网络攻击类型介绍

　　网络信息系统所面临而对威胁来自很多方面，而且会随着时间的变化而变化。从宏观上看，这些威胁可分为人为威胁和自然威胁。

　　自然威胁来自与各种自然灾害、恶劣的场地环境、电磁干扰、网络设备的自然老化等。这些威胁是无目的的，但会对网络通信系统造成损害，危及通信安全。而人为威胁是对网络信息系统的人为攻击，通过寻找系统的弱点，以非授权方式达到破坏、欺骗和窃取数据信息等目的。两者相比，精心设计的人为攻击威胁难防备、种类多、数量大。从对信息的破坏性上看，攻击类型可以分为被动攻击和主动攻击。

      一.读取攻击

　　读取攻击主要包含所有从受害者哪里获取信息的相关攻击。此类攻击会从获取组织结构的ip地址，在那些地址范围内进行端口扫描和漏洞弱点扫描，最后到入侵有弱点的主机获取信息。

　　1.侦察（reconnaissancerecon）攻击：

　　侦察（reconnaissancerecon）攻击：主要是为使攻击者可以获取更多有关受害者的信息而设计的，侦察攻击可采用主动方法和被动方法，在几乎所有的情况下，成功的侦察攻击可使后续攻击成功能可能性大大提高，因为攻击者获取得了更多有关受害者的信息。

　　数据整理攻击：是所有对网络攻击的第1步，攻击者结合了各种基于网络的实用程序和internet搜索引擎查询，以获得更多的信息。常常使用网络实用程序：whois、nslookup、finger、tranceroute、ping、google等。

　　攻击者利用此攻击获取：关键系统的IP地址、受害者所分配的地址范围、受害者的internet服务提供商。

　　探测和扫描攻击：也常称为端口扫描或弱点扫描，攻击者利用通过数据收集攻击获得的信息来获悉有关受攻击网络的信息，一般首先要执行端口扫描，然后进行弱点扫描，通过使用工具nmap之类的工具，通过此类攻击可以获得：受攻击者网络上所有可以公共到达的IP地址，每个可达系统所运行的OS猜测结果，在所发现的每个IP地址上运行的可达服务，网络是否处于防火墙的保护之下，防火墙的类型。

　　注：有时间一定要整理一片关于nmap使用的文章

　　2、嗅探攻击

　　当攻击者从线缆上捕捉数据包，或数据包穿过攻击者系统时，这可以称为某种形式的嗅探攻击。嗅探攻击其目的在于读取信息获得情报，以使于攻击者了解目标系统，这样受到嗅探的协议信息必须以明文而不是密文的形式发送，嗅探才得以成功，主要获得如下信息：认证信息、网络管理信息、机密事务等。经常使用的工具比：ethereal，wireshark等等嗅探并不是攻击者专用的，也是一种极好的故障排队工具，大多数网络工程师往往用其诊断各种联网问题，在UNIX环境时，常用使用tcpdump工具。

　　3、直接攻击

　　直接访问涵盖攻击者试图直接访问网络资源的所有攻击。例如，攻击者找到穿越防火墙的方法后，攻击者利用直接访问攻击登录到曾受防火墙保护的系统中，此后，攻击者就可以发起不限次数的其他攻击，最常见的是操纵攻击。虽然直接访问攻击几乎总是在第七层发起的，但如果攻击不是很特殊，直接攻击可在较低层遭到阻止，例如，配置正确的防火墙可以防止对于支持在web服务上的telnet后台程序攻击，由于普通用户不应在web服务器上使

　　用telnet，防火墙可以在第4层阻止该请求。如果攻击是针对本应用可用的服务在第七层进行的，那么阻止攻击的责任就再度由可感知应用程序的系统来承担，如IDS或应用程序的安全配置。

　　二、操作攻击

　　任何取得成功的主要手段依赖于在OSI模型的某层对数据进行操作的攻击都称为操纵攻击，其中主要有网络操纵和应用程序操纵。

　　1、网络操纵攻击

　　最常见的是IP分片，攻击者对流量进行蓄意分片，以试图绕过基于网络（IDS或防火墙）或基于应用程序的安全控制。Fragroute就是一种用于发起IP分片攻击的工具。除了IP分片，攻击者还可以执行源路由攻击，攻击者利用源路由选择可以在网络中选择攻击路径。源路由选择几乎没有合法应用，默认情况下，在大多数路由器上是关闭的。有很多攻击者可以利用IP、TCP和UDP协议进行攻击。除了第3层和第4层操纵，攻击者还可以修改第2层信息，以达到进行虚拟LAN跳转或其它本地网络攻击的目的。

　　2、应用程序操纵攻击

　　是指在应用层执行的攻击。其主要利用应用程序设计或实施方案中的缺陷，最著名的应用程序操纵攻击就是缓冲区溢出攻击。比如web应用程序攻击、不安全的通用网关接口（CommonGatewayInterface,CGI）。

　　缓冲区溢出：是应用程序弱点的表现，应用程序开发人员未对应用程序所占用的内存地址作足够的绑定检查时所发生的就是缓冲溢出。比如，对于某个内存地址，典型的程序可能预计会从用户接收50字节的输入，如果用户发送了400字节，那么应用程序将丢弃350字节，可是，如果应用程序含有编码错误，那么这350字节会殃及内存的其他部分，而且可以会以原始应用程序的权限执行代码。如，如果弱点的应用程序是以root身份运行的，成功的缓冲区溢出攻击通常会导致攻击者获得root权限。想要利用安全技术全部阻止这些攻击几乎是不可能的。因为大多数状态防火墙是在第4层对流量进行监控的，攻击者可以远程发起WEB缓冲区溢出攻击，而因为该防火墙允许端口80的流量通过，攻击者将会成功。

　　Web应用程序攻击：此类攻击是多变的，比如跨站脚本执行和不安全CGI，对于跨站脚本执行，恶意信息是嵌在受害者所点击的URL中的，如果用户点击internet上的恶意链接，这就可以导致用户的信息在无意中泄密。阻止用户成为跨脚本执行攻击的受害者依赖于教给他们如何识别恶意URL。注意：跨站脚本执行是采用迷惑手段，某些WEB浏览器状态栏（浏览器底部，从中可以看到URL的细节）是禁用的，在状态栏关闭的情况下，点击链接之前用户绝不会看到将要前往的实际站占的地址，同样，攻击者可以利用DNS进行迷惑，如果攻击者可以让客户端看到攻击者IP地址一致的特定DNS名称，那么该客户端将认为自己所连接的是合法站点，但实际上他们连接的是攻击者的机器。因为实际的IP地址绝不会在浏览器上显示出来，所以客户端就很可能对攻击一无所知，普通的WEB用户绝不会注意到这些差异，即使浏览器将这些差异显示的非常清楚。在早期的攻击者会使用不安全的CGI进行攻击，每当在网站填写表单或输入IP地址时，所用到的就是某种形式的CGI脚本。

　　注：有时间写一下web攻击的内容

　　三、欺骗攻击

　　攻击者能够导致用户或系统中的设备认为信息是来自于实际上未发出该信息的来源时发生的就是欺骗攻击，几乎在任何薄弱或网络通信中未实施认证的位置均可发起欺骗攻击。其中常见的有MAC欺骗、IP欺骗、传输欺骗、身份欺骗和无赖设备。

　　1、MAC欺骗

　　是种非常直观的攻击，攻击系统利用这种攻击将自己的MAC地址改为受信任系统的地址，在以太网环境中，交换机上的CAM表可以跟踪MAC地址、VLAN和MAC地址所连接的端口，攻击者将MAC地址改为另一个与交换机相连的系统的地址时，CAM表将得到更新，交换机主认为某台机器从一个位置移动到另一个位置。前往该MAC地址的流量都会发送给攻击者，这种攻击在只接收数据而不主动发送数据的系统上效果很佳。Syslog服务器就是一个恰当的例子。

　　CAM名词解释：

　　CAM（contentaddressablememory，内容可寻址存储器）存储着MAC地址和端口（二层接口）的对应表。以太网交换能够通过读取传送包的源---MAC地址和记录帧进入交换机的端口来学习网络上每个设备的地址。然后，交换机把信息加到它的转发数据库(MAC地址表)。这个数据库就存储在CAM中。

　　2、IP欺骗

　　攻击者只需进入系统的原始数据包驱动器中，然后攻击者就可以发送还有IP报头的数据包。加密只有应用到需要加密通信以访问IP层的系统中才能用作保护机制，例如，采用IPSec进行通信的金融应用程序不会接受任何主机的原始IP连接，无论是合法的还是假冒的，这种加密系统概念也适合于传输欺骗。

　　3、传输欺骗

　　传输欺骗是指成功地在传输层实现了通信欺骗。

　　UDP欺骗：因为其报头结构简单，如简单网络管理协议（SNMP）、syslog、普通文件传输协议（TFTP）之类的管理应用程序都使用UDP作为其传输机制，这也是系统安全中最薄弱的环节。

　　TCP欺骗：TCP协议具有很高的安全性，因为其是面向连接的协议。因为32bit的序列号是特定于连接的，而且操作系统中是伪随机的，很难预测到连接的序列号，攻击者试图通过在真正的客户机与服务器之间通过认证后插入会话中来伪装成受信任的客户机。但在攻击者无法看到客户机与服务器之间交换数据包的情况下，此类攻击非常难以实现。从客户机与服务器之间的路径上的位置发起攻击时，其破坏力极大。

　　身份欺骗：身份欺骗涵盖许多不同的形式，密码破解、暴力登录尝试、数字证书偷窃和伪造均要认为是这种攻击的类型。身份验证机制可由下列从最不安全到最安全的方法来实现：

　　1）明文用户名和口令（telnet）

　　2）预共享密钥（WEP）

　　3）经过加密的用户和口令（SSH）

　　4）一次性口令（OTP）

　　5）公钥加密系统（PGP、IPSec）

　　JohntheRipper和LC4都是密码破解攻击的形式，这种攻击本质上是对密码进行猜测、加密，然后将其与受害者存储在服务器上已经加密的密码进行比较的尝试。大多数密码都是以加密效果强劲的单向散列形式存储的，其是不可逆的，所以试图窃取密码最容易的方法就是对后续密码进行所谓的字典攻击。

　　4、无赖设备

　　上面的讨论中是基于软件层面的，攻击者可以利用无赖设备进行攻击，可以将无赖设备添加到网络中，以使设备成为合法的身份，比如DHCP攻击。将设备系统添加到网络中，该系统在此网络中尝试确定IP寻址方案，以及搜索HTTP代理服务器，然后创建一条隧道式连接与攻击者相连。这就使远程攻击者以本地用户身份出现，发起攻击。利用无赖设备可以起毁灭性的攻击。但执行这种攻击一般需要攻击者实际接触到目标网络。

　　四、泛洪攻击

　　攻击者向某些网络资源发送过量的数据时发生的就是泛洪攻击。这些网络设备可以是路由器、交换机、应用程序、主机，也可以是网络链路。常见的包括MAC泛洪、网络泛洪、TCPSYN泛洪和应用程序泛洪。

　　虽然黑客攻击的手法多种多样，但就目前来说，绝大多数中初级黑客们所采用的手法和工具仍具有许多共性。从大的方面来划分的话，归纳起来一般不外乎以下几种：1、网络报文嗅探网络嗅探其实最开始是应用于网络管理的，就像远程控制软件一样，但随着黑客们的发现，这些强大的功能就开始被客们利用。最普遍的安全威胁来自内部，同时这些威胁通常都是致命的，其破坏性也远大于外部威胁。其中网络嗅探对于安全防护一般的网络来说，使用这种方法操作简单，而且同时威胁巨大。很多黑客也使用嗅探器进行网络入侵的渗透。网络嗅探器对信息安全的威胁来自其被动性和非干扰性，使得网络嗅探具有很强的隐蔽性，往往让网络信息泄密变得不容易被发现。

　　嗅探器是利用计算机的网络接口，截获目的计算机数据报文的一种技术。不同传输介质的网络的可监听性是不同的。一般来说，以太网被监听的可能性比较高，因为以太网是一个广播型的网络；FDDIToken被监听的可能性也比较高，尽管它不是一个广播型网络，但带有令牌的那些数据包在传输过程中，平均要经过网络上一半的计算机；微波和无线网被监听的可能性同样比较高，因为无线电本身是一个广播型的传输媒介，弥散在空中的无线电信号可以被很轻易的截获。

　　嗅探器工作在网络的底层，把受影视的计算机的网络传输全部数据记录下来。虽然嗅探器经常初网管员用来进行网络管理，可以帮助网络管理员查找网络漏洞和检测网络性能、分析网络的流量，以便找出所关心的网络中潜在的问题。但目前却在黑客中的应用似乎更加广泛，使人们开始对这类工具敬而远之。2、地址欺骗IP地址欺骗攻击是黑客们假冒受信主机（要么是通过使用你网络IP地址范围内的IP，要么是通过使用你信任，并可提供特殊资源位置访问的外部IP地址）对目标进行攻击。在这种攻击中，受信主机指的是你拥有管理控制权的主机或你可明确做出“信任”决定允许其访问你网络的主机。通常，这种IP地址欺骗攻击局限于把数据或命令注入到客户/服务应用之间，或对等网络连接传送中已存在的数据流。为了达到双向通讯，攻击者必须改变指向被欺骗IP地址的所有路由表。IP地址攻击可以欺骗防火墙，实现远程攻击。以上介绍的报文嗅探，IP欺骗的攻击者不限于外部网络，在内部网络中同样可能发生，所以在企业网络内部同样要做好相关防御措施。3、密码攻击密码攻击通过多种不同方法实现，包括蛮力攻击（bruteforceattack），特洛伊木马程序，IP欺骗和报文嗅探。尽管报文嗅探和IP欺骗可以捕获用户账号和密码，但密码攻击通常指的反复的试探、验证用户账号或密码。这种反复试探称之为蛮力攻击。通常蛮力攻击使用运行于网络上的程序来执行，并企图注册到共享资源中，例如服务器。当攻击者成功的获得了资源的访问权，他就拥有了和那些账户被危及以获得其资源访问权的用户有相同的权利。如果这些账户有足够夺得特权，攻击者可以为将来的访问创建一个后门，这样就不用担心被危及用户账号的任何身份和密码的改变。4、拒绝服务攻击拒绝服务（DenialofService，DoS）攻击是目前最常见的一种攻击类型。从网络攻击的各种方法和所产生的破坏情况来看，DoS算是一种很简单，但又很有效的进攻方式。它的目的就是拒绝你的服务访问，破坏组织的正常运行，最终使你的网络连接堵塞，或者服务器因疲于处理攻击者发送的数据包而使服务器系统的相关服务崩溃、系统资源耗尽。

　　1、MAC泛洪

　　是指以假冒的源MAC地址和目的地址将数据包从攻击者的系统发送到以太网链路上，用于占领MAC地址在交换上CAM的位置，由于CAM表容量是有限的，当CAM填满后，其它主机就只能在本地LAN上进行泛洪，这就使攻击者可以对这些帧进行嗅探。

　　2、网络泛洪

　　一般是消耗网络链路的可用带宽而设计的，然后，将合法流量发送到充斥着虚假流量的线缆上的可能性就非常低了，这些攻击通常是针对网络的internet链路的，internet链路既是网络中最缓慢也是其中最关键的部分，常见有smurf和DDos。

　　Smurf攻击：是利用假冒的internet控制消息协议（ICMP）广播ping进行攻击，IP支持所谓的定向广播，某个工作站将广播数据包发送到另一个网络时所发生的就是定向广播。例如，当192.168.1.0/24网络中的一台主机可以将数据包发送到192.168.1.255，如是路由器配置为传播定向广播，那么网络192.168.1.0/24就会收到该数据包，将其发送给网络192.168.1.0/24上的所有主机，该网络上所有配置为对广播流量作响应的工作站都会作出响应。Smurf攻击利用这种形为将很小的数据包变成大规模的攻击，如下图所示：

　　Smurf是一种增幅攻击，因为一个假冒广播ping到达回弹网络后，该网络中的每台主机都会向这种攻击的受害者响应各不相同的ping数据包。假定攻击者能够向其中有100台主机的的回弹网络发出速率为768kbit/s的广播ping数据，将回程流量发送到受攻击网络中的时候，这将变成速率为每秒76.8Mbit/s的数据流，回弹的网络越大增幅就越大。

　　在路由器上可以使用命令noipdirected-broadcast可以阻止网络成为smurf攻击的源头。也可利用承诺访问速度(CAR)之类的技术对其进行过滤。

　　DDOS攻击：在增幅泛洪攻击出现之前，只要带宽高于攻击者的带宽，网络就不会受网络泛洪攻击的影响。现在，攻击者利用增幅攻击可以得到比受害者高得多的带宽。Stacheldraht攻击是最早的DDoS攻击之一，是一种三级DDoS攻击，攻击者利用这种攻击与主控系统进行通信，而主控系统与代理系统进行通信。许多较新的的攻击已经没有“主控系统”这个角色，而采用了通过IRC通道进行注册的代理系统，这使得检测非常困难，其原理如下：

　　1)攻击者侵入许多internet上的系统，然后将DDoS主探系统软件安装在系统中

　　2)这些主探系统尝试感染internet部分，然后将受感染的系统作为代理系统，从特洛伊木马电子邮件，到利用应用程序或操纵系统中的弱点，其中任何一种方法均可用于攻击失守的代理系统

　　3)攻击者伺机将攻击指令发送给主控系统，主控系统随后将操纵其代理系统，对某个IP地址进行泛洪攻击。

　　4)受攻击的网络将淹没在假冒的网络流量中，合法用户的请求得到处理的可能性将会很小。

　　对于这种攻击和所有基于网络的泛洪攻击，在没有服务提供商协助的情况下，这些攻击是无法得到阻止的。

　　TCPSYN泛洪：是泛洪攻击的最早形式之一，这种攻击的原理是，发送一个TCPSYN数据包，然后不再对其响应送回的SYN-ACK确认，由于TCP在某种程度上是可靠的，收到SYN数据包的服务器将一直将边接保持开放状态，服务器还会定期重新发送SYN-ACK数据包，在拆除连接之前，默认情况下最多发4次。攻击者发起TCPSYN泛洪攻击时，分们会向某个系统发出数千个连接请求，以耗尽服务器的所有可用内存，这会使用服务器崩溃。

　　3、应用程序攻击

　　是指消耗应用程序或系统资源而设计的攻击，最常见的应用程序泛洪是垃圾邮件。其它类型的应用程序攻击包括在服务器上持续运行CPU密集型应用程序，以及利用持续不断的认证请求对服务器进行泛洪攻击。除了是在应用层，如同SYN泛洪攻击，攻击者TCP连接建立完毕后，在提示输入密码时停止响应。还有一种无意中引起的应用程序攻击，称为slashdot效应。是一个访问量众多的计算机怪客新闻站点，如果该新闻很受欢迎，那么与该站点的连接会出现高嶷，这往往会使该站点在一段时间内不可用，这种现象也叫快闪人群。

　　五、重定向

　　在重向攻击中，攻击者试图更改网络中的信息，这可以发生在任何一层，但最适于从网络安全角度进行讨论的是L2、IP层和传输层重定向。

　　1、L2重定向

　　通过利用ARP或生成树协议均可实现L2重定向攻击。ARP重定向或ARP欺骗：这种攻击是最常见的，也称为ARP欺骗。这种攻击主要是发出假冒的ARP广播，声称默认网关的MAC地是自己的MAC地址，受攻击的机器更新其ARP高速缓存后，所有的出站请求都不会通过默认网关，而是由攻击者的机器来转发，数据包在攻击者的机器中被修改、读取和丢弃。

　　2、STP重定向

　　用STP攻击作为在L2对流量进行重定向的另一种方法，攻击者能够欺骗L2网络，使

　　其相信攻击者应该位于根STP桥，这会导致拓扑重新收敛，变成对攻击者有利的交换路径。

　　3、IP重定向

　　通过添加无赖路由并发出虚假通告，或通过对生产路由器进行重新配置，IP重定向攻

　　击均可改变可路由系统中的信息流。这种攻击最常见的应用是对穿过攻击者系统的可路由流

　　量进行重定向。在将其送回到网络中之前，攻击者可对这种流量在自己的系统中进行读取或

　　操纵。即使攻击是远程的，攻击者也可以利用GRE之类的技术将L3流量通过隧道在广阔

　　的网络上进行传输。

　　4、传输重定向

　　是一种狡诈的攻击，执行这种攻击的目的一般是使攻击者可以将通常会发送到一个位置的流量转移到另一个位置。Netcat就是这种攻击工具的最佳例子，虽然其用户有许多是合法的，在传输重定向攻击中，攻击者能够在失守的系统中安插窃听器，以便查询从一个系统和端口重定向到另一个系统和端口。攻击者是在公共服务器网络上失守的主机中发起传输重定向攻击的，该主机可以查询进行重定向，致使源自internet的telnet查询被重定向为去往内部网络的SSH查询，这样攻击者就能够利用防火墙中现有的规则发送防火墙管理员绝不会有意发送的流量。

　　在对网络攻击进行上述分析和识别的基础上，我们应当认真制定有针对性的策略。明确安全对象，设置强有力的安全保障体系。有的放矢，在网络中层层设防，发挥网络的每层作用，使每一层都成为一道关卡，从而让攻击者无隙可钻、无计可使。还必须做到未雨稠缪，预防为主，将重要的数据备份并时刻注意系统运行状况。以下是针对众多令人担心的网络安全问题，提出的几点建议

　　提高安全意识

　　(1)不要随意打开来历不明的电子邮件及文件，不要随便运行不太了解的人给你的程式，比如“特洛伊”类黑客程式就需要骗你运行。中国.网管联盟

　　(2)尽量避免从Internet下载不知名的软件、游戏程式。即使从知名的网站下载的软件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。

　　(3)密码设置尽可能使用字母数字混排，单纯的英文或数字非常容易穷举。将常用的密码设置不同，防止被人查出一个，连带到重要密码。重要密码最佳经常更换。

　　(4)及时下载安装系统补丁程式。

　　(5)不随便运行黑客程式，不少这类程式运行时会发出你的个人信息。

　　(6)在支持HTML的BBS上，如发现提交警告，先看原始码，非常可能是骗取密码的陷阱。

　　在最近几年里，网络攻击技术和攻击工具有了新的发展趋势，使借助Internet运行业务的机构面临着前所未有的风险，本文将对网络攻击的新动向进行分析，使读者能够认识、评估，并减小这些风险。越来越不对称的威胁：Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的安全状态。由于攻击技术的进步，一个攻击者可以比较容易地利用分布式系统，对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高，威胁将继续增加。

　　更多详细内容，尽在课课家教育，我们期待您的咨询！！