网络攻击

物联网安全威胁与解决方案调研 ժҪ ：物联网（Internet of Things）被人们视为信息技术产业发展的第三次革命，被广泛应用于工业、商业、农业以及智能交通、智能家居、智能物流、智能安防、智慧能源等各个领域。早在2009年，欧美等发达国家就将物联网视为未来发展的重要领域，并纷纷提出物联网发展的战略、规划、核心技术及产业重点，我国相关政府部门也对有关问题迅速做出了部署，尤其在近几年，国务院、工信部和发改委发布了一系列主要政策以加强推动物联网产业的发展。但是，其快速发展的同时也存在着严重的安全威胁。文章通过对物联网组成架构、特性及关键技术进行阐述，从感知层、传输层、应用层对物联网所存在的安全威胁进行分析，并在关键技术、政策法规、管理标准等方面总结提出一些解决方案。 关键词：物联网、安全威胁、应对措施、传感器网络、智慧城市 一、引言： 自1995年比尔盖茨在《未来之路》一书中首次提及物联网的概念以来，直到现在也还没有一个被各界广泛接受的定义，各个国家和地区对物联网的争议很大，我国对物联网的定义是：物联网是指通过信息传感设备，按照约定的协议，把任何物品与互联网连接起来，进行信息交换和通信，以实现智能化识别、跟踪、定位、监控和管理。物联网以感知层、网络层和应用层为基本构架，是一个建立在互联网基础上的泛在网络，它通过各种有线和无线网络，实现人与物、物与物的互联通信和实时智能管理控制

渗透测试简介： 渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。 渗透测试流程： 测试范围确定->测试时间确定->可接受的测试底线->信息收集->漏洞发现->漏洞利用->后渗透测试->文档编写 PTES标准渗透测试流程 ： 前期交互阶段->情报收集阶段->威胁建模阶段->漏洞分析阶段->渗透攻击阶段->后渗透攻击阶段->撰写报告阶段 WEB应用渗透测试流程 ： 洛克希德・马丁定义的“杀伤链”（网络杀伤链）： 侦查跟踪：攻击者搜寻目标的弱点，具体手段如收集钓鱼攻击用的登陆凭证和信息 武器构建：使用漏洞和后门制作一个可以发送武器的载体 载荷投递：将网络武器包向目标投递，如发送一封带有恶意链接的欺诈邮件 漏洞利用：在受害者的系统上运行利用代码 安装植入：在目标位置安装恶意软件 命令和控制:为攻击者建立可远程控制目标系统的路径 目标达成：攻击者远程完成其预期目标 APT攻击（高级持续性威胁） ：指的是由攻击者准备的高级攻击行动，这里不包括一般的攻击行为，例如网站挂马、加外链等；任何APT攻击的基本原则包括详细的准备和逐步战略，在这里，我们将APT攻击所设计的阶段的序列（称为杀伤链）。 杀伤链的相关步骤： 侦察阶段->工具选择（武器化阶段）->钓鱼阶段->载荷投递阶段->感染阶段->内网移动阶段->目标行动阶段 网络杀伤链攻击流程： 科来 ：信息收集->网络入侵

信任管理是零信任网络的一个重要功能。人们对信任这个概念并不陌生，比如，你会信任自己的家人，但不会信任大街上的陌生人，当然更不可能信任面露凶相的陌生人。为什么会这样？信任是如何产生的? 首先，你确实了解自己的家人。你知道他们长什么样子，住在哪里，你并不会怀疑他们的身份，在重要的事情上你会更加相信自己的家人而不是陌生人。 反之，陌生人对你来说则是完全未知的。你也许见过他们的长相，知道他们的一些基本信息，但却不知道他们住在哪里，也不了解他们的过往。有的陌生人或许看上去很不错，但你也肯定不会在重要的事情上相信他们。比如说，你也许会在去洗手间的时候请陌生人帮你照看物品，但是肯定不会请陌生人帮你在ATM上取钱。 最终，你只是简单地把所有能够辨识的环境、与陌生人相关的所有信息等，都纳入考虑的范围，然后判断他们的可信度有多高。ATM取钱这样的任务需要非常高的信任等级，而帮助你看管物品所需要的信任等级则低得多，当然也不会低到信任等级为零。 在某些情况下，人们甚至可能连自己都无法完全信任，但是至少可以确信所采取的行动的确是自己所为。因此，零信任网络中的信任往往源自系统管理员。“零信任网络中的信任”这句话听上去似乎有些自相矛盾，但是理解这一点却非常重要：如果不存在与生俱来的信任，那么就必须从某个地方产生信任并小心地管理它。 这里还有一个小问题：系统管理员并不是总能有机会进行授权和授予信任！另外

1、网络异常行为 ――流量突发 （1）大数据传输（P2P，迅雷）（2）配置问题（路由环路、交换环路）（3）病毒爆发 （4）操作系统或应用程序错误 （5）网络设备故障 （6）蠕虫传播 （7） 木马/僵尸网络 （8）DOS攻击 （9） 渗透攻击 2、蠕虫传播分析 蠕虫是通过网络主动复制自己传播的程序。 蠕虫传播途径 邮件糯虫――Loveletter 即时通漏洞――MSN/Worm.MM 操作系统或应用网络漏洞――CodeRed,Nimda 行为特点 ： 网络层：大量主机会话，大多是发包，每个会话流量很少。 会话层：会话连接很多，大多是SYN包，大部分没有响应或被拒绝。 总体流量不一定很大，但发包远大于收包数量。 蠕虫传播 ： 3、木马和僵尸网络分析方法 木马 =》道高一尺，魔高一丈 特征 ：可疑域名被频繁解析 僵尸网络 特征 ：利用大量域名《= 有算法计算特征,规避特征库 域名选择：动态域名、成本低、三不管顶级域名 常见的域名：*.cc *.ws *.info *.do 4、Dos攻击检测分析方法 分布式拒绝服务攻击是当前黑客采取的一个重要手段,一般通过向互联网的一些重要系统(如:金融网站、政府网站发出大量数据包,使目标主机无法向外提供正常服务。常见方式 （1）简单的单机洪水攻击方式。 （2）集中大量僵尸主机发动分布式攻击。(DDOS攻击) 常见攻击方法 ： （1）网络带宽资源耗尽型

本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。 （1）简单应用SET工具建立冒名网站 （1分） （2）ettercap DNS spoof （1分） （3）结合应用两种技术，用DNS spoof引导特定访问到冒名网站。（1.5分） （4）请勿使用外部网站做实验 通常在什么场景下容易受到DNS spoof攻击 自我感觉在同一局域网下、在同一网段下或在公共网络下，攻击者修改DNS缓存表达到DNS欺骗的目的 在日常生活中如何防范以上两种攻击方法？ 不要乱连不明的Wifi，不乱点开不明的链接 或者说，及时给DNS服务器软件打补丁，避免被不法分子用DNS欺骗攻击。 DNS DNS即Domain Name System,，域名系统以分布数据库的形式将域名和IP地址相互转换。 DNS协议即域名解析协议，是用来解析域名的。有了DNS我们就不需要再记住烦人的IP地址，用相对好记的域名就可以对服务器进行访问，即使服务器更换地址，我们依旧可以通过域名访问该服务器，这样能够使我们更方便地访问互联网。 原理：DNS欺骗是一种以中间人攻击的形式，它是攻击者冒充域名服务器的一种欺骗行为。攻击者通常冒充服务器，把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页了，而不是用户想要看到的网页。 防范：DNS欺骗攻击是很难防御的，因为这种攻击大多数本质都是被动的

0x00 APT的历史起源背景 APT通常是指一个组织，甚至可能一个政府支持下的组织，因为APT团体是一个既有能力也有意向持续而有效地进行攻击的实体。所以APT通常用来指网络威胁，特别是使用互联网进行间谍活动，利用各种情报搜集技术来获取敏感信息，但同样适用于诸如传统间谍活动或攻击等其他威胁。其他公认的攻击媒介包括受感染的媒体，供应链和社会工程。这些攻击的目的是将自定义的恶意代码放在一台或多台计算机上执行特定的任务，并在最长的时间内不被发现。了解攻击者文件（如文件名称）可帮助专业人员进行全网搜索，以收集所有受影响的系统。个人，如个人黑客，通常不被称为APT，因为即使他们意图获得或攻击特定目标，他们也很少拥有先进和持久的资源。 0x01 APT攻击定义 APT攻击（Advanced Persistent Threat，高级持续性威胁）是指组织(特别是政府)或者小团体利用当下先进的攻击手法对特定目标进行长期持续性的网络攻击。APT攻击的高级体现在于精确的信息收集、高度的隐蔽性、以及使用各种复杂的网络基础设施、应用程序漏洞对对目标进行的精准打击。攻击人员的攻击形式更为高级和先进，称为网络空间领域最高级别的安全对抗。APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为。 APT(高级长期威胁)包含三个要素：高级、长期、威胁

Apache 服务简介 Web 服务器也称为 WWW 服务器或 HTTP 服务器 (HTTP Server)，它是 Internet 上最常见也是使用最频繁的服务器之一，Web 服务器能够为用户提供网页浏览、论坛访问等等服务。 由于用户在通过 Web 浏览器访问信息资源的过程中，无须再关心一些技术性的细节，而且界面非常友好，因而 Web 在 Internet 上一推出就得到了爆炸性的发展。现在 Web 服务器已经成为 Internet 上最大的计算机群，Web 文档之多、链接的网络之广，也令人难以想像。因此，Web 服务器软件的数量也开始增加，Web 服务器软件市场的竞争也越来越激烈。本文所讨论的就是一款最常用的 Web 服务器软件—— Apache。 Apache 是一个免费的软件，用户可以免费从 Apache 的官方网站下载。任何人都可以参加其组成部分的开发。Apache 允许世界各地的人对其提供新特性。当新代码提交到 Apache Group 后，Apache Group 对其具体内容进行审查并测试和质量检查。如果他们满意，该代码就会被集成到 Apache 的主要发行版本中。 Apache 的其他主要特征有： 支持最新的 HTTP 协议：是最先支持 HTTP1.1 的 Web 服务器之一，其与新的 HTTP 协议完全兼容，同时与 HTTP1.0、HTTP1.1 向后兼容

学 号201721460012 中国人民公安大学 Chinese people’ public security university 网络对抗技术 实验报告 实验一 网络侦查与网络扫描 学生姓名 丁磐朔 年级 2017级 区队 六区队 指导教师 高见老师 信息技术与网络安全学院 2017 年 7 月 7 日 实验任务总纲 2017—2018 学年 第 一 学期 一、实验目的 1．加深并消化本课程授课内容，复习所学过的互联网搜索技巧、方法和技术； 2．了解并熟悉常用搜索引擎、扫描工具、社交网站等互联网资源，对给定的任务进行搜索、关联、分析； 3．达到巩固课程知识和实际应用的目的。 二、实验要求 1．认真阅读每个实验内容，需要截图的题目，需清晰截图并对截图进行标注和说明。 2．文档要求结构清晰，图文表达准确，标注规范。推理内容客观、合理、逻辑性强。 3．软件工具可使用office2003或2007、Nmap、等。 4．实验结束后，保留电子文档。 三、实验步骤 1．准备 提前做好实验准备，实验前应把详细了解实验目的、实验要求和实验内容，熟悉并准备好实验用的软件工具，按照实验内容和要求提前做好实验内容的准备。 2．实验环境 描述实验所使用的硬件和软件环境（包括各种软件工具）； 开机并启动软件office2003或2007、浏览器、扫描软件。 3．实验过程 1）启动系统和启动工具软件环境。

学 号 201721240019 中国人民公安大学 Chinese people’ public security university 网络对抗技术 实验报告 实验一 网络侦查与网络扫描 学生姓名 丛鑫 年级 2017级 区队 网安七区 指导教师 高见 信息技术与网络安全学院 2019 年10 月28 日 实验任务总纲 2017—2018 学年 第 一 学期 一、实验目的 1．加深并消化本课程授课内容，复习所学过的互联网搜索技巧、方法和技术； 2．了解并熟悉常用搜索引擎、扫描工具、社交网站等互联网资源，对给定的任务进行搜索、关联、分析； 3．达到巩固课程知识和实际应用的目的。 二、实验要求 1．认真阅读每个实验内容，需要截图的题目，需清晰截图并对截图进行标注和说明。 2．文档要求结构清晰，图文表达准确，标注规范。推理内容客观、合理、逻辑性强。 3．软件工具可使用office2003或2007、Nmap、等。 4．实验结束后，保留电子文档。 三、实验步骤 1．准备 提前做好实验准备，实验前应把详细了解实验目的、实验要求和实验内容，熟悉并准备好实验用的软件工具，按照实验内容和要求提前做好实验内容的准备。 2．实验环境 描述实验所使用的硬件和软件环境（包括各种软件工具）； 开机并启动软件office2003或2007、浏览器、扫描软件。 3．实验过程 1）启动系统和启动工具软件环境。

　　 　　数据在网络传输过程中的保密性是网络安全中重点要考虑的问题之一。由于通过网络传递数据是在不安全的信道上进行传输的，因此通信双方要想确保任何可能正在侦听的人无法理解通信的内容，而且希望确保接收方接收的信息没有在传输期间被任何人修改，最好的办法就是在传输数据前对数据进行加密，接收方接收到加密的数据后再进行解密处理，从而保证数据的安全性。 　　在.NET 库的System.Security.Cryptography 命名空间中，包含多种加密数据的类，涉及多种加密算法。加密方法主要分为两大类：对称加密和不对称加密。 1 对称加密 　　对称加密也称为私钥加密，采用私钥算法，加密和解密数据使用同一个密钥。由于具有密钥的任意一方都可以使用该密钥解密数据，因此必须保证该密钥不能被攻击者获取，否则就失去了加密的意义。 　　私钥算法以块为单位加密数据，一次加密一个数据块。因此对称加密支持数据流，是加密流数据的理想方式。 　　.NET 类库使用的私钥算法有RC2、DES、TripleDES 和Rijndael。这些算法通过加密将n字节的输入块转换为加密字节的输出块。如果要加密或解密字节序列，必须逐块进行。由于n很小（对于RC2、DES 和TripleDES 算法，n 的值为8 字节、16 字节或24 字节，默认值为16字节；对于Rijndael 算法，n 的值为32 字节）