《网络攻防技术》第一章： 网络攻防概述

说明

• 本专栏来自学习笔记，总结精华知识与结合罪行情况进行拓展补充，仅供学习和交流使用，最终版权归原作者团队所有。

• 网络攻击与网络防御本质上是攻防双方围绕对网络脆弱性的认知而进行的博弈：攻击方发掘网络和信息系统的脆弱性，不断发展攻击技术来实施攻击；防御方分析攻击的工作原理和作用机制，不断构筑新的安全防御体系。网络攻击技术既是网络防御技术发展的动因，也是网络防御技术的防范对象。

1.1 网络安全威胁

• 网络安全威胁可分为广义网络安全威胁和狭义网络安全威胁。
  • 广义的网络安全威胁泛指任何潜在的对网络安全造成不良影响的事件，包括自然灾害、非恶意的人为损害以及网络攻击。
  • 狭义的网络安全威胁指各类网络攻击行为。

1.1.1 网络安全威胁事件

• 最近三年内重大网络安全事件案例：

1. 2023年：LastPass黑客事件与加密货币盗窃案。2023年，联邦调查人员将2024年1月发生的一起1.5亿美元加密货币盗窃案与2022年的LastPass黑客事件联系起来。这起事件表明，早期数据泄露可能对后续金融犯罪产生深远影响，凸显了密码管理工具安全性的重要性。

2. 2024年：勒索软件攻击事件显著增长。2024年，勒索软件攻击事件同比增长约25%，但仅有15%的案例被公开披露。这类攻击不仅导致企业业务中断，还造成了巨大的经济损失，成为网络安全事件损失的主要来源之一。

3. 2024年：业务中断型勒索攻击成为新趋势。根据对2024年全球500余起重大网络安全事件的分析，业务中断型勒索攻击成为五大新兴威胁趋势之一。这类攻击已从单纯加密数据扩展至破坏企业运营，迫使组织支付高额赎金以恢复业务。

4. 2025年：关键基础设施漏洞与假冒员工渗透。2025年，网络安全领域再次成为全球焦点，关键基础设施漏洞和假冒员工渗透等事件频发。这些威胁不仅影响企业运营，还对国家安全和社会稳定构成挑战。

5. 2025年：成都市因未履行网络安全保护义务受行政处罚。2025年7月30日，成都市互联网信息办公室依据《中华人民共和国网络安全法》和《中华人民共和国数据安全法》，对三起未履行网络和数据安全保护义务的典型案例进行了行政处罚。这些案例反映了网络安全合规的重要性。

6. 2025年：交通运输系统网络安全培训及应急演练。2025年8月28日，某市综合交通运行监测中心组织开展了年度网络安全培训及应急演练，旨在提升网络安全意识和防护能力。

1.1.2 网络安全威胁的成因

• 造成网络安全威胁的原因主要可以分为：技术因素和人为因素。
  • 技术因素包括：协议缺陷（如TCP/IP协议簇的缺陷：缺乏有效的身份鉴别机制，通信双方无法可靠地识别身份、缺乏有效的信息加密机制，通信内容容易被第三方窃取）、软件漏洞（代码缺陷、系统环境漏洞、安全防护程序漏洞）、安全策略弱点（安全机制不当）、硬件漏洞（CPU漏洞、主板漏洞等）

1.2 网络攻击技术

• 网络攻击是指利用安全缺陷或不当配置对网络信息系统的硬件、软件或通信协议进行攻击，损害网络信息系统的完整性、可用性、机密性和抗抵赖性，导致被攻击信息系统敏感信息泄露、非授权访问、服务质量下降等后果的攻击行为。

1.2.1 网络攻击的分类

网络攻击的分类

网络攻击的分类维度多元，不同角度会得到不同的结果：

• 按攻击目的：可分为拒绝服务（DoS）攻击、获取系统权限的攻击、获取敏感信息的攻击等。
• 按攻击机理：有缓冲区溢出攻击、SQL注入攻击等。
• 按实施过程：包括获取初级权限的攻击、提升最高权限的攻击、后门控制攻击等。
• 按实施对象：涵盖对操作系统的攻击、对网络设备的攻击、对特定应用系统的攻击等。

按交互关系分类（核心分类方式）

• 按照攻击者与被攻击者的交互关系，可将网络攻击分为四类，这种分类有助于理解攻击原理与防御策略：

1. 本地攻击

• 定义：攻击者通过实际接触被攻击主机实施的攻击。
• 特点：可直接窃取/破坏账号、密码、硬盘信息，或植入木马程序实现远程控制。
• 防御难点：攻击者常能接触物理设备且熟悉目标网络防护手段，主要依赖严格的安全管理制度防范。

2. 主动攻击

• 定义：攻击者针对被攻击主机运行的开放网络服务（如Web、FTP、Telnet等）发起的攻击。
• 攻击逻辑：利用目标服务程序的安全缺陷或不当配置，获取权限后植入恶意内容（虚假信息、垃圾数据、病毒、木马），破坏信息系统机密性与完整性。
• 常见方法：漏洞扫描、远程口令破解、远程控制、信息窃取/篡改、拒绝服务等。
• 防御思路：通过技术手段或安全策略加固系统开放的网络安全服务。

3. 被动攻击

• 定义：攻击者针对被攻击主机的客户端程序（如浏览器、邮件接收程序、文字处理程序等）发起的攻击。
• 攻击逻辑：先通过电子邮件、即时通信等发送“诱骗”信息，若用户打开恶意附件或访问恶意网站，攻击者会利用系统安全缺陷获取合法权限。
• 常见方法：钓鱼攻击、跨站脚本攻击、网站挂马攻击等。
• 社会工程学关联：被动攻击常从“诱骗”开始，社会工程学是关键环节（操纵他人采取非最佳利益行动）。
• 防御措施：一方面加固系统及客户端程序安全；另一方面加强安全意识，识别社会工程学手段。

4. 中间人攻击

• 定义：攻击者处于被攻击主机网络应用的中间位置，实施数据窃听、破坏或篡改的攻击。
• 攻击机制：通过技术手段在客户端与服务器的通信中插入“中间人”计算机，冒充双方身份进行通信，过程中读取/修改传递的信息。“中间人”对双方透明，难以察觉。
• 别称：劫持攻击。
• 防御思路：为网络通信提供可靠认证与加密机制，确保通信双方身份合法性及内容机密性、完整性。

1.2.2 网络攻击的步骤与方法

• 一个完整的、有预谋的攻击往往可以分为信息收集、权限获取、安装后门、扩大影响、消除痕迹五个阶段。

网络攻击的步骤与方法

完整的网络攻击通常包含五个阶段，各阶段任务与要点如下：

1. 信息收集

• 目标：尽可能多地收集目标相关信息，为后续精准攻击奠定基础。
• 收集内容：网络信息（域名、IP地址、拓扑）、系统信息（操作系统版本、开放服务）、用户信息（账号、标识、共享资源）。
• 常用方法：互联网搜索、社会工程学、垃圾数据搜寻、域名管理/搜索服务。

2. 权限获取

• 目标：获取目标系统的读、写、执行等权限。
• 权限层级：超级用户（完全控制权）、普通用户（有限访问权限，可作为跳板获取更高权限）。
• 获取途径：猜解账号口令、利用系统/应用漏洞。

3. 安装后门

• 目标：在目标系统中安装后门或木马程序，实现对目标的长期隐蔽操控。
• 核心技术：恶意代码技术（隐藏自身、建立隐蔽通信通道、对抗分析以延长生命周期）。

4. 扩大影响

• 目标：以目标系统为“跳板”，攻击其所属网络的其他主机，最大化攻击效果。
• 典型场景：局域网内部攻击（避开防火墙/NAT等安全工具，更易实施）。
• 关键技术：嗅探技术、假消息攻击（利用TCP/IP缺乏认证/加密机制的缺陷）。

5. 消除痕迹

• 目标：清除攻击痕迹，防止被识别、追踪，实现长期控制。
• 核心操作：修改或删除日志文件（避免管理员通过日志分析溯源）。

1.3 网络攻击的发展趋势

• 教材中的经典攻击趋势：

1. 攻击影响日益深远
   • 互联网普及使攻击范围从科研机构扩展至民生领域（如2016年Mirai僵尸网络攻击导致美国东海岸大面积断网，2020年SolarWinds供应链攻击影响全球18000家机构）。
   • 攻击后果从“局部瘫痪”升级为“系统性风险”（如针对选举系统的干扰、关键基础设施的破坏）。
2. 攻击领域不断拓展
   • 从传统互联网延伸至工业控制网络（如2010年“震网”病毒攻击伊朗核设施）、物联网（如2022年针对智能摄像头的大规模DDoS攻击）、车联网（如2023年特斯拉汽车远程入侵案例）。
   • 新兴技术（AI、区块链）也成为攻击目标（如2024年利用AI生成虚假语音实施诈骗的案件激增）。
3. 攻击技术愈加精细
   • 黑客组织（如“影子经纪人”“ Lazarus ”）通过出售定制化攻击武器获利，工具复杂度提升（如包含零日漏洞利用、UEFI固件持久化控制的工具）。
   • APT（高级持续性威胁）攻击常态化，攻击链覆盖“情报收集→定向投递→权限维持→数据窃取”全流程（如2023年针对能源企业的定向攻击）。

• 近年网络攻击出现以下新特征：

• 最新趋势总结（2024年）
  综合来看，当前网络攻击的核心趋势可归纳为以下几点：

1. 攻击链条“产业化”：从个体黑客转向有组织的犯罪集团，分工明确（如“初始访问→漏洞利用→数据窃取→勒索”全流程外包）。
2. 技术融合“智能化”：AI与传统攻击技术结合（如AI辅助漏洞挖掘、自动化渗透测试），攻击效率提升10倍以上。
3. 目标选择“精准化”：聚焦高价值目标（如跨国企业、政府机构、关键基础设施），追求“单次攻击高收益”。
4. 防御难度“复杂化”：零日漏洞利用频率上升（2024年零日漏洞数量较2023年增长25%），传统安全方案难以有效拦截。

参考来源

• 教材：《网络攻防技术》（第2版）第1章“网络攻击的发展趋势”
• 行业报告：Verizon《2024年数据泄露调查报告》、卡巴斯基《2023年威胁趋势报告》、微软《2024年数字防御报告》
• 公开漏洞库：CVE Details、NVD（国家漏洞数据库）