互聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊基本步驟的研究與檢測(cè)

王春明，焦方寧，康子明，仝麥智

95876部隊(duì)，甘肅 張掖 734100

網(wǎng)絡(luò)攻擊主要是利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊，從而造成被攻擊的電腦或網(wǎng)絡(luò)可能會(huì)出現(xiàn)網(wǎng)絡(luò)斷線、網(wǎng)速緩慢、信息與數(shù)據(jù)泄漏等情況，特別是重要信息或數(shù)據(jù)的泄漏，將直接對(duì)企業(yè)或者個(gè)人造成極大的損失。

古語(yǔ)有云：知己知彼，百戰(zhàn)不殆，只有掌握網(wǎng)絡(luò)攻擊的基本方法與步驟，才能準(zhǔn)確的將其檢測(cè)出來，才能更好的防范網(wǎng)絡(luò)攻擊。從技術(shù)上來說，網(wǎng)絡(luò)攻擊的主要?jiǎng)訖C(jī)是取得所攻擊的目標(biāo)機(jī)的超級(jí)管理員權(quán)限，從而可以操控目標(biāo)機(jī)，安裝病毒程序、修改資源配置、隱藏行蹤等等。網(wǎng)絡(luò)攻擊的方法非常多，但是主要方法是完成攻擊前的信息收集、完成主要的權(quán)限提升和完成主要的后門留置等。

1 網(wǎng)絡(luò)攻擊的基本步驟

網(wǎng)絡(luò)攻擊一般情況下是利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)系統(tǒng)和資源進(jìn)行的攻擊，一般的網(wǎng)絡(luò)攻擊主要包括3個(gè)步驟：

1）第一步：搜集信息

攻擊者在選定將要攻擊的網(wǎng)絡(luò)資源的時(shí)候需要分析被攻擊的環(huán)境，這就要求攻擊者大量的收集與匯總被攻擊的目標(biāo)的相關(guān)信息，包括攻擊目標(biāo)的操作系統(tǒng)、類型、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等等，攻擊者搜集信息的手段非常多，但一般采用7個(gè)步驟來搜集信息，并且攻擊者在這7步中都會(huì)利用對(duì)應(yīng)的工具來搜集攻擊目標(biāo)的信息。搜集信息的7個(gè)步驟分別是：搜集初始信息、搜集攻擊對(duì)象所在的網(wǎng)絡(luò)地址范圍、搜集活動(dòng)的機(jī)器、搜索入口點(diǎn)與開放端口、分清主機(jī)操作系統(tǒng)、弄清端口對(duì)應(yīng)的運(yùn)行的服務(wù)和畫出網(wǎng)絡(luò)拓?fù)鋱D。

2）第二步：尋找系統(tǒng)安全弱點(diǎn)

攻擊者在第一步已經(jīng)搜集到了足夠的信息，接下來攻擊者會(huì)根據(jù)搜集到的被攻擊網(wǎng)絡(luò)的相關(guān)信息，對(duì)被攻擊對(duì)象的網(wǎng)絡(luò)上的主機(jī)進(jìn)行全方位探測(cè)，以便發(fā)現(xiàn)被攻擊對(duì)象的安全漏洞與弱點(diǎn)。攻擊者主要會(huì)利用兩個(gè)方法去探測(cè)系統(tǒng)弱點(diǎn)：

（1）運(yùn)用“補(bǔ)丁”程序探測(cè)突破口

攻擊者會(huì)通過前期準(zhǔn)備階段搜集到的信息尋找“補(bǔ)丁”程序的接口，然后編寫對(duì)應(yīng)的攻擊程序通過這個(gè)接口入侵被攻擊系統(tǒng)。

（2）運(yùn)用掃描器尋找系統(tǒng)安全漏洞

目標(biāo)系統(tǒng)的管理員使用掃描器掃描系統(tǒng)就會(huì)掃描出系統(tǒng)當(dāng)前多存在的安全漏洞，然后修補(bǔ)漏洞加強(qiáng)系統(tǒng)的安全防御體系。但是攻擊者就會(huì)利用掃描器去掃描系統(tǒng)漏洞，目前較為流行的掃描器是安全管理員網(wǎng)絡(luò)分析工具SATAN、因特網(wǎng)安全掃描程序IIS、Nessus、NSS 等等。

3）第三步：實(shí)施攻擊

攻擊者通過上述方法探測(cè)到系統(tǒng)存在的弱點(diǎn)后，就開始對(duì)系統(tǒng)進(jìn)行攻擊。攻擊的行為通常情況下分為3種形式：

（1）掩蓋行蹤，預(yù)留后門

攻擊者入侵被攻擊系統(tǒng)后，會(huì)盡量掩蓋可能留下的侵入痕跡，并在受損的系統(tǒng)中探測(cè)新的安全漏洞或者留下后門，以便再次實(shí)施入侵時(shí)使用。

（2）安裝探測(cè)程序

攻擊者入侵系統(tǒng)后可能會(huì)在系統(tǒng)中安裝探測(cè)程序軟件，即使攻擊者退出之后，探測(cè)軟件仍然可以窺探所在系統(tǒng)的活動(dòng)，搜集攻擊者所需要的信息，并源源不斷的將窺探到的秘密信息傳送給安裝程序的攻擊者。

（3）取得特權(quán)，擴(kuò)大攻擊范圍

攻擊者很有可能會(huì)進(jìn)一步的去探測(cè)受損系統(tǒng)在網(wǎng)絡(luò)中的信任等級(jí)，然后利用該信任等級(jí)所具有的權(quán)限，對(duì)整個(gè)被攻擊系統(tǒng)展開全方面攻擊。一旦攻擊者獲得管理員或者根用戶權(quán)限后，后果將不堪設(shè)想。

2 網(wǎng)絡(luò)攻擊的檢測(cè)技術(shù)

2.1 使用數(shù)據(jù)流特征檢測(cè)

攻擊者在進(jìn)行信息掃描之前會(huì)構(gòu)造被攻擊對(duì)象的IP數(shù)據(jù)包，然后通過某端口發(fā)送毫無意義的數(shù)據(jù)包，這主要是因?yàn)楦鞣N操作系統(tǒng)對(duì)這種無意義的數(shù)據(jù)包的處理方式不同，攻擊者會(huì)解析返回的數(shù)據(jù)包，那么我們可以從下面3種思路去檢測(cè)系統(tǒng)被非法掃描。

1）統(tǒng)計(jì)分析。預(yù)先定義某個(gè)固定時(shí)間段的連接次數(shù)，在此時(shí)間段內(nèi)如果發(fā)現(xiàn)連接次數(shù)超過預(yù)定義值，則認(rèn)為端口被非法掃描；

2）特征匹配。通常情況下攻擊者發(fā)送的數(shù)據(jù)包都含有端口掃描特征的相關(guān)數(shù)據(jù)，比如：當(dāng)攻擊者嘗試UDP端口掃描時(shí)，數(shù)據(jù)包中會(huì)有content:“sUDP”數(shù)據(jù)等等。可以通過分析掃面特征數(shù)據(jù)來檢測(cè)端口是否被非法掃描

2.2 本地權(quán)限攻擊檢測(cè)

檢查文件完備性、監(jiān)測(cè)行為、對(duì)比檢查系統(tǒng)快照均是最為流行的檢測(cè)技術(shù)。

1）檢查文件完備性。定期檢查常用庫(kù)文件與系統(tǒng)文件的完備性。通常情況下會(huì)使用checksum的方式，對(duì)比較重要的文件做先驗(yàn)快照，檢測(cè)這些重要文件的訪問，檢查這些文件的完備性作，結(jié)合行為監(jiān)測(cè)法，防止重要文件遭到欺騙攻擊與覆蓋攻擊；

2）行為監(jiān)測(cè)法。行為監(jiān)測(cè)法主要從兩個(gè)方面監(jiān)測(cè): 一是監(jiān)測(cè)所有程序進(jìn)程的堆棧變化，以便維護(hù)程序運(yùn)行期的堆棧合法性。以防御被攻擊對(duì)象遭到競(jìng)爭(zhēng)條件攻擊與本地溢出攻擊；二是監(jiān)測(cè)內(nèi)存的活動(dòng)，跟蹤內(nèi)存容量的非正常變化，檢測(cè)、監(jiān)控中斷向量。

攔截、仲裁來自ftp服務(wù)目錄、互聯(lián)網(wǎng)服務(wù)的相關(guān)腳本執(zhí)行目錄等敏感目錄。審計(jì)對(duì)這些目錄的文件寫入操作，防止非法程序的寫入與上傳。監(jiān)測(cè)執(zhí)行系統(tǒng)服務(wù)程序的命令，控制數(shù)據(jù)庫(kù)服務(wù)程序的相關(guān)接口，防止使用系統(tǒng)服務(wù)程序提升權(quán)限；

3）對(duì)比檢查系統(tǒng)快照。先驗(yàn)快照系統(tǒng)中的重要的公共信息，如系統(tǒng)的環(huán)境變量、配置參數(shù)， 檢測(cè)對(duì)這些系統(tǒng)變量的訪問，防止遭到篡改導(dǎo)向攻擊。

2.3 常用后門留置檢測(cè)技術(shù)

1）對(duì)比檢測(cè)法。后門留置檢測(cè)時(shí)，最重要的是檢測(cè)木馬的異常行為與可疑蹤跡。木馬程序入侵目標(biāo)網(wǎng)絡(luò)成功之后，攻擊者會(huì)用盡各種隱藏蹤跡的措施去防止用戶發(fā)現(xiàn)，因此在檢測(cè)木馬程序入侵過程中一定要考慮到木馬程序可能利用的隱藏技術(shù)并采取有效措施進(jìn)行規(guī)避，只有這樣才會(huì)發(fā)現(xiàn)木馬程序入侵時(shí)所引起的異常現(xiàn)象從而使隱身的木馬“現(xiàn)形”。常用的檢測(cè)木馬程序異常行為與可疑蹤跡的措施包括對(duì)比檢測(cè)法、監(jiān)測(cè)系統(tǒng)資源法、防篡改文件法和分析協(xié)議法等；

2）監(jiān)測(cè)系統(tǒng)資源法。監(jiān)測(cè)系統(tǒng)資源法是指利用監(jiān)控目標(biāo)主機(jī)系統(tǒng)資源的方式去監(jiān)控木馬程序入侵引起的異常行為；

3）防篡改文件法。防篡改文件法是指在打開新的文件之前，用戶首先就要檢驗(yàn)此文件的身份信息以確保新文件沒有被別人修改。標(biāo)識(shí)文件的指紋信息就是文件的身份信息，文件的身份信息可以通過md5檢驗(yàn)與數(shù)字簽名的方式生成；

4）分析協(xié)議法。分析協(xié)議法是對(duì)比分析監(jiān)聽的網(wǎng)絡(luò)會(huì)話與某種標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議，從而去判斷監(jiān)聽的網(wǎng)絡(luò)會(huì)話是否被木馬程序入侵。

3 結(jié)論

網(wǎng)絡(luò)安全已經(jīng)成為世界人民關(guān)注的焦點(diǎn)問題，非法用戶的網(wǎng)絡(luò)攻擊造成了網(wǎng)絡(luò)的種種不安全。本文詳細(xì)介紹了網(wǎng)絡(luò)攻擊的步驟，并給出了防止網(wǎng)絡(luò)攻擊的基本檢測(cè)技術(shù)，只有掌握了網(wǎng)絡(luò)攻擊的步驟，才能將網(wǎng)絡(luò)攻擊拒之門外，才能構(gòu)建安全、健康的網(wǎng)絡(luò)環(huán)境。

[1]張敏波編著.網(wǎng)絡(luò)安全實(shí)戰(zhàn)詳解[J].北京：電子工業(yè)出版社，2008，5.

[2]王景偉，郭英敏.密碼技術(shù)在信息網(wǎng)絡(luò)安全中的應(yīng)用[J].信息網(wǎng)絡(luò)安全，2009(4)：27-28.

[3]楊義先編著.網(wǎng)絡(luò)安全理論與技術(shù)[J].北京：人民郵電出版社，2003.