读书笔记：APT网络攻击及防御.docx

读书笔记：APT网络攻击及防御一、网络信息安全与网络攻击（一）信息安全定义：信息安全是指“防止信息被非授权地访问、使用、泄露、分解、修改和毁坏，以求保证信息的保密性、完整性、可用性和可追责性，使信息保障能正确实施、信息系统能正常运行、信息服务能满足要求”。从本质上来讲，网络信息安全包括组成互联网络系统的路由器、交换机、线路、终端等硬件资源，操作系统、应用软件等软件资源及其在网络上传输信息的安全性，使其不致因为偶然的或者恶意的攻击遭到破坏。网络信息安全既包含有技术方面的问题、也有管理方面的问题。（二）网络攻击流程：网络攻击是从一个黑客入侵进入到目标计算机上，并开始工作的那个时刻算起，攻击就已经开始了。要了解网络攻击，必须首先了解下一般系统攻击流程：1、寻找攻击目标、收集相关信息。常见的网络攻击依据目标，分为破坏型和控制型两种。破坏型是指攻击的目的是最终破坏攻击目标，使攻击目标不能正常工作，此种手段并不需要控制目标的系统的运行，而主要是让攻击目标损坏。破坏型攻击的主要手段是拒绝服务攻击。另一类的攻击目的是控制攻击目标，这种攻击是要获得一定的权限来达到控制攻击目标的目的。这是人们常规认识中黑客的行为，这种攻击比破坏型攻击更为普遍，而且对受害者的威胁性更大。因为攻击者如果获取目标计算机的超级用户权限就可以在目标计算机上做任意动作。这种网络攻击一般利用操作系统、应用软件或者网络协议存在的漏洞进行。那么，剩下的工作就是尽可能多的收集关于攻击目标的信息，包括攻击目标使用的操作系统类型及版本，攻击目标系统所提供的服务，甚至还包含攻击目标本身与计算机本身没有关系的社交信息。2、获得访问特权。作为控制性网络攻击，通常会将收集到各种信息进行分析，找到目标主机存在的系统漏洞，并利用该漏洞获得一定的权限。此类安全漏洞包括开发系统软件时存在的漏洞，也包括目标主机管理者配置不当而产生的漏洞。不过黑客攻击成功的案例大多是利用了操作系统软件自身存在的漏洞，产生系统软件漏洞的原因主要是软件开发过程中，程序员缺乏安全意识，当攻击者对软件进行非正常请求时会造成缓冲区溢出或对文件的非法访问，其中80%以上成功的网络攻击都是利用了缓冲区溢出漏洞来获得非法权限的。操作系统软件的安全漏洞可分为两类，分别是本地安全漏洞和远程安全漏洞，攻击者可以直接利用远程漏洞在远程的主机上进行攻击并获得操作权限。这种安全漏洞对目标主机的安全威胁性相当大，攻击者的攻击都是从目标主机的远程漏洞开始，同时由本地漏洞配合，以此来获得的目标主机更大的权限，最终获得超级用户权限，这样攻击就可以在目标主机上无所不能了。3、攻击善后、修改系统日志、消除攻击痕迹。由于目前流行的操作系统都拥有日志记录功能，该功能会将在操作系统上发生的所有指令动作记录在一个文件中，所以攻击者在目标操作系统上进行完各种操作后，如果不做进行善后工作，那么他在目标主机中的所有指令操作痕迹都会在系统管理员维护系统时被发现。当然，事情总是具有两面性的，当攻击者获取了超级用户权限以后，就可以任意修改操作系统内的所有文件。所以，作为一名攻击者在完成攻击后，都会对日志文件进行修改，以消除攻击痕迹。（三）常见网络攻击方法。1、口令攻击法。攻击者在攻击目标主机时，通常会先对目标主机进行密码破解。只要能够获得目标主机的密码，攻击者就可以获得目的主机的操作权限。同时，攻击者还可以依靠这个密码访问到目标主机所在局域网内的资源。口令攻击法有三种类型：（1）利用网络监听工具，截获目标主机所在局域网中用户的账号和密码；（2）获得目标主机的用户账号后，通过使用黑客工具软件破解用户密码；（3）利用非法窃取的用户密码文件进行有针对性的猜测，由于每个人都有使用密码习惯用语，所以这种方法十分奏效。2、欺骗攻击。欺骗攻击是攻击者收集目标主机网络内的各种信息，对这些信息进行分析，从而获得有用的身份信息，并将自己伪装成这些身份的用户，欺骗网络内的其他用户，进而获得得更多有用的信息资源。欺骗攻击法也有三种类型：（1）网络地址欺骗：攻击者将本机网络地址修改成有较大权限的主机网络地址，以此来获得想要信息或权限。（2）EMAIL欺骗：攻击者冒充某人向其他人发送电子信件，从而获得有用信息。（3）网页欺骗：目标用户在利用网站做电子商务时，必须被授权信任，在任何实体必须被信任的时候，欺骗的机会也就出现了。3、木马程序攻击攻击者将特定程序中植入木马程序，将其伪装成工具软件，并欺骗目标用户使其打开这个植入后门程序的特定程序或者直接从互联网上下载这个程序。当目标打开或运行了这个程序以后，木马程序就会同时运行，并将后门程序留在目标用户的电脑中，并在用户的系统中隐藏一个可以择机执行的软件。当目标主机所处外部环境符合程序需要时，后门程序就会立即自动执行，并通过预先设定的端口向攻击者发送信息。攻击者随即