《信息安全工程师》读书笔记
2021-10-28 09:37:58 0 举报AI智能生成
软考《信息安全工程师》第2章知识点汇总
作者其他创作
大纲/内容
2.1网络攻击概述
是指损害网络系统安全属性的危害行为
常见的危害行为有四个基本类型
信息泄露攻击
完整性破坏攻击
拒绝服务攻击
非法使用攻击
网络攻击模型
攻击树模型
攻击树方法可以被Eed Team用来进行渗透测试,同时也可以被Blue Team用来研究防御机制
优点:能够采取专家头脑风暴法,并且将这些意见融合到攻击树中去;能够进行费效分析或者概率分析;能够建模非常复杂的攻击场景
缺点:由于树结构的内在限制,攻击树不能用来建模多重尝试攻击,时间依赖及访问控制等场景;不能用来建模循环事件,对于现实中的大规模网络,攻击树方法处理起来将会特别复杂。
MITRE ATT&CK模型
网络红蓝对抗模拟
网络安全渗透测试
网络防御差距评估
网络威胁情报收集
网络杀伤链模型
目标侦察
武器构造
载荷投送
漏洞利用
安装植入
指挥和控制
目标行动
2.2网络攻击一般过程
隐藏攻击源——隐藏黑客主机位置使得系统管理无法追踪
收集攻击目标信息——确定攻击目标并收集目标系统的有关信息
挖掘漏洞信息——从收集到的目标信息中提取可使用的漏洞信息
获取目标访问权限——获取目标系统的普通或特权账户的权限
隐蔽攻击行为——隐蔽在目标系统中的操作,防止入侵行为被发现(连接隐藏、进程隐藏、文件隐藏)
实施攻击——进行破坏活动或者以目标系统为跳板向其他系统发起新的攻击
开辟后门——在目标系统中开辟后门,方便以后入侵
清除攻击痕迹——避免安全管理员的发现、追踪以及法律部门取证
2.3网络攻击常见技术方法
端口扫描
目的是找出目标系统上提供的服务列表
挨个尝试与TCP/UDP端口连接,然后根据端口与服务的对应关系,结合服务器端的反应推断目标系统上是否运行了某项服务,攻击者通过这些服务可能获得
完全连接扫描——利用TCP/IP协议的三次握手连接机制,使源主机和目的主机的某个端口建立一次完整的连接,如果建立成功,则表明该端口开发。否则,表明该端口关闭
半连接扫描——是指在源主机和目的主机的三次握手连接过程中,只完成前两次握手,不建立一次完整的连接
SYN扫描——首先向目标主机发送连接请求,当目标主机返回响应后,立即切断连接过程,并查看响应情况。如果目标主机返回ACK信息,表示目标主机的该端口开放。如果目标主机返回RESET信息,表示该端口没有开放
ID头信息扫描
这种扫描方法需要用一台第三方机器配合扫描,并且这台机器的网络通信量要非常少,即dumb主机
SYN/ACK表示该端口处于监听状态
RST/ACK表示该端口处于非监听状态
隐蔽扫描
能够成功地绕过IDS、防火墙和监视系统等安全机制,取得目标主机端口信息的一种扫描方式
SYN/ACK扫描
由源主机向目标主机的某个端口直接发送SYN/ACK数据包,而不是先发送SYN数据包。由于这种方法不发送SYN数据包,目标主机会认为这是一次错误的连接,从而会报错。如果目标主机的该端口没有开放,则会返回RST信息
如果目标主机的该端口处于开放状态,则不会返回任何信息,而是直接将这个数据包抛弃掉
FIN扫描
源主机A向目标主机B发送FIN数据包,然后查看反馈信息
如果端口返回RESET信息,则说明该端口关闭
如果端口没有返回任何信息,则说明该端口开放
ACK扫描
首先由主机A向目标主机B发送ACK数据包,然后查看反馈数据包的TTL值和WIN值
开放端口所返回的数据包的TTL值一般小于64,而关闭端口的返回值一般大于64
开放端口所返回的数据包的WIN值一般大于0,而关闭端口的返回值一般等于0
NULL扫描
将源主机发送的数据包中的ACK、FIN、RST、SYN、URG、PSH等标志位全部置空
如果目标主机没有返回任何信息,则表明该端口是开放的
如果返回RST信息,则表明该端口是关闭的
XMAS扫描
原理和NULL扫描相同,只是将要发送的数据包中的ACK、FIN、RST、SYN、URG、PSH等头标志位全部置成1
如果目标主机没有返回任何信息,则表明该端口是开放的
如果返回RST信息,则表明该端口是关闭的
口令破解
口令机制是资源访问控制的第一道屏障
主要工作流程
建立与目标网络服务的网络连接
选取一个用户列表文件及字典文件
在用户列表文件及字典文件中,选取一组用户和口令,按网络服务协议规定,将用户及口令发送给目标网络服务端口
检测远程服务返回信息,确定口令尝试是否成功
再取另一组用户和口令,重复循环试验,直至口令用户列表文件及字典文件选取完毕
缓冲区溢出
可以使攻击者有机会获得一台主机的部分或全部的控制权
缓冲区溢出攻击占远程网络攻击的绝大多数
缓冲区溢出成为远程攻击主要方式的原因是,缓冲区溢出漏洞会给予攻击者控制程序执行流程的机会
攻击者将特意构造的攻击代码植入有缓冲区溢出漏洞的程序之中,改变漏洞程序的执行过程,就可以得到被攻击主机的控制权
恶意代码
常见的恶意代码类型有计算机病毒,网络蠕虫,特洛伊木马,后门,逻辑炸弹,僵尸网络等
常见的恶意代码缩写
网络蠕虫的前缀是:Worm
木马病毒其前缀是:Trojan
脚本病毒的前缀是:Script
宏病毒的前缀是:Macro,其可能还有第二前缀是Word、Word97、Excel、Exce197
后门程序的前缀是:Backdoor
破坏性程序病毒的前缀是:Harm
玩笑病毒的前缀是:Joke
捆绑机病毒的前缀是:Binder
网络蠕虫
网络蠕虫程序是1988年由小莫里斯编制的,该程序具有复制传播功能
2001年8月,红色代码蠕虫利用微软Web服务器IIS4.0或5.0中index服务的安全缺陷,通过自助扫码感染方式传播蠕虫
2010年“震网”网络蠕虫是首个专门用于定向攻击真实世界中基础设施的恶意代码
拒绝服务
是指攻击者利用系统的缺陷,执行一些恶意的操作,使得合法的系统用户不能及时得到应得的服务或系统资源,如CPU处理时间、存储器、网络带宽等
拒绝服务攻击往往造成计算机或网络无法正常工作,进而会使一个依赖于计算机或网络服务的企业不能正常运转
拒绝服务攻击最本质的特征是延长服务等待时间
当服务等待时间超过某个阈值时,用户因无法忍耐而放弃服务
拒绝服务攻击延迟或者阻碍合法的用户使用系统提供的服务,对关键性和实时性服务造成的影响最大
拒绝服务特点
难确认性——拒绝服务攻击很难判断,用户在自己的服务得不到及时响应时,并不认为自己受到攻击,反而可能认为是系统故障造成一时的服务失效
隐蔽性——正常请求服务隐藏拒绝服务攻击的过程
资源有限性——由于计算机资源有限,容易实现拒绝服务攻击
软件复杂性——由于软件所固有的复杂性,设计实现难以确保软件没有缺陷
拒绝服务类型
同步包风暴
攻击者假造源网址发送多个同步数据包给服务器,服务器因无法收到确认数据包,使TCP/IP协议的三次握手无法顺利完成,因而无法建立连接。
原理是发送大量半连接状态的服务请求,使Unix等服务主机无法处理正常的连接请求,因而影响正常运作。
UDP洪水
利用简单的TCP/IP服务,如用Chargen和Echo传送毫无用处的占满带宽的数据
通过伪造与某一主机的Chargen服务之间的一次UDP连接,回复地址指向开放Echo服务的一台主机,生成在两台主机之间的足够多的无用数据流
Smurf攻击
是将回复地址设置成目标网络广播地址的ICMP应答请求数据包,使该网络的所有主机都对比ICMP应答请求作出应答,导致网络阻塞,比ping of death洪水的流量高出一或两个数量级
更加复杂的Smurf攻击是将源地址改为第三方的目标网络,最终导致第三方网络阻塞
垃圾邮件
——攻击者利用邮件系统制造垃圾信息,甚至通过专门的邮件炸弹程序给受害用户的信箱发送垃圾信息,耗尽用户信箱的磁盘空间,使用户无法应用这个信箱
消耗CPU和内存资源的拒绝服务攻击——利用目标系统的计算算法漏洞,构造恶意输入数据集,导致目标系统的CPU或内存资源耗尽,从而使目标系统瘫痪,如Hash Dos
死亡之ping
早期,路由器对包的最大尺寸都有限制,许多操作系统在实现TCP/IP堆栈时,规定ICMP包小于等于64KB,并且在对包的标题头进行读取之后,要根据该标题头中包含的信息为有效载荷生成缓冲区
当产生畸形的,尺寸超过ICMP上限的包,即加载的尺寸超过64KB上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,使接收方停机
泪滴攻击
泪滴攻击暴露出IP数据包分解与重组的弱点
当IP数据包在网络中传输时,会被分解成许多不同的片传送,并借由偏移量字段作为重组的依据。泪滴攻击通过加入过多或不必要的偏移量字段,使计算机系统重组错乱,产生不可预期的后果
分布式拒绝服务攻击
分布式拒绝服务攻击是指植入后门程序从远程遥控攻击,攻击者从多个已入侵的跳板主机控制数个代理攻击主机,所以攻击者可同时对已控制的代理攻击主机激活干扰命令,对受害主机大量攻击
分布式拒绝服务攻击程序,最著名的有Trino0、TFN、TFN2K和Sacheldraht四种
网络钓鱼
是一种通过假冒可信方提供网上服务,以欺骗手段获取敏感个人信息的攻击方式
最典型的网络钓鱼方法是,网络钓鱼者利用欺骗性的电子邮件和伪造的网站来进行诈骗活动,诱骗访问者提供一些个人信息,如信用卡号、账号和口令、社保编号等内容,以谋求不正当利益
网络窃听
是指利用网络通信技术缺陷,使得攻击者能够获取到其他人的网络通信信息
常见的网络窃听技术手段主要有网络嗅探、中间人攻击
SQL注入
在Web服务中,一般采用三层架构模式:浏览器+Web服务器+数据库
社交工程
网络攻击通过一系列的社交活动,获取需要的信息
例如伪造系统管理员的身份,给特定的用户发电子邮件骗取他的密码口令。有的攻击者会给用户送免费实用程序,不过该程序除了完成用户所需的功能外,还隐藏了一个将用户的计算机信息发送给攻击者的功能
电子监听
网络攻击者采用电子设备远距离地监视电磁波的传送过程
灵敏的无线电接收装置能够在远处看到计算机操作者输入的字符或屏幕显示的内容
会话劫持
是指攻击者在初始授权之后建立一个连接,在会话劫持以后,攻击者具有合法用户的特权权限
漏洞扫描
是一种自动检测远程或本地主机安全漏洞的软件,通过漏洞扫描器可以自动发现系统的安全漏洞
网络攻击者利用漏洞扫描来搜集目标系统的漏洞信息,为下一步的攻击做准备
常见的漏洞扫描技术有CGI漏洞扫描、弱口令扫描、操作系统漏洞扫描、数据库漏洞扫描等
代理技术
网络攻击者通过免费代理服务器进行攻击,其目的是以代理服务器为“攻击跳板”,即使攻击目标的网络管理员发现了,也难以追踪到网络攻击者的真实身份或IP地址
为了增加追踪的难度,网络攻击者还会用多级代理服务器或者“跳板主机”来攻击目标,在黑客中,代理服务器被叫作“肉鸡”,黑客常利用所控制的机器进行攻击活动,例如DDOS攻击。
数据加密
网络攻击者常常采用数据加密技术来逃避网络安全管理人员的追踪
加密使网络攻击者的数据得到有效保护,即使网络安全管理人员得到这些加密的数据,没有密匙也无法读懂,这样就实现了攻击者的自身保护
攻击者的安全原则是,任何与攻击有关的内容都必须加密或者立刻销毁
2.4黑客常用工具
扫描器
扫描器正如黑客的眼睛,通过扫描程序,黑客可以找到攻击目标的IP地址、开放的端口号,服务器运行的版本,程序中可能存在的漏洞等
根据不同的扫描目的
地址扫描器
端口扫描器
漏洞扫描器
几种经典的扫描软件
NMAP即网络地图,通过NMap可以检测网络上主机的开放端口号,主机的操作系统类型以及提供的网络服务
Nessus早期是免费的、开放源代码的远程安全扫描器,可运行在Linux操作系统平台上,支持多线程和插件
SuperScan是一款具有TCP conect端口扫描、Ping和域名解析等功能的工具,能较容易地对指定范围内的IP地址进行Ping和端口扫描
远程监控
受害机器通常被称为“肉鸡”,其经常被用于发起DDOS拒绝服务攻击或作为攻击跳板
常见的远程监控工具有冰河、网络精灵、Netcat
密码破解
常见的密码破解方式有口令猜测、穷举搜索、撞库等
口令猜测主要针对用户的弱口令
穷举搜索就是针对用户密码的选择空间,使用高性能计算机,逐个尝试可能的密码,甚至搜索到用户的密码
撞库则根据已经收集到的用户密码的相关数据集,通过用户关键词搜索匹配,与目标系统的用户信息进行碰撞,以获取用户的密码
密码破解的常见工具
John the Ripper用于检查Unnix/Linux系统的弱口令,支持几乎所有Unix平台上经crypt函数加密后的口令哈希类型
LophCrack常用于破解Windows系统口令,含有词典攻击、组合攻击、强行攻击等多种口令猜解方法
网络嗅探器
是一种黑客攻击工具,通过网络嗅探,黑客可以截获网络的信息包,之后对加密的信息包进行破解,进而分析包内的数据,获得有关系统的信息
常见的网络嗅探器工具
Tepdump:是基于命令行的网络数据包分析软件,可以作为网络嗅探工具,能把匹配规则的数据包内容显示出来
WireShark:则提供图形化的网络数据包分析功能,可视化的展示网络数据包的内容
DSniff:是由Dug Song开发的一套包含多个工具的软件套件,包括dsniff、filesnarf、msgsmarf、rlsnarf和websp
安全渗透工具箱
Metasploit:是一个开源渗透测试工具,提供漏洞查找,漏洞利用,漏洞验证等服务功能,Metasploit支持1500多个漏洞挖掘利用,提供OWASP TOP10漏洞测试
BackTrack5:BackTrack集成了大量的安全工具软件,支持信息收集、漏洞评估、漏洞利用、特权提升、保持访问、逆向工程、压力测试
2.5网络攻击案例分析
DDOS攻击
2000年春季黑客利用分布式拒绝服务攻击大型网站,导致大型ISP服务机构Yahoo的网络服务瘫痪。攻击者为了提高拒绝服务攻击的成功率,需要控制成百上千的被入侵主机
DDOS的整个攻击过程
通过探测扫描大量主机,寻找可以进行攻击的目标
攻击有安全漏洞的主机,并设法获取控制权
在已攻击成功的主机中安装客户端攻击程序
利用已攻击成功的主机继续进行扫描和攻击
当攻击客户端达到一定的数目后,攻击者在主控端给客户端攻击程序发布向特定目标进行攻击的命令
DDOS常用的攻击技术手段
HTTP Fiood攻击——是利用僵尸主机向特定目标网站发送大量的HTTP GET请求,以导致网站瘫痪
SYN Flood攻击——利用TCP/IP协议的安全缺陷,伪造主机发送大量的SYN包到目标系统,导致目标系统的计算机网络瘫痪
DNS放大攻击——是攻击者假冒目标系统向多个DNS解析服务器发送大量请求,而导致DNS解析服务器同时应答目标系统,产生大量网络流量,形成拒绝服务
W32.Blaster.Worm
——是一种利用DCOM RPC漏洞进行传播的网络蠕虫,传播能力很强
0 条评论
下一页
