📖 前言:随着信息技术的发展,网络空间的斗争可谓是兵家必争之地,网络攻击的事件层出不穷。道高一尺魔高一丈,了解常见的网络攻击类型有利于我们日后工作生活的安全稳定。
目录
- 🕒 1. 网络攻击威胁
- 🕘 1.1 网络攻击的基本步骤和方式
- 🕘 1.2 其他网络攻击常见手段
- 🕤 1.2.1 欺骗攻击
- 🕤 1.2.2 拒绝服务和分布式拒绝服务攻击
- 🕤 1.2.3 Web脚本入侵
- 🕤 1.2.4 0 day攻击
- 🕘 1.3 APT攻击
- 🕤 1.3.1 定义
- 🕤 1.3.2 产生背景
- 🕤 1.3.3 攻击一般过程
- 🕒 2. 网络安全设备
- 🕘 2.1 防火墙
- 🕤 2.1.1 分类
- 🕤 2.1.2 工作原理
- 🕞 2.1.2.1 包过滤型
- 🕞 2.1.2.2 应用代理型
- 🕤 2.1.3 部署
- 🕘 2.2 入侵检测系统
- 🕤 2.2.1 分类
- 🕤 2.2.2 工作原理
- 🕤 2.2.3 部署
- 🕘 2.3 防护和检测技术的发展与融合
- 🕤 2.3.1 入侵防御系统
- 🕤 2.3.2 下一代防火墙
- 🕤 2.3.3 统一威胁管理UTM
- 🕒 3. 小结
- 🕒 4. 案例分析:西北工业大学遭受美国NSA网络攻击
🕒 1. 网络攻击威胁
🕘 1.1 网络攻击的基本步骤和方式
🔎 记一次Vulnstack靶场内网渗透(二)
🕘 1.2 其他网络攻击常见手段
🕤 1.2.1 欺骗攻击
利用TCP/IP协议本身的一些缺陷对TCP/IP网络进行攻击,主要方式有:ARP欺骗、DNS欺骗等。
🕤 1.2.2 拒绝服务和分布式拒绝服务攻击
这种攻击行为通过发送一定数量一定序列的数据包,使网络服务器中充斥了大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪、停止正常的网络服务。
近些年,DoS攻击有了新的发展,攻击者通过入侵大量有安全漏洞的主机并获取控制权,在多台被入侵的主机上安装攻击程序,然后利用所控制的这些大量攻击源,同时向目标机发起拒绝服务攻击,我们称之为分布式拒绝服务(Distribute Denial of Service,DDoS)攻击。
🕤 1.2.3 Web脚本入侵
由于使用不同的Web网站服务器、不同的开放语言,使网站存在的漏洞也不相同,所以使用 Web脚本攻击的方式也很多。
Web脚本攻击常见方式有:注入攻击、上传漏洞攻击、跨站攻击、数据库入侵等。
黑客可以从网站的文章系统下载系统留言板等部分进行攻击;也可以针对网站后台数据库进行攻击,还可以在网页中写入具有攻击性的代码;甚至可以通过图片进行攻击。
🕤 1.2.4 0 day攻击
0 day通常是指还没有补丁的漏洞,而0 day攻击则是指利用这种漏洞进行的攻击。提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。
0 day漏洞的利用程序对网络安全具有巨大威胁。
🕘 1.3 APT攻击
近些年,出现了一种有组织、有特定目标、持续时间极长的新型攻击和威胁,通常称之为高级持续性威胁(Advanced Persistent Threat,APT)攻击,或者称之为“针对特定目标的攻击”。例如之前提到的震网病毒事件。
攻击者掌握先进的专业知识和有效的资源,通过多种攻击途径,在特定组织的信息技术基础设施建立并转移立足点,以窃取机密信息,破坏或阻碍任务、程序或组织的关键系统,或者驻留在组织的内部网络,进行后续攻击。
🕤 1.3.1 定义
NIST对APT的定义:
- A(Advanced):技术高级
- P(Persistent):持续时间长
- T(Threat):威胁性大
🕤 1.3.2 产生背景
-
APT攻击成为国家层面信息对抗的需求。
-
社交网络的广泛应用为APT攻击提供了可能。
-
复杂脆弱的IT环境还没有做好应对的准备,造成APT攻击事件频发。
🕤 1.3.3 攻击一般过程
- 信息侦查
- 对目标网络用户的信息收集
- 对目标网络脆弱点的信息收集
- 持续渗透
- 长期潜伏
- 窃取信息
| 网络攻击 | APT攻击 | |
|---|---|---|
| 攻击者 | 个体或小组织网络犯罪分子 | 全球性、有组织、有纪律的犯罪团体、公司、敌对者 |
| 攻击目标 | 随机性选择攻击 | 特定目标攻击 |
| 通常以个体为主,以达到获取金钱、盗窃身份、欺诈等 | 通常针对国家安全信息、重要行业商业机密信息等 | |
| 攻击手段 | 攻击手段较单一 | 攻击手段复杂,形式多样 |
| 常基于已有的恶意软件展开攻击 | 结合0day攻击、特种木马攻击、社会工程学、水坑攻击、沙箱逃逸等展开攻击 | |
| 攻击时间 | 攻击事件较短 | 攻击时间较长 |
| 以一次性、大范围攻击为主 | 长期潜伏、多次渗透攻击 | |
| 攻击痕迹 | 攻击特征很强 | 攻击特征弱,比较隐蔽,缺少样本数据 |
| 容易在较短时间内被检测和捕获 | 很难被检测和捕获 |
水坑攻击:是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。
🕒 2. 网络安全设备
🕘 2.1 防火墙
防火墙是设置在不同网络或网络安全域之间的实施访问控制的系统。
在逻辑上,防火墙是一个网关,能有效地监控流经防火墙的数据,具有分隔、分析、过滤、限制等功能,保证受保护部分的安全
- 部署:是在不同安全控制域之间建立的安全控制点
- 工作原理:根据预先制定的访问控制策略和安全防护策略,解析和过滤流经防火墙的数据流,实现向被保护的安全域提供访问控制、审计等服务请求。
- 保护的资产:是安全控制点内部的网络服务和资源等、防火墙本身及其内部的重要数据。
🕤 2.1.1 分类
软件防火墙和硬件防火墙
🕤 2.1.2 工作原理
🕞 2.1.2.1 包过滤型
包过滤防火墙工作在网络层和传输层,它根据通过防火墙的每个数据包的源IP地址、目标IP地址、端口号、协议类型等信息来决定是将让该数据包通过还是丢弃,从而达到对进出防火墙的数据进行检测和限制的目的。
包过滤方式是一种通用、廉价和有效的安全手段
- 它不是针对各个具体的网络服务采取特殊的处理方式,而是适用于所有网络服务
- 大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的
- 它能很大程度上满足了绝大多数企业安全要求
包过滤技术在发展中出现了两种不同版本,第一代称为静态包过滤,第二代称为动态包过滤。
1)静态包过滤技术
- 这类防火墙几乎是与路由器同时产生的,它根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。
- 过滤规则基于数据包的包头信息进行制订。
- 这些规则常称为数据包过滤访问控制列表(ACL)
- 在这张过滤规则样表中包含了:规则执行顺序、源IP地址、目标IP地址、协议类型、TCP或UDP包的源端口、TCP或UDP包的目的端口、TCP包头的标志位、对数据包的操作、数据流向
| 序号 | 源IP | 目标IP | 协议 | 源端口 | 目的端口 | 标志位 | 操作 |
|---|---|---|---|---|---|---|---|
| 1 | 内部网络地址 | 外部网络地址 | TCP | 任意 | 80 | 任意 | 允许 |
| 2 | 外部网络地址 | 内部网络地址 | TCP | 80 | >1023 | ACK | 允许 |
| 3 | 所有 | 所有 | 所有 | 所有 | 所有 | 所有 | 拒绝 |
该表中的第1条规则允许内部用户向外部Web服务器发送数据包,并定向到80端口,
第2条规则允许外部网络向内部的高端口发送TCP包,只要ACK位置位,且入包的源端口为80。即允许外部Web服务器的应答返回内部网络。
最后一条规则拒绝所有数据包,以确保除了先前规则所允许的数据包外,其他所有数据包都被丢弃。
当数据流进入包过滤防火墙后,防火墙检查数据包的相关信息,开始从上至下扫描过滤规则,如果匹配成功则按照规则设定的操作执行,不再匹配后续规则。所以,在访问控制列表中规则的出现顺序至关重要。
访问控制列表的配置有两种方式:
- 严策略:接受受信任的IP包,拒绝其他所有IP包
- 保守,但安全
- 宽策略:拒绝不受信任的IP包,接受其他所有IP包
- 可以拒绝有限的可能造成安全隐患的IP包
缺陷:
对于过滤规则样表的第二条,攻击者可从外网发来的源端口为80的数据包
2)状态包过滤技术
状态包过滤(Stateful Packet Filter)是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,对接收到的数据包进行分析,判断其是否属于当前合法连接,从而进行动态的过滤。
跟传统包过滤只有一张过滤规则表不同,状态包过滤同时维护过滤规则表和状态表。过滤规则表是静态的,而状态表中保留着当前活动的合法连接,它的内容是动态变化的,随着数据包来回经过设备而实时更新。
局限:
①.基于网络层和传输层实现的包过滤防火墙难以实现对应用层服务的过滤。所以难以了解数据包是由哪个应用程序发起。
- 目前的网络攻击和木马程序往往伪装成常用的应用层服务的数据包逃避包过滤防火墙的检查
- 包过滤防火墙难以详细了解主机之间的会话关系。包过滤防火墙处于网络边界并根据流经防火墙的数据包进行网络会话分析,生成会话连接状态表。由于包过滤防火墙并非会话连接的发起者,所以对网络会话连接的上下文关系难以详细了解,容易受到欺骗。
- 访问控制列表的配置和维护困难。包过滤技术的实现依赖于详细和正确的访问控制列表。
- 在实际应用中,对于一个大型的网络,由于可信任的IP数目巨大而且经常变动
- 防火墙的安全性能与访问控制列表中的配置规则出现的先后顺序有关,网络安全策略维护将变得非常繁杂
- 基于IP地址的包过滤技术,即使采用严策略的防火墙规则也无法避免IP地址欺骗的攻击。
- 对安全管理人员的要求高,在建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的了解。
②.大多数过滤器中缺少审计和报警机制,只能依据包头信息,而不能对用户身份进行验证,很容易遭受欺骗型攻击。
🕞 2.1.2.2 应用代理型
采用应用代理技术的防火墙工作在应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
应用代理技术的发展也经历了两个版本:
- 第一代的应用层网关技术
- 采用这种技术的的防火墙通过代理参与到一个TCP连接的全过程。从内部的数据包经过这样的防火墙处理完,像是源于防火墙外部网卡一样,达到隐藏内部网结构的作用。
- 第二代的自适应代理技术
- 特点:采用这种技术的防火墙有两个基本组件:自适应代理服务器与动态包过滤器。
- 在“自适应代理服务器”与“动态包过滤器”之间存在一个控制通道。
- 在对防火墙进行配置时,用户仅仅将所需要的服务类型、安全级别等信息通过相应代理的管理界面进行设置就可以了。
- 然后,自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发包。
- 优点:安全性高
- 由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。
- 它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,根本没有给内、外部网络计算机任何直接会话的机会。
- 缺点:速度相对比较慢
- 当用户对内外部网络网关的吞吐量要求比较高时,代理防火墙就会成为内外部网络之间的瓶颈。
- 因为防火墙需要为不同的网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间。
🕤 2.1.3 部署
| 外部网络 | DMZ网络 | 内部网络 | |
|---|---|---|---|
| 范围 | 包含外部因特网用户主机和设备 | 从内部网络中划分的一个小区域,其中包括内部网络中用于公众服务的服务器,如Web服务器、Email服务器、FTP服务器、外部DNS服务器等,都是为因特网公众用户提供某种信息服务的。 | 包括全部的内部网络设备、内网核心服务器及用户主机。 |
| 介绍 | 非可信网络区域,此边界上设置的防火墙将对外部网络用户发起的通信连接按照防火墙的安全过滤规则进行过滤和审计,不符合条件的则不允许连接。 | 网络受保护的级别较低 | 虽然内部LAN和DMZ区都属于内部网络的一部分,但它们的安全级别(策略)是不同的。 |
部署方式:
这三种网关都要求有一台主机,通常称为“堡垒主机”(Bastion Host),它起着防火墙的作用,即隔离内外网的作用。
| 双宿主主机网关 | 屏蔽主机网关 | 屏蔽子网网关 | |
|---|---|---|---|
| 特点 | 堡垒主机充当应用层网关。在主机中需要插入两块网卡,用于将主机分别连接到被保护的内网和外网上。在主机上运行防火墙软件,被保护内网与外网间的通信必须通过主机,因而可以将内网很好地屏蔽起来。 | 为了保护堡垒主机而将它置入被保护网的范围中,在被保护内网与外网之间设置一个屏蔽路由器。它不允许外网用户对被保护内网进行直接访问,只允许对堡垒主机进行访问,屏蔽路由器也只接收来自堡垒主机的数据。 | 不少被保护网有这样一种要求,即它能向外网上的用户提供部分信息。这部分存放在公用信息服务器上的信息,应允许由外网的用户直接读取。针对这种情况,屏蔽子网网关结构使用一个或者更多的屏蔽路由器和堡垒主机,同时在内外网间建立一个DMZ。 |
| 优点 | 有效地保护和屏蔽内网,且要求的硬件较少,因而应用较多 | 灵活,利用屏蔽路由器来做更进一步的安全保护。 | 安全性很好,因为来自外部网络将要访问内部网络的流量,必须经过这个由屏蔽路由器和堡垒主机组成的DMZ子网络;可信网络内部流向外界的所有流量,也必须首先接收这个子网络的审查。 |
| 缺点 | 堡垒主机本身缺乏保护,容易受到攻击 | 此时的路由器又处于易受攻击的地位。此外,网络管理员应该管理在路由器和堡垒主机中的访问控制表,使两者协调一致,避免出现矛盾。 | 续:堡垒主机上运行代理服务,它是一个连接外部非信任网络和可信网络的“桥梁”。堡垒主机是最容易受侵袭的,万一堡垒主机被控制,入侵者仍然不能直接侵袭内部网络,内部网络仍受到内部屏蔽路由器的保护。 |
| 示例图 |  |  |  |
🕘 2.2 入侵检测系统
🕤 2.2.1 分类
入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS)。
与防火墙类似,除了有基于PC架构、主要功能由软件实现的IDS,还有基于ASIC、NP以及FPGA架构开发的IDS。
根据检测数据的不同,IDS分为主机型和网络型入侵检测系统。
- 基于主机的IDS(HIDS),通过监视和分析主机的审计记录检测入侵。
- 基于网络的IDS(NIDS),通过在共享网段上对通信数据进行侦听,检测入侵。
🕤 2.2.2 工作原理
- 事件产生器:从整个计算环境中获得事件,并向系统的其他部分提供此事件。
- 事件分析器:分析得到的数据,并产生分析结果。
- 响应单元:对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。
- 事件数据库:是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
根据其采用的分析方法可分为异常检测和误用检测。
| 异常检测 | 误用检测 | |
|---|---|---|
| 概念 | 需要建立目标系统及其用户的正常活动模型,然后基于这个模型对系统和用户的实际活动进行审计,当主体活动违反其统计规律时,则将其视为可疑行为。 | 假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,系统的目标就是检测主体活动是否符合这些模式 |
| 关键 | 异常阈值和特征的选择 | 模式匹配 |
| 优点 | 可以发现新型的入侵行为,漏报少 | 精确性较高,误报少 |
| 缺点 | 容易产生误报 | 容易产生漏报 |
🕤 2.2.3 部署
与防火墙不同,入侵检测主要是一个监听和分析设备,不需要跨接在任何网络链路上,无需网络流量流经它,便可正常工作。
对入侵检测系统的部署,唯一的要求是:应当挂接在所有所关注的流量都必须流经的链路上,即IDS采用旁路部署方式接入网络。这些流量通常是指需要进行监视和统计的网络报文。
IDS和防火墙均具备对方不可代替的功能,因此在很多应用场景中,IDS与防火墙共存,形成互补。
一种简单的IDS部署如下图所示,IDS旁路部署在因特网接入路由器之后的第一台交换机上。
IDS在典型网络环境中的一种部署下如图所示。
控制台位于公开网段,它可以监控位于各个内网的检测引擎。
🕘 2.3 防护和检测技术的发展与融合
🕤 2.3.1 入侵防御系统
主动防御能力:系统不仅要具有入侵检测系统的入侵发现能力和防火墙的静态防御能力,还要有针对当前入侵行为动态调整系统安全策略,阻止入侵和对入侵攻击源进行主动追踪和发现的能力。
入侵防御系统IPS(Intrusion Prevention System)作为IDS的替代技术诞生了。
IPS是一种主动的、智能的入侵检测、防范、阻止系统,其设计旨在预先入侵活动和对攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报。
IPS部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。
🕤 2.3.2 下一代防火墙
2008年Palo Alto Networks公司发布了下一代防火墙NGFW(Next-Generation Firewall) ,可以对用户、应用和内容进行管控。
1)传统防火墙。NGFW必须拥有传统防火墙所提供的所有功能,如基于连接状态的访问控制、NAT、VPN等等。虽然传统防火墙已经不能满足需求,但它仍然是一种无可替代的基础性访问控制手段。
2)支持与防火墙自动联动的集成化IPS。NGFW内置的防火墙与IPS之间应该具有联动的功能,例如IPS检测到某个IP地址不断地发送恶意流量,可以直接告知防火墙并由其来做更简单有效的阻止。这个告知与防火墙策略生成的过程应当由NGFW自动完成。
3)应用识别、控制与可视化。
NGFW必须具有与传统的基于端口和IP协议不同的方式进行应用识别的能力,并执行访问控制策略。
4)智能化联动。
获取来自“防火墙外面”的信息,这个“外面”是NGFW本体内的其他安全业务,作出更合理的访问控制
例如从域控制器上获取用户身份信息,将权限与访问控制策略联系起来,或是来自URL 过滤判定的恶意地址的流量直接由防火墙去阻挡,而不再浪费IPS的资源去判定
🕤 2.3.3 统一威胁管理UTM
UTM:是一类集成了常用安全功能的设备,可以说是将防火墙、IDS系统、防病毒和脆弱性评估等技术的优点与自动阻止攻击的功能融为一体。
发展趋势:
由于网络攻击技术的不确定性,靠单一的产品往往不能够满足不同用户的不同安全需求。信息安全产品的发展趋势是不断地走向融合,走向集中管理。
通过采用协同技术,让网络攻击防御体系更加有效地应对重大网络安全事件,实现多种安全产品的统一管理和协同操作、分析,从而实现对网络攻击行为进行全面、深层次的有效管理,降低安全风险和管理成本,成为网络攻击防护产品发展的一个主要方向。
🕒 3. 小结
把不同安全级别的网络相连接,就产生了网络边界,为了防止来自网络外界的入侵,就需要在网络边界上建立可靠的安全防御措施。
网络边界安全访问总体策略为:允许高级别的安全域访问低级别的安全域,限制低级别的安全域访问高级别的安全域。
不同安全域内部分区进行安全防护,做到安全可控。边界可能包括以下一些部件:路由器、防火墙、IDS、IPS、VPN设备、防病毒网关等。上述部件和技术的不同组合,可以构成不同级别的边界防护机制。
1)基本安全防护。采用常规的边界防护机制,如登录、连接控制等,实现基本的信息系统边界安全防护,可以使用路由器或者三层交换机来实现。
2)较严格安全防护。如较严格的登录、连接控制,普通功能的防火墙、防病毒网关、IDS、信息过滤、边界完整性检查等。
3)严格安全防护。如严格的登录、连接机制,高安全功能的防火墙、防病毒网关、IPS、信息过滤、边界完整性检查等。
4)特别安全防护。采用当前较为先进的边界防护技术,必要时可以采用物理隔离安全机制,实现特别安全要求的边界安全防护。
🕒 4. 案例分析:西北工业大学遭受美国NSA网络攻击
2022年6月22日,西北工业大学曾发布声明,称有境外黑客组织和不法分子向学校发起了网络攻击行为,包括对师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息,给学校正常工作和生活秩序造成重大风险隐患。
当地公安局立即立案侦查,中国国家计算机病毒应急处理中心和360公司也组成联合技术团队,进行全面技术分析工作,并于9月5日发布调查报告。报告显示,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO),使用数十种专用网络攻击武器装备,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。
🔎 美国NSA网络武器“饮茶”分析报告
🔎 西北工业大学遭美国NSA网络攻击事件调查报告(之一)
🔎 西北工业大学遭美国NSA网络攻击事件调查报告(之二)
OK,以上就是本期知识点“网络攻击分析”的知识啦~~ ,感谢友友们的阅读。后续还会继续更新,欢迎持续关注哟📌~
💫如果有错误❌,欢迎批评指正呀👀~让我们一起相互进步🚀
🎉如果觉得收获满满,可以点点赞👍支持一下哟~
❗ 转载请注明出处
作者:HinsCoder
博客链接:🔎 作者博客主页
