《网络攻防技术(第2版)》 —1.2.2 网络攻击的步骤与方法
1.2.2 网络攻击的步骤与方法
蓄意的网络攻击是防御者面临的主要网络安全威胁。学会从攻击者的角度思考,有助于更好地认识攻击,理解攻击技术的实质,进而实施有效的防御。一个完整的、有预谋的攻击往往可以分为信息收集、权限获取、安装后门、扩大影响、消除痕迹五个阶段。下面简要介绍攻击者在五个阶段的任务目标和内容方法,对应的具体攻击技术原理和相应防范措施将在后续各章详细探讨。本书前半部分关于网络攻击的内容也基本按照攻击步骤的顺序进行组织。
(1)信息收集
攻击者在信息收集阶段的主要目的是尽可能多地收集目标的相关信息,为后续的“精确”攻击奠定基础。
为更好地开展后续攻击,攻击者重点收集的信息包括:网络信息(域名、IP地址、网络拓扑)、系统信息(操作系统版本、开放的各种网络服务版本)、用户信息(用户标识、组标识、共享资源、邮件账号、即时通信软件账号)等。
攻击者可以直接对目标网络进行扫描探测,通过技术手段分析判断目标网络中主机的存活情况、端口开放情况、操作系统和应用软件的类型与版本信息等。除了对目标网络进行扫描探测,攻击者还会利用各种渠道尽可能地了解攻击目标的类型和工作模式,可能会借助以下方式:
互联网搜索
社会工程学
垃圾数据搜寻
域名管理/搜索服务
攻击者所开展的信息收集活动通常没有直接危害,有些甚至不需要与目标网络交互,所以很难防范。随着越来越多的信息被数字化、网络化,很多安全相关的信息也越来越容易在网络上通过搜索得到;依托社会工程学,内部人员往往在无意中就向攻击者泄露了关键的安全信息。信息收集是耗费时间最长的阶段,有时可能会持续几个星期甚至几个月。随着信息收集活动的深入,公司的组织结构、潜在的信息系统漏洞就会逐步被攻击者发现,信息收集阶段的目的也就达到了。
本书第2章将详细探讨信息收集阶段攻击者常用的技术、方法和工具。
(2)权限获取
攻击者在权限获取阶段的主要目的是获取目标系统的读、写、执行等权限。
现代操作系统将用户划分为超级用户、普通用户等若干类别,并按类别赋予用户不同的权限,以进行细粒度的安全管理。
得到超级用户的权限是一个攻击者在单个系统中的终极目标,因为得到超级用户的权限就意味着对目标有了完全控制权,包括对所有资源的使用以及对所有文件的读、写和执行权限。
相对超级用户来说,普通用户权限的安全防范可能会弱一些。得到普通用户权限可以对目标中某些资源进行访问,比如对特定目录进行读写;同时,得到普通用户权限将为进一步得到超级用户权限提供更多的可能。
攻击者在这一阶段会使用信息收集阶段得到的各种信息,通过猜测用户账号口令、利用系统或应用软件漏洞等方法对目标实施攻击,获取一定的目标系统权限。具体需要得到什么级别的权限取决于攻击者的攻击目的。如果攻击者只是想修改Web服务器的主页面,可能只需取得普通用户权限,但要想窃取系统口令或是植入木马对系统进行长期稳定的控制,则可能需要获得超级用户权限。
本书第3章、第4章、第5章将详细探讨攻击者在权限获取阶段常用的技术、方法和工具。
(3)安装后门
在安装后门阶段,攻击者的主要目的是在目标系统中安装后门或木马程序,从而以更加方便、更加隐蔽的方式对目标系统进行长期操控。
攻击者在成功入侵一个系统后,会反复地进入该系统,盗用系统的资源、窃取系统内的敏感信息,甚至以该系统为“跳板”攻击其他目标。为了能够方便地“出入”系统,攻击者就需要在目标中安装后门或木马程序。后门或木马程序不仅为攻击者的再次进入提供了通道,也为攻击者操控目标系统提供了各种方便的功能。
安装后门阶段运用的技术主要是恶意代码相关技术,包括隐藏技术、通信机制、生存性技术等。恶意代码是后门、木马、蠕虫等各类恶意程序的统称,虽然不同类型的恶意代码的功能、特点不同,但对抗各种网络或系统安全机制,特别是对抗杀毒软件是所有恶意代码的共同需求。恶意代码需要隐藏自身,包括文件、进程和启动信息,防止被安全软件或管理员发现;需要建立隐蔽的通信通道,保证与攻击者有效、安全地通信;需要对抗程序分析,尽量延长其“生命周期”,同时隐藏恶意软件的真实意图。
本书第6章将详细探讨安装后门阶段攻击者常用的技术、方法和工具。
(4)扩大影响
攻击者在该阶段的主要目的是以目标系统为“跳板”,对目标所属网络的其他主机进行攻击,最大程度地扩大攻击的效果。
如果攻击者所攻陷的系统处于某个局域网中,攻击者就可以很容易地利用内部网络环境和各种手段在局域网内扩大其影响。内部网的攻击由于避开了防火墙、NAT等网络安全工具的防范而更容易实施,也更容易得手。
扩大影响是指攻击者使用网络内部的一台机器作为中转点,进一步攻克网络中其他机器的过程。它使用的技术手段涵盖了远程攻击的所有攻击方式;而且由于在局域网内部,其攻击手段也更为丰富有效。嗅探技术和假消息攻击均为有效的扩大影响的攻击方法。
前面说过,目前互联网使用的TCP/IP在安全上存在两个方面的重大不足:一是缺乏系统、有效的认证机制,第三方容易冒充合法用户身份发起或接收通信;二是缺乏系统、有效的加密机制,通信过程和通信内容容易被第三方窃取。嗅探技术和假消息攻击技术正是利用了TCP/IP的这两大不足,从而协助攻击者完成扩大影响阶段的各项任务与目标。此外,局域网作为内部网络环境,常常会被网络设计者与使用者想当然地视作相对安全的网络环境,这也给攻击者实施扩大影响阶段的任务提供了更多的便利。
本书第7章将详细探讨扩大影响阶段攻击者使用的相关技术、方法和工具。
(5)消除痕迹
攻击者在消除痕迹阶段的主要目的是清除攻击的痕迹,以便尽可能长久地对目标进行控制,并防止被识别、追踪。
这一阶段是攻击者打扫战场的阶段,其目的是消除一切攻击的痕迹,尽量使管理员觉察不到系统已被入侵,至少也要做到使管理员无法找到攻击的发源地。消除痕迹的主要方法是针对目标所采取的安全措施清除各种日志及审计信息。
攻击者在获得系统最高的管理员权限之后就可以随意修改系统中的文件,包括各种系统和应用日志。攻击者要想隐藏自己的踪迹,一般都需要对日志进行修改。最简单的方法是删除整个日志文件,但这样做虽然避免了系统管理员根据日志信息进行分析追踪,但也明确无误地告知管理员,系统己经被入侵了。因此,更精细的做法是只对日志文件中攻击的相关部分做删除或修改。修改方法的具体技术细节则根据操作系统和应用程序的不同而有所区别。
消除痕迹虽然是攻击的一个重要阶段,但并未形成系统的技术内容,因此本书没有设置单独的章节详细讨论该问题。
- 点赞
- 收藏
- 关注作者
评论(0)