1.5 网络攻击的实施过程

一次完整网络攻击行为的生命周期
一次完整网络攻击行为的生命周期

1.5.1 攻击发起阶段

  在攻击发起阶段,攻击者进行攻击前的准备,如确定攻击所针对的操作系统类型、应用平台的类型等,这些系统和应用程序存在哪些可以利用的漏洞等。
平台依赖性
  ➢ 很多攻击都是针对一定范围内的平台发起的,这个平台可能是操作系统平台,也可能是应用平台
  ➢ 也有一些攻击是针对特定的操作系统平台而发起的,一般来说是针对某个版本的漏洞而进行攻击
  ➢ 还有一些攻击是针对TCP/IP网络体系中的底层协议平台而发起

平台依赖性例子:
  1、 2017年5月12日晚在全球爆发的"永恒之蓝勒索蠕虫就是针对Windows操作平台存在的安全漏洞而传播的,
  2、分别于2003年8月12日在全球爆发的冲击波Worm.Blaster) 蠕虫和2004年5月1日爆发的震荡波(Worm.Sasser) 蠕虫可以对Windows 2000和Windows XP两种操作系统平台进行攻击。
针对TCP/IP协议的攻击案例:
  针对TCP协议的同步包风暴(SYN Flooding)攻击、针对ICMP、UDP协议的攻击等

平台依赖性


平台依赖性与攻击范围及破坏力的关系
  攻击行为对平台依赖性,反映出了攻击可能影响的范围。攻击对平台的依赖性越强,表明该攻击所能够影响的范围越小,反之越大。因此在攻击的其他条件(如作用点、攻击强度、传播速度等)不变的情况下,能够对多个平台(平台依赖性较弱)发起的攻击,其破坏力要高于那些只对特定平台发起的攻击
平台依赖性分类:
  ➢ 平台依赖性强:针对特定版本或特定内核的操作系统平台、应用平台起作用的攻击。此类攻击涉及的范围一般较小
  ➢ 平台依赖性中:针对某一品牌或某一品牌中的一个或几个系列的操作系统平台或应用平台起作用的攻击。此类攻击的涉及范围与平台应用范围相关,平台应用越广泛,此类攻击所涉及的范围就越大
  ➢ 平台依赖性弱:同时针对两种或两种以上的操作系统平台或应用平台起作用的攻击,称为对平台依赖性弱。此类攻击影响的范围很广
  ➢ 无平台依赖性:针对任何连接到互联网上的计算机都能够起作用的攻击。此类攻击针对的目标最为广泛,涉及面最广,理论上任何连接到互联网 上的计算机都可能成为被攻击目标攻击范围

平台依赖性与攻击范围关系:
  总结一句话:平台依赖性越高,限制越高,攻击范围越小;平台依赖性越小,限制越低,攻击范围越大
平台依赖性与攻击范围关系

漏洞相关性


● 漏洞类型(产生原因)
  ➢ 设计方面原因
  ➢ 实现方面原因
  ➢ 配置方面原因
● 漏洞相关性判断原则
  ➢ 设计漏洞:在系统设计阶段出现的问题,系统天生具有的
  ➢ 实现漏洞:在编码过程中,因为没有遵循严格的安全编码方法或测试不严格而造成的漏洞
  ➢ 配置漏洞:在使用阶段,因用户配置不当而产生的漏洞
  ➢ 无:攻击与漏洞之间没有直接的关系,即使漏洞不存在也照样能够实现攻击目的(如:Ddos攻击)
  漏洞相关性

1.5.2 攻击作用阶段

  在攻击发起阶段确定了攻击的平台和利用的漏洞后,攻击就进入了作用阶段。攻击者在攻击作用阶段主要动作为选择被攻击者系统的某些资源作为攻击对象(“作用点”),以达到获得某些“利益”的目标
攻击方式 (攻击角度)
  ➢ 在现有作用点的基础上,寻找其他薄弱地点进行攻击,进一步体现攻击的有效性
  ➢ 在攻击有效的前提下,寻找其他关键的点进行攻击,体现攻击后果的严重性
  ➢ 寻找其他可以入侵的作用点,实现攻击作用点的多样化
  攻击的作用点在很大程度上体现了攻击者的目的,且一次攻击可以有多个作用点,即可同时攻击系统的多个“目标”。因此,作用点的选择对攻击有直接的影响,为此,本书将作用点作为攻击作用阶段的主要影响因素。

作用点判断原则


作用点判断原则:
  ➢ 账户:包括系统账户、用户账户等。一般指攻击者对账户的猜测和字典攻击以及强力破解 等,以便达到其非法进入的目的。另外,还包括安装木马后所创建的后门账户等。
  ➢ 文件系统:指被攻击系统的文件系统。涉及的攻击主要是修改、删除、增加、获取文件等操作。
  ➢ 进程:指被攻击系统内存空间中运行的进程。包括操作系统进程以及应用进程,涉及的攻击如杀死特定进程、探测进程活动、利用该进程对其他部分进行攻击等。
  ➢ 系统资源与信息:指被攻击者系统的硬件资源(如CPU、内存、硬盘等)、固定信息或相对 固定的信息,如涉及到系统的硬件资源的参数(CPU数量、内存类型及大小、Cache容量、硬盘类型等)、系统的配置参数(分区类型、注册表信息、硬盘及文件访问的参数等)以及软件信息(如系统安装的软件列表、运行要求等)
  ➢ 网络及网络服务:针对网络或网络服务的攻击,主要包括占用或利用网络资源与服务、影响网络性能和网络服务质量、增加网络流量、探测网络及相关服务的信息、利用网络提供的功能 完成其他非法操作等,即对网络本身及服务的正常运行产生不利影响。

1.5.3 攻击结果阶段

  攻击结果就是攻击对目标系统所造成的后果,也是被攻击者所能感受到的攻击带来的影响
● 攻击结果阶段的影响因素
  ➢ 攻击结果:攻击对目标系统的正常运行造成了那些方面的影响。即攻击者对目标系统的软硬件资源、其中的信息以及所提供的服务造成了哪些影响,如非法收集、破坏、恶意占用、非法使用等
  ➢ 传播性:攻击是否具备传播性。即攻击是否会利用当前系统作为跳板继续对其他目标发起新的攻击
  ➢ 破坏强度:攻击对目标系统各部分的影响程度。攻击对系统各部分可能造成的损害大概在什么水平

攻击结果


  一个应用系统自身的价值主要体现在其所拥有的硬件资源、信息资源(含软件)以及对外提供的服务上,那么网络攻击的实质也就表现在对目标系统的硬件资源、信息和服务的非法访问、使用、破坏等。
● 攻击类型:
  ➢ 对硬件资源的攻击:对目标系统硬件资源的攻击可以表现为对硬件资源的非法操作,如消耗网络带宽、占用存储资源、破坏系统的关键部件(如CMOS)等
  ➢ 对信息资源的攻击:对目标系统信息资源发起的攻击可以表现为非法获取和破坏两个方面。 其中,获取信息就是收集、读取目标系统中攻击者感兴趣的资料;破坏信息就是恶意篡改删除目标系统中的各种资料,以达到攻击的目的
  ➢ 对服务的攻击:对目标系统上运行的服务发起攻击可以表现为对系统中运行的各种服务进行非法的使用和破坏

网络攻击结果的判定原则分类:
  ➢ 泄露信息:攻击造成被攻击者的操作系统、应用系统以及用户的相关信息的泄露。如攻击发起之前对目标的扫描会造成信息的泄露,攻击进入后将用户信息对外进行发送,监听网络上的流量等
  ➢ 篡改信息:攻击者对目标系统的内存、硬盘、其他部分信息进行非法增、删、改的操作。如植入木马操作会导致系统配置信息的更改和硬盘文件的增加,文件类病毒的侵入会导致相应文件的修改等
  ➢ 非法利用服务:利用系统的正常功能,来实现攻击者的其他目的的行为。如利用被攻击者的正常网络连接对其他系统进行攻击,通过正常的系统服务利用其他漏洞实现攻击者目的等
  ➢ 拒绝服务:使目标系统正常的服务受到影响或系统功能的部分或全部丧失。如典型的DoS/DDoS攻击;杀死系统进程使其对外的服务中断;耗尽系统资源中内存使系统崩溃等
  ➢ 非法提升权限:攻击者利用某种手段或者利用系统的漏洞,获得本不应具有的权限。最为典型的非法提升权限攻击为缓冲区溢出攻击,另外通过猜测又令、植入木马、预留后门等也可以使攻击者获得本不应具有的权限。

传播性


  Internet的出现导致了网络攻击的产生,移动互联网的应用摧生了大量新的攻击方式, 目前的网络攻击在传播方面呈现出越来越明显的主动性、快速性、智能化等特点。毫无 疑问,传播性越强的攻击,其攻击面越广、影响力越强、破坏力越大。而且随着连接到Internet上的主机越来越多,尤其是物联网技术的应用、工业控制系统的接入等,这类攻击的影响力已经从局部扩大到国家,甚至到整个互联网。不仅对被攻击目标造成了严重的灾难,而且因为其具有传播性强的特点,对网络本身的运行也造成了严重的影响。

传播性的发展:
  ➢ 早期:攻击基本上都不具备传播能力,或者具备较弱的传播能力,但受一些条件限制
  ➢ 后期:在传播性方面得到了很大的加强,其传播是主动发起行为而不是被动的激活行为
传播性的判定原则:
  ➢ 传播性弱:特点是“有条件激活,有条件传播”式,即需要其他条件进行激活,同时传播也不能在现有条件上立刻完成,需要借助其他手段进行。还有一种称为“无传播性”的攻击,它是一对一发起的攻击,传播不是其攻击的目的,不会借被攻击者对其他第三方发起新的攻击。如传统的病毒是此类型最为典型的代表
  ➢ 传播性中:特点是“有条件激活,无条件传播”式,即需要其他条件进行激活,一旦激活后即可在现有条件上立刻完成传播,不再需要其他辅助条件。这类攻击一般都是通过网络实施。如通过电子邮件系统进行传播的蠕虫,一般来说需要由用户点击相应的邮件后,才能主动地通过搜索电子邮件地址表进行传播
  ➢ 传播性强:特点是“无条件激活,无条件传播”式,能不依赖于其他条件自主对外搜索攻击目标并进行有效攻击,同时该传播性可以自主地继续进行下去,无限传播。典型代表为网络蠕虫,如CodeRed II蠕虫利用计算机的漏洞主动地对外寻找下一个受害者进行攻击,从而使得攻击在用户毫不知情的情况下大规模进行扩散

破坏强度-1


  无论从分析、评估、防范哪个角度看,正确了解网络攻击所造成的破坏程度都是非常有意义的。特别是对于最终用户来说,迫切需要知道如果一种攻击成功实施的话,会对系统造成什么样的伤害?
● 网络攻击破坏强度评价要素:
  ➢ 等级定义明确: 破坏强度的等级(强、中、弱)定义必需明确,根据定义,不同人对相同的攻击能够得出相同或相似的判断结果
  ➢ 定位性强: 通过描述,人们可以自行判断一种攻击实际上针对哪些位置进行的
  ➢ 适应性强: 能够适应复杂攻击情况,新型的攻击往往包含多种攻击手法,其攻击目标也不 只一个,因此对攻击强度的描述需要同时反映出对多个目标的攻击情况
  ➢ 可扩展性强: 可扩展性强,该方案可以通过简单扩充来满足新出现攻击的特点,而不会造成结构上的重大调整

破坏强度-2

  对攻击强度的描述方法,即在攻击作用阶段所给出的作用点的基础上,分析攻击对每个作用点可能的破坏程度,具体划分准则如下:
  ➢ 账号:一旦某种攻击取得了某个账户(系统账户或用户账户)的使用权,则意味着从此以后,攻击者就相当于系统的合法用户,其行为仅受所取得用户权限的约束而且很难被发现,其破坏力以及对系统的影响程度都是非常大的。同样对于木马植入后留下的秘密账 户,也相当于系统的合法用户身份。为此,将所有针对账户发起的攻击的破坏强度都定义为“强”
  ➢ 文件系统:对于文件系统的攻击一般有修改、删除、增加、获取文件的操作,也可以将其归纳为“读”和“写”两类操作
    ➢ 强:对文件系统进行“写”操作,如修改、删除、增加文件等,都有可能造成不可恢复性的破坏, 或者对需要保密的信息进行解密的,因此将这些攻击行为都定义为“强”
    ➢ 中:对文件系统进行“读”操作,如查询、访问文件等,一般来说会造成系统信息的外泄,虽然也很严重,但与写操作相比,其影响尚没有达到不可恢复性的程度,因此将其攻击强度定义为“中”

破坏强度-3

进程:针对进程的攻击分为两种类型
  ➢ 强:以破坏进程运行为目的操作,如杀死进程、修改进程资料、修改进程执行顺序(如执行攻击者代码)等,其造成的损失往往是不可恢复性的,因此属于一种破坏性“强”的攻击
  ➢ 中:以侦察、获取进程信息为目的操作,或执行系统自身所有的特定代码,所造成的损失尚没有达到不可恢复的程度,因此属于“中”等强度的攻击行为
系统资源与信息:对于系统资源与信息的攻击主要是通过固定的系统进程对特定区域的信息进行的写、读操作;对系统资源的攻击主要是对系统资源的消耗、占有等操作
  ➢ 强:对系统信息进行写操作的攻击以及对系统资源进行占有、消耗为目的的攻击,其破坏性都比较“强”
  ➢ 中:对系统信息进行读操作的攻击,其破坏性属于“中”等强度

破坏强度-4

网络及网络服务:针对网络及网络服务的攻击,根据其破坏强度可以分为3类
  ➢ 强:对于自动地、不间断地(指无干预情况下)、攻击范围不针对某一固定区域的、通过网络传播而实施的攻击,一般利用网络对其他节点发起大量的攻击,造成网络资源的大量占用甚至耗尽,使得网络无法正常提供服务,属于一种高“强”度的攻击。另外,即使不通过网络进行攻击传播,但可能使网络的正常服务中断,也属于一种高“强”度攻击
  ➢ 中:非自动地、有条件的、攻击范围局限于某一区域(如一个局域网)的,通过网络传 播而实施的攻击,一般会造成局部网络的功能部分或全部失效,属于“中”等破坏性的攻击。另外,还有些攻击会影响到正常的网络服务或关键的网络节点,但还没有使网络服务完全无法进行,其攻击也属于“中”等破坏性的攻击
  ➢ 弱:对于影响范围只局限于被攻击者本身,或者对被攻击者的网络服务影响轻微的(如扫描)攻击,属于一类破坏性较“弱”的攻击行为。