信息安全工程師綜合知識大綱考點：網(wǎng)絡(luò)攻擊常見技術(shù)方法

【考點分析】：重點，理解掌握。內(nèi)容比較多，不是說要完全記下來，主要是理解，重點掌握端口掃描、惡意代碼、拒絕服務(wù)攻擊。

【考點內(nèi)容】：

網(wǎng)絡(luò)攻擊常見技術(shù)方法有：端口掃描、 口令破解、緩沖區(qū)溢出、惡意代碼、拒絕服務(wù)、網(wǎng)絡(luò)釣魚、網(wǎng)絡(luò)竊聽、SQL注入、社交工程(社會工程學)、電子監(jiān)聽、會話劫持、漏洞掃描、代理技術(shù)、數(shù)據(jù)加密技術(shù)。

一、端口掃描：

1、目的：找出目標系統(tǒng)上提供的服務(wù)列表

2、原理：端口掃描程序挨個嘗試與TCP/UDP連接端口，然后根據(jù)端口與服務(wù)的對應(yīng)關(guān)系，結(jié)合服務(wù)器端的反應(yīng)推斷目標系統(tǒng)上是否運行了某項服務(wù)，攻擊者通過這些服務(wù)可能獲得相關(guān)目標系統(tǒng)的進一步信息或通往目標系統(tǒng)的途徑。

3、拓展：在TCP的首部報文中有六個標志比特，按照在報文中的順序分別是URG(緊急指針有效)、ACK(1時表示確認序號有效)、PSH(為1表示接收方應(yīng)盡快將這個報文交給應(yīng)用層，為0表示不需要立即傳、而是先進行緩存)、RST(為1時表示TCP連接異常，必須強制斷開連接，然后重新連接)、SYN(同步序號用來發(fā)起一個連接)、FIN(表示關(guān)閉連接)

4、類型：

(1)完全連接掃描：利用TCP/IP協(xié)議的三次握手連接機制，使源主機和目的主機的某個端口建立一次完整的連接。如果建立成功，則表明該端口開放;否則表明該端口關(guān)閉。(準確度高、容易被防火墻和IDS檢測到、在目標主機的日志中會記錄有大量的鏈接請求以及錯誤信息)

(2)半連接掃描：源主機和目的主機的三次握手連接過程中，只完成了前兩次握手，不建立一次完成的連接。

(3)SYN掃描：

首先向目標主機發(fā)送連接請求，當目標主機返回響應(yīng)后，立即切斷連接過程，并查看響應(yīng)情況。如果目標主機返回ACK信息，表示目標主機的該端口開放。如果目標主機返回RESET信息，表示該端口沒有開放。

由于三次握手沒有完成，tcp連接是沒有正常進行的，因此，這次掃描就不會被記錄到系統(tǒng)日志中。這種掃描技術(shù)一般不會在目標主機上留下掃描痕跡。但是這種掃描需要有root權(quán)限。

(4)ID頭信息掃描：

需要用一臺第三方機器配置掃描，并且這臺機器的網(wǎng)絡(luò)通信量要非常少，即dumb 主機。dumb主機(啞主機)：不太活躍的主機，類似于這個服務(wù)器上沒有什么服務(wù)，被別人空置的主機(ID頭信息掃描需要dump主機的配合)。

首先由源主機A向Dumb主機B發(fā)出連續(xù)的PING數(shù)據(jù)包，并且查看主機B返回的數(shù)據(jù)包的ID頭信息。一般而言，每個順序數(shù)據(jù)包的ID頭的值會增加1.然后由源主機A假冒主機B的地址向目的主機C的任意端口(1~65535)發(fā)送SYN數(shù)據(jù)包。這時，主機C向主機B發(fā)送的數(shù)據(jù)包有兩種可能的結(jié)果：

SYN/ACK∶表示該端口處于監(jiān)聽狀態(tài)。

RST/ACK∶表示該端口處于非監(jiān)聽狀態(tài)。

從后續(xù)的PING數(shù)據(jù)包的響應(yīng)信息的ID頭信息可以看出，如果主機C的某個端口是開放的，則主機B返回A的數(shù)據(jù)包中，ID頭的值不是遞增1，而是大于1;反之端口關(guān)閉。

(5)隱蔽掃描：隱蔽掃描是指能夠成功繞過IDS(intrusion detction system 入侵檢測系統(tǒng))、防火墻和監(jiān)視系統(tǒng)等安全機制，取得目標主機端口信息的一種掃描方式

(6)SYN/ACK掃描：源主機向目標主機的某個端口直接發(fā)送SYN/ACK數(shù)據(jù)包，而不是先發(fā)送SYN數(shù)據(jù)包，目標主機接收時會認為這是一次錯誤的連接，從而會報錯。

發(fā)送SYN/ACK數(shù)據(jù)包，不返回信息則端口開放，返回RST信息，則端口關(guān)閉

(7)FIN掃描 ：源主機A向目標主機B發(fā)送FIN數(shù)據(jù)包，不返回信息則端口開放，返回RESET信息則端口關(guān)閉

(8)ACK掃描：首先由主機A向目標主機B發(fā)送FIN數(shù)據(jù)包，然后查看反饋數(shù)據(jù)包的TTL值和WIN值，開放端口所返回的數(shù)據(jù)包的TTL值一般小于64，而關(guān)閉端口的返回值一般大于64.開放端口所返回的WIN值一般大于0，而關(guān)閉端口的返回值一般等于0。

(9)NULL掃描：將發(fā)送數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH等標志位置空，不返回信息則端口開放，返回RST信息則端口關(guān)閉

(10)XMAS掃描：將發(fā)送數(shù)據(jù)包中的ACK、FIN、RST、SYN、URG、PSH等標志位設(shè)置成1，不返回信息則端口開放，返回RST信息則端口關(guān)閉

二、口令破解

口令機制是資源訪問控制的第一道屏障，網(wǎng)絡(luò)攻擊者常以破解用戶的弱口令作為突破口，獲取系統(tǒng)的訪問權(quán)限。主要工作流程如下：

第一步，建立與目標網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)連接;

第二步，選取一個用戶列表文件及字典文件

第三步，在用戶列表文件及字典文件中，選取一組用戶和口令，按網(wǎng)絡(luò)服務(wù)協(xié)議規(guī)定，將用戶名及口令發(fā)送給目標網(wǎng)絡(luò)服務(wù)端口;

第四步，檢測遠程服務(wù)返回信息，確定口令嘗試是否成功;

第五步，再取另一組用戶和口令，重復循環(huán)試驗，直至口令用戶列表文件及字典文件選取完畢。

三、緩沖區(qū)溢出

緩沖區(qū)溢出可以使攻擊者有機會獲得一臺主機的部分或全部的控制權(quán)。

1、基本原理：向緩沖區(qū)中寫入超長的、預設(shè)的內(nèi)容，導致緩沖區(qū)溢出，覆蓋其他正常的程序或數(shù)據(jù)，然后讓計算機轉(zhuǎn)去運行這行預設(shè)的程序，達到執(zhí)行非法操作、實現(xiàn)攻擊的目的。

2、防范策略：

系統(tǒng)管理上防范：關(guān)閉不需要的特權(quán)服務(wù);及時給程序漏洞打補丁

軟件開發(fā)過程中防范：填寫正確代碼;緩沖區(qū)不可執(zhí)行;改進C語言函數(shù)庫

漏洞防范：地址空間隨機化技術(shù);數(shù)據(jù)執(zhí)行阻止;堆棧保護

四、惡意代碼

惡意代碼是指為達到惡意目的而專門設(shè)計的程序或代碼，是指一切旨在破壞計算機或者網(wǎng)絡(luò)系統(tǒng)可靠性、可用性、安全性和數(shù)據(jù)完整性或者損耗系統(tǒng)資源的惡意程序。

常見的惡意代碼類型有：計算機病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬、后門、邏輯炸彈、僵尸網(wǎng)絡(luò)等。

大家要了解下常見的惡意代碼及其前綴，因為選擇題有時候會考XXX屬于哪種惡意代碼。

感染文件病毒：jerusalem、cascade

感染引導區(qū)病毒：Michelangelo、Stoned

宏病毒：Marker、Melissa

蠕蟲：Blaster、SQL Slammer

五、拒絕服務(wù)攻擊

拒絕服務(wù)攻擊(Denial of Service)的主要是指攻擊者借助于網(wǎng)絡(luò)系統(tǒng)或網(wǎng)絡(luò)協(xié)議的缺陷和配置漏洞等系統(tǒng)缺陷執(zhí)行一些惡意的操作，使得合法的系統(tǒng)用戶不能及時得到應(yīng)得的服務(wù)或系統(tǒng)資源，如CPU處理時間、存儲器、網(wǎng)絡(luò)寬帶等。

1、拒絕服務(wù)攻擊實質(zhì)上的方式有兩個：

(1)服務(wù)器的緩沖區(qū)滿、不接受新的請求

(2)IP欺騙迫使服務(wù)器把合法用戶的連接復位，影響合法用戶連接，也是dos攻擊實施的基本思想

2、拒絕服務(wù)具有以下特點：

(1)難確認性，拒絕服務(wù)攻擊很難判斷，用戶在自己的服務(wù)得不到及時響應(yīng)時，并不認為自己(或者系統(tǒng))受到攻擊，反而可能認為時系統(tǒng)故障造成一時的服務(wù)失效

(2)隱蔽性，正常請求服務(wù)隱藏拒絕服務(wù)攻擊的過程

(3)資源有限性，由于計算機資源有限，容易實現(xiàn)拒絕服務(wù)攻擊

(4)軟件復雜性，由于軟件所固有的復雜性，設(shè)計實現(xiàn)難以確保軟件沒有缺陷。因而攻擊者有機可乘，可以直接利用軟件缺陷進行拒絕服務(wù)攻擊，如淚滴攻擊。

3、拒絕服務(wù)攻擊的種類：

拒絕服務(wù)攻擊的種類：同步包風暴(SYN Flood)、UDP洪水(UDP Flodd)、Smurf攻擊、垃圾郵件、消耗CPU和內(nèi)存資源的拒絕服務(wù)攻擊、死亡之ping(ping ofdeath)、淚滴攻擊(Teardrop Attack)、分布式拒絕服務(wù)攻擊(Distributed Denial of Service)

(1)同步包風暴(SYN Flood)：攻擊者偽造源ip(Source IP)發(fā)送多個同步數(shù)據(jù)包(標志位SYN為1)給服務(wù)器，收到數(shù)據(jù)包后服務(wù)器會向偽造的源Ip發(fā)送 SYN | ACK數(shù)據(jù)包，但卻無法再收到確認的ACK數(shù)據(jù)包，會一直等待直至超時，導致tcp/ip協(xié)議的三次握手無法順利完成。其原理就是發(fā)送大量的半連接狀態(tài)的服務(wù)請求，通過占用目標系統(tǒng)的大量資源，影響其的正常運作。

(2)UDP洪水(UDP Flodd)：攻擊者將UDP數(shù)據(jù)包發(fā)送到目標系統(tǒng)的服務(wù)端口上，通常是診斷回送服務(wù)Echo，因為此服務(wù)一般默認開啟。若目標系統(tǒng)開啟了此服務(wù)，就會回應(yīng)一個帶有原始數(shù)據(jù)內(nèi)容的UDP數(shù)據(jù)包給源地址主機。若目標系統(tǒng)沒有開啟此服務(wù)，就會丟棄攻擊者發(fā)送的數(shù)據(jù)包，可能會回應(yīng)ICMP的“目標主機不可達”類型消息給攻擊者。但是無論服務(wù)有沒有開啟，攻擊者消耗目標系統(tǒng)鏈路容量的目的已經(jīng)達到。幾乎所有的UDP端口都可以作為攻擊目標端口。

(3)Smurf攻擊：是發(fā)生在網(wǎng)絡(luò)層的Dos攻擊。較為簡單的Smurf攻擊是將回復地址設(shè)置成目標網(wǎng)絡(luò)廣播地址的ICMP應(yīng)答請求數(shù)據(jù)包，是該網(wǎng)絡(luò)的所有聚集都對此ICMP應(yīng)答請求做出應(yīng)答，導致網(wǎng)絡(luò)阻塞，比ping of death的流量高出一或兩個數(shù)量級。更加復雜的Smurf攻擊是將源地址改為第三方目標網(wǎng)絡(luò)，最終導致第三方網(wǎng)絡(luò)阻塞。

(4)垃圾郵件：利用郵件系統(tǒng)制造垃圾信息，甚至通過專門的郵件炸彈(mail bomb)程序給受害者的信箱發(fā)送垃圾短信，耗盡用戶信箱的磁盤空間，使用戶無法應(yīng)用這個郵箱。

(5)消耗CPU和內(nèi)存資源的拒絕服務(wù)攻擊：利用目標系統(tǒng)的計算機算法漏洞，構(gòu)造惡意輸入數(shù)據(jù)集，導致目標系統(tǒng)CPU或內(nèi)存資源耗盡，從而是目標系統(tǒng)癱瘓，如Hash DoS。

(6)死亡之ping(ping ofdeath)：ICMP報文長固定(64KB)，很多操作系統(tǒng)只開辟64KB的緩沖區(qū)用于存放ICMP數(shù)據(jù)包。如果ICMP數(shù)據(jù)包的實際尺寸超過64KB，就會殘生緩沖區(qū)溢出，導致TCP/IP協(xié)議棧崩潰，造成主機重啟或死機，從而達到拒絕服務(wù)攻擊的目的。

(7)淚滴攻擊(Teardrop Attack)：將碎片數(shù)據(jù)包發(fā)送到目標機器，由于接收這些數(shù)據(jù)包的機器由于TCP / IP碎片重組錯誤而無法重新組裝，因此數(shù)據(jù)包相互重疊，導致目標網(wǎng)絡(luò)設(shè)備崩潰。這通常發(fā)生在較早的操作系統(tǒng)上。

(8)分布式拒絕服務(wù)攻擊(Distributed Denial of Service)∶是對傳統(tǒng)DoS攻擊的發(fā)展，攻擊者首先侵入并控制一些計算機，然后控制這些計算機同時向一個特定的目標發(fā)起拒絕服務(wù)攻擊從而成倍地提高拒絕服務(wù)攻擊的威力。目的是消耗目標服務(wù)器性能或網(wǎng)絡(luò)帶寬，從而造成服務(wù)器無法為用戶正常地提供服務(wù)。

六、網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚(Phishing)是通過假冒可信方(如銀行等)提供網(wǎng)上服務(wù)，以欺騙手段獲取敏感個人信息(如口令、信用卡信息等)的攻擊方式。最典型的釣魚方法是，利用欺騙性的電子郵件和偽造的網(wǎng)站來進行詐騙活動。

目的：獲取敏感數(shù)據(jù)：用戶名、口令、賬號ID等

防范：申請并安裝數(shù)字證書、規(guī)范使用操作等

七、網(wǎng)絡(luò)竊聽

網(wǎng)絡(luò)竊聽是指利用網(wǎng)絡(luò)通信技術(shù)缺陷，使得攻擊者能夠獲取到其他人的網(wǎng)絡(luò)通信信息。

常見技術(shù)手段：網(wǎng)絡(luò)嗅探、中間人攻擊

網(wǎng)絡(luò)攻擊者將主機網(wǎng)絡(luò)接口的方式設(shè)為“雜亂”模式，就可以接收整個網(wǎng)絡(luò)上的信息包，從而獲取敏感口令，甚至將其重組，還原為用戶傳遞的文件。

八、SQL注入

在web服務(wù)器中，一般采用三層架構(gòu)模式(瀏覽器+web服務(wù)器+數(shù)據(jù)庫)。其中web腳本程序負責處理來自瀏覽器端提交的信息(如用戶登錄名、密碼、查詢請求等)。但是，由于web腳本程序的編程漏洞，對來自于瀏覽器端的信息缺少輸入安全合法性檢查，導致攻擊者吧SQL命令插入web表單的輸入域或頁面的請求查找字符串，欺騙服務(wù)器執(zhí)行惡意的SQL命令。

九、社交工程

網(wǎng)絡(luò)攻擊通過一系列的社交活動，獲取需要的信息(說的通俗一點，就是詐騙)。例如攻擊者打電話給公司職員，自稱是網(wǎng)絡(luò)管理員，并且要求獲得用戶口令。

十、電子監(jiān)聽

網(wǎng)絡(luò)攻擊者采用電子設(shè)備遠程距離監(jiān)控電磁波的傳送過程。靈敏的無線電收集裝置能狗仔遠處看到計算機操作者輸入的字符或屏幕顯示的內(nèi)容。

十一、會話劫持

會話劫持指攻擊者在初始授權(quán)之后建立一個連接，在會話劫持以后，攻擊者具有合法用戶的特權(quán)權(quán)限。如“TCP會話劫持”。

十二、漏洞掃描

漏洞掃描是一種自動檢測遠程或本地主機安全漏洞的軟件，通過漏洞掃描器可以自動發(fā)現(xiàn)系統(tǒng)的安全漏洞。

常見的漏洞掃描技術(shù)：CCI漏洞掃描、弱口令掃描、操作系統(tǒng)漏洞掃描、數(shù)據(jù)庫漏洞掃描等

十三、代理技術(shù)

代理技術(shù)指攻擊者通過代理服務(wù)器進行攻擊，其目的是以代理服務(wù)器為“攻擊跳板”，即使攻擊者的攻擊行為被發(fā)現(xiàn)，也難以追蹤攻擊者的真實身份或IP地址。黑客常利用所控制的機器當做代理服務(wù)器(肉雞)，進行DDoS攻擊。

十四、數(shù)據(jù)加密

攻擊者常采用數(shù)據(jù)加密技術(shù)來逃避網(wǎng)絡(luò)安全管理人員的追蹤。加密使網(wǎng)絡(luò)攻擊者的數(shù)據(jù)得到有效保護，及時網(wǎng)絡(luò)安全管理人員得到這些加密數(shù)據(jù)，沒有秘鑰也無法讀懂，這樣就實現(xiàn)了攻擊者的自身保護。攻擊者的安全原則是，任何與攻擊有關(guān)的內(nèi)容都必須加密或者立即銷毀。

【考點相關(guān)真題演練】：

1、端口掃描的目的是找出目標系統(tǒng)上提供的服務(wù)列表。以下端口掃描技術(shù)中，需要第三方機器配合的是( )。

A.完全連接掃描

B.SYN掃描

C.ID頭信息掃描

D.ACK掃描

【信管網(wǎng)參考答案】C

【查看解析】m.xiexiliangjiufa.com/st/522807413.html

2、惡意代碼是指為達到惡意目的而專門設(shè)計的程序或者代碼。常見的惡意代碼類型有：特洛伊木馬、蠕蟲、病毒、后門、Rootkit僵尸程序、廣告軟件。以下惡意代碼中，屬于宏病毒的是()

A.Trojan.Bank

B.Macro.Melissa

C.Worm.Blaster.g

D.Trojan.huigezi.a

【信管網(wǎng)參考答案】B

【查看解析】m.xiexiliangjiufa.com/st/502321498.html

3、惡意代碼是指為達到惡意目的而專門設(shè)計的程序或代碼。以下惡意代碼中，屬于腳本病毒的是 ( )。

A. Worm. Sasser, f

B. Trojan. Huigezi. a

C. Harm. formac. f

D. Script. Redlof

【信管網(wǎng)參考答案】D

【查看解析】m.xiexiliangjiufa.com/st/4110512003.html

4、拒絕服務(wù)攻擊是指攻擊者利用系統(tǒng)的缺陷，執(zhí)行一些惡意的操作，使得合法的系統(tǒng)用戶不能及時得到應(yīng)得的服務(wù)或系統(tǒng)資源。以下給出的攻擊方式中，不屬于拒絕服務(wù)攻擊的是( )

A.SYN Flood

B.DNS放大攻擊

C.SQL注入

D.淚滴攻擊

【信管網(wǎng)參考答案】C

【查看解析】m.xiexiliangjiufa.com/st/5223312431.html

5、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)通過偵聽網(wǎng)絡(luò)系統(tǒng)，捕獲網(wǎng)絡(luò)數(shù)據(jù)包，并依據(jù)網(wǎng)絡(luò)包是否包含攻擊特征，或者網(wǎng)絡(luò)通信流是否異常來識別入侵行為。以下不適合采用NIDS檢測的入侵行為是( )。

A.分布式拒絕服務(wù)攻擊

B.緩沖區(qū)溢出

C.注冊表修改

D.協(xié)議攻擊

【信管網(wǎng)參考答案】C

【查看解析】m.xiexiliangjiufa.com/st/5226416390.html

閱讀推薦：信息安全工程師考試大綱(第二版)