《網(wǎng)絡(luò)攻防技術(shù)（第2版）》 —1.2.2　網(wǎng)絡(luò)攻擊的步驟與方法

1.2.2　網(wǎng)絡(luò)攻擊的步驟與方法

蓄意的網(wǎng)絡(luò)攻擊是防御者面臨的主要網(wǎng)絡(luò)安全威脅。學(xué)會(huì)從攻擊者的角度思考，有助于更好地認(rèn)識(shí)攻擊，理解攻擊技術(shù)的實(shí)質(zhì)，進(jìn)而實(shí)施有效的防御。一個(gè)完整的、有預(yù)謀的攻擊往往可以分為信息收集、權(quán)限獲取、安裝后門、擴(kuò)大影響、消除痕跡五個(gè)階段。下面簡(jiǎn)要介紹攻擊者在五個(gè)階段的任務(wù)目標(biāo)和內(nèi)容方法，對(duì)應(yīng)的具體攻擊技術(shù)原理和相應(yīng)防范措施將在后續(xù)各章詳細(xì)探討。本書前半部分關(guān)于網(wǎng)絡(luò)攻擊的內(nèi)容也基本按照攻擊步驟的順序進(jìn)行組織。

（1）信息收集

攻擊者在信息收集階段的主要目的是盡可能多地收集目標(biāo)的相關(guān)信息，為后續(xù)的“精確”攻擊奠定基礎(chǔ)。

為更好地開展后續(xù)攻擊，攻擊者重點(diǎn)收集的信息包括：網(wǎng)絡(luò)信息（域名、IP地址、網(wǎng)絡(luò)拓?fù)洌⑾到y(tǒng)信息（操作系統(tǒng)版本、開放的各種網(wǎng)絡(luò)服務(wù)版本）、用戶信息（用戶標(biāo)識(shí)、組標(biāo)識(shí)、共享資源、郵件賬號(hào)、即時(shí)通信軟件賬號(hào)）等。

攻擊者可以直接對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行掃描探測(cè)，通過技術(shù)手段分析判斷目標(biāo)網(wǎng)絡(luò)中主機(jī)的存活情況、端口開放情況、操作系統(tǒng)和應(yīng)用軟件的類型與版本信息等。除了對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行掃描探測(cè)，攻擊者還會(huì)利用各種渠道盡可能地了解攻擊目標(biāo)的類型和工作模式，可能會(huì)借助以下方式：

互聯(lián)網(wǎng)搜索

社會(huì)工程學(xué)

垃圾數(shù)據(jù)搜尋

域名管理/搜索服務(wù)

攻擊者所開展的信息收集活動(dòng)通常沒有直接危害，有些甚至不需要與目標(biāo)網(wǎng)絡(luò)交互，所以很難防范。隨著越來越多的信息被數(shù)字化、網(wǎng)絡(luò)化，很多安全相關(guān)的信息也越來越容易在網(wǎng)絡(luò)上通過搜索得到；依托社會(huì)工程學(xué)，內(nèi)部人員往往在無意中就向攻擊者泄露了關(guān)鍵的安全信息。信息收集是耗費(fèi)時(shí)間最長(zhǎng)的階段，有時(shí)可能會(huì)持續(xù)幾個(gè)星期甚至幾個(gè)月。隨著信息收集活動(dòng)的深入，公司的組織結(jié)構(gòu)、潛在的信息系統(tǒng)漏洞就會(huì)逐步被攻擊者發(fā)現(xiàn)，信息收集階段的目的也就達(dá)到了。

本書第2章將詳細(xì)探討信息收集階段攻擊者常用的技術(shù)、方法和工具。

（2）權(quán)限獲取

攻擊者在權(quán)限獲取階段的主要目的是獲取目標(biāo)系統(tǒng)的讀、寫、執(zhí)行等權(quán)限。

現(xiàn)代操作系統(tǒng)將用戶劃分為超級(jí)用戶、普通用戶等若干類別，并按類別賦予用戶不同的權(quán)限，以進(jìn)行細(xì)粒度的安全管理。

得到超級(jí)用戶的權(quán)限是一個(gè)攻擊者在單個(gè)系統(tǒng)中的終極目標(biāo)，因?yàn)榈玫匠?jí)用戶的權(quán)限就意味著對(duì)目標(biāo)有了完全控制權(quán)，包括對(duì)所有資源的使用以及對(duì)所有文件的讀、寫和執(zhí)行權(quán)限。

相對(duì)超級(jí)用戶來說，普通用戶權(quán)限的安全防范可能會(huì)弱一些。得到普通用戶權(quán)限可以對(duì)目標(biāo)中某些資源進(jìn)行訪問，比如對(duì)特定目錄進(jìn)行讀寫；同時(shí)，得到普通用戶權(quán)限將為進(jìn)一步得到超級(jí)用戶權(quán)限提供更多的可能。

攻擊者在這一階段會(huì)使用信息收集階段得到的各種信息，通過猜測(cè)用戶賬號(hào)口令、利用系統(tǒng)或應(yīng)用軟件漏洞等方法對(duì)目標(biāo)實(shí)施攻擊，獲取一定的目標(biāo)系統(tǒng)權(quán)限。具體需要得到什么級(jí)別的權(quán)限取決于攻擊者的攻擊目的。如果攻擊者只是想修改Web服務(wù)器的主頁(yè)面，可能只需取得普通用戶權(quán)限，但要想竊取系統(tǒng)口令或是植入木馬對(duì)系統(tǒng)進(jìn)行長(zhǎng)期穩(wěn)定的控制，則可能需要獲得超級(jí)用戶權(quán)限。

本書第3章、第4章、第5章將詳細(xì)探討攻擊者在權(quán)限獲取階段常用的技術(shù)、方法和工具。

（3）安裝后門

在安裝后門階段，攻擊者的主要目的是在目標(biāo)系統(tǒng)中安裝后門或木馬程序，從而以更加方便、更加隱蔽的方式對(duì)目標(biāo)系統(tǒng)進(jìn)行長(zhǎng)期操控。

攻擊者在成功入侵一個(gè)系統(tǒng)后，會(huì)反復(fù)地進(jìn)入該系統(tǒng)，盜用系統(tǒng)的資源、竊取系統(tǒng)內(nèi)的敏感信息，甚至以該系統(tǒng)為“跳板”攻擊其他目標(biāo)。為了能夠方便地“出入”系統(tǒng)，攻擊者就需要在目標(biāo)中安裝后門或木馬程序。后門或木馬程序不僅為攻擊者的再次進(jìn)入提供了通道，也為攻擊者操控目標(biāo)系統(tǒng)提供了各種方便的功能。

安裝后門階段運(yùn)用的技術(shù)主要是惡意代碼相關(guān)技術(shù)，包括隱藏技術(shù)、通信機(jī)制、生存性技術(shù)等。惡意代碼是后門、木馬、蠕蟲等各類惡意程序的統(tǒng)稱，雖然不同類型的惡意代碼的功能、特點(diǎn)不同，但對(duì)抗各種網(wǎng)絡(luò)或系統(tǒng)安全機(jī)制，特別是對(duì)抗殺毒軟件是所有惡意代碼的共同需求。惡意代碼需要隱藏自身，包括文件、進(jìn)程和啟動(dòng)信息，防止被安全軟件或管理員發(fā)現(xiàn)；需要建立隱蔽的通信通道，保證與攻擊者有效、安全地通信；需要對(duì)抗程序分析，盡量延長(zhǎng)其“生命周期”，同時(shí)隱藏惡意軟件的真實(shí)意圖。

本書第6章將詳細(xì)探討安裝后門階段攻擊者常用的技術(shù)、方法和工具。

（4）擴(kuò)大影響

攻擊者在該階段的主要目的是以目標(biāo)系統(tǒng)為“跳板”，對(duì)目標(biāo)所屬網(wǎng)絡(luò)的其他主機(jī)進(jìn)行攻擊，最大程度地?cái)U(kuò)大攻擊的效果。

如果攻擊者所攻陷的系統(tǒng)處于某個(gè)局域網(wǎng)中，攻擊者就可以很容易地利用內(nèi)部網(wǎng)絡(luò)環(huán)境和各種手段在局域網(wǎng)內(nèi)擴(kuò)大其影響。內(nèi)部網(wǎng)的攻擊由于避開了防火墻、NAT等網(wǎng)絡(luò)安全工具的防范而更容易實(shí)施，也更容易得手。

擴(kuò)大影響是指攻擊者使用網(wǎng)絡(luò)內(nèi)部的一臺(tái)機(jī)器作為中轉(zhuǎn)點(diǎn)，進(jìn)一步攻克網(wǎng)絡(luò)中其他機(jī)器的過程。它使用的技術(shù)手段涵蓋了遠(yuǎn)程攻擊的所有攻擊方式；而且由于在局域網(wǎng)內(nèi)部，其攻擊手段也更為豐富有效。嗅探技術(shù)和假消息攻擊均為有效的擴(kuò)大影響的攻擊方法。

前面說過，目前互聯(lián)網(wǎng)使用的TCP/IP在安全上存在兩個(gè)方面的重大不足：一是缺乏系統(tǒng)、有效的認(rèn)證機(jī)制，第三方容易冒充合法用戶身份發(fā)起或接收通信；二是缺乏系統(tǒng)、有效的加密機(jī)制，通信過程和通信內(nèi)容容易被第三方竊取。嗅探技術(shù)和假消息攻擊技術(shù)正是利用了TCP/IP的這兩大不足，從而協(xié)助攻擊者完成擴(kuò)大影響階段的各項(xiàng)任務(wù)與目標(biāo)。此外，局域網(wǎng)作為內(nèi)部網(wǎng)絡(luò)環(huán)境，常常會(huì)被網(wǎng)絡(luò)設(shè)計(jì)者與使用者想當(dāng)然地視作相對(duì)安全的網(wǎng)絡(luò)環(huán)境，這也給攻擊者實(shí)施擴(kuò)大影響階段的任務(wù)提供了更多的便利。

本書第7章將詳細(xì)探討擴(kuò)大影響階段攻擊者使用的相關(guān)技術(shù)、方法和工具。

（5）消除痕跡

攻擊者在消除痕跡階段的主要目的是清除攻擊的痕跡，以便盡可能長(zhǎng)久地對(duì)目標(biāo)進(jìn)行控制，并防止被識(shí)別、追蹤。

這一階段是攻擊者打掃戰(zhàn)場(chǎng)的階段，其目的是消除一切攻擊的痕跡，盡量使管理員覺察不到系統(tǒng)已被入侵，至少也要做到使管理員無法找到攻擊的發(fā)源地。消除痕跡的主要方法是針對(duì)目標(biāo)所采取的安全措施清除各種日志及審計(jì)信息。

攻擊者在獲得系統(tǒng)最高的管理員權(quán)限之后就可以隨意修改系統(tǒng)中的文件，包括各種系統(tǒng)和應(yīng)用日志。攻擊者要想隱藏自己的蹤跡，一般都需要對(duì)日志進(jìn)行修改。最簡(jiǎn)單的方法是刪除整個(gè)日志文件，但這樣做雖然避免了系統(tǒng)管理員根據(jù)日志信息進(jìn)行分析追蹤，但也明確無誤地告知管理員，系統(tǒng)己經(jīng)被入侵了。因此，更精細(xì)的做法是只對(duì)日志文件中攻擊的相關(guān)部分做刪除或修改。修改方法的具體技術(shù)細(xì)節(jié)則根據(jù)操作系統(tǒng)和應(yīng)用程序的不同而有所區(qū)別。

消除痕跡雖然是攻擊的一個(gè)重要階段，但并未形成系統(tǒng)的技術(shù)內(nèi)容，因此本書沒有設(shè)置單獨(dú)的章節(jié)詳細(xì)討論該問題。

通用安全

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。