信息安全工程师系列-第2关 网络攻击原理与常用方法

第679期

（一）核心概念解析

网络攻击是指通过各种手段破坏网络系统安全属性（机密性、完整性、可用性等）的危害行为，其本质是利用系统漏洞实现未授权访问或资源滥用。攻击模型包含攻击者、攻击工具、攻击访问、攻击效果和攻击意图五大要素，例如黑客常使用脚本程序远程访问目标系统，实现信息泄密以满足技术挑战的意图。

（二）经典攻击模型

1.攻击树模型：以树状结构分解攻击目标，如攻击路由器可分解为物理访问获取和逻辑访问渗透等分支，常用于渗透测试和防御设计。

2.MITRE ATT&CK 模型：将攻击抽象为 12 个阶段（如初始访问、持久化），为红蓝对抗和威胁情报收集提供框架。

3.网络杀伤链（Kill Chain）模型：分为目标侦察、武器构造、载荷投送等 7 个阶段，典型如震网病毒通过 U 盘投送恶意代码攻击伊朗核设施。

（三）发展趋势与特点

·工具智能化：如 “永恒之蓝” 蠕虫自动扩散导致全球网络瘫痪。

·攻击普适化：非技术人员利用自动化工具（如 Metasploit）实施攻击。

·目标多样化：从操作系统扩展到工业控制设备（如乌克兰电网攻击）。

·APT 常态化：国外组织针对国内金融、政府领域持续攻击（如海莲花组织）。

二、网络攻击一般过程与案例

（一）八大攻击步骤详解

1.隐藏攻击源：通过跳板主机、伪造 IP（如利用被入侵的 Web 服务器作为代理）隐藏真实位置。

2.信息收集：利用 Nmap 扫描目标端口（如扫描 445 端口发现 SMB 服务漏洞）、WHOIS 查询域名信息。

3.漏洞挖掘：发现 Windows 系统 MS17-010 漏洞（永恒之蓝利用该漏洞）。

4.权限获取：通过弱口令（如 admin/admin）或缓冲区溢出获取管理员权限。

5.隐蔽行为：修改系统日志、使用 rootkit 隐藏进程。

6.实施攻击：删除关键文件、窃取数据库数据。

7.开辟后门：植入远程控制木马（如冰河木马）。

8.清除痕迹：篡改日志时间、删除攻击脚本。

（二）实战案例分析

案例 1：乌克兰电网停电事件（2015 年）

·攻击链：钓鱼邮件→BlackEnergy 木马→SSH 后门→Killdisk 自毁工具→切断电力控制信号。

·关键手段：利用社会工程学诱骗员工点击恶意附件，结合 DDoS 攻击客服中心阻止维修。

案例 2：W32.Blaster.Worm 蠕虫

·传播路径：扫描 TCP 135 端口→利用 DCOM RPC 漏洞→在 4444 端口绑定后门→下载并执行病毒。

·破坏效果：系统频繁重启，攻击windowsupdate.com阻止用户打补丁。

三、常见攻击技术与防御要点

（一）端口扫描与防御

·扫描类型：

·SYN 扫描（半连接扫描）：发送 SYN 包后断开连接，通过响应判断端口状态。

·FIN 扫描：发送 FIN 包，开放端口无响应，关闭端口返回 RST。

·防御措施：部署防火墙过滤异常包，使用端口安全策略限制非必要服务。

（二）口令破解与加固

·攻击方法：

·字典攻击（使用常见密码列表）

·彩虹表攻击（预计算哈希值匹配）

·暴力破解（穷举所有可能字符组合）

·案例：某企业员工使用 “123456” 作为数据库密码，被攻击者通过 Hydra 工具破解。

·加固建议：密码长度≥8 位，包含大小写字母、数字和特殊字符，启用双因素认证。

（三）缓冲区溢出攻击

·原理：向程序缓冲区写入过量数据，覆盖返回地址，控制程序执行流程。

·案例：1988 年莫里斯蠕虫利用 fingerd 服务缓冲区溢出漏洞，感染 6000 余台 UNIX 主机。

·防御：编写安全代码（避免使用 strcpy 等危险函数），启用地址空间布局随机化（ASLR）。

（四）拒绝服务攻击（DoS/DDoS）

·常见类型：

·SYN Flood：伪造源 IP 发送 SYN 包，耗尽目标 TCP 连接队列。

·DNS 放大攻击：利用 DNS 服务器反射原理，放大攻击流量。

·HTTP Flood：僵尸网络发送大量 HTTP GET 请求瘫痪网站。

·案例：2000 年 Yahoo 遭 DDoS 攻击，服务中断数小时。

·防御：部署 DDoS 防护设备，启用 SYN cookies，限制单 IP 连接数。

（五）网络钓鱼与防范

·攻击手段：伪造银行邮件，诱导用户访问虚假网站输入账号密码。

·案例：某银行用户点击 “账户异常” 邮件链接，导致信用卡信息被盗。

·防范：验证网站 URL（查看 HTTPS 证书），不点击可疑邮件附件，启用邮件内容过滤。

四、黑客工具与渗透测试

（一）常用攻击工具

1.扫描器：

·Nmap：检测开放端口、操作系统类型（如 nmap -sS -O 192.168.1.1）。

·Nessus：漏洞扫描工具，生成详细风险报告。

2.密码破解：

·John the Ripper：Unix/Linux 密码破解。

·L0phtCrack：Windows 密码审计。

3.渗透工具包：

·Metasploit：包含 1500 + 漏洞利用模块，如利用 ms17_010_eternalblue 攻击 Windows。

·WireShark：网络嗅探，捕获明文传输的口令。

（二）渗透测试流程

1.信息收集（Nmap 扫描、社工信息获取）

2.漏洞分析（Nessus 扫描结果解读）

3.漏洞利用（Metasploit 执行攻击模块）

4.权限提升（利用系统配置漏洞提权）

5.后门植入（安装远程控制程序）

五、历年真题与解析

（一）2023 年单选题

题目：下列哪项属于网络杀伤链模型的阶段？（ ）          A. 漏洞扫描 B. 武器构造 C. 密码破解 D. 日志清除

答案：B          解析：网络杀伤链包括目标侦察、武器构造、载荷投送等 7 个阶段，B 正确。A、C、D 属于攻击辅助手段，非模型标准阶段。

（二）2022 年案例分析题

背景：某电商网站遭大量 HTTP GET 请求攻击，页面无法访问。          问题：

1.该攻击属于哪种类型？

2.列出至少 3 项应急响应措施。

参考答案：

1.分布式拒绝服务攻击（DDoS）中的 HTTP Flood 攻击。

2.应急措施：

·启用 CDN 分流攻击流量；

·在防火墙上配置 IP 黑白名单，限制异常 IP 访问；

·联系 IDC 服务商增加带宽，部署 DDoS 清洗设备；

·临时关闭非核心服务，确保核心业务可用性。

六、考点总结与复习重点

（一）核心考点列表

1.攻击模型：Kill Chain 七阶段、MITRE ATT&CK 框架

2.攻击技术：端口扫描类型（SYN/FIN/NULL）、缓冲区溢出原理、DDoS 攻击分类

3.工具应用：Nmap 扫描参数、Metasploit 漏洞利用模块、密码破解方法

4.案例分析：乌克兰电网攻击链、W32.Blaster 传播路径

5.防御措施：口令加固策略、DDoS 应急响应流程、钓鱼邮件防范要点

（二）复习建议

·重点掌握 Kill Chain 模型与攻击步骤的对应关系，理解每个阶段的典型手段；

·结合真题练习端口扫描类型判断（如 SYN 扫描与 FIN 扫描的区别）；

·熟记常见攻击工具的功能（如 Nmap 用于信息收集，Metasploit 用于漏洞利用）；

·关注近年高频考点：APT 攻击特点、DDoS 防御技术、社会工程学攻击案例。

提示：攻击原理是软考重点模块，需结合工具实操和案例理解，建议通过 CTF 平台（如 TryHackMe）练习基础渗透流程，加深对攻击技术的理解。