网络安全------网络攻击分类

ps：文章参考张选远的网络安全-网络攻击分类整理

一.读取攻击

   读取攻击主要包含所有从受害者哪里获取信息的相关攻击。此类攻击会从获取组织结构的ip地址，在那些地址范围内进行端口扫描和漏洞弱点扫描，最后到入侵有弱点的主机获取信息。






1.侦察（reconnaissance recon）攻击：

   侦察（reconnaissance recon）攻击：主要是为使攻击者可以获取更多有关受害者的
信息而设计的，侦察攻击可采用主动方法和被动方法，在几乎所有的情况下，成功的侦察攻
击可使后续攻击成功能可能性大大提高，因为攻击者获取得了更多有关受害者的信息。

    数据整理攻击：是所有对网络攻击的第1 步，攻击者结合了各种基于网络的实用程序
和internet 搜索引擎查询，以获得更多的信息。
常常使用网络实用程序：whois、nslookup、finger、tranceroute、ping、google 等。

攻击者利用此攻击获取：关键系统的 IP 地址、受害者所分配的地址范围、受害者的
internet 服务提供商。

       探测和扫描攻击：也常称为端口扫描或弱点扫描，攻击者利用通过数据收集攻击获得的
信息来获悉有关受攻击网络的信息，一般首先要执行端口扫描，然后进行弱点扫描，通过使

用工具nmap之类的工具，通过此类攻击可以获得：受攻击者网络上所有可以公共到达的IP

地址，每个可达系统所运行的OS 猜测结果，在所发现的每个IP 地址上运行的可达服务，
网络是否处于防火墙的保护之下，防火墙的类型。

   注：有时间一定要整理一片关于nmap使用的文章

2、嗅探攻击


       当攻击者从线缆上捕捉数据包，或数据包穿过攻击者系统时，这可以称为某种形式的嗅探攻击。嗅探攻击其目的在于读取信息获得情报，以使于攻击者了解目标系统，这样受到嗅探的协议信息必须以明文而不是密文的形式发送，嗅探才得以成功，主要获得如下信息：认证信息、网络管理信息、机密事务等。经常使用的工具比：ethereal，wireshark等等嗅探并不是攻击者专用的，也是一种极好的故障排队工具，大多数网络工程师往往用其诊断各种联网问题，在UNIX
环境时，常用使用tcpdump 工具。

3、直接攻击


     
 直接访问涵盖攻击者试图直接访问网络资源的所有攻击。例如，攻击者找到穿越防火墙的方法后，攻击者利用直接访问攻击登录到曾受防火墙保护的系统中，此后，攻击者就可以发起不限次数的其他攻击，最常见的是操纵攻击。虽然直接访问攻击几乎总是在第七层发起的，但如果攻击不是很特殊，直接攻击可在较低层遭到阻止，例如，配置正确的防火墙可以防止对于支持在web 服务上的telnet后台程序攻击，由于普通用户不应在web 服务器上使

用telnet，防火墙可以在第4 层阻止该请求。如果攻击是针对本应用可用的服务在第七层进行的，那么阻止攻击的责任就再度由可感知应用程序的系统来承担，如IDS 或应用程序的安全配置。

二、操作攻击

   任何取得成功的主要手段依赖于在 OSI 模型的某层对数据进行操作的攻击都称为操纵攻击，其中主要有网络操纵和应用程序操纵。





1、网络操纵攻击

      最常见的是 IP 分片，攻击者对流量进行蓄意分片，以试图绕过基于网络（IDS 或防火墙）或基于应用程序的安全控制。Fragroute 就是一种用于发起IP 分片攻击的工具。除了 IP 分片，攻击者还可以执行源路由攻击，攻击者利用源路由选择可以在网络中选择攻击路径。源路由选择几乎没有合法应用，默认情况下，在大多数路由器上是关闭的。有很多攻击者可以利用
IP、TCP 和UDP 协议进行攻击。除了第 3 层和第4 层操纵，攻击者还可以修改第2 层信息，以达到进行虚拟LAN 跳转或其它本地网络攻击的目的。

2、应用程序操纵攻击

       是指在应用层执行的攻击。其主要利用应用程序设计或实施方案中的缺陷，最著名的应用程序操纵攻击就是缓冲区溢出攻击。比如web 应用程序攻击、不安全的通用网关接口（Common Gateway Interface, CGI）。

     缓冲区溢出：是应用程序弱点的表现，应用程序开发人员未对应用程序所占用的内存地址作足够的绑定检查时所发生的就是缓冲溢出。比如，对于某个内存地址，典型的程序可能预计会从用户接收50 字节的输入，如果用户发送了400 字节，那么应用程序将丢弃350 字节，可是，如果应用程序含有编码错误，那么这350
字节会殃及内存的其他部分，而且可以会以原始应用程序的权限执行代码。如，如果弱点的应用程序是以root 身份运行的，成功的缓冲区溢出攻击通常会导致攻击者获得root 权限。想要利用安全技术全部阻止这些攻击几乎是不可能的。因为大多数状态防火墙是在第4层对流量进行监控的，攻击者可以远程发起WEB 缓冲区溢出攻击，而因为该防火墙允许端口80 的流量通过，攻击者将会成功。

      Web 应用程序攻击：此类攻击是多变的，比如跨站脚本执行和不安全CGI，对于跨站脚本执行，恶意信息是嵌在受害者所点击的URL 中的，如果用户点击internet 上的恶意链接，这就可以导致用户的信息在无意中泄密。阻止用户成为跨脚本执行攻击的受害者依赖于教给他们如何识别恶意URL。注意：跨站脚本执行是采用迷惑手段，某些WEB
浏览器状态栏（浏览器底部，从中可以看到URL 的细节）是禁用的，在状态栏关闭的情况下，点击链接之前用户绝不会看到将要前往的实际站占的地址，同样，攻击者可以利用DNS 进行迷惑，如果攻击者可以让客户端看到攻击者IP 地址一致的特定DNS 名称，那么该客户端将认为自己所连接的是合法站点，但实际上他们连接的是攻击者的机器。因为实际的IP 地址绝不会在浏览器上显示出来，所以客户端就很可能对攻击一无所知，普通的WEB 用户绝不会注意到这些差异，即使浏览器将这些差异显示的非常清楚。在早期的攻击者会使用不安全的 CGI
进行攻击，每当在网站填写表单或输入IP 地址时，所用到的就是某种形式的CGI 脚本。
   注：有时间写一下web攻击的内容

三、欺骗攻击

       攻击者能够导致用户或系统中的设备认为信息是来自于实际上未发出该信息的来源时发生的就是欺骗攻击，几乎在任何薄弱或网络通信中未实施认证的位置均可发起欺骗攻击。其中常见的有MAC 欺骗、IP 欺骗、传输欺骗、身份欺骗和无赖设备。



1、MAC 欺骗

        是种非常直观的攻击，攻击系统利用这种攻击将自己的 MAC 地址改为受信任系统的地址，在以太网环境中，交换机上的CAM 表可以跟踪MAC 地址、VLAN 和MAC 地址所连接的端口，攻击者将MAC 地址改为另一个与交换机相连的系统的地址时，CAM 表将得到更新，交换机主认为某台机器从一个位置移动到另一个位置。前往该MAC 地址的流量都会发送给攻击者，这种攻击在只接收数据而不主动发送数据的系统上效果很佳。Syslog 服务器就是一个恰当的例子。
CAM名词解释：
    CAM（content addressable memory，内容可寻址存储器）存储着MAC 地址和端口（二层接口）的对应表。以太网交换能够通过读取传送包的源---MAC地址和记录帧进入交换机的端口来学习网络上每个设备的地址。然后，交换机把信息加到它的转发数据库(MAC地址表)。这个数据库就存储在CAM中。

2、IP 欺骗

       攻击者只需进入系统的原始数据包驱动器中，然后攻击者就可以发送还有 IP 报头的数据包。加密只有应用到需要加密通信以访问 IP 层的系统中才能用作保护机制，例如，采用IPSec 进行通信的金融应用程序不会接受任何主机的原始IP 连接，无论是合法的还是假冒的，这种加密系统概念也适合于传输欺骗。

3、传输欺骗

    传输欺骗是指成功地在传输层实现了通信欺骗。
    UDP 欺骗：因为其报头结构简单，如简单网络管理协议（SNMP）、syslog、普通文件传输协议（TFTP）之类的管理应用程序都使用UDP 作为其传输机制，这也是系统安全中最薄弱的环节。
    TCP 欺骗：TCP 协议具有很高的安全性，因为其是面向连接的协议。因为32bit 的序列号是特定于连接的，而且操作系统中是伪随机的，很难预测到连接的序列号，攻击者试图通过在真正的客户机与服务器之间通过认证后插入会话中来伪装成受信任的客户机。但在攻击者无法看到客户机与服务器之间交换数据包的情况下，此类攻击非常难以实现。从客户机与服务器之间的路径上的位置发起攻击时，其破坏力极大。
    身份欺骗：身份欺骗涵盖许多不同的形式，密码破解、暴力登录尝试、数字证书偷窃和伪造均要认为是这种攻击的类型。身份验证机制可由下列从最不安全到最安全的方法来实现：

        1）明文用户名和口令（telnet）

        2）预共享密钥（WEP）

        3）经过加密的用户和口令（SSH）
        4）一次性口令（OTP）
        5）公钥加密系统（PGP、IPSec）

       John the Ripper 和LC4 都是密码破解攻击的形式，这种攻击本质上是对密码进行猜测、加密，然后将其与受害者存储在服务器上已经加密的密码进行比较的尝试。大多数密码都是以加密效果强劲的单向散列形式存储的，其是不可逆的，所以试图窃取密码最容易的方法就是对后续密码进行所谓的字典攻击。

4、无赖设备
       上面的讨论中是基于软件层面的，攻击者可以利用无赖设备进行攻击，可以将无赖设备添加到网络中，以使设备成为合法的身份，比如DHCP 攻击。将设备系统添加到网络中，该系统在此网络中尝试确定IP 寻址方案，以及搜索HTTP 代理服务器，然后创建一条隧道式连接与攻击者相连。这就使远程攻击者以本地用户身份出现，发起攻击。利用无赖设备可以起毁灭性的攻击。但执行这种攻击一般需要攻击者实际接触到目标网络。

四、泛洪攻击

        攻击者向某些网络资源发送过量的数据时发生的就是泛洪攻击。这些网络设备可以是路由器、交换机、应用程序、主机，也可以是网络链路。常见的包括MAC 泛洪、网络泛洪、TCP SYN 泛洪和应用程序泛洪。



1、MAC 泛洪
        是指以假冒的源 MAC 地址和目的地址将数据包从攻击者的系统发送到以太网链路上，用于占领MAC 地址在交换上CAM 的位置，由于CAM 表容量是有限的，当CAM 填满后，其它主机就只能在本地LAN 上进行泛洪，这就使攻击者可以对这些帧进行嗅探。

2、网络泛洪
       一般是消耗网络链路的可用带宽而设计的，然后，将合法流量发送到充斥着虚假流量的线缆上的可能性就非常低了，这些攻击通常是针对网络的internet 链路的，internet 链路既是网络中最缓慢也是其中最关键的部分，常见有smurf 和DDos。

       Smurf 攻击：是利用假冒的internet 控制消息协议（ICMP）广播ping 进行攻击，IP支持所谓的定向广播，某个工作站将广播数据包发送到另一个网络时所发生的就是定向广播。例如，当192.168.1.0/24 网络中的一台主机可以将数据包发送到192.168.1.255，如是路由器配置为传播定向广播，那么网络192.168.1.0/24
就会收到该数据包，将其发送给网络192.168.1.0/24 上的所有主机，该网络上所有配置为对广播流量作响应的工作站都会作出响应。Smurf 攻击利用这种形为将很小的数据包变成大规模的攻击，如下图所示：



        Smurf 是一种增幅攻击，因为一个假冒广播ping 到达回弹网络后，该网络中的每台主机都会向这种攻击的受害者响应各不相同的ping 数据包。假定攻击者能够向其中有100 台主机的的回弹网络发出速率为768kbit/s 的广播ping 数据，将回程流量发送到受攻击网络中的时候，这将变成速率为每秒76.8Mbit/s
的数据流，回弹的网络越大增幅就越大。
       在路由器上可以使用命令 no ip directed-broadcast 可以阻止网络成为smurf 攻击的源头。也可利用承诺访问速度(CAR)之类的技术对其进行过滤。

       DDOS 攻击：在增幅泛洪攻击出现之前，只要带宽高于攻击者的带宽，网络就不会受网络泛洪攻击的影响。现在，攻击者利用增幅攻击可以得到比受害者高得多的带宽。Stacheldraht 攻击是最早的DDoS 攻击之一，是一种三级DDoS 攻击，攻击者利用这种攻击与主控系统进行通信，而主控系统与代理系统进行通信。许多较新的的攻击已经没有“主控系统”这个角色，而采用了通过IRC
通道进行注册的代理系统，这使得检测非常困难，其原理如下：
1)攻击者侵入许多 internet 上的系统，然后将DDoS 主探系统软件安装在系统中
2)这些主探系统尝试感染 internet 部分，然后将受感染的系统作为代理系统，从特洛伊木马电子邮件，到利用应用程序或操纵系统中的弱点，其中任何一种方法均可用于攻击失守的代理系统
3)攻击者伺机将攻击指令发送给主控系统，主控系统随后将操纵其代理系统，对某个IP 地址进行泛洪攻击。
4)受攻击的网络将淹没在假冒的网络流量中，合法用户的请求得到处理的可能性将会很小。

       


     对于这种攻击和所有基于网络的泛洪攻击，在没有服务提供商协助的情况下，这些攻击是无法得到阻止的。

TCP SYN 泛洪：是泛洪攻击的最早形式之一，这种攻击的原理是，发送一个TCP SYN数据包，然后不再对其响应送回的SYN-ACK 确认，由于TCP 在某种程度上是可靠的，收到SYN 数据包的服务器将一直将边接保持开放状态，服务器还会定期重新发送SYN-ACK数据包，在拆除连接之前，默认情况下最多发4
次。攻击者发起 TCP SYN 泛洪攻击时，分们会向某个系统发出数千个连接请求，以耗尽服务器的所有可用内存，这会使用服务器崩溃。三次握手图:



3、应用程序攻击
        是指消耗应用程序或系统资源而设计的攻击，最常见的应用程序泛洪是垃圾邮件。其它类型的应用程序攻击包括在服务器上持续运行 CPU 密集型应用程序，以及利用持续不断的认证请求对服务器进行泛洪攻击。除了是在应用层，如同 SYN 泛洪攻击，攻击者TCP 连接建立完毕后，在提示输入密码时停止响应。还有一种无意中引起的应用程序攻击，称为 slashdot 效应。是一个访问量众多的计算机怪客新闻站点，如果该新闻很受欢迎，那么与该站点的连接会出现高嶷，这往往会使该站点在一段时间内不可用，这种现象也叫快闪人群。

五、重定向

       在重向攻击中，攻击者试图更改网络中的信息，这可以发生在任何一层，但最适于从网络安全角度进行讨论的是L2、IP 层和传输层重定向。



1、L2 重定向

      通过利用 ARP 或生成树协议均可实现L2 重定向攻击。ARP 重定向或ARP 欺骗：这种攻击是最常见的，也称为ARP 欺骗。这种攻击主要是发出假冒的ARP 广播，声称默认网关的MAC 地是自己的MAC 地址，受攻击的机器更新其ARP 高速缓存后，所有的出站请求都不会通过默认网关，而是由攻击者的机器来转发，数据包在攻击者的机器中被修改、读取和丢弃。

2、STP 重定向
       用 STP 攻击作为在L2 对流量进行重定向的另一种方法，攻击者能够欺骗L2 网络，使

其相信攻击者应该位于根STP 桥，这会导致拓扑重新收敛，变成对攻击者有利的交换路径。

3、IP 重定向
       通过添加无赖路由并发出虚假通告，或通过对生产路由器进行重新配置，IP 重定向攻

击均可改变可路由系统中的信息流。这种攻击最常见的应用是对穿过攻击者系统的可路由流

量进行重定向。在将其送回到网络中之前，攻击者可对这种流量在自己的系统中进行读取或

操纵。即使攻击是远程的，攻击者也可以利用GRE 之类的技术将L3 流量通过隧道在广阔

的网络上进行传输。

4、传输重定向
       是一种狡诈的攻击，执行这种攻击的目的一般是使攻击者可以将通常会发送到一个位置的流量转移到另一个位置。Netcat 就是这种攻击工具的最佳例子，虽然其用户有许多是合法的，在传输重定向攻击中，攻击者能够在失守的系统中安插窃听器，以便查询从一个系统和端口重定向到另一个系统和端口。攻击者是在公共服务器网络上失守的主机中发起传输重定向攻击的，该主机可以查询进行重定向，致使源自internet 的telnet 查询被重定向为去往内部网络的SSH 查询，这样攻击者就能够利用防火墙中现有的规则发送防火墙管理员绝不会有意发送的流量。