信息安全工程师综合知识大纲考点：网络攻击常见技术方法

当前位置：信管网 >> 信息安全工程师 >> 综合知识 >> 文章内容

来源：信管网 2022年09月08日【所有评论】

信息安全工程师综合知识大纲考点：网络攻击常见技术方法

【考点分析】：重点，理解掌握。内容比较多，不是说要完全记下来，主要是理解，重点掌握端口扫描、恶意代码、拒绝服务攻击。

【考点内容】：

网络攻击常见技术方法有：端口扫描、口令破解、缓冲区溢出、恶意代码、拒绝服务、网络钓鱼、网络窃听、SQL注入、社交工程(社会工程学)、电子监听、会话劫持、漏洞扫描、代理技术、数据加密技术。

一、端口扫描：

1、目的：找出目标系统上提供的服务列表

2、原理：端口扫描程序挨个尝试与TCP/UDP连接端口，然后根据端口与服务的对应关系，结合服务器端的反应推断目标系统上是否运行了某项服务，攻击者通过这些服务可能获得相关目标系统的进一步信息或通往目标系统的途径。

3、拓展：在TCP的首部报文中有六个标志比特，按照在报文中的顺序分别是URG(紧急指针有效)、ACK(1时表示确认序号有效)、PSH(为1表示接收方应尽快将这个报文交给应用层，为0表示不需要立即传、而是先进行缓存)、RST(为1时表示TCP连接异常，必须强制断开连接，然后重新连接)、SYN(同步序号用来发起一个连接)、FIN(表示关闭连接)

4、类型：

(1)完全连接扫描：利用TCP/IP协议的三次握手连接机制，使源主机和目的主机的某个端口建立一次完整的连接。如果建立成功，则表明该端口开放;否则表明该端口关闭。(准确度高、容易被防火墙和IDS检测到、在目标主机的日志中会记录有大量的链接请求以及错误信息)

(2)半连接扫描：源主机和目的主机的三次握手连接过程中，只完成了前两次握手，不建立一次完成的连接。

(3)SYN扫描：

首先向目标主机发送连接请求，当目标主机返回响应后，立即切断连接过程，并查看响应情况。如果目标主机返回ACK信息，表示目标主机的该端口开放。如果目标主机返回RESET信息，表示该端口没有开放。

由于三次握手没有完成，tcp连接是没有正常进行的，因此，这次扫描就不会被记录到系统日志中。这种扫描技术一般不会在目标主机上留下扫描痕迹。但是这种扫描需要有root权限。

(4)ID头信息扫描：

需要用一台第三方机器配置扫描，并且这台机器的网络通信量要非常少，即dumb 主机。dumb主机(哑主机)：不太活跃的主机，类似于这个服务器上没有什么服务，被别人空置的主机(ID头信息扫描需要dump主机的配合)。

首先由源主机A向Dumb主机B发出连续的PING数据包，并且查看主机B返回的数据包的ID头信息。一般而言，每个顺序数据包的ID头的值会增加1.然后由源主机A假冒主机B的地址向目的主机C的任意端口(1~65535)发送SYN数据包。这时，主机C向主机B发送的数据包有两种可能的结果：

SYN/ACK∶表示该端口处于监听状态。

RST/ACK∶表示该端口处于非监听状态。

从后续的PING数据包的响应信息的ID头信息可以看出，如果主机C的某个端口是开放的，则主机B返回A的数据包中，ID头的值不是递增1，而是大于1;反之端口关闭。

(5)隐蔽扫描：隐蔽扫描是指能够成功绕过IDS(intrusion detction system 入侵检测系统)、防火墙和监视系统等安全机制，取得目标主机端口信息的一种扫描方式

(6)SYN/ACK扫描：源主机向目标主机的某个端口直接发送SYN/ACK数据包，而不是先发送SYN数据包，目标主机接收时会认为这是一次错误的连接，从而会报错。

发送SYN/ACK数据包，不返回信息则端口开放，返回RST信息，则端口关闭

(7)FIN扫描：源主机A向目标主机B发送FIN数据包，不返回信息则端口开放，返回RESET信息则端口关闭

(8)ACK扫描：首先由主机A向目标主机B发送FIN数据包，然后查看反馈数据包的TTL值和WIN值，开放端口所返回的数据包的TTL值一般小于64，而关闭端口的返回值一般大于64.开放端口所返回的WIN值一般大于0，而关闭端口的返回值一般等于0。

(9)NULL扫描：将发送数据包中的ACK、FIN、RST、SYN、URG、PSH等标志位置空，不返回信息则端口开放，返回RST信息则端口关闭

(10)XMAS扫描：将发送数据包中的ACK、FIN、RST、SYN、URG、PSH等标志位设置成1，不返回信息则端口开放，返回RST信息则端口关闭

二、口令破解

口令机制是资源访问控制的第一道屏障，网络攻击者常以破解用户的弱口令作为突破口，获取系统的访问权限。主要工作流程如下：

第一步，建立与目标网络服务的网络连接;

第二步，选取一个用户列表文件及字典文件

第三步，在用户列表文件及字典文件中，选取一组用户和口令，按网络服务协议规定，将用户名及口令发送给目标网络服务端口;

第四步，检测远程服务返回信息，确定口令尝试是否成功;

第五步，再取另一组用户和口令，重复循环试验，直至口令用户列表文件及字典文件选取完毕。

三、缓冲区溢出

缓冲区溢出可以使攻击者有机会获得一台主机的部分或全部的控制权。

1、基本原理：向缓冲区中写入超长的、预设的内容，导致缓冲区溢出，覆盖其他正常的程序或数据，然后让计算机转去运行这行预设的程序，达到执行非法操作、实现攻击的目的。

2、防范策略：

系统管理上防范：关闭不需要的特权服务;及时给程序漏洞打补丁

软件开发过程中防范：填写正确代码;缓冲区不可执行;改进C语言函数库

漏洞防范：地址空间随机化技术;数据执行阻止;堆栈保护

四、恶意代码

恶意代码是指为达到恶意目的而专门设计的程序或代码，是指一切旨在破坏计算机或者网络系统可靠性、可用性、安全性和数据完整性或者损耗系统资源的恶意程序。

常见的恶意代码类型有：计算机病毒、网络蠕虫、特洛伊木马、后门、逻辑炸弹、僵尸网络等。

大家要了解下常见的恶意代码及其前缀，因为选择题有时候会考XXX属于哪种恶意代码。

感染文件病毒：jerusalem、cascade

感染引导区病毒：Michelangelo、Stoned

宏病毒：Marker、Melissa

蠕虫：Blaster、SQL Slammer

五、拒绝服务攻击

拒绝服务攻击(Denial of Service)的主要是指攻击者借助于网络系统或网络协议的缺陷和配置漏洞等系统缺陷执行一些恶意的操作，使得合法的系统用户不能及时得到应得的服务或系统资源，如CPU处理时间、存储器、网络宽带等。

1、拒绝服务攻击实质上的方式有两个：

(1)服务器的缓冲区满、不接受新的请求

(2)IP欺骗迫使服务器把合法用户的连接复位，影响合法用户连接，也是dos攻击实施的基本思想

2、拒绝服务具有以下特点：

(1)难确认性，拒绝服务攻击很难判断，用户在自己的服务得不到及时响应时，并不认为自己(或者系统)受到攻击，反而可能认为时系统故障造成一时的服务失效

(2)隐蔽性，正常请求服务隐藏拒绝服务攻击的过程

(3)资源有限性，由于计算机资源有限，容易实现拒绝服务攻击

(4)软件复杂性，由于软件所固有的复杂性，设计实现难以确保软件没有缺陷。因而攻击者有机可乘，可以直接利用软件缺陷进行拒绝服务攻击，如泪滴攻击。

3、拒绝服务攻击的种类：

拒绝服务攻击的种类：同步包风暴(SYN Flood)、UDP洪水(UDP Flodd)、Smurf攻击、垃圾邮件、消耗CPU和内存资源的拒绝服务攻击、死亡之ping(ping ofdeath)、泪滴攻击(Teardrop Attack)、分布式拒绝服务攻击(Distributed Denial of Service)

(1)同步包风暴(SYN Flood)：攻击者伪造源ip(Source IP)发送多个同步数据包(标志位SYN为1)给服务器，收到数据包后服务器会向伪造的源Ip发送 SYN | ACK数据包，但却无法再收到确认的ACK数据包，会一直等待直至超时，导致tcp/ip协议的三次握手无法顺利完成。其原理就是发送大量的半连接状态的服务请求，通过占用目标系统的大量资源，影响其的正常运作。

(2)UDP洪水(UDP Flodd)：攻击者将UDP数据包发送到目标系统的服务端口上，通常是诊断回送服务Echo，因为此服务一般默认开启。若目标系统开启了此服务，就会回应一个带有原始数据内容的UDP数据包给源地址主机。若目标系统没有开启此服务，就会丢弃攻击者发送的数据包，可能会回应ICMP的“目标主机不可达”类型消息给攻击者。但是无论服务有没有开启，攻击者消耗目标系统链路容量的目的已经达到。几乎所有的UDP端口都可以作为攻击目标端口。

(3)Smurf攻击：是发生在网络层的Dos攻击。较为简单的Smurf攻击是将回复地址设置成目标网络广播地址的ICMP应答请求数据包，是该网络的所有聚集都对此ICMP应答请求做出应答，导致网络阻塞，比ping of death的流量高出一或两个数量级。更加复杂的Smurf攻击是将源地址改为第三方目标网络，最终导致第三方网络阻塞。

(4)垃圾邮件：利用邮件系统制造垃圾信息，甚至通过专门的邮件炸弹(mail bomb)程序给受害者的信箱发送垃圾短信，耗尽用户信箱的磁盘空间，使用户无法应用这个邮箱。

(5)消耗CPU和内存资源的拒绝服务攻击：利用目标系统的计算机算法漏洞，构造恶意输入数据集，导致目标系统CPU或内存资源耗尽，从而是目标系统瘫痪，如Hash DoS。

(6)死亡之ping(ping ofdeath)：ICMP报文长固定(64KB)，很多操作系统只开辟64KB的缓冲区用于存放ICMP数据包。如果ICMP数据包的实际尺寸超过64KB，就会残生缓冲区溢出，导致TCP/IP协议栈崩溃，造成主机重启或死机，从而达到拒绝服务攻击的目的。

(7)泪滴攻击(Teardrop Attack)：将碎片数据包发送到目标机器，由于接收这些数据包的机器由于TCP / IP碎片重组错误而无法重新组装，因此数据包相互重叠，导致目标网络设备崩溃。这通常发生在较早的操作系统上。

(8)分布式拒绝服务攻击(Distributed Denial of Service)∶是对传统DoS攻击的发展，攻击者首先侵入并控制一些计算机，然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击从而成倍地提高拒绝服务攻击的威力。目的是消耗目标服务器性能或网络带宽，从而造成服务器无法为用户正常地提供服务。

六、网络钓鱼

网络钓鱼(Phishing)是通过假冒可信方(如银行等)提供网上服务，以欺骗手段获取敏感个人信息(如口令、信用卡信息等)的攻击方式。最典型的钓鱼方法是，利用欺骗性的电子邮件和伪造的网站来进行诈骗活动。

目的：获取敏感数据：用户名、口令、账号ID等

防范：申请并安装数字证书、规范使用操作等

七、网络窃听

网络窃听是指利用网络通信技术缺陷，使得攻击者能够获取到其他人的网络通信信息。

常见技术手段：网络嗅探、中间人攻击

网络攻击者将主机网络接口的方式设为“杂乱”模式，就可以接收整个网络上的信息包，从而获取敏感口令，甚至将其重组，还原为用户传递的文件。

八、SQL注入

在web服务器中，一般采用三层架构模式(浏览器+web服务器+数据库)。其中web脚本程序负责处理来自浏览器端提交的信息(如用户登录名、密码、查询请求等)。但是，由于web脚本程序的编程漏洞，对来自于浏览器端的信息缺少输入安全合法性检查，导致攻击者吧SQL命令插入web表单的输入域或页面的请求查找字符串，欺骗服务器执行恶意的SQL命令。

九、社交工程

网络攻击通过一系列的社交活动，获取需要的信息(说的通俗一点，就是诈骗)。例如攻击者打电话给公司职员，自称是网络管理员，并且要求获得用户口令。

十、电子监听

网络攻击者采用电子设备远程距离监控电磁波的传送过程。灵敏的无线电收集装置能狗仔远处看到计算机操作者输入的字符或屏幕显示的内容。

十一、会话劫持

会话劫持指攻击者在初始授权之后建立一个连接，在会话劫持以后，攻击者具有合法用户的特权权限。如“TCP会话劫持”。

十二、漏洞扫描

漏洞扫描是一种自动检测远程或本地主机安全漏洞的软件，通过漏洞扫描器可以自动发现系统的安全漏洞。

常见的漏洞扫描技术：CCI漏洞扫描、弱口令扫描、操作系统漏洞扫描、数据库漏洞扫描等

十三、代理技术

代理技术指攻击者通过代理服务器进行攻击，其目的是以代理服务器为“攻击跳板”，即使攻击者的攻击行为被发现，也难以追踪攻击者的真实身份或IP地址。黑客常利用所控制的机器当做代理服务器(肉鸡)，进行DDoS攻击。

十四、数据加密