网络攻击术语(Technical terms of the attacks)

网络攻击术语(Technical terms of the attacks)

一、spoofing or impersonation attack 欺诈或模拟（冒充）攻击

一般表现为窃取身份认证凭据(authentication credentials)来实现非法服务接入(unauthorized service access)

窃取authentication credentials一般通过窃听(eavesdropping)信道或伪装(phishing)

这类攻击可以分类为

1. IP地址欺诈：伪造源IP头头部内容来掩盖发送者的身份，或发起反射式DDoS攻击(reflected distributed denial of service)
2. ARP欺诈：针对地址解析协议ARP，攻击者将自己的MAC地址连接到网络中合法成员的IP地址，从而窃取数据、修改传输中(in-transit)的数据、甚至终端局域网的数据传输。
3. DNS服务欺诈：修改DNS服务器，以将一个特定的域名重定向(reroutes)到受感染的未认证的IP地址

二、routing attacks 路由攻击

路由攻击以路由协议为目标，包括路由信息交换被欺诈(spoofed)、篡改(altered)、重现(replayed)，以创建虚假的路由行为（如虚假的网络流量吸引，即将网络流量错误引导）。

1. sinkhole attack 水坑攻击：：
   将一个虚假的路径作为最佳路由路径，以实现存在一个恶意节点吸引巨大流量[文中说法存疑待查阅参考文献考证]。攻击者探索受害者经常使用、攻击的网络节点（毕竟路径），植入恶意程序，来进行攻击。[普遍的说法]。属于APT（长期威胁攻击）。

2. selective forwarding attack 选择性转发攻击：
   攻击者恶意转发(forward)特定的恶意数据包，而丢弃(discard)原来真正正常(genuine)甚至重要的包。

3. blackhole attack 黑洞攻击：
   打乱网络中的正常流量：首先攻击到网络中的故障节点（弱点），然后以此为基础开始丢弃数据包

4. wormhole attack 虫洞攻击：
   虫洞攻击需要网络中至少两个故障节点通过有线或无线连接，两个节点之间建立隧道，虽然物理上二者距离很远，但实际上二者仅仅有一跳距离，可以打乱根据距离路由的协议，并在之后以此发动攻击。
   陈 剑;曾凡平. 虫洞攻击检测与防御技术[J]. 计算机工程, 2008, 34(7): 139-141.

5. replay attack 重放攻击：
   通过重发或延迟有效的数据来在已建立好的连接中获得未认证的接入

注：每个小类别都引用了论文作为支撑

三、tampering attacks 篡改攻击

1. device tampering 设备篡改：设备篡改很容易被部署，尤其是在无人值守的IoT系统中，无声无息地窃取以及恶意使用数据。设备可以作为软件或硬件被窃取。
2. data tampering 数据篡改：恶意篡改数据，如数据库中和数据交换时。

四、repudiation 抵赖

攻击者\设备进行一些恶意的行为，然后否认曾经做过此事

五、information disclosure 信息泄露

使用未经授权的信息接入。

攻击者可以通过部署伪装设备、伪装网络信道或物理设备接入来达到相同目的

六、DDoS 分布式拒绝服务攻击

通过不同手段向服务器发送大量请求来使被攻击主机应接不暇，无法对正常请求做出回应。

通常也可推广至浪费受害者网络资源、CPU资源等。

DDoS攻击可以被分为以下几类：

反射攻击和放大攻击参考：https://onestraw.github.io/cybersecurity/the-essence-of-ntp-and-dns-reflection-and-amplification-attack/

1. Flooding attack 洪水攻击：

   大量数据对受害系统进行轰炸，主要由UDP和ICMP包组成（利用其无连接性），充斥受害者的网络带宽。flooding attack很容易由僵尸(botnets)网络启动。

2. Reflection attack 反射攻击：

   攻击者伪造由受害者发来的数据包（数据包的源IP是受害者的IP），将伪造好的数据包发往一个反射服务器，服务器根据数据包的源IP进行应答，向受害者发送大量数据包。达到攻击者间接攻击受害者的目的。

3. Amplification attack 放大攻击：

   利用一些协议的特性（如DNS放大攻击：普通的DNS请求包的大小一般70字节左右，DNS应答包最大512字节(请求包的查询类型为ANY)，超过512字节会被截断。实施DNS反射攻击，攻击流量也能被放大7倍多。DNS的扩展机制EDNS，支持响应UDP数据包最大可达4000字节，这样攻击流量能被放大60倍左右。这个方法需要攻击者控制一个第三方DNS服务器，在上面存储一个4000字节的记录文本，用于响应查询请求。）攻击者向反射服务器发送很小的请求包，服务器以很大的数据包作为应答发往受害者，达到四两拨千斤的效果。

4. Protocol exploit attack 协议利用攻击

建立在不同协议上，利用协议本身的属性（如上一点中利用DNS请求和应答包的大小差异不同）进行攻击。如SYN洪水攻击，TCP rst攻击(主动像服务器发送伪造的请求端的SYN或者RST包，断开请求端和服务端的连接)，DNS水刑攻击(water torture attack)。

4. Malformed attack 畸形攻击

   畸形攻击利用一些畸形的数据包，比如一个IP地址同时作为源IP和目的IP。

5. Logical/software attack

   利用应用(层)协议进行攻击

上述攻击在某种程度上存在各自包含或者互相涉及的关系，并没有明显的非此即彼的界限，如放大攻击和反射攻击，协议利用和放大攻击等。

七、elevation of privilege 提升权限

常见的提升权限攻击有User-To-Root(U2R)和Remote-to-Local(R2L)

1. User-To-Root(U2R)表现为攻击者最初只拥有某节点的一般用户权限账户，随后获得超级用户(superuser)的根权限root。
2. Remote-to-Local(R2L)表现为攻击者最初在某节点上没有拥有用户账户，通过密码猜测和破解等手段寻找受害者的漏洞来获得节点本地接入的权限。

八、MITM(Man-In-The-Middle)中间人

MITM攻击分为ARP缓存中毒，DNS欺骗，会话劫持，ICMP重定向，端口窃取等。

九、user privacy 用户隐私

类似于信息泄露，但黑客不一定需要访问未经授权的信息来了解用户，因为这可以通过分析元数据与流量实现。
，

十、cloning Nodes 克隆节点

在捕获原始凭据和特征之后，重新引入网络中节点的克隆或系统中组件的克隆。

这种攻击使恶意用户可以控制系统，插入虚假信息，禁用功能等。一旦某个对象在攻击者的控制下而其所有者（僵尸网络）不知情，则整个网络都可能被感染。

引用: CHAABOUNI N, MOSBAH M, ZEMMARI A, et al. Network Intrusion Detection for IoT Security Based on Learning Techniques [J]. Ieee Communications Surveys and Tutorials, 2019, 21(3): 2671-701.