网络攻击的过程通常是怎样的？

本文关于网络攻击的过程通常是怎样的？，据亚洲金融智库2022-04-08日讯:

攻击者在一次攻击过程中通常采用如图下面我们对攻击者的攻击过程中的各个步骤做一详细的介绍。

隐 藏位置隐藏位置就是有效地保护自己，在因特网上的网络主机均有自己的网络地址，根据TCP/IP协议的规定，若没有采取保护措施，很容易反查到某台网络主机的位置，如IP地址和域名。因此，有经验的 黑 客 在实施攻击活动时的首要步骤是设法隐藏自己所在的网络位置，包括自己的网络域及IP地址，这样使调查者难以发现真正的攻击者来源。攻击者经常使用如 下 技 术 隐 藏 他 们 真实 的IP 地 址或者域名：

利用被侵入的主机作为跳板, 如在安装Windows 的计算机内利用Wingate软件作为跳板，利用配置不当的Proxy作为跳板；

使用电话转接技术隐蔽自己，如利用电话的转接服务联接ISP；

盗用他人的账号上网，通过电话联接一台主机，再经由主机进入Internet；

免 费 代 理 网关 ；

伪 造IP地址 ；

假 冒用户帐号 。

网络探测和收集资料在发动一场攻击之前，攻击者一般要先确定攻击目标并收集目标系统的相关信息。他可能在一开始就确定了攻击目标，然后专门收集该目标的信息；也可能先大量地收集网上主机的信息，然后根据各系统的安全性强弱来确定最后的目标。对于攻击者来说，信息是最好的工具。它可能就是攻击者发动攻击的最终目的（如绝密文件、经济情报）；也可能是攻击者获得系统访问权的通行证，如用户口令、认证票据（ticket）；也可能是攻击者获取系统访问权的前奏，如目标系统的软硬件平台类型、提供的服务与应用及其安全性的强弱等。攻击者感兴趣的信息主要包括：

操作系统信息；

开放的服务端口号；

系统默认帐号和口令；

邮件帐号；

IP地址分配情况；

域名信息；

网络设备类型；

网络通信协议；

应用服务器软件类型。

攻击者为了全面地掌握使目标系统的信息，常常借助软件工具，例如nmap、NESSUS、SATAN等。另外，攻击者进行搜集目标信息时，还要注意隐藏自己，以免引起目标系统管理员的注意。

弱点挖掘系统中脆弱性的存在是系统受到各种安全威胁的根源。外部攻击者的攻击主要利用了系统提供的网络服务中的脆弱性；内部人员作案则利用了系统内部服务及其配置上的脆弱性；而拒绝服务攻击主要是利用资源分配上的脆弱性，长期占用有限资源不释放，使其他用户得不到应得的服务，或者是利用服务处理中的弱点，使该服务崩溃。攻击者攻击的重要步骤就是尽量挖掘出系统的弱点，并针对具体的脆弱性研究相应的攻击方法。常用到的弱点挖掘技术方法有：

系统或应用服务软件漏洞。攻击者还可以根据系统提供的不同的服务来使用不同的方法以获取系统的访问权限。如果攻击者发现系统提供了UUCP服务，攻击者可以利用UUCP的安全漏洞来获取系统的访问权；如果系统还提供其他的一些远程网络服务，如邮件服务、WWW服务、匿名FTP服务、TFTP服务，攻击者可以利用这些远程服务中的弱点获取系统的访问权。

机信任关系漏洞。攻击者寻找那些被信任的主机。这些主机可能是管理员使用的机器，或是一台被认为是很安全的服务器。比如，他可以利CGI 的漏洞，读取/etc/hosts.allow文件等。通过这个文件，就可以大致了解主机间的信任关系。接下一步，就是探测这些被信任的主机哪些存在漏洞。

寻找有 漏 洞 的 网 络 成 员 。尽量去发现有漏洞的网络成员对攻击者往往起到事倍功半效果，堡垒最容易从内部攻破就是这个缘故。用户网络安全防范意识弱，选取弱口令，使得从远程直接控制主机。

安全策略配置漏洞。主机的网络服务配置不当，开放有漏洞的网络服务。

通信协议漏洞。通过分析目标网络所采用的协议信息，寻找漏洞，如TCP/IP协议就存在漏洞。

网络业务系统漏洞通过掌握目标网络的业务流程信息，然后发现漏洞，例如，在WWW服务中，允许普通用户远程上载的文件执行。

掌握控制权一般帐户对目标系统只有有限的访问权限，要达到某些目的，攻击者必须有更多的权限。因此在获得一般帐户之后，攻击者经常会试图去获得更高的权限，如系统管理帐户的权限。获取系统管理权限通常有以下途径：

获得系统管理员的口令，如专门针对root用户的口令攻击；

利用系统管理上的漏洞：如错误的文件许可权，错误的系统配置，某些SUID程序中存在的缓冲区溢出问题等；

让系统管理员运行一些特洛伊木马，如经篡改之后的LOGIN程序等。

隐藏行踪做为一个入侵者，攻击者总是惟恐自己的行踪被发现，所以在进入系统之后，聪明的攻击者要做的第一件事就是隐藏自己的行踪，攻击者隐藏自己的行踪通常要用到如下技术：

连接隐藏，如冒充其他用户、修改LOGNAME环境变量、修改utmp日志文件、使用IP SPOOF技术等；

进程隐藏，如使用重定向技术减少ps给出的信息量、用特洛伊木马代替ps程序等；

篡改日志文件中的审计信息；

改变系统时间造成日志文件数据紊乱以迷惑系统管理员。

实施攻击不同的攻击者有不同的攻击目的，可能是为了获得机密文件的访问权，也可能是破坏系统数据的完整性，也可能是整个系统的控制权：系统管理权限，以及其他目的等。一般说来，可归结为以下几种方式：

下载敏感信息；

攻 击 其 他 被 信 任 的 主 机 和 网 络；

瘫 痪 网 络；

修改或删除重要数据。

开辟后门一次成功的入侵通常要耗费攻击者的大量时间与精力，所以精于算计的攻击者在退出系统之前会在系统中制造一些后门，以方便自己的下次入侵，攻击者设计后门时通常会考虑以下方法：

放宽文件许可权；

重新开放不安全的服务，如REXD、TFTP等；

修改系统的配置，如系统启动文件、网络服务配置文件等；

替换系统本身的共享库文件；

安装各种特洛伊木马，修改系统的源代码；

安装sniffers。

专题推荐：攻击(57)过程(27)通常(9)