信息安全工程師綜合知識(shí)大綱考點(diǎn)：網(wǎng)絡(luò)攻擊常見技術(shù)方法

【考點(diǎn)分析】：重點(diǎn)，理解掌握。內(nèi)容比較多，不是說(shuō)要完全記下來(lái)，主要是理解，重點(diǎn)掌握端口掃描、惡意代碼、拒絕服務(wù)攻擊。

【考點(diǎn)內(nèi)容】：

網(wǎng)絡(luò)攻擊常見技術(shù)方法有：端口掃描、 口令破解、緩沖區(qū)溢出、惡意代碼、拒絕服務(wù)、網(wǎng)絡(luò)釣魚、網(wǎng)絡(luò)竊聽、SQL注入、社交工程(社會(huì)工程學(xué))、電子監(jiān)聽、會(huì)話劫持、漏洞掃描、代理技術(shù)、數(shù)據(jù)加密技術(shù)。

一、端口掃描：

1、目的：找出目標(biāo)系統(tǒng)上提供的服務(wù)列表

2、原理：端口掃描程序挨個(gè)嘗試與TCP/UDP連接端口，然后根據(jù)端口與服務(wù)的對(duì)應(yīng)關(guān)系，結(jié)合服務(wù)器端的反應(yīng)推斷目標(biāo)系統(tǒng)上是否運(yùn)行了某項(xiàng)服務(wù)，攻擊者通過這些服務(wù)可能獲得相關(guān)目標(biāo)系統(tǒng)的進(jìn)一步信息或通往目標(biāo)系統(tǒng)的途徑。

3、拓展：在TCP的首部報(bào)文中有六個(gè)標(biāo)志比特，按照在報(bào)文中的順序分別是URG(緊急指針有效)、ACK(1時(shí)表示確認(rèn)序號(hào)有效)、PSH(為1表示接收方應(yīng)盡快將這個(gè)報(bào)文交給應(yīng)用層，為0表示不需要立即傳、而是先進(jìn)行緩存)、RST(為1時(shí)表示TCP連接異常，必須強(qiáng)制斷開連接，然后重新連接)、SYN(同步序號(hào)用來(lái)發(fā)起一個(gè)連接)、FIN(表示關(guān)閉連接)

4、類型：

(1)完全連接掃描：利用TCP/IP協(xié)議的三次握手連接機(jī)制，使源主機(jī)和目的主機(jī)的某個(gè)端口建立一次完整的連接。如果建立成功，則表明該端口開放;否則表明該端口關(guān)閉。(準(zhǔn)確度高、容易被防火墻和IDS檢測(cè)到、在目標(biāo)主機(jī)的日志中會(huì)記錄有大量的鏈接請(qǐng)求以及錯(cuò)誤信息)

(2)半連接掃描：源主機(jī)和目的主機(jī)的三次握手連接過程中，只完成了前兩次握手，不建立一次完成的連接。

(3)SYN掃描：

首先向目標(biāo)主機(jī)發(fā)送連接請(qǐng)求，當(dāng)目標(biāo)主機(jī)返回響應(yīng)后，立即切斷連接過程，并查看響應(yīng)情況。如果目標(biāo)主機(jī)返回ACK信息，表示目標(biāo)主機(jī)的該端口開放。如果目標(biāo)主機(jī)返回RESET信息，表示該端口沒有開放。

由于三次握手沒有完成，tcp連接是沒有正常進(jìn)行的，因此，這次掃描就不會(huì)被記錄到系統(tǒng)日志中。這種掃描技術(shù)一般不會(huì)在目標(biāo)主機(jī)上留下掃描痕跡。但是這種掃描需要有root權(quán)限。

(4)ID頭信息掃描：

需要用一臺(tái)第三方機(jī)器配置掃描，并且這臺(tái)機(jī)器的網(wǎng)絡(luò)通信量要非常少，即dumb 主機(jī)。dumb主機(jī)(啞主機(jī))：不太活躍的主機(jī)，類似于這個(gè)服務(wù)器上沒有什么服務(wù)，被別人空置的主機(jī)(ID頭信息掃描需要dump主機(jī)的配合)。

首先由源主機(jī)A向Dumb主機(jī)B發(fā)出連續(xù)的PING數(shù)據(jù)包，并且查看主機(jī)B返回的數(shù)據(jù)包的ID頭信息。一般而言，每個(gè)順序數(shù)據(jù)包的ID頭的值會(huì)增加1.然后由源主機(jī)A假冒主機(jī)B的地址向目的主機(jī)C的任意端口(1~65535)發(fā)送SYN數(shù)據(jù)包。這時(shí)，主機(jī)C向主機(jī)B發(fā)送的數(shù)據(jù)包有兩種可能的結(jié)果：

SYN/ACK∶表示該端口處于監(jiān)聽狀態(tài)。

RST/ACK∶表示該端口處于非監(jiān)聽狀態(tài)。

從后續(xù)的PING數(shù)據(jù)包的響應(yīng)信息的ID頭信息可以看出，如果主機(jī)C的某個(gè)端口是開放的，則主機(jī)B返回A的數(shù)據(jù)包中，ID頭的值不是遞增1，而是大于1;反之端口關(guān)閉。

(5)隱蔽掃描：隱蔽掃描是指能夠成功繞過IDS(intrusion detction system 入侵檢測(cè)系統(tǒng))、防火墻和監(jiān)視系統(tǒng)等安全機(jī)制，取得目標(biāo)主機(jī)端口信息的一種掃描方式

(6)SYN/ACK掃描：源主機(jī)向目標(biāo)主機(jī)的某個(gè)端口直接發(fā)送SYN/ACK數(shù)據(jù)包，而不是先發(fā)送SYN數(shù)據(jù)包，目標(biāo)主機(jī)接收時(shí)會(huì)認(rèn)為這是一次錯(cuò)誤的連接，從而會(huì)報(bào)錯(cuò)。

發(fā)送SYN/ACK數(shù)據(jù)包，不返回信息則端口開放，返回RST信息，則端口關(guān)閉

(7)FIN掃描 ：源主機(jī)A向目標(biāo)主機(jī)B發(fā)送FIN數(shù)據(jù)包，不返回信息則端口開放，返回RESET信息則端口關(guān)閉

(8)ACK掃描：首先由主機(jī)A向目標(biāo)主機(jī)B發(fā)送FIN數(shù)據(jù)包，然后查看反饋數(shù)據(jù)包的TTL值和WIN值，開放端口所返回的數(shù)據(jù)包的TTL值一般小于64，而關(guān)閉端口的返回值一般大于64.開放端口所返回的WIN值一般大于0，而關(guān)閉端口的返回值一般等于0。

(9)NULL掃描：將發(fā)送數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH等標(biāo)志位置空，不返回信息則端口開放，返回RST信息則端口關(guān)閉

(10)XMAS掃描：將發(fā)送數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH等標(biāo)志位設(shè)置成1，不返回信息則端口開放，返回RST信息則端口關(guān)閉

二、口令破解

口令機(jī)制是資源訪問控制的第一道屏障，網(wǎng)絡(luò)攻擊者常以破解用戶的弱口令作為突破口，獲取系統(tǒng)的訪問權(quán)限。主要工作流程如下：

第一步，建立與目標(biāo)網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)連接;

第二步，選取一個(gè)用戶列表文件及字典文件

第三步，在用戶列表文件及字典文件中，選取一組用戶和口令，按網(wǎng)絡(luò)服務(wù)協(xié)議規(guī)定，將用戶名及口令發(fā)送給目標(biāo)網(wǎng)絡(luò)服務(wù)端口;

第四步，檢測(cè)遠(yuǎn)程服務(wù)返回信息，確定口令嘗試是否成功;

第五步，再取另一組用戶和口令，重復(fù)循環(huán)試驗(yàn)，直至口令用戶列表文件及字典文件選取完畢。

三、緩沖區(qū)溢出

緩沖區(qū)溢出可以使攻擊者有機(jī)會(huì)獲得一臺(tái)主機(jī)的部分或全部的控制權(quán)。

1、基本原理：向緩沖區(qū)中寫入超長(zhǎng)的、預(yù)設(shè)的內(nèi)容，導(dǎo)致緩沖區(qū)溢出，覆蓋其他正常的程序或數(shù)據(jù)，然后讓計(jì)算機(jī)轉(zhuǎn)去運(yùn)行這行預(yù)設(shè)的程序，達(dá)到執(zhí)行非法操作、實(shí)現(xiàn)攻擊的目的。

2、防范策略：

系統(tǒng)管理上防范：關(guān)閉不需要的特權(quán)服務(wù);及時(shí)給程序漏洞打補(bǔ)丁

軟件開發(fā)過程中防范：填寫正確代碼;緩沖區(qū)不可執(zhí)行;改進(jìn)C語(yǔ)言函數(shù)庫(kù)

漏洞防范：地址空間隨機(jī)化技術(shù);數(shù)據(jù)執(zhí)行阻止;堆棧保護(hù)

四、惡意代碼

惡意代碼是指為達(dá)到惡意目的而專門設(shè)計(jì)的程序或代碼，是指一切旨在破壞計(jì)算機(jī)或者網(wǎng)絡(luò)系統(tǒng)可靠性、可用性、安全性和數(shù)據(jù)完整性或者損耗系統(tǒng)資源的惡意程序。

常見的惡意代碼類型有：計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬、后門、邏輯炸彈、僵尸網(wǎng)絡(luò)等。

大家要了解下常見的惡意代碼及其前綴，因?yàn)檫x擇題有時(shí)候會(huì)考XXX屬于哪種惡意代碼。

感染文件病毒：jerusalem、cascade

感染引導(dǎo)區(qū)病毒：Michelangelo、Stoned

宏病毒：Marker、Melissa

蠕蟲：Blaster、SQL Slammer

五、拒絕服務(wù)攻擊

拒絕服務(wù)攻擊(Denial of Service)的主要是指攻擊者借助于網(wǎng)絡(luò)系統(tǒng)或網(wǎng)絡(luò)協(xié)議的缺陷和配置漏洞等系統(tǒng)缺陷執(zhí)行一些惡意的操作，使得合法的系統(tǒng)用戶不能及時(shí)得到應(yīng)得的服務(wù)或系統(tǒng)資源，如CPU處理時(shí)間、存儲(chǔ)器、網(wǎng)絡(luò)寬帶等。

1、拒絕服務(wù)攻擊實(shí)質(zhì)上的方式有兩個(gè)：

(1)服務(wù)器的緩沖區(qū)滿、不接受新的請(qǐng)求

(2)IP欺騙迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶連接，也是dos攻擊實(shí)施的基本思想

2、拒絕服務(wù)具有以下特點(diǎn)：

(1)難確認(rèn)性，拒絕服務(wù)攻擊很難判斷，用戶在自己的服務(wù)得不到及時(shí)響應(yīng)時(shí)，并不認(rèn)為自己(或者系統(tǒng))受到攻擊，反而可能認(rèn)為時(shí)系統(tǒng)故障造成一時(shí)的服務(wù)失效

(2)隱蔽性，正常請(qǐng)求服務(wù)隱藏拒絕服務(wù)攻擊的過程

(3)資源有限性，由于計(jì)算機(jī)資源有限，容易實(shí)現(xiàn)拒絕服務(wù)攻擊

(4)軟件復(fù)雜性，由于軟件所固有的復(fù)雜性，設(shè)計(jì)實(shí)現(xiàn)難以確保軟件沒有缺陷。因而攻擊者有機(jī)可乘，可以直接利用軟件缺陷進(jìn)行拒絕服務(wù)攻擊，如淚滴攻擊。

3、拒絕服務(wù)攻擊的種類：

拒絕服務(wù)攻擊的種類：同步包風(fēng)暴(SYN Flood)、UDP洪水(UDP Flodd)、Smurf攻擊、垃圾郵件、消耗CPU和內(nèi)存資源的拒絕服務(wù)攻擊、死亡之ping(ping ofdeath)、淚滴攻擊(Teardrop Attack)、分布式拒絕服務(wù)攻擊(Distributed Denial of Service)

(1)同步包風(fēng)暴(SYN Flood)：攻擊者偽造源ip(Source IP)發(fā)送多個(gè)同步數(shù)據(jù)包(標(biāo)志位SYN為1)給服務(wù)器，收到數(shù)據(jù)包后服務(wù)器會(huì)向偽造的源Ip發(fā)送 SYN | ACK數(shù)據(jù)包，但卻無(wú)法再收到確認(rèn)的ACK數(shù)據(jù)包，會(huì)一直等待直至超時(shí)，導(dǎo)致tcp/ip協(xié)議的三次握手無(wú)法順利完成。其原理就是發(fā)送大量的半連接狀態(tài)的服務(wù)請(qǐng)求，通過占用目標(biāo)系統(tǒng)的大量資源，影響其的正常運(yùn)作。

(2)UDP洪水(UDP Flodd)：攻擊者將UDP數(shù)據(jù)包發(fā)送到目標(biāo)系統(tǒng)的服務(wù)端口上，通常是診斷回送服務(wù)Echo，因?yàn)榇朔?wù)一般默認(rèn)開啟。若目標(biāo)系統(tǒng)開啟了此服務(wù)，就會(huì)回應(yīng)一個(gè)帶有原始數(shù)據(jù)內(nèi)容的UDP數(shù)據(jù)包給源地址主機(jī)。若目標(biāo)系統(tǒng)沒有開啟此服務(wù)，就會(huì)丟棄攻擊者發(fā)送的數(shù)據(jù)包，可能會(huì)回應(yīng)ICMP的“目標(biāo)主機(jī)不可達(dá)”類型消息給攻擊者。但是無(wú)論服務(wù)有沒有開啟，攻擊者消耗目標(biāo)系統(tǒng)鏈路容量的目的已經(jīng)達(dá)到。幾乎所有的UDP端口都可以作為攻擊目標(biāo)端口。

(3)Smurf攻擊：是發(fā)生在網(wǎng)絡(luò)層的Dos攻擊。較為簡(jiǎn)單的Smurf攻擊是將回復(fù)地址設(shè)置成目標(biāo)網(wǎng)絡(luò)廣播地址的ICMP應(yīng)答請(qǐng)求數(shù)據(jù)包，是該網(wǎng)絡(luò)的所有聚集都對(duì)此ICMP應(yīng)答請(qǐng)求做出應(yīng)答，導(dǎo)致網(wǎng)絡(luò)阻塞，比ping of death的流量高出一或兩個(gè)數(shù)量級(jí)。更加復(fù)雜的Smurf攻擊是將源地址改為第三方目標(biāo)網(wǎng)絡(luò)，最終導(dǎo)致第三方網(wǎng)絡(luò)阻塞。

(4)垃圾郵件：利用郵件系統(tǒng)制造垃圾信息，甚至通過專門的郵件炸彈(mail bomb)程序給受害者的信箱發(fā)送垃圾短信，耗盡用戶信箱的磁盤空間，使用戶無(wú)法應(yīng)用這個(gè)郵箱。

(5)消耗CPU和內(nèi)存資源的拒絕服務(wù)攻擊：利用目標(biāo)系統(tǒng)的計(jì)算機(jī)算法漏洞，構(gòu)造惡意輸入數(shù)據(jù)集，導(dǎo)致目標(biāo)系統(tǒng)CPU或內(nèi)存資源耗盡，從而是目標(biāo)系統(tǒng)癱瘓，如Hash DoS。

(6)死亡之ping(ping ofdeath)：ICMP報(bào)文長(zhǎng)固定(64KB)，很多操作系統(tǒng)只開辟64KB的緩沖區(qū)用于存放ICMP數(shù)據(jù)包。如果ICMP數(shù)據(jù)包的實(shí)際尺寸超過64KB，就會(huì)殘生緩沖區(qū)溢出，導(dǎo)致TCP/IP協(xié)議棧崩潰，造成主機(jī)重啟或死機(jī)，從而達(dá)到拒絕服務(wù)攻擊的目的。

(7)淚滴攻擊(Teardrop Attack)：將碎片數(shù)據(jù)包發(fā)送到目標(biāo)機(jī)器，由于接收這些數(shù)據(jù)包的機(jī)器由于TCP / IP碎片重組錯(cuò)誤而無(wú)法重新組裝，因此數(shù)據(jù)包相互重疊，導(dǎo)致目標(biāo)網(wǎng)絡(luò)設(shè)備崩潰。這通常發(fā)生在較早的操作系統(tǒng)上。

(8)分布式拒絕服務(wù)攻擊(Distributed Denial of Service)∶是對(duì)傳統(tǒng)DoS攻擊的發(fā)展，攻擊者首先侵入并控制一些計(jì)算機(jī)，然后控制這些計(jì)算機(jī)同時(shí)向一個(gè)特定的目標(biāo)發(fā)起拒絕服務(wù)攻擊從而成倍地提高拒絕服務(wù)攻擊的威力。目的是消耗目標(biāo)服務(wù)器性能或網(wǎng)絡(luò)帶寬，從而造成服務(wù)器無(wú)法為用戶正常地提供服務(wù)。

六、網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚(Phishing)是通過假冒可信方(如銀行等)提供網(wǎng)上服務(wù)，以欺騙手段獲取敏感個(gè)人信息(如口令、信用卡信息等)的攻擊方式。最典型的釣魚方法是，利用欺騙性的電子郵件和偽造的網(wǎng)站來(lái)進(jìn)行詐騙活動(dòng)。

目的：獲取敏感數(shù)據(jù)：用戶名、口令、賬號(hào)ID等

防范：申請(qǐng)并安裝數(shù)字證書、規(guī)范使用操作等

七、網(wǎng)絡(luò)竊聽

網(wǎng)絡(luò)竊聽是指利用網(wǎng)絡(luò)通信技術(shù)缺陷，使得攻擊者能夠獲取到其他人的網(wǎng)絡(luò)通信信息。

常見技術(shù)手段：網(wǎng)絡(luò)嗅探、中間人攻擊

網(wǎng)絡(luò)攻擊者將主機(jī)網(wǎng)絡(luò)接口的方式設(shè)為“雜亂”模式，就可以接收整個(gè)網(wǎng)絡(luò)上的信息包，從而獲取敏感口令，甚至將其重組，還原為用戶傳遞的文件。

八、SQL注入

在web服務(wù)器中，一般采用三層架構(gòu)模式(瀏覽器+web服務(wù)器+數(shù)據(jù)庫(kù))。其中web腳本程序負(fù)責(zé)處理來(lái)自瀏覽器端提交的信息(如用戶登錄名、密碼、查詢請(qǐng)求等)。但是，由于web腳本程序的編程漏洞，對(duì)來(lái)自于瀏覽器端的信息缺少輸入安全合法性檢查，導(dǎo)致攻擊者吧SQL命令插入web表單的輸入域或頁(yè)面的請(qǐng)求查找字符串，欺騙服務(wù)器執(zhí)行惡意的SQL命令。

九、社交工程

網(wǎng)絡(luò)攻擊通過一系列的社交活動(dòng)，獲取需要的信息(說(shuō)的通俗一點(diǎn)，就是詐騙)。例如攻擊者打電話給公司職員，自稱是網(wǎng)絡(luò)管理員，并且要求獲得用戶口令。

十、電子監(jiān)聽

網(wǎng)絡(luò)攻擊者采用電子設(shè)備遠(yuǎn)程距離監(jiān)控電磁波的傳送過程。靈敏的無(wú)線電收集裝置能狗仔遠(yuǎn)處看到計(jì)算機(jī)操作者輸入的字符或屏幕顯示的內(nèi)容。

十一、會(huì)話劫持

會(huì)話劫持指攻擊者在初始授權(quán)之后建立一個(gè)連接，在會(huì)話劫持以后，攻擊者具有合法用戶的特權(quán)權(quán)限。如“TCP會(huì)話劫持”。

十二、漏洞掃描

漏洞掃描是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全漏洞的軟件，通過漏洞掃描器可以自動(dòng)發(fā)現(xiàn)系統(tǒng)的安全漏洞。

常見的漏洞掃描技術(shù)：CCI漏洞掃描、弱口令掃描、操作系統(tǒng)漏洞掃描、數(shù)據(jù)庫(kù)漏洞掃描等

十三、代理技術(shù)

代理技術(shù)指攻擊者通過代理服務(wù)器進(jìn)行攻擊，其目的是以代理服務(wù)器為“攻擊跳板”，即使攻擊者的攻擊行為被發(fā)現(xiàn)，也難以追蹤攻擊者的真實(shí)身份或IP地址。黑客常利用所控制的機(jī)器當(dāng)做代理服務(wù)器(肉雞)，進(jìn)行DDoS攻擊。

十四、數(shù)據(jù)加密

攻擊者常采用數(shù)據(jù)加密技術(shù)來(lái)逃避網(wǎng)絡(luò)安全管理人員的追蹤。加密使網(wǎng)絡(luò)攻擊者的數(shù)據(jù)得到有效保護(hù)，及時(shí)網(wǎng)絡(luò)安全管理人員得到這些加密數(shù)據(jù)，沒有秘鑰也無(wú)法讀懂，這樣就實(shí)現(xiàn)了攻擊者的自身保護(hù)。攻擊者的安全原則是，任何與攻擊有關(guān)的內(nèi)容都必須加密或者立即銷毀。

【考點(diǎn)相關(guān)真題演練】：

1、端口掃描的目的是找出目標(biāo)系統(tǒng)上提供的服務(wù)列表。以下端口掃描技術(shù)中，需要第三方機(jī)器配合的是( )。

A.完全連接掃描

B.SYN掃描

C.ID頭信息掃描

D.ACK掃描

【信管網(wǎng)參考答案】C

【查看解析】www.ichunya.com/st/522807413.html

2、惡意代碼是指為達(dá)到惡意目的而專門設(shè)計(jì)的程序或者代碼。常見的惡意代碼類型有：特洛伊木馬、蠕蟲、病毒、后門、Rootkit僵尸程序、廣告軟件。以下惡意代碼中，屬于宏病毒的是()

A.Trojan.Bank

B.Macro.Melissa

C.Worm.Blaster.g

D.Trojan.huigezi.a

【信管網(wǎng)參考答案】B

【查看解析】www.ichunya.com/st/502321498.html

3、惡意代碼是指為達(dá)到惡意目的而專門設(shè)計(jì)的程序或代碼。以下惡意代碼中，屬于腳本病毒的是 ( )。

A. Worm. Sasser, f

B. Trojan. Huigezi. a

C. Harm. formac. f

D. Script. Redlof

【信管網(wǎng)參考答案】D

【查看解析】www.ichunya.com/st/4110512003.html

4、拒絕服務(wù)攻擊是指攻擊者利用系統(tǒng)的缺陷，執(zhí)行一些惡意的操作，使得合法的系統(tǒng)用戶不能及時(shí)得到應(yīng)得的服務(wù)或系統(tǒng)資源。以下給出的攻擊方式中，不屬于拒絕服務(wù)攻擊的是( )

A.SYN Flood

B.DNS放大攻擊

C.SQL注入

D.淚滴攻擊

【信管網(wǎng)參考答案】C

【查看解析】www.ichunya.com/st/5223312431.html

5、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS)通過偵聽網(wǎng)絡(luò)系統(tǒng)，捕獲網(wǎng)絡(luò)數(shù)據(jù)包，并依據(jù)網(wǎng)絡(luò)包是否包含攻擊特征，或者網(wǎng)絡(luò)通信流是否異常來(lái)識(shí)別入侵行為。以下不適合采用NIDS檢測(cè)的入侵行為是( )。

A.分布式拒絕服務(wù)攻擊

B.緩沖區(qū)溢出

C.注冊(cè)表修改

D.協(xié)議攻擊

【信管網(wǎng)參考答案】C

【查看解析】www.ichunya.com/st/5226416390.html

閱讀推薦：信息安全工程師考試大綱(第二版)