网络攻防复习（仅供参考）

admin 管理员组

文章数量: 887007

第二章 概述

1.安全的基本属性（CIA）：保密性confidentiality、完整性integrity、可用性availablility

2.网络空间安全依赖于信息安全( Information security)、应用安全( Application security) 、网络安全( Network security )和因特网安全( Internet security )

3.网络空间安全的主要威胁

内部威胁包括设备缺陷及故障、系统漏洞、技术人员的不安全行为等。

外部威胁则是指一些恶意软件、木马、病毒等。

4.网络攻击流程

5.网络攻防模型

高抽象模型: Lockheed Martin的Cyber Kill Chain模型、Microsft 的STRIDE模型等

中抽象模型: Mitre 的ATT&CK模型

低抽象模型:漏洞数据集、恶意软件数据集等

攻击模型

（1）Microsft 的STRIDE模型

属性：认证、完整性、不可抵赖性、机密性、可用性、授权

威胁：假冒、篡改、否认 、信息泄露、拒绝服务、权限提升

（2）Mitre 的ATT&CK

（3）攻击树模型

根节点表示攻击者的最终目标，子节点表示攻击者达成目标的不同途径，叶节点表示攻击者需要实现的具体行动。

防御模型

（1）PDRR模型

PDRR模型是一个最常用的网络安全模型。PDRR 就是4个英文单词的头一个字母:Protection、Detection 、Response和Recovery，即保护，探测，响应，恢复。这四个部分组成了一个动态的信息网络安全响应周期。

（2）纵深防护模型

它从各个层面中(包括主机、网络、系统边界和支撑性基础设施等)，根据信息资产保护不同等级通过实现预警、保护、检测、反应和恢复这五个安全内容。

（3）等级保护模型

网络等级保护的实质内容通过多级安全实现。

多级安全的要求是，一个通信设施能够同时进行不同安全等级的数据通信，并且某安全级别网络上的数据能同时与较低和较高安全级别网络进行通信。

6.网络空间运行体系的组成要素可被分为 4 种类型：载体、资源、主体和操作。

第三章 法律法规

1.等级保护分为五个等级。

2.等级保护对象流程：定级、备案、建设整改、等级测评、监督检查

3.按照可操作程度，策略文件体系分为四级。自顶向下逐步细化，可操作性逐步增强

总体安全策略(一级) ;

规范、流程与管理办法(二级) ;

指南、手册及细则(三级) ;

记录、表单(四级)。

第四章 扫描和嗅探

网络扫描是对计算机系统或其他网络进行安全相关的检测，可以检测出目的网络或本地主机的安全性脆弱点。

网络嗅探是指在网络中截获传输的数据包，被动地进行数据收集的技术，主要应用于局域网环境。

一、端口扫描（属于漏洞扫描的一种）

1.端口范围：0-65535

21：FTP

22：SSH

80/8080：HHTP

443：HTTPS

2.端口扫描的分类

（1）ICMP扫描

网际控制报文协议ICMP ( Internet Control Message Protocol ); 允许主机或路由器报告差错情况和提供有关异常情况的报告，封装在IP数据报内部。

ICMP Echo扫描:扫描精度较高。通过向目标主机发送ICMP Echo Request数据包，并等待回复的ICMPEchoReply包，可判断一个网络的主机是否开机，如Ping命令。

ICMP Sweep扫描:并发性扫描，使用ICMP Echo Request一次探测多个目标主机。探测效率高，适用于大范围的评估。

Broadcast ICMP扫描:设置ICMP请求包的目标地址为广播地址或网络地址，可以探测广播域或整个网络范围内的主机，子网内所有存活主机都会给予回应。但这种情况只适合于UNIX/Linux系统。

（2）TCP扫描

TCP Connect扫描（全连接扫描）

过程：

①Client端发送SYN ;

②Server端返回SYN/ACK，表明端口开放;

③Client端返回ACK，表明连接已建立;

④Client端主动断开连接。

优点:实现简单，对操作者的权限没有严格要求

缺点:是会在目标主机的日志记录中留下痕迹，易被发现，并且数据包会被过滤掉。

TCP SYN扫描（半连接扫描）

过程：

端口开放:

①Client发送SYN

②Server端发送SYN/ACK

③Client发送RST断开(只需要前两步就可以判断端口开放)

端口关闭:

①Client发送SYN

②Server端回复RST (表示端口关闭)

优点: SYN扫描要比TCP Connect()扫描隐蔽一些，SYN 仅仅需要发送初始的SYN数据包给目标主机，如果端口开放则相应SYN-ACK数据包;如果关闭，则响应RST数据包。

（3）UDP扫描

3.nmap

Nmap 以检测目标机是否在线、端口开放情况、侦测运行的服务类型及版本信息、侦测操作系统与设备类型等信息。

扫描特定地址：nmap IP

扫描一个段主机的在线情况：namp -sP

TCP Connect扫描：nmap -sT

TCP SYN扫描：nmap -sS

操作系统检测：sudo nmap -O

二、漏洞扫描

1.Oday漏洞:指已经被发现(有可能未被公开)而官方还没有相关补丁的漏洞，即系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。

漏洞库:是网络安全隐患分析的核心，收集和整理漏洞信息，建设漏洞库有十分重要的意义。

2..漏洞扫描主要技术：Ping扫描、端口扫描、OS 探测、脆弱性探测、防火墙扫描

三、后台扫描（属于漏洞扫描的一种）

网站后台扫描工具一般都利用后台目录字典进行暴力破解扫描，字典越多，扫描的结果也越多，通常通过扫描到的页面状态码判断页面状态。

四、网络嗅探和网络协议

1.网络嗅探是指在网络中截获传输的数据包，被动地进行数据收集的技术，主要应用于局域网环境。与主动扫描相比，网络嗅探更难以被察觉，能够对网络中的活动进行实时监控。

2.一个网络接口使用网卡的接收模式如下:

广播模式:网卡能够接收网络中所有类型为广播报文的数据帧。

组播模式:网卡能够接收特定的组播数据。

直接模式:网卡在工作时只接收目的地址匹配本机MAC地址的数据帧。

混杂模式:该模式下的网卡对数据帧中的目的MAC地址不加任何检查，并将其全部接收。将网卡设置为混杂模式，网卡将会接收所有传递的数据包，从而实现网络嗅探。

第五章 欺骗

两台计算机之间进行友好的互相交流是建立在两个前提之下，即认证和信任。

一、IP欺骗

IP欺骗就是向目标主机发送源地址为非本机IP地址的数据包，从而实现拒绝服务攻击、伪造TCP连接、会话劫持攻击、隐藏攻击主机地址等。基本表现形式主要有两种：

攻击者伪造的IP地址不可到达或根本不存在。用于迷惑目标主机上的入侵检测系统，或者对目标主机，进行DoS攻击。

攻击者冒充被信任IP，获得对目标主机的访问权，并可以进一步进行攻击。

1.IP源地址欺骗

原理: IP 协议在设计时只是用数据包中的目标地址进行路由转发，而不对源地址进行真实性验证。

过程：

2.会话劫持

会话劫持就是接管一个现存动态会话的过程，攻击者可以在双方会话当中进行监听,也可以在正常的数据包中插入恶意数据，甚至可以替代某一方主机接管会话。

原理：在通讯过程中，双方的序列号是相互依赖的，所以，会话劫持的关键是预测正确的序列号，攻击者可以采取嗅探技术获得这些信息。

3.IP欺骗防御

（1）防范基本的IP欺骗攻击：在路由器内置入口和出口欺骗过滤器。

两种过滤器类型:

入口过滤:不允许任何从外面进入网络的数据包使用单位的内部网络地址作为源地址。入口过滤能够使单位的网络不成为欺骗攻击的受害者。

出口过滤:检查向外网发送的数据包，确信源地址是来自本单位局域网的一个地址。用于阻止有人使用内部网络的计算机向其他的站点发起攻击。

（2）防范会话劫持攻击：只能通过对通信数据进行加密和使用安全协议。

二、ARP欺骗

1.原理：仿冒网关。攻击者发送伪造的网关ARP报文，可广播给同网段内的所有其他主机。主机访问网关的流量，被重定向到错误的MAC地址，无法正常访问外网

2.检测：网络频繁掉线;网速变慢;使用ARP -a命令发现有重复的MAC地址条目，或者有网关MAC地址不正确;局域网内抓包发现很多ARP响应包

3.防护：

(1 )设置静态的ARP缓存表，不让主机刷新设置好的缓存表，手动更新缓存表中的记录

(2)将IP和MAC两个地址绑定在一起，不能更改。

(3)划分多个范围较小的VLAN，一个VLAN内发生的ARP欺骗不会影响到其他VLAN内的主机通信，缩小ARP欺骗攻击影响的范围。

(4)一旦发现正在进行ARP欺骗攻击的主机，及时将其隔离。

(5)使用具有防御ARP欺骗攻击的防火墙进行监控

三、DNS欺骗

1.过程：

(1)攻击者通过向攻击目标以一定的频率发送伪造的ARP响应数据包改写目标主机的ARP缓存表中的内容，并通过IP续传方式使数据包通过攻击者的主机流向目标主机，攻击者再配以网络嗅探器软件监听DNS请求包，获得解析请求的ID和端口号。

(2 )取得解析请求的ID和端口号后，攻击者立即向攻击目标主机发送伪造的DNS响应数据包，目标主机收到后确认响应的ID和端口号无误,就会以为收到了正确的DNS响应数据包，而实际地址很可能被导向攻击者想让用户访问的恶意网站。

2.防护：

(1)使用最新版本的DNS服务器软件，并及时安装补丁。

(2)关闭DNS服务器的递归功能。

(3)保护内部设备。

(4)直接使用IP地址访问。

四、网络钓鱼技术

1.基于伪基站的短信钓鱼

2.克隆钓鱼

3.WIFI钓鱼

第六章 拒绝服务

1.拒绝服务( Denial of Service ，DoS )就是用超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源，致使网络服务瘫痪、目标主机不能提供正常的服务的一种攻击手段。

2.分布式拒绝服务( Distributed Denial of Service， DDoS )攻击是DoS的特例，借助于客户/服务器技术将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击。攻击者-主控段-代理端

3.DOS攻击方式分类（泛洪攻击、畸形报文攻击、扫描探测类攻击、连接型攻击）

泛洪攻击：虚假请求。SYN洪水攻击、UDP 洪水攻击、HTTP洪水攻击

畸形报文攻击：缺陷报文。Frag洪水攻击、Stream 洪水攻击、Land洪水攻击、Smurf 攻击、IP畸形包、TCP 畸形包、UDP 畸形包。

扫描探测类攻击：扫描探测类报文。Fraggle攻击和UDP诊断端口攻击。

连接型攻击：连接并发数达到上限。Loic、Hoic、Slowloris 、Pyloris 、Xoic 等慢速攻击

4.攻击对象分类：攻击系统资源、攻击网络带宽资源、攻击应用资源

5.常见攻击

（1）UDP 洪水攻击

UDP 反射放大攻击有两个特点，一是属于UDP协议，二是目的端口号固定。UDP 反射放大攻击的原理类似，以常见的NTP ( Network Time Protocol)反射放大攻击为例，其有两个关键点:反射和放大。将请求包的源IP地址篡改为攻击目标的IP地址,最终服务器返回的响应包就会被送到攻击目标，消耗服务器资源，形成反射攻击。

（2）HTTP洪水攻击

俗称CC攻击，前身为FatBoy攻击。攻击者利用大量的受控主机不断向Web服务器发送大量恶意的HTTP请求，完全占用了Web服务器的资源，造成其他正常用户的Web访问请求处理缓慢、设置得不到处理,最终导致拒绝服务。

攻击者通过不断与服务器新建SSL/TLS协议握手，或建立SSL/TLS协议连接后不断重协商密钥即可。

（3）慢速连接攻击

Slow headers ( Slowloris )是最具代表性的慢速连接攻击。HTTP 规定，HTTP Request以\r\n\r\n(0d0a0d0a)结尾表示客户端发送结束，服务端开始处理。

Slow body是Slowloris的变种，称为Slow HTTP POST。在POST提交方式中，在HTTP的头中声明content-length。在提交了头以后，将后面的body部分卡住不发送。

Slow read是指客户端与服务器建立连接并发送了一个HTTP请求，客户端发送完整的请求给服务器,然后一直保持这个连接，以很低的速度读取response 。

6.跳板主机：用来控制僵尸主机的计算机。

控制协议：僵尸网络的控制者用来控制僵尸主机的媒介。其中IRC是黑客常用的通信协议，黑客为僵尸主机创建IRC信道，通过IRC信道将命令发送到所有僵尸主机上，从而达到控制僵尸主机的目的。

8.新型的DDoS攻击: Link Flooding Attack (LFA链路洪泛攻击)

以链路为攻击目标，不同于传统DDoS以服务器为目标，LFA 是通过攻击服务器群的主要出口入口链路，造成链路拥塞，导致服务器无法满足正常用户的请求。

以瘫痪链路为目标，而不是以瘫痪服务器为目标，这是LFA和传统DDoS最重要的区别。

第七章 Web应用

1.

跨站脚本攻击（XSS )：服务器对用户输入的数据没有进行足够的过滤。攻击者将恶意的HTML、JavaScript 代码注入用户浏览的网页中，从而劫持用户的会话或盗取用户的敏感数据。

跨站点请求伪造（CSRF）：攻击者利用其他用户的Cookie信息，伪造用户请求发送至服务器。

服务端请求伪造（SSRF）：服务端提供了从其他服务器获取数据的功能，没有对目标地址进行过滤和限制。

外部实体引用攻击（XXE）：没有对上传的xml文件进行过滤，导致可上传恶意xml文件。

2.XSS攻击过程

(1 )攻击者对感兴趣的目标站点进行搜集。

(2)攻击者在已搜集的站点上寻找带有XSS漏洞的页面，向用户发送含有构造链接的电子邮件,并在链接中嵌入恶意代码

(3 )诱惑用户单击已嵌入恶意代码的链接。

(4)用户受到攻击，回复页面中包含了恶意代码,将其主机的cookie传递给攻击者。

(5)攻击者获取用户的cookie备份，攻击者通过cookie文件获取被攻击用户的信息，以被攻击者身份登录站点操作。

3.XSS分类：反射型XSS、存储型XSS、DOM型XSS

4.SQL注入攻击

原因：程序对用户输入控制条件没有进行细致过滤，从而引起非法数据的导入操作。

攻击过程：

判断是否存在注入，注入是字符型还是数字型

猜解 SQL 查询语句中的字段数

确定显示的字段顺序

获取当前数据库

获取数据库中的表

获取表中的字段名

显示字段信息

5.按注入点类型分类

6.按数据提交方式分类

（1）get方式（？传参）

（2）POST方式（万能密码）

username:admin' or '1'='1 #

第八章 侧信道

侧信道攻击原理:加密信息通过主信道进行传输,但在密码设备进行密码处理时，会通过侧信道泄露一定的功耗、电磁辐射、热量、声音等信息。泄露的信息随设备处理的数据及进行的操作不同而有差异。攻击者通过分析信息之间的这种差异得出设备的密钥等敏感信息。

1.侧信道攻击类型

错误攻击：考虑篡改设备上的密码系统，观察密码设备的一些错误操作,期望从错误行为的结果中推导出秘密参数。

时间攻击：利用密码系统的密钥与运行时间的关系来进行攻击的方法，与其它侧信道攻击相比,这种攻击方法几乎不需要什么特殊设备。

能量攻击：通过分析密码设备的能量消耗获得其密钥。

电磁攻击：通过高精度电磁探头多次采集目标产品工作时电磁辐射强度变化，再辅助以信号处理方式重建信号,利用DPA思想推演目标产品的密钥。

2.应用

（1）中间人攻击

（2）Off-path攻击

3.威胁模型原理：Facebook连接的ip地址和端口号。拿到这个以后就知道TCP连接的序列号，拿到序列号以后我们就能够伪装Facebook给手机发消息，TCP的序列号通常是连续的，这个包才能够接收，如果序列号差得很远，这个包就算到了手机端也会被丢包。我们的任务是精确的猜到它下一个序列号。

条件：安卓的应用程序没有任何权限，它唯一能够做的就是网络连接，这个程序跟外面一个非中间人攻击者可以做协同，相当于里应外合。

目标：通过这个攻击模型，去劫持手机上任意的软件所打开的连接。

猜测序列号的方法：

（1）基于防火墙：要跟y和x很接近的序列号才放你过去，否则就丢包。通过侧信道判断是否收包

（2）基于TCP的计数器：手机或者操作系统从上一次启动到现在, 一共发了多少包、收了多少包等等。非中间人看看这个计数器有没有+1。如果没收到这个包，计数器不变。

本文标签： 攻防 仅供参考 网络