定义接受SNMP"traps"(陷阱消息)主机命令时(常规snmp-server配备)，在trap消息中指定社团也还是配备成通用，如果它在保存配备中没有定义。虽然社区在前面被删除并统配备在系统重载前保存到存储器，也会发生这种状况。

当通过"snmpwalk"(—种检测SNMP配备对的性工具)，或者使用设备只读社团字符串遍历基于社团访问控制MIB来检查设备时，就会泄漏读写社团字符串。这意味着懂得只读社区字串容许读访问存储在设备中MIB，导致信息泄露。而更为严重是，如果懂得读写社区字符串就可以容许远程配备路由，可以绕开授权认证机制，从而完全控制路由器整体功能。内网渗入袭击

windows系统密码破解

在内网渗入中，如果能得到域管理员密码Hash，并破解之，将使袭击者很也许通过此密码控制到整个网络。

在windows系统中，某个顾客登陆系统后，其顾客名和密码都是以明文方式保存在内存中。控制顾客登陆系统进程是winlogon.exe，当有各种顾客同步登陆系统时，系统在每个顾客登陆时都会产生一种winlogon.exe进程。当AWGINA模式被设立时，可以用aio等工具直接读取到当前顾客密码。袭击者在获取目的主机emdshell后，可以采用LC5、SAMInside等工具进行暴力或字典破解。然而，由于windows密码采用是NTLMHash加密方式，对于一种位数不太长密码，完全可以采用查表法进行破解，opcrack加彩虹表进行查表搜索破解就是一种较好选取。其在破解14位任意字符时，普通都在几分钟之内。ARP欺骗袭击

ARP合同即地址解析合同addressresolutionprotocol，ARP合同是将Ip地址与网络物理地址一一相应合同。负责IP地址和网+实体地址(MAC)之间转换。也就是将网络层(IP层’也就是相称于ISOOSI第三层)地址解析为数据连接层(MAC层，也就是相称于ISOOSI第二层)MAC地址。ARP表支持在MAC地址和IP地址之间一一相应关系，并提供两者互相转换。

由于ARP合同无法辨认ARP谓求kg响应报文衣实性，使得袭击者可以通过抢先构造出ARP报文，对内网所主机以及互换设备进行欺编，从而达到流量重定向袭击目。常用内网ARP欺骗袭击重要手段有ARP内网挂马袭击，ARP内网嗅探袭击，ARP挂马袭击重要使得内网主机在访问外部网页时，被强行插入一种恶意网页木马链接，达到种植木巧袭击效果。ARP内网嗅探袭击重要是袭击机在被袭击机与访问站点之间做一种中间人袭击，使得所有通信数据先流向袭击机，再转发出去。惯用内网鸣探袭击工具备cain、cttcrcap。回绝服务袭击

在网络袭击中，恶意袭击者为了破坏目的服务可用性，或者让目的服务器进行重启来执行某些功能，普通会采用回绝服务袭击方式。回绝服务袭击分类办法有诸各种，从不同角度可以进行不同分类，而不同应用场合需要采用不同分类。惯用柜绝服务工具备：SYNFlood，UDPFlood、傀儡僵尸等分布式回绝服务工具。

回绝服务袭击可以是物理(硬件)，也可以是逻辑(logicattack)，也称为软件(sofwareattack)。物理形式袭击，如盗窃、破坏物理设备，破坏电源等。按袭击目的又可分为节点型和网络连接型，前者旨在消耗节点(主机host)资源，后者旨在消耗网络连接和带宽。而节点型又可以进一步细分为主机型和应用型，主机型袭击目的重要是主机中公共资源如CPU、磁盘等，使得主机对所有服务都不能响应；而应用型则是袭击特定应用，如邮件服务、DNS服务、Web服务等。受袭击时，受害者上其她服务也许不受影响或者受影响限度较小(与受袭击服务相比而言)。

按照袭击方式来分可以分为：资源消耗和服务中断。资源消耗指袭击者试图消耗目的合法资源，例如，网络带宽、内存和磁盘空间、CPU使用率等。服务中止则是指袭击者运用服务中某些缺陷导致服务崩淸或中断。

按受害者类型可以分为服务器端回绝服务袭击和客户端回绝服务袭击。前者是指袭击目的是特定服务器，使之不能提供服务(或者不能向某些客户端提供某种服务)，例如，袭击一种web服务器使之不能访问；后者是针对特定客户端，即顾客，使之不能使用某种服务，例如，游戏、聊天室中"踢人"，即不让某个特定顾客登录游戏系统或聊天室中，使之不能使用系统服务。大多数回绝服务袭击(无论从种类还是发生频率角度)是针对服务器，针对客户端袭击普通发生得少些，同步由于涉及面小，其危害也会小诸多。按袭击与否直接针对受害者，可以分为直接回绝服务袭击和间接回绝服务袭击，如要对某个E-mail账号实行回绝服务袭击，直接对该账号用邮件炸弹袭击就属于直接袭击为了使某个邮件账号不可用，袭击邮件服务器而使整个邮件服务器不可用就是间接袭击。

按袭击地点可以分为本地袭击和远程(网络)袭击，本地袭击是指不通过网络，直接对本地主机袭击，远程袭击则必要通过网络连接。由于本地袭击规定袭击者与受害者处在同一地，这对袭击者规定太高，普通只有内部人员可以做到。网电空间对抗

随着军用信息网络发展，网电空间(cyberspace)成为继陆、海、天之后又一重要战场，网电空间对抗技术也逐渐成为各同军队争相发展热点。美军于6月正式成立网电司令部，全面规划和管理各军种网电对抗指挥控制、信息共享、装备论证和作战训练。网电空间是通过网络化系统有关物理基本设施，运用电子信号和电磁频谱，存储、修改和互换数据域，涵盖了信息产生、解决、传播、使用、存储全过程，涉及信息通过电磁信号在电磁频谱空间中传播过程，是一种全新作战域。

网电空间中包括各种异构网络。异构网络连接方式涉及物理连接和虚拟连接。物理连接指异构网络之间通过网络设备互联，如计算机网络和移动通信网络之间通过网关互联。虚拟连接指异构网络之间没有通过网络设备进行直接连接，但可以运用移动介质、终端等实现连接，如外部网络和隔离网络之间没有直接连接但是可以通过移动介质、终端等实现两个网络间信息传播。网电空间对抗范畴涉及网电态势感知、网电袭击和网电防御等三大领域其基本模式是结合老式网络战和电子对抗特色和优势，实现自上而下、自下而上信息干预，从而影响认知域。详细技术发展思路内容涉及两个层面，即实现网络化电子对抗和实现电磁化网路袭击。

美军在网电对抗方面已经形成了一系列具备实战能力技本和装备体系，其中比较有代表性涉及：舒特系统、震网袭击技术、数字大炮、网电飞行器等。其中震网袭击技术在针对伊朗核设施作战应用中一举成名，成力当前网电袭击典型范例。袭击案例——震网袭击技术

，伊朗核设施中大量浓缩袖离心机报废，核项目进展严重停滞。2月，为防止核泄漏，伊朗宣布暂时卸载其布什尔梭电站核燃料。据权威反病毒机构分析显示，导致该事件罪魁祸首为"超级工厂"（震网)病毒。经分析发现，超级工厂病毒袭击核电站办法是:摧毁核电站浓缩轴离心机。为了摧毁离心机，病毒使用了三种办法：

(1)在控制浓缩袖离心机可编程逻辑控制器(PLC)上植人恶意代码，使离