网络攻击常见技术方法(14种)
1.端口扫描
目的:逐个尝试与TCP/UDP 端口连接,然后根据端口与服务的对应关系,结合服务器的反馈,推断目 标系统上是否运行了某项服务。
| 端口扫描类型 | 内容 |
| 完全连接扫描 | 利用TCP/IP协议的三次握手连接机制,使源主机和目的主机的某个端口建立一次完整的连接。如果 建立成功,则表明该端口开放。否则,表明该端口关闭。 |
| 半连接扫描/SYN扫描 | 源主机和目的主机的三次握手连接过程中,只完成前两次握手,不建立一次完整的连接。 |
| ID头信息扫描 | 需要用一台第三方机器配置扫描,并且这台机器的网络通信量要非常少,即dumb主机。(哑主机) |
| 隐蔽扫描 | 是指能够成功地绕过IDS、防火墙和监视系统等安全机制,取得目标主机端口信息的一种扫描方式。 |
| SYN|ACK扫描 | 由源主机向目标主机的某个端口直接发送SYN|ACK数据包,而不是先发送SYN数据包。由于这种方 法不发送SYN数据包,目标主机会认为这是一次错误的连接,从而会报错。如果目标主机的该端口 没有开放,会返回RST信息;如果该端口开放(LISTENING),则不会返回任何信息,而是直 接将 这个数据包抛弃掉。 |
ID头扫描
■ 首先由源主机A 向dumb 主机B发出连续的PING 数据包,并且查看主机B返回的数据包的ID头信息。一 般而言,每个顺序数据包的ID头的值会加1,然后由源主机A假冒主机B的地址向目的主机C的任意端 口(1-65535)发送SYN 数据包。
■ 如果主机C端口是关闭的,那么B返回A 的数据包中ID头的值递增1,非常规律
■ 如果主机C端口是开放的,那么B返回A 的数据包中ID头的值不是递增1,而是大于1
目的:逐个尝试与TCP/UDP 端口连接,然后根据端口与服务的对应关系,结合服务器的反馈,推断目 标系统上是否运行了某项服务。
2.口令破解
| 端口扫描类型 | 内容 |
| FIN扫描 | 源主机A向目标主机B发送FIN数据包,然后查看反馈消息。如果端口返回RESET信息,则说明该端口关闭 如果端口没有返回任何消息,则说明端口开放。 |
| ACK扫描 | 首先由主机A向目标主机B发送FIN数据包,然后查看反馈数据包的TTL值和WIN值,开放端口所返回的数 据包的TTL值一般小于64,而关闭端口的返回值一般大于64,开放端口所返回的WIN值一般大于0,而关 闭端口的返回值一般等于0。 |
| NULL扫描 | 将源主机发送的数据包中的ACK,FIN,RST,SYN,URG、PSH等标志位全部置空。如果目标主机没有 返回任何信息,则表明该端口是开放的。如果返回RST信息,则表明该端口是关闭的。 |
| XMAS扫描 | 原理和NULL扫描相同,将要发送的数据包中的ACK,FIN,RST,SYN,URG,PSH等标志位全部置1, 如果目标主机没有返回任何信息,则表明该端口是开放的。如果返回RST信息,则表明该端口是关闭的。 |
3.缓冲区溢出
■网络攻击者常常以破解用户的弱口令作为突破口,获取系统的访问权限。主要流程:
·①建立与目标网络服务的网络连接;
·②选取一个用户列表文件及字典文件;
·③在用户列表文件及字典文件中,选取一组用户和口令,按网络服务协议规定,将用户名及口令发送给目标
网络服务端口;
·④检测远程服务返回信息,确定口令尝试是否成功;
·⑤再取另一组用户和口令,重复循环试验,直至口令用户列表文件及字典文件选取完毕。
■缓冲区溢出攻击是一种通过往程序的缓冲区写超出其长度的内容,造成缓冲区溢出,从而破坏程序的 堆栈,使程序转而执行其他预设指令,以达到攻击目的的攻击方法。
■基本原理:向缓冲区中写入超长的、预设的内容,导致缓冲区溢出,覆盖其他正常的程序或数据,然
后让计算机转去运行这行预设的程序,达到执行非法操作、实现攻击的目的。
图2-1 通过缓冲区溢出获取主机的控制权
4.恶意代码
■恶意代码是指为达到恶意目的而专门设计的程序或代码,指一切旨在破坏计算机或者网络系统可靠性、 可用性、安全性和数据完整性或者损耗系统资源的恶意程序。常见的恶意代码类型有计算机病毒、网络
蠕虫、特洛伊木马、后门、逻辑炸弹、僵尸网络等。
· 网络蠕虫特点:具有复制传播功能,代表:红色代码、震网。
5.拒绝服务
■ 拒绝服务攻击DOS(Denial of Service)原理:攻击者恶意消耗系统资源 (CPU、 内存、硬盘、网络 带宽等),导致目标系统不能为正常用户提供服务。
| 典型DOS攻击 | 内容 |
|---|---|
| 同步包风暴 (SYN Flood) | 利用TCP协议缺陷发送大量伪造的TCP连接请求,使得被攻击者资源耗尽。三次握手, 进行了两次,不进行第三次握手,连接队列处于等待状态,大量这样的等待,会占满全 部队列空间,使得系统挂起。 |
| UDP Flood | 攻击主机持续发送海量UDP报文,消耗完目标主机端的网络带宽。 |
| Smurf攻击 | 攻击者伪装目标主机向局域网的广播地址发送大量欺骗性的ICMP请求,这些包被放大, 并发送到被欺骗的地址,大量的计算机向一台计算机回应ECHO包,目标系统会崩溃。 |
| 垃圾邮件 | 攻击者通过邮件炸弹程序给受害者发送垃圾信息,耗尽用户信箱的磁盘空间。 |
| 消耗CPU和内存资源的DOS | 利用目标系统的计算算法漏洞,构造恶意输入数据集,导致目标系统的CPU或内存资源耗尽,从而 使目标系统瘫痪,如Hash DoS。 |
| Ping of Death攻击 | 攻击者故意发送大于65535字节的IP数据包给对方,导致内存溢出这时主机会出现内存分配错误而 导致TCP/IP堆栈崩溃,导致死机。 |
| Teardrop泪滴攻击 | 分段攻击,伪造数据报文向目标主机发送含有重叠偏移的数据分段,通过将各个分段重叠来使目标 系统崩溃或挂起。 |
| DDOS分布式拒绝服务攻击 | 攻击者从多个已入侵的跳板主机控制数个代理攻击主机,所以攻击者可同时对已控制的代理攻击主 机激活干扰命令,对受害主机大量攻击。 |
| Winnuke攻击 | 针对windows139端口,只要向该端口发送1字节的TCPOOB数据(TCP连接的一种特殊数据,设置 了URG标志,优先级更高),就可以使windows系统出现蓝屏错误,并且网络功能完全瘫痪。 |
| Land攻击 | 利用三次握手的缺陷进行攻击,将SYN数据包的源地址和目的地址都设置为目标主机的地址,目标 主机向自己回以SYN+ACK包,导致自己又给自己回一个ACK并建立自己与自己的连接,当这种无 效连接达到一定的数量,目标主机将会拒绝新的连接请求 |
6.网络钓鱼
网络钓鱼(Phishing, 与fishing发音相近得名)是一种通过假冒可信方(知名银行、在线零售商和信用 卡公司等可信的品牌)提供网上服务,以欺骗手段获取敏感个人信息(如口令、信用卡详细信息等)的 攻击方式。网络钓鱼者利用欺骗性的电子邮件和伪造的网站来进行诈骗活动,诱骗访问者提供一些个人 信息,以谋求不正常的利益。
7.网络窃听
网络窃听:是指利用网络通信技术缺陷,使得攻击者能够获取到其他人的网络通信信息。常见的网络窃听技术手段主要有网络嗅探、中间人攻击。网络攻击者将主机网络接口的方式设成“杂乱”模式,就可 以接收整个网络上的信息包,从而可以获取敏感口令,甚至将其重组,还原为用户传递的文件。
8.SQL 注入
SQL注入攻击:在 Web服务中,一般采用三层架构模式,浏览器+Web服务器+数据库。其中,WEB脚 本程序负责处理来自浏览器端提交的新东西。但是由于WEB 脚本程序的编程漏洞,对来自浏览器端的信 息缺少输入安全合法性检查,网络攻击者利用这个漏洞,把SQL命令插入WEB表单的输入域或页面的请 求查找字符串,欺骗服务器执行恶意的SQL 命令。
9.社交工程
社交工程:网络攻击者通过一系列的社交活动,获取需要的信息。例如伪造系统管理员的身份,给特定 的用户发电子邮件骗取他的密码口令。有的攻击者会给用户送免费实用程序,不过该程序除了完成用户 所需的功能外,还隐藏了一个将用户的计算机信息发送给攻击者的功能。 (杀猪盘)
10. 电子监听
电子监听:网络攻击者采用电子设备远距离地监视电磁波的传送过程。灵敏的无线电接收装置能够在远 处看到计算机操作者输入的字符或屏幕显示的内容。
11.会话劫持
会话劫持:是指攻击者在初始授权之后建立一个连接,在会话劫持以后,攻击者具有合法用户的特权权 限。如 “TCP会话劫持”。
12.漏洞扫描
漏洞扫描:是一种自动检测远程或本地主机安全漏洞的软件,通过漏洞扫描器可以自动发现系统的安全 漏洞。常见的漏洞扫描技术有CGI漏洞扫描、弱口令扫描、操作系统漏洞扫描、数据库漏洞扫描等。
13.代理技术
代理技术:网络攻击者通过免费代理服务器进行攻击,其目的是以代理服务器为“攻击跳板”,即使攻击目标的网络管理员发现了,也难以追踪到网络攻击者的真实身份或IP 地址。为了增加追踪的难度,网络 攻击者还会用多级代理服务器或者“跳板主机”来攻击目标。代理服务器被叫做“肉鸡”,黑客常利用 所控制的机器进行攻击活动,如DDOS攻击。
14.数据加密
数据加密:网络攻击者常常采用数据加密技术来逃避网络安全管理人员的追踪。加密使网络攻击者的数 据得到有效保护,即使网络安全管理人员得到这些加密的数据,没有密钥也无法读懂,这样就实现了攻 击者的自身保护。攻击者的安全原则是,任何与攻击有关的内容都必须加密或者立刻销毁。