信息收集型網(wǎng)絡(luò)攻擊及其預(yù)防

（南通大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇 南通 226019）

摘要：信息收集型網(wǎng)絡(luò)攻擊是一類常見的網(wǎng)絡(luò)攻擊。該文對此類攻擊的常見方法和典型攻擊工具進(jìn)行了介紹，并針對攻擊原理提出了一些有效的預(yù)防措施。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊；信息收集型網(wǎng)絡(luò)攻擊；攻擊預(yù)防

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)31-0875-02

Network Attack and Prevention of Information Collecting

GU Xiang，LI Wei

(School of Computer Science and Technology， Nantong University， Nantong 226019， China)

Abstract: Information collecting attack is a kind of common network attack. The paper introduces some usual methods and typical tools about the attack. A lot of working preventive measures is also provided aimed at attacking principle.

Key words: network attack; information collecting attack; attack prevention

1 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)信息的安全問題也日漸突出，它已經(jīng)成為了科學(xué)研究的一個(gè)重大課題。現(xiàn)階段，網(wǎng)絡(luò)攻擊的手段花樣翻新，層出不窮，大致來說，可以分成如下四類：拒絕服務(wù)型攻擊、利用型攻擊、信息收集型攻擊、假消息攻擊。本文擬就其中的信息收集型攻擊作一些初步的探討。

與其他類型的攻擊不同，信息收集型攻擊并不會對被攻擊對象直接造成危害。攻擊者（黑客）使用工具對目標(biāo)主機(jī)或數(shù)據(jù)包的傳輸進(jìn)行檢查從而獲得一些本該隱藏的信息，為下一步的入侵做好準(zhǔn)備。

2 獲取敏感信息攻擊

在網(wǎng)絡(luò)中，“敏感”是指一個(gè)實(shí)體中的關(guān)鍵或比較重要的元素，敏感信息就是指實(shí)體中的關(guān)鍵信息，是能讓人通過它就可以獲取某種重要的信息。比如帳號、密碼、口令。

2.1 獲取敏感信息攻擊的常見方法

這類攻擊中比較常見的方法有：網(wǎng)絡(luò)釣魚、弱口令猜測、密碼監(jiān)聽等等。

網(wǎng)絡(luò)釣魚(Phishing)：它是“Fishing”和“Phone”的綜合詞。攻擊者利用欺騙性的E-mail和偽造的Web站點(diǎn)來進(jìn)行詐騙活動，使受騙者泄露自己的重要數(shù)據(jù)，如信用卡號、用戶名和口令等。比如曾經(jīng)某假冒中國工商銀行網(wǎng)站，網(wǎng)址為http://www.1cbc.com.cn/，而真正中國工商銀行網(wǎng)站是http://www.icbc.com.cn/，攻擊者就是利用數(shù)字1和字母i非常相近的特點(diǎn)來誘騙用戶登錄填寫一些重要資料，從而獲取用戶的敏感信息。

弱口令猜測：攻擊者利用現(xiàn)實(shí)中存在著大量主機(jī)/服務(wù)器的認(rèn)證是空或是簡單密碼這個(gè)弱點(diǎn)，借助專門的掃描器就來掌握它們的控制權(quán)。

密碼監(jiān)聽：攻擊者通過網(wǎng)絡(luò)嗅探器來監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)包，從而獲得密碼。這類方法對于明文密碼特別有效，如果數(shù)據(jù)包是加密的，那就需要通過解密算法來進(jìn)行破解。

2.2 常用的獲取敏感信息攻擊工具

X-Scan掃描器：它是由安全焦點(diǎn)開發(fā)的一個(gè)功能強(qiáng)大的掃描工具。采用多線程方式對指定IP地址段(或單個(gè)主機(jī))進(jìn)行安全漏洞檢測，支持插件功能，提供了圖形界面和命令行兩種操作方式，掃描內(nèi)容包括：遠(yuǎn)程服務(wù)類型、操作系統(tǒng)類型及版本，各種弱口令漏洞、后門、應(yīng)用服務(wù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、拒絕服務(wù)漏洞等等。

SMBCrack: 它是一款由流光開發(fā)的測試原型，與以往的SMB（共享）暴力破解工具不同，沒有采用系統(tǒng)的API，而是使用了SMB協(xié)議。在Windows 2000中可以在同一個(gè)會話內(nèi)進(jìn)行多次密碼試探。

WMICracker: 它是一款基于WMI的Windows2000/NT的多線程帳號破解工具。該工具不依賴于IPC$（也就是不依賴于Server服務(wù))。從速度上來說，比IPC$快，但是不如SMBCrack，適用于SMBCrack無法使用的場合。

2.3 獲取敏感信息實(shí)例

實(shí)例1：建立假冒的網(wǎng)站，利用木馬或黑客手段來竊取用戶信息實(shí)施盜竊。

在2004年7月，一個(gè)惡意網(wǎng)站www.1enovo.com偽裝成聯(lián)想主頁www.lenovo.com，它用數(shù)字1取代英文字母L，并利用多種IE漏洞種植網(wǎng)頁木馬，同時(shí)散布“聯(lián)想集團(tuán)和騰訊公司聯(lián)合贈送QQ幣”的虛假消息，引誘用戶訪問。一旦訪問該網(wǎng)站，首先生成一個(gè)彈出窗口，上面顯示“免費(fèi)贈送QQ幣”的虛假消息。而就在該彈出窗口出現(xiàn)的同時(shí)，惡意網(wǎng)站主頁面在后臺即通過多種IE漏洞下載病毒程序lenovo.exe（TrojanDownloader.Rlay），并在2秒鐘后自動轉(zhuǎn)向到真正網(wǎng)站主頁。用戶在毫無覺察中就感染了病毒，從而泄露了自己的大量信息。一旦病毒程序執(zhí)行后，還將下載該網(wǎng)站上的另一個(gè)病毒程序bbs5.exe，它專門用來竊取用戶的傳奇游戲帳號、密碼和游戲裝備的。當(dāng)用戶通過QQ聊天時(shí)，還會自動發(fā)送包含惡意網(wǎng)址的消息。

實(shí)例2：使用X-Scan掃描器來破解、猜測用戶的帳號、密碼以及系統(tǒng)的一些弱口令。

圖1所示的是X-Scan掃描器的界面。首先在“指定IP范圍”中填入想要掃描的IP地址段；接著再選擇“全局設(shè)置/掃描模塊”，在彈出來的選項(xiàng)框中選擇所要掃描的對象，如：開放服務(wù)、NT-Server弱口令、遠(yuǎn)程操作系統(tǒng)、Telnet弱口令、FTP弱口令、SQL-Server弱口令、POP3弱口令等等；然后在“掃描報(bào)告”中設(shè)置報(bào)告文件的類型；在“其他設(shè)置”中可以選擇“跳過沒有響應(yīng)的主機(jī)”和“跳過沒有開放端口的主機(jī)”；最后點(diǎn)擊“確定”可以開始掃描。

掃描結(jié)束后將自動彈出掃描結(jié)果頁面，如圖2所示。

在掃描的報(bào)告中可以看到221.131.152.12這臺主機(jī)存在一個(gè)NT-Server弱口令漏洞：它的管理員帳號為adminstrator，密碼為空。攻擊者（黑客）可以利用這漏洞輕松的進(jìn)入這臺主機(jī)中獲取他們想要的信息。

其次報(bào)告中還顯示FTP開放著多個(gè)端口，例如報(bào)告提示microsoft-ds(445/tcp)，這就是說明了這臺主機(jī)的通訊是通過445端口完成的。攻擊者（黑客）可以利用該漏洞獲取主機(jī)的共享連接、用戶名列表以及其他的相關(guān)信息。

2.4 獲取敏感信息攻擊的預(yù)防措施

對于發(fā)送電子郵件，以虛假/假冒信息引誘用戶上當(dāng)；建立假冒的網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站，騙取用戶賬號密碼實(shí)施盜竊；利用虛假的電子商務(wù)進(jìn)行詐騙等等這類網(wǎng)絡(luò)欺騙可以采取如下一些措施：

1) 盡量不要點(diǎn)擊電子郵件中的鏈接，也不要使用電子郵件中的表單進(jìn)行登錄。可以打開瀏覽器，直接打開web頁面，在那里進(jìn)行登錄，然后再做你要做的事情。

2) 如果感覺一個(gè)站點(diǎn)可疑，可以先使用虛構(gòu)的用戶名和密碼進(jìn)行登錄。如果登錄失敗，就說明這可能是一個(gè)合法站點(diǎn)；相反如果通過認(rèn)證，則很可能是一個(gè)網(wǎng)絡(luò)陷阱。

3) 安裝專業(yè)殺毒軟件進(jìn)行全面監(jiān)控。在安裝反病毒軟件后，要打開一些主要監(jiān)控（如郵件監(jiān)控、內(nèi)存監(jiān)控等），經(jīng)常進(jìn)行升級，真正保障計(jì)算機(jī)的安全。

對于利用木馬和黑客技術(shù)等手段竊取用戶信息后實(shí)施盜竊；利用用戶弱口令漏洞，破解、猜測用戶賬號和密碼等這類為獲取敏感信息的攻擊可以采取如下一些防御措施：

4) 通過增加密碼的長度，加強(qiáng)密碼、帳號的復(fù)雜度來預(yù)防一些軟件的破解。

5) 通過關(guān)閉端口來防止如WMICracker之類的暴力破解軟件。

6) 經(jīng)常對網(wǎng)絡(luò)端口進(jìn)行監(jiān)測，過濾一些端口收到的數(shù)據(jù)，如445端口、139端口等。

7) 盡量減少登錄SQL服務(wù)器的次數(shù)，或者改變SQL服務(wù)器的默認(rèn)端口1433，以防止被SQL Server Sniffer嗅探出SQL的帳號和密碼。

3 欺騙攻擊

欺騙攻擊是指攻擊者通過指定路由以假冒身份與其他主機(jī)進(jìn)行合法通信或發(fā)送假報(bào)文，使被攻擊主機(jī)相信攻擊者的偽裝身份，進(jìn)而獲取被攻擊主機(jī)相關(guān)信息的一種攻擊手段。

3.1 欺騙攻擊的常見方法

欺騙攻擊主要是通過計(jì)算機(jī)中存在的“信任”和“認(rèn)證”的關(guān)系來進(jìn)行入侵的。常見的欺騙攻擊方法有以下幾種：

IP欺騙：攻擊者偽造合法用戶主機(jī)的IP地址與目標(biāo)主機(jī)建立連接關(guān)系，達(dá)到蒙騙目標(biāo)主機(jī)的目的，使得原本已經(jīng)被目標(biāo)主機(jī)禁止訪問的主機(jī)能重新訪問。

DNS欺騙：攻擊者事先修改域名服務(wù)器的信息或者偽造域名解析報(bào)文來響應(yīng)網(wǎng)絡(luò)用戶的請求，將網(wǎng)絡(luò)服務(wù)器的域名解析成攻擊者所控制的計(jì)算機(jī)IP地址，從而現(xiàn)實(shí)對網(wǎng)絡(luò)服務(wù)器的控制

ARP欺騙：ARP協(xié)議用來將IP地址轉(zhuǎn)換成物理地址（MAC）。在每臺使用ARP的主機(jī)中都保留了一個(gè)專用的高速緩存來保存最近獲得IP地址—物理地址的映射。攻擊者利用這點(diǎn)來進(jìn)行ARP欺騙攻擊。攻擊者事先對一臺正常運(yùn)行的主機(jī)A進(jìn)行拒絕服務(wù)攻擊，使其死機(jī)，然后利用死機(jī)主機(jī)A的IP地址向另一臺主機(jī)B發(fā)送ARP請求報(bào)文，這樣主機(jī)B的高速緩存中就將原來死機(jī)主機(jī)A的IP地址—物理地址映射更改為主機(jī)A的IP地址－攻擊者物理地址映射。如果這主機(jī)A、B之間存在某種信任關(guān)系，那么主機(jī)B就跟攻擊者主機(jī)有了同樣的信任關(guān)系。

3.2 常見的欺騙攻擊工具

X-Spoofv1：這是一款經(jīng)典的冰河作品，只需要控制網(wǎng)段中一臺機(jī)子，就可以對網(wǎng)段中所有機(jī)器進(jìn)行ARP欺騙。可以使用\"xspoof-l\"參數(shù)查看本地網(wǎng)絡(luò)接口；使用\" xspoof -f\"參數(shù)獲得局域網(wǎng)內(nèi)所有機(jī)器的IP-MAC信息；使用\" xspoof -s\"參數(shù)進(jìn)行ARP欺騙。

局域網(wǎng)終結(jié)者：這是一款利用在同一網(wǎng)段中構(gòu)造虛假ARP包來欺騙網(wǎng)絡(luò)主機(jī)，使得被指定的主機(jī)被迫從網(wǎng)絡(luò)中斷開，達(dá)到攻擊的目的。運(yùn)行時(shí)只需要在“目標(biāo)IP”中輸入目標(biāo)機(jī)器的IP地址，然后“添加到阻斷列表”就可以了；單擊“取消選中地址”按鈕將目標(biāo)IP從列表中刪除，目標(biāo)主機(jī)就可以在1分鐘內(nèi)恢復(fù)正常。

3.3 欺騙攻擊實(shí)例

三臺PC機(jī)之間的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3所示。

在此拓?fù)浣Y(jié)構(gòu)中，PC2、PC3之間存在PC2信任PC3的關(guān)系。攻擊者可以利用PC1來欺騙PC2，攻擊步驟如下：

首先，攻擊者（PC1）采用拒絕服務(wù)攻擊使得PC3死機(jī)。

其次，找出PC2的順序號生成規(guī)律。攻擊者（PC1）向PC2發(fā)出一系列的連接請求，PC2會對這一系列的請求做出回答，從這些應(yīng)答中可以分析PC2順序號的生成規(guī)律。

最后，攻擊者（PC1）向PC2發(fā)送另一個(gè)連接請求，假冒PC3已經(jīng)準(zhǔn)備就緒，PC2為此連接產(chǎn)生一個(gè)順序號來響應(yīng)PC3。這時(shí)候假冒的PC3需要有一個(gè)正確的順序號來進(jìn)行響應(yīng)，因此攻擊者（PC1）必須按照步驟2所發(fā)現(xiàn)的規(guī)律對PC2順序號進(jìn)行猜測。如果猜測成功，攻擊者（PC1）就和PC2建立了一個(gè)連接，而PC2則認(rèn)為是在同PC3進(jìn)行會話，這樣攻擊者（PC1）就完全入侵了PC2。

3.4 欺騙攻擊的預(yù)防措施

對于IP欺騙可以采取如下一些預(yù)防措施：

1) 使用IPSec技術(shù)。對IP數(shù)據(jù)報(bào)的數(shù)據(jù)部分進(jìn)行加密，以阻止攻擊者猜測出連接的順序號

2) 對網(wǎng)絡(luò)進(jìn)行配置并嚴(yán)密監(jiān)視。配置網(wǎng)絡(luò)或監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)，拒絕來自本網(wǎng)絡(luò)以外卻聲明是本地IP的數(shù)據(jù)包

對于DNS欺騙可以采取如下一些預(yù)防措施：

3) 禁用DNS。防止DNS欺騙最根本的方法是停止不再使用DNS，但是禁用DNS有可能會給用戶帶來不便

4) 修改本地DNS。修改本地DNS軟件可以對高速緩存的信息加以選擇，對在DNS服務(wù)器中發(fā)生的域名—IP地址映射的改變及時(shí)做出反應(yīng)。

對于ARP欺騙可以采取如下一些預(yù)防措施：

5) 禁止ARP。防止ARP欺騙最直接最有效的方法就是不再使用ARP。在主機(jī)中將信任主機(jī)IP地址—物理地址映射作為永久條目保存在ARP高速緩存中，而不去響應(yīng)ARP。這需要人工來逐一修改映射關(guān)系。

6) 主機(jī)被動檢測。主機(jī)被動接受網(wǎng)絡(luò)上的ARP廣播報(bào)文請求，如果報(bào)文中的IP地址與本地IP地址一致，則認(rèn)為是一種欺騙。這種預(yù)防可以通過安裝反ARP欺騙軟件來實(shí)現(xiàn)。

7) 服務(wù)器檢測。這需要從響應(yīng)報(bào)文中獲得硬件地址來生成一個(gè)RARP請求報(bào)文。以此來檢驗(yàn)ARP響應(yīng)的真實(shí)性。

8) 網(wǎng)絡(luò)檢測。通過定期地審查ARP高速緩存來檢測IP地址—物理地址的映射關(guān)系的變化。將檢測出來的不屬于本地IP地址—物理地址的映射刪除，并設(shè)置它們的訪問權(quán)限。

4 結(jié)束語

隨著用戶對互聯(lián)網(wǎng)的依賴程度日益加深，網(wǎng)絡(luò)攻擊所造成的破壞和損失也就日益嚴(yán)重。信息收集型網(wǎng)絡(luò)攻擊是一類常見的網(wǎng)絡(luò)攻擊，由于它并不直接對被攻擊者造成明顯的破壞，因此相對不易被發(fā)現(xiàn)。了解此類攻擊的原理和常見方法，并將各種預(yù)防措施落到實(shí)處，才能最有效的預(yù)防攻擊，從而將損失降到最低。

參考文獻(xiàn)：

[1] 牛少彰，等.網(wǎng)絡(luò)的攻擊與防范[M].北京:北京郵電大學(xué)出版社，2006.

[2] 卿斯?jié)h，等.入侵檢測技術(shù)研究綜述[J].通信學(xué)報(bào)，2004，25(7):19-29.

[3] 洪宏，等.網(wǎng)絡(luò)安全掃描技術(shù)研究[J].計(jì)算機(jī)工程，2004，30(10):54-56.

[4] 鄧吉，劉靖.黑客攻防實(shí)戰(zhàn)[M].北京:電子工業(yè)出版社，2006.

[5] 蔣衛(wèi)華，李偉華，杜君.IP欺騙攻擊技術(shù)原理方法工具及對策[J].西北工業(yè)大學(xué)學(xué)報(bào)，2002，20(4):544-547.