信息安全工程師綜合知識大綱考點：網(wǎng)絡攻擊案例

【考點分析】：重點掌握。熟記DDoS攻擊過程步驟，能認出DDoS攻擊手段對應的圖，熟悉W32.Blaster.Worm感染過程。

【考點內容】：

一、DDoS攻擊

DDoS(Distributed Denial of Service)利用合理的請求造成資源過載，導致服務器不可用。它的整個攻擊過程可分為以下五個步驟：

1、通過探測掃描大量主機，尋找可被攻擊的目標

2、攻擊有安全漏洞的主機，并設法獲取控制權

3、在已攻擊成功的主機中安裝客戶端攻擊程序

4、利用已攻擊成功的主機繼續(xù)掃描和攻擊，從而擴大可被利用的主機

5、當安裝了攻擊程序的客戶端，達到一定的數(shù)量后，攻擊者在主控端給客戶端攻擊程序發(fā)布命令，同時攻擊特定的主機

DDoS常用的攻擊技術手段：HTTP Flood攻擊、SYN Flood 攻擊、DNS放大攻擊等。

◆HTTP Flood攻擊：利用僵尸主機向特定目標網(wǎng)站發(fā)送大量的HTTP GET請求，以導致網(wǎng)站癱瘓。

◆SYN Flood攻擊：利用TCP/IP協(xié)議的安全缺陷，偽造主機發(fā)送大量的SYN包到目標系統(tǒng)，導致目標系統(tǒng)的計算機網(wǎng)絡癱瘓。

◆DNS放大攻擊：攻擊者假冒目標系統(tǒng)向多個DNS解析服務器發(fā)送大量請求，而導致DNS解析服務器同時應答目標系統(tǒng)，產(chǎn)生大量網(wǎng)絡流量，形成拒絕服務。

(注：要熟悉以上3種攻擊手段示意圖，考到了至少要認的出來，官方教材第二版40-41頁)

二、W32.Blaster.Worm

W32.Blaster.Worm是一種利用DCOM RPC漏洞進行傳播的網(wǎng)絡蠕蟲，其傳播能力很強。感染蠕蟲的計算機系統(tǒng)運行不穩(wěn)定，系統(tǒng)會不斷重啟。并且該蠕蟲還將對Windowsupdate.com進行拒絕服務攻擊，使得受害用戶不能及時地得到這個漏洞補丁。

感染攻擊過程如下：

(1)創(chuàng)建一個名為BILLY的互斥體，如果這個互斥體存在，蠕蟲將放棄感染并推出。

(2)在注冊表中添加下列鍵值∶”windows auto update”=”msblast.exe”，并且將其添加至∶HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft'Windows\CurrentVersion\Run，這樣就可以使蠕蟲在系統(tǒng)被重啟的時候能夠自動運行。

(3)蠕蟲生成攻擊IP地址列表，嘗試去感染列表中的計算機，蠕蟲對有DCOM RPC漏洞的機器發(fā)起TCP 135端口的連接，進行感染。

(4)在TCP 4444端口綁定一個cmd.exe的客戶端。

(5)在UDP port 69口上進行監(jiān)聽。如果收到了一個請求，將把Msblast.exe發(fā)送給目標機器。(6)發(fā)送命令給遠端的機器使它回聯(lián)已經(jīng)受到感染的機器并下載Msblast.exe。

(7)檢查當前日期及月份，若當前日期為16日或以后，或當前月份處在9月到12月之間，則W32.Blaster.Worm蠕蟲將對windowsupdate.com發(fā)送TCP同步風暴拒絕服務攻擊。

三、網(wǎng)絡安全導致停電事件(了解即可)

烏克蘭電力系統(tǒng)遭受攻擊事件：黑客首先利用釣魚郵件，欺騙電力公司員工下載了帶有BlackEnergy的惡意代碼文件，然后誘導用戶打開這個文件，激活木馬，安裝SSH后門和系統(tǒng)自毀工具Killdisk，致使黑客最終獲得了主控電腦的控制權。最后，黑客遠程操作惡意代碼將電力公司的主控計算機與變電站斷連并切斷電源同時，黑客發(fā)送DDoS攻擊電力客服中心，致使電廠工作人員無法立即進行電力維修工作。