网络攻击原理表
|----------------|---------------|--------------|--------------|--------------|
| 攻击者 | 内容 | 攻击访问 | 攻击效果 | 攻击意图 |
| 黑客 | | | | 挑战 |
| 间谍 | 用户命令 | | 破坏信息 | 好奇 |
| 恐怖主义者 | 脚本或程序 | 本地访问 | 信息泄密 | 获取情报 |
| 公司职员 | 自治主体 | 远程访问 | 窃取服务 | 经济利益 |
| 职业犯罪分子 | 电磁泄露 | | 拒绝服务 | 恐怖事件 |
| 破坏者 | | | | 报复 |
破坏信息--->完整性
信息泄密--->机密性
窃取服务--->机密性
拒绝服务---->可用性
网络攻击模型
攻击树模型:起源于故障树分析方法,经过扩展用AND-OR 形式的树结构对目标对象进行网络安全威胁分析。可以被 Red Team用来进行渗透测试,同时也可以被Blue Team用 来研究防御机制。
· 优点:能够采取专家头脑风暴法,并且将这些意见融合到攻击树 中去;能够进行费效分析或者概率分析;能够建模非常复杂的攻 击场景。
· 缺点:由于树结构的内在限制,攻击树不能用来建模多重常识攻 击、时间依赖及访问控制等场景;不能用来建模循环事件;对于 现实中的大规模网络,攻击树方法处理起来将会特别复杂
Attack:
OR 1.Gain physical access to router
AND 1.Gain physical access to data center 2.Guess passwords
OR 3.Perform password recovery 2.Gain logical access to router
OR 1.Compromise network manager system
OR 1.Exploit application layer vulnerability in server 2.Hijack management traffic
2.Login to router
OR 1.Guess password 2.Sniff password
3.Hijack management session
OR 1.Telnet 2.SSH
3.SNMP
4.Social engineering
3.Exploit implementation flaw in protocol/application in router
OR 1.Telnet 2.SSH
3.SNMP
4.Proprietary management protocol
■ MITRE ATT&CK模型:根据真实观察到的网络攻击数据提炼形成的攻击矩阵模型;该模型把攻击活动 抽象为初始访问、执行、持久化、特权提升、躲避防御、凭据访问、发现、横向移动、收集、指挥和 控制、外泄、影响,然后给出攻击活动的具体实现方式。主要应用场景有网络红蓝对抗模拟、网络安全渗透测试、网络防御差距评估、网络威胁情报收集等。
■网络杀伤链(Kill Chain)模型:将网络攻击活动分成目标侦察、武器构造、载荷投送、漏洞利用、安装植入、指挥和控制、目标行动等七个阶段。【七伤剑】
网络攻击发展趋势
■ 网络攻击攻击智能化、自动化
■ 网络攻击者群体普适化
■ 网络攻击目标多样化和隐蔽性
■ 网络攻击计算资源获取方便 (DDOS/ 利用云计算进行口令破解)
■ 网络攻击活动持续化强 (APT 攻击)
■ 网络攻击速度加快
■ 网络攻击影响扩大
■ 网络攻击主体组织化
网络攻击一般过程(8步曲)
|-------------|-----------------------------------------------------------------------------|
| 步骤 | 内容 |
| (1)隐藏攻击源 | 利用被侵入的主机作为跳板;免费代理网关;伪造IP地址;假冒用户账号。 |
| (2)收集攻击目标信息 | 收集目标系统一般信息、配置信息、安全漏洞信息、安全措施信息、用户信息。 |
| (3)挖掘漏洞信息 | 系统或应用服务软件漏洞;主机信任关系漏洞;目标网络的使用者漏洞;通信协议漏洞; 网络业务系统漏洞。 |
| (4)获取目标访问权限 | 获得系统管理员的口令;利用系统管理上的漏洞;让系统管理员运行一些特洛伊木马; 窃听管理员口令。 |
| (5)隐蔽攻击行为 | 连接隐藏;进程隐藏;文件隐蔽。 |
| (6)实施攻击 | 攻击其他被信任的主机和网络、修改或删除重要数据、窃听敏感数据、停止网络服务、 下载敏感数据、删除数据账号、修改数据记录。 |
| (7)开辟后门 | 放宽文件许可权;重新开放不安全的服务;修改系统的配置;替换系统本身的共享库文 件;修改系统的源代码,安装各种特洛伊木马;安装嗅探器;建立隐蔽信道。 |
| (8)清除攻击痕迹 | 篡改日志文件中的审计信息;改变系统时间造成日志文件数据紊乱以迷惑系统管理员; 删除或停止审计服务进程;干扰入侵检测系统的正常运行;修改完整性检测标签。 |