“知己知彼,百战不殆”
一、网络攻击的概念
指破坏网络系统安全属性的有害行为。有害行为对网络系统的机密性、完整性、可用性、可控性、真实性和不可否认性造成不同程度的破坏。常见的有害行为有四种基本类型:
信息泄露攻击完整性破坏攻击拒绝服务攻击非法使用攻击
,可用性,可控性,真实性,一个或多个属性的不可否认性)
二、攻击模型2-1攻击树模型
起源:故障树分析方法,由 Schneier 提出。
概述:树的根节点代表最终目标,子节点代表实现目标的子目标,层被细化,叶子节点代表不可分解的原子攻击,从根开始的路径节点到叶子节点代表了一个完整的攻击流程来实现目标。节点之间的关系是“AND(AND)”“OR(OR)”
评估:(优秀)专家头脑风暴常见的网络攻击方式有哪些,能够进行成本效益分析或概率分析,并对复杂的攻击场景进行建模; (缺乏)无法对多次尝试攻击、时间依赖和访问控制场景进行建模,无法对重复事件进行建模,难以处理大规模网络
(Cost-Benefit Analysis: Engineering Economics,研究如何使工程技术方案或投资项目达到最佳经济效益的科学评价体系)
2-2 杀伤链模型
目标侦察-武器建造-有效载荷交付-漏洞利用-安装植入-指挥与控制-目标作战
杀死链 2-3 MITRE ATT&CK
起源:MITRE 起源于 MIT,由 NIST 资助;
概述:ATT&CK 是一个“对抗性策略、技术和常识”框架常见的网络攻击方式有哪些,是攻击者在攻击企业时使用的 12 种策略和 244 种企业技术的精选知识库(APT 流行技术)
初始访问 - 执行 - 持久性 - 特权提升 - 规避防御 - 凭据访问 - 发现 - 横向移动 - 收集 - 情报和控制 - 渗透 - 影响
ATT&CK三、网络攻击的一般流程1、隐藏的攻击源:
隐藏攻击源,核心是隐藏攻击者的攻击IP地址和域名
隐藏技术:
2、收集攻击目标信息
确定目标:
收集信息:
3、挖掘漏洞信息4、获取目标访问权限
特权提升(获得管理帐户权限):
5、隐藏的攻击行为6、实施攻击7、打通后门8、清除攻击痕迹四、网络攻击开发网络攻击工具智能化、自动化(代码红、永恒蓝、冲击波) 网络攻击群体的无孔不入(技术滥用) 网络攻击目标(协议、路由、设备、域名、安全设备、物理环境)的多样化和隐蔽性 网络攻击 获取计算的难易程度资源(云、机器人) 网络攻击 活动的持续增强(APT: Equation, Ocean Lotus) 加速网络攻击的速度 扩大网络攻击的影响(Cyberspace-Infrastructure) 网络攻击主体的组织(Stuxnet) 五、网络攻击常用技术手段端口扫描(完整连接扫描、半连接扫描、SYN扫描、ID头扫描、隐蔽扫描、SYN|ACK扫描、FIN扫描、ACK扫描、NULL扫描、 XMAS扫描)密码破解(弱密码) ssword,密码字典)缓冲区溢出恶意代码拒绝服务(①难以确认②隐藏③资源限制④软件复杂性)网络钓鱼(假信任方)网络窃听(混杂模式)SQL注入社会工程(社会工程)电子监听(电磁波) 会话劫持(man-in-the-middle)漏洞扫描代理技术数据加密六、常用工具扫描器(类型:地址扫描器、端口扫描器、漏洞扫描器;经典软件:Nmap、Nessus、SuperScan;)远程监控(模式:控制终端-受控终端”“Broiler”;经典软件:Glacier、Network Wizard)密码破解(方法:密码猜测、穷举搜索、凭证填充;经典软件: John the Ripper, LOphtCrack) 网络嗅探器(经典软件:Tcpdump/Wireshark, Dsniff)安全渗透工具箱(Metasploit, BackTrack5)
