隨著互聯網的發展,哪些網路攻擊手段越來越盛行了?
本題來自知乎圓桌 ?白帽黑客與安全,歡迎關注討論。
基於大計算的攻擊模式,小到如哈希破解,大到如 DDoS、隱私庫模式,更大如那種匯聚各種有意義情報信息的情報庫,等等等。
大計算或大數據吧,這是未來玩黑客必備的戰略資源。
點到為止。沒有人提到小米路由器的payload篡改,沒有人提各種PC/手機全家桶,沒有人提百度下載的軟體都被重新打包過,沒有人提各種貼心手機ROOT。
沒有基本的商業道德,討論安全不是搞笑么。大家確認自己在認真討論嗎? ( 摔話筒
-------以上賣萌完畢,到家了繼續更如下的內容---------
6.24 night 【長篇文字預警! 非專業人士請繞行避免受到驚嚇,沒圖沒啥好看的】偶不是奮戰在WEB維護一線的人員,而且日常工作非常雜,所以只能根據個人理解談談看法:- WEB仍然是第一位的攻擊目標
- 網路上的業務幾乎已經全面WEB化,太多基於WEB協議的應用服務了,無論是面對公眾的WEB服務的,還是企業內部業務介面,又或者是手機、機頂盒等消費者產品。
- 各種複雜商業關係的存在,使得基於網路的遠程業務調用得到蓬勃發展。
- 無論是為了入侵網站本身(提權、拖庫、植入後門),還是為了利用網站跳轉去攻擊其他網站、伺服器和普通PC(XSS等),這仍然是相對來說成本最低廉、最可以工具化複製的方式。
- 基於以上廢話,得出初步結論:WEB幾乎不可控,指望傳統的網路隔離保護已經基本失效;可能在部分大企業內部,或者業務邏輯關係不那麼複雜的企業內部,還能發揮有限的作用。
- 終端環境和應用劫持,是第二大風險
- 再牛逼的應用保護、安全機制,也難以抵抗來自於OS系統底層(這裡就不指名道姓了)的攻擊。做得狠一點直接修改應用,直接在應用上做注入/做bypass,直接篡改用戶顯示界面,還有什麼做不出來呢?
- 上面賣萌的內容,其實就是明證。我們不能指望人人都是安全高手,基本的環境需要基本的遊戲規則;如果傳統意義上的「保護者」們(這裡不想用白帽子這個詞)為了利益而肆意妄為,那大眾真的難以產生安全感。
- 由於Android陣營的碎片化,以及天朝大眾孜孜不倦追求免費軟體而瘋狂越獄Apples,各種安裝盜版軟體,使得公眾手上的設備本身變得異常脆弱。我想起一個詞:禍起蕭牆之內已。各位用家,大家好自為之吧。
- 各種智能終端的劫持,包括家庭路由器、機頂盒、穿戴設備,等等。 機頂盒/穿戴設備其實跟手機道理相似,不展開;但家庭路由器就很噁心了,理論上來說劫持它就可以劫持家庭中所有相關的流量,以及各種基礎網路服務(例如DNS、DHCP、NTP)等等,中間人攻擊這種略微高級的貨色我就不說啥了,大家都懂。除非這些服務和流量都要做強加密保護,導致成本進一步升高。
- 而這些智能終端系統的複雜程度比伺服器低很多,而且為了節約成本,很多廠家都使用開源軟體和公版硬體,甚至使用通用OS例如Android,從而使得可以沿用傳統攻擊手法來攻擊提權。更討厭的是遠程管理介面和默認口令的存在,公眾們都是小白,會改它的人很少;我說廠家們能不能長點腦子,默認關掉遠程訪問 + 生成隨機默認口令會死啊?(當然會死!需要增加生產管理成本。)
- 悲哀的是,除非整個社會對安全的態度改變,用法律來強制約束並嚴格執行,否則技術手段並起不到什麼作用,各種3Q大戰,全家桶大戰還會頻繁上演。(行業認證+准入啥的我真心不想說,雖然可以推動此事)
- 第三大風險,是雲和虛擬機
- 隨著各級帶寬的增加,雲是個好東西,方便了大家。但是,雲把很多零錢匯聚起來,變成了一個大大的存錢罐,OK,大家懂就好。
- 對個人來說,隱私問題永遠是大問題,我會很不厚道地說:少用點這玩意吧,最起碼不要把任何隱私數據上傳到雲,那可真是「一日為娼,永世不得翻身」,數據刪不掉的,就看哪天爆出來,看能不能承受風險咯。
- 對中小企業來說,考慮一下自有可控數據加密吧,而且不要100%信任雲系統本身提供的安全增強服務(雖然在大多數場景下比自己做好多了),一定要考慮跨雲系統的冗餘,否則萬一哪天藍翔子弟又去杭州接活了咋辦?去鄂爾多斯或者貴州也不行啊。
- 對雲廠家而言,某些標準工業介面的健壯性要往死里做,維持整個系統的簡潔包括客戶界面的簡潔也是必修課。至於公有私有,很關鍵么?難道這世上還能容納100種雲方案啊。
- 第四大風險,是DDOS
- 這貨能幹啥不說,能怎麼防也不說了(雖然基本上是硬拼)。但總的來說,跟黑產直接相關,是赤裸裸的強制封口、報復和敲詐,而且是最有效的方式,沒有之一。
- 善意提醒一下各位互聯網行當的同行們,看好自己的流量和關鍵服務,莫要被人當槍使;如果可能的情況下,做好流量監控和聯動,把互聯網的傳統精神發揚光大:「我為人人,人人為我」。
- 第五大風險,是開源代碼和編碼豬隊友
- 開源代碼是百花之源,開源代碼是萬惡之首。
- 某些授權書就是赤果果的毒藥,小廠們千萬要小心,大廠們的律師煩死這事了。不要以為只有高通才會做些奇奇怪怪的事情。
- 互聯網基礎構成的同質性相當強(看成同志的面壁去),看看平常大家都在說些啥就知道了。閉源代碼尚且能被解析個透,開源代碼能抗住多少輪代碼審計?它們的「0day」真的都上報了么?
- 找幾個好人,沒事多改改;別亂改,低級錯誤懶得說了;RSA的實現都被我們質疑過,最後人家乾脆把產品下架不賣了……小心豬隊友啊。
- 就知道有人會問APT和釣魚,但我就不說。
- 所謂撞庫就不扯了吧,很多人喜歡說這個,但是說了還能讓它們不去撞?
對普通用戶攻擊最多見的仍然是釣魚網站和病毒木馬(手機端超過PC端),針對伺服器的攻擊導致的嚴重信息泄露威脅幾乎所有網民安全(特別是互聯網的重度用戶)。對安全特別擔心的另一群人,比如中老年人,完全不懂互聯網工具也不用互聯網工具的一群人,正在遭遇各種不同形式的欺詐攻擊,其根源多多少少還是和個人信息泄露密切相關。
想了想好像也不好按統一標準去分類,算是是說一條是一條。
- 智能設備的攻擊: 智能設備的佔有率越來越高,人們上網也不僅再限於 PC,從 CNCERT 2014 的年報可以看出來,相對於之前的年份,PC 端的被攻擊數目是在減小或者小幅增長的,而移動端的被攻擊數量則是增長很快,像 2014 年就有比較有名的像 「××神器」 針對智能手機的病毒。
- 路由器方面的攻擊: 自從 2013 年 TP-Link 的路由器被發現漏洞 之後,可能是因為黑客們發現還能這麼玩,所以被爆出的漏洞也是越來越多,關於產生的路由器漏洞可以上 routerpwn 圍觀。 除了路由器本身自己的漏洞之外,還有做假 Wi-Fi 或者利用 ARP 來做中間人攻擊,從而獲取同一路由器下的用戶的流量信息。
- DDoS: 互聯網用戶越來越多,所以可以利用的流量也是越來越多,DDoS 作為一種依賴流量的攻擊方式越來越多。 除了非常傳統的利用木馬控制他人電腦,然後操控肉雞來攻擊之外,這些年的 DDoS 有了很多新的花樣,比如利用某些公用的 js 腳本攻擊,像 百度統計js被劫持用來DDoS Github ,比如某的隨機投毒 DNS,比如利用 NTP(網路時間協議)來 DDoS。
中間人攻擊
需要藉助網路來傳遞的消息越來越多,中間人攻擊就是一種通過攻擊者與通訊的兩端分別創建獨立的聯繫來竊取消息的攻擊。 通常實施中間人攻擊的通常方法有這麼幾種:- ARP 攻擊
- DNS 劫持
- WIFI 釣魚
- 修改 host 文件
這些方法如果是沒加 TLS 的通信,基本用戶感受不到什麼異樣,如果是加了 TLS 的通信,還需要去偽造證書。
社工相關:
網路上的信息越來越多,黑客們通過獲取用戶信息,然後撞庫後能獲得一個人更多的信息,關於撞庫方面,具體可以參考 「撞庫攻擊:一場需要用戶參與的持久戰」。釣魚相關:
釣魚這麼久依然是經久不衰,從很早以前通過網頁彈窗告訴用戶中獎,到現在已經開始利用二維碼,偽基站來配合釣魚網站。
DDoS啊。之前大家網速都不行。現在老百姓都有用100M網路了。
我認為是社會工程學,當然DDOS也不例外。現在許多黑客手握各種公安資料庫許可權、民事許可權,分分鐘查你戶口本。舉個簡單的例子。
你手機收到過多少的騷擾電話和垃圾簡訊,你的個人信息就泄漏了多少,可以被社會工程學利用的幾率就高很多。
當然,這幾年在烏雲看漏洞,發現越來越偏向前端和腳本了。感覺像一個趨勢啊。必然web攻擊啊!具體到跨站還是sql等手段就要看水平和運氣了。
難道不是社工嘛,以前好多數據都不連網,現在越來越多的系統都接入互聯網了,大家在網上留的痕迹也越來越多了,也更多的人開始註冊各種網站,留下個人信息,所以社工也越來越簡單了。
瀉藥。
為毛邀請我,我剛開始學習相關知識,就是個比門外漢強一點的門邊漢。
倒是我覺著吧,我剛剛學習這玩意沒幾天,行跡就暴露了。前幾天搜了本書《白帽子講Web安全》,今天就有人邀請我談白帽子與網路安全,我覺著好可怕。謝邀針對個人用戶的:
XSS,路由器劫持(修改DNS),釣魚,詐騙,信息泄露及冒用
針對企業級用戶的:DDOS,滲透,APTDDOS攻擊無誤,而且防禦手段很無力
脅持家用路由器
DDoS:以前也流行,現在流行度依舊不減。這玩意還分很多種呢,只不過最終都是短時間內伺服器負擔迅速上升社工:社會工程學攻擊是個很神奇的玩意,從網上各種流傳的社工庫就可見一斑【雖然DeepWeb下面...好吧,至今只去過一次暗網,這方面沒有發言權】
最為常見的惡意攻擊就是cc以及ddos攻擊
ddos攻擊指藉助於客戶/伺服器技術,將多個計算機聯合起來作為攻擊平台,對一個或多個目標發動攻擊,從而成倍地提高拒絕服務攻擊的威力。ddos的攻擊方式有很多種,最基本的dos攻擊就是利用合理的服務請求來佔用過多的服務資源,從而使合法用戶無法得到服務的響應。
CC攻擊模擬多個用戶(多少線程就是多少用戶)不停的進行訪問(訪問那些需要大量數據操作,就是需要大量CPU時間的頁面).這一點用一個一般的性能測試軟體就可以做到大量模擬用戶並發。CC攻擊的原理就是攻擊者控制某些主機不停地發大量數據包給對方伺服器造成伺服器資源耗盡,一直到宕機崩潰。
以上可以看出,ddos攻擊和cc攻擊區別主要是針對對象的不同。ddos是主要針對IP的攻擊,而CC攻擊的主要是網頁。CC攻擊相對來說,攻擊的危害不是毀滅性的,但是持續時間長;而ddos攻擊就是流量攻擊,這種攻擊的危害性較大,通過向目標伺服器發送大量數據包,耗盡其帶寬,更難防禦。
釣魚,因為移動設備越來越普及,功能越來越多。
不好意思呀,我不懂,所以回答不了你的問題。
評論得真逗
http://www.zhihu.com/question/31220059/answer/52319876。 暑假有空填坑 小夥伴約我
語言攻擊
社工,利用現在網際網路的大數據等數據。APT,有計劃有目的的竊取信息,不只是個人信息。對移動設備的攻擊也越來越多。
推薦閱讀: