山东省高中信息技术学业水平考试试题网 - 数据与计算|信息系统与社会|数据与数据结构|网络基础|数据管理与分析|移动应用设计|三维设计与创意|开源硬件项目设计|算法初步|智能系统初步

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 91|回复: 0

网络攻击的四大动机与十种数据泄露攻击技术

[复制链接]

2万

主题

3万

帖子

214748万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
2147483647
QQ
发表于 2018-2-13 19:26:07 | 显示全部楼层 |阅读模式
网络安全最令人懊丧的事实之一,就是威胁的不断进化和数据泄露攻击技术的多种多样。漏洞补了一个又冒一个;攻击技术封了一个再来一堆。 Hackmaggedon连续编写网络攻击报告多年,感谢它的不懈努力,让我们可以一探网络攻击动机,总结出最常见的10种数据泄露技术。
' r& `, Y8 f! C$ @
# z8 a: P3 {2 k 61700001e447c5add4c3 4 h. L8 \9 g4 f& U: h
1 ^: b. }; ~( ^" y
2017年数据泄露攻击超过850起,其中很多都招致了客户个人信息和财务信息被盗。上升的还不只仅是数据泄露事件数量,其造成的损失更是飞涨。《纽约时报》报道,到2017年3月,塔吉特百货已为其发生于2013年11月的数据泄露付出了超过2.02亿美圆的代价。美国最大医疗保险公司Anthem最近刚刚同意支付1.15亿美圆用于解决源自2015年客户信息被黑事件的集体诉讼问题。+ ]% P/ k. T( X' {7 z& Z4 I

, W; L0 l# l+ u- X- T# ^网络攻击动机2 c6 E/ b' [" b) Y( B* D
1 w" @2 `. s: `; q
网络攻击动机各异,Hackmageddon.com给出了下面4个:
4 c% H: j) o( T/ }4 e# _
    9 M% [. L) N- y: T! V, }1 Y! h
    网络犯罪! H1 H) V, q$ J! ~
    - V9 y' c9 A/ L9 e8 A0 f
    网络间谍, W, ?! T0 j6 A) J
    7 w  x% Q% [4 c; ~
    激进黑客主义
    , ~& d" U1 m% z( }: h
    : h5 d5 j. e0 N  B9 {4 f网络战
    & l/ ?9 f2 h. @
. r* `0 t9 f. J4 N: s# x+ U$ Y
网络犯罪
0 p& H( W) X2 z+ W
/ N" y  Q) W, c+ ]近3/4的网络攻击在实质上就是犯罪,比如从金融账户中直接盗取金钱,偷窃信誉卡信息,索要赎金等等。2014年塔吉特百货遭遇的网络攻击就是一个典型的例子。截至目前,网络犯罪已成为公司企业和监管机构的关注重点。3 V" ]9 k8 y2 q! e4 H! z
0 j+ p; E0 C& v
网络间谍4 o& B1 `7 g9 G9 v
. @2 b$ l8 |: i$ R" a; ?
紧随其后的就是网络间谍。此类攻击是为了获取交易秘密和其他机密商业信息。2017年3月,邓白氏公司52GB数据库被盗,内含3370万各大公司职员及政府工作人员的信息。该数据库被其竞争对手公司用于发起针对性电子邮件营销,邓白氏公司为此付出了沉重的代价。在可必定攻击动机的案例中,网络间谍攻击占比10-15%。
* v0 G7 I( ~" n4 }6 l
- }+ \/ r- l* Z2 e% |$ d1 O激进黑客主义
  v( W; z, n% m- z/ J" P# a. {. {
激进黑客主义经常见诸报端,但基本上被公司企业无视,因为其目的往往是社会性或政治性的,不涉及金融财务。比如说,2017年2月,某匿名黑客组织搞摊了疑似托管儿童色情内容的多家暗网网站。与网络间谍相似,激进黑客主义攻击的数量不多,占比也在10-15%左右,在不同国家随各个竞选周期有涨有落。  D6 h# ^% P3 I& c+ s
$ O8 R) E" r! U" F2 X- S: ]
网络战- U" N# Q4 w+ S8 ]% H
# f, h. g9 d. H0 Y; T$ D1 O- y
政府支持的攻击或仅仅是为了制造混乱的网络攻击,都被定义为网络战。基本上,网络战就是发生在互联网和信息流上的广义的战争。这种网络攻击是每年发生频率最低的一类。
8 ?2 o: t1 A9 h6 g1 `: ^) T
! S$ A$ L3 H% J7 M 616f000213070c4400ed
/ u/ a9 [/ ?( P/ J! a; ^# b  ?) J
' @# Q$ `8 S3 `) L  H  _6 a& j- L4 [10种常见数据泄露攻击技术
9 W2 S4 O( \- y
6 Y9 Z# f$ a  n) F( Q0 @: h. Z$ f如前文所述,攻击技术一直在进化。10年前的常见攻击技术与近些年的常见技术完全不同。这种变革不只仅是代码驱动的,设备也是驱动要素之一。安卓移动设备已成网络犯罪重灾区,突破移动设备的攻击技术数量也随之倍增。% Z" W6 u' s2 s9 m% |6 ~* b

7 ]0 h* d$ N' e* i2 |) u最近几年最常见的10大攻击技术如下:- C, T+ b' ?/ [$ ^  p

' K* B! O* D+ ^0 w4 g6 e1. 恶意软件/销售终端(PoS)
7 n, j2 F/ W# R* [* U: B
, b% Z+ d1 C: _: e: A/ e+ A可能1/3的攻击都是奔着联网PoS去的,为了盗取信誉卡和借记卡信息。家得宝和塔吉特就是此类攻击的受害者。8 |/ ^. ^8 c& V2 Y  m

; d5 \) x1 j4 Y2 F2. 勒索软件
! l3 K9 Y: z+ \; \* G; i
. V( o9 Q0 V* A7 \* L2017年可谓勒索软件年,WannaCry简直让全世界各大公司、政府机构、学校、医院等等团体和个人“想哭”。这种恶意软件的常见路数是“不付赎金就曝光你的秘密”,或者“不支付赎金就让你用不了自己的电脑”。还有另一种勒索方式是,“想隐瞒自己被黑的事实?先把赎金付了吧!”Uber遭遇到的就是这后一种勒索。
& K! K+ |7 ~" g# M
) i4 ~  f: j" G6 I) @( F3. 账户劫持
& E; H: m; Z7 }
. k8 O9 U. s5 c, W" x) V, {! ^个人账户、公司账户和云账户都会被劫持,一旦电子邮件、计算机和系统账户被劫持,黑客就可能入手账户拥有者的个人信息、财务信息,用以直接从金融账户中转账,盗刷信誉卡/借记卡,或者进行敲诈勒索。' ~( k' A/ W1 Z: U( V% o" E
4 m+ M3 G; U$ t' Y3 A9 H2 k- D) {
4. SQL代码注入
+ W% w  ]' U" Y1 m, e5 J  H# L
- s  _' [) `( n! H因为本来就是为网上查询和互动设计的,所以数据库网站及应用特别扛不住SQL注入攻击。如果防护不佳,黑客可经过Web应用向数据库服务器发送代码,无需口令就能访问服务器,然后获取到该服务器连接的系统或网络的访问权,之后就可以为所欲为了,比如上传恶意软件、劫持账户之类的。0 e% }0 L0 y  `4 y% ?* u
: {$ k  r' p; Q
5. 拒绝服务& t# |' t6 s& P2 I
" n* A' q/ y& ]. E6 R  p# t" p
单机拒绝服务或分布式拒绝服务。后者是网络战和激进黑客主义的主力拒绝服务攻击方式,黑客从成百上千乃至数十万个源头向目的系统或网站发送流量洪水,造成目的流量过载,带宽耗尽,致其系统宕机,网站下线。并且,此类攻击往往还会在大量流量的掩护下混入木马和其他恶意软件。2 ]8 S( B! x; A) t
) g  f  \8 G2 Q; H. }4 F3 U
6. DNS劫持1 C0 X3 B1 c$ N  M" Z% T
( G* n6 O( L  M) K8 U4 f  R
相似域名盗窃,黑客将用户的域名查询央求重定向到自己控制下的域名服务器(DNS),经过虚假“输入支付信息”页面来盗取Web流量或金融信息,或者诱骗Web用户下载恶意软件。
" ^. ^: K4 n4 Y, m" Y. o! N6 }1 N( k
4 \! x. q. D) \4 g( Y7. 恶意跨框架/Java脚本7 _1 E* t1 B# H0 z1 x

. v* m* Y! z. l2 }+ @  n与DNS劫持相似,恶意软件在受害设备上加载貌似合法的页面,盗取用户输入的数据,或将用户导引到黑客控制的网站。
5 z2 z1 e; A; o3 [% s5 o  g1 b
' y( ]' {4 J) s4 v2 I7 b8. 零日漏洞4 D8 C$ Z& R) N

2 m1 _- `, \+ |$ |$ t新型散布技术。恶意软件通常在网上广为传播,但零日漏洞不一样:针对某个程序或系统漏洞的恶意软件会先行放出,但其激活要等到漏洞被发现的时候才进行(所谓“零日”),所有恶意动作都在“零日”完成——数据窃取、泄露、下载恶意代码等等。由于恶意软件并不是即时激活,便可在在“零日”之前有足够的时间悄悄扩散。
8 |/ R9 W  l$ s, v+ p/ m* c* e0 U3 ~! N& J+ J- v
9. 暴力破解
" l% o' y0 O  o: }$ x: S% H- V2 ?9 |4 w7 E, B! H/ E
不耍任何花招,单纯靠自动化试错来定位口令或数据加密标准密钥。比如说,如果口令有5位,暴力破解程序就挨个尝试数字和字母的每一种排列组合,直到发现正确的口令。
7 h4 t/ c& M: n4 F' q; V% }! @, j1 W; r' k
10. 凭证填充! d5 }) s* r) T7 [0 v. n0 n% S, C
4 h, A! Y  w! B+ v) \3 ^
暴力破解的另一版本——自动重复尝试利用部分登录信息获取账户权限。考虑到大量数据泄露事件已经让数亿人的信息全部或部分泄露,该技术可谓危害宏大。
0 ~! T' [9 J. h8 ~2 r: ^/ _
) Z% O& w% w* l
( W# F  y0 o3 L; \+ B- h& Q4 W6 z以上内容整理自互联网,如有侵权,请联系删除!
楼主热帖



上一篇:未来已来,5G技术大战行将打响,高通华为鹿死谁手?
下一篇:2018年通信领域又一里程碑技术:TM9
+1
91°C
沙发哦 ^ ^ 马上
教书育人!
回复

使用道具 举报

*滑动验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

站务公告栏:
0元购 优惠券① 百度一下 优惠券② 0元淘

QQ|Archiver|手机版|小黑屋|山东省高中信息技术学业水平考试试题网 ( 鲁ICP备16049757号 )|网站地图|申请友情链接

GMT+8, 2018-2-23 02:58 , Processed in 0.312881 second(s), 39 queries .

快速回复 返回顶部 返回列表

商品:【买2发4瓶】辣木籽正宗印度进口包邮野生食用辣木子种子 滋补品
原价:59.90元 券后价:9.9元
购买链接:Click here!
推荐理由:印度“三宝之一”,对降火调节三高,排毒养颜、改善睡眠,增强免疫力等等都有很好的功效,尤其是降低三高太有用了。爸妈年纪渐长,控制三高势在必行~ top100:20
淘宝优惠券领取处:Click here!