《網絡攻防技術》課件 第1、2章 網絡攻防技術概述、Windows操作系統(tǒng)的攻防

第一章網絡攻防技術概述近年來，世界各國對網絡空間的爭奪日益激烈，針對網絡空間的控制信息權和話語權成為新的戰(zhàn)略制高點；現(xiàn)實空間的滲透和恐怖襲擊正與網絡空間的滲透和恐怖襲擊更緊密地結合在一起，成為人類社會面臨的新威脅；不斷增長和擴散的計算機病毒（如木馬、蠕蟲）和黑客攻擊等大量信息時代的“衍生物”，正在對信息化程度較高的金融、交通、商業(yè)、醫(yī)療、通信、電力等重要國家基礎設施造成嚴重的破壞，成為影響國家安全的新威脅。保護網絡空間安全作為重大挑戰(zhàn)之一，已與防止核恐怖事件，利用核聚變能量等一起被列為新世紀亟待解決的難題。網絡攻防背景本章概要本章立足網絡空間安全，介紹網絡攻防的基本概念和相關技術：黑客、紅客以及紅黑對抗網絡攻擊的類型網絡攻擊的屬性主要攻擊方法網絡攻擊的實施過程網絡攻防的發(fā)展趨勢1.1黑客、紅客及紅黑對抗計算機的出現(xiàn)使程序的自動運行變成了現(xiàn)實，而網絡技術的應用使信息成為物質和能量以外維護人類社會的第三資源。隨著計算機應用的普及和Internet的飛速發(fā)展，黑客、紅客等概念出現(xiàn)，涉及到黑客與紅客之間博弈的紅黑對抗引起社會的關注。

1.1.1黑客與紅客黑客簡介（hacker）早期當前

特指哪些技術高超，愛好鉆研計算機技術，能夠洞察到各類計算機安全問題并加以解決的技術人員，是安全的守護者和捍衛(wèi)者。白帽：挖掘并公開漏洞的黑客白帽網站：供白帽、安全廠商和安全研究者對安全漏洞等問題進行公開和反饋的網絡平臺，也是為互聯(lián)網安全研究者提供學習、交流和研究的平臺正面負面

指熟悉計算機操作系統(tǒng)的原理且能夠及時發(fā)現(xiàn)和利用操作系統(tǒng)存在的安全漏洞，通過實施非法入侵、竊取、破壞等行為的計算機搗亂分子或計算機犯罪分子，也稱為“駭客”（cracker）。

當前黑客通常通過使用已有工具軟件對計算機系統(tǒng)進行攻擊和控制，因此又稱為軟件黑客（softwarecracker）或腳本小子（scriptkids）。

黑客與駭客的異同黑客駭客系統(tǒng)安全守衛(wèi)者工作具有建設性掌握計算機編程能力系統(tǒng)安全破壞者惡意破壞性操作掌握入侵和掃描工具使用方法，一般不具備計算機編程能力利用掌握的計算機技術在未經授權情況下訪問計算機文件或網絡計算機系統(tǒng)和網絡的入侵者紅客信息安全的守衛(wèi)者具備傳統(tǒng)黑客的技術能力能夠有效阻止計算機系統(tǒng)和網絡的破壞行為具有“正義感”確保用戶能夠按既定的秩序在系統(tǒng)中提供或獲得服務

紅客與黑客的區(qū)別紅客黑客某種意義上代表“正義”行為一般都公開可以充分運用技術和非技術手段捍衛(wèi)系統(tǒng)的安全某種意義代表“邪惡”在隱蔽環(huán)境下進行紅客映射著一種正能量和正面精神，是正義感、愛國情懷和進取精神的從事網絡安全的黑客1.1.2紅黑對抗網絡空間網絡空間是繼陸、海、空、天領域之后的第五維空間，它是以自然存在的電磁能為載體，人工網絡為平臺，信息控制為目的的空間。網絡空間包括電子系統(tǒng)、計算機、通信網絡和其他信息基礎設施，通過對信息的產生、存儲、修改、交換、分析和利用，實現(xiàn)對物理實體的實時控制，以影響人的認知活動和社會行為。網絡空間已經成為國家最重要的基礎設施，網絡空間安全對抗也成為捍衛(wèi)國家安全的重要使命。網絡攻防實質是網絡空間中人與人之間的智力博弈表現(xiàn)形式為紅客與黑客之間的對抗，即“紅黑對抗”紅黑對抗是一種正義與非正義之間的斗爭信息安全領域中紅黑對抗是一個互相抗衡、此消彼長的動態(tài)過程紅黑對抗伴隨著信息技術的發(fā)展而不斷演進模型創(chuàng)建是網絡攻防的基礎，通過建立和分析網絡攻防博弈模型，可以評測攻防雙方的既定策略，并基于攻防雙方的驅動與能力，獲得縱深的策略集合甚至是攻防均衡點，使防御方能夠基于最小的代價獲得最大的安全收益，為網絡攻防提供理論依據1.2網絡攻擊的類型網絡攻擊是指任何非授權而進入或試圖進入他人計算機網絡的行為，是入侵者實現(xiàn)入侵目的所采取的技術手段和方法。網絡攻擊對象對網絡中單個節(jié)點的攻擊，如服務器、防火墻、路由器等對整個網絡的攻擊對節(jié)點上運行的某一個應用系統(tǒng)或應用軟件的攻擊網絡攻擊(根據實施方法差異)主動攻擊被動攻擊中斷篡改偽造竊聽流量分析1.2.1主動攻擊主動攻擊是指攻擊者為了實現(xiàn)攻擊目的，主動對需要訪問的信息進行非授權的訪問行為。中斷攻擊主動攻擊篡改攻擊偽造攻擊可用性完整性真實性中斷可用性（availability）是指授權實體按需對信息的取得能力強調信息系統(tǒng)的穩(wěn)定性強調持續(xù)服務能力中斷主要通過破壞計算機硬件、網絡和文件管理系統(tǒng)來實現(xiàn)對系統(tǒng)可用性的攻擊拒絕服務*針對身份識別應用的攻擊針對訪問控制應用的攻擊針對審計跟蹤應用的攻擊篡改完整性（integrity）：防止信息在未經授權的情況下被篡改，強調保持信息的原始性和真實性，防止信息被蓄意地修改、插入、刪除、偽造、亂序和重放，以致形成虛假信息原始性：網絡環(huán)境信息完整性實現(xiàn)方式：篡改攻擊：利用存在的漏洞破壞原有的機制，達到攻擊目的協(xié)議糾錯編碼數字簽名校驗……信息正確生成信息正確存儲信息正確傳輸偽造偽造攻擊：針對信息的真實性（validity），指某個實體（人或系統(tǒng)）冒充成其他實體，發(fā)出含有其他實體身份信息的數據信息，從而以欺騙方式獲取一些合法用戶的權利和特權主要攻擊對象：認證系統(tǒng)：使信息接收者相信所接收到的信息確實是由該信息聲稱的發(fā)送者發(fā)出的，即信息發(fā)送者的身份是可信賴的；保證通信雙方的通信連接不能被第三方介入，防止攻擊者假冒其中的一方進行數據的非法接收或傳輸對身份認證的攻擊對資源授權的攻擊1.2.2被動攻擊利用網絡存在的漏洞和安全缺陷對網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據進行的攻擊。一般不對數據進行篡改通過截取或者竊聽等方式未經用戶授權對被動攻擊竊聽對消息內容進行獲取，或對業(yè)務數據流進行分析流量分析竊聽竊聽概念：竊聽內容：以明文形式保存和傳輸的信息通過數據加密技術處理后的密文信息竊聽方式：打破原有工作機制式，如對加密密文的竊聽利用網絡已有工作機制式通過混雜模式竊聽以太網本網段的廣播分組報文信息接收WLAN信號，并通過信號分析恢復獲得原始信息原指偷聽別人之間的談話本書指借助于技術手段竊取網絡中的信息流量分析流量：數據在網絡中傳輸時以流量進行描述流量分析：建立在數據攔截的基礎上，對截獲的數據根據需要進行定向分析協(xié)議數據單元（ProtocolDataUnit，PDU）：TCP/IP體系結構分層模型中每一層對網絡流量的格式定義稱為協(xié)議數據單元物理層數據鏈路層網絡層傳輸層應用層數據位（bit）數據幀（frame）分組（packet）數據段（segment）報文（message）流量分析流量分析攻擊可以針對分層結構的每一層，最直接的是通過對應用層報文的攻擊直接獲得用戶的數據分析傳輸層及其以下的PDU通信雙方的MAC地址、IP地址、通信時長等信息通信雙方所在位置、傳輸的數據類型、通信的頻度等信息為后續(xù)的攻擊提供重要依據通信雙方所占用帶寬和通信時長通行雙方信息交換的信息類型流量的協(xié)議分析用戶數據的類型異常流量的分析判定網絡是否存在攻擊1.3網絡攻擊的屬性網絡攻擊特點：同時涉及到技術和非技術因素實施過程是由一個或多個不同階段組成，其中不同的階段體現(xiàn)出不同的攻擊特點網絡攻擊分類的必要性：基于攻擊屬性的分類：研究條件、研究環(huán)境、把控能力等因素人們對各種網絡攻擊的理解不盡相同對網絡攻擊的判定和特征的提取方法不相同對網絡攻擊及其造成的危害和威脅認識程度不一致對網絡的防御帶來一定困難權限轉換方法動作1.3.1權限權限用于確定誰能夠訪問某一系統(tǒng)以及能夠訪問這一系統(tǒng)上的哪些資源。權限意義：通過對不同類型的用戶設置不同的權限，可以加強對用戶的分類管理，以提高系統(tǒng)的安全性。根據訪問方式分類：遠程網絡訪問權限本地網絡訪問超級網絡管理員訪問用戶訪問主機的物理訪問1.3.2轉換方法轉換方法指攻擊者對已有漏洞的利用。攻擊過程的實施需要借助通信機制，通過對已有機制存在的漏洞的利用來實現(xiàn)。轉換方法的分類：偽裝轉換方法濫用系統(tǒng)誤設執(zhí)行缺陷社會工程學偽裝偽裝:將攻擊者的秘密信息隱藏于正常的非秘密文件中偽裝對象：圖像、聲音、視頻等多媒體數字文件偽裝攻擊特點：具有隱蔽性，不易被發(fā)現(xiàn)與加密技術的區(qū)別：加密操作隱藏信息的內容隱藏信息的內容信息偽裝隱藏信息的存在社會工程學社會工程學:反映社會現(xiàn)象當代發(fā)展復雜性程度的一門綜合性的社會科學，其目標是對各種社會問題進行實例分析和解決社會工程學工作方式：不是將人文科學、社會科學、自然科學的知識與技術簡單相加，而是根據計劃、政策的概念，在重構這些知識和技術的基礎上，進行新的探索和整合社會工程學攻擊：通過對受害者本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益的手法優(yōu)點：相對于傳統(tǒng)計算機攻擊方式，社會工程學攻擊通過利用人為的漏洞缺陷進行欺騙來獲取系統(tǒng)控制權表面上難以察覺不需要與受害者目標進行面對面的交流不會在系統(tǒng)留下任何可被追查的日志記錄1.3.3動作動作是指攻擊實施過程中的具體行為或采用的方法動作的分類：探測動作拒絕服務改變截獲利用拒絕服務拒絕服務（DenyofService，DoS）

通過連續(xù)向攻擊目標發(fā)送超出其處理能力的過量數據，消耗其有限的網絡鏈路或操作系統(tǒng)資源，使之無法為合法用戶提供有效服務DoS攻擊方式利用目標系統(tǒng)或軟件漏洞，發(fā)送一個或多個精心構造的數據包給目標系統(tǒng)，讓被攻擊系統(tǒng)崩潰、運行異?；蛑貑⒌?，導致無法為正常用戶提供服務。如“ping-of-death”攻擊。洪泛攻擊，它讓無用的信息占去系統(tǒng)的帶寬或其他資源，使得系統(tǒng)不能服務于合法用戶分布式拒絕服務分布式拒絕服務(DistributedDoS，DDoS）

利用網絡中不同的主機同時發(fā)起DoS攻擊，使得被攻擊對象不能服務于正常用戶DDoS與DoS差異DDoS攻擊中的數據包來自不同攻擊源DoS攻擊中的數據包來自一個固定的攻擊源DDoS四要素實際工作者隱藏攻擊者身份的機器（控制僵尸網絡并發(fā)送攻擊命令）進行DDoS攻擊的機器群（僵尸網絡）被攻擊目標低速率拒絕服務傳統(tǒng)DoS攻擊特點:

攻擊者采取一種壓力（sledge-hammer）方式向被攻擊者發(fā)送大量攻擊包，即要求攻擊者維持一個高頻、高速率的攻擊流。這種特征，使得各種傳統(tǒng)DoS攻擊與正常網絡流量相比都具有一種異常統(tǒng)計特性，使得對其進行檢測相對簡單低速率拒絕服務(Low-rateDoS，LDoS）

只是在特定時間間隔內發(fā)送數據，相同周期其他時間段內不發(fā)送任何數據，此間歇性攻擊特點，使得攻擊流的平均速率比較低，與合法用戶的數據流區(qū)別不大，不再具有傳統(tǒng)DoS攻擊數據的異常統(tǒng)計特性，使得很難用已有的方法對其進行防范1.4主要攻擊方法計算機網絡風險來源：網絡系統(tǒng)存在的缺陷或漏洞利用漏洞的攻擊外部環(huán)境對網絡的威脅網絡攻擊定義：

指任何形式的非授權行為（廣義）網絡攻擊方式：

主要利用網絡通信協(xié)議本身存在的設計缺陷或因安全配置不當而產生的安全漏洞而實施端口掃描網絡攻擊口令攻擊彩虹表漏洞攻擊緩沖區(qū)溢出電子郵件攻擊高級持續(xù)威脅（APT）社會工程學1.4.1端口掃描網絡掃描：

對計算機系統(tǒng)或網絡設備進行與安全有關的檢測，以便發(fā)現(xiàn)安全隱患和可利用的漏洞端口掃描：向目標主機的服務端口發(fā)送探測數據包，并記錄目標主機的響應。通過分析響應的數據包來判斷服務端口是否處于打開狀態(tài)，從而得知端口提供的服務或信息捕獲本地主機或服務器的流入流出數據包來監(jiān)視本地IP主機的運行情況，它能對接收到的數據進行分析，幫助人們發(fā)現(xiàn)目標主機的某些內在的弱點端口掃描作用：了解系統(tǒng)向外界提供了哪些服務探測目標主機系統(tǒng)端口目前正向外提供何種服務TCP連接掃描TCP連接掃描（TCPconnectScan）

也稱為“TCP全連接掃描”，它利用TCP協(xié)議的3次握手過程，直接連到目標端口并完成一個完整的3次握手過程目標主機狀態(tài)及應答數據包Close狀態(tài)RST數據包---》丟棄其它數據包---》返回RST數據包LISTEN狀態(tài)SYN數據包---》返回SYN或ACK數據包---》SYN-RCVD狀態(tài)ACK數據包---》返回RST數據包其它數據包---》丟棄SYN-RCVD狀態(tài)RST數據包---》返回LISTEN狀態(tài)ACK數據包---》進入ESTABLISHED（連接建立）狀態(tài)，并建立TCP連接其它數據包---》丟棄ESTABLISHED狀態(tài)TCP連接建立時的三次握手1.4.2口令攻擊身份認證方式當前口令認證方式

大部分系統(tǒng)通過保存口令的Hash值來對用戶認證信息進行管理。原理：利用了單向函數的單向性（給定口令輸入，計算Hash值是容易的；但給定Hash值，難以計算出口令輸入值。這樣即使攻擊者獲取到存儲口令Hash值的文件，也很難得到口令）保證口令的安全采用直接存儲口令本身來進行比對認證基于圖像、視覺和指紋等的認證方法可記憶的文本口令認證方法（便捷的應用和極低的成本）早期當前口令攻擊口令攻擊:

攻擊者通過猜測口令，并且將計算出的Hash值進行比對的過程互聯(lián)網環(huán)境中口令攻擊方式：在線竊聽：攻擊者利用一些網絡協(xié)議傳輸信息時未進行加密處理這一機制，通過在線截獲數據包并經協(xié)議分析來獲得用戶名和密碼等帳戶信息獲取口令文件：攻擊者在竊取了操作系統(tǒng)保存的用戶賬號和加密口令文件后，通過破解來獲取系統(tǒng)的帳戶信息字典攻擊：攻擊者使用事先生成的口令字典庫，依次向目標系統(tǒng)發(fā)起身份認證請求，直到某一個口令滿足條件（攻擊成功）或所有口令遍歷后仍然無效（攻擊失敗）為止。字典攻擊必須具備以下兩個條件：目標系統(tǒng)的身份認證方式（如虹膜認證、指紋認證、口令認證等）字典庫的準備

1.4.3彩虹表

Hash函數碰撞(Collision):

若兩個輸入串的hash函數的值一樣，則稱這兩個串是一個碰撞碰撞的必然性：

理論范圍內，存在一個輸出串（Hash函數值）對應無窮多個輸入串，所以碰撞具有其必然性彩虹表破解

通過暴力破解方式，搜尋指定輸入的Hash碰撞值。彩虹表打破Hash函數不可逆的性質約定（無法從雜湊值計算得到原始輸入串），但無法保證破解到的數據是原始數據Hash函數破解

彩虹表的建立

彩虹表破解Hash函數值

是否為彩虹表中最后一條記錄YN

N

Y

N

破解失敗

YYN彩虹表應用示例

彩虹表破解主要運算過程：（1）對Hash函數值“00BB33DF”通過換算函數R3得到一個終結點的明文密碼“hammer”，在彩虹表的終結點一列中未找到對應內容，轉到（2）；（2）通過換算函數R2、Hash函數H、換算函數R3得到終結點的明文密碼“farmer”；（3）在彩虹表中找到相對應的終結點明文密碼“farmer”；（4）利用對應的起始點“cccccc”重新構建哈希鏈，直至運算得到Hash值“00BB33DF”。這時，就獲得了Hash值“00BB33DF”相對應的明文密碼“summer”。破解成功。圖1、經三次換算的簡單哈希鏈表圖2、對Hash值“00BB33DF”的破解過程1.4.4漏洞攻擊漏洞計算機安全領域：指存在于一個系統(tǒng)內的弱點或缺陷，系統(tǒng)對一個特定的威脅攻擊或危險事件的敏感性，或進行攻擊的威脅作用的可能性。其通常是由軟件錯誤（如未經檢測的緩沖區(qū)或者競爭條件）引起網絡安全領域：指區(qū)別于所有非受損狀態(tài)的容易受攻擊的狀態(tài)特征計算機系統(tǒng)由若干描述實體配置的當前狀態(tài)組成，包括授權狀態(tài)、非授權狀態(tài)、易受攻擊狀態(tài)和不易受攻擊狀態(tài)易受攻擊狀態(tài)：是指通過授權的狀態(tài)轉變從非授權狀態(tài)可以到達的授權狀態(tài)受損狀態(tài)：是指已完成這種轉變的狀態(tài)，攻擊是非受損狀態(tài)到受損狀態(tài)的狀態(tài)轉變過程漏洞特點軟件編寫過程中出現(xiàn)的邏輯錯誤(除專門設置的“后門”)多由疏忽造成漏洞和具體的系統(tǒng)環(huán)境密切相關漏洞問題與時間緊密相關漏洞的概念漏洞基本屬性：漏洞類型造成后果嚴重程度利用需求環(huán)境特征……漏洞相關對象：存在漏洞的軟(硬)件操作系統(tǒng)相應補丁程序修補漏洞方法……一個典型的漏洞庫所包含的漏洞信息漏洞的概念安全漏洞

指信息技術、信息產品和信息系統(tǒng)在需求、設計、實現(xiàn)、配置、運行等過程中，有意或無意產生的脆弱性，這些脆弱性以不同形式存在于信息系統(tǒng)各個層次和環(huán)節(jié)之中，能夠被惡意主體所利用，從而影響信息系統(tǒng)及其服務的正常運行網絡安全事件案例2010年“震網”（Stuxnet）蠕蟲事件2011年韓國網站被黑導致的網民信息被盜案件2011年CSDN等站點賬號信息泄漏事件0day漏洞一種特殊的安全漏洞。通常指還沒有公開過的尚未有補丁的漏洞，也稱為“未公開漏洞”0day攻擊

利用0day漏洞進行的攻擊，即在安全補丁發(fā)布之前攻擊者已經掌握了漏洞的存在，并對存在該漏洞的系統(tǒng)進行的攻擊漏洞的分類原因描述案例設計方面主要是在系統(tǒng)設計時受某種先決條件的限制，或考慮不夠全面，從而導致設計上存在缺陷，此類漏洞通常難以修補最初的TCP/IP協(xié)議對于身份的確認、交互信息的確認都沒有進行專門的考慮，從而導致假冒IP地址、利用TCP通信中三次握手等攻擊行為很難防范實現(xiàn)方面主要體現(xiàn)在編碼階段，如忽略或缺乏編碼安全方面的考慮、編程習慣不良的、以及測試工作的不充分等，導致在一些特殊的條件下，程序無法按照預定的步驟執(zhí)行，從而給攻擊者以可乘之機典型的編碼漏洞攻擊——緩沖區(qū)溢出攻擊，如CodeRed、SQLSlammer、沖擊波蠕蟲、震蕩波蠕蟲等都是利用了緩沖區(qū)溢出的漏洞。此類攻擊通常會使攻擊者的權限得到非法提升，對系統(tǒng)的安全性威脅很大配置方面由于管理者缺乏相應的安全知識、對所使用的系統(tǒng)不了解、配置方法不專業(yè)等原因，經常為系統(tǒng)留下嚴重的安全隱患采用系統(tǒng)的默認配置，導致系統(tǒng)運行了本來不需要的服務，由此埋下了安全隱患，這個問題在操作系統(tǒng)服務的配置、應用服務的權限配置、口令配置方面表現(xiàn)得更為突出針對網絡協(xié)議漏洞的攻擊網絡漏洞存在于計算機網絡系統(tǒng)中的，可能對系統(tǒng)中的組成和數據造成損害的一切因素在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)網絡協(xié)議漏洞（TCP/IP協(xié)議）概念：Internet中使用的一組通信協(xié)議的總稱提供的服務：一種面向非連接的盡力而為的不可靠服務特點：未考慮網絡中傳輸內容的保密性，整個體系結構是一種開放、松散的架構漏洞：

TCP/IP中的主流協(xié)議（如TCP、UDP、ARP/RARP、SMTP、DNS等）都不同程度地存在著安全漏洞，這些安全漏洞都可能會被攻擊者利用，作為入侵的窗口或跳板。1.4.5緩沖區(qū)溢出緩沖區(qū)

計算機中的連續(xù)的一段存儲空間緩沖區(qū)溢出

一種系統(tǒng)攻擊手段，它通過向程序的緩沖區(qū)寫入超出其長度要求的內容，造成緩沖區(qū)空間的溢出，溢出的數據將改寫相鄰存儲單元上的數據，從而破壞程序的堆棧，使程序轉去執(zhí)行其它的指令。緩沖區(qū)溢出是一種典型的U2R（UsertoRoot）攻擊方式。緩沖區(qū)溢出原因

代碼在操作緩沖區(qū)時，沒有有效地對緩沖區(qū)邊界進行檢查緩沖區(qū)溢出攻擊后果使程序運行失敗、系統(tǒng)崩潰或重新啟動利用緩沖區(qū)溢出執(zhí)行非授權指令，甚至取得系統(tǒng)特權，進而進行各種非法操作緩沖區(qū)溢出的原理事實1、輸入的形參等數據存放在堆棧中2、程序由內存低端向內存高端按順序執(zhí)行3、堆棧的生長方向與內存的生長方向相反動作在堆棧中壓入的數據超過預先分配給堆棧的容量結果出現(xiàn)堆棧溢出，使得程序運行失敗程序在內存中的存儲方式緩沖區(qū)溢出操作事例正常操作1、輸入“networkattack”，先在棧底壓入程序返回地址，接著將棧指針EBP入棧，此時EBP等于現(xiàn)在的ESP。之后，ESP減16，即向上增長16字節(jié)，用來存放name[]數組，如圖(a)2、執(zhí)行gets(name)命令，堆棧數據段壓入字符串，如圖(b）3、從main函數返回，彈出ret里的返回地址并賦值EIP，CPU繼續(xù)執(zhí)行EIP所指向的指令緩沖區(qū)溢出操作示例#include<stdio.h>intmain(){charname[16];gets(name);for(inti=0;i<16&&name[i];i++)print(name[i])};緩沖區(qū)操作程序緩沖區(qū)溢出操作事例溢出操作1、輸入“networkattackDDD……DDD”，先在棧底壓入程序返回地址，接著將棧指針EBP入棧，此時EBP等于現(xiàn)在的ESP。之后ESP減16，即向上增長16字節(jié)，用來存放name數組，如圖(a)2、執(zhí)行gets(name)命令，堆棧數據段壓入字符串，由于輸入的字符串長度超過了16字節(jié)，在name數組中無法容納，只好向堆棧的底部方向繼續(xù)寫入，覆蓋了堆棧中原有的內容，如圖(c）3、從main函數返回，由于ret被輸入的字符“D”覆蓋，導致將“DDDD”的ASCII碼看作返回地址并賦值EIP，CPU會試圖執(zhí)行該地址處的指令，結果出現(xiàn)難以預料的結果，便產生了一次堆棧溢出緩沖區(qū)溢出操作示例#include<stdio.h>intmain(){charname[16];gets(name);for(inti=0;i<16&&name[i];i++)print(name[i])};緩沖區(qū)操作程序緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊破壞敏感數據攻擊改變程序邏輯攻擊緩沖區(qū)中的數據整個被攻擊系統(tǒng)對緩沖區(qū)中的數據進行篡改操作通過改變緩沖區(qū)中的數據來改變原有的程序邏輯，以此獲取對本地或遠程被攻擊系統(tǒng)的控制權分類（根據實現(xiàn)目標不同）攻擊對象攻擊目的緩沖區(qū)溢出攻擊改變程序邏輯攻擊操作步驟1、注入惡意數據惡意數據：用于實現(xiàn)攻擊的數據，它的內容影響攻擊模式中后續(xù)活動能否順利進行注入方式：命令行參數、環(huán)境變量、輸入文件或網絡數據等2、緩沖區(qū)溢出前提條件：系統(tǒng)中存在的可以被利用的緩沖區(qū)溢出漏洞操作方式：通過特定外部輸入，迫使緩沖區(qū)溢出的發(fā)生改變程序邏輯攻擊操作步驟緩沖區(qū)溢出攻擊改變程序邏輯攻擊操作步驟3、控制流重定向概念：將系統(tǒng)從正常的控制流程轉向非正常流程的過程方式：改寫位于堆棧上的函數返回地址來改變指令流程改寫被調用函數棧上保存的調用函數棧的棧地址改寫指針改寫跳轉地址等4、執(zhí)行攻擊程序有效載荷：攻擊程序中真正實現(xiàn)攻擊的代碼部分有效載荷方式：以可執(zhí)行的二進制代碼形式放置在惡意數據中，用于產生命令解釋器（Shellcode）已經存在于內存中的代碼，這種攻擊方式也稱為注入攻擊改變程序邏輯攻擊操作步驟1.4.6電子郵件攻擊電子郵件攻擊

電子郵件攻擊是一種專門針對電子郵件系統(tǒng)的DoS攻擊方式。電子郵件攻擊利用電子郵件系統(tǒng)協(xié)議和工作機制存在的安全漏洞，通過利用或編寫特殊的電子郵件軟件，在短時間內向指定的電子郵件（被攻擊對象）連續(xù)發(fā)送大容量的郵件，使電子郵件系統(tǒng)因帶寬、CPU、存儲空間等資源被耗盡而無法提供正常服務。為實現(xiàn)攻擊而編寫的特殊程序稱為郵件炸彈（E-mailBomber），因此電子郵件攻擊也稱為電子郵件炸彈電子郵件攻擊形式通過監(jiān)聽網絡中的傳輸的電子郵件數據包或截獲正在傳輸的電子郵件，竊取和篡改郵件數據通過偽造的發(fā)送人電子郵件地址對指定的目標郵箱進行欺騙性攻擊通過發(fā)送大量的垃圾郵件產生拒絕服務攻擊電子郵件攻擊結果擾亂郵件的正常收發(fā)導致郵件系統(tǒng)癱瘓輕重目錄收割攻擊目錄收割攻擊（DirectoryHarvestAttack，DHA）

指攻擊者通過編寫腳本程序，對特定域名下所有可能存在的電子郵箱地址進行猜測，以獲得該域名下所有郵箱地址的攻擊方式針對SMTP的DHA攻擊SMTP原理當郵件服務器接收到一個無效的郵件地址時，該郵件服務器會向郵件發(fā)送者返回一個標準的錯誤信息當郵件服務器接收到一個有效的郵件地址時，郵件服務器會返回一個表示郵件已成功接收的應答針對SMTP協(xié)議設計漏洞的DHA攻擊攻擊者根據SMTP郵件服務器回復的內容判斷某一郵件地址是否有效，從而收割有郵箱地址，加入到垃圾郵件制造者數據庫或提供給地下黑色產業(yè)鏈進行牟利針對SMTP的DHA攻擊工作原理目錄收割攻擊DHA猜測特定域名下郵箱地址的方式：直接通過暴力方式窮盡所有的字母和數字組合采用字典攻擊，攻擊者在根據人們的習慣構造了郵箱地址字典庫后進行字典攻擊電子郵件攻擊與垃圾郵件（spam）區(qū)別垃圾郵件定義：不請自來的“大量”郵件特征：發(fā)送者在同一時間內將同一份電子郵件發(fā)送給大量不同用戶目的：主要是一些公司用于對其產品的宣傳或發(fā)送一些虛假廣告信息，一般不會對收件人造成傷害電子郵件攻擊定義：是一種利用郵件協(xié)議漏洞的網絡攻擊行為1.4.7高級持續(xù)威脅（APT）高級持續(xù)威脅概念

高級持續(xù)威脅（AdvancedPersistentThreat，APT）也稱為“針對特定目標的攻擊”，APT并非一種新的網絡攻擊方法和單一類型的網絡威脅，而是一種持續(xù)、復雜的網絡攻擊活動高級持續(xù)威脅應用國家和組織在對抗過程應用APT民間專業(yè)黑客組織利用APT攻擊手段發(fā)起危害較大的攻擊（如黑色產業(yè)鏈）指某些組織和團體以挖掘安全數據為目的、長時間內訪問某一網絡的網絡間諜活動為了獲取某個組織甚至是國家的重要信息，有針對性地進行的復雜且多方位的攻擊方法最初現(xiàn)在高持續(xù)威脅案例高持續(xù)威脅對象：國家重要信息基礎設施（如政府、金融、電信、電力、能源、軍事等網絡）和信息系統(tǒng)在全球大數據背景下，旨在破壞工業(yè)基礎設施、竊取關于國家安全和國計民生的重要情報高持續(xù)威脅案例2011年美國信息安全廠商RSA令牌種子破解事件2013年國際黑客針對美國幾大銀行發(fā)起的APT攻擊事件2013年“震網”攻擊伊朗的鈾濃縮設備事件2013年美國棱鏡事件2015年烏克蘭多家電廠遭攻擊停電事件高持續(xù)威脅攻擊方式APT攻擊大量使用多種高技術手段組合各類未知威脅來發(fā)起攻擊，攻擊者先通過收集攻擊目標的環(huán)境和防御手段的信息，通過了解的信息后再有針對性地發(fā)起攻擊利用0day漏洞繞過傳統(tǒng)入侵檢測系統(tǒng)（IDS）的檢測利用木馬或已知木馬的變形繞過傳統(tǒng)殺毒軟件的檢測利用加密可以繞過審計檢測利用搜索引擎反射可以繞過可信鏈路檢測。。。。。。高持續(xù)威脅特點隱蔽性概念：指APT威脅可能在用戶環(huán)境中存在較長的時間，而很難被傳統(tǒng)的安全防御攻擊檢測到，也稱為潛伏性動作：攻擊者通過各種措施來掩蓋攻擊行為，避免在日志中留下入侵證據。通常利用目標主機上已有的工具或安裝安全系統(tǒng)無法檢測到的工具，通過常用網絡端口和系統(tǒng)漏洞，不斷收集各種信息，直到收集到重要情報持續(xù)性概念：體現(xiàn)在APT不是為了在短期內獲利，攻擊者經常會有針對性地進行為期數月甚至是數年的精心準備，從熟悉用戶網絡環(huán)境開始，先收集大量關于用戶業(yè)務流程和目標系統(tǒng)使用情況的精確信息，搜集應用程序與業(yè)務流程中的安全隱患，定位關鍵信息的存儲位置與通信方式動作：一個攻擊手段無法達到目的，攻擊者會不斷嘗試其他的攻擊手段，以及滲透到網絡內部后長期潛伏，不斷收集各類信息，通過精心構造的命令控制網絡定期回送目標文件進行分析，直到收集到重要情報高持續(xù)威脅主要環(huán)節(jié)APT攻擊過程：

APT攻擊是一個復雜的活動，主要包括偵察、準備、鎖定、進一步滲透、數據收集、維持等多個過程。這些過程又可以分為攻擊準備、入侵實施和后續(xù)攻擊3個環(huán)節(jié)。APT攻擊的3個階段APT攻擊準備APT攻擊準備：攻擊者主要為實施入侵做前期的準備工作信息收集

通過收集被攻擊目標的網絡環(huán)境、安全保護體系、人際關系及可能的重要資產等信息，為制定入侵方案作前期的準備（如開發(fā)特定的攻擊工具）。信息收集貫穿全攻擊生命過程技術準備

指根據獲取的信息，攻擊者做相應的技術性規(guī)劃，常用的技術手段包括入侵路徑設計并選定初始目標、發(fā)現(xiàn)可利用的漏洞并編寫利用代碼、木馬準備、控制服務器和跳板等周邊滲透

攻擊者會入侵一些外圍目標，這些受害者本身不是攻擊者攻擊的目標，但因為可以被攻擊者用來做跳板、DDoS服務器、相關信息獲取等而被入侵攻擊準備的主要內容APT入侵實施APT入侵實施：攻擊者針對實際的攻擊目標逐步展開攻擊常規(guī)手段：指攻擊者利用常規(guī)的網絡攻擊手段，將惡意代碼植入到系統(tǒng)中通過病毒傳播感染目標通過薄弱安全意識和薄弱的安全管理控制目標通過社會工程學進行誘導通過供應鏈植入等缺陷和漏洞利用缺陷：指信息系統(tǒng)中廣泛存在且事實上已知的欠缺或不夠完善的地方常見缺陷：系統(tǒng)中的缺陷主要包括默認密碼、弱密碼、默認配置和錯誤配置、計算機和網絡的脆弱性等，這些缺陷在成本、時間和可替代等方面有時是無法按需修復的，在未修復之前就可能會被利用常見漏洞：包括桌面文件處理類漏洞、瀏覽器類漏洞、桌面網絡應用漏洞、網絡服務類漏洞、系統(tǒng)邏輯類漏洞、對抗類漏洞、本地提權漏洞等入侵實施的主要內容APT入侵實施木馬植入：在被攻擊主機上植入事先準備的木馬是ATP攻擊過程中最為重要的一個環(huán)節(jié)，主要包括以下方式：遠程下載植入綁定文檔植入綁定程序植入等滲透提權：當攻擊者獲得了對內網中一臺主機的控制權后，為了實現(xiàn)對攻擊目標的進一步控制，還

需要在內網中進行滲透和提權，主要包括確定立足點、參透和特權獲取3項確定立足點：攻擊者在獲得了內網中某一臺主機的控制權后，相當于獲得了一個內網的立足點滲透：內網一旦進入則突破了網絡已有的安全邊界，針對內網的安全防御就失去了作用。攻擊者可以組合如社會工程學、文件共享服務器篡改程序、本地嗅探、漏洞等手段，通過借助立足點，對內網中的其他主機進行滲透，以獲得更多主機的控制權特權獲?。汗粽咄ㄟ^對更多主機的控制，逐步滲透到目標主機上并獲得對該主機的特權入侵實施的主要內容APT后續(xù)攻擊APT后續(xù)攻擊：攻擊者將竊取所需要的信息或進行破壞，同時還會在內部進行深度滲透，以保證攻擊行為被發(fā)現(xiàn)后還能夠繼續(xù)潛伏下來，不會前功盡棄重要信息收集：攻擊者利用獲取到的權限和資源，從中分析和收集對攻擊者有價值的信息傳送與控制：對于獲取到的信息，攻擊者需要將其傳回到由自己控制的外部服務器上模擬網絡上一些常見的公開協(xié)議，并將數據進行加密回傳繼續(xù)保存部分木馬并被長期控制，實現(xiàn)與外部服務器之間的通信針對一些物理隔離的網絡，使用移動介質擺渡的方式進行數據的傳送部分破壞性木馬不需要傳送和控制就可以進行長期潛伏和等待，并按照事先確定的邏輯條件，觸發(fā)破壞流程后續(xù)攻擊的主要內容APT后續(xù)攻擊深度滲透

為了實現(xiàn)對已攻擊目標的長期控制，確保在被受害者發(fā)現(xiàn)后還能復活，攻擊者會滲透周邊的一些機器，然后植入木馬。但該木馬可能處于非激活狀態(tài)，檢測和判斷網絡上是否有存活的木馬，如果有則繼續(xù)潛伏以避免被檢測到，如果沒有了，則啟動工作痕跡清除

為了避免攻擊行為被發(fā)現(xiàn)，攻擊者還需要做一些痕跡清除工作，主要清除一些日志信息，以躲避一些常規(guī)的檢測手段等后續(xù)攻擊的主要內容1.4.8社會工程學社會工程學（SocialEngineering）概念一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益的攻擊方法利用了人們的心理特征，通過騙取用戶的信任，獲取機密信息、系統(tǒng)設置等不公開資料，為網絡攻擊和病毒傳播創(chuàng)造有利條件社會工程學攻擊危害

社會工程學是入侵手段的最大化體現(xiàn)，不僅能夠利用系統(tǒng)漏洞進行入侵，還能夠通過人性的弱點進行入侵，當攻擊者將惡意釣魚網絡攻擊、網頁掛馬攻擊、軟件漏洞利用攻擊等技術攻擊手段與社會工程學融為一體時，傳統(tǒng)的網絡安全體系將會土崩瓦解社會工程學網絡攻擊方式網絡環(huán)境中常見的社會工程學攻擊方式主要有以下幾種類型：網絡釣魚式攻擊密碼心理學攻擊收集敏感信息攻擊恐嚇被攻擊者攻擊反向社會工程學攻擊網絡釣魚式攻擊主要基于人性貪婪以及容易取信于人的心理因素來進行攻擊，主要包括以下方式：利用虛假郵件進行攻擊利用虛假網站進行攻擊利用QQ及微信等即時通信工具進行攻擊利用黑客木馬進行攻擊利用系統(tǒng)漏洞進行攻擊利用移動通信設備進行攻擊等社會工程學網絡攻擊方式密碼心理學攻擊

從人們心理入手，分析對方心理現(xiàn)狀和變化，從而更快地得到所需要的密碼，主要包括以下方式：針對被攻擊者生日或出生年月日的密碼破解針對用戶移動電話號碼或當地區(qū)號進行密碼破解針對用戶身份證號碼進行密碼破解針對用戶姓名或旁邊親友及朋友姓名進行密碼破解針對一些網站服務器默認使用的密碼進行破解針對類似于“1234567”、“abc123”等常用密碼進行破解等社會工程學網絡攻擊方式收集敏感信息攻擊

通過在QQ、微信、博客等通信平臺上收集被攻擊者的相關信息，經整理分析后作為實施攻擊的參考和依據，常見的收集敏感信息攻擊手段有：根據搜索引擎對目標收集信息和資料根據踩點和調查對目標收集信息和資料根據網絡釣魚對目標收集信息和資料根據企業(yè)人員管理中存在的缺陷對目標收集信息和資料社會工程學網絡攻擊方式恐嚇被攻擊者攻擊

攻擊者在實施社會工程學攻擊過程中，常常會利用被攻擊目標管理人員對安全、漏洞、病毒等內容的敏感性，以權威機構的身份出現(xiàn)，散布安全警告、系統(tǒng)風險之類的消息，使用危言聳聽的伎倆恐嚇、欺騙被攻擊者，并聲稱不按照他們的方式去處理問題就會造成非常嚴重的危害和損失，進而借此方式實現(xiàn)對被攻擊者敏感信息的獲取反向社會工程學攻擊

指攻擊者通過技術或非技術手段給網絡或者計算機制造故障，使被攻擊者深信問題的存在，誘使工作人員或者網絡管理人員透漏或者泄露攻擊者需要獲取的信息。這種攻擊方式比較隱蔽，危害性較大，而且不容易防范社會工程學攻擊步驟

社會工程學攻擊在實施前都要完成前期準備工作，通過收集和分析所需要的信息，再確定下一步的控制對象和范圍。社會工程學攻擊的主要步驟如下：信息收集：在社會工程學攻擊的前期，需要針對具體攻擊目標和攻擊要求，收集被攻擊者的相關信息。一方面，社會工程學攻擊是一個較為復雜的過程，在攻擊之前需要制定詳盡的計劃，在攻擊過程中需要綜合運用各方面的技巧另一方面，一些常人不太在意的信息（如電話號碼、生日、單位的工號等），對于攻擊者來說都可能蘊含著一些可能被利用的有效攻擊信息心理學應用：對于收集到的信息，進行分類匯總和模擬測試，同時構造陷阱，以達到進一步獲取信息并逐步實施攻擊的目的。其重要手段包括：誘導、偽裝和信任痕跡清除：與實施技術攻擊一樣，社會工程學攻擊過程中也需要采取相應的方式，避免將攻擊痕跡呈現(xiàn)給被攻擊者1.5網絡攻擊的實施過程321攻擊發(fā)起階段攻擊作用階段攻擊結果階段一次完整網絡攻擊行為的生命周期1.5.1攻擊發(fā)起階段

在攻擊發(fā)起階段，攻擊者進行攻擊前的準備，如確定攻擊所針對的操作系統(tǒng)類型、應用平臺的類型等，這些系統(tǒng)和應用程序存在哪些可以利用的漏洞等。平臺依賴性很多攻擊都是針對一定范圍內的平臺發(fā)起的，這個平臺可能是操作系統(tǒng)平臺，也可能是應用平臺也有一些攻擊是針對特定的操作系統(tǒng)平臺而發(fā)起的，一般來說是針對某個版本的漏洞而進行攻擊還有一些攻擊是針對TCP/IP網絡體系中的底層協(xié)議平臺而發(fā)起平臺依賴性平臺依賴性與攻擊范圍及破壞力的關系

攻擊行為對平臺依賴性，反映出了攻擊可能影響的范圍。攻擊對平臺的依賴性越強，表明該攻擊所能夠影響的范圍越小，反之越大。因此在攻擊的其他條件（如作用點、攻擊強度、傳播速度等）不變的情況下，能夠對多個平臺（平臺依賴性較弱）發(fā)起的攻擊，其破壞力要高于那些只對特定平臺發(fā)起的攻擊平臺依賴性分類：平臺依賴性強：針對特定版本或特定內核的操作系統(tǒng)平臺、應用平臺起作用的攻擊。此類攻擊涉及的范圍一般較小平臺依賴性中：針對某一品牌或某一品牌中的一個或幾個系列的操作系統(tǒng)平臺或應用平臺起作用的攻擊。此類攻擊的涉及范圍與平臺應用范圍相關，平臺應用越廣泛，此類攻擊所涉及的范圍就越大平臺依賴性弱：同時針對兩種或兩種以上的操作系統(tǒng)平臺或應用平臺起作用的攻擊，稱為對平臺依賴性弱。此類攻擊影響的范圍很廣無平臺依賴性：針對任何連接到互聯(lián)網上的計算機都能夠起作用的攻擊。此類攻擊針對的目標最為廣泛，涉及面最廣，理論上任何連接到互聯(lián)網上的計算機都可能成為被攻擊目標平臺依賴性攻擊范圍平臺依賴性與攻擊范圍關系漏洞相關性漏洞類型（產生原因）設計方面原因實現(xiàn)方面原因配置方面原因漏洞相關性判斷原則設計漏洞：在系統(tǒng)設計階段出現(xiàn)的問題，系統(tǒng)天生具有的實現(xiàn)漏洞：在編碼過程中，因為沒有遵循嚴格的安全編碼方法或測試不嚴格而造成的漏洞配置漏洞：在使用階段，因用戶配置不當而產生的漏洞無：攻擊與漏洞之間沒有直接的關系，即使漏洞不存在也照樣能夠實現(xiàn)攻擊目的漏洞相關性設計漏洞實現(xiàn)漏洞配置漏洞無不受條件約束或受條件約束弱破壞力和影響力較大防御起來通常非常困難通過打對應補丁可防范相應攻擊通過正確配置系統(tǒng)可降低系統(tǒng)被攻擊的可能性1.5.2攻擊作用階段

在攻擊發(fā)起階段確定了攻擊的平臺和利用的漏洞后，攻擊就進入了作用階段。攻擊者在攻擊作用階段主要動作為選擇被攻擊者系統(tǒng)的某些資源作為攻擊對象（“作用點”），以達到獲得某些“利益”的目標攻擊方式(攻擊角度)在現(xiàn)有作用點的基礎上，尋找其他薄弱地點進行攻擊，進一步體現(xiàn)攻擊的有效性在攻擊有效的前提下，尋找其他關鍵的點進行攻擊，體現(xiàn)攻擊后果的嚴重性尋找其他可以入侵的作用點，實現(xiàn)攻擊作用點的多樣化

攻擊的作用點在很大程度上體現(xiàn)了攻擊者的目的，且一次攻擊可以有多個作用點，即可同時攻擊系統(tǒng)的多個“目標”。因此，作用點的選擇對攻擊有直接的影響，為此，本書將作用點作為攻擊作用階段的主要影響因素。作用點判斷原則作用點判斷原則：賬戶：包括系統(tǒng)賬戶、用戶賬戶等。一般指攻擊者對賬戶的猜測和字典攻擊以及強力破解等，以便達到其非法進入的目的。另外，還包括安裝木馬后所創(chuàng)建的后門賬戶等文件系統(tǒng)：指被攻擊系統(tǒng)的文件系統(tǒng)。涉及的攻擊主要是修改、刪除、增加、獲取文件等操作進程：指被攻擊系統(tǒng)內存空間中運行的進程。包括操作系統(tǒng)進程以及應用進程，涉及的攻擊如殺死特定進程、探測進程活動、利用該進程對其他部分進行攻擊等系統(tǒng)資源與信息：指被攻擊者系統(tǒng)的硬件資源（如CPU、內存、硬盤等）、固定信息或相對固定的信息，如涉及到系統(tǒng)的硬件資源的參數（CPU數量、內存類型及大小、Cache容量、硬盤類型等）、系統(tǒng)的配置參數（分區(qū)類型、注冊表信息、硬盤及文件訪問的參數等）以及軟件信息（如系統(tǒng)安裝的軟件列表、運行要求等）網絡及網絡服務：針對網絡或網絡服務的攻擊，主要包括占用或利用網絡資源與服務、影響網絡性能和網絡服務質量、增加網絡流量、探測網絡及相關服務的信息、利用網絡提供的功能完成其他非法操作等，即對網絡本身及服務的正常運行產生不利影響1.5.3攻擊結果階段攻擊結果就是攻擊對目標系統(tǒng)所造成的后果，也是被攻擊者所能感受到的攻擊帶來的影響攻擊結果階段的影響因素攻擊結果：攻擊對目標系統(tǒng)的正常運行造成了那些方面的影響。即攻擊者對目標系統(tǒng)的軟硬件資源、其中的信息以及所提供的服務造成了哪些影響，如非法收集、破壞、惡意占用、非法使用等傳播性：攻擊是否具備傳播性。即攻擊是否會利用當前系統(tǒng)作為跳板繼續(xù)對其他目標發(fā)起新的攻擊破壞強度：攻擊對目標系統(tǒng)各部分的影響程度。攻擊對系統(tǒng)各部分可能造成的損害大概在什么水平

攻擊結果

一個應用系統(tǒng)自身的價值主要體現(xiàn)在其所擁有的硬件資源、信息資源（含軟件）以及對外提供的服務上，那么網絡攻擊的實質也就表現(xiàn)在對目標系統(tǒng)的硬件資源、信息和服務的非法訪問、使用、破壞等攻擊類型：對硬件資源的攻擊：對目標系統(tǒng)硬件資源的攻擊可以表現(xiàn)為對硬件資源的非法操作，如消耗網絡帶寬、占用存儲資源、破壞系統(tǒng)的關鍵部件（如CMOS）等對信息資源的攻擊：對目標系統(tǒng)信息資源發(fā)起的攻擊可以表現(xiàn)為非法獲取和破壞兩個方面。其中，獲取信息就是收集、讀取目標系統(tǒng)中攻擊者感興趣的資料；破壞信息就是惡意篡改、刪除目標系統(tǒng)中的各種資料，以達到攻擊的目的對服務的攻擊：對目標系統(tǒng)上運行的服務發(fā)起攻擊可以表現(xiàn)為對系統(tǒng)中運行的各種服務進行非法的使用和破壞攻擊結果網絡攻擊結果的判定原則分類：泄露信息：攻擊造成被攻擊者的操作系統(tǒng)、應用系統(tǒng)以及用戶的相關信息的泄露。如攻擊發(fā)起之前對目標的掃描會造成信息的泄露，攻擊進入后將用戶信息對外進行發(fā)送，監(jiān)聽網絡上的流量等篡改信息：攻擊者對目標系統(tǒng)的內存、硬盤、其他部分信息進行非法增、刪、改的操作。如植入木馬操作會導致系統(tǒng)配置信息的更改和硬盤文件的增加，文件類病毒的侵入會導致相應文件的修改等非法利用服務：利用系統(tǒng)的正常功能，來實現(xiàn)攻擊者的其他目的的行為。如利用被攻擊者的正常網絡連接對其他系統(tǒng)進行攻擊，通過正常的系統(tǒng)服務利用其他漏洞實現(xiàn)攻擊者目的等拒絕服務：使目標系統(tǒng)正常的服務受到影響或系統(tǒng)功能的部分或全部喪失。如典型的DoS/DDoS攻擊；殺死系統(tǒng)進程使其對外的服務中斷；耗盡系統(tǒng)資源中內存使系統(tǒng)崩潰等非法提升權限：攻擊者利用某種手段或者利用系統(tǒng)的漏洞，獲得本不應具有的權限。最為典型的非法提升權限攻擊為緩沖區(qū)溢出攻擊，另外通過猜測口令、植入木馬、預留后門等也可以使攻擊者獲得本不應具有的權限。傳播性

Internet的出現(xiàn)導致了網絡攻擊的產生，移動互聯(lián)網的應用摧生了大量新的攻擊方式，目前的網絡攻擊在傳播方面呈現(xiàn)出越來越明顯的主動性、快速性、智能化等特點。毫無疑問，傳播性越強的攻擊，其攻擊面越廣、影響力越強、破壞力越大。而且隨著連接到Internet上的主機越來越多，尤其是物聯(lián)網技術的應用、工業(yè)控制系統(tǒng)的接入等，這類攻擊的影響力已經從局部擴大到國家，甚至到整個互聯(lián)網。不僅對被攻擊目標造成了嚴重的災難，而且因為其具有傳播性強的特點，對網絡本身的運行也造成了嚴重的影響。傳播性的發(fā)展：早期：攻擊基本上都不具備傳播能力，或者具備較弱的傳播能力，但受一些條件限制后期：在傳播性方面得到了很大的加強，其傳播是主動發(fā)起行為而不是被動的激活行為傳播性傳播性的判定原則：傳播性弱：特點是“有條件激活，有條件傳播”式，即需要其他條件進行激活，同時傳播也不能在現(xiàn)有條件上立刻完成，需要借助其他手段進行。還有一種稱為“無傳播性”的攻擊，它是一對一發(fā)起的攻擊，傳播不是其攻擊的目的，不會借被攻擊者對其他第三方發(fā)起新的攻擊。如傳統(tǒng)的病毒是此類型最為典型的代表傳播性中：特點是“有條件激活，無條件傳播”式，即需要其他條件進行激活，一旦激活后即可在現(xiàn)有條件上立刻完成傳播，不再需要其他輔助條件。這類攻擊一般都是通過網絡實施。如通過電子郵件系統(tǒng)進行傳播的蠕蟲，一般來說需要由用戶點擊相應的郵件后，才能主動地通過搜索電子郵件地址表進行傳播傳播性強：特點是“無條件激活，無條件傳播”式，能不依賴于其他條件自主對外搜索攻擊目標并進行有效攻擊，同時該傳播性可以自主地繼續(xù)進行下去，無限傳播。典型代表為網絡蠕蟲，如CodeRedII蠕蟲利用計算機的漏洞主動地對外尋找下一個受害者進行攻擊，從而使得攻擊在用戶毫不知情的情況下大規(guī)模進行擴散破壞強度

無論從分析、評估、防范哪個角度看，正確了解網絡攻擊所造成的破壞程度都是非常有意義的。特別是對于最終用戶來說，迫切需要知道如果一種攻擊成功實施的話，會對系統(tǒng)造成什么樣的傷害網絡攻擊破壞強度評價要素：等級定義明確：破壞強度的等級（強、中、弱）定義必需明確，根據定義，不同人對相同的攻擊能夠得出相同或相似的判斷結果定位性強：通過描述，人們可以自行判斷一種攻擊實際上針對哪些位置進行的適應性強：能夠適應復雜攻擊情況，新型的攻擊往往包含多種攻擊手法，其攻擊目標也不只一個，因此對攻擊強度的描述需要同時反映出對多個目標的攻擊情況可擴展性強：可擴展性強，該方案可以通過簡單擴充來滿足新出現(xiàn)攻擊的特點，而不會造成結構上的重大調整破壞強度

本書給出對攻擊強度的描述方法，即在攻擊作用階段所給出的作用點的基礎上，分析攻擊對每個作用點可能的破壞程度，具體劃分準則如下：賬號：一旦某種攻擊取得了某個賬戶(系統(tǒng)賬戶或用戶賬戶)的使用權，則意味著從此以后，攻擊者就相當于系統(tǒng)的合法用戶，其行為僅受所取得用戶權限的約束而且很難被發(fā)現(xiàn)，其破壞力以及對系統(tǒng)的影響程度都是非常大的。同樣對于木馬植入后留下的秘密賬戶，也相當于系統(tǒng)的合法用戶身份。為此，將所有針對賬戶發(fā)起的攻擊的破壞強度都定義為“強”文件系統(tǒng)：對于文件系統(tǒng)的攻擊一般有修改、刪除、增加、獲取文件的操作，也可以將其歸納為“讀”和“寫”兩類操作強：對文件系統(tǒng)進行“寫”操作，如修改、刪除、增加文件等，都有可能造成不可恢復性的破壞，或者對需要保密的信息進行解密的，因此將這些攻擊行為都定義為“強”中：對文件系統(tǒng)進行“讀”操作，如查詢、訪問文件等，一般來說會造成系統(tǒng)信息的外泄，雖然也很嚴重，但與寫操作相比，其影響尚沒有達到不可恢復性的程度，因此將其攻擊強度定義為“中”破壞強度進程：針對進程的攻擊分為兩種類型強：以破壞進程運行為目的操作，如殺死進程、修改進程資料、修改進程執(zhí)行順序（如執(zhí)行攻擊者代碼）等，其造成的損失往往是不可恢復性的，因此屬于一種破壞性“強”的攻擊中：以偵察、獲取進程信息為目的操作，或執(zhí)行系統(tǒng)自身所有的特定代碼，所造成的損失尚沒有達到不可恢復的程度，因此屬于“中”等強度的攻擊行為系統(tǒng)資源與信息：對于系統(tǒng)資源與信息的攻擊主要是通過固定的系統(tǒng)進程對特定區(qū)域的信息進行的寫、讀操作；對系統(tǒng)資源的攻擊主要是對系統(tǒng)資源的消耗、占有等操作強：對系統(tǒng)信息進行寫操作的攻擊以及對系統(tǒng)資源進行占有、消耗為目的的攻擊，其破壞性都比較“強”中：對系統(tǒng)信息進行讀操作的攻擊，其破壞性屬于“中”等強度破壞強度網絡及網絡服務：針對網絡及網絡服務的攻擊，根據其破壞強度可以分為3類強：對于自動地、不間斷地（指無干預情況下）、攻擊范圍不針對某一固定區(qū)域的、通過網絡傳播而實施的攻擊，一般利用網絡對其他節(jié)點發(fā)起大量的攻擊，造成網絡資源的大量占用甚至耗盡，使得網絡無法正常提供服務，屬于一種高“強”度的攻擊。另外，即使不通過網絡進行攻擊傳播，但可能使網絡的正常服務中斷，也屬于一種高“強”度攻擊中：非自動地、有條件的、攻擊范圍局限于某一區(qū)域（如一個局域網）的，通過網絡傳播而實施的攻擊，一般會造成局部網絡的功能部分或全部失效，屬于“中”等破壞性的攻擊。另外，還有些攻擊會影響到正常的網絡服務或關鍵的網絡節(jié)點，但還沒有使網絡服務完全無法進行，其攻擊也屬于“中”等破壞性的攻擊弱：對于影響范圍只局限于被攻擊者本身，或者對被攻擊者的網絡服務影響輕微的（如掃描）攻擊，屬于一類破壞性較“弱”的攻擊行為1.6網絡攻防的發(fā)展趨勢1、新應用產生新攻擊云計算及面臨的攻擊威脅移動互聯(lián)網面臨的攻擊威脅大數據應用面臨的攻擊威脅網絡空間面臨的攻擊威脅3、網絡攻擊新特點形成黑色產業(yè)鏈針對移動終端的攻擊大大增加APT攻擊越來越多攻擊工具越來越復雜對基礎設施的威脅增大2、網絡攻擊的演進1.6.1新應用產生新攻擊

應用需要建立在硬件資源、信息資源和服務上，而這些資源和服務都存在被攻擊的可能。在網絡空間中，一個新時代的到來需要一批新技術的推動，而新技術的應用必然導致新攻擊的產生。Q1Q2Q4Q3新應用產生新攻擊云計算及面臨的攻擊威脅大數據應用面臨的攻擊威脅移動互聯(lián)網面臨的攻擊威脅網絡空間面臨的攻擊威脅云計算及面臨的攻擊威脅云計算（CloudComputing）

公有云、私有云和混合云在全球各地廣泛應用，向用戶提供IaaS(InfrastructureasaService，基礎設施即服務)、PaaS(PlatformasaService，平臺即服務)和SaaS(SoftwareasaService，軟件即服務)。普通用戶不再需要自己構建信息基礎設施和應用平臺，只需要向云服務提供者租用就可以獲得計算、存儲等資源虛擬化技術

虛擬化技術是云計算的基礎。虛擬化應用主要包括服務器虛擬化、存儲虛擬化和網絡虛擬化。虛擬化技術大大增加了資源調度的彈性，使得計算、存儲和網絡資源能夠得到更合理的分配和更高效率的使用，并減少空置率和電能消耗。虛擬化技術在云計算領域已經得到了廣泛應用云計算面臨的威脅

在云計算的推廣應用中，存在的一個重要障礙就是對安全問題的擔心，當數據從硬盤、光盤、移動存儲這些可以看得見的介質轉移到看不見的云空間時，人們擔心數據放在云里不安全，普遍認為數據在云端被泄密的風險要比起本地存儲大得多。同時，還擔心數據的安全性和服務的可用性得不到保障移動互聯(lián)網面臨的攻擊威脅早期當前010203010203個人計算機以固定接入為主的互聯(lián)網人機對話計算機網絡的應用固定和移動智能終端接入方式并存的移動互聯(lián)網M2M通信，包括：機器對機器(MachinetoMachine)人對機器(MantoMachine)機器對人(MachinetoMan)移動網絡對機器(MobiletoMachine)實現(xiàn)人、機器、系統(tǒng)間的互聯(lián)計算機、互聯(lián)網、交互技術的發(fā)展個人計算機時代網絡時代移動互聯(lián)網時代大數據應用面臨的攻擊威脅大數據相關概念移動互聯(lián)網、物聯(lián)網、云計算等技術的廣泛應用摧生了大數據時代的到來在今天的信息環(huán)境中，每個人都成為了信息的制造者和發(fā)布者，網絡上存儲和實時傳輸著文本、圖像、視頻、音頻等不同格式的數據如何從海量的數據里挖掘出有價值的信息，是當前人們在不斷研究的新技術在大數據應用過程中出現(xiàn)了“數據大集中”現(xiàn)象，即為了便于數據管理，將原來相互隔離、不同應用、不同格式的數據整合在一起，再通過構建應用模型進行大數據分析大數據應用面臨的安全威脅在大數據分析中挖掘到更多的關聯(lián)信息是否會導致隱私泄漏數據集中了，風險同樣也集中了。大數據系統(tǒng)一旦被攻擊，安全問題將更加嚴重網絡空間面臨的攻擊威脅網絡空間的特點與傳統(tǒng)的空間概念相比，網絡空間超越了國界，其邊界更加模糊網絡空間是一個虛擬的世界，人的身份更加難以確定，人的位置更加難以定位黑客、網絡使用者、信息發(fā)布者、信息閱讀者、網絡警察等不同的人群都在這個虛擬的網絡空間里從事各自的活動，這里有道德、信任和友善，也有虛假、造謠和攻擊網絡空間攻擊威脅的防范要素在網絡空間這一虛擬的世界里，主導權掌握在誰的手中自主、可信、可控能做到哪一步如何有效地對網絡空間進行劃界對于出現(xiàn)的相關攻擊如何進行溯源等1.6.2網絡攻擊的演進網絡攻擊過程

網絡攻擊的實施可以分為查找系統(tǒng)漏洞、確定攻擊手法、展開攻擊行動和達到攻擊目的4個主要過程網絡攻擊的演進1.6.3網絡攻擊的新特點

網絡攻擊的基礎是對安全漏洞的利用，漏洞的發(fā)現(xiàn)需要一個過程，尤其對使用廣泛且使用時間較長的系統(tǒng)來說發(fā)現(xiàn)的漏洞數量會逐漸減少，而一個新系統(tǒng)和新應用的出現(xiàn)，漏洞被發(fā)現(xiàn)和利用的可能性則會增大網絡攻擊的發(fā)展趨勢和特點形成黑色產業(yè)鏈：

受經濟利益的驅使，目前實施網絡攻擊行為的各個環(huán)節(jié)已經連接成為一個鏈條，形成了一個完整的產業(yè)鏈，即黑色產業(yè)鏈。如針對個人網上銀行的攻擊，其中有制作木馬軟件的，有負責植入木馬的，有負責轉賬和異地取現(xiàn)的，等等。這就使得攻擊行為由一種個人行為上升到“組織”行為。網絡犯罪組織化、規(guī)?；?、公開化，形成了一個非常完善的流水線作業(yè)的程序，這就使得攻擊能力大大加強。網絡攻擊的發(fā)展趨勢和特點針對移動終端的攻擊大大增加

隨著移動互聯(lián)網的應用，各類移動智能終端成為互聯(lián)網接入的重要組織部分。為了滿足移動用戶的需求，在各類移動智能終端功能不斷豐富的同時，為用戶提供軟件下載的各類應用平臺也應運而生。由于管理上存在的問題，這些應用平臺已經成為攻擊者的另一個目標APT攻擊越來越多

APT（高級持續(xù)威脅）是近幾年來出現(xiàn)的一種新型攻擊。APT是黑客以竊取核心資料為目的，針對客戶所發(fā)動的網絡攻擊和侵襲行為，是一種蓄謀已久的“惡意商業(yè)間諜威脅”。不同于以往傳統(tǒng)的病毒，APT攻擊者掌握高級漏洞和超強的網絡攻擊技術。APT攻擊的原理相對于其他攻擊形式更為復雜和先進，這主要體現(xiàn)在APT在發(fā)動攻擊之前需要對攻擊對象的業(yè)務流程和目標系統(tǒng)進行精確的信息收集，并挖掘被攻擊對象和應用程序的漏洞，在這些漏洞的基礎上形成攻擊者所需的工具。ATP的這種攻擊行為沒有采取任何可能觸發(fā)警報或者引起懷疑的行動，因此更易于融入被攻擊者的系統(tǒng)或程序網絡攻擊的發(fā)展趨勢和特點攻擊工具越來越復雜攻擊者會采用一定的技術隱藏攻擊工具，這為防御攻擊以及分析攻擊工具的特征檢測提高了難度當前攻擊工具可以通過自動升級或自我復制等方式產生新的工具，并迅速發(fā)動新的攻擊在一次攻擊中會出現(xiàn)多種不同形態(tài)的攻擊工具攻擊工具越來越普遍地被開發(fā)為可在多種操作系統(tǒng)平臺上執(zhí)行對基礎設施的威脅增大

基礎設施攻擊會導致Internet上的關鍵服務出現(xiàn)大面積破壞直至癱瘓。目前，Internet已經成為人們生活中依賴的信息交換載體，基礎設施一旦被攻擊，輕則引起人們的擔心，重則引起能源、交通、公共服務等處于癱瘓。目前，基礎設施面臨的攻擊主要有DoS/DDoS攻擊、蠕蟲、域名系統(tǒng)（DNS）攻擊、對路由器攻擊或利用路由器的攻擊等其它

網絡攻擊還呈現(xiàn)出了安全漏洞的發(fā)現(xiàn)越來越快，防火墻參透率越來越高，自動化和攻擊速度越來越高等特點Windows操作系統(tǒng)的攻防Windows操作系統(tǒng)的攻防98Windows在桌面操作系統(tǒng)中占有絕對的市場份額，在服務器操作系統(tǒng)中也擁有一席之地。然而，微軟公司長期以來在強調易操作性和界面友好性的同時，其安全性一直被業(yè)界詬病。針對Windows操作系統(tǒng)安全漏洞的網絡攻擊頻繁發(fā)生，且有愈演愈烈的趨勢。由于Windows操作系統(tǒng)在網絡攻防中具有的重要地位，所以針對Windows操作系統(tǒng)各類安全漏洞的滲透攻擊和防御技術研究已成為當前信息安全領域一個關注的重點。本章從Windows操作系統(tǒng)基本結構入手，在分析其安全體系和機制的基礎上，對相關的安全攻防技術進行介紹。目錄04030206Windows操作系統(tǒng)的安全機制050701針對Windows數據的攻防針對賬戶的攻防針對進程與服務的攻防針對日志的攻防針對系統(tǒng)漏洞的攻防針對注冊表和組策略的攻防Windows操作系統(tǒng)的安全機制/2.12.1Windows操作系統(tǒng)的安全機制101Windows操作系統(tǒng)的發(fā)展本章涉及操作系統(tǒng)版本說明

考慮到Windows操作系統(tǒng)的版本眾多，且不同版本之間的功能和操作方式的差異較大。為突出重點，并便于讀者理解和開展實驗操作，本章主要針對Windows內核進行介紹。所涉及的操作，均在Windows7和WindowsServer2012環(huán)境下進行

自1985年Windows操作系統(tǒng)問世以來，其版本隨著計算機硬件和軟件發(fā)展不斷升級，架構從16位、32位到64位，桌面操作系統(tǒng)版本從最初的Windows1.0到大家熟知的Windows95、Windows98直至現(xiàn)在的Windows10，服務器操作系統(tǒng)版本從WindowsNT3.1、WindowsNT4.0直至現(xiàn)在的WindowsServer2016，操作系統(tǒng)內核版本從1.x、2.x直至Windows10和WindowsServer2016的10.x，其功能在持續(xù)更新過程中不斷完善2.1.1Windows操作系統(tǒng)的層次結構1021、操作系統(tǒng)的設計類型微軟在開發(fā)Window服務器操作系統(tǒng)（WindowsNT3.1）之初，便將其定義為能夠在用戶級實現(xiàn)自主訪問控制、提供審計訪問對象機制的C2級操作系統(tǒng)01.小型系統(tǒng)

早期的一些小型系統(tǒng)（如MS-DOS）主要由可以相互調用的一系列過程組成

功能簡單，實現(xiàn)容易02.層次系統(tǒng)模型

將一個大型復雜的系統(tǒng)分解成若干單向依賴的層次（最內部的一層為系統(tǒng)核），即每一層都提供一組功能且這些功能只依賴該層以內的各層

比較容易修改和測試，同時可以根據需要替換掉一層限制過于嚴格03.客戶機/服務器結構

操作系統(tǒng)被劃分為一個或多個進程，每個進程稱為一個服務器，它提供服務?？蓤?zhí)行的應用稱為客戶機，客戶機通過向指定的服務器發(fā)送消息來請求服務。系統(tǒng)中所有的消息都是通過微內核發(fā)送的，如果有多個服務器存在，則這些服務器共享一個微內核。客戶機和服務器都在用戶模式下執(zhí)行

當一個服務器出現(xiàn)錯誤或重新啟動時，不會影響系統(tǒng)的其他部分

當修改一個過程時可能導致系統(tǒng)其他部分發(fā)生錯誤為滿足計算機聯(lián)網技術的發(fā)展和需求為解決調用過程中存在的問題Windows服務器操作系統(tǒng)結構103Windows服務器操作系統(tǒng)是層次結構和客戶機/服務器結構的混合體2、Windows服務器操作系統(tǒng)的結構2、Windows服務器操作系統(tǒng)的結構104為其上層提供硬件結構的接口使系統(tǒng)運行在不同的硬件上，方便系統(tǒng)的移植硬件抽象層微內核位于硬件抽象層之上為低層提供執(zhí)行、中斷、異常處理和同步的支持微內核包括虛擬內存管理、對象管理、進程和線程管理、I/O管理、進程間通信和安全參考監(jiān)視器模塊之間的通信是通過定義在每個模塊中的函數實現(xiàn)的最高層由一系列實現(xiàn)基本系統(tǒng)服務的模塊組成(1)、執(zhí)行者執(zhí)行者是運行在內核模式（KernelMode）中的部分，它由3層組成2、Windows服務器操作系統(tǒng)的結構105會話管理系統(tǒng)啟動時加載的第一個服務，它負責：啟動DOS設備驅動將子系統(tǒng)在注冊表中進行注冊初始化動態(tài)鏈接庫(DynamicLinkLibrary，DLLs)啟動NT注冊(WinLogon)NT注冊是一個注冊進程，在系統(tǒng)初始化時以logon進程通過Win32注冊負責為交互式注冊和注銷提供接口服務管理操作系統(tǒng)的桌面Win32為應用程序提供有效的32位API提供圖形用戶接口并控制所有用戶輸入和輸出該服務只輸出兩種對象：WindowsStation（如用戶的鼠標、鍵盤和顯示器的輸入/輸出等）和桌面對象本地安全認證提供安全認證服務，在用戶注冊進程、安全事件日志進程等本地系統(tǒng)安全策略中提供安全服務功能.安全策略是由本地安全策略庫實現(xiàn)，庫中主要保存可信域、用戶和用戶組特權、訪問權限和安全事件安全策略庫由本地安全認證來管理，并且只有通過本地安全認證后才能訪問安全賬號管理主要用于管理用戶和用戶組的賬號，根據它的權限決定其作用是在本地域還是其他域范圍內.為認證服務器提供支持.安全賬號作為子對象存儲在注冊表中的數據庫，這個數據庫只有通過安全賬號才能訪問和管理

也稱為被保護的子系統(tǒng)或服務器，提供了應用程序編程接口（ApplicationProgrammingInterface,

API），以具有一定特權的進程形式在用戶模式下執(zhí)行。當應用調用API時，調用者通過局部過程調用（LocalProcedureCall,LPC）發(fā)送請求信息給對應的服務器，服務器在接收到該請求信息后發(fā)送消息應答給調用者（2）、被保護的服務2、Windows服務器操作系統(tǒng)的結構106在Windows服務器操作系統(tǒng)中，所有的軟件和硬件資源都是用對象表示的，如文件、信號量、計時器、線程、進程、內存等.具體可以分為微內核對象和執(zhí)行者對象兩種類型(3)、微內核對象和執(zhí)行者對象01.微內核對象（內核對象）由微內核產生的、對用戶不可見的最基本的對象.輸出給執(zhí)行者的相關應用，提供只有內核最低層才能完成的基本功能.02.執(zhí)行者對象大多數執(zhí)行者對象用于封裝一個或多個微內核對象，它在用戶模式下可見執(zhí)行者為Win32等服務提供一系列的對象，通常服務直接為客戶機程序提供執(zhí)行