全国计算机等级考试网络安全素质教育第二章必考知识点
作者：邢博坤
日期：2022/8/31 10:30
一.什么是网络攻击
网络攻击:利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及系统中的数据进行的攻击
二.网络的脆弱性
1.系统软硬件的安全漏洞
OS存在超级用户；常见通讯协议（HTTP FTP TCP/IP）都存在安全漏洞；常见数据库存在大量漏洞
2.网络结构的复杂性
网络复杂性导致脆弱性，物联网设备带来新的攻击机会
3.用户网络行为的复杂性
用户安全意识差 网络易获取攻击工具
4.新增安全措施
安全补丁可能会带来新的脆弱性
三.网络攻击的目标
网络攻击手段 非破坏性攻击：（拒绝服务攻击）破坏性攻击：（删库）
网络攻击目标 个人主机
特定网络
工业物联网
四.网络攻击的步骤

第一步：攻击准备阶段
1.踩点
收集：IP范围 IP地址 DNS地址 邮件服务器IP 拓扑结构 用户名 电话 传真
查询命令：whois、traceroute、nslookup、finger
2.扫描
目的：获取活动主机、开放服务、OS，安全漏洞
扫描：ping扫描、端口扫描（nmap、netcat）、安全漏洞扫描（nessus、Scanner）
3.查点
目的：获取有效账号或导出系统资源目录

第二步：攻击实施阶段
1.漏洞攻击
利用漏洞发起攻击获取目标系统的一定权限
2.获取权限
系统漏洞分为远程和本地，远程攻击要借助本地漏洞来尽量获取管理员权限
3.巩固控制
获取权限后清理痕迹
4.继续深入
查找数据安装后门，以便下一次攻击

第三步：攻击善后阶段
1.抹掉系统日志痕迹
2.安装探测器软件
3.监视系统流量
4.设置后门程序

五.网络攻击的分类
按攻击方式： 主动攻击：攻击者窃取他所需的信息，通常会改变数据的流动反向

            被动攻击：收集信息，攻击者不对信息做任何修改，也不改变数据的流动方向

按攻击特点： 信息收集型攻击

            访问型攻击
            Web攻击 
            拒绝服务类攻击
            恶意代码攻击
            缓冲区溢出类攻击
            基于社会工程学攻击

我们对攻击特点进行一逐一分析

1.信息收集性攻击:
地址扫描 （ping、tracert）
端口扫描（nmap、netcat）
OS探测（对坏数据包的响应推断OS类型）
漏洞扫描 （基于前三种扫描匹配漏洞库）
窃听（局域网内截获用户的数据包）
通信流量分析（对截获数据包分析获得消息格式，双方位置、身份、通信次数、消息长度、支付信息等）

2.访问型攻击:获得主机、网络访问权限后对信息进行获取 篡改等攻击行为
密码攻击
端口重定向
中间人攻击（会话劫持）

3.基于Web的攻击
SQL注入攻击 （在用户输入中 加入额外的特殊符号或者SQL语句，改变语句的执行时的查询条件，或者执行了攻击者输入的SQL语句）
跨站脚本攻击（攻击者在页面嵌入客户端脚本）
数据库入侵攻击（包括默认数据库、暴库下载、数据库弱密码连接）
文件上传漏洞攻击（攻击者把恶意代码，上传获取服务器权限）
ActiveX攻击（攻击者利用控件在用户端执行恶意代码）
4.拒绝服务类攻击
带宽攻击（指攻击者以极大的通信量冲击网络，使得所有可用网络资源被消耗殆尽，导致合法用户无法访问目的计算机）
连通性攻击（用大量的连接请求冲击目标计算机，使得目标计算机可用操作系统资源被耗光，使得接收到合法请求也无法提供服务）
分布式拒绝服务攻击（DDos）:采用分布式手段把多台计算机联合起来作为攻击平台，对一个或多个目标发起攻击，从而成倍提高拒绝服务攻击的威力

5.恶意代码类攻击
恶意代码:（故意编制或设置的、对网络或系统会产生威胁或者潜在威胁的计算机代码）
计算机病毒:（指编制或在计算机程序中插入的破坏计算机功能或者数据，能影响计算机使用，能自我复制的一组计算机指令或程序代码）
木马:（包括服务器端 被控制端及客户端）
蠕虫:（一种主要利用网络进行复制和传播的恶意代码）

6.缓冲区溢出类攻击
缓冲区溢出:计算机程序在使用内存（缓冲区）存储用户输入数据时，用户输入数据量超过了缓冲区大小，这使输入的数据占用已被分配的内存

7.社会工程学攻击
针对受害者自身的好奇心，信任、贪婪、心理弱点

六.稍微了解一些网络攻击事件
1.伊拉克战争中的网络战场
2.震网病毒
3.Cloudflare流量泄漏事件
4.亚马逊AWS服务器信息泄漏事件
5.美国核电站网络攻击事件
6.乌克兰电网攻击事件

七.网络安全模型（四个常见 考试必考）
1.PDR模型
包括（防护、检测、响应）三部分
保护时间（Pt）:从入侵开始到成功侵入系统的时间即攻击时间
检测时间（Dt）:表示从入侵者发动攻击开始到系统检测到攻击所用的时间
响应时间（Rt）:从系统检测到攻击行为开始，到系统启动处理措施,将系统调整到正常状态为止
系统暴露时间（Et）:指系统处理不安全状态的时间计系统检测到入侵到系统恢复正常状态所用的时间
PDR模型公式：
1.Pt>Dt+Rt
2.当且仅当Pt=0，Et=Dt+Rt
及时的检测和响应就是安全

2.P2DR模型
包括（策略、防护、检测、响应）四部分
策略:建立了所有与安全相关活动的一套规则，安全策略是整个模型的核心
防护:通过采用一些传统静态安全技术及方法实现
检测:采用主动出击的行为，检测用户异常行为
响应:发现攻击企图发起攻击时，系统及时反应

3.PDR2模型
包括（防护、检测、响应、恢复）四部分
防护:是PDR2模型中最重要的环节;打补丁、控制访问、数据加密等,预先阻止攻击发生的可能
检测:新漏洞、新攻击手段需要入侵监测系统进行监控和监测
响应;入侵发生后响应过程负责在安全处理指导下发现，阻断可以链接，杜绝可疑后门和漏洞，并启动报警信息
恢复:把系统恢复到响应的安全状态

3.WPDRC模型
包括（预警、防护、检测、响应、恢复、反击）六部分
增加三大要素（人员、策略、技术）