李光燦

（重慶大學附屬三峽醫(yī)院信息數(shù)據(jù)部 重慶市 404000）

1 引言

計算機技術的發(fā)展雖然給人們的生活帶來了便利，但網(wǎng)絡的攻擊技術也隨之更新，破壞網(wǎng)絡安全。不管是從攻擊者的角度來看還是從防御者的角度來看，對網(wǎng)絡攻擊技術特征與發(fā)展趨勢的研究都具有重要的意義。

2 網(wǎng)絡攻擊的概念

網(wǎng)絡攻擊是指對網(wǎng)絡的保密性、完整性、不可抵賴性、可用性、可控性產生危害的任何行為。

3 網(wǎng)絡攻擊的方式

網(wǎng)絡攻擊的常用方式包括：

（1）讀取攻擊：用于偵察和掃描，識別目標主機運行的網(wǎng)絡服務以及可能的漏洞。

（2）操作攻擊：以篡改數(shù)據(jù)為手段，攻擊以特權身份運行的服務程序，取得程序的控制權，如SQL 注入、緩沖區(qū)溢出攻擊。

（3）欺騙攻擊：將自身偽裝成其他用戶實施攻擊行為，冒充特權用戶入侵系統(tǒng)。如ARP 欺騙、DNS 欺騙、IP 欺騙和網(wǎng)絡釣魚等。

（4）泛洪攻擊：目的是讓遠程主機無法承受巨大的流量而癱瘓，如Smurf 攻擊和DDoS 攻擊等。

（5）重定向攻擊：將發(fā)往目標的信息全部重定向到攻擊者指定的目標主機上，有利于展開下一步攻擊。如ARP 重定向是欺騙受害主機，將攻擊者主機偽裝成網(wǎng)關，從而截獲所有受害主機發(fā)往互聯(lián)網(wǎng)的報文。

（6）Rootkits 技術：Rootkits 是用于隱藏自身及指定文件、進程和鏈接的惡意軟件工具集，集多種攻擊技術于一體，常與其它惡意代碼結合使用，

4 網(wǎng)絡攻擊的常用手段

網(wǎng)絡攻擊的常用手段包括：

（1）網(wǎng)絡監(jiān)聽。大多數(shù)網(wǎng)絡通信采用未經加密的明文通信，因此只要攻擊者獲取數(shù)據(jù)通信的傳輸路徑即可輕易實現(xiàn)監(jiān)聽，監(jiān)聽型攻擊會造成數(shù)據(jù)泄露，危及敏感數(shù)據(jù)安全。

（2）篡改數(shù)據(jù)。攻擊者對截獲的數(shù)據(jù)進行修改，并使得數(shù)據(jù)收發(fā)雙方無法察覺。

（3）網(wǎng)絡欺騙。常見的欺騙攻擊主要有IP 欺騙、ARP 欺騙、DNS 欺騙、路由欺騙、網(wǎng)絡釣魚。

（4）弱口令攻擊。攻擊者通過各種方式成功獲取和破解合法用戶的口令，從而冒充合法用戶進入系統(tǒng)。

（5）拒絕服務攻擊。破壞性攻擊，直接使目標系統(tǒng)停止工作或耗盡目標網(wǎng)絡的帶寬使之無法為正常請求提供服務。

（6）漏洞破解。利用系統(tǒng)漏洞實施攻擊，獲取系統(tǒng)訪問權限。

（7）木馬攻擊。在正常的Web 頁面或聊天界面中植入惡意代碼或鏈接，誘使用戶查看或點擊，然后自動下載木馬程序到目標用戶主機，使得攻擊者可以通過木馬遠程控制用戶主機。

5 網(wǎng)絡攻擊的步驟

一次成功的網(wǎng)絡攻擊通常包括以下步驟：

5.1 信息收集

信息收集是指通過各種方式獲取目標主機或網(wǎng)絡的信息，屬于攻擊前的準備階段，也是一個關鍵的環(huán)節(jié)。收集的信息通常包括：

（1）網(wǎng)絡接入方式：撥號接入、無線局域網(wǎng)接入、以太網(wǎng)接入、VPN 遠程接入等。

（2）目標網(wǎng)絡信息：域名范圍、IP 地址范圍、具體地理位置等。

（3）網(wǎng)絡拓撲結構：交換設備類型、設備生產廠家、傳輸網(wǎng)絡類型等。

（4）網(wǎng)絡用戶信息：郵件地址范圍、用戶賬號密碼等。

收集信息的方式包括：

（1）使用常見的搜索引擎，如Google、百度等。

（2）使用dmitry 等工具通過whois 服務器查詢主機的具體域名和地理信息。

（3）使用netdiscover 等工具查詢主機的IP 地址范圍，使用dnsmap、dnswalk 等工具查詢域名空間。

（4）使用社會工程學手段獲得有關社會信息，如網(wǎng)站所屬公司的名稱、規(guī)模，管理員的生活習慣、電話號碼等。maltego 就是一款收集此類社會信息的查詢工具。

5.2 網(wǎng)絡隱身

網(wǎng)絡隱身是指在網(wǎng)絡中隱藏自己真實的IP 地址，使受害者無法反向追蹤到攻擊者。常用方法包括：

（1）IP 假冒或盜用。TCP/IP 協(xié)議不檢查源IP 地址，所以攻擊者可以定制一個虛假源IP；有的訪問控制系統(tǒng)會設置IP 訪問黑名單，攻擊者可以修改IP 地址從而繞過該機制。

（2）MAC地址盜用。有些網(wǎng)絡接入系統(tǒng)針對MAC地址做限制，攻擊者通過修改自身主機的MAC 地址即可以冒充合法主機接入目標網(wǎng)絡，從而發(fā)起攻擊。

（3）代理隱藏。攻擊者收集目標信息時，通常通過免費代理進行，即使被管理員發(fā)現(xiàn)，也僅是發(fā)現(xiàn)代理地址，而不會發(fā)現(xiàn)攻擊者的真實IP；如果攻擊者通過多個代理級聯(lián)，那么就更加難以追蹤。

（4）冒充真實用戶。通過監(jiān)聽或破解網(wǎng)絡合法用戶的賬號和口令后，利用該賬戶進入目標網(wǎng)絡。

（5）僵尸機器。入侵互聯(lián)網(wǎng)上的某臺僵尸主機，通過該主機進行攻擊，并在該主機上清除所有與攻擊者有關的痕跡，即使目標系統(tǒng)的管理員發(fā)現(xiàn)了攻擊行為，也只能看到僵尸機器的IP 地址，而發(fā)現(xiàn)不了攻擊者的真實地址。

5.3 端口掃描和漏洞掃描

掃描首先要確定主機的操作系統(tǒng)類型和版本、提供哪些服務、服務軟件的類型和版本等信息，然后檢測這些系統(tǒng)軟件和服務軟件的版本是否存在已經公開的漏洞，并且漏洞還沒有及時打上補丁。

一個端口開放即意味著遠程主機開啟了一個服務，這可能是一個潛在的通信通道甚至是一個入侵通道。端口掃描就是找出目標主機或目標設備開放的端口和提供的服務，為下一步攻擊做好準備。它向TCP/UDP 服務端口發(fā)送探測報文，記錄并分析響應報文以判斷目標端口處于打開還是關閉狀態(tài)，分為TCP 端口掃描和UDP 端口掃描兩類。TCP 端口掃描包括全連接掃描、半連接掃描、FIN 掃描、ACK掃描、NULL掃描、XMAS掃描、TCP窗口掃描和自定義掃描等，除了全連接掃描外，其它掃描類型都屬于隱蔽掃描，因為它們不會被日志審計系統(tǒng)發(fā)現(xiàn)。除了全連接和半連接掃描外，其它TCP 掃描類型的結果正確性都依賴于具體操作系統(tǒng)的實現(xiàn)。UDP 端口掃描只有唯一一種類型。

漏洞掃描是針對特定應用和服務查找目標網(wǎng)絡中存在哪些漏洞，它們是成功實施攻擊的關鍵所在。根據(jù)漏洞的屬性和利用方法，漏洞分為操作系統(tǒng)漏洞、應用服務漏洞和配置漏洞等。操作系統(tǒng)漏洞按照不同系統(tǒng)分類，如Windows、Linux、UNIX 系統(tǒng)等；應用服務漏洞按照具體的服務類型、服務程序名和版本號分類；配置漏洞按照系統(tǒng)類型、程序名稱和設置選項分類。網(wǎng)絡安全管理員需要定期對管理的網(wǎng)絡或設備進行漏洞掃描，提升網(wǎng)絡安全性。漏洞掃描技術包括基于漏洞數(shù)據(jù)庫和基于插件兩種。

漏洞掃描主要采取兩種方法：

（1）根據(jù)端口和服務掃描的結果，與已知漏洞數(shù)據(jù)庫進行匹配，檢測是否有滿足匹配的漏洞存在。

（2）根據(jù)已知漏洞存在的原因設置必要的檢測條件，對目標進行淺層次的攻擊測試，以判斷漏洞是否存在，如存在則報告漏洞的詳細信息。

所謂淺層次攻擊是指并不實際攻擊系統(tǒng)，而是僅依據(jù)漏洞的特征進行測試，以判斷漏洞存在的可能性，所以掃描器的報告信息有時未必十分準確。

5.4 攻擊實施

通過信息收集和網(wǎng)絡掃描收集到足夠的目標信息后，攻擊者即可開始實施網(wǎng)絡攻擊。攻擊的目的一般分為信息泄露、完整性破壞、拒絕服務和非法訪問4 種基本類型，攻擊的方式主要包括口令破解、中間人攻擊、惡意代碼攻擊、漏洞破解、拒絕服務攻擊等。早期的攻擊工具往往是針對某個具體漏洞單獨開發(fā)，如針對Windows RPC漏洞MS03-026 的攻擊工具scanms.exe，其自動尋找網(wǎng)絡中的漏洞主機并可批量發(fā)起攻擊。目前，網(wǎng)絡攻擊正在向平臺化和集成化發(fā)展，攻擊者可以根據(jù)研究者公開的漏洞直接在平臺上利用已有模塊快速開發(fā)和部署漏洞破解程序，并集成其它的工具實施完整的攻擊，此類平臺最著名的代表是Rapid7 公司出品的Metasploit 工具包，不僅包含大量最新的漏洞，還幾乎集成了所有網(wǎng)絡攻擊所需要的軟件工具，同時提供了諸多開發(fā)模塊，方便攻擊者開發(fā)新的破解程序。

5.5 設置后門

攻擊者在成功完成對目標的遠程攻擊后，為保持對目標的長久控制并再次方便地進入目標系統(tǒng)，需要建立一些進入系統(tǒng)的特殊途徑，即網(wǎng)絡后門。理想的后門應該是無論用戶賬號是否變化，無論系統(tǒng)服務是開啟還是關閉，無論系統(tǒng)配置如何變化，都存在一條秘密通道能夠讓攻擊者再次隱蔽進入目標系統(tǒng)或網(wǎng)絡。創(chuàng)建后門的主要方法包括：開放連接端口、修改系統(tǒng)配置、安裝監(jiān)控器、建立隱蔽連接通道、創(chuàng)建用戶賬號、安裝遠程控制工具和替換系統(tǒng)文件等。

5.6 清除痕跡

當攻擊者成功進入目標系統(tǒng)時，不論他采取何種方式進入或者實施哪些攻擊操作，操作系統(tǒng)或者網(wǎng)絡服務程序分別會在日志中忠實記錄相應的事件。如果安全人員每天都例行查看這些日志，則很容易發(fā)現(xiàn)系統(tǒng)被攻擊或入侵。因此攻擊者必須清楚地了解他的每個動作會在系統(tǒng)中留下什么樣的記錄，并且使用相應的工具或腳本將記錄從日志中清除，且不會被安全人員察覺。

攻擊Windows7 系統(tǒng)可能留下的痕跡主要包括：

（1）事件查看器記錄的管理事件日志、系統(tǒng)日志、安全日志、Setup日志、應用程序日志、應用程序和服務日志。

（2）如果利用HTTP 協(xié)議進行攻擊或者后門設置，則可能在瀏覽器或者Web 服務器上留下相應的訪問和使用記錄。

（3）相應的系統(tǒng)使用痕跡。

Linux 下的大多數(shù)日志文件是以文本方式或者以簡單的結構體方式存入文件，因此可以針對不同的日志格式編寫相應的痕跡清除工具。

6 結束語

隨著計算機網(wǎng)絡技術的發(fā)展，網(wǎng)絡攻擊技術越來越先進，我們要熟悉各種網(wǎng)絡攻擊技術，以便采用更有效的安全措施抵御網(wǎng)絡攻擊。