幾種常見網絡攻擊的方法與對策研究

賀 楊

（淮北市廣播電視臺 安徽 淮北 235000）

在網絡這個不斷更新換代的世界里，網絡中的安全漏洞無處不在。即便舊的安全漏洞補上了，新的安全漏洞又將不斷涌現。網絡攻擊正是利用這些存在的漏洞和安全缺陷對系統和資源進行攻擊。網絡攻擊主要是通過信息收集、分析、整理以后，發現目標系統漏洞與弱點，有針對性地對目標系統(服務器、網絡設備與安全設備)進行資源入侵與破壞，機密信息竊取、監視與控制的活動。

1 RLA(Remote to Local Attacks)網絡攻擊的原理和手法

RLA是一種常見的網絡攻擊手段，它指的是在目標主機上沒有賬戶的攻擊者獲得該機器的當地訪問權限，從機器中過濾出數據、修改數據等的攻擊方式。RLA也是一種遠程攻擊方法。遠程攻擊的一般過程：1)收集被攻擊方的有關信息，分析被攻擊方可能存在的漏洞；2）建立模擬環境，進行模擬攻擊，測試對方可能的反應；3)利用適當的工具進行掃描；4）實施攻擊。

IP Spoofing是一種典型的RLA攻擊，它通過向主機發送IP包來實現攻擊，主要目的是掩護攻擊者的真實身份，使攻擊者看起來像正常的用戶或者嫁禍于其他用戶。攻擊過程可簡單描述如下：①攻擊端-SYN(偽造自己的地址)-被攻擊端；②偽造的地址SYN-ACK被攻擊端；③被攻擊端等待偽裝端的回答。IP Spoofing攻擊過程見圖1，具體描述如下：①假設I企圖攻擊A，而A信任B。②假設I已經知道了被信任的B，使B的網絡功能暫時癱瘓，以免對攻擊造成干擾。因此，在實施 IP Spoofing攻擊之前常常對B進行SYN Flooding攻擊。③I必須確定A當前的ISN。④I向A發送帶有SYN標志的數據段請求連接，只是信源IP改成了B。A向B回送 SYN+ACK數據段，B已經無法響應，B的TCP層只是簡單地丟棄A的回送數據段。⑤I暫停，讓A有足夠時間發送SYN+ACK，然后I再次偽裝成B向A發送ACK，此時發送的數據段帶有I預測的A的ISN+1。如果預測準確，連接建立，數據傳送開始。如果預測不準確，A將發送一個帶有RST標志的數據段異常終止連接，I重新開始。

IP Spoofing攻擊利用了RPCN服務器僅僅依賴于信源IP地址進行安全校驗的特性，攻擊最困難的地方在于預測A的ISN。

圖1 IP Spoofing攻擊過程

2 拒絕服務 DoS(Denial of Service)攻擊

拒絕服務攻擊指一個用戶占據了大量的共享資源，使系統沒有剩余的資源給其他用戶使用的攻擊方式。拒絕服務可以用來攻擊域名服務器、路由器及其它網絡操作服務，使CPU、磁盤空間、打印機、調制解調器等資源的可加性降低。拒絕服務的典型攻擊方法有SYN Flooding、Ping Flooding、Land、Smurf、Ping of catch等類型。這里主要分析SYN Flooding攻擊。

當一個主機接收到大量不完全連接請求而超出其所能處理的范圍時，就會發生SYN Flooding攻擊。在通常情況下，希望通過TCP連接來交換數據的主機必須使用3次握手進行任務初始化。SYN Flooding攻擊就是基于阻止3次握手的完成來實現的。SYN Flooding攻擊原理是：首先，攻擊者向目標主機發送大量的SYN請求，用被掛起的連接占滿連接請求隊列。一旦目標主機接收到這種請求，就會向它所認為的SYN報文的源主機發送SYN/ACK報文做出應答。一旦存儲隊列滿了，接下來的請求就會被TCP端忽略，直至最初的請求超時，被重置(通常為75s)，每次超時過后，服務器端就向未達的客戶端發送一個RST報文，此時攻擊者必須重復以上步驟來維持拒絕服務的攻擊。

SYN Flooding攻擊的重點就在于不斷發送大量的SYN報文，其攻擊在空間性上表現得極為明顯。如圖2，從源到匯，攻擊者可從不同路徑向被攻擊主機持續發送連接請求，也可將數據包拆分為幾個傳輸再在目的地匯合，以湮沒被攻擊主機。檢測這種攻擊的困難就在于目標主機接收到的數據包好像來自整個Internet。

圖2 SYN Flooding攻擊過程

3 攻擊方式的四種趨勢

從1988年開始，位于美國卡內基梅隆大學的CERT CC（計算機緊急響應小組協調中心）就開始調查入侵者的活動。CERT CC給出一些關于最新入侵者攻擊方式的趨勢。

一是攻擊過程的自動化與攻擊工具的快速更新。攻擊工具的自動化程度繼續不斷增強，自動化攻擊涉及到的四個階段都發生了變化。

二是攻擊工具的不斷復雜化。攻擊工具的編寫者采用了比以前更加先進的技術。攻擊工具的特征碼越來越難以通過分析來發現，并且越來越難以通過基于特征碼的檢測系統發現，例如防病毒軟件和入侵檢測系統。當今攻擊工具的三個重要特點是反檢測功能，動態行為特點以及攻擊工具的模塊化。

三是漏洞發現得更快。每一年報告給CERT/CC的漏洞數量都成倍增長。CERT/CC公布的漏洞數據2000年為1090個，2001年為2437個，2002年已經增加至4129個，就是說每天都有十幾個新的漏洞被發現。可以想象，對于管理員來說想要跟上補丁的步伐是很困難的。而且，入侵者往往能夠在軟件廠商修補這些漏洞之前首先發現這些漏洞。隨著發現漏洞的工具的自動化趨勢，留給用戶打補丁的時間越來越短。尤其是緩沖區溢出類型的漏洞，其危害性非常大而又無處不在，是計算機安全的最大的威脅。在CERT和其它國際性網絡安全機構的調查中，這種類型的漏洞是對服務器造成后果最嚴重的。

四是滲透防火墻。我們常常依賴防火墻提供一個安全的主要邊界保護。但是情況是：已經存在一些繞過典型防火墻配置的技術，如IPP（the Internet Printing Protocol）和Web-DAV（Web-based Distributed Authoring and Versioning）。 一些標榜是“防火墻適用”的協議實際上設計為能夠繞過典型防火墻的配置。特定特征的“移動代碼”（如ActiveX控件，Java和JavaScript）使得保護存在漏洞的系統以及發現惡意的軟件更加困難。

4 總結

隨著Internet網絡上計算機的不斷增長，所有計算機之間存在很強的依存性。一旦某些計算機遭到了入侵，它就有可能成為入侵者的棲息地和跳板，作為進一步攻擊的工具。對于網絡基礎架構如DNS系統、路由器的攻擊也越來越成為嚴重的安全威脅。我們還應該認識到隨著網絡及其應用的廣泛發展，安全威脅呈現出的種類、方法和總體數量越來越多、網絡攻擊越來越猖獗、破壞性和系統恢復難度越來越大的趨勢，對網絡安全造成了很大的威脅。這就要求我們，對網絡安全又更清醒的認識；對攻擊方法有更進一步的研究，對安全策略有更完善的發展，建立起一個全面的、可靠的、高效的安全體系。

對于任何黑客的惡意攻擊，都有辦法來防御，只要了解了他們的攻擊手段，具有豐富的網絡知識，就可以抵御黑客們的瘋狂攻擊，相信在不久的將來，網絡一定會是一個安全的信息傳輸媒體。特別需要強調的是，在任何時候都應將網絡安全教育放在整個安全體系的首位，努力提高所有網絡用戶的安全意識和提高防范技術。這對提高整個網絡的安全性有著十分重要的意義。

［1］方富貴.網絡攻擊與安全防范策略研究[J].軟件導刊,2011(6).

［2］趙安軍,曾應員,除邦海.網絡安全技術與應用[M].北京:人民郵電出版社,2007.

［3］石志國,薛為名.計算機網絡安全教程[M].北京:北京交通大學出版社,2007.

［4］胡小新,王穎,羅旭斌.一種DoS攻擊的防御方案[J].計算機工程與應用,2004(12).

［5］雷震甲.網絡工程師教程[M].北京:清華大學出版社,2004.

［6］勞幗齡.網絡安全與管理[M].北京:高等教育出版社,2003.