吳士君 李媛媛

[摘要]隨著信息化建設的快速發(fā)展,網(wǎng)絡入侵、攻擊對信息安全的威脅越來越大,從網(wǎng)絡攻擊原理、方法入手,來加強對網(wǎng)絡攻擊防范。

[關鍵詞]網(wǎng)絡攻擊攻擊技術網(wǎng)絡安全

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0820061-02

一、前言

隨著網(wǎng)絡技術的普及與應用的發(fā)展,信息化已成為人類社會發(fā)展的大趨勢,越來越多的人能使用和接觸網(wǎng)絡,網(wǎng)

民可從因特網(wǎng)上學習攻擊方法和下載黑客工具。網(wǎng)絡環(huán)境正受到不同類型的攻擊者,如黑客、罪犯、恐怖組織等的攻擊,威脅網(wǎng)絡信息的安全。要保證網(wǎng)絡信息的安全,有效防范網(wǎng)絡攻擊,就必須熟悉網(wǎng)絡攻擊的原理和常用方法,來建立行之有效地防范策略,確保網(wǎng)絡安全。

二、網(wǎng)絡攻擊概述

網(wǎng)絡攻擊是指對網(wǎng)絡系統(tǒng)的機密性、完整性、可用性、可控性、抗抵賴性產(chǎn)生危害的行為。這些危害行為可抽象地分為四個基本情形:信息泄露攻擊、完整性破壞攻擊、拒絕服務攻擊和非法使用攻擊。

隨著攻擊者的攻擊從以前的以單機系統(tǒng)為主轉(zhuǎn)變到以網(wǎng)絡及信息運行環(huán)境為主。攻擊者為了實現(xiàn)其目的,制定攻擊策略,使用各種各樣的工具組合,甚至由軟件程序自動完成目標攻擊。同時攻擊方法也多種多樣,如通過網(wǎng)絡偵聽獲取網(wǎng)上用戶的帳號和密碼、利用操作系統(tǒng)漏洞攻擊、強力破解口令、創(chuàng)建網(wǎng)絡隱蔽信道、安裝特洛伊木馬程序、分布式攻擊等。歸納起來,網(wǎng)絡攻擊具有以下的變化趨勢:(1)智能化、自動化。(2)網(wǎng)絡攻擊者的技術要求變低。(3)多目標網(wǎng)絡攻擊。(4)協(xié)同網(wǎng)絡攻擊。

三、網(wǎng)絡攻擊一般過程

我們可將網(wǎng)絡攻擊的全過程可歸納為若干階段,目的在于知己知彼,更好地做好網(wǎng)絡安全防范工作。通過分析若干攻擊事件以及攻擊者的入侵資料,我們將攻擊歸納為下面幾個步驟:1.攻擊身份和位置隱藏。2.目標系統(tǒng)信息收集。3.漏洞信息挖掘分析。4.目標使用權限獲取。5.攻擊活動隱蔽。6.攻擊活動實施。7.開辟后門。8.攻擊痕跡清除。

四、網(wǎng)絡攻擊常見技術方法

(一)端口掃描

端口掃描的目的是找出目標系統(tǒng)上提供的服務列表。端口掃描程序逐個嘗試與TCP/UDP端口連接,然后根據(jù)著名端口與服務的對應關系,結(jié)合服務器端的反應推斷目標系統(tǒng)上是否運行了某項服務。通過這些服務,攻擊者可能獲得關于目標系統(tǒng)的進一步的知識或通往目標系統(tǒng)的途徑。根據(jù)端口掃描利用的技術,可將掃描分成以下類型:完全連接掃描;半連接掃描;SYN掃描;ID頭信息掃描;隱蔽掃描;SYN︱ACK掃描;FIN掃描等。

網(wǎng)絡端口掃描是攻擊者必備的技術,通過掃描可以掌握攻擊目標的開放服務,根據(jù)掃描所獲得的信息,為下一步攻擊作準備。nmap是一個經(jīng)典的端口掃描器,它可實現(xiàn)上述多種技術方法,可以從http://www.insecure.

org網(wǎng)址下載。

(二)口令破解

口令機制是資源訪問控制的第一道屏障。網(wǎng)絡攻擊者常常以破解用戶的弱口令為突破口,獲取系統(tǒng)的訪問權限。隨著計算機硬件和軟件技術的發(fā)展,口令破解更為有效。專用的口令攻擊軟件,能夠針對不同的系統(tǒng)進行攻擊,例如John the Ripper軟件用于破解UNIX口令,L0phTCrack軟件用于破解WindowsNT口令。此外,一些遠程網(wǎng)絡服務口令破解軟件也開始出現(xiàn),攻擊者利用這些軟件工具,可遠程猜測網(wǎng)絡服務口令。其主要工作流程如下:第一步,建立與目標網(wǎng)絡服務的網(wǎng)絡連接;第二步,選取一個用戶列表文件及字典文件;第三步,在用戶列表文件及字典文件中選取一組用戶和口令,按網(wǎng)絡服務協(xié)議規(guī)定,將用戶名及口令發(fā)送給目標網(wǎng)絡服務端口;第四步,檢測遠程服務返回信息,確定口令嘗試是否成功;第五步,取另一組用戶和口令,重復循環(huán)試驗,直至口令用戶列表文件及字典文件選取完畢。

(三)緩沖區(qū)溢出

在網(wǎng)絡攻擊技術的發(fā)展歷程中,緩沖區(qū)溢出攻擊逐漸成為最有效的一種攻擊技術。緩沖區(qū)溢出攻擊可以使攻擊者有機會獲得一臺主機的部分或全部的控制權。據(jù)統(tǒng)計,緩沖區(qū)溢出攻擊占遠程網(wǎng)絡攻擊的絕大多數(shù)。在Bugtraq的調(diào)查中,有2/3的被調(diào)查者認為緩沖區(qū)溢出漏洞是一個很嚴重的安全問題。緩沖區(qū)溢出成為遠程攻擊主要方式的原因是,緩沖區(qū)溢出漏洞給予攻擊者控制程序執(zhí)行流程的機會。攻擊者將特意構造的攻擊代碼植入到有緩沖區(qū)溢出漏洞的程序之中,改變漏洞程序的執(zhí)行過程,就可以得到被攻擊主機的控制權。

(四)網(wǎng)絡蠕蟲

網(wǎng)絡蠕蟲最早的例子是1988年莫里斯編制的蠕蟲程序,該程序具有復制傳播功能,感染了UNIX系統(tǒng)主機,使網(wǎng)上6000多臺主機無法運行?！凹t色代碼”蠕蟲病毒利用微軟的Web服務器IIS 4.0或5.0中index服務的安全缺陷,通過自動掃描感染方式傳播蠕蟲。由于很多Windows NT系統(tǒng)和Windows 2000系統(tǒng)都缺省提供Web服務,因此該蠕蟲的傳播速度極快,大大地加重了網(wǎng)絡的通信負擔,常常造成網(wǎng)絡癱瘓。

(五)網(wǎng)站假冒

網(wǎng)絡攻擊者設法將信息發(fā)送端重定向到攻擊者所在的計算機,然后再轉(zhuǎn)發(fā)給接收者。例如攻擊者偽造某個網(wǎng)上銀行域名,用戶不知真假,卻按銀行要求輸入帳號和密碼,攻擊者從而獲取銀行帳號信息。

(六)拒絕服務

拒絕服務攻擊是指攻擊者利用系統(tǒng)的缺陷,通過執(zhí)行一些惡意的操作使得合法的系統(tǒng)用戶不能及時得到應得的服務或系統(tǒng)資源,如CPU處理時間、存儲器、網(wǎng)絡帶寬等。拒絕服務攻擊往往造成計算機或網(wǎng)絡無法正常工作,進而會使一個依賴于計算機或網(wǎng)絡服務的企業(yè)不能正常運轉(zhuǎn)。拒絕服務攻擊最本質(zhì)的特征是延長服務等待時間。常見的拒絕服務攻擊有以下幾種:同步風暴(SYN FIood);UDP洪水(UDP Flood);Smurf攻擊;垃圾郵件;消耗CPU和內(nèi)存資源的拒絕服務攻擊;死亡之ping(Ping of death);淚滴攻擊(teardrop attack)等。

(七)網(wǎng)絡嗅探

網(wǎng)絡嗅探器(network sniffer)是一種黑客工具,用于竊聽流經(jīng)網(wǎng)絡接口的信息,從而獲取用戶會話信息,如商業(yè)秘密、認證信息(用戶名、口令等)。一般的計算機系統(tǒng)通常只接收目的地址指向自己的網(wǎng)絡包,其他的包被忽略。但在很多情況下,一臺計算機的網(wǎng)絡接口可能收到目的地址并非指向自身的網(wǎng)絡包,如在完全的廣播子網(wǎng)中,所有涉及局域網(wǎng)中任何一臺主機的網(wǎng)絡通信內(nèi)容均可被局域網(wǎng)中所有的主機接收到,這就使得網(wǎng)絡竊聽變得十分容易。目前的網(wǎng)絡嗅探器大部分是基于以太網(wǎng)的,其原因在于現(xiàn)在廣泛使用的以太網(wǎng)采用的是共享信道的方法,即發(fā)給指定主機的信息將廣播直到整個網(wǎng)絡上。盡管在普通方式下,某臺主機只能收到發(fā)給它的信息,然而只要這臺主機將網(wǎng)絡接口的方式設成“雜亂”模式,就可以接收整個網(wǎng)絡上的信息包。利用以太網(wǎng)的特點,網(wǎng)絡攻擊者可以接收整個網(wǎng)絡上的信息包,獲取敏感的口令,甚至將其重組,還原為用戶傳遞的文件。通常,網(wǎng)絡嗅探器的工作如下:(1)打開文件描述字。(2)設置雜亂模式。(3)設置緩沖區(qū)、采集時間、抓取長度等。(4)設置過濾器。(5)讀取包。從文件描述字中讀取數(shù)據(jù),一般來說,就是數(shù)據(jù)鏈路層的幀,亦即以太網(wǎng)幀。(6)過濾、分析、解釋、輸出。

(八)SQL注入攻擊

在Web服務中,一般采用三層架構模式:瀏覽器+Web服務器+數(shù)據(jù)庫。其中,Web腳本程序負責處理來自瀏覽器端提交的信息,如用戶登錄名和密碼、查詢請求等。但是,由于Web腳本程序的編程漏洞,對來自瀏覽器端信息缺少輸入安全合法性檢查,因此網(wǎng)絡攻擊者利用這種類型漏洞,把SQL命令插入到Web表單的輸入域或頁面的請求查找字符串,欺騙服務器執(zhí)行惡意的SQL命令。此時,會輸出有關用戶的信息。而在網(wǎng)絡攻擊情況下,攻擊者可以構造特殊網(wǎng)頁口令輸入?yún)?shù),從而獲取users的敏感信息。

(九)社交工程方法(Social Engineering)

網(wǎng)絡攻擊者通過一系列的社交活動,獲取需要的信息。例如偽造系統(tǒng)管理員的身份,給特定的用戶發(fā)電子郵件騙取他的密碼口令。有的攻擊者給用戶送上免費試用程序,不過該程序除了可完成用戶所需的功能外,還隱蔽了一個將用戶的計算機信息發(fā)送給攻擊者的功能。很多時候,沒有經(jīng)驗的網(wǎng)絡用戶容易被攻擊者欺騙,泄露相關信息。例如,攻擊者打電話給公司職員,自稱是網(wǎng)絡安全管理員,要求獲得用戶口令。攻擊者得到用戶口令后,就能夠濫用合法用戶的權利。

(十)電子監(jiān)聽技術

網(wǎng)絡攻擊者采用電子設備遠距離地監(jiān)視電磁波的傳送過程。靈敏的無線電接收裝置能夠在遠處看到計算機操作者輸入的字符或屏幕顯示的內(nèi)容。

(十一)會話劫持

會話劫持是指攻擊者在初始授權之后建立一個連接,在會話劫持以后,攻擊者具有合法用戶的特權權限。例如,一個合法用戶撥通一臺主機,當工作完成后,沒有切斷主機,然后攻擊者乘機接管。因為主機并不知道合法用戶的連接已經(jīng)斷開,于是攻擊者能夠使用合法用戶的所有權限。典型的實例是“TCP會話劫持”。

(十二)漏洞掃描

漏洞掃描是一種自動檢測遠程或本地主機安全漏洞的軟件,通過漏洞掃描器,可以自動發(fā)現(xiàn)系統(tǒng)的安全漏洞。網(wǎng)絡攻擊者利用漏洞掃描來搜集目標系統(tǒng)的漏洞信息,為下一步攻擊做準備。常見漏洞掃描技術有CGI漏洞掃描、弱口令掃描、操作系統(tǒng)漏洞掃描、數(shù)據(jù)庫漏洞掃描等。一些黑客或安全人員為了更快地查找網(wǎng)絡系統(tǒng)中的漏洞,會針對某個漏洞開發(fā)專用的漏洞掃描工具,例如RPC漏洞掃描器。

(十三)代理技術

網(wǎng)絡攻擊者通過免費代理服務器進行攻擊,其特點是以代理服務器為“攻擊跳板”,即使攻擊目標的網(wǎng)絡管理員發(fā)現(xiàn),也難以追蹤到網(wǎng)絡攻擊者的真實身份或坤地址,為了增加追蹤的難度,網(wǎng)絡攻擊者還會用多級代理服務器或者“跳板主機”來攻擊目標。在黑客中,代理服務器被叫做“肉雞”,黑客常利用所控制的機器進行攻擊活動,例如DDoS攻擊。

(十四)數(shù)據(jù)加密技術

網(wǎng)絡攻擊者為了逃避網(wǎng)絡安全管理人員的追蹤,常常采用數(shù)據(jù)加密技術。加密使網(wǎng)絡攻擊者的數(shù)據(jù)得到了有效的保護,即使網(wǎng)絡安全管理人員得到了這些加密的數(shù)據(jù),由于沒有密鑰,也無法讀懂,這樣就實現(xiàn)了攻擊者的自身保護。攻擊者的安全原則是,任何與攻擊有關的內(nèi)容都必須加密或者立刻銷毀。

總之,計算機網(wǎng)絡信息安全是一項復雜的系統(tǒng)工程,防御網(wǎng)絡入侵與攻擊只是保障網(wǎng)絡信息安全的一部分。隨著計算機網(wǎng)絡的快速應用和普及,網(wǎng)絡信息安全的不確定因素也越來越多,我們必須綜合考慮各種安全因素,認真分析各種可能的入侵和攻擊形式,采取有效的技術措施,制定合理的網(wǎng)絡安全策略和配套的管理辦法,防止各種可能的入侵和攻擊行為,避免因入侵和攻擊造成的各種損失。

參考文獻:

[1]卿斯?jié)h,網(wǎng)絡攻防技術原理與實戰(zhàn),科學出版社.

[2]蔣建春,計算機網(wǎng)絡信息安全理論與實踐教程,西安電子科技大學出版社.

[3]袁德月,計算機網(wǎng)絡安全,電子工業(yè)出版社.

作者簡介:

吳士君(1980-),男,計算機科學與技術專業(yè),學士學位,計算機技術領域工程碩士在讀,邯鄲工程高級技工學校,助理講師,主要從事計算機應用、網(wǎng)絡、CAD、CAM等方面的教學工作;李媛媛(1982-),女,邯鄲工程高級技工學校,助理講師。