浅析网络攻击技术及发展预测

谭兵,吴宗文2,陈蜀宇1*,黄伟,(1.
重庆大学软件学院,重庆400044;2.
中国人民解放军78098部队装备部,四川崇州611237)摘要:近年来,网上泄密事件在军地频频发生,网络攻击技术也被越来越被重视.
本文概述了网络攻击及入侵对象的特点,详细介绍了口令攻击、特洛伊木马、安全漏洞攻击、ARP欺骗攻击、拒绝服务攻击等八种目前常见的网络攻击方法.
此外,文章就未来网络攻击技术所呈现出的自动化、智能化,简单化等六个方面发展趋势进行了总结.

关键词:网络安全;攻击技术;安全威胁AnalysisOfNetworkAttackTechniquesTanBing1,WuZong-Wen2,ChenShu-Yu1*,Huangwei(1.
TheSchoolofSoftwareEngineeringChongqingUniversity,Chongqing400044;2.
78098MinistryofPeople'sLiberationArmytroopsandequipment,SichuanChongzhou611237)Abstract:Inrecentyears,moreandmoreattentionhasbeenpaidonthecyber-attackstechnologyowningtothefrequentleaksofthemilitarysecretcausedbynetworkattacks.
Thisarticlesummarizedthecharacteristicsofnetworkattacksandintrusionobjects,whileeightattackmethodssuchasthePasswordAttack,Trojanhorse,securitybugattacks,ARPspoofingattacks,DenialofServiceDoSandsoonhavebeenentirelyintroduced.
Inaddition,italsoreviewsthedevelopmenttrendofnetworkattacksinaspectsofautomatizations,intelligentizationandsimplification,etc.
Keywords:NetworkSecurity;AttackTechnology;SecurityThreat1引言当初组建网络时仅仅是为了便于信息的交流,而对于保障信息安全方面的规划则非常有限.
伴随着计算机网络的迅猛发展,新的网络攻击技术不断出现,只要是接入到因特网中的计算机都有可能被攻击或入侵.
模拟实验表明,如果10个小时内计算机处于检测但无响应,攻击者将有80%的机会获得成功;20个小时无响应,成功的机会将提高到90%;30个小时无响应,攻击者就能成功.
我们的计算机分分秒秒都有可能受到攻击,所以必须了解常见的网络攻击技术,才能更全面地防范网络攻击.

2网络攻击概述2.
1网络攻击的特点计算机网络攻击具有如下特点:一是损失巨大.
由于攻击和入侵的对象是网络上的计算机,所以一旦他们取得成功,就会使网络中成千上万台计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失;二是威胁社会和国家安全.
一些计算机网络攻击者出于种种目的,经常把政府要害部门和国家(特别是军队)机密部门的计算机作为攻击目标,从而对社会和国家安全造成威胁;三是手段多样,手法隐蔽.
计算机攻击的手段可以说是五花八门.
网络攻击者既可以通过监视网上数据来获取别人的保密信息,也可以通过截取别人的帐号和口令堂而皇之地进入别人的计算机系统,还可以通过一些特殊的方法绕过人们精心设计好的防火墙从而破坏计算机系统等.
入侵后还能清除安全日志,消除犯罪痕迹,隐蔽性很强;四是以软件攻击为主.
几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的[1].

2.
2网络入侵的对象攻击是入侵者进行入侵所采取的技术手段和方法,入侵的整个过程都伴随着攻击.
了解和分析网络入侵的对象是防范网络攻击的第一步.
网络入侵对象主要包括以下几个方面:(1)固有的安全漏洞.
任何软件系统,包括系统软件和应用软件都无可避免地存在安全漏洞.
这些漏洞主要来源于程序设计等方面的错误和疏忽,如:协议的安全漏洞、弱口令、缓冲区溢出等.
这些漏洞给入侵者提供了可乘之机.

(2)维护措施不完善的系统.
当发现漏洞时,管理人员需要仔细分析危险程序,并采取补救措施.
有时虽然对系统进行了维护,对软件进行了更新或升级,但由于路由器及防火墙过滤规则复杂等问题,系统可能又会出现新的漏洞.

(3)缺乏良好安全体系的系统.
一些系统不重视信息的安全,在设计时没有建立有效的、多层次的防御体系,这样的系统不能防御复杂的攻击.
缺乏足够的检测能力也是很严重的问题.
很多企业依赖于审计跟踪和其他的独立工具来检测攻击,日新月异的攻击技术使这些传统的检测技术显得苍白无力[2].

3常见的攻击方法3.
1口令攻击口令是网络安全的第一道防线,而从目前的技术来看,口令已没有足够的安全性,各种针对口令的攻击不断出现.
所谓口令攻击是指通过猜测或获取口令文件等方式获得系统认证口令,从而进入系统的攻击方式.
获取口令一般有3种方法:一是通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所处网段的所有用户帐号和口令,对局域网安全威胁巨大;二是在知道用户帐号后,利用一些专门软件强行破解用户口令,这种方法不受网段限制;三是在获得一个服务器上的用户口令文件(在UNIX中称为Shadow)后,用暴力破解程序和用户口令,特别是对于弱口令,如:123456、666666、admin等,在极短的时间内就会被破解.

3.
2特洛伊木马特洛伊木马是一个包含在一个合法程序中的非法程序,是一种远程控制工具,可以直接侵入用户的计算机并进行破坏,常被伪装成工具或者游戏,或捆绑在某个有用的程序上,一旦用户执行了这些程序,木马程序就会留在计算机中,并会在每次启动时悄悄执行,向攻击者泄漏用户的IP地址以及预先设定的端口.
攻击者收到这些信息后,再利用潜伏在其中的程序,就可以任意地修改用户计算机参数设定、复制文件、窥视整个硬盘中的内容,从而达到控制用户计算机的目的.

3.
3安全漏洞攻击许多系统都有这样那样的安全漏洞(Bugs).
其中一些是操作系统或应用软件本身具有的,如缓冲区溢出攻击.
它们是由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令造成的.
CERT/CC年度报告表明,漏洞中有超过30%是缓冲区溢出的漏洞.
这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态.
若攻击者特别配置一串准备用作攻击的字符,他甚至可以访问根目录,从而拥有对整个网络的绝对控制权.
另一些是利用协议漏洞进行攻击.
如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击,破坏根目录,从而获得超级用户的权限.
又如,ICMP协议也经常被用于发动拒绝服务攻击.
它的具体手法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪.
现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击的进攻.
它们的繁殖能力极强,一般通过Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件,而使邮件服务器无法承担如此庞大的数据处理量而瘫痪.
对于个人上网用户而言,也有可能遭到大量数据包的攻击使其无法进行正常的网络操作.

3.
4网络与主机扫描技术扫描技术主要分为两类:主机安全扫描技术和网络安全扫描技术,其中网络安全扫描技术主要针对系统中存在的弱口令或与安全规则相抵触的对象进行检查;而主机安全扫描技术则是通过执行一些脚本文件,对系统进行模拟攻击,同时记录系统的反应,从而发现其中的漏洞.
常见的扫描技术主要有端口扫描和漏洞扫描.
端口扫描是利用TCP/IP来识别不同的操作系统和服务,其原理就是"三次握手"建立连接(如图1),"四次挥手"释放连接(如图2).
漏洞扫描是一种最常见的攻击模式,用于探测系统和网络漏洞,针对某一类型的漏洞,都有专门的攻击工具.

3.
5拒绝服务攻击(DenialofServiceDoS)拒绝服务攻击(见图3)就是向网站服务器发送大量要求回复的信息,消耗网络带宽或系统资源,导致网站服务器不能正常服务以至于瘫痪而停止服务.
DoS威力很有限,所以就出现了DDoS(DistributedDenialofService)分布式拒绝服务攻击,DDoS攻击方式和DoS基本一样(原理见图4),但它是由N台连上Internet的计算机组成的一个攻击者,威力可显而知,机器越多威力越大,但DDoS也有缺点,就是攻击者必须收集足够的攻击傀儡机器才能发起一次大规模的DDoS.
另一个威力强悍的新型攻击方式DRDoS(DistributedReflectionDenialofServieAttack)分布式反射拒绝服务攻击,它不需要收集大量傀儡机器,只要带宽足够,1台机器就可以发动一次大规模的攻击,就象百度这样的大网站在短时间内也会被攻击而停止服务.

3.
6ARP欺骗攻击ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击.
ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过"ARP欺骗"手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障.
某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输.
如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb.
网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文.
其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存.
接着使用这个MAC地址发送数据(由网卡附加MAC地址).
ARP欺骗实现过程如图5所示[3].

3.
7SQL注入随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多.
但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患[4].
恶意用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些想得知的数据,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.

3.
8电子邮件攻击电子邮件攻击主要表现为两种方式:一是电子邮件轰炸和电子邮件"滚雪球",也就是通常所说的邮件炸弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被"炸",严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪;二是电子邮件欺骗,攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令或在貌似正常的中加载病毒或其他木马程序[5].

4攻击的发展趋势随着网络硬件和软件的快速发展,攻击者攻击的方式呈现多样化,攻击手段也越来越高明,破坏性也越来越大.
时至今日,攻击技术主要呈现以下几个方面发展趋势.

4.
1网络攻击的自动化程度和攻击速度不断提高.
攻击工具的自动化程度继续不断增强,自动化攻击涉及的四个阶段都发生了新的变化.
在扫描阶段,新的扫描工具利用更先进的扫描技术,变得更加有威力,并且提高了速度;在渗透控制阶段,,安全脆弱的系统更容易受到损害;在攻击扩散阶段,由人工启动软件发起攻击发展到攻击工具可以自己发动新的攻击;在攻击工具的协调管理方面,攻击者可以容易地控制和协调分布在网络上的大量已部署的攻击工具.

4.
2攻击工具越来越智能化.
攻击工具的开发者采用了比以往更加先进的技术,攻击工具的特征比以前更难发现,它们已经具备了反侦破、动态行为、攻击工具更加成熟等特点.
而且,攻击工具能够在越来越多的平台上运行,用户区别正常、合法的网络传输流与攻击信息流变得越来越困难.

4.
3攻击者利用安全漏洞的速度越来越快.
每一年报告给CERT/CC的漏洞数量都成倍增长.
CERT/CC公布的漏洞数据表明每天至少有十几个新的漏洞被发现.
可以想象,对于管理员来说想要跟上发布补丁的步伐,为软件一一打上补丁是很困难的.
而且,攻击者往往能够在软件厂商修补这些漏洞之前首先发现这些漏洞.
随着发现漏洞的工具日趋自动化,留给用户打补丁的时间越来越短.
一旦漏洞的技术细节被公布,就可能被利用进行大规模的病毒传播.

4.
4攻击门槛越来越低.
以前的攻击行为需要攻击者具有大量的汇编语言、接口技术和微机原理等知识,自己编写攻击程序.
而现在现有的攻击工具功能已非常强大,各系统的安全漏洞已公开化,只要稍有一些网络知识的人都可以轻视实现远程扫描,甚至达到攻击目的.

4.
5渗透防火墙.
我们通常认为防火墙是最安全的,常常依赖防火墙提供安全的边界保护.
但是现在出现越来越多的攻击技术,可以实现绕过典型防火墙配置的技术,如IPP(theInternetPrintingProtocol)和WebDAV(Web-basedDistributedAuthoringandVersioning),也有一些协议实际上能够绕过典型防火墙的配置,使防火墙本身也变得非常无奈.
当然防火墙仍是防止攻击的主要措施之一,这一点毋庸置疑.

4.
6攻击网络基础设施产生的破坏效果越来越大.
随着Internet网络上计算机的不断增长,所有计算机之间存在很强的依存性.
一旦某些计算机遭到了入侵,它就有可能成为入侵者的栖息地和跳板,成为进一步攻击网络基础设施的工具,对网络基础架构,如Internet域名系统DNS系统、路由器形成更加严重的安全威胁.

5结束语攻击技术的不断提高,也会更加促使防御技术的快速发展.
辩证的看,网络安全问题越突出,网络管理者就会采用最新的安全技术,不断推出满足用户需求、具有时代特色的安全产品,如:IDS、IPS等.
因此研究网络攻击技术,也是促进网络安全技术发展的一种手段.