服务器的常见攻击

拉斯维加斯

1.读取攻击

读取攻击是从受害者那里获取信息的攻击方式，攻击者获悉到受害者的IP地址，对于那些地址进行端口扫描或者弱点扫描。例如使用nmap进行端口扫描。

nmap举例

nmap -sP 192.168.0.1


我们可以使用ping扫描的方法（-sP），与fping的工作方式比较相似，它发送icmp回送请求到指定范围的ip地址并等待响应。现在很多主机在扫描的时候都做了处理，阻塞icmp请求，这种情况下。nmap将尝试与主机的端口80进行连接，如果可以接收到响应（可以是syn/ack，也可以是rst），那么证明主机正在运行，反之，则无法判断主机是否开机或者是否在网络上互连。

nmap -sS 192.168.0.1


nmap可以在进行端口扫描的tcp报文来做一些秘密的事情。首先，要有一个SYN扫描（-sS),它只做建立TCP连接的前面一些工作，只发送一个设置SYN标志的TCP报文，一个RESET报文，那么nmap假设这个端口是关闭的，那么就不做任何事情了。如果接收到一个响应，它并不象正常的连接一样对这个报文进行确认，而是发送一个RET报文，TCP的三次握手还没有完成，许多服务将不会记录这次连接。

nmap -D 192.168.0.1,192.168.0.2 192.168.0.3

选择几台肉鸡，并使用-D标志在命令行中指定它们。namp通过诱骗的IP地址来进行欺骗式端口扫描，而系统管理员可以同时看到不同的端口扫描，而只有一个是真实的，很好的保护了自己。

nmap -O 192.168.0.1

鉴别远程主机。通过简单的执行网络扫描，nmap通常可以告诉你远程主机所运行的OS，甚至详细到版本号。

nmap -PS 192.168.0.1

探测目标主机开放的端口，可以指定一个以逗号分隔的端口列表(如-PS22，23，25，80)。

2.操纵攻击

通过对OSI模型的某一层对数据进行操纵的攻击方式被称操纵攻击。分为网络操作和应用程序操纵。

网络操纵攻击常见的一种是IP分片，攻击者对流量蓄意分片从而试图绕过IDS或者防火墙。Fragroute就是一个ip分片攻击的工具。

应用程序操纵攻击指的是在应用层执行的攻击。常见的是缓冲区溢出攻击，跨站脚本攻击。

3.欺骗攻击

mac地址欺骗是最常见的一种攻击方式，攻击者将自己的mac地址更改为受信系统的地址发送给受害人，于是发给受信系统的流量都会发给攻击者。

ip欺骗和mac地址欺骗的原理一样。

4.泛洪攻击

攻击者向网络资源发送过量的数据流量就是泛洪攻击。常见的有mac泛洪，smurf攻击，DDos攻击，TCP SYN泛洪。

mac地址泛洪攻击指的是通过大量假冒的源mac地址和目地mac地址对应关系发送给交换机，由于交换机的CAM表有限，因此填满CAM表后，交换机收到合法流量发现目地地址不在CAM表中，就会将他泛洪到本地vlan，攻击者就可以对合法的流量进行捕获。

smurf攻击指的是假冒一个ip地址进行广播Ping，攻击者伪造受害人的IP对一个网络发起一个定向的广播ping包，例如发起对192.168.2.0/24的一个网络发起广播ping，由于路由器可以转发定向广播，因此收到该数据包的主机就会对该地址响应。smurf攻击就是利用这个原理将小小的数据包变成一场大规模的攻击。

DDos攻击指的是攻击者侵入到许多internet的主机之中，将主控系统软件安装在这些主机中，然后这些主机去感染其他主机，将感染的主机作为代理系统，最后攻击者将攻击指令发给主控系统，随后主控系统操作代理系统一起向受害者发起攻击。

TCP SYN泛洪利用的是TCP建立会话的一个机制，建立TCP会话通常是客户端发送一个tcp syn请求，由于TCP的可靠性，服务端收到syn请求后将在一段时间内保持开放 ， 然后会去向客户端回复syn-ack，会周期性发送4次，最后才断开。攻击者通常会想某个系统发起数千个连接请求，耗尽服务器的内存。导致服务不可用，这样正常的请求就无法得到回应。

5.混合型攻击

中间人攻击：dsniff,ettercap

病毒，蠕虫，特洛伊木马。

Rootkit

远程控制软件：Back Orifice 2000, BO2K

APT:


高级持续性威胁,这种攻击行为首先具有极强的隐蔽能力，通常是利用企业或机构网络中受信的应用程序漏洞来形成攻击者所需网络,其次APT攻击具有很强的针对性，攻击触发之前通常需要收集大量精确信息.


典型的APT攻击，通常会通过如下途径入侵到您的网络当中：
1:通过SQL注入等攻击手段突破面向外网的Web Server;


2:通过被入侵的Web Server做跳板，对内网的其他服务器或桌面终端进行扫描，并为进一步入侵做准备;


3:通过密码爆破或者发送欺诈邮件，获取管理员帐号，并最终突破AD服务器或核心开发环境;


4:被攻击者的私人邮箱自动发送邮件副本给攻击者;


5:通过植入恶意软件，如木马、后门、Downloader等恶意软件，回传大量的敏感文件(WORD、PPT、PDF、CAD文件等);


6:通过高层主管邮件，发送带有恶意程序的附件，诱骗员工点击并入侵内网终端。