《CCNP安全Secure 642-637認證考試指南》——2.4節網絡攻擊類型

本節書摘來自異步社群《ccnp安全secure 642-637認證考試指南》一書中的第2章，第2.4節網絡攻擊類型，作者【美】sean wilkins , trey smith，更多章節内容可以通路雲栖社群“異步社群”公衆号檢視

2.4 網絡攻擊類型

ccnp安全secure 642-637認證考試指南

在學習各種具體的網絡攻擊之前，讀者必須首先了解網絡攻擊的類型。請注意，攻擊類型由攻擊的目的而非攻擊者的動機決定。接下來，我們将讨論3種主要的網絡攻擊，每種攻擊都有其各自的目的。

偵察攻擊（reconn aissanceattack）：這種攻擊不會對系統或網絡造成直接破壞，其目的在于刺探網絡使用的位址範圍、系統與服務。攻擊者必須在一定程度上“抵近”系統或網絡以實施偵察，但一般不會在偵察時實施破壞。

通路攻擊（access attack）：這種攻擊利用網絡存在的漏洞以獲得網絡的通路權。攻擊者随後可以進行以下操作：

檢索、修改或破壞資料；

添加、移除或改變網絡資源（包括使用者通路資料）；

安裝後門軟體，以便今後入侵系統或網絡。

拒絕服務攻擊（dos attack）：**這種攻擊與分布式拒絕服務攻擊（ddos attack）一樣，旨在消耗系統或網絡的資源，使其無法為合法使用者提供正常的服務。

2.4.1　偵察攻擊

偵察的目的在于刺探目标系統或網絡的結構并尋找潛在的安全漏洞，以便為後續攻擊做準備。偵察攻擊通常是其他危害性更大的攻擊的前奏。目前，不少偵察攻擊已被寫入腳本，剛入行的黑客或腳本小子隻需點選幾次滑鼠就能完成對網絡的攻擊。下面列出了常見的幾種偵察攻擊手段。

dns查詢（dns query）：dns的作用是将域名解析為ip位址，是以通過查詢dns可以獲得企業或組織的詳細資訊。大部分dns資訊都是公開的，使用者可以很友善地檢視所需的資訊。dns lookup與whois是兩種最常見的dns查詢系統，前者用于查詢指定伺服器的ip位址資訊，後者用于查詢域名的ip位址以及所有者等資訊。使用者可以通過whois擷取以下資訊：

企業或組織名稱；

企業或組織編号，由美國網際網路号碼注冊中心（arin）配置設定；

通信位址；

配置設定的公共ip位址；

公共域名伺服器位址；

技術支援人員的姓名、聯系電話與電子郵件位址。

ping掃描（ping sweep）：未授權使用者可以通過ping掃描檢視網絡中活躍的主機數量。

垂直掃描（vertical scan）：對一台主機的所有端口以及每個端口的不同服務進行掃描。未授權使用者可以通過垂直掃描确定目标主機所用的作業系統與服務。

水準掃描（horizontal scan）1：對所有主機的指定端口或服務的位址範圍進行掃描。ftp掃描是一種常見的水準掃描，旨在查找ftp伺服器（21端口）中的檔案。

塊掃描（block scan）：對某個網段中所有主機的所有端口進行掃描，可以将其視為垂直掃描與水準掃描的結合。

2.4.2　通路攻擊

顧名思義，通路攻擊旨在獲得系統或網絡的通路權。進入目标系統或網絡之後，攻擊者可以進行以下操作。

攔截（interception）：攻擊者可以捕捉并儲存網絡中傳輸的流量以備今後使用。企業的人事檔案、工資資訊、研發計劃等機密資訊在網段中傳輸時，都可能被與該網段相連的嗅探裝置攔截。為資料設定密碼能保護網絡管理資料的安全，這也是采用ssh而非telnet通路裝置的一個重要原因。攻擊者可以采用多種方式攔截流量，不過通常都需要實際連接配接到網絡。保護敏感資料最有效的方法是将它們加密儲存、加密傳輸，以防止攻擊者讀取資料。攔截操作如圖2-1與圖2-2所示。

修改（modification）：攻擊者可以篡改檔案内容與系統配置，或在未經授權的情況下進行系統接入、權限提升等操作。作業系統或應用可能存在安全漏洞，攻擊者不難利用這些漏洞進入網絡。可以将未經授權的提權描述如下：經過授權的低級别使用者試圖獲得進階别或高權限使用者的賬戶資訊，以提升攻擊者（未授權使用者）的權限等級。一旦獲得進階别權限，攻擊者就能在更高層次上控制目标系統或網絡。這方面的一個典型例子是采用arp毒化（arp poisoning）進行路由器與交換機欺騙。通過實施這些攻擊，攻擊者可以修改大量網絡參數。

捏造（fabrication）：攻擊者可以建立一些虛假對象（如經過篡改的資料、病毒、蠕蟲以及木馬），并将其注入到網絡中。

病毒：計算機病毒既可以是令人生厭的小程式，也可以是破壞性極大的超級病毒。病毒是一種計算機代碼，它将自身附着于計算機運作的軟體中。使用者一旦運作被病毒感染的軟體，病毒就會開始複制并傳播，直到感染整個系統。

蠕蟲：一種利用聯網系統存在的安全漏洞複制并傳播的病毒。蠕蟲對網絡進行掃描，一旦發現存在漏洞的系統，蠕蟲就将自身複制到該系統，然後以此為跳闆向網絡的其他部分繼續傳播。

木馬：一種惡意程式，通常僞裝成其他正常程式（如遊戲）。一旦使用者運作該程式，木馬就開始滲透并破壞系統（如删除硬碟資料）。木馬程式的種類繁多，危害系統的程度各不相同。有些木馬隻會讓使用者感到輕微的不适，而另一些木馬則會危害整個檔案系統的安全。木馬可以在系統中建立使用者賬戶，進而使攻擊者獲得系統的通路權或提升攻擊者的權限等級。某些木馬還能從主機系統中捕捉資料，并将其發送到攻擊者可以通路的位置。最著名的一種木馬能感染大量計算機，進而形成僵屍網絡（botnet）。攻擊者可以對被感染的計算機實施包括身份盜竊在内的各種攻擊。

2.4.3　dos攻擊

dos攻擊旨在消耗系統或網絡的資源，阻止合法使用者獲得服務。dos攻擊一般針對特定的服務，通過反複發送海量請求以阻塞目标系統或網絡的正常通信。如果沒有部署安全措施或未能及時對dos攻擊做出響應，則系統很容易被同時産生的大量腳本所淹沒。為增強dos攻擊的效果，還可以從多個系統（僵屍網絡）同時對一個目标發動攻擊，這就是ddos攻擊。

備考指南

前言的“本書内容結構”部分列出了備考的幾種方式：各章習題、助記表（附錄c）、第22章以及随書CD光牒中的模拟考題。每一章最後均包含若幹主觀題填空。與實際考試相比，主觀題的難度較大，讀者可以借此檢驗自己對本章内容的掌握程度。主觀題的答案請參見附錄a。

1簡而言之，垂直掃描對一台或多台主機的所有端口進行掃描，而水準掃描對多台或所有主機的某一個端口進行掃描。垂直掃描搜尋所有端口可能存在的安全漏洞，并發動各種攻擊。水準掃描僅搜尋特定端口可能存在的安全漏洞，并發動特定類型的攻擊。與水準掃描相比，垂直掃描需要掃描的端口數更多，是以所需的時間更長。——譯者注