王敏 唐俊

1湖南機電職業(yè)技術(shù)學(xué)院信息工程系 湖南 410151 2湖南城建職業(yè)技術(shù)學(xué)院信息工程系 湖南 411101

0 前言

隨著信息時代的到來，越來越多的企業(yè)或個人逐步意識到信息安全防護的重要性。但又非常自然的以為安全技術(shù)能幫助他們免受網(wǎng)絡(luò)入侵者的惡意攻擊。但是，假如這樣，追求的只是一種安全意識，卻忘記了安全的最薄弱環(huán)節(jié)：人為因素。因此，分析黑客發(fā)動攻擊的心理及動機，以及所采用的工具、技術(shù)和攻擊方法是非常必要的，用以給每個關(guān)心網(wǎng)絡(luò)安全性的人提供幫助。

1 攻擊目標(biāo)

1.1 尋找目標(biāo)

浩瀚的因特網(wǎng)上有幾十億可能的公有IP地址，因此發(fā)現(xiàn)一個適當(dāng)?shù)哪繕?biāo)難度該有多大？這或許是人們首先關(guān)注的安全問題。連接入網(wǎng)是黑客發(fā)現(xiàn)你的方法之一；因此，必須考慮如何避免黑客的攻擊。購買最好的安全技術(shù)工具來保護你的PC，并且經(jīng)常打補丁以保證這些技術(shù)是最新。并且希望公司有專門負(fù)責(zé)網(wǎng)絡(luò)安全的小組，希望安全專家都具有高水平的技術(shù)能力等。事實上普通信息竊取，垃圾搜尋(dumpser diving)才是信息安全最薄弱的環(huán)節(jié)。問題就在于，對一個社會工程師來說，即便是公司丟棄的垃圾也是不安全的。使用“社會工程學(xué)”的黑客能夠很輕松地獲得這樣的信息，連同另外一些更容易弄到的信息就可以進行下一步的入侵了。

1.2 機會性目標(biāo)

很多時候，黑客使用多種工具在網(wǎng)絡(luò)上游蕩，并且隨時準(zhǔn)備發(fā)現(xiàn)某個可能的目標(biāo)。除了黑客以外，還有許多“菜鳥級”的網(wǎng)絡(luò)搗亂者。判定你是否會成為一個“機會性目標(biāo)”的關(guān)鍵在于你的安全構(gòu)架。根據(jù)經(jīng)驗，如果你沒有適當(dāng)?shù)姆阑饓蛘叻阑饓荛L時間沒有升級過了，你就有可能成為黑客的一個“機會性目標(biāo)”。

1.3 選擇性目標(biāo)

黑客在選擇目標(biāo)的時候通常在心里已有了一個目標(biāo)?；蛟S你的公司有一種引發(fā)業(yè)界革命的新產(chǎn)品，或許你的信用很好以致身份令人垂涎，或許某雇員對公司不滿，或許你的公司掌握著某人很看重的其他公司的信息，或許公司業(yè)務(wù)已陷入混亂而早已被人覬覦，或許公司業(yè)務(wù)被卷入社會政治風(fēng)波，在這些情況下，或者其他許多情況下，你正式成為黑客的一個選擇性目標(biāo)。

2 攻擊過程

攻擊者可以采用多種方式訪問一個系統(tǒng)，無論攻擊者的目標(biāo)是何種系統(tǒng)，他們采取的步驟都基本相同。

2.1 偵察和踩點

偵察和踩點就是指黑客對公司和網(wǎng)絡(luò)進行的情報準(zhǔn)備。黑客指望著能在該階段獲得有用信息。

2.1.1 被動偵探(passive reconnaissance)

使用DNS進行被動偵探，如nslookup命令即可泄露你的網(wǎng)絡(luò)域名信息；可見只使用 DNS工具，黑客就可以得到目標(biāo)網(wǎng)站的公開IP地址以及其DNS和E-mail服務(wù)器的地址等。另外Whois是許多應(yīng)用和因特網(wǎng)免費提供的一個工具，利用它，目標(biāo)公司的網(wǎng)址已經(jīng)成為一種非常有用的信息，攻擊者從中可以得到很多信息。黑客可將這些信息用于社會工程學(xué)，獲得網(wǎng)絡(luò)系統(tǒng)識別和系統(tǒng)管理員身份等。通過這些信息的跟蹤，黑客可能會對目標(biāo)網(wǎng)絡(luò)有了一個更深層次的洞察。

2.1.2 主動偵探(active reconnaissance)

通過目標(biāo)網(wǎng)絡(luò)的公開 IP地址來確定在這些服務(wù)器上運行了什么服務(wù)。如使用Google搜索關(guān)鍵詞“Welcome to IIS 4.0”，你就會發(fā)現(xiàn)究竟有多少IIS服務(wù)器在運行。同時黑客常使用WhatRoute對一類子網(wǎng)進行ping掃描，從掃描結(jié)果了解自己是否可能被發(fā)現(xiàn)，從而采用主動偵探的方式，一直到他獲得足夠的信息來找到一個可以攻擊該系統(tǒng)的漏洞。

2.2 掃描

偵察和踩點之后，黑客弄清楚了網(wǎng)絡(luò)內(nèi)的主機分布、使用的操作系統(tǒng)、系統(tǒng)管理員信息、提交到新聞組的討論、辦公地點，以及上游的入侵防御系統(tǒng)。黑客掌握了網(wǎng)絡(luò)和設(shè)備布局后，就準(zhǔn)備對服務(wù)和開放端口進行監(jiān)聽，以確定將承擔(dān)的風(fēng)險、留下的痕跡等。黑客經(jīng)常使用 NMAP、TigerSuite進行詳細(xì)掃描，以獲得有用信息。另外一類掃描是弱點(漏洞)掃描，通常使用 X-Scanner、Superscan、掃描器流光等發(fā)現(xiàn)系統(tǒng)漏洞。

2.3 枚舉分析

網(wǎng)絡(luò)環(huán)境的勾畫包括踩點、掃描和枚舉分析。黑客通過踩點可以將其活動范圍限定到那些最有希望發(fā)現(xiàn)漏洞的系統(tǒng)上。通過掃描則可以找到開放的端口和正在運行的服務(wù)。枚舉分析用于提取有效的賬戶信息以及輸出資源。枚舉分析包括對特定系統(tǒng)的動態(tài)連接以及對這些特定系統(tǒng)的直接連接請求。針對不同操作系統(tǒng)都有相應(yīng)的枚舉分析技術(shù)來對付。其中Windows操作系統(tǒng)中常使用net view、nbtstat進行枚舉分析。

2.4 獲得訪問通道

很多人都錯誤的認(rèn)為黑客想要“控制”入侵的目標(biāo)設(shè)備，其實黑客更有可能是想獲得進入目標(biāo)主機的訪問通道。使用枚舉分析找到更容易的入口后，就可以用合法的用戶賬號以及缺乏保護的資源共享來開始更強力的偵測，從而獲得訪問通道。黑客必須通過系統(tǒng)某個方面的漏洞來獲得對該系統(tǒng)的訪問通道。通常采用操作系統(tǒng)攻擊、應(yīng)用程序攻擊、錯誤配置攻擊、腳本攻擊四類攻擊。

2.4.1 操作系統(tǒng)攻擊

操作系統(tǒng)首先必須滿足用戶的各種需求，在一定程度上支持網(wǎng)絡(luò)環(huán)境，要求的網(wǎng)絡(luò)能力越強，提供的服務(wù)也就越多，隨之開放端口也會多，提供更多可用的動態(tài)服務(wù)，黑客就有越多機會選擇攻擊，從而獲得訪問通道。

2.4.2 應(yīng)用程序攻擊

應(yīng)用程序的不完善，不規(guī)范也是獲得訪問通道的途徑。

2.4.3 錯誤配置攻擊

系統(tǒng)管理員的工作就是保證系統(tǒng)安全或系統(tǒng)能提供用戶需要的功能。這通常意味著需要進行系統(tǒng)配置。錯誤配置沒有讓系統(tǒng)管理員引起重視，他們一般不會回頭研究如何解決碰到的難題，也不會禁用那些不需要的服務(wù)；另外忘記改變寫入設(shè)備程序的缺省管理用戶名和口令，也是黑客攻擊獲取通道的途徑。

2.4.4 腳本攻擊

UNIX和Linux使用腳本攻擊最簡單。許多這樣的操作系統(tǒng)都自帶可用的例子腳本和程序。它們一旦被啟動或未經(jīng)測試，就有可能導(dǎo)致你的系統(tǒng)被黑客攻擊。緩沖區(qū)溢出、暴力破解口令、嘗試且嗅探口令、捕獲口令標(biāo)記等。

2.5 權(quán)限提升

盡管獲得對系統(tǒng)的訪問通道，可普通用戶或許并不具備有黑客為達到目的所需要的權(quán)限，黑客必須提升權(quán)限級別。黑客可能采取的行動：進入系統(tǒng)內(nèi)部，運行適當(dāng)?shù)南到y(tǒng)漏洞檢測代碼獲得更多的權(quán)限；使用多種免費的口令破解工具來破譯口令；搜尋未經(jīng)加密(即明文)的口令；考察一下被入侵的系統(tǒng)和網(wǎng)絡(luò)中其他系統(tǒng)之間的信任關(guān)系，以期發(fā)現(xiàn)另外一個攻擊機會；查看文件或共享權(quán)限是否設(shè)置不當(dāng)。黑客還可能采用拒絕服務(wù)(DoS)攻擊、同步(SYN flood)攻擊、ICMP技術(shù)、碎片重疊/碎片偏移錯誤、緩沖區(qū)溢出等。

2.6 生成后門并隱藏蹤跡

黑客實現(xiàn)了對目標(biāo)系統(tǒng)的控制之后，必須隱藏蹤跡，防止被管理員察覺。對基于Windows的系統(tǒng)，黑客必須清除或整理時間日志和注冊表表項。對基于UNIX的系統(tǒng)，他則必須清空歷史文件，并且運行日志清除工具(log wiper)來清理UTMP、WTMP以及LastLog日志文件。

初次入侵后，黑客想要保持進入該系統(tǒng)的訪問通道，他就會創(chuàng)建后門以便以后再次訪問?？赡苁褂肗etcat、VNC、鍵盤記錄器、定制程序等工具，建立系統(tǒng)賬戶、定期執(zhí)行批處理任務(wù)、開機運行程序或者遠(yuǎn)程控制服務(wù)或軟件，以及用木馬偽造合法的服務(wù)或程序等。

3 網(wǎng)絡(luò)攻擊的防范對策

3.1 強化網(wǎng)絡(luò)安全意識

網(wǎng)絡(luò)安全意識是安全的前提，必須堅持強化意識、自覺防范、主動作為的原則。杜絕黑客竊取普通信息，培養(yǎng)公司所有資料都應(yīng)該視為敏感信息的意識，主動填補社會工程學(xué)陷阱?？此茻o關(guān)緊要的普通信息都應(yīng)該保護起來，每個員工都應(yīng)該意識到，除非在數(shù)據(jù)分級標(biāo)準(zhǔn)里明確規(guī)定，否則絕不能泄露。降低該網(wǎng)絡(luò)系統(tǒng)成為攻擊目標(biāo)的可能性。

3.2 定期查看日志，及時給系統(tǒng)、軟件打補丁

定期查看系統(tǒng)日志，關(guān)注網(wǎng)絡(luò)安全基礎(chǔ)工具，發(fā)現(xiàn)異端及時處理，覺察入侵者的偵察和踩點行為并予以制止。

及時觀察系統(tǒng)補丁是網(wǎng)絡(luò)安全的基礎(chǔ)，微軟不斷推出新的補丁，為了網(wǎng)絡(luò)信息的安全，還是應(yīng)該到微軟的站點下載用戶電腦操作系統(tǒng)對應(yīng)的補丁程序，很多的病毒木馬程序都是由于系統(tǒng)的漏洞才使得它們有機可乘。許多應(yīng)用軟件也存在漏洞，也有非法者入侵者的“窗口”，也要注意并及時打好補丁。削弱入侵者的掃描效果，減少訪問通道獲得的機率，同時可以防止權(quán)限提升。

3.3 禁用空閑服務(wù)，封閉空閑端口

服務(wù)開得多可以給管理帶來方便。但也會給黑客留下可乘之機，因此應(yīng)該關(guān)閉用不到的服務(wù)。比如在不需要遠(yuǎn)程管理計算機時，最好把有關(guān)遠(yuǎn)程網(wǎng)絡(luò)登錄的服務(wù)關(guān)掉。去掉不必要的服務(wù)之后，不僅能提高系統(tǒng)運行速度，而且還可以保證系統(tǒng)的安全。

文件和打印共享應(yīng)該是一個非常有用的功能，但它也是引發(fā)黑客入侵的安全漏洞。所以在不需要“文件和打印共享”的情況下，我們可以將其關(guān)閉。即便確實需要共享，也應(yīng)該為共享資源設(shè)置訪問密碼。

杜絕枚舉分析，最好方法是設(shè)置路由器和防火墻以阻擋NetBIOS包的出入。為了防止對安全的分層攻擊，禁用135至139間的TCP及UDP端口，Windows的TCP和UDP445端口。

在默認(rèn)的情況下，任何用戶都可以通過空連接連上服務(wù)器，枚舉賬號并猜測密碼。因此我們必須禁止建立空連接。拒絕枚舉分析，以及起到關(guān)閉“后門”的作用。

4 結(jié)論

計算機網(wǎng)絡(luò)的飛速發(fā)展，勢必同時也伴隨著網(wǎng)絡(luò)攻擊的猖獗，本文從發(fā)現(xiàn)正確的目標(biāo)到執(zhí)行攻擊，對黑客的攻擊方法做了一些相應(yīng)的剖析，旨在幫助關(guān)心網(wǎng)絡(luò)安全的人群能更加關(guān)注安全問題，并且有針對性的結(jié)合防范措施避免入侵者的惡意攻擊。

[1]Tom Thomas.Network Security first-step.posts&telecom press.2005.

[2]Kevin Mitnick,William Simon. The Art of Deception: Controlling the Human Element of Security.2005.

[3]宋慶大,顏定軍.計算機安全漏洞與應(yīng)對措施[J].計算機安全.2009.

[4]張小磊,計算機病毒診斷與防治[M].北京希望電子出版社.2005．

[5]方曉,遲霄霄,孟丹丹.計算機網(wǎng)絡(luò)與防范研究.計算機安全.2009.