U盘PE| w764位旗舰版下载 | U盘装win7系统 | U盘启动 |win7pe | win10下载 |加入收藏土豆PE官网U盘PE,U盘装win7系统,win7pe,U盘启动,U盘装系统,w764位旗舰版下载站!
当前位置:主页 > 帮助中心 > 土豆PE使用教程 >

从CIA看常见网络攻击(爆破,PE,流量攻击)

来源:http://www.tudoupe.com时间:2022-07-23

文章目录

  • 1. 攻击链
  • 2.典型攻击类型
    • 2.1 针对保密性
      • 2.1.1暴力裂缝-SSH爆炸
      • 2.1.2暴力裂纹-登陆界面爆炸
    • 2.2 针对完整性
      • 2.2.1恶意代码-PE病毒
    • 2.3 针对可用性
      • 2.3.1流攻击
      • 2.3.2SYN-洪水
  • 3. 常见属性
    • 3.1 端口
    • 3.第2条-TCP
    • 3.3接收和发送
    • 3.协议4-HTTP和HTTPPS
    • 3.5 时间戳

1. 攻击链

如今,不断变化的网络威胁环境带来更复杂的攻击场景,除了商业攻击之外,以前缺乏攻击技术现在越来越普遍。除此之外,实现专业化的战术目标,在企业内部建立持续的攻击点,黑客的攻击不再只是一般的破坏性行为(如早些时候爆发的蠕虫暴风雨),相反,采用了更目标、更阶段化、更低强度的攻击。基于防御思维的攻击链将一个攻击分为七个阶段。它可以迅速帮助我们理解如何在最近的攻击现场进行有效的防御,其过程如下图所示。
根据STIX的定义,攻击链定义如下:从入侵前到入侵后
在这里插入图片描述在这里插入图片描述
在上述一系列攻击阶段的逐步完成后,黑客们成功地建立攻击站点,攻击受害者的网络,这种攻击现在有了突出的名称,叫做高级持续性威胁(Advanced Persistent Threat),简称为APT。以往,APT被认为是国家一级的攻击(代表最终的攻击手段,最严格的合作纪律),但类似的行为现在也出现在网络犯罪、金融威胁、工业间谍、政治黑客入侵和恐怖主义中。
同时,攻击链不仅可以作为黑客的攻击过程,它也可以作为辩护人员的防御指南,基于攻击链的每一个步骤中可能发生的攻击行为,操作人员或系统将采取适当的紧急措施,如图的右边栏所示,因此,对攻击链的研究至关重要。绿色联盟在15年内设计了一个基于攻击链的威胁情报系统。彻底改变人类思维中的“一对一”威胁警报模式
在这里插入图片描述

2.典型攻击类型

在这里插入图片描述

2.1 针对保密性

2.1.1暴力裂缝-SSH爆炸

介绍第一类攻击是“暴力击碎”类型,常见的是服务用户名密码和登录界面崩溃等。尽管有很多方法可以进入后排,用一些非常复杂的方法去等待,但对于攻击者来说,最快速节省时间的方法是直接访问管理员的帐户。因此, 暴力裂纹是一种简单的,但常见的渗透检测方法.在前款结束的网络保护操作过程中,80%的攻击来自一个弱势的指挥爆炸。
在设置SSH服务时,管理员也可以设置一个容易推测的用户名密码,并使用相应的密码工具以猛烈地破解弱密码。这是关于SSH服务的爆炸,当攻击者扫描目标主机的端口时,发现22端口打开,当管理员设置ssh服务时,可以设置一个容易推测的用户名和密码,它使用了美国多萨工具在kali中,自行下载或组织词典文件,让脚本自动匹配,我们可以看到在最后一次ACCOUNT FOUND就是匹配成功。
这里我们看到爆炸命令,您可以设置自己的IP地址和密码字典文件地址

在这里插入图片描述一旦找到,它返回成功,所以用户名是root,密码是toor。

2.1.2暴力裂纹-登陆界面爆炸

下面也是一个常见的爆炸案例,一般存在于登陆界面,你可以看到这是一个 POST的方式来登录和提交参数,最下面一行我们看到了username和password这两个参数包含在POST包中,我们将选择这两个参数,然后设置好字典后,Burp工具将连续发送数据包,通过获取不同的响应包来尝试密码。
在这里插入图片描述
在调试过程中,我们使用长度来显示屏幕,通常因为正确密码和错误密码的页面内容一定不同,所以长度的字段也会不同,你可以清楚地看到有区别,通常这是密码,这是登陆界面调试的常见方法。
在这里插入图片描述

2.2 针对完整性

当系统有漏洞时,它会导致系统执行特定的程序,触发更严重的情况,例如蠕虫和邮件病毒。
在这里插入图片描述计算机病毒与网络蠕虫的主要区别在于它们是否需要用户干预并不能独立运行,它们需要加入其他程序,即主机程序,而蠕虫是一个独立运行的程序

2.2.1恶意代码-PE病毒

恶意代码中的一个特别代表性的病毒是PE文件病毒。PE就是Portable Execute,是Windows下可执行文件的一般术语,常见的有 DLL,EXE,OCX,SYS 等。当该病毒启动时,它将自己复制到系统目录或登记为服务进程并隐藏在背景中运行,尝试连接网络,如果网络连接失败,病毒也会尝试使用拨号连接网络,该病毒网络连接成功地下载文件到指定地址,使用HTTP,同时拦截用户操作,盗窃指定软件的安全信息并将其存储在指定文件中,然后使用FTP将文件上传到指定的地址。

PE文件格式的整体结构如下:
在这里插入图片描述

在这里插入图片描述第一个DOS头就是一个文件的标识,二进制转化为字符就是MZ,表示这是一个PE文件,同时还会提示一段文字,This program cannot run in DOS mode。
下面是节点的节点,用于描述以下节点,并根据节点表示负荷每个节点
在这里插入图片描述
在整个PE文件中,最重要的PE头就是你看到的NT头,
在PE头中,第一个就是Signature签名,这一部分转化成字符就是PE,也是一个文件的标识,识别给定的文件是否为有效的PE文件
在这里插入图片描述第二部分是FILE-HEADER视频文件标题,它包含一些关于物理分布的信息
在这里插入图片描述第三部分是备选的标题,它是备选的,但实际上是整个PE文件中最重要的部分,它定义了许多关键信息,包括内存镜子装载地址、程序的输入点、晶粒和镜子大小的调整、文件标题大小等等
其中最重要的是四个
在这里插入图片描述

  • Address Of Entry Point就是PE病毒装载的第一条指令的相对虚拟地址RVA,表示第一条指令相对于镜像基址的偏移。如果你想改变整个执行过程,这个值可以指定为一个新的RVA,这样,新 RVA 的 指示 首先 得到 实施 。
  • Image Base是PE的优先装载地址。“优先”字段表示,如果地址区域被其他模块占用,PE负载器将选择其他空地址。
  • 第二个对称是因为指令的格式是固定的,大小固定,未填的将被填满0字节。一些PE病毒感染时,选择用0字节填充的份额代替,这样,而不是添加新的节点,更加隐蔽,因为她没有改变文件本身的大小

RVA英文全称 Relatively Virtual Address。偏移(又称“相对虚拟地址”)。相对镜像基址的偏移。
VA,程序访问存储器所使用的逻辑地址就是偏移地址,简称VA,又称为内存偏移地址

在这里插入图片描述
为什么在RVA中使用PE文件格式?这是为了减少 PE 装载器的负荷.因为每个模块更有可能被重载到任何虚拟地址空间,如果 PE 负载器修正每个重置项目,这肯定不太现实。相反,如果所有置换项目使用RVA,因此,PE负载器不需要担心这些事情:它只是将整个模块转移到新的启动VA。这就像相对路径和绝对路径的概念:RVA类似于相对路径,VA就象绝对路径。
VA=RVA+基址
原理:重定位是几乎所有病毒都要解决的问题.我们写正常的程序的时候根本不用关心变量的位置,在编译的时候都计算好的.在程序中直接使用变量名使用就可以了.病毒也需要用到变量,由于附在不同的程序中,位置不同,病毒的变量在内存中的位置自然不同.病毒代码中的变量进行重定位是非常有必要的.

2.3 针对可用性

2.3.1流攻击

第三类是交通攻击,针对的是可用性。DOS就是Denial of Service,拒绝服务,DDOS Multiple D 是分布式, 是一种分布式拒绝服务攻击.要比DOS更了解很多问题,群攻的感觉,这两个攻击都是基于使用合理的服务请求以占领过多的服务资源的原则。这使得合法用户无法从该服务中得到响应。

在 Wireshark学习笔记(2)例分析案例的解释 有演示如何使用电缆剪接器进行数据包分析,如果网络停了一段时间,可以对converstion通信进行一个筛查,作为筛选指标的包装包装数量,测定剂量的可能性
在这里插入图片描述在在Wireshark中抓取一个包后,您可以在统计中查看对话并查看包之间的连接
消息信息,然后重用数据包进行排序,将根据数据包的数量从大到小排序,
最常见的通信对象通常用于DDoS检测。
在这里插入图片描述

2.3.2SYN-洪水

一种最经典的DDoS,基于TCP连接的三步握手过程
正常的三次握手:
在这里插入图片描述异常的三次握手
在这里插入图片描述当服务器发送非syn-ack响应到非syn请求(在半连接状态)时,没有从用户收到进一步的非syn响应时,服务器会做什么?
不要直接放弃连接
等待一段时间后再发送同步问题
◼ 如果仍然没有收到syn应答,继续重新发送syn-ack应答
同时将半连接信息存储在内存中
请不要放弃,直到收到对重新发送syn-ack的一定数量的响应

在这里插入图片描述

3. 常见属性

3.1 端口

有人曾经把服务器比作房子,而把端口比作通向不同房间(服务)的门,入侵者要占领这间房子,势必要破门而入,那么对于入侵者来说,了解房子开了几扇门,都是什么样的门,门后面有什么东西就显得至关重要。
入侵者通常用扫描仪扫描目标主机的端口,确定哪些港口是开放的,从开放的端口,入侵者可以大致知道目标主机提供哪些服务,然后就可能存在的漏洞进行推测,因此,扫描端口可以帮助我们更好地理解目标主机,而对于管理员,扫描机的开放端口也是安全的第一步。
在MySQL中,如果默认的3306端口打开,Openmysqld网络监控,允许用户通过帐户密码远程连接到本地数据库,默认条件允许远程连接数据.为了禁止该功能,启动skip网络,不要监视SQL的任何TCP/IP连接,终止远程访问的权利,保证安全性。如果你真的需要远程连接到数据库,至少修改默认监视端口,同时添加防火墙规则,仅允许通过一个可靠的网络上的mysql监视端口传递的数据。
在这里插入图片描述

3.第2条-TCP

TCP协议可靠并面向连接
TCP是一个完全双重模式,当客户发送财务报表时,它只是表明客户端没有发送数据,客户告诉服务器,其 所有 数据 都 已 发 出去 ; 但是,这个时候client还是可以接受来server的数据;当server返回ACK报文段时,表明它已经知道客户端没有发送数据,但是server还是可以发送数据到client的;当server也发送了FIN报文段时,这个时候就表示server也没有数据要发送了,告诉客户,我没有送任何数据。如果客户收到确认消息,之后,他们每个人都会享受中断的TCP连接
在这里插入图片描述

第一次握手:我向服务器发送SYN,并设置Seq=0(x),请求与服务器连接
第二次握手:服务器响应SYN并设置Seq=0(y),ACK=1(x+1)
第三次握手:我从服务器收到SYN消息,响应ACK=1(y+1)

在这里插入图片描述第一波:我向服务器发送 FIN, Seq=3092, Ack=183
第二波:服务器返回ACK, Seq=183, Ack=3093
第三波:服务器发送 FIN, Seq=183, Ack=3093
第四波:我用ACK,Seq=3093,Ack=184回答服务器

在这里插入图片描述抓取TCP包后会关注建立连接和释放连接中间的部分,一般文件的获取就在中间的包中

TCP协议可靠并面向连接
实现简单,没有严格限制操作者的权利,任何用户有权使用该调用。
◼ 扫描速度快。如果对每个目标端口以线性的方式,使用单独的connect()调用,可以通过同时打开多个套接字,从而加速扫描。
缺点是扫描不被隐藏,很容易被检测,并且在日志文件中有许多密接的连接和错误记录
它很容易被防火墙检测和屏蔽。
除此之外,还有其他东西,如半连接

连接从系统调用连接()开始。
如果端口打开, 连接将成功地建立;
如果不,返回 -1, 表示端口已关闭.

在这里插入图片描述在这里插入图片描述

3.3接收和发送

GET安全是指未修改的信息,即操作被用来获取信息而不是修改信息。 换句话说,GET请求一般不应有副作用,即它们只获取资源信息,如数据库查询,不修改,不添加数据,并不会影响资源的状态。
POST抓住一个包并获取所有信息,所以看它并不安全

GET方法只生成一个TCP数据包,浏览器发送请求头和请求数据一起,服务器响应200 ok(返回数据)
POST方法生成两个TCP包,浏览器首先向服务器请求头发,继续直到服务器响应100,浏览器再次发送请求数据,服务器响应200 ok(返回数据)。这么看起来 GET 请求的传输会比 POST 快上一些(因为GET 方法只发送一个 TCP 数据包),但事实上, 在良好的网络条件下, 它们的传输速度基本上是相同的.
在这里插入图片描述

3.协议4-HTTP和HTTPPS

HTTP协议属于明文传输协议,交互过程以及数据传输都没有进行加密,通信双方也没有进行任何认证,通信过程非常容易遭遇劫持、监听、篡改,80端口。

HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器直接的通信加密。443端口。
在这里插入图片描述例如,这是一个完整的 https 传输过程,用户发出请求后,服务端将证书发送给用户端,验证测试成功后,客户端随机生成一个值,用公共钥匙加密随机值,发送给客户端。因为只有客户有私人钥匙,所以客户端可以解码随机值,使用这个随机值作为密钥加密信息,传输给用户端。整个过程之前有一个认证过程,用到了公钥算法,数字签名,后面是加密传输,使用了对称加密算法.
这里数字证书的含义是防卫中间人攻击,经合并的第三方,伪造公钥,整个传输过程被劫持。为了解决这个问题,CA授权的数字签名,包含公开密码和公开密码的拥有者的信息,客户端拿到证书后,根据证书用第三方私钥上的方法自己生成一个证书编号,如果自生成的证书号码与证书上的证书号码相同,然后证明该证书是真实的.
结论:HTTPS保证了客户端与服务器之间的通信过程。必须使用对称加密算法,但对称加密算法的谈判过程,必须使用不对称加密算法来保证安全性,然而,直接使用不对称加密算法本身并不安全,有中间人对公共钥匙进行篡改的可能性,所以客户端不会直接与服务器使用公共键,相反,由数字证书管理局(CA)发出的证书被用来确保不对称加密过程本身的安全。为了确保证书不会被更改,引入数字签名,客户端使用相同的对称加密算法,核实证书的真实性,因此, 解决了客户端与服务器端的通信安全问题.

3.5 时间戳

网络上发生的所有事件都是时间敏感的,这就是为什么在讨论数据包捕获和分析时,给数据包加上时间戳非常重要。此功能不仅可以防止和分析网络攻击,还能检查趋势和网络延迟。
时间邮票是使用数字签名技术生成的签名数据,签名对象包含原始数据、签名参数和签名时间等信息。时间标记系统用于生成和管理时间标记数据,使用时间标记证书以数字签名签名对象生成时间标记数据,证明原始数据存在于签字时间之前,并且之后不能修改,这确保当时记录的事件时间和数据是原始数据,这是没有修改的数据。

在这里插入图片描述

该图是RSA数字签名原则

  1. 使用单向散列函数(SHA系列)生成Message的消息摘要Digest1
  2. 将Digest使用发送者的私钥d签名得到Signature
  3. 将Message和Signature合并发送给接收者
  4. 接收者收到报文后将Message和Signature分离
  5. 使用单向散列函数生成Message的消息摘要Digest2
  6. 用公共密码解密签名,获取 Digest1
  7. 与Digest1和Digest2的比较是合法的,如果它是一致的,否则是非法的

在这里插入图片描述生成摘要的主要思想是找到包含整个数据集的信息的数据子集
首先为原始数据生成总结(HASH)数据,然后调用第三方时间标记服务,时间标记服务系统使用时间标记证书私钥,签名总结数据,并生成时间标记签名数据。
若要验证原始数据的真实性,只需使用时间标记证书公钥,解密时间标记签名数据,计算原始数据的摘要数据和可靠的时间标记时间,并比较数据库中的原始数据的摘要数据是否一致,如果一致,则表明原始数据没有更改。
为了验证时间标记证书的正确性,也使用时间标记证书的中间根。使用上层根证书验证中层根证书是否可靠,如果通过验证,注意,第三方的时间标记服务确实使用。此外,总数据验证是一致的,你可以证明原始数据是可靠的原始数据。至于当时数据库的记录时间是否可信,应该按时间划分.数据库记录时间只供参考.

Copyright © 2012-2014 Www.tudoupe.Com. 土豆启动 版权所有 意见建议:tdsky@tudoupe.com

土豆系统,土豆PE,win7系统下载,win7 64位旗舰版下载,u盘启动,u盘装系统,win10下载,win10正式版下载,win10 RTM正式版下载,win8下载,电脑蓝屏,IE11修复,网络受限,4K对齐,双系统,隐藏分区,系统安装不了,U盘装系统,笔记本装系统,台式机装系统,diskgenius运用,GHSOT装系统,U盘修复,U盘技巧,U盘速度,U盘不能格式化,U盘复制发生错误,U盘加密,U盘选购,开机黑屏,蓝屏,进不了系统,上不了网,打不开程序,点击无反应,系统设置,PE个性化,PE添加网络,PE维护系统

点击这里给我发消息