《網(wǎng)絡(luò)攻防技術(shù)》課件全套 第1-7章 網(wǎng)絡(luò)攻防技術(shù)概述-移動(dòng)互聯(lián)網(wǎng)應(yīng)用的攻防

第一章網(wǎng)絡(luò)攻防技術(shù)概述近年來(lái)，世界各國(guó)對(duì)網(wǎng)絡(luò)空間的爭(zhēng)奪日益激烈，針對(duì)網(wǎng)絡(luò)空間的控制信息權(quán)和話語(yǔ)權(quán)成為新的戰(zhàn)略制高點(diǎn)；現(xiàn)實(shí)空間的滲透和恐怖襲擊正與網(wǎng)絡(luò)空間的滲透和恐怖襲擊更緊密地結(jié)合在一起，成為人類(lèi)社會(huì)面臨的新威脅；不斷增長(zhǎng)和擴(kuò)散的計(jì)算機(jī)病毒（如木馬、蠕蟲(chóng)）和黑客攻擊等大量信息時(shí)代的“衍生物”，正在對(duì)信息化程度較高的金融、交通、商業(yè)、醫(yī)療、通信、電力等重要國(guó)家基礎(chǔ)設(shè)施造成嚴(yán)重的破壞，成為影響國(guó)家安全的新威脅。保護(hù)網(wǎng)絡(luò)空間安全作為重大挑戰(zhàn)之一，已與防止核恐怖事件，利用核聚變能量等一起被列為新世紀(jì)亟待解決的難題。網(wǎng)絡(luò)攻防背景本章概要本章立足網(wǎng)絡(luò)空間安全，介紹網(wǎng)絡(luò)攻防的基本概念和相關(guān)技術(shù)：黑客、紅客以及紅黑對(duì)抗網(wǎng)絡(luò)攻擊的類(lèi)型網(wǎng)絡(luò)攻擊的屬性主要攻擊方法網(wǎng)絡(luò)攻擊的實(shí)施過(guò)程網(wǎng)絡(luò)攻防的發(fā)展趨勢(shì)1.1黑客、紅客及紅黑對(duì)抗計(jì)算機(jī)的出現(xiàn)使程序的自動(dòng)運(yùn)行變成了現(xiàn)實(shí)，而網(wǎng)絡(luò)技術(shù)的應(yīng)用使信息成為物質(zhì)和能量以外維護(hù)人類(lèi)社會(huì)的第三資源。隨著計(jì)算機(jī)應(yīng)用的普及和Internet的飛速發(fā)展，黑客、紅客等概念出現(xiàn)，涉及到黑客與紅客之間博弈的紅黑對(duì)抗引起社會(huì)的關(guān)注。

1.1.1黑客與紅客黑客簡(jiǎn)介（hacker）早期當(dāng)前

特指哪些技術(shù)高超，愛(ài)好鉆研計(jì)算機(jī)技術(shù)，能夠洞察到各類(lèi)計(jì)算機(jī)安全問(wèn)題并加以解決的技術(shù)人員，是安全的守護(hù)者和捍衛(wèi)者。白帽：挖掘并公開(kāi)漏洞的黑客白帽網(wǎng)站：供白帽、安全廠商和安全研究者對(duì)安全漏洞等問(wèn)題進(jìn)行公開(kāi)和反饋的網(wǎng)絡(luò)平臺(tái)，也是為互聯(lián)網(wǎng)安全研究者提供學(xué)習(xí)、交流和研究的平臺(tái)正面負(fù)面

指熟悉計(jì)算機(jī)操作系統(tǒng)的原理且能夠及時(shí)發(fā)現(xiàn)和利用操作系統(tǒng)存在的安全漏洞，通過(guò)實(shí)施非法入侵、竊取、破壞等行為的計(jì)算機(jī)搗亂分子或計(jì)算機(jī)犯罪分子，也稱(chēng)為“駭客”（cracker）。

當(dāng)前黑客通常通過(guò)使用已有工具軟件對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊和控制，因此又稱(chēng)為軟件黑客（softwarecracker）或腳本小子（scriptkids）。

黑客與駭客的異同黑客駭客系統(tǒng)安全守衛(wèi)者工作具有建設(shè)性掌握計(jì)算機(jī)編程能力系統(tǒng)安全破壞者惡意破壞性操作掌握入侵和掃描工具使用方法，一般不具備計(jì)算機(jī)編程能力利用掌握的計(jì)算機(jī)技術(shù)在未經(jīng)授權(quán)情況下訪問(wèn)計(jì)算機(jī)文件或網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的入侵者紅客信息安全的守衛(wèi)者具備傳統(tǒng)黑客的技術(shù)能力能夠有效阻止計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的破壞行為具有“正義感”確保用戶能夠按既定的秩序在系統(tǒng)中提供或獲得服務(wù)

紅客與黑客的區(qū)別紅客黑客某種意義上代表“正義”行為一般都公開(kāi)可以充分運(yùn)用技術(shù)和非技術(shù)手段捍衛(wèi)系統(tǒng)的安全某種意義代表“邪惡”在隱蔽環(huán)境下進(jìn)行紅客映射著一種正能量和正面精神，是正義感、愛(ài)國(guó)情懷和進(jìn)取精神的從事網(wǎng)絡(luò)安全的黑客1.1.2紅黑對(duì)抗網(wǎng)絡(luò)空間網(wǎng)絡(luò)空間是繼陸、海、空、天領(lǐng)域之后的第五維空間，它是以自然存在的電磁能為載體，人工網(wǎng)絡(luò)為平臺(tái)，信息控制為目的的空間。網(wǎng)絡(luò)空間包括電子系統(tǒng)、計(jì)算機(jī)、通信網(wǎng)絡(luò)和其他信息基礎(chǔ)設(shè)施，通過(guò)對(duì)信息的產(chǎn)生、存儲(chǔ)、修改、交換、分析和利用，實(shí)現(xiàn)對(duì)物理實(shí)體的實(shí)時(shí)控制，以影響人的認(rèn)知活動(dòng)和社會(huì)行為。網(wǎng)絡(luò)空間已經(jīng)成為國(guó)家最重要的基礎(chǔ)設(shè)施，網(wǎng)絡(luò)空間安全對(duì)抗也成為捍衛(wèi)國(guó)家安全的重要使命。網(wǎng)絡(luò)攻防實(shí)質(zhì)是網(wǎng)絡(luò)空間中人與人之間的智力博弈表現(xiàn)形式為紅客與黑客之間的對(duì)抗，即“紅黑對(duì)抗”紅黑對(duì)抗是一種正義與非正義之間的斗爭(zhēng)信息安全領(lǐng)域中紅黑對(duì)抗是一個(gè)互相抗衡、此消彼長(zhǎng)的動(dòng)態(tài)過(guò)程紅黑對(duì)抗伴隨著信息技術(shù)的發(fā)展而不斷演進(jìn)模型創(chuàng)建是網(wǎng)絡(luò)攻防的基礎(chǔ)，通過(guò)建立和分析網(wǎng)絡(luò)攻防博弈模型，可以評(píng)測(cè)攻防雙方的既定策略，并基于攻防雙方的驅(qū)動(dòng)與能力，獲得縱深的策略集合甚至是攻防均衡點(diǎn)，使防御方能夠基于最小的代價(jià)獲得最大的安全收益，為網(wǎng)絡(luò)攻防提供理論依據(jù)1.2網(wǎng)絡(luò)攻擊的類(lèi)型網(wǎng)絡(luò)攻擊是指任何非授權(quán)而進(jìn)入或試圖進(jìn)入他人計(jì)算機(jī)網(wǎng)絡(luò)的行為，是入侵者實(shí)現(xiàn)入侵目的所采取的技術(shù)手段和方法。網(wǎng)絡(luò)攻擊對(duì)象對(duì)網(wǎng)絡(luò)中單個(gè)節(jié)點(diǎn)的攻擊，如服務(wù)器、防火墻、路由器等對(duì)整個(gè)網(wǎng)絡(luò)的攻擊對(duì)節(jié)點(diǎn)上運(yùn)行的某一個(gè)應(yīng)用系統(tǒng)或應(yīng)用軟件的攻擊網(wǎng)絡(luò)攻擊(根據(jù)實(shí)施方法差異)主動(dòng)攻擊被動(dòng)攻擊中斷篡改偽造竊聽(tīng)流量分析1.2.1主動(dòng)攻擊主動(dòng)攻擊是指攻擊者為了實(shí)現(xiàn)攻擊目的，主動(dòng)對(duì)需要訪問(wèn)的信息進(jìn)行非授權(quán)的訪問(wèn)行為。中斷攻擊主動(dòng)攻擊篡改攻擊偽造攻擊可用性完整性真實(shí)性中斷可用性（availability）是指授權(quán)實(shí)體按需對(duì)信息的取得能力強(qiáng)調(diào)信息系統(tǒng)的穩(wěn)定性強(qiáng)調(diào)持續(xù)服務(wù)能力中斷主要通過(guò)破壞計(jì)算機(jī)硬件、網(wǎng)絡(luò)和文件管理系統(tǒng)來(lái)實(shí)現(xiàn)對(duì)系統(tǒng)可用性的攻擊拒絕服務(wù)*針對(duì)身份識(shí)別應(yīng)用的攻擊針對(duì)訪問(wèn)控制應(yīng)用的攻擊針對(duì)審計(jì)跟蹤應(yīng)用的攻擊篡改完整性（integrity）：防止信息在未經(jīng)授權(quán)的情況下被篡改，強(qiáng)調(diào)保持信息的原始性和真實(shí)性，防止信息被蓄意地修改、插入、刪除、偽造、亂序和重放，以致形成虛假信息原始性：網(wǎng)絡(luò)環(huán)境信息完整性實(shí)現(xiàn)方式：篡改攻擊：利用存在的漏洞破壞原有的機(jī)制，達(dá)到攻擊目的協(xié)議糾錯(cuò)編碼數(shù)字簽名校驗(yàn)……信息正確生成信息正確存儲(chǔ)信息正確傳輸偽造偽造攻擊：針對(duì)信息的真實(shí)性（validity），指某個(gè)實(shí)體（人或系統(tǒng)）冒充成其他實(shí)體，發(fā)出含有其他實(shí)體身份信息的數(shù)據(jù)信息，從而以欺騙方式獲取一些合法用戶的權(quán)利和特權(quán)主要攻擊對(duì)象：認(rèn)證系統(tǒng)：使信息接收者相信所接收到的信息確實(shí)是由該信息聲稱(chēng)的發(fā)送者發(fā)出的，即信息發(fā)送者的身份是可信賴(lài)的；保證通信雙方的通信連接不能被第三方介入，防止攻擊者假冒其中的一方進(jìn)行數(shù)據(jù)的非法接收或傳輸對(duì)身份認(rèn)證的攻擊對(duì)資源授權(quán)的攻擊1.2.2被動(dòng)攻擊利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊。一般不對(duì)數(shù)據(jù)進(jìn)行篡改通過(guò)截取或者竊聽(tīng)等方式未經(jīng)用戶授權(quán)對(duì)被動(dòng)攻擊竊聽(tīng)對(duì)消息內(nèi)容進(jìn)行獲取，或?qū)I(yè)務(wù)數(shù)據(jù)流進(jìn)行分析流量分析竊聽(tīng)竊聽(tīng)概念：竊聽(tīng)內(nèi)容：以明文形式保存和傳輸?shù)男畔⑼ㄟ^(guò)數(shù)據(jù)加密技術(shù)處理后的密文信息竊聽(tīng)方式：打破原有工作機(jī)制式，如對(duì)加密密文的竊聽(tīng)利用網(wǎng)絡(luò)已有工作機(jī)制式通過(guò)混雜模式竊聽(tīng)以太網(wǎng)本網(wǎng)段的廣播分組報(bào)文信息接收WLAN信號(hào)，并通過(guò)信號(hào)分析恢復(fù)獲得原始信息原指偷聽(tīng)別人之間的談話本書(shū)指借助于技術(shù)手段竊取網(wǎng)絡(luò)中的信息流量分析流量：數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時(shí)以流量進(jìn)行描述流量分析：建立在數(shù)據(jù)攔截的基礎(chǔ)上，對(duì)截獲的數(shù)據(jù)根據(jù)需要進(jìn)行定向分析協(xié)議數(shù)據(jù)單元（ProtocolDataUnit，PDU）：TCP/IP體系結(jié)構(gòu)分層模型中每一層對(duì)網(wǎng)絡(luò)流量的格式定義稱(chēng)為協(xié)議數(shù)據(jù)單元物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層數(shù)據(jù)位（bit）數(shù)據(jù)幀（frame）分組（packet）數(shù)據(jù)段（segment）報(bào)文（message）流量分析流量分析攻擊可以針對(duì)分層結(jié)構(gòu)的每一層，最直接的是通過(guò)對(duì)應(yīng)用層報(bào)文的攻擊直接獲得用戶的數(shù)據(jù)分析傳輸層及其以下的PDU通信雙方的MAC地址、IP地址、通信時(shí)長(zhǎng)等信息通信雙方所在位置、傳輸?shù)臄?shù)據(jù)類(lèi)型、通信的頻度等信息為后續(xù)的攻擊提供重要依據(jù)通信雙方所占用帶寬和通信時(shí)長(zhǎng)通行雙方信息交換的信息類(lèi)型流量的協(xié)議分析用戶數(shù)據(jù)的類(lèi)型異常流量的分析判定網(wǎng)絡(luò)是否存在攻擊1.3網(wǎng)絡(luò)攻擊的屬性網(wǎng)絡(luò)攻擊特點(diǎn)：同時(shí)涉及到技術(shù)和非技術(shù)因素實(shí)施過(guò)程是由一個(gè)或多個(gè)不同階段組成，其中不同的階段體現(xiàn)出不同的攻擊特點(diǎn)網(wǎng)絡(luò)攻擊分類(lèi)的必要性：基于攻擊屬性的分類(lèi)：研究條件、研究環(huán)境、把控能力等因素人們對(duì)各種網(wǎng)絡(luò)攻擊的理解不盡相同對(duì)網(wǎng)絡(luò)攻擊的判定和特征的提取方法不相同對(duì)網(wǎng)絡(luò)攻擊及其造成的危害和威脅認(rèn)識(shí)程度不一致對(duì)網(wǎng)絡(luò)的防御帶來(lái)一定困難權(quán)限轉(zhuǎn)換方法動(dòng)作1.3.1權(quán)限權(quán)限用于確定誰(shuí)能夠訪問(wèn)某一系統(tǒng)以及能夠訪問(wèn)這一系統(tǒng)上的哪些資源。權(quán)限意義：通過(guò)對(duì)不同類(lèi)型的用戶設(shè)置不同的權(quán)限，可以加強(qiáng)對(duì)用戶的分類(lèi)管理，以提高系統(tǒng)的安全性。根據(jù)訪問(wèn)方式分類(lèi)：遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)權(quán)限本地網(wǎng)絡(luò)訪問(wèn)超級(jí)網(wǎng)絡(luò)管理員訪問(wèn)用戶訪問(wèn)主機(jī)的物理訪問(wèn)1.3.2轉(zhuǎn)換方法轉(zhuǎn)換方法指攻擊者對(duì)已有漏洞的利用。攻擊過(guò)程的實(shí)施需要借助通信機(jī)制，通過(guò)對(duì)已有機(jī)制存在的漏洞的利用來(lái)實(shí)現(xiàn)。轉(zhuǎn)換方法的分類(lèi)：偽裝轉(zhuǎn)換方法濫用系統(tǒng)誤設(shè)執(zhí)行缺陷社會(huì)工程學(xué)偽裝偽裝:將攻擊者的秘密信息隱藏于正常的非秘密文件中偽裝對(duì)象：圖像、聲音、視頻等多媒體數(shù)字文件偽裝攻擊特點(diǎn)：具有隱蔽性，不易被發(fā)現(xiàn)與加密技術(shù)的區(qū)別：加密操作隱藏信息的內(nèi)容隱藏信息的內(nèi)容信息偽裝隱藏信息的存在社會(huì)工程學(xué)社會(huì)工程學(xué):反映社會(huì)現(xiàn)象當(dāng)代發(fā)展復(fù)雜性程度的一門(mén)綜合性的社會(huì)科學(xué)，其目標(biāo)是對(duì)各種社會(huì)問(wèn)題進(jìn)行實(shí)例分析和解決社會(huì)工程學(xué)工作方式：不是將人文科學(xué)、社會(huì)科學(xué)、自然科學(xué)的知識(shí)與技術(shù)簡(jiǎn)單相加，而是根據(jù)計(jì)劃、政策的概念，在重構(gòu)這些知識(shí)和技術(shù)的基礎(chǔ)上，進(jìn)行新的探索和整合社會(huì)工程學(xué)攻擊：通過(guò)對(duì)受害者本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，取得自身利益的手法優(yōu)點(diǎn)：相對(duì)于傳統(tǒng)計(jì)算機(jī)攻擊方式，社會(huì)工程學(xué)攻擊通過(guò)利用人為的漏洞缺陷進(jìn)行欺騙來(lái)獲取系統(tǒng)控制權(quán)表面上難以察覺(jué)不需要與受害者目標(biāo)進(jìn)行面對(duì)面的交流不會(huì)在系統(tǒng)留下任何可被追查的日志記錄1.3.3動(dòng)作動(dòng)作是指攻擊實(shí)施過(guò)程中的具體行為或采用的方法動(dòng)作的分類(lèi)：探測(cè)動(dòng)作拒絕服務(wù)改變截獲利用拒絕服務(wù)拒絕服務(wù)（DenyofService，DoS）

通過(guò)連續(xù)向攻擊目標(biāo)發(fā)送超出其處理能力的過(guò)量數(shù)據(jù)，消耗其有限的網(wǎng)絡(luò)鏈路或操作系統(tǒng)資源，使之無(wú)法為合法用戶提供有效服務(wù)DoS攻擊方式利用目標(biāo)系統(tǒng)或軟件漏洞，發(fā)送一個(gè)或多個(gè)精心構(gòu)造的數(shù)據(jù)包給目標(biāo)系統(tǒng)，讓被攻擊系統(tǒng)崩潰、運(yùn)行異?；蛑貑⒌?，導(dǎo)致無(wú)法為正常用戶提供服務(wù)。如“ping-of-death”攻擊。洪泛攻擊，它讓無(wú)用的信息占去系統(tǒng)的帶寬或其他資源，使得系統(tǒng)不能服務(wù)于合法用戶分布式拒絕服務(wù)分布式拒絕服務(wù)(DistributedDoS，DDoS）

利用網(wǎng)絡(luò)中不同的主機(jī)同時(shí)發(fā)起DoS攻擊，使得被攻擊對(duì)象不能服務(wù)于正常用戶DDoS與DoS差異DDoS攻擊中的數(shù)據(jù)包來(lái)自不同攻擊源DoS攻擊中的數(shù)據(jù)包來(lái)自一個(gè)固定的攻擊源DDoS四要素實(shí)際工作者隱藏攻擊者身份的機(jī)器（控制僵尸網(wǎng)絡(luò)并發(fā)送攻擊命令）進(jìn)行DDoS攻擊的機(jī)器群（僵尸網(wǎng)絡(luò)）被攻擊目標(biāo)低速率拒絕服務(wù)傳統(tǒng)DoS攻擊特點(diǎn):

攻擊者采取一種壓力（sledge-hammer）方式向被攻擊者發(fā)送大量攻擊包，即要求攻擊者維持一個(gè)高頻、高速率的攻擊流。這種特征，使得各種傳統(tǒng)DoS攻擊與正常網(wǎng)絡(luò)流量相比都具有一種異常統(tǒng)計(jì)特性，使得對(duì)其進(jìn)行檢測(cè)相對(duì)簡(jiǎn)單低速率拒絕服務(wù)(Low-rateDoS，LDoS）

只是在特定時(shí)間間隔內(nèi)發(fā)送數(shù)據(jù)，相同周期其他時(shí)間段內(nèi)不發(fā)送任何數(shù)據(jù)，此間歇性攻擊特點(diǎn)，使得攻擊流的平均速率比較低，與合法用戶的數(shù)據(jù)流區(qū)別不大，不再具有傳統(tǒng)DoS攻擊數(shù)據(jù)的異常統(tǒng)計(jì)特性，使得很難用已有的方法對(duì)其進(jìn)行防范1.4主要攻擊方法計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)來(lái)源：網(wǎng)絡(luò)系統(tǒng)存在的缺陷或漏洞利用漏洞的攻擊外部環(huán)境對(duì)網(wǎng)絡(luò)的威脅網(wǎng)絡(luò)攻擊定義：

指任何形式的非授權(quán)行為（廣義）網(wǎng)絡(luò)攻擊方式：

主要利用網(wǎng)絡(luò)通信協(xié)議本身存在的設(shè)計(jì)缺陷或因安全配置不當(dāng)而產(chǎn)生的安全漏洞而實(shí)施端口掃描網(wǎng)絡(luò)攻擊口令攻擊彩虹表漏洞攻擊緩沖區(qū)溢出電子郵件攻擊高級(jí)持續(xù)威脅（APT）社會(huì)工程學(xué)1.4.1端口掃描網(wǎng)絡(luò)掃描：

對(duì)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)設(shè)備進(jìn)行與安全有關(guān)的檢測(cè)，以便發(fā)現(xiàn)安全隱患和可利用的漏洞端口掃描：向目標(biāo)主機(jī)的服務(wù)端口發(fā)送探測(cè)數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。通過(guò)分析響應(yīng)的數(shù)據(jù)包來(lái)判斷服務(wù)端口是否處于打開(kāi)狀態(tài)，從而得知端口提供的服務(wù)或信息捕獲本地主機(jī)或服務(wù)器的流入流出數(shù)據(jù)包來(lái)監(jiān)視本地IP主機(jī)的運(yùn)行情況，它能對(duì)接收到的數(shù)據(jù)進(jìn)行分析，幫助人們發(fā)現(xiàn)目標(biāo)主機(jī)的某些內(nèi)在的弱點(diǎn)端口掃描作用：了解系統(tǒng)向外界提供了哪些服務(wù)探測(cè)目標(biāo)主機(jī)系統(tǒng)端口目前正向外提供何種服務(wù)TCP連接掃描TCP連接掃描（TCPconnectScan）

也稱(chēng)為“TCP全連接掃描”，它利用TCP協(xié)議的3次握手過(guò)程，直接連到目標(biāo)端口并完成一個(gè)完整的3次握手過(guò)程目標(biāo)主機(jī)狀態(tài)及應(yīng)答數(shù)據(jù)包Close狀態(tài)RST數(shù)據(jù)包》丟棄其它數(shù)據(jù)包》返回RST數(shù)據(jù)包LISTEN狀態(tài)SYN數(shù)據(jù)包》返回SYN或ACK數(shù)據(jù)包》SYN-RCVD狀態(tài)ACK數(shù)據(jù)包》返回RST數(shù)據(jù)包其它數(shù)據(jù)包》丟棄SYN-RCVD狀態(tài)RST數(shù)據(jù)包》返回LISTEN狀態(tài)ACK數(shù)據(jù)包》進(jìn)入ESTABLISHED（連接建立）狀態(tài)，并建立TCP連接其它數(shù)據(jù)包》丟棄ESTABLISHED狀態(tài)TCP連接建立時(shí)的三次握手1.4.2口令攻擊身份認(rèn)證方式當(dāng)前口令認(rèn)證方式

大部分系統(tǒng)通過(guò)保存口令的Hash值來(lái)對(duì)用戶認(rèn)證信息進(jìn)行管理。原理：利用了單向函數(shù)的單向性（給定口令輸入，計(jì)算Hash值是容易的；但給定Hash值，難以計(jì)算出口令輸入值。這樣即使攻擊者獲取到存儲(chǔ)口令Hash值的文件，也很難得到口令）保證口令的安全采用直接存儲(chǔ)口令本身來(lái)進(jìn)行比對(duì)認(rèn)證基于圖像、視覺(jué)和指紋等的認(rèn)證方法可記憶的文本口令認(rèn)證方法（便捷的應(yīng)用和極低的成本）早期當(dāng)前口令攻擊口令攻擊:

攻擊者通過(guò)猜測(cè)口令，并且將計(jì)算出的Hash值進(jìn)行比對(duì)的過(guò)程互聯(lián)網(wǎng)環(huán)境中口令攻擊方式：在線竊聽(tīng)：攻擊者利用一些網(wǎng)絡(luò)協(xié)議傳輸信息時(shí)未進(jìn)行加密處理這一機(jī)制，通過(guò)在線截獲數(shù)據(jù)包并經(jīng)協(xié)議分析來(lái)獲得用戶名和密碼等帳戶信息獲取口令文件：攻擊者在竊取了操作系統(tǒng)保存的用戶賬號(hào)和加密口令文件后，通過(guò)破解來(lái)獲取系統(tǒng)的帳戶信息字典攻擊：攻擊者使用事先生成的口令字典庫(kù)，依次向目標(biāo)系統(tǒng)發(fā)起身份認(rèn)證請(qǐng)求，直到某一個(gè)口令滿足條件（攻擊成功）或所有口令遍歷后仍然無(wú)效（攻擊失?。橹?。字典攻擊必須具備以下兩個(gè)條件：目標(biāo)系統(tǒng)的身份認(rèn)證方式（如虹膜認(rèn)證、指紋認(rèn)證、口令認(rèn)證等）字典庫(kù)的準(zhǔn)備

1.4.3彩虹表

Hash函數(shù)碰撞(Collision):

若兩個(gè)輸入串的hash函數(shù)的值一樣，則稱(chēng)這兩個(gè)串是一個(gè)碰撞碰撞的必然性：

理論范圍內(nèi)，存在一個(gè)輸出串（Hash函數(shù)值）對(duì)應(yīng)無(wú)窮多個(gè)輸入串，所以碰撞具有其必然性彩虹表破解

通過(guò)暴力破解方式，搜尋指定輸入的Hash碰撞值。彩虹表打破Hash函數(shù)不可逆的性質(zhì)約定（無(wú)法從雜湊值計(jì)算得到原始輸入串），但無(wú)法保證破解到的數(shù)據(jù)是原始數(shù)據(jù)Hash函數(shù)破解

彩虹表的建立

彩虹表破解Hash函數(shù)值

是否為彩虹表中最后一條記錄YN

N

Y

N

破解失敗

YYN彩虹表應(yīng)用示例

彩虹表破解主要運(yùn)算過(guò)程：（1）對(duì)Hash函數(shù)值“00BB33DF”通過(guò)換算函數(shù)R3得到一個(gè)終結(jié)點(diǎn)的明文密碼“hammer”，在彩虹表的終結(jié)點(diǎn)一列中未找到對(duì)應(yīng)內(nèi)容，轉(zhuǎn)到（2）；（2）通過(guò)換算函數(shù)R2、Hash函數(shù)H、換算函數(shù)R3得到終結(jié)點(diǎn)的明文密碼“farmer”；（3）在彩虹表中找到相對(duì)應(yīng)的終結(jié)點(diǎn)明文密碼“farmer”；（4）利用對(duì)應(yīng)的起始點(diǎn)“cccccc”重新構(gòu)建哈希鏈，直至運(yùn)算得到Hash值“00BB33DF”。這時(shí)，就獲得了Hash值“00BB33DF”相對(duì)應(yīng)的明文密碼“summer”。破解成功。圖1、經(jīng)三次換算的簡(jiǎn)單哈希鏈表圖2、對(duì)Hash值“00BB33DF”的破解過(guò)程1.4.4漏洞攻擊漏洞計(jì)算機(jī)安全領(lǐng)域：指存在于一個(gè)系統(tǒng)內(nèi)的弱點(diǎn)或缺陷，系統(tǒng)對(duì)一個(gè)特定的威脅攻擊或危險(xiǎn)事件的敏感性，或進(jìn)行攻擊的威脅作用的可能性。其通常是由軟件錯(cuò)誤（如未經(jīng)檢測(cè)的緩沖區(qū)或者競(jìng)爭(zhēng)條件）引起網(wǎng)絡(luò)安全領(lǐng)域：指區(qū)別于所有非受損狀態(tài)的容易受攻擊的狀態(tài)特征計(jì)算機(jī)系統(tǒng)由若干描述實(shí)體配置的當(dāng)前狀態(tài)組成，包括授權(quán)狀態(tài)、非授權(quán)狀態(tài)、易受攻擊狀態(tài)和不易受攻擊狀態(tài)易受攻擊狀態(tài)：是指通過(guò)授權(quán)的狀態(tài)轉(zhuǎn)變從非授權(quán)狀態(tài)可以到達(dá)的授權(quán)狀態(tài)受損狀態(tài)：是指已完成這種轉(zhuǎn)變的狀態(tài)，攻擊是非受損狀態(tài)到受損狀態(tài)的狀態(tài)轉(zhuǎn)變過(guò)程漏洞特點(diǎn)軟件編寫(xiě)過(guò)程中出現(xiàn)的邏輯錯(cuò)誤(除專(zhuān)門(mén)設(shè)置的“后門(mén)”)多由疏忽造成漏洞和具體的系統(tǒng)環(huán)境密切相關(guān)漏洞問(wèn)題與時(shí)間緊密相關(guān)漏洞的概念漏洞基本屬性：漏洞類(lèi)型造成后果嚴(yán)重程度利用需求環(huán)境特征……漏洞相關(guān)對(duì)象：存在漏洞的軟(硬)件操作系統(tǒng)相應(yīng)補(bǔ)丁程序修補(bǔ)漏洞方法……一個(gè)典型的漏洞庫(kù)所包含的漏洞信息漏洞的概念安全漏洞

指信息技術(shù)、信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過(guò)程中，有意或無(wú)意產(chǎn)生的脆弱性，這些脆弱性以不同形式存在于信息系統(tǒng)各個(gè)層次和環(huán)節(jié)之中，能夠被惡意主體所利用，從而影響信息系統(tǒng)及其服務(wù)的正常運(yùn)行網(wǎng)絡(luò)安全事件案例2010年“震網(wǎng)”（Stuxnet）蠕蟲(chóng)事件2011年韓國(guó)網(wǎng)站被黑導(dǎo)致的網(wǎng)民信息被盜案件2011年CSDN等站點(diǎn)賬號(hào)信息泄漏事件0day漏洞一種特殊的安全漏洞。通常指還沒(méi)有公開(kāi)過(guò)的尚未有補(bǔ)丁的漏洞，也稱(chēng)為“未公開(kāi)漏洞”0day攻擊

利用0day漏洞進(jìn)行的攻擊，即在安全補(bǔ)丁發(fā)布之前攻擊者已經(jīng)掌握了漏洞的存在，并對(duì)存在該漏洞的系統(tǒng)進(jìn)行的攻擊漏洞的分類(lèi)原因描述案例設(shè)計(jì)方面主要是在系統(tǒng)設(shè)計(jì)時(shí)受某種先決條件的限制，或考慮不夠全面，從而導(dǎo)致設(shè)計(jì)上存在缺陷，此類(lèi)漏洞通常難以修補(bǔ)最初的TCP/IP協(xié)議對(duì)于身份的確認(rèn)、交互信息的確認(rèn)都沒(méi)有進(jìn)行專(zhuān)門(mén)的考慮，從而導(dǎo)致假冒IP地址、利用TCP通信中三次握手等攻擊行為很難防范實(shí)現(xiàn)方面主要體現(xiàn)在編碼階段，如忽略或缺乏編碼安全方面的考慮、編程習(xí)慣不良的、以及測(cè)試工作的不充分等，導(dǎo)致在一些特殊的條件下，程序無(wú)法按照預(yù)定的步驟執(zhí)行，從而給攻擊者以可乘之機(jī)典型的編碼漏洞攻擊——緩沖區(qū)溢出攻擊，如CodeRed、SQLSlammer、沖擊波蠕蟲(chóng)、震蕩波蠕蟲(chóng)等都是利用了緩沖區(qū)溢出的漏洞。此類(lèi)攻擊通常會(huì)使攻擊者的權(quán)限得到非法提升，對(duì)系統(tǒng)的安全性威脅很大配置方面由于管理者缺乏相應(yīng)的安全知識(shí)、對(duì)所使用的系統(tǒng)不了解、配置方法不專(zhuān)業(yè)等原因，經(jīng)常為系統(tǒng)留下嚴(yán)重的安全隱患采用系統(tǒng)的默認(rèn)配置，導(dǎo)致系統(tǒng)運(yùn)行了本來(lái)不需要的服務(wù)，由此埋下了安全隱患，這個(gè)問(wèn)題在操作系統(tǒng)服務(wù)的配置、應(yīng)用服務(wù)的權(quán)限配置、口令配置方面表現(xiàn)得更為突出針對(duì)網(wǎng)絡(luò)協(xié)議漏洞的攻擊網(wǎng)絡(luò)漏洞存在于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的，可能對(duì)系統(tǒng)中的組成和數(shù)據(jù)造成損害的一切因素在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)網(wǎng)絡(luò)協(xié)議漏洞（TCP/IP協(xié)議）概念：Internet中使用的一組通信協(xié)議的總稱(chēng)提供的服務(wù)：一種面向非連接的盡力而為的不可靠服務(wù)特點(diǎn)：未考慮網(wǎng)絡(luò)中傳輸內(nèi)容的保密性，整個(gè)體系結(jié)構(gòu)是一種開(kāi)放、松散的架構(gòu)漏洞：

TCP/IP中的主流協(xié)議（如TCP、UDP、ARP/RARP、SMTP、DNS等）都不同程度地存在著安全漏洞，這些安全漏洞都可能會(huì)被攻擊者利用，作為入侵的窗口或跳板。1.4.5緩沖區(qū)溢出緩沖區(qū)

計(jì)算機(jī)中的連續(xù)的一段存儲(chǔ)空間緩沖區(qū)溢出

一種系統(tǒng)攻擊手段，它通過(guò)向程序的緩沖區(qū)寫(xiě)入超出其長(zhǎng)度要求的內(nèi)容，造成緩沖區(qū)空間的溢出，溢出的數(shù)據(jù)將改寫(xiě)相鄰存儲(chǔ)單元上的數(shù)據(jù)，從而破壞程序的堆棧，使程序轉(zhuǎn)去執(zhí)行其它的指令。緩沖區(qū)溢出是一種典型的U2R（UsertoRoot）攻擊方式。緩沖區(qū)溢出原因

代碼在操作緩沖區(qū)時(shí)，沒(méi)有有效地對(duì)緩沖區(qū)邊界進(jìn)行檢查緩沖區(qū)溢出攻擊后果使程序運(yùn)行失敗、系統(tǒng)崩潰或重新啟動(dòng)利用緩沖區(qū)溢出執(zhí)行非授權(quán)指令，甚至取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作緩沖區(qū)溢出的原理事實(shí)1、輸入的形參等數(shù)據(jù)存放在堆棧中2、程序由內(nèi)存低端向內(nèi)存高端按順序執(zhí)行3、堆棧的生長(zhǎng)方向與內(nèi)存的生長(zhǎng)方向相反動(dòng)作在堆棧中壓入的數(shù)據(jù)超過(guò)預(yù)先分配給堆棧的容量結(jié)果出現(xiàn)堆棧溢出，使得程序運(yùn)行失敗程序在內(nèi)存中的存儲(chǔ)方式緩沖區(qū)溢出操作事例正常操作1、輸入“networkattack”，先在棧底壓入程序返回地址，接著將棧指針EBP入棧，此時(shí)EBP等于現(xiàn)在的ESP。之后，ESP減16，即向上增長(zhǎng)16字節(jié)，用來(lái)存放name[]數(shù)組，如圖(a)2、執(zhí)行g(shù)ets(name)命令，堆棧數(shù)據(jù)段壓入字符串，如圖(b）3、從main函數(shù)返回，彈出ret里的返回地址并賦值EIP，CPU繼續(xù)執(zhí)行EIP所指向的指令緩沖區(qū)溢出操作示例#include<stdio.h>intmain(){charname[16];gets(name);for(inti=0;i<16&&name[i];i++)print(name[i])};緩沖區(qū)操作程序緩沖區(qū)溢出操作事例溢出操作1、輸入“networkattackDDD……DDD”，先在棧底壓入程序返回地址，接著將棧指針EBP入棧，此時(shí)EBP等于現(xiàn)在的ESP。之后ESP減16，即向上增長(zhǎng)16字節(jié)，用來(lái)存放name數(shù)組，如圖(a)2、執(zhí)行g(shù)ets(name)命令，堆棧數(shù)據(jù)段壓入字符串，由于輸入的字符串長(zhǎng)度超過(guò)了16字節(jié)，在name數(shù)組中無(wú)法容納，只好向堆棧的底部方向繼續(xù)寫(xiě)入，覆蓋了堆棧中原有的內(nèi)容，如圖(c）3、從main函數(shù)返回，由于ret被輸入的字符“D”覆蓋，導(dǎo)致將“DDDD”的ASCII碼看作返回地址并賦值EIP，CPU會(huì)試圖執(zhí)行該地址處的指令，結(jié)果出現(xiàn)難以預(yù)料的結(jié)果，便產(chǎn)生了一次堆棧溢出緩沖區(qū)溢出操作示例#include<stdio.h>intmain(){charname[16];gets(name);for(inti=0;i<16&&name[i];i++)print(name[i])};緩沖區(qū)操作程序緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊破壞敏感數(shù)據(jù)攻擊改變程序邏輯攻擊緩沖區(qū)中的數(shù)據(jù)整個(gè)被攻擊系統(tǒng)對(duì)緩沖區(qū)中的數(shù)據(jù)進(jìn)行篡改操作通過(guò)改變緩沖區(qū)中的數(shù)據(jù)來(lái)改變?cè)械某绦蜻壿?，以此獲取對(duì)本地或遠(yuǎn)程被攻擊系統(tǒng)的控制權(quán)分類(lèi)（根據(jù)實(shí)現(xiàn)目標(biāo)不同）攻擊對(duì)象攻擊目的緩沖區(qū)溢出攻擊改變程序邏輯攻擊操作步驟1、注入惡意數(shù)據(jù)惡意數(shù)據(jù)：用于實(shí)現(xiàn)攻擊的數(shù)據(jù)，它的內(nèi)容影響攻擊模式中后續(xù)活動(dòng)能否順利進(jìn)行注入方式：命令行參數(shù)、環(huán)境變量、輸入文件或網(wǎng)絡(luò)數(shù)據(jù)等2、緩沖區(qū)溢出前提條件：系統(tǒng)中存在的可以被利用的緩沖區(qū)溢出漏洞操作方式：通過(guò)特定外部輸入，迫使緩沖區(qū)溢出的發(fā)生改變程序邏輯攻擊操作步驟緩沖區(qū)溢出攻擊改變程序邏輯攻擊操作步驟3、控制流重定向概念：將系統(tǒng)從正常的控制流程轉(zhuǎn)向非正常流程的過(guò)程方式：改寫(xiě)位于堆棧上的函數(shù)返回地址來(lái)改變指令流程改寫(xiě)被調(diào)用函數(shù)棧上保存的調(diào)用函數(shù)棧的棧地址改寫(xiě)指針改寫(xiě)跳轉(zhuǎn)地址等4、執(zhí)行攻擊程序有效載荷：攻擊程序中真正實(shí)現(xiàn)攻擊的代碼部分有效載荷方式：以可執(zhí)行的二進(jìn)制代碼形式放置在惡意數(shù)據(jù)中，用于產(chǎn)生命令解釋器（Shellcode）已經(jīng)存在于內(nèi)存中的代碼，這種攻擊方式也稱(chēng)為注入攻擊改變程序邏輯攻擊操作步驟1.4.6電子郵件攻擊電子郵件攻擊

電子郵件攻擊是一種專(zhuān)門(mén)針對(duì)電子郵件系統(tǒng)的DoS攻擊方式。電子郵件攻擊利用電子郵件系統(tǒng)協(xié)議和工作機(jī)制存在的安全漏洞，通過(guò)利用或編寫(xiě)特殊的電子郵件軟件，在短時(shí)間內(nèi)向指定的電子郵件（被攻擊對(duì)象）連續(xù)發(fā)送大容量的郵件，使電子郵件系統(tǒng)因帶寬、CPU、存儲(chǔ)空間等資源被耗盡而無(wú)法提供正常服務(wù)。為實(shí)現(xiàn)攻擊而編寫(xiě)的特殊程序稱(chēng)為郵件炸彈（E-mailBomber），因此電子郵件攻擊也稱(chēng)為電子郵件炸彈電子郵件攻擊形式通過(guò)監(jiān)聽(tīng)網(wǎng)絡(luò)中的傳輸?shù)碾娮余]件數(shù)據(jù)包或截獲正在傳輸?shù)碾娮余]件，竊取和篡改郵件數(shù)據(jù)通過(guò)偽造的發(fā)送人電子郵件地址對(duì)指定的目標(biāo)郵箱進(jìn)行欺騙性攻擊通過(guò)發(fā)送大量的垃圾郵件產(chǎn)生拒絕服務(wù)攻擊電子郵件攻擊結(jié)果擾亂郵件的正常收發(fā)導(dǎo)致郵件系統(tǒng)癱瘓輕重目錄收割攻擊目錄收割攻擊（DirectoryHarvestAttack，DHA）

指攻擊者通過(guò)編寫(xiě)腳本程序，對(duì)特定域名下所有可能存在的電子郵箱地址進(jìn)行猜測(cè)，以獲得該域名下所有郵箱地址的攻擊方式針對(duì)SMTP的DHA攻擊SMTP原理當(dāng)郵件服務(wù)器接收到一個(gè)無(wú)效的郵件地址時(shí)，該郵件服務(wù)器會(huì)向郵件發(fā)送者返回一個(gè)標(biāo)準(zhǔn)的錯(cuò)誤信息當(dāng)郵件服務(wù)器接收到一個(gè)有效的郵件地址時(shí)，郵件服務(wù)器會(huì)返回一個(gè)表示郵件已成功接收的應(yīng)答針對(duì)SMTP協(xié)議設(shè)計(jì)漏洞的DHA攻擊攻擊者根據(jù)SMTP郵件服務(wù)器回復(fù)的內(nèi)容判斷某一郵件地址是否有效，從而收割有郵箱地址，加入到垃圾郵件制造者數(shù)據(jù)庫(kù)或提供給地下黑色產(chǎn)業(yè)鏈進(jìn)行牟利針對(duì)SMTP的DHA攻擊工作原理目錄收割攻擊DHA猜測(cè)特定域名下郵箱地址的方式：直接通過(guò)暴力方式窮盡所有的字母和數(shù)字組合采用字典攻擊，攻擊者在根據(jù)人們的習(xí)慣構(gòu)造了郵箱地址字典庫(kù)后進(jìn)行字典攻擊電子郵件攻擊與垃圾郵件（spam）區(qū)別垃圾郵件定義：不請(qǐng)自來(lái)的“大量”郵件特征：發(fā)送者在同一時(shí)間內(nèi)將同一份電子郵件發(fā)送給大量不同用戶目的：主要是一些公司用于對(duì)其產(chǎn)品的宣傳或發(fā)送一些虛假?gòu)V告信息，一般不會(huì)對(duì)收件人造成傷害電子郵件攻擊定義：是一種利用郵件協(xié)議漏洞的網(wǎng)絡(luò)攻擊行為1.4.7高級(jí)持續(xù)威脅（APT）高級(jí)持續(xù)威脅概念

高級(jí)持續(xù)威脅（AdvancedPersistentThreat，APT）也稱(chēng)為“針對(duì)特定目標(biāo)的攻擊”，APT并非一種新的網(wǎng)絡(luò)攻擊方法和單一類(lèi)型的網(wǎng)絡(luò)威脅，而是一種持續(xù)、復(fù)雜的網(wǎng)絡(luò)攻擊活動(dòng)高級(jí)持續(xù)威脅應(yīng)用國(guó)家和組織在對(duì)抗過(guò)程應(yīng)用APT民間專(zhuān)業(yè)黑客組織利用APT攻擊手段發(fā)起危害較大的攻擊（如黑色產(chǎn)業(yè)鏈）指某些組織和團(tuán)體以挖掘安全數(shù)據(jù)為目的、長(zhǎng)時(shí)間內(nèi)訪問(wèn)某一網(wǎng)絡(luò)的網(wǎng)絡(luò)間諜活動(dòng)為了獲取某個(gè)組織甚至是國(guó)家的重要信息，有針對(duì)性地進(jìn)行的復(fù)雜且多方位的攻擊方法最初現(xiàn)在高持續(xù)威脅案例高持續(xù)威脅對(duì)象：國(guó)家重要信息基礎(chǔ)設(shè)施（如政府、金融、電信、電力、能源、軍事等網(wǎng)絡(luò)）和信息系統(tǒng)在全球大數(shù)據(jù)背景下，旨在破壞工業(yè)基礎(chǔ)設(shè)施、竊取關(guān)于國(guó)家安全和國(guó)計(jì)民生的重要情報(bào)高持續(xù)威脅案例2011年美國(guó)信息安全廠商RSA令牌種子破解事件2013年國(guó)際黑客針對(duì)美國(guó)幾大銀行發(fā)起的APT攻擊事件2013年“震網(wǎng)”攻擊伊朗的鈾濃縮設(shè)備事件2013年美國(guó)棱鏡事件2015年烏克蘭多家電廠遭攻擊停電事件高持續(xù)威脅攻擊方式APT攻擊大量使用多種高技術(shù)手段組合各類(lèi)未知威脅來(lái)發(fā)起攻擊，攻擊者先通過(guò)收集攻擊目標(biāo)的環(huán)境和防御手段的信息，通過(guò)了解的信息后再有針對(duì)性地發(fā)起攻擊利用0day漏洞繞過(guò)傳統(tǒng)入侵檢測(cè)系統(tǒng)（IDS）的檢測(cè)利用木馬或已知木馬的變形繞過(guò)傳統(tǒng)殺毒軟件的檢測(cè)利用加密可以繞過(guò)審計(jì)檢測(cè)利用搜索引擎反射可以繞過(guò)可信鏈路檢測(cè)。。。。。。高持續(xù)威脅特點(diǎn)隱蔽性概念：指APT威脅可能在用戶環(huán)境中存在較長(zhǎng)的時(shí)間，而很難被傳統(tǒng)的安全防御攻擊檢測(cè)到，也稱(chēng)為潛伏性動(dòng)作：攻擊者通過(guò)各種措施來(lái)掩蓋攻擊行為，避免在日志中留下入侵證據(jù)。通常利用目標(biāo)主機(jī)上已有的工具或安裝安全系統(tǒng)無(wú)法檢測(cè)到的工具，通過(guò)常用網(wǎng)絡(luò)端口和系統(tǒng)漏洞，不斷收集各種信息，直到收集到重要情報(bào)持續(xù)性概念：體現(xiàn)在APT不是為了在短期內(nèi)獲利，攻擊者經(jīng)常會(huì)有針對(duì)性地進(jìn)行為期數(shù)月甚至是數(shù)年的精心準(zhǔn)備，從熟悉用戶網(wǎng)絡(luò)環(huán)境開(kāi)始，先收集大量關(guān)于用戶業(yè)務(wù)流程和目標(biāo)系統(tǒng)使用情況的精確信息，搜集應(yīng)用程序與業(yè)務(wù)流程中的安全隱患，定位關(guān)鍵信息的存儲(chǔ)位置與通信方式動(dòng)作：一個(gè)攻擊手段無(wú)法達(dá)到目的，攻擊者會(huì)不斷嘗試其他的攻擊手段，以及滲透到網(wǎng)絡(luò)內(nèi)部后長(zhǎng)期潛伏，不斷收集各類(lèi)信息，通過(guò)精心構(gòu)造的命令控制網(wǎng)絡(luò)定期回送目標(biāo)文件進(jìn)行分析，直到收集到重要情報(bào)高持續(xù)威脅主要環(huán)節(jié)APT攻擊過(guò)程：

APT攻擊是一個(gè)復(fù)雜的活動(dòng)，主要包括偵察、準(zhǔn)備、鎖定、進(jìn)一步滲透、數(shù)據(jù)收集、維持等多個(gè)過(guò)程。這些過(guò)程又可以分為攻擊準(zhǔn)備、入侵實(shí)施和后續(xù)攻擊3個(gè)環(huán)節(jié)。APT攻擊的3個(gè)階段APT攻擊準(zhǔn)備APT攻擊準(zhǔn)備：攻擊者主要為實(shí)施入侵做前期的準(zhǔn)備工作信息收集

通過(guò)收集被攻擊目標(biāo)的網(wǎng)絡(luò)環(huán)境、安全保護(hù)體系、人際關(guān)系及可能的重要資產(chǎn)等信息，為制定入侵方案作前期的準(zhǔn)備（如開(kāi)發(fā)特定的攻擊工具）。信息收集貫穿全攻擊生命過(guò)程技術(shù)準(zhǔn)備

指根據(jù)獲取的信息，攻擊者做相應(yīng)的技術(shù)性規(guī)劃，常用的技術(shù)手段包括入侵路徑設(shè)計(jì)并選定初始目標(biāo)、發(fā)現(xiàn)可利用的漏洞并編寫(xiě)利用代碼、木馬準(zhǔn)備、控制服務(wù)器和跳板等周邊滲透

攻擊者會(huì)入侵一些外圍目標(biāo)，這些受害者本身不是攻擊者攻擊的目標(biāo)，但因?yàn)榭梢员还粽哂脕?lái)做跳板、DDoS服務(wù)器、相關(guān)信息獲取等而被入侵攻擊準(zhǔn)備的主要內(nèi)容APT入侵實(shí)施APT入侵實(shí)施：攻擊者針對(duì)實(shí)際的攻擊目標(biāo)逐步展開(kāi)攻擊常規(guī)手段：指攻擊者利用常規(guī)的網(wǎng)絡(luò)攻擊手段，將惡意代碼植入到系統(tǒng)中通過(guò)病毒傳播感染目標(biāo)通過(guò)薄弱安全意識(shí)和薄弱的安全管理控制目標(biāo)通過(guò)社會(huì)工程學(xué)進(jìn)行誘導(dǎo)通過(guò)供應(yīng)鏈植入等缺陷和漏洞利用缺陷：指信息系統(tǒng)中廣泛存在且事實(shí)上已知的欠缺或不夠完善的地方常見(jiàn)缺陷：系統(tǒng)中的缺陷主要包括默認(rèn)密碼、弱密碼、默認(rèn)配置和錯(cuò)誤配置、計(jì)算機(jī)和網(wǎng)絡(luò)的脆弱性等，這些缺陷在成本、時(shí)間和可替代等方面有時(shí)是無(wú)法按需修復(fù)的，在未修復(fù)之前就可能會(huì)被利用常見(jiàn)漏洞：包括桌面文件處理類(lèi)漏洞、瀏覽器類(lèi)漏洞、桌面網(wǎng)絡(luò)應(yīng)用漏洞、網(wǎng)絡(luò)服務(wù)類(lèi)漏洞、系統(tǒng)邏輯類(lèi)漏洞、對(duì)抗類(lèi)漏洞、本地提權(quán)漏洞等入侵實(shí)施的主要內(nèi)容APT入侵實(shí)施木馬植入：在被攻擊主機(jī)上植入事先準(zhǔn)備的木馬是ATP攻擊過(guò)程中最為重要的一個(gè)環(huán)節(jié)，主要包括以下方式：遠(yuǎn)程下載植入綁定文檔植入綁定程序植入等滲透提權(quán)：當(dāng)攻擊者獲得了對(duì)內(nèi)網(wǎng)中一臺(tái)主機(jī)的控制權(quán)后，為了實(shí)現(xiàn)對(duì)攻擊目標(biāo)的進(jìn)一步控制，還

需要在內(nèi)網(wǎng)中進(jìn)行滲透和提權(quán)，主要包括確定立足點(diǎn)、參透和特權(quán)獲取3項(xiàng)確定立足點(diǎn)：攻擊者在獲得了內(nèi)網(wǎng)中某一臺(tái)主機(jī)的控制權(quán)后，相當(dāng)于獲得了一個(gè)內(nèi)網(wǎng)的立足點(diǎn)滲透：內(nèi)網(wǎng)一旦進(jìn)入則突破了網(wǎng)絡(luò)已有的安全邊界，針對(duì)內(nèi)網(wǎng)的安全防御就失去了作用。攻擊者可以組合如社會(huì)工程學(xué)、文件共享服務(wù)器篡改程序、本地嗅探、漏洞等手段，通過(guò)借助立足點(diǎn)，對(duì)內(nèi)網(wǎng)中的其他主機(jī)進(jìn)行滲透，以獲得更多主機(jī)的控制權(quán)特權(quán)獲?。汗粽咄ㄟ^(guò)對(duì)更多主機(jī)的控制，逐步滲透到目標(biāo)主機(jī)上并獲得對(duì)該主機(jī)的特權(quán)入侵實(shí)施的主要內(nèi)容APT后續(xù)攻擊APT后續(xù)攻擊：攻擊者將竊取所需要的信息或進(jìn)行破壞，同時(shí)還會(huì)在內(nèi)部進(jìn)行深度滲透，以保證攻擊行為被發(fā)現(xiàn)后還能夠繼續(xù)潛伏下來(lái)，不會(huì)前功盡棄重要信息收集：攻擊者利用獲取到的權(quán)限和資源，從中分析和收集對(duì)攻擊者有價(jià)值的信息傳送與控制：對(duì)于獲取到的信息，攻擊者需要將其傳回到由自己控制的外部服務(wù)器上模擬網(wǎng)絡(luò)上一些常見(jiàn)的公開(kāi)協(xié)議，并將數(shù)據(jù)進(jìn)行加密回傳繼續(xù)保存部分木馬并被長(zhǎng)期控制，實(shí)現(xiàn)與外部服務(wù)器之間的通信針對(duì)一些物理隔離的網(wǎng)絡(luò)，使用移動(dòng)介質(zhì)擺渡的方式進(jìn)行數(shù)據(jù)的傳送部分破壞性木馬不需要傳送和控制就可以進(jìn)行長(zhǎng)期潛伏和等待，并按照事先確定的邏輯條件，觸發(fā)破壞流程后續(xù)攻擊的主要內(nèi)容APT后續(xù)攻擊深度滲透

為了實(shí)現(xiàn)對(duì)已攻擊目標(biāo)的長(zhǎng)期控制，確保在被受害者發(fā)現(xiàn)后還能復(fù)活，攻擊者會(huì)滲透周邊的一些機(jī)器，然后植入木馬。但該木馬可能處于非激活狀態(tài)，檢測(cè)和判斷網(wǎng)絡(luò)上是否有存活的木馬，如果有則繼續(xù)潛伏以避免被檢測(cè)到，如果沒(méi)有了，則啟動(dòng)工作痕跡清除

為了避免攻擊行為被發(fā)現(xiàn)，攻擊者還需要做一些痕跡清除工作，主要清除一些日志信息，以躲避一些常規(guī)的檢測(cè)手段等后續(xù)攻擊的主要內(nèi)容1.4.8社會(huì)工程學(xué)社會(huì)工程學(xué)（SocialEngineering）概念一種通過(guò)對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，取得自身利益的攻擊方法利用了人們的心理特征，通過(guò)騙取用戶的信任，獲取機(jī)密信息、系統(tǒng)設(shè)置等不公開(kāi)資料，為網(wǎng)絡(luò)攻擊和病毒傳播創(chuàng)造有利條件社會(huì)工程學(xué)攻擊危害

社會(huì)工程學(xué)是入侵手段的最大化體現(xiàn)，不僅能夠利用系統(tǒng)漏洞進(jìn)行入侵，還能夠通過(guò)人性的弱點(diǎn)進(jìn)行入侵，當(dāng)攻擊者將惡意釣魚(yú)網(wǎng)絡(luò)攻擊、網(wǎng)頁(yè)掛馬攻擊、軟件漏洞利用攻擊等技術(shù)攻擊手段與社會(huì)工程學(xué)融為一體時(shí)，傳統(tǒng)的網(wǎng)絡(luò)安全體系將會(huì)土崩瓦解社會(huì)工程學(xué)網(wǎng)絡(luò)攻擊方式網(wǎng)絡(luò)環(huán)境中常見(jiàn)的社會(huì)工程學(xué)攻擊方式主要有以下幾種類(lèi)型：網(wǎng)絡(luò)釣魚(yú)式攻擊密碼心理學(xué)攻擊收集敏感信息攻擊恐嚇被攻擊者攻擊反向社會(huì)工程學(xué)攻擊網(wǎng)絡(luò)釣魚(yú)式攻擊主要基于人性貪婪以及容易取信于人的心理因素來(lái)進(jìn)行攻擊，主要包括以下方式：利用虛假郵件進(jìn)行攻擊利用虛假網(wǎng)站進(jìn)行攻擊利用QQ及微信等即時(shí)通信工具進(jìn)行攻擊利用黑客木馬進(jìn)行攻擊利用系統(tǒng)漏洞進(jìn)行攻擊利用移動(dòng)通信設(shè)備進(jìn)行攻擊等社會(huì)工程學(xué)網(wǎng)絡(luò)攻擊方式密碼心理學(xué)攻擊

從人們心理入手，分析對(duì)方心理現(xiàn)狀和變化，從而更快地得到所需要的密碼，主要包括以下方式：針對(duì)被攻擊者生日或出生年月日的密碼破解針對(duì)用戶移動(dòng)電話號(hào)碼或當(dāng)?shù)貐^(qū)號(hào)進(jìn)行密碼破解針對(duì)用戶身份證號(hào)碼進(jìn)行密碼破解針對(duì)用戶姓名或旁邊親友及朋友姓名進(jìn)行密碼破解針對(duì)一些網(wǎng)站服務(wù)器默認(rèn)使用的密碼進(jìn)行破解針對(duì)類(lèi)似于“1234567”、“abc123”等常用密碼進(jìn)行破解等社會(huì)工程學(xué)網(wǎng)絡(luò)攻擊方式收集敏感信息攻擊

通過(guò)在QQ、微信、博客等通信平臺(tái)上收集被攻擊者的相關(guān)信息，經(jīng)整理分析后作為實(shí)施攻擊的參考和依據(jù)，常見(jiàn)的收集敏感信息攻擊手段有：根據(jù)搜索引擎對(duì)目標(biāo)收集信息和資料根據(jù)踩點(diǎn)和調(diào)查對(duì)目標(biāo)收集信息和資料根據(jù)網(wǎng)絡(luò)釣魚(yú)對(duì)目標(biāo)收集信息和資料根據(jù)企業(yè)人員管理中存在的缺陷對(duì)目標(biāo)收集信息和資料社會(huì)工程學(xué)網(wǎng)絡(luò)攻擊方式恐嚇被攻擊者攻擊

攻擊者在實(shí)施社會(huì)工程學(xué)攻擊過(guò)程中，常常會(huì)利用被攻擊目標(biāo)管理人員對(duì)安全、漏洞、病毒等內(nèi)容的敏感性，以權(quán)威機(jī)構(gòu)的身份出現(xiàn)，散布安全警告、系統(tǒng)風(fēng)險(xiǎn)之類(lèi)的消息，使用危言聳聽(tīng)的伎倆恐嚇、欺騙被攻擊者，并聲稱(chēng)不按照他們的方式去處理問(wèn)題就會(huì)造成非常嚴(yán)重的危害和損失，進(jìn)而借此方式實(shí)現(xiàn)對(duì)被攻擊者敏感信息的獲取反向社會(huì)工程學(xué)攻擊

指攻擊者通過(guò)技術(shù)或非技術(shù)手段給網(wǎng)絡(luò)或者計(jì)算機(jī)制造故障，使被攻擊者深信問(wèn)題的存在，誘使工作人員或者網(wǎng)絡(luò)管理人員透漏或者泄露攻擊者需要獲取的信息。這種攻擊方式比較隱蔽，危害性較大，而且不容易防范社會(huì)工程學(xué)攻擊步驟

社會(huì)工程學(xué)攻擊在實(shí)施前都要完成前期準(zhǔn)備工作，通過(guò)收集和分析所需要的信息，再確定下一步的控制對(duì)象和范圍。社會(huì)工程學(xué)攻擊的主要步驟如下：信息收集：在社會(huì)工程學(xué)攻擊的前期，需要針對(duì)具體攻擊目標(biāo)和攻擊要求，收集被攻擊者的相關(guān)信息。一方面，社會(huì)工程學(xué)攻擊是一個(gè)較為復(fù)雜的過(guò)程，在攻擊之前需要制定詳盡的計(jì)劃，在攻擊過(guò)程中需要綜合運(yùn)用各方面的技巧另一方面，一些常人不太在意的信息（如電話號(hào)碼、生日、單位的工號(hào)等），對(duì)于攻擊者來(lái)說(shuō)都可能蘊(yùn)含著一些可能被利用的有效攻擊信息心理學(xué)應(yīng)用：對(duì)于收集到的信息，進(jìn)行分類(lèi)匯總和模擬測(cè)試，同時(shí)構(gòu)造陷阱，以達(dá)到進(jìn)一步獲取信息并逐步實(shí)施攻擊的目的。其重要手段包括：誘導(dǎo)、偽裝和信任痕跡清除：與實(shí)施技術(shù)攻擊一樣，社會(huì)工程學(xué)攻擊過(guò)程中也需要采取相應(yīng)的方式，避免將攻擊痕跡呈現(xiàn)給被攻擊者1.5網(wǎng)絡(luò)攻擊的實(shí)施過(guò)程321攻擊發(fā)起階段攻擊作用階段攻擊結(jié)果階段一次完整網(wǎng)絡(luò)攻擊行為的生命周期1.5.1攻擊發(fā)起階段

在攻擊發(fā)起階段，攻擊者進(jìn)行攻擊前的準(zhǔn)備，如確定攻擊所針對(duì)的操作系統(tǒng)類(lèi)型、應(yīng)用平臺(tái)的類(lèi)型等，這些系統(tǒng)和應(yīng)用程序存在哪些可以利用的漏洞等。平臺(tái)依賴(lài)性很多攻擊都是針對(duì)一定范圍內(nèi)的平臺(tái)發(fā)起的，這個(gè)平臺(tái)可能是操作系統(tǒng)平臺(tái)，也可能是應(yīng)用平臺(tái)也有一些攻擊是針對(duì)特定的操作系統(tǒng)平臺(tái)而發(fā)起的，一般來(lái)說(shuō)是針對(duì)某個(gè)版本的漏洞而進(jìn)行攻擊還有一些攻擊是針對(duì)TCP/IP網(wǎng)絡(luò)體系中的底層協(xié)議平臺(tái)而發(fā)起平臺(tái)依賴(lài)性平臺(tái)依賴(lài)性與攻擊范圍及破壞力的關(guān)系

攻擊行為對(duì)平臺(tái)依賴(lài)性，反映出了攻擊可能影響的范圍。攻擊對(duì)平臺(tái)的依賴(lài)性越強(qiáng)，表明該攻擊所能夠影響的范圍越小，反之越大。因此在攻擊的其他條件（如作用點(diǎn)、攻擊強(qiáng)度、傳播速度等）不變的情況下，能夠?qū)Χ鄠€(gè)平臺(tái)（平臺(tái)依賴(lài)性較弱）發(fā)起的攻擊，其破壞力要高于那些只對(duì)特定平臺(tái)發(fā)起的攻擊平臺(tái)依賴(lài)性分類(lèi)：平臺(tái)依賴(lài)性強(qiáng)：針對(duì)特定版本或特定內(nèi)核的操作系統(tǒng)平臺(tái)、應(yīng)用平臺(tái)起作用的攻擊。此類(lèi)攻擊涉及的范圍一般較小平臺(tái)依賴(lài)性中：針對(duì)某一品牌或某一品牌中的一個(gè)或幾個(gè)系列的操作系統(tǒng)平臺(tái)或應(yīng)用平臺(tái)起作用的攻擊。此類(lèi)攻擊的涉及范圍與平臺(tái)應(yīng)用范圍相關(guān)，平臺(tái)應(yīng)用越廣泛，此類(lèi)攻擊所涉及的范圍就越大平臺(tái)依賴(lài)性弱：同時(shí)針對(duì)兩種或兩種以上的操作系統(tǒng)平臺(tái)或應(yīng)用平臺(tái)起作用的攻擊，稱(chēng)為對(duì)平臺(tái)依賴(lài)性弱。此類(lèi)攻擊影響的范圍很廣無(wú)平臺(tái)依賴(lài)性：針對(duì)任何連接到互聯(lián)網(wǎng)上的計(jì)算機(jī)都能夠起作用的攻擊。此類(lèi)攻擊針對(duì)的目標(biāo)最為廣泛，涉及面最廣，理論上任何連接到互聯(lián)網(wǎng)上的計(jì)算機(jī)都可能成為被攻擊目標(biāo)平臺(tái)依賴(lài)性攻擊范圍平臺(tái)依賴(lài)性與攻擊范圍關(guān)系漏洞相關(guān)性漏洞類(lèi)型（產(chǎn)生原因）設(shè)計(jì)方面原因?qū)崿F(xiàn)方面原因配置方面原因漏洞相關(guān)性判斷原則設(shè)計(jì)漏洞：在系統(tǒng)設(shè)計(jì)階段出現(xiàn)的問(wèn)題，系統(tǒng)天生具有的實(shí)現(xiàn)漏洞：在編碼過(guò)程中，因?yàn)闆](méi)有遵循嚴(yán)格的安全編碼方法或測(cè)試不嚴(yán)格而造成的漏洞配置漏洞：在使用階段，因用戶配置不當(dāng)而產(chǎn)生的漏洞無(wú)：攻擊與漏洞之間沒(méi)有直接的關(guān)系，即使漏洞不存在也照樣能夠?qū)崿F(xiàn)攻擊目的漏洞相關(guān)性設(shè)計(jì)漏洞實(shí)現(xiàn)漏洞配置漏洞無(wú)不受條件約束或受條件約束弱破壞力和影響力較大防御起來(lái)通常非常困難通過(guò)打?qū)?yīng)補(bǔ)丁可防范相應(yīng)攻擊通過(guò)正確配置系統(tǒng)可降低系統(tǒng)被攻擊的可能性1.5.2攻擊作用階段

在攻擊發(fā)起階段確定了攻擊的平臺(tái)和利用的漏洞后，攻擊就進(jìn)入了作用階段。攻擊者在攻擊作用階段主要?jiǎng)幼鳛檫x擇被攻擊者系統(tǒng)的某些資源作為攻擊對(duì)象（“作用點(diǎn)”），以達(dá)到獲得某些“利益”的目標(biāo)攻擊方式(攻擊角度)在現(xiàn)有作用點(diǎn)的基礎(chǔ)上，尋找其他薄弱地點(diǎn)進(jìn)行攻擊，進(jìn)一步體現(xiàn)攻擊的有效性在攻擊有效的前提下，尋找其他關(guān)鍵的點(diǎn)進(jìn)行攻擊，體現(xiàn)攻擊后果的嚴(yán)重性尋找其他可以入侵的作用點(diǎn)，實(shí)現(xiàn)攻擊作用點(diǎn)的多樣化

攻擊的作用點(diǎn)在很大程度上體現(xiàn)了攻擊者的目的，且一次攻擊可以有多個(gè)作用點(diǎn)，即可同時(shí)攻擊系統(tǒng)的多個(gè)“目標(biāo)”。因此，作用點(diǎn)的選擇對(duì)攻擊有直接的影響，為此，本書(shū)將作用點(diǎn)作為攻擊作用階段的主要影響因素。作用點(diǎn)判斷原則作用點(diǎn)判斷原則：賬戶：包括系統(tǒng)賬戶、用戶賬戶等。一般指攻擊者對(duì)賬戶的猜測(cè)和字典攻擊以及強(qiáng)力破解等，以便達(dá)到其非法進(jìn)入的目的。另外，還包括安裝木馬后所創(chuàng)建的后門(mén)賬戶等文件系統(tǒng)：指被攻擊系統(tǒng)的文件系統(tǒng)。涉及的攻擊主要是修改、刪除、增加、獲取文件等操作進(jìn)程：指被攻擊系統(tǒng)內(nèi)存空間中運(yùn)行的進(jìn)程。包括操作系統(tǒng)進(jìn)程以及應(yīng)用進(jìn)程，涉及的攻擊如殺死特定進(jìn)程、探測(cè)進(jìn)程活動(dòng)、利用該進(jìn)程對(duì)其他部分進(jìn)行攻擊等系統(tǒng)資源與信息：指被攻擊者系統(tǒng)的硬件資源（如CPU、內(nèi)存、硬盤(pán)等）、固定信息或相對(duì)固定的信息，如涉及到系統(tǒng)的硬件資源的參數(shù)（CPU數(shù)量、內(nèi)存類(lèi)型及大小、Cache容量、硬盤(pán)類(lèi)型等）、系統(tǒng)的配置參數(shù)（分區(qū)類(lèi)型、注冊(cè)表信息、硬盤(pán)及文件訪問(wèn)的參數(shù)等）以及軟件信息（如系統(tǒng)安裝的軟件列表、運(yùn)行要求等）網(wǎng)絡(luò)及網(wǎng)絡(luò)服務(wù)：針對(duì)網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)的攻擊，主要包括占用或利用網(wǎng)絡(luò)資源與服務(wù)、影響網(wǎng)絡(luò)性能和網(wǎng)絡(luò)服務(wù)質(zhì)量、增加網(wǎng)絡(luò)流量、探測(cè)網(wǎng)絡(luò)及相關(guān)服務(wù)的信息、利用網(wǎng)絡(luò)提供的功能完成其他非法操作等，即對(duì)網(wǎng)絡(luò)本身及服務(wù)的正常運(yùn)行產(chǎn)生不利影響1.5.3攻擊結(jié)果階段攻擊結(jié)果就是攻擊對(duì)目標(biāo)系統(tǒng)所造成的后果，也是被攻擊者所能感受到的攻擊帶來(lái)的影響攻擊結(jié)果階段的影響因素攻擊結(jié)果：攻擊對(duì)目標(biāo)系統(tǒng)的正常運(yùn)行造成了那些方面的影響。即攻擊者對(duì)目標(biāo)系統(tǒng)的軟硬件資源、其中的信息以及所提供的服務(wù)造成了哪些影響，如非法收集、破壞、惡意占用、非法使用等傳播性：攻擊是否具備傳播性。即攻擊是否會(huì)利用當(dāng)前系統(tǒng)作為跳板繼續(xù)對(duì)其他目標(biāo)發(fā)起新的攻擊破壞強(qiáng)度：攻擊對(duì)目標(biāo)系統(tǒng)各部分的影響程度。攻擊對(duì)系統(tǒng)各部分可能造成的損害大概在什么水平

攻擊結(jié)果

一個(gè)應(yīng)用系統(tǒng)自身的價(jià)值主要體現(xiàn)在其所擁有的硬件資源、信息資源（含軟件）以及對(duì)外提供的服務(wù)上，那么網(wǎng)絡(luò)攻擊的實(shí)質(zhì)也就表現(xiàn)在對(duì)目標(biāo)系統(tǒng)的硬件資源、信息和服務(wù)的非法訪問(wèn)、使用、破壞等攻擊類(lèi)型：對(duì)硬件資源的攻擊：對(duì)目標(biāo)系統(tǒng)硬件資源的攻擊可以表現(xiàn)為對(duì)硬件資源的非法操作，如消耗網(wǎng)絡(luò)帶寬、占用存儲(chǔ)資源、破壞系統(tǒng)的關(guān)鍵部件（如CMOS）等對(duì)信息資源的攻擊：對(duì)目標(biāo)系統(tǒng)信息資源發(fā)起的攻擊可以表現(xiàn)為非法獲取和破壞兩個(gè)方面。其中，獲取信息就是收集、讀取目標(biāo)系統(tǒng)中攻擊者感興趣的資料；破壞信息就是惡意篡改、刪除目標(biāo)系統(tǒng)中的各種資料，以達(dá)到攻擊的目的對(duì)服務(wù)的攻擊：對(duì)目標(biāo)系統(tǒng)上運(yùn)行的服務(wù)發(fā)起攻擊可以表現(xiàn)為對(duì)系統(tǒng)中運(yùn)行的各種服務(wù)進(jìn)行非法的使用和破壞攻擊結(jié)果網(wǎng)絡(luò)攻擊結(jié)果的判定原則分類(lèi)：泄露信息：攻擊造成被攻擊者的操作系統(tǒng)、應(yīng)用系統(tǒng)以及用戶的相關(guān)信息的泄露。如攻擊發(fā)起之前對(duì)目標(biāo)的掃描會(huì)造成信息的泄露，攻擊進(jìn)入后將用戶信息對(duì)外進(jìn)行發(fā)送，監(jiān)聽(tīng)網(wǎng)絡(luò)上的流量等篡改信息：攻擊者對(duì)目標(biāo)系統(tǒng)的內(nèi)存、硬盤(pán)、其他部分信息進(jìn)行非法增、刪、改的操作。如植入木馬操作會(huì)導(dǎo)致系統(tǒng)配置信息的更改和硬盤(pán)文件的增加，文件類(lèi)病毒的侵入會(huì)導(dǎo)致相應(yīng)文件的修改等非法利用服務(wù)：利用系統(tǒng)的正常功能，來(lái)實(shí)現(xiàn)攻擊者的其他目的的行為。如利用被攻擊者的正常網(wǎng)絡(luò)連接對(duì)其他系統(tǒng)進(jìn)行攻擊，通過(guò)正常的系統(tǒng)服務(wù)利用其他漏洞實(shí)現(xiàn)攻擊者目的等拒絕服務(wù)：使目標(biāo)系統(tǒng)正常的服務(wù)受到影響或系統(tǒng)功能的部分或全部喪失。如典型的DoS/DDoS攻擊；殺死系統(tǒng)進(jìn)程使其對(duì)外的服務(wù)中斷；耗盡系統(tǒng)資源中內(nèi)存使系統(tǒng)崩潰等非法提升權(quán)限：攻擊者利用某種手段或者利用系統(tǒng)的漏洞，獲得本不應(yīng)具有的權(quán)限。最為典型的非法提升權(quán)限攻擊為緩沖區(qū)溢出攻擊，另外通過(guò)猜測(cè)口令、植入木馬、預(yù)留后門(mén)等也可以使攻擊者獲得本不應(yīng)具有的權(quán)限。傳播性

Internet的出現(xiàn)導(dǎo)致了網(wǎng)絡(luò)攻擊的產(chǎn)生，移動(dòng)互聯(lián)網(wǎng)的應(yīng)用摧生了大量新的攻擊方式，目前的網(wǎng)絡(luò)攻擊在傳播方面呈現(xiàn)出越來(lái)越明顯的主動(dòng)性、快速性、智能化等特點(diǎn)。毫無(wú)疑問(wèn)，傳播性越強(qiáng)的攻擊，其攻擊面越廣、影響力越強(qiáng)、破壞力越大。而且隨著連接到Internet上的主機(jī)越來(lái)越多，尤其是物聯(lián)網(wǎng)技術(shù)的應(yīng)用、工業(yè)控制系統(tǒng)的接入等，這類(lèi)攻擊的影響力已經(jīng)從局部擴(kuò)大到國(guó)家，甚至到整個(gè)互聯(lián)網(wǎng)。不僅對(duì)被攻擊目標(biāo)造成了嚴(yán)重的災(zāi)難，而且因?yàn)槠渚哂袀鞑バ詮?qiáng)的特點(diǎn)，對(duì)網(wǎng)絡(luò)本身的運(yùn)行也造成了嚴(yán)重的影響。傳播性的發(fā)展：早期：攻擊基本上都不具備傳播能力，或者具備較弱的傳播能力，但受一些條件限制后期：在傳播性方面得到了很大的加強(qiáng)，其傳播是主動(dòng)發(fā)起行為而不是被動(dòng)的激活行為傳播性傳播性的判定原則：傳播性弱：特點(diǎn)是“有條件激活，有條件傳播”式，即需要其他條件進(jìn)行激活，同時(shí)傳播也不能在現(xiàn)有條件上立刻完成，需要借助其他手段進(jìn)行。還有一種稱(chēng)為“無(wú)傳播性”的攻擊，它是一對(duì)一發(fā)起的攻擊，傳播不是其攻擊的目的，不會(huì)借被攻擊者對(duì)其他第三方發(fā)起新的攻擊。如傳統(tǒng)的病毒是此類(lèi)型最為典型的代表傳播性中：特點(diǎn)是“有條件激活，無(wú)條件傳播”式，即需要其他條件進(jìn)行激活，一旦激活后即可在現(xiàn)有條件上立刻完成傳播，不再需要其他輔助條件。這類(lèi)攻擊一般都是通過(guò)網(wǎng)絡(luò)實(shí)施。如通過(guò)電子郵件系統(tǒng)進(jìn)行傳播的蠕蟲(chóng)，一般來(lái)說(shuō)需要由用戶點(diǎn)擊相應(yīng)的郵件后，才能主動(dòng)地通過(guò)搜索電子郵件地址表進(jìn)行傳播傳播性強(qiáng)：特點(diǎn)是“無(wú)條件激活，無(wú)條件傳播”式，能不依賴(lài)于其他條件自主對(duì)外搜索攻擊目標(biāo)并進(jìn)行有效攻擊，同時(shí)該傳播性可以自主地繼續(xù)進(jìn)行下去，無(wú)限傳播。典型代表為網(wǎng)絡(luò)蠕蟲(chóng)，如CodeRedII蠕蟲(chóng)利用計(jì)算機(jī)的漏洞主動(dòng)地對(duì)外尋找下一個(gè)受害者進(jìn)行攻擊，從而使得攻擊在用戶毫不知情的情況下大規(guī)模進(jìn)行擴(kuò)散破壞強(qiáng)度

無(wú)論從分析、評(píng)估、防范哪個(gè)角度看，正確了解網(wǎng)絡(luò)攻擊所造成的破壞程度都是非常有意義的。特別是對(duì)于最終用戶來(lái)說(shuō)，迫切需要知道如果一種攻擊成功實(shí)施的話，會(huì)對(duì)系統(tǒng)造成什么樣的傷害網(wǎng)絡(luò)攻擊破壞強(qiáng)度評(píng)價(jià)要素：等級(jí)定義明確：破壞強(qiáng)度的等級(jí)（強(qiáng)、中、弱）定義必需明確，根據(jù)定義，不同人對(duì)相同的攻擊能夠得出相同或相似的判斷結(jié)果定位性強(qiáng)：通過(guò)描述，人們可以自行判斷一種攻擊實(shí)際上針對(duì)哪些位置進(jìn)行的適應(yīng)性強(qiáng)：能夠適應(yīng)復(fù)雜攻擊情況，新型的攻擊往往包含多種攻擊手法，其攻擊目標(biāo)也不只一個(gè)，因此對(duì)攻擊強(qiáng)度的描述需要同時(shí)反映出對(duì)多個(gè)目標(biāo)的攻擊情況可擴(kuò)展性強(qiáng)：可擴(kuò)展性強(qiáng)，該方案可以通過(guò)簡(jiǎn)單擴(kuò)充來(lái)滿足新出現(xiàn)攻擊的特點(diǎn)，而不會(huì)造成結(jié)構(gòu)上的重大調(diào)整破壞強(qiáng)度

本書(shū)給出對(duì)攻擊強(qiáng)度的描述方法，即在攻擊作用階段所給出的作用點(diǎn)的基礎(chǔ)上，分析攻擊對(duì)每個(gè)作用點(diǎn)可能的破壞程度，具體劃分準(zhǔn)則如下：賬號(hào)：一旦某種攻擊取得了某個(gè)賬戶(系統(tǒng)賬戶或用戶賬戶)的使用權(quán)，則意味著從此以后，攻擊者就相當(dāng)于系統(tǒng)的合法用戶，其行為僅受所取得用戶權(quán)限的約束而且很難被發(fā)現(xiàn)，其破壞力以及對(duì)系統(tǒng)的影響程度都是非常大的。同樣對(duì)于木馬植入后留下的秘密賬戶，也相當(dāng)于系統(tǒng)的合法用戶身份。為此，將所有針對(duì)賬戶發(fā)起的攻擊的破壞強(qiáng)度都定義為“強(qiáng)”文件系統(tǒng)：對(duì)于文件系統(tǒng)的攻擊一般有修改、刪除、增加、獲取文件的操作，也可以將其歸納為“讀”和“寫(xiě)”兩類(lèi)操作強(qiáng)：對(duì)文件系統(tǒng)進(jìn)行“寫(xiě)”操作，如修改、刪除、增加文件等，都有可能造成不可恢復(fù)性的破壞，或者對(duì)需要保密的信息進(jìn)行解密的，因此將這些攻擊行為都定義為“強(qiáng)”中：對(duì)文件系統(tǒng)進(jìn)行“讀”操作，如查詢(xún)、訪問(wèn)文件等，一般來(lái)說(shuō)會(huì)造成系統(tǒng)信息的外泄，雖然也很?chē)?yán)重，但與寫(xiě)操作相比，其影響尚沒(méi)有達(dá)到不可恢復(fù)性的程度，因此將其攻擊強(qiáng)度定義為“中”破壞強(qiáng)度進(jìn)程：針對(duì)進(jìn)程的攻擊分為兩種類(lèi)型強(qiáng)：以破壞進(jìn)程運(yùn)行為目的操作，如殺死進(jìn)程、修改進(jìn)程資料、修改進(jìn)程執(zhí)行順序（如執(zhí)行攻擊者代碼）等，其造成的損失往往是不可恢復(fù)性的，因此屬于一種破壞性“強(qiáng)”的攻擊中：以偵察、獲取進(jìn)程信息為目的操作，或執(zhí)行系統(tǒng)自身所有的特定代碼，所造成的損失尚沒(méi)有達(dá)到不可恢復(fù)的程度，因此屬于“中”等強(qiáng)度的攻擊行為系統(tǒng)資源與信息：對(duì)于系統(tǒng)資源與信息的攻擊主要是通過(guò)固定的系統(tǒng)進(jìn)程對(duì)特定區(qū)域的信息進(jìn)行的寫(xiě)、讀操作；對(duì)系統(tǒng)資源的攻擊主要是對(duì)系統(tǒng)資源的消耗、占有等操作強(qiáng)：對(duì)系統(tǒng)信息進(jìn)行寫(xiě)操作的攻擊以及對(duì)系統(tǒng)資源進(jìn)行占有、消耗為目的的攻擊，其破壞性都比較“強(qiáng)”中：對(duì)系統(tǒng)信息進(jìn)行讀操作的攻擊，其破壞性屬于“中”等強(qiáng)度破壞強(qiáng)度網(wǎng)絡(luò)及網(wǎng)絡(luò)服務(wù)：針對(duì)網(wǎng)絡(luò)及網(wǎng)絡(luò)服務(wù)的攻擊，根據(jù)其破壞強(qiáng)度可以分為3類(lèi)強(qiáng)：對(duì)于自動(dòng)地、不間斷地（指無(wú)干預(yù)情況下）、攻擊范圍不針對(duì)某一固定區(qū)域的、通過(guò)網(wǎng)絡(luò)傳播而實(shí)施的攻擊，一般利用網(wǎng)絡(luò)對(duì)其他節(jié)點(diǎn)發(fā)起大量的攻擊，造成網(wǎng)絡(luò)資源的大量占用甚至耗盡，使得網(wǎng)絡(luò)無(wú)法正常提供服務(wù)，屬于一種高“強(qiáng)”度的攻擊。另外，即使不通過(guò)網(wǎng)絡(luò)進(jìn)行攻擊傳播，但可能使網(wǎng)絡(luò)的正常服務(wù)中斷，也屬于一種高“強(qiáng)”度攻擊中：非自動(dòng)地、有條件的、攻擊范圍局限于某一區(qū)域（如一個(gè)局域網(wǎng)）的，通過(guò)網(wǎng)絡(luò)傳播而實(shí)施的攻擊，一般會(huì)造成局部網(wǎng)絡(luò)的功能部分或全部失效，屬于“中”等破壞性的攻擊。另外，還有些攻擊會(huì)影響到正常的網(wǎng)絡(luò)服務(wù)或關(guān)鍵的網(wǎng)絡(luò)節(jié)點(diǎn)，但還沒(méi)有使網(wǎng)絡(luò)服務(wù)完全無(wú)法進(jìn)行，其攻擊也屬于“中”等破壞性的攻擊弱：對(duì)于影響范圍只局限于被攻擊者本身，或者對(duì)被攻擊者的網(wǎng)絡(luò)服務(wù)影響輕微的（如掃描）攻擊，屬于一類(lèi)破壞性較“弱”的攻擊行為1.6網(wǎng)絡(luò)攻防的發(fā)展趨勢(shì)1、新應(yīng)用產(chǎn)生新攻擊云計(jì)算及面臨的攻擊威脅移動(dòng)互聯(lián)網(wǎng)面臨的攻擊威脅大數(shù)據(jù)應(yīng)用面臨的攻擊威脅網(wǎng)絡(luò)空間面臨的攻擊威脅3、網(wǎng)絡(luò)攻擊新特點(diǎn)形成黑色產(chǎn)業(yè)鏈針對(duì)移動(dòng)終端的攻擊大大增加APT攻擊越來(lái)越多攻擊工具越來(lái)越復(fù)雜對(duì)基礎(chǔ)設(shè)施的威脅增大2、網(wǎng)絡(luò)攻擊的演進(jìn)1.6.1新應(yīng)用產(chǎn)生新攻擊

應(yīng)用需要建立在硬件資源、信息資源和服務(wù)上，而這些資源和服務(wù)都存在被攻擊的可能。在網(wǎng)絡(luò)空間中，一個(gè)新時(shí)代的到來(lái)需要一批新技術(shù)的推動(dòng)，而新技術(shù)的應(yīng)用必然導(dǎo)致新攻擊的產(chǎn)生。Q1Q2Q4Q3新應(yīng)用產(chǎn)生新攻擊云計(jì)算及面臨的攻擊威脅大數(shù)據(jù)應(yīng)用面臨的攻擊威脅移動(dòng)互聯(lián)網(wǎng)面臨的攻擊威脅網(wǎng)絡(luò)空間面臨的攻擊威脅云計(jì)算及面臨的攻擊威脅云計(jì)算（CloudComputing）

公有云、私有云和混合云在全球各地廣泛應(yīng)用，向用戶提供IaaS(InfrastructureasaService，基礎(chǔ)設(shè)施即服務(wù))、PaaS(PlatformasaService，平臺(tái)即服務(wù))和SaaS(SoftwareasaService，軟件即服務(wù))。普通用戶不再需要自己構(gòu)建信息基礎(chǔ)設(shè)施和應(yīng)用平臺(tái)，只需要向云服務(wù)提供者租用就可以獲得計(jì)算、存儲(chǔ)等資源虛擬化技術(shù)

虛擬化技術(shù)是云計(jì)算的基礎(chǔ)。虛擬化應(yīng)用主要包括服務(wù)器虛擬化、存儲(chǔ)虛擬化和網(wǎng)絡(luò)虛擬化。虛擬化技術(shù)大大增加了資源調(diào)度的彈性，使得計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源能夠得到更合理的分配和更高效率的使用，并減少空置率和電能消耗。虛擬化技術(shù)在云計(jì)算領(lǐng)域已經(jīng)得到了廣泛應(yīng)用云計(jì)算面臨的威脅

在云計(jì)算的推廣應(yīng)用中，存在的一個(gè)重要障礙就是對(duì)安全問(wèn)題的擔(dān)心，當(dāng)數(shù)據(jù)從硬盤(pán)、光盤(pán)、移動(dòng)存儲(chǔ)這些可以看得見(jiàn)的介質(zhì)轉(zhuǎn)移到看不見(jiàn)的云空間時(shí)，人們擔(dān)心數(shù)據(jù)放在云里不安全，普遍認(rèn)為數(shù)據(jù)在云端被泄密的風(fēng)險(xiǎn)要比起本地存儲(chǔ)大得多。同時(shí)，還擔(dān)心數(shù)據(jù)的安全性和服務(wù)的可用性得不到保障移動(dòng)互聯(lián)網(wǎng)面臨的攻擊威脅早期當(dāng)前010203010203個(gè)人計(jì)算機(jī)以固定接入為主的互聯(lián)網(wǎng)人機(jī)對(duì)話計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用固定和移動(dòng)智能終端接入方式并存的移動(dòng)互聯(lián)網(wǎng)M2M通信，包括：機(jī)器對(duì)機(jī)器(MachinetoMachine)人對(duì)機(jī)器(MantoMachine)機(jī)器對(duì)人(MachinetoMan)移動(dòng)網(wǎng)絡(luò)對(duì)機(jī)器(MobiletoMachine)實(shí)現(xiàn)人、機(jī)器、系統(tǒng)間的互聯(lián)計(jì)算機(jī)、互聯(lián)網(wǎng)、交互技術(shù)的發(fā)展個(gè)人計(jì)算機(jī)時(shí)代網(wǎng)絡(luò)時(shí)代移動(dòng)互聯(lián)網(wǎng)時(shí)代大數(shù)據(jù)應(yīng)用面臨的攻擊威脅大數(shù)據(jù)相關(guān)概念移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算等技術(shù)的廣泛應(yīng)用摧生了大數(shù)據(jù)時(shí)代的到來(lái)在今天的信息環(huán)境中，每個(gè)人都成為了信息的制造者和發(fā)布者，網(wǎng)絡(luò)上存儲(chǔ)和實(shí)時(shí)傳輸著文本、圖像、視頻、音頻等不同格式的數(shù)據(jù)如何從海量的數(shù)據(jù)里挖掘出有價(jià)值的信息，是當(dāng)前人們?cè)诓粩嘌芯康男录夹g(shù)在大數(shù)據(jù)應(yīng)用過(guò)程中出現(xiàn)了“數(shù)據(jù)大集中”現(xiàn)象，即為了便于數(shù)據(jù)管理，將原來(lái)相互隔離、不同應(yīng)用、不同格式的數(shù)據(jù)整合在一起，再通過(guò)構(gòu)建應(yīng)用模型進(jìn)行大數(shù)據(jù)分析大數(shù)據(jù)應(yīng)用面臨的安全威脅在大數(shù)據(jù)分析中挖掘到更多的關(guān)聯(lián)信息是否會(huì)導(dǎo)致隱私泄漏數(shù)據(jù)集中了，風(fēng)險(xiǎn)同樣也集中了。大數(shù)據(jù)系統(tǒng)一旦被攻擊，安全問(wèn)題將更加嚴(yán)重網(wǎng)絡(luò)空間面臨的攻擊威脅網(wǎng)絡(luò)空間的特點(diǎn)與傳統(tǒng)的空間概念相比，網(wǎng)絡(luò)空間超越了國(guó)界，其邊界更加模糊網(wǎng)絡(luò)空間是一個(gè)虛擬的世界，人的身份更加難以確定，人的位置更加難以定位黑客、網(wǎng)絡(luò)使用者、信息發(fā)布者、信息閱讀者、網(wǎng)絡(luò)警察等不同的人群都在這個(gè)虛擬的網(wǎng)絡(luò)空間里從事各自的活動(dòng)，這里有道德、信任和友善，也有虛假、造謠和攻擊網(wǎng)絡(luò)空間攻擊威脅的防范要素在網(wǎng)絡(luò)空間這一虛擬的世界里，主導(dǎo)權(quán)掌握在誰(shuí)的手中自主、可信、可控能做到哪一步如何有效地對(duì)網(wǎng)絡(luò)空間進(jìn)行劃界對(duì)于出現(xiàn)的相關(guān)攻擊如何進(jìn)行溯源等1.6.2網(wǎng)絡(luò)攻擊的演進(jìn)網(wǎng)絡(luò)攻擊過(guò)程

網(wǎng)絡(luò)攻擊的實(shí)施可以分為查找系統(tǒng)漏洞、確定攻擊手法、展開(kāi)攻擊行動(dòng)和達(dá)到攻擊目的4個(gè)主要過(guò)程網(wǎng)絡(luò)攻擊的演進(jìn)1.6.3網(wǎng)絡(luò)攻擊的新特點(diǎn)

網(wǎng)絡(luò)攻擊的基礎(chǔ)是對(duì)安全漏洞的利用，漏洞的發(fā)現(xiàn)需要一個(gè)過(guò)程，尤其對(duì)使用廣泛且使用時(shí)間較長(zhǎng)的系統(tǒng)來(lái)說(shuō)發(fā)現(xiàn)的漏洞數(shù)量會(huì)逐漸減少，而一個(gè)新系統(tǒng)和新應(yīng)用的出現(xiàn)，漏洞被發(fā)現(xiàn)和利用的可能性則會(huì)增大網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)和特點(diǎn)形成黑色產(chǎn)業(yè)鏈：

受經(jīng)濟(jì)利益的驅(qū)使，目前實(shí)施網(wǎng)絡(luò)攻擊行為的各個(gè)環(huán)節(jié)已經(jīng)連接成為一個(gè)鏈條，形成了一個(gè)完整的產(chǎn)業(yè)鏈，即黑色產(chǎn)業(yè)鏈。如針對(duì)個(gè)人網(wǎng)上銀行的攻擊，其中有制作木馬軟件的，有負(fù)責(zé)植入木馬的，有負(fù)責(zé)轉(zhuǎn)賬和異地取現(xiàn)的，等等。這就使得攻擊行為由一種個(gè)人行為上升到“組織”行為。網(wǎng)絡(luò)犯罪組織化、規(guī)?；?、公開(kāi)化，形成了一個(gè)非常完善的流水線作業(yè)的程序，這就使得攻擊能力大大加強(qiáng)。網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)和特點(diǎn)針對(duì)移動(dòng)終端的攻擊大大增加

隨著移動(dòng)互聯(lián)網(wǎng)的應(yīng)用，各類(lèi)移動(dòng)智能終端成為互聯(lián)網(wǎng)接入的重要組織部分。為了滿足移動(dòng)用戶的需求，在各類(lèi)移動(dòng)智能終端功能不斷豐富的同時(shí)，為用戶提供軟件下載的各類(lèi)應(yīng)用平臺(tái)也應(yīng)運(yùn)而生。由于管理上存在的問(wèn)題，這些應(yīng)用平臺(tái)已經(jīng)成為攻擊者的另一個(gè)目標(biāo)APT攻擊越來(lái)越多

APT（高級(jí)持續(xù)威脅）是近幾年來(lái)出現(xiàn)的一種新型攻擊。APT是黑客以竊取核心資料為目的，針對(duì)客戶所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為，是一種蓄謀已久的“惡意商業(yè)間諜威脅”。不同于以往傳統(tǒng)的病毒，APT攻擊者掌握高級(jí)漏洞和超強(qiáng)的網(wǎng)絡(luò)攻擊技術(shù)。APT攻擊的原理相對(duì)于其他攻擊形式更為復(fù)雜和先進(jìn)，這主要體現(xiàn)在APT在發(fā)動(dòng)攻擊之前需要對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的信息收集，并挖掘被攻擊對(duì)象和應(yīng)用程序的漏洞，在這些漏洞的基礎(chǔ)上形成攻擊者所需的工具。ATP的這種攻擊行為沒(méi)有采取任何可能觸發(fā)警報(bào)或者引起懷疑的行動(dòng)，因此更易于融入被攻擊者的系統(tǒng)或程序網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)和特點(diǎn)攻擊工具越來(lái)越復(fù)雜攻擊者會(huì)采用一定的技術(shù)隱藏攻擊工具，這為防御攻擊以及分析攻擊工具的特征檢測(cè)提高了難度當(dāng)前攻擊工具可以通過(guò)自動(dòng)升級(jí)或自我復(fù)制等方式產(chǎn)生新的工具，并迅速發(fā)動(dòng)新的攻擊在一次攻擊中會(huì)出現(xiàn)多種不同形態(tài)的攻擊工具攻擊工具越來(lái)越普遍地被開(kāi)發(fā)為可在多種操作系統(tǒng)平臺(tái)上執(zhí)行對(duì)基礎(chǔ)設(shè)施的威脅增大

基礎(chǔ)設(shè)施攻擊會(huì)導(dǎo)致Internet上的關(guān)鍵服務(wù)出現(xiàn)大面積破壞直至癱瘓。目前，Internet已經(jīng)成為人們生活中依賴(lài)的信息交換載體，基礎(chǔ)設(shè)施一旦被攻擊，輕則引起人們的擔(dān)心，重則引起能源、交通、公共服務(wù)等處于癱瘓。目前，基礎(chǔ)設(shè)施面臨的攻擊主要有DoS/DDoS攻擊、蠕蟲(chóng)、域名系統(tǒng)（DNS）攻擊、對(duì)路由器攻擊或利用路由器的攻擊等其它

網(wǎng)絡(luò)攻擊還呈現(xiàn)出了安全漏洞的發(fā)現(xiàn)越來(lái)越快，防火墻參透率越來(lái)越高，自動(dòng)化和攻擊速度越來(lái)越高等特點(diǎn)Windows操作系統(tǒng)的攻防Windows操作系統(tǒng)的攻防98Windows在桌面操作系統(tǒng)中占有絕對(duì)的市場(chǎng)份額，在服務(wù)器操作系統(tǒng)中也擁有一席之地。然而，微軟公司長(zhǎng)期以來(lái)在強(qiáng)調(diào)易操作性和界面友好性的同時(shí)，其安全性一直被業(yè)界詬病。針對(duì)Windows操作系統(tǒng)安全漏洞的網(wǎng)絡(luò)攻擊頻繁發(fā)生，且有愈演愈烈的趨勢(shì)。由于Windows操作系統(tǒng)在網(wǎng)絡(luò)攻防中具有的重要地位，所以針對(duì)Windows操作系統(tǒng)各類(lèi)安全漏洞的滲透攻擊和防御技術(shù)研究已成為當(dāng)前信息安全領(lǐng)域一個(gè)關(guān)注的重點(diǎn)。本章從Windows操作系統(tǒng)基本結(jié)構(gòu)入手，在分析其安全體系和機(jī)制的基礎(chǔ)上，對(duì)相關(guān)的安全攻防技術(shù)進(jìn)行介紹。目錄04030206Windows操作系統(tǒng)的安全機(jī)制050701針對(duì)Windows數(shù)據(jù)的攻防針對(duì)賬戶的攻防針對(duì)進(jìn)程與服務(wù)的攻防針對(duì)日志的攻防針對(duì)系統(tǒng)漏洞的攻防針對(duì)注冊(cè)表和組策略的攻防Windows操作系統(tǒng)的安全機(jī)制/2.12.1Windows操作系統(tǒng)的安全機(jī)制101Windows操作系統(tǒng)的發(fā)展本章涉及操作系統(tǒng)版本說(shuō)明

考慮到Windows操作系統(tǒng)的版本眾多，且不同版本之間的功能和操作方式的差異較大。為突出重點(diǎn)，并便于讀者理解和開(kāi)展實(shí)驗(yàn)操作，本章主要針對(duì)Windows內(nèi)核進(jìn)行介紹。所涉及的操作，均在Windows7和WindowsServer2012環(huán)境下進(jìn)行

自1985年Windows操作系統(tǒng)問(wèn)世以來(lái)，其版本隨著計(jì)算機(jī)硬件和軟件發(fā)展不斷升級(jí)，架構(gòu)從16位、32位到64位，桌面操作系統(tǒng)版本從最初的Windows1.0到大家熟知的Windows95、Windows98直至現(xiàn)在的Windows10，服務(wù)器操作系統(tǒng)版本從WindowsNT3.1、WindowsNT4.0直至現(xiàn)在的WindowsServer2016，操作系統(tǒng)內(nèi)核版本從1.x、2.x直至Windows10和WindowsServer2016的10.x，其功能在持續(xù)更新過(guò)程中不斷完善2.1.1Windows操作系統(tǒng)的層次結(jié)構(gòu)1021、操作系統(tǒng)的設(shè)計(jì)類(lèi)型微軟在開(kāi)發(fā)Window服務(wù)器操作系統(tǒng)（WindowsNT3.1）之初，便將其定義為能夠在用戶級(jí)實(shí)現(xiàn)自主訪問(wèn)控制、提供審計(jì)訪問(wèn)對(duì)象機(jī)制的C2級(jí)操作系統(tǒng)01.小型系統(tǒng)

早期的一些小型系統(tǒng)（如MS-DOS）主要由可以相互調(diào)用的一系列過(guò)程組成

功能簡(jiǎn)單，實(shí)現(xiàn)容易02.層次系統(tǒng)模型

將一個(gè)大型復(fù)雜的系統(tǒng)分解成若干單向依賴(lài)的層次（最內(nèi)部的一層為系統(tǒng)核），即每一層都提供一組功能且這些功能只依賴(lài)該層以?xún)?nèi)的各層

比較容易修改和測(cè)試，同時(shí)可以根據(jù)需要替換掉一層限制過(guò)于嚴(yán)格03.客戶機(jī)/服務(wù)器結(jié)構(gòu)

操作系統(tǒng)被劃分為一個(gè)或多個(gè)進(jìn)程，每個(gè)進(jìn)程稱(chēng)為一個(gè)服務(wù)器，它提供服務(wù)?？蓤?zhí)行的應(yīng)用稱(chēng)為客戶機(jī)，客戶機(jī)通過(guò)向指定的服務(wù)器發(fā)送消息來(lái)請(qǐng)求服務(wù)。系統(tǒng)中所有的消息都是通過(guò)微內(nèi)核發(fā)送的，如果有多個(gè)服務(wù)器存在，則這些服務(wù)器共享一個(gè)微內(nèi)核?？蛻魴C(jī)和服務(wù)器都在用戶模式下執(zhí)行

當(dāng)一個(gè)服務(wù)器出現(xiàn)錯(cuò)誤或重新啟動(dòng)時(shí)，不會(huì)影響系統(tǒng)的其他部分

當(dāng)修改一個(gè)過(guò)程時(shí)可能導(dǎo)致系統(tǒng)其他部分發(fā)生錯(cuò)誤為滿足計(jì)算機(jī)聯(lián)網(wǎng)技術(shù)的發(fā)展和需求為解決調(diào)用過(guò)程中存在的問(wèn)題Windows服務(wù)器操作系統(tǒng)結(jié)構(gòu)103Windows服務(wù)器操作系統(tǒng)是層次結(jié)構(gòu)和客戶機(jī)/服務(wù)器結(jié)構(gòu)的混合體2、Windows服務(wù)器操作系統(tǒng)的結(jié)構(gòu)2、Windows服務(wù)器操作系統(tǒng)的結(jié)構(gòu)104為其上層提供硬件結(jié)構(gòu)的接口使系統(tǒng)運(yùn)行在不同的硬件上，方便系統(tǒng)的移植硬件抽象層微內(nèi)核位于硬件抽象層之上為低層提供執(zhí)行、中斷、異常處理和同步的支持微內(nèi)核包括虛擬內(nèi)存管理、對(duì)象管理、進(jìn)程和線程管理、I/O管理、進(jìn)程間通信和安全參考監(jiān)視器模塊之間的通信是通過(guò)定義在每個(gè)模塊中的函數(shù)實(shí)現(xiàn)的最高層由一系列實(shí)現(xiàn)基本系統(tǒng)服務(wù)的模塊組成(1)、執(zhí)行者執(zhí)行者是運(yùn)行在內(nèi)核模式（KernelMode）中的部分，它由3層組成2、Windows服務(wù)器操作系統(tǒng)的結(jié)構(gòu)105會(huì)話管理系統(tǒng)啟動(dòng)時(shí)加載的第一個(gè)服務(wù)，它負(fù)責(zé)：?jiǎn)?dòng)DOS設(shè)備驅(qū)動(dòng)將子系統(tǒng)在注冊(cè)表中進(jìn)行注冊(cè)初始化動(dòng)態(tài)鏈接庫(kù)(DynamicLinkLibrary，DLLs)啟動(dòng)NT注冊(cè)(WinLogon)NT注冊(cè)是一個(gè)注冊(cè)進(jìn)程，在系統(tǒng)初始化時(shí)以logon進(jìn)程通過(guò)Win32注冊(cè)負(fù)責(zé)為交互式注冊(cè)和注銷(xiāo)提供接口服務(wù)管理操作系統(tǒng)的桌面Win32為應(yīng)用程序提供有效的32位API提供圖形用戶接口并控制所有用戶輸入和輸出該服務(wù)只輸出兩種對(duì)象：WindowsStation（如用戶的鼠標(biāo)、鍵盤(pán)和顯示器的輸入/輸出等）和桌面對(duì)象本地安全認(rèn)證提供安全認(rèn)證服務(wù)，在用戶注冊(cè)進(jìn)程、安全事件日志進(jìn)程等本地系統(tǒng)安全策略中提供安全服務(wù)功能.安全策略是由本地安全策略庫(kù)實(shí)現(xiàn)，庫(kù)中主要保存可信域、用戶和用戶組特權(quán)、訪問(wèn)權(quán)限和安全事件安全策略庫(kù)由本地安全認(rèn)證來(lái)管理，并且只有通過(guò)本地安全認(rèn)證后才能訪問(wèn)安全賬號(hào)管理主要用于管理用戶和用戶組的賬號(hào)，根據(jù)它的權(quán)限決定其作用是在本地域還是其他域范圍內(nèi).為認(rèn)證服務(wù)器提供支持.安全賬號(hào)作為子對(duì)象存儲(chǔ)在注冊(cè)表中的數(shù)據(jù)庫(kù)，這個(gè)數(shù)據(jù)庫(kù)只有通過(guò)安全賬號(hào)才能訪問(wèn)和管理

也稱(chēng)為被保護(hù)的子系統(tǒng)或服務(wù)器，提供了應(yīng)用程序編程接口（ApplicationProgrammingInterface,

API），以具有一定特權(quán)的進(jìn)程形式在用戶模式下執(zhí)行。當(dāng)應(yīng)用調(diào)用API時(shí)，調(diào)用者通過(guò)局部過(guò)程調(diào)用（LocalProcedureCall,LPC）發(fā)送請(qǐng)求信息給對(duì)應(yīng)的服務(wù)器，服務(wù)器在接收到該請(qǐng)求信息后發(fā)送消息應(yīng)答給調(diào)用者（2）、被保護(hù)的服務(wù)2、Windows服務(wù)器操作系統(tǒng)的結(jié)構(gòu)106在Windows服務(wù)器操作系統(tǒng)中，所有的軟件和硬件資源都是用對(duì)象表示的，如文件、信號(hào)量、計(jì)時(shí)器、線程、進(jìn)程、內(nèi)存等.具體可以分為微內(nèi)核對(duì)象和執(zhí)行者對(duì)象兩種類(lèi)型(3)、微內(nèi)核對(duì)象和執(zhí)行者對(duì)象01.微內(nèi)核對(duì)象（內(nèi)核對(duì)象）由微內(nèi)核產(chǎn)生的、對(duì)用戶不可見(jiàn)的最基本的對(duì)象.輸出給執(zhí)行者的相關(guān)應(yīng)用，提供只有內(nèi)核最低層才能完成的基本功能.02.執(zhí)行者對(duì)象大多數(shù)執(zhí)行者對(duì)象用于封裝一個(gè)或多個(gè)微內(nèi)核對(duì)象，它在用戶模式下可見(jiàn)執(zhí)行者為Win32等服務(wù)提供一系列的對(duì)象，通常服務(wù)直接為客戶機(jī)程序提供執(zhí)行者對(duì)象服務(wù)可以為客戶機(jī)應(yīng)用基于一個(gè)或多個(gè)簡(jiǎn)單對(duì)象構(gòu)造