1、第一章第一章 网络攻击概述网络攻击概述2022-12-24网络攻防技术2本章主要内容本章主要内容1.1 网络安全威胁网络安全威胁1.2 网络攻击技术网络攻击技术1.3 网络攻击的发展趋势网络攻击的发展趋势一、网络安全威胁事件一、网络安全威胁事件l凯文凯文米特尼克(米特尼克(Kevin Mitnick)入侵)入侵多家公司多家公司的内部网络,窃取了大量的内部网络,窃取了大量信息资产和源代码,造成信息资产和源代码,造成了数百万美元的了数百万美元的损失。损失。2022-12-24网络攻防技术3一、网络安全威胁事件一、网络安全威胁事件l1988年,年,Morris蠕虫爆发,蠕虫爆发,感染约感染约6000
2、台计算机,造成数千万美元的台计算机,造成数千万美元的损失。损失。2022-12-24网络攻防技术4一、网络安全威胁事件一、网络安全威胁事件l1999年,梅丽莎年,梅丽莎病毒破坏了世界上病毒破坏了世界上300多多家公司的计算机系统,造成近家公司的计算机系统,造成近4亿美元的亿美元的损失,成为首个具有全球破坏力的损失,成为首个具有全球破坏力的病毒。病毒。2022-12-24网络攻防技术5一、网络安全威胁事件一、网络安全威胁事件l2010年,针对伊朗核设施的震网病毒(年,针对伊朗核设施的震网病毒(Stuxnet)被检测并曝光,成为首个被公)被检测并曝光,成为首个被公开披露的武器级网络攻击开披露的武器
3、级网络攻击病毒。病毒。2022-12-24网络攻防技术6一、网络安全威胁事件一、网络安全威胁事件l2013年,前美国中央情年,前美国中央情报局职员报局职员E.J.斯诺登披露斯诺登披露了美国国家安全局的了美国国家安全局的“棱镜棱镜”监听项目,公开监听项目,公开了大量针对实时通信和了大量针对实时通信和网络存储的监听窃密技网络存储的监听窃密技术与术与计划。计划。2022-12-24网络攻防技术7一、网络安全威胁事件一、网络安全威胁事件2022-12-24网络攻防技术8一、网络安全威胁事件一、网络安全威胁事件l2016年年8月,月,黑客黑客组织组织 The Shadow Brokers 陆陆续续以多种
4、形式在互联网公开拍卖据称以多种形式在互联网公开拍卖据称来自来自NSA的的网络攻击工具集网络攻击工具集,其中的永恒之蓝漏洞直接导致,其中的永恒之蓝漏洞直接导致了了17年勒索病毒年勒索病毒“WannaCry”全球爆发。全球爆发。2022-12-24网络攻防技术9一、网络安全威胁事件一、网络安全威胁事件l网络安全威胁的三个时期:网络安全威胁的三个时期:l“游侠游侠”期期:少数:少数“黑客黑客”影响影响“未成年未成年”互联网安全;互联网安全;l“海盗海盗”期期:网络:网络“黑产黑产”兴起,犯罪团伙兴起,犯罪团伙利用网络敛财;利用网络敛财;l国家间对抗期国家间对抗期:网络攻击成本提高,国家层:网络攻击成
5、本提高,国家层面的对抗浮出水面面的对抗浮出水面2022-12-24网络攻防技术10二、网络安全威胁成因二、网络安全威胁成因1、技术因素、技术因素l协议缺陷协议缺陷:网络协议:网络协议缺乏认证、加密等基本缺乏认证、加密等基本的安全的安全特性;特性;l软件漏洞软件漏洞:软件规模庞大,复杂度提高,开:软件规模庞大,复杂度提高,开发者安全知识缺乏;发者安全知识缺乏;l策略弱点策略弱点:安全需求与应用需求不相一致,:安全需求与应用需求不相一致,安全策略设计不当;安全策略设计不当;l硬件漏洞硬件漏洞:硬件设计软件化使得软件漏洞同:硬件设计软件化使得软件漏洞同样出现在硬件之中样出现在硬件之中2022-12-
6、24网络攻防技术11二、网络安全威胁成因二、网络安全威胁成因2、人为因素、人为因素l攻击者攻击者:成分复杂,多数掌握着丰富的攻击:成分复杂,多数掌握着丰富的攻击资源;资源;l防御者防御者:广大的网络应用人群缺少安全知识:广大的网络应用人群缺少安全知识,专业人员数量、质量尚难满足对安全人才,专业人员数量、质量尚难满足对安全人才的迫切需求的迫切需求2022-12-24网络攻防技术121.2 网络攻击技术网络攻击技术l网络攻击网络攻击是指利用安全缺陷或不当配置对网络是指利用安全缺陷或不当配置对网络信息系统的硬件、软件或通信协议进行攻击,信息系统的硬件、软件或通信协议进行攻击,损害网络信息系统的完整性
7、、可用性、机密性损害网络信息系统的完整性、可用性、机密性和抗抵赖性,导致被攻击信息系统敏感信息泄和抗抵赖性,导致被攻击信息系统敏感信息泄露、非授权访问、服务质量下降等后果的攻击露、非授权访问、服务质量下降等后果的攻击行为行为。l网络:狭义上讲是计算机网络,广义上讲则是网络:狭义上讲是计算机网络,广义上讲则是网络网络空间空间2022-12-24网络攻防技术13一、攻击分类一、攻击分类 l网络攻击的形式与种类很多:网络攻击的形式与种类很多:lDDoSlPhishing&Pharmingl蠕虫蠕虫l木马木马lSQL Injectionl跨站脚本(跨站脚本(XSS)lARP欺骗、欺骗、IP欺骗、欺骗、
8、DNS欺骗欺骗一、攻击分类一、攻击分类l日常对网络攻击的分类并不严谨,学术上攻击日常对网络攻击的分类并不严谨,学术上攻击分类从分类从入侵检测需求入侵检测需求出发,要求出发,要求遵循以下标准:遵循以下标准:l互斥性(分类类别不应重叠)互斥性(分类类别不应重叠)l完备性(覆盖所有可能的攻击)完备性(覆盖所有可能的攻击)l非二义性(类别划分清晰)非二义性(类别划分清晰)l可重复性(对一个样本多次分类结果一致)可重复性(对一个样本多次分类结果一致)l可接受性(符合逻辑和直觉)可接受性(符合逻辑和直觉)l实用性(可用于深入研究和调查)实用性(可用于深入研究和调查)Amoroso E G,Fundamen
9、tals of computer security technology.Englewood Cliffs(New Jersey):PrenticeHall,1994.一、攻击分类一、攻击分类l从攻击者的角度,按照从攻击者的角度,按照攻击发生时,攻击发生时,攻击攻击者与被攻击者之间的交互关系者与被攻击者之间的交互关系进行分类,进行分类,可以将网络攻击分为:可以将网络攻击分为:l物理攻击(物理攻击(Local Attack)l主动攻击(主动攻击(Server-side Attack)l被动攻击(被动攻击(Client-side Attack)l中间人攻击(中间人攻击(Man-in-Middle
10、Attack)本地攻击(本地攻击(Local Attack)l指攻击者通过指攻击者通过实际接触实际接触被攻击的主机实施的各被攻击的主机实施的各种攻击方法种攻击方法主动攻击主动攻击(Server-side Attack)l指攻击指攻击者利用者利用Web、FTP、Telnet等等开放网络开放网络服务服务对目标实施的各种攻击对目标实施的各种攻击。攻击者攻击者服务器服务器被动攻击被动攻击(Client-side Attack)l攻击者利用攻击者利用浏览器、邮件接收程序、文字处理浏览器、邮件接收程序、文字处理程序程序等等客户端应用程序客户端应用程序漏洞或系统用户弱点,漏洞或系统用户弱点,对目标实施的各种
11、攻击。对目标实施的各种攻击。用户用户恶意服务器恶意服务器中间人攻击(中间人攻击(Man-in-Middle Attack)l指攻击者处于被攻击主机的某个网络应用的指攻击者处于被攻击主机的某个网络应用的中中间人位置间人位置,进行数据窃听、破坏或,进行数据窃听、破坏或篡改等攻击篡改等攻击攻击者攻击者服务器服务器客户程序客户程序二、攻击步骤二、攻击步骤 与方法与方法lInformation GatheringlExploitlControllLan Penetration lClearingl信息收集信息收集l权限权限获取获取l安装后门安装后门l扩大影响扩大影响l清除痕迹清除痕迹信息收集信息收集l任
12、务与目的:任务与目的:l尽可能多地收集目标的相关信息,为后续的尽可能多地收集目标的相关信息,为后续的“精确精确”攻击建立基础。攻击建立基础。l主要方法:主要方法:l主动攻击主动攻击l利用公开信息服务利用公开信息服务l主机扫描与端口扫描主机扫描与端口扫描l操作系统探测与应用程序类型识别操作系统探测与应用程序类型识别l被动攻击被动攻击l客户端应用的有关信息客户端应用的有关信息l用户的有关信息用户的有关信息获取权限获取权限l任务与目的:任务与目的:l获取目标系统的读、写、执行等权限。获取目标系统的读、写、执行等权限。l主要方法:主要方法:l主动攻击主动攻击l口令攻击口令攻击l缓冲区溢出缓冲区溢出l脚
13、本攻击脚本攻击l被动攻击被动攻击l特洛伊木马特洛伊木马l使用邮件、使用邮件、IM等发送恶意链接等发送恶意链接.,安装后门安装后门l任务与目的:任务与目的:l在目标系统中安装后门程序,以更加方便、在目标系统中安装后门程序,以更加方便、更加隐蔽的方式对目标系统进行操控。更加隐蔽的方式对目标系统进行操控。l主要方法:主要方法:l主机控制木马主机控制木马lWeb服务控制木马服务控制木马扩大影响扩大影响l任务与目的:任务与目的:l以目标系统为以目标系统为“跳板跳板”,对目标所属网络的,对目标所属网络的其它主机进行攻击,最大程度地扩大攻击的其它主机进行攻击,最大程度地扩大攻击的效果。效果。l主要方法:主要
14、方法:l可使用远程攻击主机的所有攻击方式可使用远程攻击主机的所有攻击方式l还可使用局域网内部攻击所特有的嗅探、假还可使用局域网内部攻击所特有的嗅探、假消息攻击等方法消息攻击等方法清除痕迹清除痕迹l任务与目的:任务与目的:l清除攻击的痕迹,以尽可能长久地对目标进清除攻击的痕迹,以尽可能长久地对目标进行控制,并防止被识别、追踪。行控制,并防止被识别、追踪。l主要方法:主要方法:lRootkit隐藏隐藏l系统安全日志清除系统安全日志清除l应用程序日志清除应用程序日志清除二、攻击步骤与方法二、攻击步骤与方法信息收集信息收集获取权限获取权限安装后门安装后门扩大影响扩大影响清除痕迹清除痕迹其它攻击模型其它
15、攻击模型lAttack Lifecycle Model其它攻击模型其它攻击模型lAPTs Killing Chain Model侦察侦察跟踪跟踪武器武器构建构建载荷载荷投递投递突防突防利用利用安装安装植入植入通信通信控制控制达成达成目标目标洛克希德马丁公司的“杀伤链”模型Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains,Lockheed Martin Corporation1.3 网络攻击的发展趋势网络攻击的发展趋势
16、掌握着更多资源的组织、团体试图通过掌握着更多资源的组织、团体试图通过网络攻击谋取利益时,网络攻击涉及的领网络攻击谋取利益时,网络攻击涉及的领域必然会越来越多,网络攻击技术必然会域必然会越来越多,网络攻击技术必然会越来越复杂,网络攻防的对抗必然会越来越来越复杂,网络攻防的对抗必然会越来越越激烈。激烈。2022-12-24网络攻防技术30一、攻击影响日益一、攻击影响日益深远深远l网络网络成为现代社会不可或缺的工具,网络攻击成为现代社会不可或缺的工具,网络攻击的的影响力也影响力也将将愈加愈加重要重要。lMorris蠕虫的爆发造成了当时互联网的蠕虫的爆发造成了当时互联网的瘫痪瘫痪l2003年冲击波、年
17、冲击波、2004年震荡年震荡波的波的爆发爆发,给普通网民,给普通网民带来深刻感受带来深刻感受l2016年年Mirai蠕虫蠕虫使得美国东海岸地区遭受大面积网使得美国东海岸地区遭受大面积网络络瘫痪瘫痪l2016年的美国大选,黑客组织攻入竞选党派的办公年的美国大选,黑客组织攻入竞选党派的办公网络、发布敏感消息或文件,网络、发布敏感消息或文件,“影响影响”大选局势大选局势 2022-12-24网络攻防技术31二、攻击领域不断拓展二、攻击领域不断拓展l物联网技术的飞速发展物联网技术的飞速发展,使,使我们更快地进入一我们更快地进入一个万物互联的个万物互联的时代,网络时代,网络攻击技术在这些新领攻击技术在这
18、些新领域中也将获得新域中也将获得新的舞台的舞台。l2010年,年,“震网震网”病毒成功攻击了伊朗的布什尔核病毒成功攻击了伊朗的布什尔核电站的电站的离心机离心机l2017年年 BlackHat 大会大会上,研究者分享了远程入侵上,研究者分享了远程入侵特斯拉汽车的技术细节特斯拉汽车的技术细节l针对无人机、刷卡机、智能家电、智能开关等各种针对无人机、刷卡机、智能家电、智能开关等各种联网设备的攻击不断被研究者呈现在大众面前联网设备的攻击不断被研究者呈现在大众面前2022-12-24网络攻防技术32三、攻击三、攻击技术愈加精细技术愈加精细l从普通从普通“黑客黑客”到到APT组织组织,攻击,攻击者的者的资
19、源也资源也越来越越来越多,多,攻击工具的攻击工具的针对性越来越针对性越来越强强,新,新的的攻击技术呈现出精细化的趋势攻击技术呈现出精细化的趋势。l2015年泄露的年泄露的Hacking Team“武器库武器库”包含多个包含多个零日零日漏洞漏洞、手机木马、固件木马等、手机木马、固件木马等l2016年泄露的年泄露的NSA“武器库武器库”包含了多个可攻击操包含了多个可攻击操作系统、企业作系统、企业级防火墙、防病毒级防火墙、防病毒软件的零日工具,软件的零日工具,2017年在全球范围内爆发的年在全球范围内爆发的WannaCry勒索病毒勒索病毒,就是就是借鉴借鉴了其中的了其中的“永恒之蓝永恒之蓝”(Ete
20、rnalBlue)2022-12-24网络攻防技术33本章小结本章小结l深入了解网络攻击的方法和技术,是实施深入了解网络攻击的方法和技术,是实施有效防范的前提和基础有效防范的前提和基础。骇。骇客、网络犯罪客、网络犯罪分子、情报机构分子、情报机构等均会试图等均会试图通过网络攻击通过网络攻击来达到来达到其目的其目的。有预谋的网络攻击行为往。有预谋的网络攻击行为往往体现出计划性和系统性的特点,通常可往体现出计划性和系统性的特点,通常可以分为信息收集、权限获取、安装后门、以分为信息收集、权限获取、安装后门、扩大影响、清除痕迹等五大步骤,且各步扩大影响、清除痕迹等五大步骤,且各步骤皆有其相对明确的任务目的和方法手段骤皆有其相对明确的任务目的和方法手段。2022-12-24网络攻防技术34本章小结本章小结l网络网络攻击与防御是矛盾的两面,其发展是攻击与防御是矛盾的两面,其发展是在相互对抗的过程中不断螺旋式上升的。在相互对抗的过程中不断螺旋式上升的。可以预见的是,随着对网络安全问题关注可以预见的是,随着对网络安全问题关注度的提高,更多的注意力与资源会投入对度的提高,更多的注意力与资源会投入对攻防技术的更新与发展上来,而网络攻防攻防技术的更新与发展上来,而网络攻防间的对抗也会更加激烈、更加扣人心弦间的对抗也会更加激烈、更加扣人心弦。2022-12-24网络攻防技术35
