《信息安全技術(shù) 網(wǎng)絡(luò)攻擊定義及描述規(guī)范》

ICS?FORMTEXT點(diǎn)擊此處添加ICS號FORMTEXT點(diǎn)擊此處添加中國標(biāo)準(zhǔn)文獻(xiàn)分類號中華人民共和國國家標(biāo)準(zhǔn)GB/TFORMTEXTXXXXX—FORMTEXTXXXXFORMTEXT?????FORMTEXT信息安全技術(shù)網(wǎng)絡(luò)攻擊定義及描述規(guī)范FORMTEXTInformationsecuritytechnology—SpecificationsofdefinitionanddescriptionfornetworkattackFORMTEXT?????FORMDROPDOWNFORMTEXT(2017-5-1)FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX發(fā)布FORMTEXT????-FORMTEXTXX-FORMTEXTXX實(shí)施GB/TXXXXX—XXXX信息安全技術(shù)網(wǎng)絡(luò)攻擊定義及描述規(guī)范范圍本標(biāo)準(zhǔn)給出了網(wǎng)絡(luò)攻擊的定義、描述、典型過程、關(guān)鍵技術(shù)和效果評估。本標(biāo)準(zhǔn)適用于規(guī)范網(wǎng)絡(luò)攻擊的定義與描述、網(wǎng)絡(luò)攻擊的過程與關(guān)鍵技術(shù)、評估網(wǎng)絡(luò)攻擊的效果。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T5271.8－2001信息技術(shù)詞匯第8部分：安全GB/T25069－2010信息安全技術(shù)術(shù)語GB/T25068.3–2010信息技術(shù)安全技術(shù)IT網(wǎng)絡(luò)安全第3部分：使用安全網(wǎng)關(guān)的網(wǎng)間通信安全保護(hù)術(shù)語和定義GB/T5271.8－2001、GB/T25069－2010和GB/T25068.3－2010界定的術(shù)語和定義適用于本文件。為了便于使用，以下重復(fù)列出了GB/T25069－2010中的術(shù)語和定義。安全級別securitylevel有關(guān)敏感信息訪問的級別劃分，以此級別加之安全范疇能更精確地控制對數(shù)據(jù)的訪問。［GB/T25069－2010,定義］訪問控制［列］表accesscontrollist由主體以及主體對客體的訪問權(quán)限所組成的列表。［GB/T25069－2010,定義3］邏輯炸彈logicbomb一種惡性邏輯程序，當(dāng)被某個(gè)特定的系統(tǒng)條件觸發(fā)時(shí)，造成對數(shù)據(jù)處理系統(tǒng)的損害。［GB/T25069－2010,定義7］（特洛伊）木馬Trojanhorse一種表面無害的程序，它包含惡性邏輯程序，可導(dǎo)致未授權(quán)地收集、偽造或破壞數(shù)據(jù)。［GB/T25069－2010,定義2.1.37］網(wǎng)絡(luò)攻擊的定義4.1攻擊的定義在IT系統(tǒng)中，對系統(tǒng)或信息進(jìn)行破壞、泄露、更改或使其喪失功能（包括竊取數(shù)據(jù)）的嘗試。4.2網(wǎng)絡(luò)攻擊的定義通過計(jì)算機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，利用網(wǎng)絡(luò)中存在的漏洞和安全缺陷實(shí)施的一種行為，其目的在于竊取、修改、破壞網(wǎng)絡(luò)中存儲(chǔ)和傳輸?shù)男畔?；或延緩、中斷網(wǎng)絡(luò)服務(wù)；或破壞、摧毀、控制網(wǎng)絡(luò)基礎(chǔ)設(shè)施。網(wǎng)絡(luò)攻擊的描述本標(biāo)準(zhǔn)采用下述5維方法對網(wǎng)絡(luò)攻擊進(jìn)行描述，如圖1所示：a)網(wǎng)絡(luò)攻擊涉及的角色b)網(wǎng)絡(luò)攻擊的分類c)網(wǎng)絡(luò)攻擊的典型過程d)網(wǎng)絡(luò)攻擊的關(guān)鍵技術(shù)e)網(wǎng)絡(luò)攻擊后果的評估網(wǎng)絡(luò)攻擊角色分類網(wǎng)絡(luò)攻擊角色分類典型過程關(guān)鍵技術(shù)效果評估圖1網(wǎng)絡(luò)攻擊的5維描述網(wǎng)絡(luò)攻擊涉及的角色網(wǎng)絡(luò)攻擊中涉及到的角色包括5類：a)攻擊者b)受害者c)監(jiān)控者d)服務(wù)提供者e)寬帶提供者網(wǎng)絡(luò)攻擊者角色故意利用網(wǎng)絡(luò)安全的脆弱性，以竊取或泄露信息系統(tǒng)或網(wǎng)絡(luò)中的資源為目的，危及信息系統(tǒng)或網(wǎng)絡(luò)資源可用性的任何人/組織。網(wǎng)絡(luò)攻擊的受害者角色在網(wǎng)絡(luò)攻擊的活動(dòng)中，信息、資源或財(cái)產(chǎn)被侵害的一方。網(wǎng)絡(luò)監(jiān)控者角色對網(wǎng)絡(luò)運(yùn)行和服務(wù)進(jìn)行監(jiān)視和控制，對網(wǎng)絡(luò)上的活動(dòng)、行為或資產(chǎn)進(jìn)行監(jiān)視和控制的人/組織。網(wǎng)絡(luò)服務(wù)提供者角色為網(wǎng)絡(luò)運(yùn)行和服務(wù)提供基礎(chǔ)設(shè)施、信息和中介、接入等技術(shù)服務(wù)的網(wǎng)絡(luò)服務(wù)商和非營利組織。/yl/2011/201102/t20110222_580220.html/yl/2011/201102/t20110222_580220.html網(wǎng)絡(luò)服務(wù)提供者侵權(quán)行為探討中華人民共和國國家知識產(chǎn)權(quán)局．網(wǎng)絡(luò)服務(wù)提供者包括因特網(wǎng)服務(wù)提供商ISP和為ISP提供主干服務(wù)的網(wǎng)絡(luò)服務(wù)提供商N(yùn)SP。NSP：提供用于因特網(wǎng)接入服務(wù)的基礎(chǔ)設(shè)施，為ISP提供主干服務(wù)、WEB用戶服務(wù)等。ISP：提供互聯(lián)網(wǎng)服務(wù)，可分為網(wǎng)絡(luò)硬件服務(wù)提供者和網(wǎng)絡(luò)軟件服務(wù)提供者。前者包括網(wǎng)絡(luò)接入服務(wù)提供者和網(wǎng)絡(luò)信息存儲(chǔ)空間提供者，后者包括網(wǎng)絡(luò)內(nèi)容提供者和網(wǎng)絡(luò)技術(shù)服務(wù)提供者。網(wǎng)絡(luò)帶寬提供者角色為網(wǎng)絡(luò)服務(wù)提供帶寬的組織。網(wǎng)絡(luò)攻擊分類本標(biāo)準(zhǔn)采用五維網(wǎng)絡(luò)攻擊分類法，對網(wǎng)絡(luò)攻擊分別按攻擊對象、攻擊方式、漏洞利用、攻擊后果和嚴(yán)重程度進(jìn)行分類。攻擊名稱攻擊名稱是對網(wǎng)絡(luò)攻擊的歸類性描述。攻擊名稱可以代表一類攻擊的描述，或表征一次攻擊。第1維：攻擊對象網(wǎng)絡(luò)攻擊按照攻擊對象可以分為兩大類：硬件和軟件。攻擊對象子級別1子級別2子級別3子級別4硬件計(jì)算機(jī)傳輸鏈路存儲(chǔ)設(shè)備……網(wǎng)絡(luò)設(shè)備物理設(shè)備硬盤U盤光盤……路由器交換機(jī)網(wǎng)關(guān)集線器網(wǎng)絡(luò)布線……鍵盤監(jiān)控器……軟件操作系統(tǒng)應(yīng)用網(wǎng)絡(luò)Windows系列Unix系列MacOS系列……服務(wù)器用戶……協(xié)議……Windows7Windows10……LinuxFreeBSD……MacOSX……數(shù)據(jù)庫電子郵件網(wǎng)站辦公軟件……傳輸層協(xié)議……Redhatlinux6.010.1IISMicrosoftWordTCP/IP協(xié)議第2維：攻擊方式網(wǎng)絡(luò)攻擊方式可以通過下表進(jìn)行描述：攻擊方式子級別1子級別2病毒文件感染型病毒系統(tǒng)/引導(dǎo)記錄感染型病毒蠕蟲MacroMassmailingNetworkaware……緩沖區(qū)溢出堆棧拒絕服務(wù)Host-basedNetwork-based……資源hogsCrashers……TCPfloddingUDPfloodingICMPflooding……網(wǎng)絡(luò)攻擊DistributedSpoofingSessionhijackingWirelessattacksWebapplicationattacks……WEPcrackingCrosssitescriptingParametertamperingCookiepoisoningDatabaseattacksHiddenfieldmanipulation物理攻擊BasicEnergyweapon……HERFLERFEMP第3維：漏洞利用漏洞利用可以通過下表進(jìn)行描述：漏洞類別子級別1子級別2軟件bug緩沖區(qū)溢出意料外的聯(lián)合使用問題未對輸入內(nèi)容進(jìn)行預(yù)期檢查Race-conditions……系統(tǒng)配置不當(dāng)使用默認(rèn)配置未關(guān)閉多余端口使用臨時(shí)端口……口令失竊使用弱口令字典攻擊蠻力攻擊……口令長度過短口令復(fù)雜度過低利用用戶名字典數(shù)據(jù)庫利用口令字典數(shù)據(jù)庫……嗅探未加密通訊數(shù)據(jù)共享介質(zhì)服務(wù)器嗅探遠(yuǎn)程嗅探……設(shè)計(jì)存在缺陷TCP/IP協(xié)議的缺陷……系統(tǒng)攻擊遠(yuǎn)程攻擊內(nèi)部攻擊……第4維：攻擊后果網(wǎng)絡(luò)攻擊后果可以通過下表進(jìn)行描述：攻擊后果子級別1子級別2非法控制非法侵占系統(tǒng)非法使用硬件……數(shù)據(jù)泄露敏感數(shù)據(jù)泄露關(guān)鍵代碼泄露個(gè)人隱私泄露……數(shù)據(jù)篡改數(shù)據(jù)修改數(shù)據(jù)增加數(shù)據(jù)刪除……拒絕服務(wù)拒絕服務(wù)分布式拒絕服務(wù)……設(shè)備故障終端故障……傳輸鏈路故障……計(jì)算機(jī)節(jié)點(diǎn)故障……路由器、交換機(jī)故障……第5維：嚴(yán)重程度網(wǎng)絡(luò)攻擊的嚴(yán)重程度可以通過下表進(jìn)行表征：嚴(yán)重程度子級別1子級別2第一級損害公民、法人和其他組織的合法權(quán)益損害公民的合法權(quán)益損害法人的合法權(quán)益損害其他組織的合法權(quán)益第二級嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益損害社會(huì)秩序和公共利益嚴(yán)重?fù)p害公民的合法權(quán)益嚴(yán)重?fù)p害法人的合法權(quán)益嚴(yán)重?fù)p害其他組織的合法權(quán)益損害社會(huì)秩序損害公共利益第三級嚴(yán)重?fù)p害社會(huì)秩序和公共利益損害國家安全嚴(yán)重?fù)p害社會(huì)秩序嚴(yán)重?fù)p害公共利益第四級對社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害嚴(yán)重?fù)p害國家安全對社會(huì)秩序造成特別嚴(yán)重?fù)p害對公共利益造成特別嚴(yán)重?fù)p害第五級對國家安全造成特別嚴(yán)重的損害網(wǎng)絡(luò)攻擊分類的舉例攻擊名稱攻擊對象攻擊方式漏洞利用攻擊后果嚴(yán)重程度BlasterWindowNT4.0,XP,2000,Server2003網(wǎng)絡(luò)感知型蠕蟲CAN-2003-0325TCP包floodingDOSChernobylWindow95,98文件感染型病毒信息破壞CodeRedIIS4,5,6.0beta網(wǎng)絡(luò)感知型蠕蟲CVE-2001-0500棧緩沖區(qū)溢出；TCP包floodingDOSRamenRedHat6.2,7.0網(wǎng)絡(luò)感知型蠕蟲CVE-2000-0573CVE-2000-0666CVE-2000-0917主機(jī)型DOS;UDP和TCP包floodingDOSSlammerSQLServer2000網(wǎng)絡(luò)感知型蠕蟲CAN-2002-0649棧緩沖區(qū)溢出；UDP包floodingSobig.FEmail客戶端Mass-mailing蠕蟲配置木馬TrojanedWuarchiveFTPDUnix系列木馬破壞網(wǎng)絡(luò)攻擊的典型過程網(wǎng)絡(luò)攻擊的典型過程如圖2所示：a)攻擊源的隱藏b)信息搜集判斷c)選擇入侵方式d)提升系統(tǒng)權(quán)限e)安裝系統(tǒng)后門f)清除入侵記錄開始結(jié)束信息搜集開始結(jié)束信息搜集入侵攻擊源隱藏權(quán)限提升后門安裝記錄清除口令攻擊拒絕服務(wù)攻擊欺騙攻擊劫持攻擊漏洞攻擊圖2網(wǎng)絡(luò)攻擊的典型過程攻擊源的隱藏通過各種方式隱藏攻擊來源，逃避溯源軟件的追蹤。信息搜集判斷在對目標(biāo)對象實(shí)施網(wǎng)絡(luò)攻擊前，攻擊者查看攻擊環(huán)境、搜集目標(biāo)環(huán)境的各種相關(guān)信息，為實(shí)施網(wǎng)絡(luò)攻擊進(jìn)行準(zhǔn)備。典型的信息搜集判斷過程如下：a)獲得基本信息b)標(biāo)識網(wǎng)絡(luò)的地址范圍c)標(biāo)識活動(dòng)的機(jī)器d)標(biāo)識開放端口和入口點(diǎn)e)獲取操作系統(tǒng)類型和機(jī)器端口對應(yīng)的服務(wù)f)制定網(wǎng)絡(luò)攻擊藍(lán)圖常用的信息搜集工具有：a)Ping、fping、pingsweepb)ARP探測c)Fingerd)Whoise)DNS/nslookupf)搜索引擎g)telnet獲得基本信息基本信息包括目標(biāo)網(wǎng)絡(luò)的IP地址、域名信息等。標(biāo)識網(wǎng)絡(luò)的地址范圍標(biāo)識目標(biāo)網(wǎng)絡(luò)的地址范圍或子網(wǎng)掩碼，明確攻擊范圍。標(biāo)識活動(dòng)的機(jī)器標(biāo)識目標(biāo)網(wǎng)絡(luò)中活動(dòng)的服務(wù)器和終端，明確攻擊對象。標(biāo)識開放端口和入口點(diǎn)通過端口掃描標(biāo)識開放端口和入口點(diǎn)。端口掃描的分類如圖3所示：圖3端口掃描的分類常見的端口掃描工具有：a)Nmapb)Xscanc)SuperScand)ShadowSecurityScannere)MS06040Scanner獲取操作系統(tǒng)類型和機(jī)器端口對應(yīng)的服務(wù)獲取操作系統(tǒng)的類型和機(jī)器端口對應(yīng)的服務(wù)，為實(shí)施網(wǎng)絡(luò)攻擊奠定基礎(chǔ)。制定網(wǎng)絡(luò)攻擊藍(lán)圖在畫出盡可能完整的目標(biāo)網(wǎng)絡(luò)拓?fù)鋱D的基礎(chǔ)上，制定網(wǎng)絡(luò)攻擊藍(lán)圖。選擇入侵方式根據(jù)搜集到的信息進(jìn)行判斷后，選取適當(dāng)?shù)娜肭址绞綄δ繕?biāo)網(wǎng)絡(luò)實(shí)施攻擊，包括但不限于以下入侵方式：a)口令攻擊b)拒絕服務(wù)攻擊c)欺騙攻擊d)劫持攻擊e)漏洞利用攻擊口令攻擊攻擊者通過信息搜集判斷，獲取了目標(biāo)網(wǎng)絡(luò)中的用戶名、開放服務(wù)，操用系統(tǒng)類型等關(guān)鍵信息，就可以開始實(shí)施口令攻擊?？诹罟舻念愋桶ǖ幌抻冢篴)字典攻擊。逐一嘗試攻擊者定義的詞典中的單詞或短語的攻擊方式。b)蠻力攻擊。逐一嘗試字母、數(shù)字、特殊字符所有可能組合的攻擊方式。c)組合攻擊。字典攻擊和蠻力攻擊的組合。d)其他類型的攻擊，例如社會(huì)工程學(xué)攻擊。拒絕服務(wù)攻擊拒絕服務(wù)攻擊的目標(biāo)有下面兩類：a)消耗目標(biāo)服務(wù)器的可用資源。致使目標(biāo)服務(wù)器忙于應(yīng)付大量非法和無用的連接請求，耗盡服務(wù)器所有的資源，致使服務(wù)器對正常的請求無法進(jìn)行及時(shí)響應(yīng)，形成服務(wù)中斷。b)消耗網(wǎng)絡(luò)的有效帶寬。攻擊者通過發(fā)送大量有用或無用的數(shù)據(jù)包，占用全部帶寬，使合法的用戶請求無法通過鏈路抵達(dá)服務(wù)器；服務(wù)器對合法請求的響應(yīng)也無法返回給用戶，形成服務(wù)中斷。通常，拒絕服務(wù)攻擊可以分為拒絕服務(wù)攻擊(DOS)和分布式拒絕服務(wù)攻擊(DDOS)兩類。常見的DoS和DDOS攻擊方式包括但不限于：a)IPSpoofingb)Landc)Smurfd)Fragglee)WinNukef)SYNFloodg)ICMPFloodh)UDPFloodi)ICMP重定向報(bào)文j)ICMP報(bào)文不可達(dá)k)TearDropl)CPUHogm)RPCLocator欺騙攻擊攻擊者通過欺騙方式，獲取目標(biāo)網(wǎng)絡(luò)用戶的重要信息，或獲取目標(biāo)用戶的信任。常見的欺騙攻擊包括但不限于：a)IP欺騙。偽裝成其他計(jì)算機(jī)的IP地址，獲得信息或特權(quán)。b)電子郵件欺騙。例如，偽造發(fā)送方地址進(jìn)行欺騙，獲取信任或得到敏感信息。c)WEB欺騙。例如，基于網(wǎng)站的欺騙。劫持攻擊攻擊者通過劫持服務(wù)器與用戶之間的通信，實(shí)施網(wǎng)絡(luò)攻擊，包括但不限于：a)會(huì)話劫持攻擊。例如，在共享網(wǎng)段中A和B站點(diǎn)的正常通信被攻擊者C截獲后，C冒充B與A進(jìn)行會(huì)話，獲取信任或敏感信息。b)包劫持攻擊。例如，攻擊者通過包截取工具，獲得用戶賬戶密碼等敏感信息。c)域名劫持攻擊。例如，攻擊者使一個(gè)域名指向一個(gè)由攻擊者控制的服務(wù)器。漏洞利用攻擊常見的漏洞利用攻擊包括但不限于：a)利用CGI漏洞的攻擊。b)利用FTP等協(xié)議漏洞的攻擊。c)利用服務(wù)程序漏洞的攻擊。d)緩沖區(qū)溢出攻擊。提升攻擊權(quán)限攻擊權(quán)限一步或逐步提升包括但不限于：a)本地用戶獲得非授權(quán)讀權(quán)限。b)本地用戶獲得非授權(quán)寫權(quán)限。c)遠(yuǎn)程用戶獲得非授權(quán)賬號信息。d)遠(yuǎn)程用戶獲得特權(quán)文件的讀權(quán)限。e)遠(yuǎn)程用戶獲得特權(quán)文件的寫權(quán)限。f)遠(yuǎn)程用戶獲得系統(tǒng)管理員權(quán)限。安裝系統(tǒng)后門后門指攻擊者再次進(jìn)入網(wǎng)絡(luò)的隱蔽通道。如果攻擊者獲取了系統(tǒng)的存取權(quán)限，建立后門就相對容易；如果沒有獲取相應(yīng)的系統(tǒng)權(quán)限，攻擊者需通過木馬實(shí)現(xiàn)后門。清除入侵記錄攻擊者通過各種方法清除入侵記錄隱藏攻擊痕跡，包括但不限于：a)清除所有的日志文件或修改/刪除日志文件中與攻擊相關(guān)的記錄。b)修改相關(guān)文件的信息。攻擊者通過修改相關(guān)文件中的某些信息，例如時(shí)間和文件長度信息，隱藏攻擊痕跡。c)將文件、目錄或共享設(shè)備的屬性設(shè)置為隱藏。d)重命名文件。例如，攻擊者將他的文件名修改為類似于系統(tǒng)文件名。e)清除網(wǎng)絡(luò)上存在的攻擊痕跡。網(wǎng)絡(luò)攻擊的關(guān)鍵技術(shù)網(wǎng)絡(luò)攻擊的關(guān)鍵技術(shù)包括但不限于以下幾種，各種技術(shù)之間可以是包含關(guān)系。通常，攻擊者會(huì)采用多種攻擊技術(shù)組合的方法進(jìn)行網(wǎng)絡(luò)攻擊。獲取口令如所述，口令攻擊的類型包括但不限于：字典攻擊、蠻力攻擊、組合攻擊和社會(huì)工程學(xué)攻擊等。通常，攻擊者用下述方法竊取口令：a)通過網(wǎng)絡(luò)監(jiān)聽獲得用戶口令。盡管這種方法有一定局限性，但攻擊者常常能夠成功獲得他所在網(wǎng)段的所有用戶賬號和口令；b)如果已知目標(biāo)用戶的賬號，通過字典攻擊等方法破解用戶口令。這種方法不受網(wǎng)段限制，但耗時(shí)較長；c)如果已知服務(wù)器上的用戶口令文件，例如Linux系統(tǒng)的Shadow文件，通過字典攻擊等方法破解用戶口令。通過系統(tǒng)中的缺省賬戶或弱口令進(jìn)行攻擊，往往容易攻擊成功。安裝木馬程序攻擊者通過安裝木馬程序達(dá)到各種網(wǎng)絡(luò)攻擊的目的，例如攻擊完成后可以方便地再次進(jìn)入目標(biāo)網(wǎng)絡(luò)、通過木馬程序消除入侵痕跡等。WWW欺騙WWW欺騙有多種方式，都與網(wǎng)站訪問相關(guān)。攻擊者偽裝為合法網(wǎng)頁，在網(wǎng)頁上提供虛假信息，實(shí)施網(wǎng)絡(luò)攻擊。例如，釣魚網(wǎng)站仿冒真實(shí)網(wǎng)站的URL地址和頁面內(nèi)容，或利用真實(shí)網(wǎng)站的漏洞插入有害的HTML代碼，獲取用戶的銀行/信用卡賬號等敏感信息。電子郵件攻擊電子郵件攻擊包括但不限于：a)電子郵件轟炸，即郵件炸彈，指用偽造的IP地址和電子郵件地址不斷向同一信箱發(fā)送垃圾郵件，致使