网络空间安全原理与实践
上QQ阅读APP看书,第一时间看更新
上一章目录下一章

1.2.2 常见的网络攻击类型

网络攻击的方式林林总总,但其中很多攻击方式可以划分为同一个大类,比如欺骗攻击、中间人攻击、拒绝服务攻击、溢出攻击、侦查/扫描攻击等。既然是攻击的分类,因此这些术语只是概述了发起攻击所采用的逻辑,而没有提到采用的技术、工具和手段,因为每一类攻击(比如欺骗攻击、中间人攻击等)都有很多不同的实现手段。

鉴于拒绝服务(DoS)攻击在本节和1.1节中都已经进行了介绍,这里不再赘述。下面简单介绍另外几种类型的攻击。

1. 欺骗攻击

欺骗攻击强调伪装。如果STRIDE模型中的身份欺骗强调伪装用户身份,从而达到欺骗认证系统的目的,那么网络中还有更多的欺骗类型会对流量中携带的信息进行伪装,让这些流量看起来像是由另一个(不是发起攻击的)系统发起的。

即使不考虑前面介绍的身份欺骗,欺骗攻击还包括其他很多类型,比如:

  • IP地址欺骗;
  • MAC地址欺骗;
  • 应用或服务欺骗,如DHCP欺骗、DNS欺骗、路由协议欺骗等。

由上面的信息可以看到,欺骗攻击可以细分为很多不同的攻击方式。事实上,就连DHCP欺骗也可以继续划分为伪装成DHCP服务器的欺骗攻击和伪装成DHCP客户端的欺骗攻击。比如,攻击者可以把自己伪装成DHCP服务器,向请求IP地址的DHCP客户端发布误导信息,让客户端把流量发送给攻击者,再由攻击者转发给网关,从而形成中间人攻击。再比如,攻击者也可以把自己伪装成大量的DHCP客户端,反复向DHCP服务器请求IP地址,耗竭DHCP服务器上的可用IP地址,让新的DHCP客户端无法获取到可用IP地址,从而形成拒绝服务攻击。因此,欺骗攻击往往并不是最终目的,只是构成其他攻击的一种手段,常常需要与其他类型的攻击结合起来产生攻击效果。

2. 中间人攻击

中间人攻击是一个笼统的概念,是指攻击发起者把自己的设备插入到设备通信的路径之中,从而非法获取接收方和发送方之间的通信信息,如图1-6所示。

图1-6 中间人攻击

在图1-6中,攻击者向局域网中的主机发布了错误的IP-MAC映射信息,让主机A和主机B把发送给对方的信息都发送给自己。

中间人攻击往往包含针对某些网络协议的攻击,比如ARP、DNS、IP路由协议,还有前面提到的DHCP等,它的目的都是为了将流量误导到攻击者的设备,从而把攻击者自己插入到发送方和接收方的通信路径当中。

3. 溢出攻击

显然,任何系统的缓冲区容量都是有限的,如果不断向缓冲区注入信息,就会导致缓冲区被占满,接下来就会出现信息覆盖、系统崩溃、系统非正常运行等现象。因此,攻击者可以采取不断向设备发送垃圾信息的方法去占用目标设备的缓冲区,以达到攻击目的。

比如,交换机在接收到一个数据帧时,会查找CAM表(也就是MAC地址表)中的条目,如果其MAC地址在表中有记录,交换机就会把这个数据帧从对应的端口中转发出去;如果其MAC地址没有记录在表中,交换机就会把这个数据帧通过除了接收到该数据帧的那个端口之外的所有在同一个VLAN中的端口广播出去。

通过利用交换机的工作特点,攻击者可以发起欺骗攻击,向交换机发送大量伪装成不同源MAC地址的数据帧,让这些伪造的MAC地址条目占满交换机的CAM表,造成溢出攻击。这样一来,这个VLAN中的其他主机发送的数据帧都会从(相同VLAN的)所有端口广播出去,攻击者也就可以接收到其他主机发送的单播数据帧了。这种攻击也称为CAM表泛洪攻击。关于这种攻击方式,将在2.2节进一步介绍。

4. 侦查/扫描攻击

侦查攻击是扫描攻击的近义词。顾名思义,这类攻击方式就是对目标设备、目标网络进行侦查,了解对方的相关信息,为进一步发起攻击做好准备。各类侦查攻击和扫描攻击,都需要借助一系列工具来实现。

侦查攻击包括:

  • 使用如dig、nslookup和whois等网络工具来获取信息,了解谁负责该域,以及该域的地址等信息;
  • 对获取到的地址进行ping扫描,判断哪些主机是活动主机;
  • 针对活动主机运行端口扫描,判断这些主机上运行了哪些服务;
  • 使用此前获取到的信息来判断什么手段能够最好地利用该网络的弱点。

对于漏洞扫描工具,合法用户也可以用它来查看自己网络中可能存在的漏洞,并及时修复,以免被攻击者利用。

1.2节介绍了大量与安全威胁有关的内容,包括网络安全威胁在过去这些年的发展变化、微软定义的STRIDE模型,以及一些攻击手段的大类。当然,本节介绍的安全威胁只是网络安全威胁的冰山一角。通过本节的学习,读者也应该了解到,成功的安全攻击往往是一出“连环计”:攻击者需要联合利用大量技术和非技术手段来实现,其中一些攻击手段只是后续手段的铺垫。这意味着安全攻击的分类并不重要,重要的是在面对这些俄罗斯套娃式的攻击时,安全防御措施必须拥有足够的纵深,因此,这些措施必须符合1.1节中介绍的网络安全设计指导方针。

1.1节和1.2节概括了信息与网络安全的普遍概念、原理和原则、安全威胁的模型和分类。在1.3节,将会介绍一些具体的安全威胁缓解手段。

上一章目录下一章