信息安全工程師綜合知識大綱考點(diǎn)：網(wǎng)絡(luò)攻擊案例

【考點(diǎn)分析】：重點(diǎn)掌握。熟記DDoS攻擊過程步驟，能認(rèn)出DDoS攻擊手段對應(yīng)的圖，熟悉W32.Blaster.Worm感染過程。

【考點(diǎn)內(nèi)容】：

一、DDoS攻擊

DDoS(Distributed Denial of Service)利用合理的請求造成資源過載，導(dǎo)致服務(wù)器不可用。它的整個攻擊過程可分為以下五個步驟：

1、通過探測掃描大量主機(jī)，尋找可被攻擊的目標(biāo)

2、攻擊有安全漏洞的主機(jī)，并設(shè)法獲取控制權(quán)

3、在已攻擊成功的主機(jī)中安裝客戶端攻擊程序

4、利用已攻擊成功的主機(jī)繼續(xù)掃描和攻擊，從而擴(kuò)大可被利用的主機(jī)

5、當(dāng)安裝了攻擊程序的客戶端，達(dá)到一定的數(shù)量后，攻擊者在主控端給客戶端攻擊程序發(fā)布命令，同時攻擊特定的主機(jī)

DDoS常用的攻擊技術(shù)手段：HTTP Flood攻擊、SYN Flood 攻擊、DNS放大攻擊等。

◆HTTP Flood攻擊：利用僵尸主機(jī)向特定目標(biāo)網(wǎng)站發(fā)送大量的HTTP GET請求，以導(dǎo)致網(wǎng)站癱瘓。

◆SYN Flood攻擊：利用TCP/IP協(xié)議的安全缺陷，偽造主機(jī)發(fā)送大量的SYN包到目標(biāo)系統(tǒng)，導(dǎo)致目標(biāo)系統(tǒng)的計算機(jī)網(wǎng)絡(luò)癱瘓。

◆DNS放大攻擊：攻擊者假冒目標(biāo)系統(tǒng)向多個DNS解析服務(wù)器發(fā)送大量請求，而導(dǎo)致DNS解析服務(wù)器同時應(yīng)答目標(biāo)系統(tǒng)，產(chǎn)生大量網(wǎng)絡(luò)流量，形成拒絕服務(wù)。

(注：要熟悉以上3種攻擊手段示意圖，考到了至少要認(rèn)的出來，官方教材第二版40-41頁)

二、W32.Blaster.Worm

W32.Blaster.Worm是一種利用DCOM RPC漏洞進(jìn)行傳播的網(wǎng)絡(luò)蠕蟲，其傳播能力很強(qiáng)。感染蠕蟲的計算機(jī)系統(tǒng)運(yùn)行不穩(wěn)定，系統(tǒng)會不斷重啟。并且該蠕蟲還將對Windowsupdate.com進(jìn)行拒絕服務(wù)攻擊，使得受害用戶不能及時地得到這個漏洞補(bǔ)丁。

感染攻擊過程如下：

(1)創(chuàng)建一個名為BILLY的互斥體，如果這個互斥體存在，蠕蟲將放棄感染并推出。

(2)在注冊表中添加下列鍵值∶”windows auto update”=”msblast.exe”，并且將其添加至∶HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft'Windows\CurrentVersion\Run，這樣就可以使蠕蟲在系統(tǒng)被重啟的時候能夠自動運(yùn)行。

(3)蠕蟲生成攻擊IP地址列表，嘗試去感染列表中的計算機(jī)，蠕蟲對有DCOM RPC漏洞的機(jī)器發(fā)起TCP 135端口的連接，進(jìn)行感染。

(4)在TCP 4444端口綁定一個cmd.exe的客戶端。

(5)在UDP port 69口上進(jìn)行監(jiān)聽。如果收到了一個請求，將把Msblast.exe發(fā)送給目標(biāo)機(jī)器。(6)發(fā)送命令給遠(yuǎn)端的機(jī)器使它回聯(lián)已經(jīng)受到感染的機(jī)器并下載Msblast.exe。

(7)檢查當(dāng)前日期及月份，若當(dāng)前日期為16日或以后，或當(dāng)前月份處在9月到12月之間，則W32.Blaster.Worm蠕蟲將對windowsupdate.com發(fā)送TCP同步風(fēng)暴拒絕服務(wù)攻擊。

三、網(wǎng)絡(luò)安全導(dǎo)致停電事件(了解即可)

烏克蘭電力系統(tǒng)遭受攻擊事件：黑客首先利用釣魚郵件，欺騙電力公司員工下載了帶有BlackEnergy的惡意代碼文件，然后誘導(dǎo)用戶打開這個文件，激活木馬，安裝SSH后門和系統(tǒng)自毀工具Killdisk，致使黑客最終獲得了主控電腦的控制權(quán)。最后，黑客遠(yuǎn)程操作惡意代碼將電力公司的主控計算機(jī)與變電站斷連并切斷電源同時，黑客發(fā)送DDoS攻擊電力客服中心，致使電廠工作人員無法立即進(jìn)行電力維修工作。