【吃透网络安全】2023软考网络管理员考点网络安全（二）网络攻击详解

涉及知识点

黑客的攻击手段介绍，常见的网络攻击，软考网络管理员常考知识点，软考网络管理员网络安全，网络管理员考点汇总。

后面还有更多续篇希望大家能给个赞哈，这边提供个快捷入口！

第一节网络管理员考点网络安全（1）之安全基础
第二节网络管理员考点网络安全（2）之网络攻击篇
第三节网络管理员考点网络安全（3）之系统评估篇
第四节网络管理员考点网络安全（4）之防火墙篇
第五节网络管理员考点网络安全（5）之包过滤篇

前言

更多续集可关注CSDN博主-《拄杖盲学轻声码》

涉及网络安全的问题很多，但最主要的问题还是人为攻击，黑客就是最具有代表性的一类群体。黑客的出现可以说是当今信息社会，尤其是在因特网互联全球的过程中，网络用户有目共睹、不容忽视的一个独特现象。黑客在世界各地四处出击，寻找机会袭击网络，几乎到了无孔不入的地步。有不少黑客袭击网络时并不是怀有恶意，他们多数情况下只是为了表现和证实自己在计算机方面的天分与才华，但也有一些黑客的网络袭击行为是有意地对网络进行破坏。

黑客的攻击你真的了解么？

黑客（Hacker）指那些利用技术手段进入其权限以外计算机系统的人。在虚拟的网络世界里，活跃着这批特殊的人，他们是真正的程序员，有过人的才能和乐此不疲的创造欲。技术的进步给了他们充分表现自我的天地，同时也使计算机网络世界多了一份灾难，一般人们把他们称之为黑客（Hacker）或骇客（Cracker），前者更多指的是具有反传统精神的程序员，后者更多指的是利用工具攻击别人的攻击者，具有明显贬义。但无论是黑客还是骇客，都是具备高超的计算机知识的人。目前世界最着名的黑客组织有美国的大屠杀2600（Genocide2600）、德国的混沌计算机俱乐部（ChaosComputerClub）、北美洲的地下兵团（TheLegionoftheUnderground）等。在国外，更多的黑客是无政府主义者、自由主义者，而在国内，大部分黑客表现为民族主义者。近年来，国内陆续出现了一些自发组织的黑客团体，有"中国鹰派"、“绿色兵团”、“中华黑客联盟"等，其中的典型代表是"中国红客网络安全技术联盟（HonkerUnionofChina）”,简称"H.U.C".其网址为www.cnhonker.com.
黑客的攻击手段多种多样
下面例举一些常见的形式：

一、口令入侵

所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机，然后再实施攻击活动。使用这种方法的前提是必须先得到该主机上的某个合法用户的账号，然后再进行合法用户口令的破译。通常黑客会利用一些系统使用习惯性的账号的特点，采用字典穷举法（或称暴力法）来破解用户的密码。由于破译过程由计算机程序来自动完成，因而几分钟到几个小时之间就可以把拥有几十万条记录的字典里所有单词都尝试一遍。其实黑客能够得到并破解主机上的密码文件，一般都是利用系统管理员的失误。在Unix操作系统中，用户的基本信息都存放在passwd文件中，而所有的口令则经过DES加密方法加密后专门存放在一个叫shadow的文件中。黑客们获取口令文件后，就会使用专门的破解DES加密法的程序来破解口令。同时，由于为数不少的操作系统都存在许多安全漏洞、Bug或一些其他设计缺陷，这些缺陷一旦被找出，黑客就可以长驱直入。例如，让Windows系统后门洞开的特洛伊木马程序就是利用了Windows的基本设计缺陷。采用中途截击的方法也是获取用户账户和密码的一条有效途径。因为很多协议没有采用加密或身份认证技术，如在Telnet、FTP、HTTP、SMTP等传输协议中，用户账户和密码信息都是以明文格式传输的，此时若攻击者利用数据包截取工具便可以很容易地收集到账户和密码。还有一种中途截击的攻击方法，它可以在您同服务器端完成"三次握手"建立连接之后，在通信过程中扮演"第三者"的角色，假冒服务器身份欺骗您，再假冒您向服务器发出恶意请求，其造成的后果不堪设想。另外，黑客有时还会利用软件和硬件工具时刻监视系统主机的工作，等待记录用户登录信息，从而取得用户密码，或者使用有缓冲区溢出错误的SUID程序来获得超级用户权限。

二、放置特洛伊木马程序

在古希腊人同特洛伊人的战争期间，古希腊人佯装撤退并留下一只内部藏有士兵的巨大木马，特洛伊人大意中计，将木马拖入特洛伊城。夜晚木马中的希腊士兵出来与城外战士里应外合，攻破了特洛伊城，特洛伊木马的名称也就由此而来。在计算机领域里，有一类特殊的程序，黑客通过它来远程控制别人的计算机，我们把这类程序称为特洛伊木马程序。从严格的定义来讲，凡是非法驻留在目标计算机里，在目标计算机系统启动的时候自动运行，并在目标计算机上执行一些事先约定的操作，比如窃取口令等，这类程序都可以称为特洛伊木马程序，即Trojans.
特洛伊木马程序一般分为服务器端（Server）和客户端（Client），服务器端是攻击者传到目标机器上的部分，用来在目标机上监听等待客户端连接过来。客户端是用来控制目标机器的部分，放在攻击者的机器上。
特洛伊木马（Trojans）程序常被伪装成工具程序或游戏，一旦用户打开了带有特洛伊木马程序的邮件附件或从网上直接下载，或执行了这些程序之后，当您连接到互联网上时，这个程序就会通知黑客您的IP地址及被预先设定的端口。黑客在收到这些资料后，再利用这个潜伏其中的程序，就可以恣意修改您的计算机设定、复制任何文件、窥视您整个硬盘内的资料等，从而达到控制您的计算机的目的。现在有许多这样的程序，国外的此类软件有BackOriffice、Netbus等，国内的此类软件有Netspy、YAI、SubSeven、冰河、"广外女生"等。

三、DoS攻击

DoS是DenialofService的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。连通性攻击是指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。
分布式拒绝服务（DDoS:DistributedDenialofService）攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

四、端口扫描

所谓端口扫描，就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端口是否处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。常用的扫描方式有：TCPconnect（）扫描、TCPSYN扫描、TCPFIN扫描、IP段扫描和FTP返回攻击等。
扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用扫描器你可以不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本。扫描器并不是一个直接的攻击网络漏洞的程序，它仅能发现目标主机的某些内在的弱点。一个好的扫描器能对它得到的数据进行分析，帮助用户查找目标主机的漏洞。但它不会提供进入一个系统的详细步骤。扫描器应该有三项功能：发现一个主机或网络的能力；一旦发现一台主机，有发现什么服务正运行在这台主机上的能力；通过测试这些服务，发现漏洞的能力。

五、网络监听

网络监听，在网络安全上一直是一个比较敏感的话题，作为一种发展比较成熟的技术，监听在协助网络管理员监测网络传输数据、排除网络故障等方面具有不可替代的作用，因而一直倍受网络管理员的青睐。然而，在另一方面网络监听也给以太网的安全带来了极大的隐患，许多的网络入侵往往都伴随着以太网内的网络监听行为，从而造成口令失窃，敏感数据被截获等等连锁性安全事件。
网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。此时若两台主机进行通信的信息没有加密，只要使用某些网络监听工具就可轻而易举地截取包括口令和账号在内的信息资料。 Sniffer是一个着名的监听工具，它可以监听到网上传输的所有信息。Sniffer可以是硬件也可以是软件，主要用来接收在网络上传输的信息。Sniffer可以使用在任何一种平台之中，在使用Sniffer时，极不容易被发现，它可以截获口令，也可以截获到本来是秘密的或者专用信道内的信息，例如信用卡号，经济数据，E-mail等等，甚至可以用来攻击与己相临的网络。在Sniffer中，还有"热心人"编写了它的Plugin,称为TOD杀手，可以将TCP的连接完全切断。总之，Sniffer是个非常危险的软件，应该引起人们的重视。

六、欺骗攻击

欺骗攻击是攻击者创造一个易于误解的上下文环境，以诱使受攻击者进入并且做出缺乏安全考虑的决策。欺骗攻击就象是一场虚拟游戏：攻击者在受攻击者的周围建立起一个错误但是令人信服的世界。如果该虚拟世界是真实的话，那么受攻击者所做的一切都是无可厚非的。但遗憾的是，在错误的世界中似乎是合理的活动可能会在现实的世界中导致灾难性的后果。常见的欺骗攻击有：

（1）Web欺骗。

Web欺骗允许攻击者创造整个www世界的影像拷贝。影像Web的入口进入到攻击者的Web服务器，经过攻击者机器的过滤作用，允许攻击者监控受攻击者的任何活动，包括账户和口令。攻击者也能以受攻击者的名义将错误或者易于误解的数据发送到真正的Web服务器，以及以任何Web服务器的名义发送数据给受攻击者。简而言之，攻击者观察和控制着受攻击者在Web上做的每一件事。

（2）ARP欺骗。

通常源主机在发送一个IP包之前，它要到该转换表中寻找和IP包对应的MAC地址。此时，若入侵者强制目的主机Down掉（比如发洪水包），同时把自己主机的IP地址改为合法目的主机的IP地址，然后他发一个ping（icmp0）给源主机，要求更新主机的ARP转换表，主机找到该IP,然后在ARP表中加入新的IP–>MAC对应关系。合法的目的主机失效了，入侵主机的MAC地址变成了合法的MAC地址。

（3）IP欺骗。

IP欺骗由若干步骤组成。首先，目标主机已经选定。其次，信任模式已被发现，并找到了一个被目标主机信任的主机。黑客为了进行IP欺骗，进行以下工作：使得被信任的主机丧失工作能力，同时采样目标主机发出的TCP序列号，猜测出它的数据序列号。然后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。如果成功，黑客可以使用一种简单的命令放置一个系统后门，以进行非授权操作。

七、电子邮件攻击

电子邮件攻击主要表现为向目标信箱发送电子邮件炸弹。所谓的邮件炸弹实质上就是发送地址不详且容量庞大的邮件垃圾。由于邮件信箱都是有限的，当庞大的邮件垃圾到达信箱的时候，就会把信箱挤爆。同时，由于它占用了大量的网络资源，常常导致网络塞车，它常发生在当某人或某公司的所作所为引起了某些黑客的不满时，黑客就会通过这种手段来发动进攻，以泄私愤。因为相对于其它的攻击手段来说，这种攻击方法具有简单、见效快等优点。此外，电子邮件欺骗也是黑客常用的手段。他们常会佯称自己是系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令有可能为指定的字符串）或在貌似正常的附件中加载病毒或某些特洛伊木马程序

八、涨薪支持区

期待大家能通过这篇文章学到更多，而且薪资一年更比一年猛！
喜欢博主的话可以上榜一探究竟，博主专设涨薪皇榜给大家查阅，喜欢的可以点击此处查看哟。

总结

更多备考资料大家可以关注csdn博主-《拄杖盲学轻声码》

以上就是今天要讲的内容，本文主要介绍了备考软考网络管理员的常见知识点（2）网络攻击模块，其实很多国家和企业都常年饱受网络攻击的，网络攻击这方面的东西在各行各业都是需要大家重视的内容，也期待大家逢考必过哈，2023年一起加油！！！