《信息安全案例教程：技術(shù)與應(yīng)用 教學(xué)課件作者 陳波 Ch6網(wǎng)絡(luò)系統(tǒng)安全 6-1網(wǎng)絡(luò)安全——黑客與網(wǎng)絡(luò)攻擊》由會員分享，可在線閱讀，更多相關(guān)《信息安全案例教程：技術(shù)與應(yīng)用 教學(xué)課件作者 陳波 Ch6網(wǎng)絡(luò)系統(tǒng)安全 6-1網(wǎng)絡(luò)安全——黑客與網(wǎng)絡(luò)攻擊（29頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊分析網(wǎng)絡(luò)攻擊分析南京師范大學(xué)計算機科學(xué)與技術(shù)學(xué)院南京師范大學(xué)計算機科學(xué)與技術(shù)學(xué)院南京師范大學(xué)計算機科學(xué)與技術(shù)學(xué)院南京師范大學(xué)計算機科學(xué)與技術(shù)學(xué)院陳 波本講要點：2v1.1.認識黑客認識黑客v2.2.網(wǎng)絡(luò)攻擊一般步驟網(wǎng)絡(luò)攻擊一般步驟v3.APT3.APT攻擊分析攻擊分析1.認識黑客v黑客（黑客（HackerHacker），源于英語動詞），源于英語動詞hackhack，意為，意為“劈，砍劈，砍”，也就意味著，也就意味著“辟出，開辟辟出，開辟”，進一步，進一步引申為引申為“干了一件非常漂亮的工作干了一件非常漂亮的工作”。v多數(shù)多數(shù)黑客對計算機非常著迷，對技術(shù)的局限性有黑客對計

2、算機非常著迷，對技術(shù)的局限性有充分認識，具有操作系統(tǒng)和編程語言方面的高級充分認識，具有操作系統(tǒng)和編程語言方面的高級知識，熱衷編程，查找漏洞，表現(xiàn)自我。他們不知識，熱衷編程，查找漏洞，表現(xiàn)自我。他們不斷追求更深的知識，并公開他們的發(fā)現(xiàn)，與其他斷追求更深的知識，并公開他們的發(fā)現(xiàn)，與其他人分享；主觀上沒有破壞數(shù)據(jù)的企圖人分享；主觀上沒有破壞數(shù)據(jù)的企圖。31.認識黑客v“黑客黑客”一一詞另一個含意是指對計算機系統(tǒng)詞另一個含意是指對計算機系統(tǒng)的非法的非法侵入者。侵入者。v美國警方把所有涉及美國警方把所有涉及到到“利用利用”、“借助借助”、“通通過過”或或“干擾干擾”計算機計算機的犯罪行為都定為的犯罪行為

3、都定為hackinghacking。vGA163-1997GA163-1997中華人民共和國公共安全行業(yè)標準中華人民共和國公共安全行業(yè)標準：對計算機信息系統(tǒng)進行非授權(quán)訪問的人員。：對計算機信息系統(tǒng)進行非授權(quán)訪問的人員。v“Cracker”Cracker”（破解者）、（破解者）、“Attacker”Attacker”（攻擊者）（攻擊者）等詞表示對計算機系統(tǒng)的侵害者。等詞表示對計算機系統(tǒng)的侵害者。41.認識黑客v目前黑客已成為一個廣泛的社會群體目前黑客已成為一個廣泛的社會群體。v在在西方有完全合法的黑客組織、黑客學(xué)會，這些西方有完全合法的黑客組織、黑客學(xué)會，這些黑客經(jīng)常召開黑客技術(shù)交流會黑客經(jīng)常召

4、開黑客技術(shù)交流會。v在在因特網(wǎng)上，黑客組織有公開網(wǎng)站，提供免費的因特網(wǎng)上，黑客組織有公開網(wǎng)站，提供免費的黑客工具軟件，介紹黑客手法，出版網(wǎng)上黑客雜黑客工具軟件，介紹黑客手法，出版網(wǎng)上黑客雜志和書籍，但是他們所有的行為都要在法律的框志和書籍，但是他們所有的行為都要在法律的框架下。架下。51.認識黑客v目前黑客已成為一個廣泛的社會群體目前黑客已成為一個廣泛的社會群體。6本講要點：7v1.1.認識黑客認識黑客v2.2.網(wǎng)絡(luò)攻擊一般步驟網(wǎng)絡(luò)攻擊一般步驟v3.APT3.APT攻擊分析攻擊分析2.網(wǎng)絡(luò)攻擊一般步驟v為什么？為什么？vv在因特網(wǎng)上的主機均有自己的網(wǎng)絡(luò)地址，因此在因特網(wǎng)上的主機均有自己的網(wǎng)絡(luò)地

5、址，因此攻擊者在實施攻擊活動時的首要步驟是設(shè)法隱攻擊者在實施攻擊活動時的首要步驟是設(shè)法隱藏自己所在的網(wǎng)絡(luò)位置，如藏自己所在的網(wǎng)絡(luò)位置，如IPIP地址和域名，這地址和域名，這樣使調(diào)查者難以發(fā)現(xiàn)真正的攻擊來源。樣使調(diào)查者難以發(fā)現(xiàn)真正的攻擊來源。v怎么做？怎么做？vv利用利用被侵入的主機（俗稱被侵入的主機（俗稱“肉雞肉雞”）作為跳板）作為跳板進行攻擊，這樣即使被發(fā)現(xiàn)了，也是進行攻擊，這樣即使被發(fā)現(xiàn)了，也是“肉雞肉雞”的的IPIP地址。地址。vv使用使用多級代理，這樣在被入侵主機上留下的是多級代理，這樣在被入侵主機上留下的是代理計算機的代理計算機的IPIP地址。地址。vv偽造偽造IPIP地址。地址。v

6、v假冒假冒用戶賬號。用戶賬號。隱藏攻擊源隱藏攻擊源隱藏攻擊源隱藏攻擊源82.網(wǎng)絡(luò)攻擊一般步驟v為什么？為什么？vv攻擊攻擊者搜集目標的信息，并進行者搜集目標的信息，并進行綜合、整理綜合、整理和分析后，能夠初步了解一個機構(gòu)的安全態(tài)和分析后，能夠初步了解一個機構(gòu)的安全態(tài)勢，并能夠據(jù)此擬定出一個攻擊方案勢，并能夠據(jù)此擬定出一個攻擊方案。v怎么做？怎么做？vv確定確定攻擊目標。攻擊目標。vv踩點。踩點。vv掃描。掃描。vv嗅嗅探探。vv視頻：頂級黑客米特尼克演示視頻：頂級黑客米特尼克演示視頻：頂級黑客米特尼克演示視頻：頂級黑客米特尼克演示無線無線無線無線網(wǎng)中嗅探銀行賬號網(wǎng)中嗅探銀行賬號網(wǎng)中嗅探銀行賬號

7、網(wǎng)中嗅探銀行賬號隱藏攻擊源隱藏攻擊源隱藏攻擊源隱藏攻擊源信息搜集信息搜集信息搜集信息搜集92.網(wǎng)絡(luò)攻擊一般步驟v為什么？為什么？vv一般賬戶對目標系統(tǒng)只有有限的訪問權(quán)限，要一般賬戶對目標系統(tǒng)只有有限的訪問權(quán)限，要達到某些攻擊目的，攻擊者只有得到系統(tǒng)或管達到某些攻擊目的，攻擊者只有得到系統(tǒng)或管理員權(quán)限，才能控制目標主機實施進一步的攻理員權(quán)限，才能控制目標主機實施進一步的攻擊擊。v怎么做？怎么做？vv系統(tǒng)口令系統(tǒng)口令猜測猜測vv種植木馬種植木馬vv會話會話劫持等劫持等隱藏攻擊源隱藏攻擊源隱藏攻擊源隱藏攻擊源信息搜集信息搜集信息搜集信息搜集掌握系統(tǒng)控掌握系統(tǒng)控掌握系統(tǒng)控掌握系統(tǒng)控制權(quán)制權(quán)制權(quán)制權(quán)10

8、2.網(wǎng)絡(luò)攻擊一般步驟v為什么？為什么？vv不同的攻擊者有不同的攻擊目的，無外乎是破不同的攻擊者有不同的攻擊目的，無外乎是破壞機密性、完整性和可用性等壞機密性、完整性和可用性等v怎么做？怎么做？vv下載下載、修改或刪除敏感信息。、修改或刪除敏感信息。vv攻擊攻擊其它被信任的主機和網(wǎng)絡(luò)。其它被信任的主機和網(wǎng)絡(luò)。vv癱瘓癱瘓網(wǎng)絡(luò)或服務(wù)。網(wǎng)絡(luò)或服務(wù)。vv其它其它非法活動。非法活動。隱藏攻擊源隱藏攻擊源隱藏攻擊源隱藏攻擊源信息搜集信息搜集信息搜集信息搜集掌握系統(tǒng)控掌握系統(tǒng)控掌握系統(tǒng)控掌握系統(tǒng)控制權(quán)制權(quán)制權(quán)制權(quán)實施攻擊實施攻擊實施攻擊實施攻擊112.網(wǎng)絡(luò)攻擊一般步驟v為什么？為什么？vv一次成功的入侵通常

9、要耗費攻擊者的大量時間一次成功的入侵通常要耗費攻擊者的大量時間與精力，所以精于算計的攻擊者在退出系統(tǒng)之與精力，所以精于算計的攻擊者在退出系統(tǒng)之前會在系統(tǒng)中安裝后門，以保持對已經(jīng)入侵主前會在系統(tǒng)中安裝后門，以保持對已經(jīng)入侵主機的長期控制。機的長期控制。v怎么做？怎么做？vv放寬放寬系統(tǒng)許可權(quán)。系統(tǒng)許可權(quán)。vv重新重新開放不安全的服務(wù)。開放不安全的服務(wù)。vv修改修改系統(tǒng)的配置，如系統(tǒng)啟動文件、網(wǎng)絡(luò)服務(wù)系統(tǒng)的配置，如系統(tǒng)啟動文件、網(wǎng)絡(luò)服務(wù)配置文件等。配置文件等。vv替換替換系統(tǒng)本身的共享庫文件。系統(tǒng)本身的共享庫文件。vv安裝安裝各種木馬，修改系統(tǒng)的源代碼。各種木馬，修改系統(tǒng)的源代碼。隱藏攻擊源隱藏攻

10、擊源隱藏攻擊源隱藏攻擊源信息搜集信息搜集信息搜集信息搜集掌握系統(tǒng)控掌握系統(tǒng)控掌握系統(tǒng)控掌握系統(tǒng)控制權(quán)制權(quán)制權(quán)制權(quán)實施攻擊實施攻擊實施攻擊實施攻擊安裝后門安裝后門安裝后門安裝后門122.網(wǎng)絡(luò)攻擊一般步驟v為什么？為什么？vv一次成功入侵之后，通常攻擊者的活動在被攻一次成功入侵之后，通常攻擊者的活動在被攻擊主機上的一些日志文檔中會有記載，如攻擊擊主機上的一些日志文檔中會有記載，如攻擊者的者的IPIP地址、入侵的時間以及進行的操作等等，地址、入侵的時間以及進行的操作等等，這樣很容易被管理員發(fā)現(xiàn)。為此，攻擊者往往這樣很容易被管理員發(fā)現(xiàn)。為此，攻擊者往往在入侵完畢后清除登錄日志等攻擊痕跡。在入侵完畢后清

11、除登錄日志等攻擊痕跡。v怎么做？怎么做？vv清除清除或篡改日志文件?；虼鄹娜罩疚募?。vv改變改變系統(tǒng)時間造成日志文件數(shù)據(jù)紊亂以迷惑系系統(tǒng)時間造成日志文件數(shù)據(jù)紊亂以迷惑系統(tǒng)管理員。統(tǒng)管理員。vv利用利用前面介紹的代理跳板隱藏真實的攻擊者和前面介紹的代理跳板隱藏真實的攻擊者和攻擊路徑。攻擊路徑。隱藏攻擊源隱藏攻擊源隱藏攻擊源隱藏攻擊源信息搜集信息搜集信息搜集信息搜集掌握系統(tǒng)控掌握系統(tǒng)控掌握系統(tǒng)控掌握系統(tǒng)控制權(quán)制權(quán)制權(quán)制權(quán)實施攻擊實施攻擊實施攻擊實施攻擊安裝后門安裝后門安裝后門安裝后門隱藏隱藏隱藏隱藏攻擊攻擊攻擊攻擊痕跡痕跡痕跡痕跡13本講要點：14v1.1.認識黑客認識黑客v2.2.網(wǎng)絡(luò)攻擊一般步

12、驟網(wǎng)絡(luò)攻擊一般步驟v3.APT3.APT攻擊分析攻擊分析3.APT攻擊分析15vv定義：定義：vv20112011年美國國家標準與技術(shù)研究院年美國國家標準與技術(shù)研究院NISTNIST發(fā)布了發(fā)布了SP800-39SP800-39管理信息安全風(fēng)險管理信息安全風(fēng)險，其中對，其中對APTAPT的定義為的定義為vv攻擊攻擊者掌握先進的專業(yè)知識和有效的資源，通過多種攻擊途者掌握先進的專業(yè)知識和有效的資源，通過多種攻擊途徑（如網(wǎng)絡(luò)、物理設(shè)施和欺騙等），在特定組織的信息技術(shù)徑（如網(wǎng)絡(luò)、物理設(shè)施和欺騙等），在特定組織的信息技術(shù)基礎(chǔ)設(shè)施建立并轉(zhuǎn)移立足點，以竊取機密信息，破壞或阻礙基礎(chǔ)設(shè)施建立并轉(zhuǎn)移立足點，以竊取機

13、密信息，破壞或阻礙任務(wù)、程序或組織的關(guān)鍵系統(tǒng)，或者駐留在組織的內(nèi)部網(wǎng)絡(luò)，任務(wù)、程序或組織的關(guān)鍵系統(tǒng)，或者駐留在組織的內(nèi)部網(wǎng)絡(luò)，進行后續(xù)攻擊。進行后續(xù)攻擊。3.APT攻擊分析16vv定義：定義：vv可以從可以從“A”A”、“P”P”、“T”T”三個方面來理解三個方面來理解NISTNIST對對APTAPT的的定義定義:vv1 1）A A（AdvancedAdvanced）：技術(shù)高級）：技術(shù)高級。vv2 2）P P（PersistentPersistent）：持續(xù)時間長）：持續(xù)時間長。vv3 3）T T（ThreatThreat）：威脅性大）：威脅性大。3.APT攻擊分析17vvAPTAPT攻擊產(chǎn)生

14、的背景：攻擊產(chǎn)生的背景：vv1 1）APTAPT攻擊成為國家層面信息對抗的需求。攻擊成為國家層面信息對抗的需求。當前，國際形勢正經(jīng)歷當前，國際形勢正經(jīng)歷“冷戰(zhàn)冷戰(zhàn)”結(jié)束以來最為深刻復(fù)雜的變化。金結(jié)束以來最為深刻復(fù)雜的變化。金融危機以來的世界形勢如同二十世紀初一樣，出現(xiàn)新一輪的動蕩不融危機以來的世界形勢如同二十世紀初一樣，出現(xiàn)新一輪的動蕩不安，全球經(jīng)濟復(fù)蘇緩慢，西亞北非政局動蕩，軍備競賽愈演愈烈。安，全球經(jīng)濟復(fù)蘇緩慢，西亞北非政局動蕩，軍備競賽愈演愈烈。各國展開了政治、經(jīng)濟、文化、軍事和科技全方位的較量。各國展開了政治、經(jīng)濟、文化、軍事和科技全方位的較量。如今，各國的關(guān)鍵部門、重要產(chǎn)業(yè)等經(jīng)濟社會

15、領(lǐng)域，正在被互聯(lián)網(wǎng)如今，各國的關(guān)鍵部門、重要產(chǎn)業(yè)等經(jīng)濟社會領(lǐng)域，正在被互聯(lián)網(wǎng)聯(lián)成一體，形成各個國家的聯(lián)成一體，形成各個國家的“關(guān)鍵性基礎(chǔ)設(shè)施關(guān)鍵性基礎(chǔ)設(shè)施”，包括政務(wù)、電力、，包括政務(wù)、電力、交通、能源、通信、航空、金融、傳媒、軍事等領(lǐng)域的網(wǎng)絡(luò)系統(tǒng)。交通、能源、通信、航空、金融、傳媒、軍事等領(lǐng)域的網(wǎng)絡(luò)系統(tǒng)。因而，各國都十分看重網(wǎng)絡(luò)空間的跨國屬性和戰(zhàn)略價值。國家之間因而，各國都十分看重網(wǎng)絡(luò)空間的跨國屬性和戰(zhàn)略價值。國家之間的對抗也由原來的軍事對抗轉(zhuǎn)變?yōu)樾畔?；國家之間的打擊也從的對抗也由原來的軍事對抗轉(zhuǎn)變?yōu)樾畔梗粐抑g的打擊也從傳統(tǒng)的物理打擊變?yōu)槿缃駭?shù)字戰(zhàn)場。在這些復(fù)雜因素的驅(qū)動下，傳統(tǒng)

16、的物理打擊變?yōu)槿缃駭?shù)字戰(zhàn)場。在這些復(fù)雜因素的驅(qū)動下，APTAPT攻擊成為國家層面信息對抗的需求。攻擊成為國家層面信息對抗的需求。3.APT攻擊分析18vvAPTAPT攻擊產(chǎn)生的背景：攻擊產(chǎn)生的背景：vv2 2）社交網(wǎng)絡(luò)的廣泛應(yīng)用為）社交網(wǎng)絡(luò)的廣泛應(yīng)用為APTAPT攻擊提供了可能。攻擊提供了可能。社交網(wǎng)絡(luò)正在從根本上改變我們辦公、交友、生活的方式，它消除社交網(wǎng)絡(luò)正在從根本上改變我們辦公、交友、生活的方式，它消除了由網(wǎng)絡(luò)設(shè)備形成的有形邊界，成為跨越傳統(tǒng)網(wǎng)絡(luò)安全邊界的無形了由網(wǎng)絡(luò)設(shè)備形成的有形邊界，成為跨越傳統(tǒng)網(wǎng)絡(luò)安全邊界的無形通道通道。Carl Carl TimmTimm在在20102010年出版

17、的年出版的Seven Deadliest Social Seven Deadliest Social Network AttacksNetwork Attacks一書中詳細分析了社交網(wǎng)絡(luò)的七大威脅：社一書中詳細分析了社交網(wǎng)絡(luò)的七大威脅：社交網(wǎng)絡(luò)基礎(chǔ)設(shè)施攻擊、惡意軟件攻擊、釣魚攻擊、冒充攻擊、身份交網(wǎng)絡(luò)基礎(chǔ)設(shè)施攻擊、惡意軟件攻擊、釣魚攻擊、冒充攻擊、身份竊取、網(wǎng)上欺凌、物理威脅竊取、網(wǎng)上欺凌、物理威脅；著名著名的網(wǎng)絡(luò)安全公司的網(wǎng)絡(luò)安全公司Blue CoatBlue Coat在在20112011年發(fā)布的年發(fā)布的Web Security Web Security ReportReport中列出了社交

18、網(wǎng)絡(luò)中存在的一些潛在威脅：動態(tài)鏈接、中列出了社交網(wǎng)絡(luò)中存在的一些潛在威脅：動態(tài)鏈接、釣魚攻擊、點擊劫持、數(shù)據(jù)泄露。社交網(wǎng)絡(luò)通過廣泛存在的社交交釣魚攻擊、點擊劫持、數(shù)據(jù)泄露。社交網(wǎng)絡(luò)通過廣泛存在的社交交友關(guān)系，為友關(guān)系，為APTAPT攻擊搜集信息、持續(xù)滲透提供了可能。攻擊搜集信息、持續(xù)滲透提供了可能。3.APT攻擊分析19vvAPTAPT攻擊產(chǎn)生的背景：攻擊產(chǎn)生的背景：vv3 3）復(fù)雜脆弱的）復(fù)雜脆弱的ITIT環(huán)境還沒有做好應(yīng)對的準備，造成環(huán)境還沒有做好應(yīng)對的準備，造成APTAPT攻攻擊事件頻發(fā)。擊事件頻發(fā)。傳統(tǒng)的網(wǎng)絡(luò)安全防御雖然在網(wǎng)絡(luò)安全邊界、可信內(nèi)網(wǎng)、終端等關(guān)鍵傳統(tǒng)的網(wǎng)絡(luò)安全防御雖然在網(wǎng)絡(luò)安

19、全邊界、可信內(nèi)網(wǎng)、終端等關(guān)鍵區(qū)域構(gòu)建了分層的防御體系，并且建立了風(fēng)險評估、攻擊防護、入?yún)^(qū)域構(gòu)建了分層的防御體系，并且建立了風(fēng)險評估、攻擊防護、入侵檢測、響應(yīng)恢復(fù)等動態(tài)安全機制，但是防護的整體性一直沒有達侵檢測、響應(yīng)恢復(fù)等動態(tài)安全機制，但是防護的整體性一直沒有達到應(yīng)對不斷變化安全威脅的需求到應(yīng)對不斷變化安全威脅的需求。此外此外，目前公司復(fù)雜的網(wǎng)絡(luò)環(huán)境、大量有漏洞的應(yīng)用軟件，使得攻，目前公司復(fù)雜的網(wǎng)絡(luò)環(huán)境、大量有漏洞的應(yīng)用軟件，使得攻擊者更加容易找到薄弱環(huán)節(jié)和安全漏洞，再加上員工普遍使用智能擊者更加容易找到薄弱環(huán)節(jié)和安全漏洞，再加上員工普遍使用智能終端和社交應(yīng)用，為攻擊者提供了多種攻擊途徑。終端和

20、社交應(yīng)用，為攻擊者提供了多種攻擊途徑。3.APT攻擊分析20vvAPTAPT攻擊一般過程攻擊一般過程：vv1 1）信息偵查）信息偵查：vv在在入侵之前，攻擊者首先入侵之前，攻擊者首先會會使用使用技術(shù)和社會工程學(xué)技術(shù)和社會工程學(xué)手段手段對對特定目標進行偵查特定目標進行偵查。vv偵查偵查內(nèi)容主要包括兩個方面，一是對目標網(wǎng)絡(luò)用戶的信息收集，例內(nèi)容主要包括兩個方面，一是對目標網(wǎng)絡(luò)用戶的信息收集，例如高層領(lǐng)導(dǎo)、系統(tǒng)管理員或者普通職員等員工資料、系統(tǒng)管理制度、如高層領(lǐng)導(dǎo)、系統(tǒng)管理員或者普通職員等員工資料、系統(tǒng)管理制度、系統(tǒng)業(yè)務(wù)流程和使用情況等關(guān)鍵信息系統(tǒng)業(yè)務(wù)流程和使用情況等關(guān)鍵信息；vv二二是對目標網(wǎng)絡(luò)脆

21、弱點的信息收集，例如軟件版本、開放端口等。是對目標網(wǎng)絡(luò)脆弱點的信息收集，例如軟件版本、開放端口等。隨后，攻擊者針對目標系統(tǒng)的脆弱點，研究隨后，攻擊者針對目標系統(tǒng)的脆弱點，研究0 day0 day漏洞、定制木馬程漏洞、定制木馬程序、制訂攻擊計劃，用于在下一階段實施精確攻擊。序、制訂攻擊計劃，用于在下一階段實施精確攻擊。一般用戶一般用戶一般用戶一般用戶特權(quán)用戶特權(quán)用戶特權(quán)用戶特權(quán)用戶關(guān)關(guān)關(guān)關(guān) 鍵鍵鍵鍵 信信信信息資產(chǎn)息資產(chǎn)息資產(chǎn)息資產(chǎn)1 1 信息偵查信息偵查信息偵查信息偵查1 1 信息偵查信息偵查信息偵查信息偵查3.APT攻擊分析21vvAPTAPT攻擊一般過程攻擊一般過程：vv2 2）持續(xù)滲透：

22、）持續(xù)滲透：vv利用利用目標人員的疏忽、不執(zhí)行安全規(guī)范，以及利用系統(tǒng)應(yīng)目標人員的疏忽、不執(zhí)行安全規(guī)范，以及利用系統(tǒng)應(yīng)用程序、網(wǎng)絡(luò)服務(wù)或主機的漏洞，攻擊者使用定制木馬用程序、網(wǎng)絡(luò)服務(wù)或主機的漏洞，攻擊者使用定制木馬等手段不斷滲透以潛伏在目標系統(tǒng)，進一步地在避免用等手段不斷滲透以潛伏在目標系統(tǒng)，進一步地在避免用戶覺察的條件下取得網(wǎng)絡(luò)核心設(shè)備的控制權(quán)戶覺察的條件下取得網(wǎng)絡(luò)核心設(shè)備的控制權(quán)。一般用戶一般用戶一般用戶一般用戶特權(quán)用戶特權(quán)用戶特權(quán)用戶特權(quán)用戶關(guān)關(guān)關(guān)關(guān) 鍵鍵鍵鍵 信信信信息資產(chǎn)息資產(chǎn)息資產(chǎn)息資產(chǎn)1 1 信息偵查信息偵查信息偵查信息偵查1 1 信息偵查信息偵查信息偵查信息偵查2 2 持續(xù)滲透持

23、續(xù)滲透持續(xù)滲透持續(xù)滲透2 2 持續(xù)滲透持續(xù)滲透持續(xù)滲透持續(xù)滲透3.APT攻擊分析22vvAPTAPT攻擊一般過程攻擊一般過程：vv3 3）長期潛伏：）長期潛伏：vv為了為了獲取有價值信息，攻擊者一般會在目標網(wǎng)絡(luò)長期潛伏，獲取有價值信息，攻擊者一般會在目標網(wǎng)絡(luò)長期潛伏，有的達數(shù)年之久有的達數(shù)年之久。vv潛伏期潛伏期間，攻擊者還會在已控制的主機上安裝各種木馬、間，攻擊者還會在已控制的主機上安裝各種木馬、后門，不斷提高惡意軟件的復(fù)雜度，以增強攻擊能力并后門，不斷提高惡意軟件的復(fù)雜度，以增強攻擊能力并避開安全檢測。避開安全檢測。一般用戶一般用戶一般用戶一般用戶特權(quán)用戶特權(quán)用戶特權(quán)用戶特權(quán)用戶關(guān)關(guān)關(guān)關(guān)

24、鍵鍵鍵鍵 信信信信息資產(chǎn)息資產(chǎn)息資產(chǎn)息資產(chǎn)1 1 信息偵查信息偵查信息偵查信息偵查1 1 信息偵查信息偵查信息偵查信息偵查2 2 持續(xù)滲透持續(xù)滲透持續(xù)滲透持續(xù)滲透2 2 持續(xù)滲透持續(xù)滲透持續(xù)滲透持續(xù)滲透3 3 長期潛伏長期潛伏長期潛伏長期潛伏3 3 長期潛伏長期潛伏長期潛伏長期潛伏3.APT攻擊分析23vvAPTAPT攻擊一般過程攻擊一般過程：vv4 4）竊取信息：）竊取信息：vv目前目前絕大部分絕大部分APTAPT攻擊的目的都是為了竊取目標組織的攻擊的目的都是為了竊取目標組織的機密信息機密信息。一般用戶一般用戶一般用戶一般用戶特權(quán)用戶特權(quán)用戶特權(quán)用戶特權(quán)用戶關(guān)關(guān)關(guān)關(guān) 鍵鍵鍵鍵 信信信信息資產(chǎn)

25、息資產(chǎn)息資產(chǎn)息資產(chǎn)1 1 信息偵查信息偵查信息偵查信息偵查1 1 信息偵查信息偵查信息偵查信息偵查2 2 持續(xù)滲透持續(xù)滲透持續(xù)滲透持續(xù)滲透2 2 持續(xù)滲透持續(xù)滲透持續(xù)滲透持續(xù)滲透3 3 長期潛伏長期潛伏長期潛伏長期潛伏3 3 長期潛伏長期潛伏長期潛伏長期潛伏4 4 竊取信息竊取信息竊取信息竊取信息3.APT攻擊分析24vvAPTAPT攻擊與傳統(tǒng)攻擊比較攻擊與傳統(tǒng)攻擊比較：描述描述描述描述屬性屬性屬性屬性APTAPT攻擊攻擊攻擊攻擊傳統(tǒng)攻擊傳統(tǒng)攻擊傳統(tǒng)攻擊傳統(tǒng)攻擊WhoWho攻擊者攻擊者攻擊者攻擊者資金充足、有組織、有背景資金充足、有組織、有背景資金充足、有組織、有背景資金充足、有組織、有背景的

26、黑客團隊的黑客團隊的黑客團隊的黑客團隊大范圍尋找目標大范圍尋找目標大范圍尋找目標大范圍尋找目標WhatWhat目標對象目標對象目標對象目標對象國家重要基礎(chǔ)設(shè)施，重點組國家重要基礎(chǔ)設(shè)施，重點組國家重要基礎(chǔ)設(shè)施，重點組國家重要基礎(chǔ)設(shè)施，重點組織和人物織和人物織和人物織和人物在線用戶在線用戶在線用戶在線用戶目標數(shù)據(jù)目標數(shù)據(jù)目標數(shù)據(jù)目標數(shù)據(jù)價值很高的電子資產(chǎn)，如知價值很高的電子資產(chǎn)，如知價值很高的電子資產(chǎn)，如知價值很高的電子資產(chǎn)，如知識產(chǎn)權(quán)、國家安全數(shù)據(jù)、商識產(chǎn)權(quán)、國家安全數(shù)據(jù)、商識產(chǎn)權(quán)、國家安全數(shù)據(jù)、商識產(chǎn)權(quán)、國家安全數(shù)據(jù)、商業(yè)機密等業(yè)機密等業(yè)機密等業(yè)機密等信用卡數(shù)據(jù)、個人信信用卡數(shù)據(jù)、個人信信用卡

27、數(shù)據(jù)、個人信信用卡數(shù)據(jù)、個人信息等息等息等息等WhyWhy目的目的目的目的提升國家的戰(zhàn)略優(yōu)勢，操作提升國家的戰(zhàn)略優(yōu)勢，操作提升國家的戰(zhàn)略優(yōu)勢，操作提升國家的戰(zhàn)略優(yōu)勢，操作市場，摧毀關(guān)鍵設(shè)施等市場，摧毀關(guān)鍵設(shè)施等市場，摧毀關(guān)鍵設(shè)施等市場，摧毀關(guān)鍵設(shè)施等獲獲獲獲得得得得經(jīng)經(jīng)經(jīng)經(jīng)濟濟濟濟利利利利益益益益，身身身身份份份份竊取等竊取等竊取等竊取等HowHow手段手段手段手段深入調(diào)查研究公司員工信息、深入調(diào)查研究公司員工信息、深入調(diào)查研究公司員工信息、深入調(diào)查研究公司員工信息、商業(yè)業(yè)務(wù)和網(wǎng)絡(luò)拓撲，攻擊商業(yè)業(yè)務(wù)和網(wǎng)絡(luò)拓撲，攻擊商業(yè)業(yè)務(wù)和網(wǎng)絡(luò)拓撲，攻擊商業(yè)業(yè)務(wù)和網(wǎng)絡(luò)拓撲，攻擊終端用戶和終端設(shè)備終端用戶和終端

28、設(shè)備終端用戶和終端設(shè)備終端用戶和終端設(shè)備傳傳傳傳統(tǒng)統(tǒng)統(tǒng)統(tǒng)技技技技術(shù)術(shù)術(shù)術(shù)手手手手段段段段，重重重重點點點點攻擊安全邊界攻擊安全邊界攻擊安全邊界攻擊安全邊界工具工具工具工具針對目標漏洞定制攻擊工具針對目標漏洞定制攻擊工具針對目標漏洞定制攻擊工具針對目標漏洞定制攻擊工具常用掃描工具、木馬常用掃描工具、木馬常用掃描工具、木馬常用掃描工具、木馬0day0day攻擊攻擊攻擊攻擊使用使用使用使用普遍普遍普遍普遍極少極少極少極少遇到阻力遇到阻力遇到阻力遇到阻力構(gòu)造新的方法或工具構(gòu)造新的方法或工具構(gòu)造新的方法或工具構(gòu)造新的方法或工具轉(zhuǎn)到其它脆弱機器轉(zhuǎn)到其它脆弱機器轉(zhuǎn)到其它脆弱機器轉(zhuǎn)到其它脆弱機器3.APT攻擊

29、分析vvAPTAPT攻擊與傳統(tǒng)攻擊比較攻擊與傳統(tǒng)攻擊比較：vv通過表通過表6-16-1的比較可以更加清晰地認識的比較可以更加清晰地認識APTAPT攻擊的兩個顯攻擊的兩個顯著特點：著特點：vv1 1）目標明確）目標明確：攻擊者一般在攻擊之前會有明確的攻擊目：攻擊者一般在攻擊之前會有明確的攻擊目標，這里的目標主要包括兩個方面標，這里的目標主要包括兩個方面，一一是組織目標，如針對某個特定行業(yè)或某國政府的重是組織目標，如針對某個特定行業(yè)或某國政府的重要基礎(chǔ)設(shè)施要基礎(chǔ)設(shè)施；二二是行動目標，例如竊取機密信息或是破壞關(guān)鍵系統(tǒng)。是行動目標，例如竊取機密信息或是破壞關(guān)鍵系統(tǒng)。253.APT攻擊分析vvAPTAP

30、T攻擊與傳統(tǒng)攻擊比較攻擊與傳統(tǒng)攻擊比較：vv通過表通過表6-16-1的比較可以更加清晰地認識的比較可以更加清晰地認識APTAPT攻擊的兩個顯攻擊的兩個顯著特點：著特點：vv2 2）手段多樣）手段多樣：攻擊攻擊者在信息偵查階段主要采用社會工程學(xué)方法，會花較長時間者在信息偵查階段主要采用社會工程學(xué)方法，會花較長時間深入調(diào)查公司員工、業(yè)務(wù)流程、網(wǎng)絡(luò)拓撲等基本信息，通過社交深入調(diào)查公司員工、業(yè)務(wù)流程、網(wǎng)絡(luò)拓撲等基本信息，通過社交網(wǎng)絡(luò)收集目標或目標好友的聯(lián)系方式、行為習(xí)慣、業(yè)余愛好、計網(wǎng)絡(luò)收集目標或目標好友的聯(lián)系方式、行為習(xí)慣、業(yè)余愛好、計算機配置等基本信息，以及分析目標系統(tǒng)的漏洞算機配置等基本信息，以

31、及分析目標系統(tǒng)的漏洞；在在持續(xù)滲透階段，攻擊者會開發(fā)相應(yīng)的漏洞利用工具，尤其是針持續(xù)滲透階段，攻擊者會開發(fā)相應(yīng)的漏洞利用工具，尤其是針對對0 day0 day安全漏洞的利用工具，而針對安全漏洞的利用工具，而針對0 day0 day漏洞的攻擊是很難漏洞的攻擊是很難防范的防范的；在在竊取信息階段，攻擊者會運用先進的隱藏和加密技術(shù)，在被控竊取信息階段，攻擊者會運用先進的隱藏和加密技術(shù)，在被控制的主機長期潛伏，并通過隱秘信道向外傳輸數(shù)據(jù)，從而不易被制的主機長期潛伏，并通過隱秘信道向外傳輸數(shù)據(jù)，從而不易被管理員和安全軟件發(fā)現(xiàn)管理員和安全軟件發(fā)現(xiàn)。26本講要點：27v1.1.認識黑客認識黑客v2.2.網(wǎng)絡(luò)

32、攻擊一般步驟網(wǎng)絡(luò)攻擊一般步驟v3.APT3.APT攻擊分析攻擊分析推薦閱讀：28知己知彼，百戰(zhàn)不殆知己知彼，百戰(zhàn)不殆知己知彼，百戰(zhàn)不殆知己知彼，百戰(zhàn)不殆不知彼而知己，一勝一負不知彼而知己，一勝一負不知彼而知己，一勝一負不知彼而知己，一勝一負不知彼，不知己，每戰(zhàn)必殆不知彼，不知己，每戰(zhàn)必殆不知彼，不知己，每戰(zhàn)必殆不知彼，不知己，每戰(zhàn)必殆 孫子兵法孫子兵法孫子兵法孫子兵法本講思考與練習(xí)29v簡答：簡答：v1.1.1.1.黑客黑客黑客黑客攻擊的一般步驟包括哪些？各個步驟的主要工攻擊的一般步驟包括哪些？各個步驟的主要工攻擊的一般步驟包括哪些？各個步驟的主要工攻擊的一般步驟包括哪些？各個步驟的主要工作是什么作是什么作是什么作是什么？v2.2.2.2.什么什么什么什么是是是是APTAPTAPTAPT攻擊？什么是攻擊？什么是攻擊？什么是攻擊？什么是0 day0 day0 day0 day攻擊？搜集攻擊？搜集攻擊？搜集攻擊？搜集0 day0 day0 day0 day攻攻攻攻擊和擊和擊和擊和APTAPTAPTAPT攻擊的一些案例攻擊的一些案例攻擊的一些案例攻擊的一些案例。v更多資源請訪問南京師范大學(xué)信息化教學(xué)網(wǎng)更多資源請訪問南京師范大學(xué)信息化教學(xué)網(wǎng)本課程本課程主頁主頁