*** 攻防报告_ *** 攻防事件解析图

说明 *** 安全攻击的四种形式和攻击目标、并画出 *** 安全攻击的四种形式示意图。

*** 安全攻击形式

一般入侵 *** 攻击 扫描技术 拒绝服务攻击技术 缓冲区溢出 后门技术 Sniffer技术 病毒木马

*** 攻击的过程通常是怎样的？

攻击者在一次攻击过程中通常采用如图

下面我们对攻击者的攻击过程中的各个步骤做一详细的介绍。

隐 藏位置

隐藏位置就是有效地保护自己，在因特网上的 *** 主机均有自己的 *** 地址，根据TCP/IP协议的规定，若没有采取保护措施，很容易反查到某台 *** 主机的位置，如IP地址和域名。因此，有经验的 黑 客 在实施攻击活动时的首要步骤是设法隐藏自己所在的 *** 位置，包括自己的 *** 域及IP地址，这样使调查者难以发现真正的攻击者来源。攻击者经常使用如 下 技 术 隐 藏 他 们 真实 的IP 地 址或者域名：

利用被侵入的主机作为跳板, 如在安装Windows 的计算机内利用Wingate软件作为跳板，利用配置不当的Proxy作为跳板；

使用 *** 转接技术隐蔽自己，如利用 *** 的转接服务联接ISP；

盗用他人的账号上网，通过 *** 联接一台主机，再经由主机进入Internet；

免 费 代 理 网关 ；

伪 造IP地址 ；

假 冒用户帐号 。

*** 探测和收集资料

在发动一场攻击之前，攻击者一般要先确定攻击目标并收集目标系统的相关信息。他可能在一开始就确定了攻击目标，然后专门收集该目标的信息；也可能先大量地收集网上主机的信息，然后根据各系统的安全性强弱来确定最后的目标。

对于攻击者来说，信息是更好的工具。它可能就是攻击者发动攻击的最终目的（如绝密文件、经济情报）；也可能是攻击者获得系统访问权的通行证，如用户口令、认证票据（ticket）；也可能是攻击者获取系统访问权的前奏，如目标系统的软硬件平台类型、提供的服务与应用及其安全性的强弱等。攻击者感兴趣的信息主要包括：

操作系统信息；

开放的服务端口号；

系统默认帐号和口令；

邮件帐号；

IP地址分配情况；

域名信息；

*** 设备类型；

*** 通信协议；

应用服务器软件类型。

攻击者为了全面地掌握使目标系统的信息，常常借助软件工具，例如nmap、NESSUS、SATAN等。另外，攻击者进行搜集目标信息时，还要注意隐藏自己，以免引起目标系统管理员的注意。

弱点挖掘

系统中脆弱性的存在是系统受到各种安全威胁的根源。外部攻击者的攻击主要利用了系统提供的 *** 服务中的脆弱性；内部人员作案则利用了系统内部服务及其配置上的脆弱性；而拒绝服务攻击主要是利用资源分配上的脆弱性，长期占用有限资源不释放，使其他用户得不到应得的服务，或者是利用服务处理中的弱点，使该服务崩溃。攻击者攻击的重要步骤就是尽量挖掘出系统的弱点，并针对具体的脆弱性研究相应的攻击 *** 。常用到的弱点挖掘技术 *** 有：

系统或应用服务软件漏洞。攻击者还可以根据系统提供的不同的服务来使用不同的 *** 以获取系统的访问权限。如果攻击者发现系统提供了UUCP服务，攻击者可以利用UUCP的安全漏洞来获取系统的访问权；如果系统还提供其他的一些远程 *** 服务，如邮件服务、WWW服务、匿名FTP服务、TFTP服务，攻击者可以利用这些远程服务中的弱点获取系统的访问权。

机信任关系漏洞。攻击者寻找那些被信任的主机。这些主机可能是管理员使用的机器，或是一台被认为是很安全的服务器。比如，他可以利CGI 的漏洞，读取/etc/hosts.allow文件等。通过这个文件，就可以大致了解主机间的信任关系。接下一步，就是探测这些被信任的主机哪些存在漏洞。

寻找有 漏 洞 的 网 络 成 员 。尽量去发现有漏洞的 *** 成员对攻击者往往起到事倍功半效果，堡垒最容易从内部攻破就是这个缘故。用户 *** 安全防范意识弱，选取弱口令，使得从远程直接控制主机。

安全策略配置漏洞。主机的 *** 服务配置不当，开放有漏洞的 *** 服务。

通信协议漏洞。通过分析目标 *** 所采用的协议信息，寻找漏洞，如TCP/IP协议就存在漏洞。

*** 业务系统漏洞

通过掌握目标 *** 的业务流程信息，然后发现漏洞，例如，在WWW服务中，允许普通用户远程上载的文件执行。

掌握控制权

一般帐户对目标系统只有有限的访问权限，要达到某些目的，攻击者必须有更多的权限。因此在获得一般帐户之后，攻击者经常会试图去获得更高的权限，如系统管理帐户的权限。获取系统管理权限通常有以下途径：

获得系统管理员的口令，如专门针对root用户的口令攻击；

利用系统管理上的漏洞：如错误的文件许可权，错误的系统配置，某些SUID程序中存在的缓冲区溢出问题等；

让系统管理员运行一些特洛伊木马，如经篡改之后的LOGIN程序等。

隐藏行踪

做为一个入侵者，攻击者总是惟恐自己的行踪被发现，所以在进入系统之后，聪明的攻击者要做的之一件事就是隐藏自己的行踪，攻击者隐藏自己的行踪通常要用到如下技术：

连接隐藏，如冒充其他用户、修改LOGNAME环境变量、修改utmp日志文件、使用IP SPOOF技术等；

进程隐藏，如使用重定向技术减少ps给出的信息量、用特洛伊木马代替ps程序等；

篡改日志文件中的审计信息；

改变系统时间造成日志文件数据紊乱以迷惑系统管理员。

实施攻击

不同的攻击者有不同的攻击目的，可能是为了获得机密文件的访问权，也可能是破坏系统数据的完整性，也可能是整个系统的控制权：系统管理权限，以及其他目的等。一般说来，可归结为以下几种方式：

下载敏感信息；

攻 击 其 他 被 信 任 的 主 机 和 网 络；

瘫 痪 网 络；

修改或删除重要数据。

开辟后门

一次成功的入侵通常要耗费攻击者的大量时间与精力，所以精于算计的攻击者在退出系统之前会在系统中制造一些后门，以方便自己的下次入侵，攻击者设计后门时通常会考虑以下 *** ：

放宽文件许可权；

重新开放不安全的服务，如REXD、TFTP等；

修改系统的配置，如系统启动文件、 *** 服务配置文件等；

替换系统本身的共享库文件；

安装各种特洛伊木马，修改系统的源代码；

安装sniffers。

14年全球有哪些 *** 被攻击的案例

事件一、1•21中国互联网DNS大劫难

2014年1月21日下午3点10分左右，国内通用顶级域的根服务器忽然出现异常，导致众多知名网站出现DNS解析故障，用户无法正常访问。虽然国内访问根服务器很快恢复，但由于DNS缓存问题，部分地区用户“断网”现象仍持续了数个小时，至少有2/3的国内网站受到影响。微博调查显示，“1•21全国DNS大劫难”影响空前。事故发生期间，超过85%的用户遭遇了DNS故障，引发网速变慢和打不开网站的情况。

事件二、比特币交易站受攻击破产

2014年2月，全球更大的比特币交易平台Mt.Gox由于交易系统出现漏洞，75万个比特币以及Mt.Gox自身账号中约10万个比特币被窃，损失估计达到4.67亿美元，被迫宣布破产。这一事件凸显了互联网金融在 *** 安全威胁面前的脆弱性。

事件三、携程漏洞事件

2014年3月22日，有安全研究人员在第三方漏洞收集平台上报了一个题目为“携程安全支付日志可遍历下载导致大量用户银行卡信息泄露（包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin）”的漏洞。上报材料指出携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露，并称已将细节通知厂商并且等待厂商处理中。一石激起千层浪，该漏洞立即引发了关于“电商网站存储用户信用卡等敏感信息，并存在泄漏风险”等问题的热议。

事件四、XP系统停止服务

微软公司在2014年4月8日后对XP系统停止更新维护的服务。但XP仍然是当今世界被广泛使用的操作系统之一。特别是在中国，仍有63.7%的用户，也就是大约3亿左右的用户还在使用XP系统。因此“后XP时代”的信息安全一直备受关注，但国内安全厂商推出的防护软件究竟效果如何，面对市场上如此多的安全防护软件，选哪个又是一个疑问，所以xp挑战赛应运而生。在2014年4月5日的XP挑战赛中，腾讯、金山落败360坚守成功。

事件五、OpenSSL心脏出血漏洞

2014年4月爆出了Heartbleed漏洞，该漏洞是近年来影响范围最广的高危漏洞，涉及各大网银、门户网站等。该漏洞可被用于窃取服务器敏感信息，实时抓取用户的账号密码。从该漏洞被公开到漏洞被修复的这段时间内，已经有黑客利用OpenSSL漏洞发动了大量攻击，有些网站用户信息或许已经被黑客非法获取。未来一段时间内，黑客可能会利用获取到的这些用户信息，在互联网上再次进行其他形式的恶意攻击，针对用户的“次生危害”（如 *** 诈骗等）会大量集中显现。即使是在今后十年中，预计仍会在成千上万台服务器上发现这一漏洞，甚至包括一些非常重要的服务器。

事件六、中国快递1400万信息泄露

2014年4月，国内某黑客对国内两个大型物流公司的内部系统发起 *** 攻击，非法获取快递用户个人信息1400多万条，并出售给不法分子。而有趣的是，该黑客贩卖这些信息仅获利1000元。根据媒体报道，该黑客仅是一名22岁的大学生，正在某大学计算机专业读大学二年级。

事件七、eBay数据的大泄漏

2014年5月22日，eBay要求近1.28亿活跃用户全部重新设置密码，此前这家零售网站透露黑客能从该网站获取密码、 *** 号码、地址及其他个人数据。该公司表示，黑客 *** 攻击得手的eBay数据库不包含客户任何财务信息——比如信用卡号码之类的信息。eBay表示该公司会就重设密码一事联系用户以解决这次危机。这次泄密事件发生在今年2月底和3月初，eBay是在5月初才发现这一泄密事件，并未说明有多少用户受到此次事件的影响。

事件八、BadUSB漏洞

2014年8月，在美国黑帽大会上，JakobLell和KarstenNohl公布了BadUSB漏洞。攻击者利用该漏洞将恶意代码存放在USB设备控制器的固件存储区，而不是存放在其它可以通过USB接口进行读取的存储区域。这样，杀毒软件或者普通的格式化操作是清除不掉该代码的，从而使USB设备在接入PC等设备时，可以欺骗PC的操作系统，从而达到某些目的。

事件九、Shellshock漏洞

2014年9月25日，US-CERT公布了一个严重的Bash安全漏洞(CVE-2014 -6271) 。由于Bash是Linux用户广泛使用的一款用于控制命令提示符工具，从而导致该漏洞影响范围甚广。安全专家表示，由于并非所有运行Bash的电脑都存在漏洞，所以受影响的系统数量或许不及“心脏流血”。不过，Shellshock本身的破坏力却更大，因为黑客可以借此完全控制被感染的机器，不仅能破坏数据，甚至会关闭 *** ，或对网站发起攻击。

事件十、500万谷歌账户信息被泄露

2014年9月，大约有500万谷歌的账户和密码的数据库被泄露给一家俄罗斯互联网 *** 安全论坛。这些用户大多使用了Gmail邮件服务和美国互联网巨头的其他产品。据俄罗斯一个受欢迎的IT新闻网站CNews报道，论坛用户tvskit声称60%的密码是有效的，一些用户也确认在数据库里发现他们的数据。

事件十一、飓风熊猫本地提权工具

2014年10月，CrowdStrike发现飓风熊猫这个本地提权工具，飓风熊猫是主要针对基础设施公司的先进攻击者。国外专业人士还表示，该攻击代码写的非常好，成功率为100％。我们知道飓风熊猫使用的是“ChinaChopper”Webshell，而一旦上传这一Webshell，操作者就可试图提升权限，然后通过各种密码破解工具获得目标访问的合法凭证。该本地提权工具影响了所有的Windows版本，包括Windows7和WindowsServer 2008 R2 及以下版本。

事件十二、赛门铁克揭秘间谍工具regin

2014年11月24日，赛门铁克发布的一份报告称，该公司发现了一款名为“regin”的先进隐形恶意软件。这是一款先进的间谍软件，被称为史上最为复杂的后门木马恶意软件。该软件被用于监视 *** 机关、基础设施运营商、企业、研究机构甚至针对个人的间谍活动中。

事件十三、索尼影业公司被黑客攻击

2014年12月，索尼影业公司被黑客攻击。黑客对索尼影业公司发动的这次攻击影响令人感到震惊：摄制计划、明星隐私、未发表的剧本等敏感数据都被黑客窃取，并逐步公布在 *** 上，甚至包括到索尼影业员工的个人信息。预计索尼影业损失高达1亿美元，仅次于2011年被黑客攻击的损失。

事件十四、12306用户数据泄露含身份证及密码信息

2014年12月25日，乌云漏洞报告平台报告称，大量12306用户数据在互联网疯传，内容包括用户帐号、明文密码、身份证号码、手机号码和电子邮箱等。这次事件是黑客首先通过收集互联网某游戏网站以及其他多个网站泄露的用户名和密码信息，然后通过撞库的方式利用12306的安全机制的缺欠来获取了这13万多条用户数据。同时360互联网安全中心就此呼吁，12306用户尽快修改密码，避免已经订到的火车票被恶意退票。另外如果有其他重要帐号使用了和12306相同的注册邮箱和密码，也应尽快修改密码，以免遭遇盗号风险。