徐海波

摘要：如今互聯(lián)網(wǎng)正在遭受著愈發(fā)嚴(yán)峻的安全挑戰(zhàn)，例如，邏輯炸彈，計(jì)算機(jī)病毒，拒絕服務(wù)攻擊等。網(wǎng)絡(luò)攻擊旨在破壞網(wǎng)絡(luò)信息的保密性，完整性，可用性，可審查性，可用性。采用加密技術(shù)，數(shù)字簽名，完整性技術(shù)和認(rèn)證技術(shù)可以防御網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊的過(guò)程中，攻擊者獲取網(wǎng)絡(luò)信息，進(jìn)行域名信息探測(cè)，網(wǎng)絡(luò)連通性探測(cè)，路由信息探測(cè)和局域網(wǎng)信息探測(cè)等。介紹了路由信息探測(cè)的技術(shù)原理，主要利用Ip數(shù)據(jù)包的TTL字段。圖形化的路由工具VisualRoute可以更加直觀形象地向使用者展示數(shù)據(jù)包在網(wǎng)絡(luò)中傳輸?shù)那闆r。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊；網(wǎng)絡(luò)防御；路由探測(cè)；VisualR.oute

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）13-0018-02

1概述

網(wǎng)絡(luò)的出現(xiàn)給人們的生活，學(xué)習(xí)以及工作方式提供了一種全新的模式。通過(guò)網(wǎng)絡(luò)，人們可以有效地實(shí)現(xiàn)信息交換，資源共享等，網(wǎng)絡(luò)為人類社會(huì)提供了一個(gè)互操作性的平臺(tái)。與此同時(shí)網(wǎng)絡(luò)也面臨著極大的安全挑戰(zhàn)。最初進(jìn)行操作系統(tǒng)開發(fā)和網(wǎng)絡(luò)協(xié)議制定時(shí)，人們只考慮到系統(tǒng)和協(xié)議的可使用性而忽略了其安全性。伴隨著蠕蟲病毒事件，后門事件的爆發(fā)，人們開始逐漸意識(shí)到網(wǎng)絡(luò)的安全性問題以及其重要性。當(dāng)信息在網(wǎng)絡(luò)中傳輸時(shí)，需要進(jìn)一步保證數(shù)據(jù)的安全性，隱蔽性，不被他人篡改嗅探，實(shí)現(xiàn)信息的保密性，完整性和可用性。

如今的網(wǎng)絡(luò)環(huán)境充滿各式各樣的威脅。對(duì)于個(gè)體用戶而言，由于本身對(duì)外提供的服務(wù)很少，所以安全防范比較簡(jiǎn)單，安全性比較容易得到保障，面臨的最大問題類似特洛伊木馬，病毒或者后門?；趥€(gè)人用戶的攻擊一釣魚攻擊是最常見的一種方式，所謂的釣魚攻擊即是引誘用戶去訪問某一個(gè)網(wǎng)站，利用安裝的第三方軟件的漏洞，下載木馬程序運(yùn)行。

相比之下，企業(yè)用戶面臨的問題較為嚴(yán)峻，企業(yè)用戶通常需要對(duì)外提供服務(wù)，善意的或是惡意的用戶都可以訪問。出于商業(yè)競(jìng)爭(zhēng)或者獲取企業(yè)核心機(jī)密的目的，惡意用戶對(duì)企業(yè)服務(wù)器進(jìn)行攻擊，之后再進(jìn)行內(nèi)部網(wǎng)頁(yè)的滲透進(jìn)而獲取非法權(quán)限，外部的攻擊或者內(nèi)部的攻擊都可能導(dǎo)致信息的丟失篡改銷毀。

2網(wǎng)絡(luò)攻擊的目標(biāo)及防御技術(shù)

網(wǎng)絡(luò)信息安全分為五類基本要素，分別為保密性，完整性，可用性，可控性和可審查性。保密性，也稱機(jī)密性，確保信息不暴露給非授權(quán)的實(shí)體或者進(jìn)程；完整性，只有得到授權(quán)的人才能修改數(shù)據(jù)，并且能夠有效判斷數(shù)據(jù)是否已被篡改，破壞數(shù)據(jù)的完整性是破壞網(wǎng)絡(luò)信息安全的最終目標(biāo)；可用性：得到授權(quán)的實(shí)體在需要時(shí)可以訪問數(shù)據(jù)，拒絕不具備權(quán)限的實(shí)體或進(jìn)程訪問數(shù)據(jù)；可控性，授權(quán)機(jī)構(gòu)可以控制授權(quán)范圍內(nèi)的信息流向及行為方式；可審查性，即非否認(rèn)（抗抵賴）性，在信息交流過(guò)程結(jié)束后，通信雙方都無(wú)法抵賴數(shù)據(jù)傳輸?shù)氖聦?shí)，對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。

根據(jù)上述網(wǎng)絡(luò)信息安全的基本要素，得知網(wǎng)絡(luò)攻擊意圖破壞網(wǎng)絡(luò)信息的保密性，完整性，可用性，可審查性，可用性。采用加密技術(shù)可以防止信息被竊取，為了防止信息抵賴可以采用數(shù)字簽名技術(shù)，完整性技術(shù)可以防止信息篡改。鑒別信息冒充可以利用認(rèn)證技術(shù)。

3網(wǎng)絡(luò)攻擊過(guò)程

一般情況下，將網(wǎng)絡(luò)攻擊過(guò)程劃分為三個(gè)階段，預(yù)攻擊，攻擊和后攻擊階段。預(yù)攻擊階段主要是收集信息，獲得域名和IP分布，應(yīng)用系統(tǒng)情況等，用于制定下一步的攻擊決策。在發(fā)起攻擊之前，隱藏自己的攻擊身份和位置，收集目標(biāo)系統(tǒng)信息，挖掘分析弱點(diǎn)信息；攻擊階段，隱藏攻擊行為，實(shí)施攻擊。獲得遠(yuǎn)程權(quán)限，進(jìn)入遠(yuǎn)程系統(tǒng)，提升本地權(quán)限，進(jìn)一步擴(kuò)展權(quán)限，進(jìn)行實(shí)質(zhì)性操作獲取目標(biāo)使用權(quán)限。后攻擊階段，消除攻擊痕跡，長(zhǎng)期維持一定的權(quán)限。為下一次的攻擊植入后門木馬，刪除日志，修補(bǔ)明顯的漏洞，進(jìn)一步滲透和擴(kuò)展，開辟后門。

預(yù)攻擊階段收集目標(biāo)系統(tǒng)的信息，進(jìn)行進(jìn)一步的攻擊決策。信息的獲取過(guò)程是循序漸進(jìn)的。從攻擊者的角度來(lái)說(shuō)，對(duì)于攻擊目標(biāo)，知道的信息越詳細(xì)越好。收集的信息包括系統(tǒng)的一般信息，例如，系統(tǒng)的軟硬件平臺(tái)，系統(tǒng)用戶，系統(tǒng)服務(wù)及應(yīng)用等；系統(tǒng)及服務(wù)的管理配置；系統(tǒng)口令的安全性，是否存在默認(rèn)缺省口令，弱口令；系統(tǒng)服務(wù)的安全性，是否提供了安全性較差的服務(wù)，是否使用了低版本服務(wù)等。

在獲取目標(biāo)主機(jī)信息之前，需要獲取源主機(jī)和目標(biāo)主機(jī)之間的網(wǎng)絡(luò)信息。路由信息探測(cè)技術(shù)作為獲取網(wǎng)絡(luò)信息的方式之一發(fā)揮著很大的作用。

4路由信息探測(cè)

從網(wǎng)絡(luò)故障偵測(cè)角度來(lái)說(shuō)，如果突然不能夠訪問目標(biāo)的一臺(tái)主機(jī)，探測(cè)從源地址通往目標(biāo)地址所經(jīng)過(guò)的路由器，可以找到出現(xiàn)問題的結(jié)點(diǎn)。對(duì)于網(wǎng)絡(luò)攻擊而言，對(duì)路由進(jìn)行探測(cè)時(shí)，攻擊者一般更為關(guān)注網(wǎng)絡(luò)中從目標(biāo)主機(jī)開始算起的倒數(shù)第二個(gè)結(jié)點(diǎn)或倒數(shù)第一個(gè)結(jié)點(diǎn)。通常情況下，這個(gè)節(jié)點(diǎn)是目標(biāo)主機(jī)外圍的防火墻，探測(cè)這臺(tái)機(jī)器的安全訪問程度，安全訪問策略，可以訪問的端口號(hào)可以有效幫助攻擊者獲清對(duì)方的拓?fù)浣Y(jié)構(gòu)，路由狀況和安全防護(hù)狀況等。

4.1技術(shù)原理

TCP、IP協(xié)議定義的IP數(shù)據(jù)包格式如圖1所示，頭部的固定部分有20個(gè)字節(jié)，其中的生存時(shí)間（TTL）字段，用來(lái)標(biāo)識(shí)IP數(shù)據(jù)包的存活時(shí)間，數(shù)據(jù)包的存活時(shí)間不是以時(shí)，分，秒來(lái)度量，而是以網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中通過(guò)路由器的數(shù)目來(lái)標(biāo)記。

源主機(jī)向網(wǎng)絡(luò)中發(fā)送一個(gè)IP數(shù)據(jù)包時(shí)會(huì)給TTL字段賦一個(gè)初值，數(shù)據(jù)包在網(wǎng)絡(luò)中傳輸?shù)倪^(guò)程中每通過(guò)一個(gè)路由器或者網(wǎng)關(guān)，TTL字段的值就會(huì)減1，直至到達(dá)某一個(gè)路由器時(shí)TTL的值變?yōu)?，此時(shí)該路由器直接丟棄此數(shù)據(jù)包，不再繼續(xù)向網(wǎng)絡(luò)的下一個(gè)結(jié)點(diǎn)傳送。

構(gòu)建源地址和目標(biāo)地址間網(wǎng)絡(luò)信息的具體步驟：

Step1：構(gòu)造一個(gè)IP數(shù)據(jù)包，將它的TYL字段值設(shè)為1（Win-dows系統(tǒng)發(fā)送IP數(shù)據(jù)包TTL字段的默認(rèn)值是128，Unix系統(tǒng)為256）。IP數(shù)據(jù)包在網(wǎng)絡(luò)中傳輸，到達(dá)第一個(gè)路由器，TFL字段的值減1變?yōu)?，數(shù)據(jù)包過(guò)期，路由器將這一信息回送給Source，那么源地址會(huì)收到第一個(gè)路由器發(fā)送的數(shù)據(jù)包過(guò)期的消息通知，Source就獲知了第一個(gè)路由器的IP地址。

Step2：構(gòu)造TI'L字段為2的數(shù)據(jù)包，到達(dá)第一個(gè)路由器時(shí)TTL減1，值變?yōu)?。傳送到第二個(gè)路由器TTL的值減1變?yōu)?，第二個(gè)路由器給源地址發(fā)送消息。源地址就知道了第二個(gè)路由器的地址。

Step3：以此類推，TYL字段的值依次增1。直到增加到某一數(shù)值，數(shù)據(jù)包能夠順利地到達(dá)目標(biāo)地址。

通過(guò)以上過(guò)程，獲知數(shù)據(jù)包在源主機(jī)和目標(biāo)主機(jī)傳輸過(guò)程中所經(jīng)過(guò)的所有結(jié)點(diǎn)信息。

4.2路由查詢命令

在Unix系統(tǒng)中，路由查詢命令：traeeroute。這個(gè)命令向目標(biāo)主機(jī)某個(gè)不知名的高端口（大于1024小于65535）發(fā)送UDP探測(cè)包。在Windows中路由查詢命令tracert向目標(biāo)主機(jī)發(fā)送ICMP Echo Request探測(cè)數(shù)據(jù)包。UDP探測(cè)包和ICMP探測(cè)包并不能保證可靠性，所以為了提高可靠性，tracea和traceroute命令會(huì)向目標(biāo)主機(jī)發(fā)送三個(gè)數(shù)據(jù)包。利用路由查詢命令可以獲知源地址和目的地址之間所有的路由器或網(wǎng)關(guān)的IP地址。Vi-sualRoute是圖形化的路由查詢工具，它不僅集成了ping，whois和traceroute的功能，而且可以自動(dòng)分析網(wǎng)絡(luò)連接結(jié)構(gòu)并呈現(xiàn)在世界地圖上。

5結(jié)束語(yǔ)

伴隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用，與Internet有關(guān)的安全問題日漸突出。簡(jiǎn)單介紹了網(wǎng)絡(luò)攻擊的過(guò)程，攻擊者在預(yù)攻擊階段需要對(duì)網(wǎng)絡(luò)信息進(jìn)行獲取，路由信息探測(cè)幫助攻擊者獲知數(shù)據(jù)包在源主機(jī)和目標(biāo)主機(jī)傳輸過(guò)程中所經(jīng)過(guò)的所有結(jié)點(diǎn)信息。另外，了解網(wǎng)絡(luò)攻擊技術(shù)有助于人們從正面角度去采取預(yù)防措施。