网络攻击技术及发展预测
摘要:近年来,网上泄密事件频频发生。概述网络攻击及入侵对象的特点,详细介绍口令攻击、特洛伊木马、安全漏洞攻击、ARP欺骗攻击、拒绝服务攻击等8种目前常见的网络攻击方法。此外,就未来网络攻击技术所呈现出的自动化、智能化、简单化等6个方面的发展趋势进行了总结。
关键词:网络安全;攻击技术;安全威胁
网络技术发展最初仅仅是为了便于信息的交流,而对于保障信息安全方面的规划则非常有限。伴随着计算机网络的迅猛发展,新的网络攻击技术不断出现,只要是接入到因特网中的计算机都有可能被攻击入侵。模拟实验表明,如果10个小时内计算机处于检测但无响应,攻击者将有80%的机会获得成功;20个小时无响应,成功的机会将提高到90%;30个小时无响应,攻击者就能成功。我们的计算机分分秒秒都有可能受到攻击,所以必须了解常见的网络攻击技术,才能更全面地防范网络攻击。
1网络攻击概述
1.1特点
计算机网络攻击具有如下特点:一是损失巨大。由于攻击和入侵的对象是网络上的计算机,所以一旦攻击者取得成功,就会使网络中成千上万台计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。二是威胁社会和国家安全。一些计算机网络攻击者出于种种目的,经常把政府要害部门和国家机密部门(特别是军队)的计算机作为攻击目标,从而对社会和国家安全造成威胁。三是手段多样,手法隐蔽。计算机攻击的手段可以说是五花八门,网络攻击者既可以通过监视网上数据来获取别人的保密信息,也可以通过截取别人的帐号和口令堂而皇之地进入他人的计算机系统,还可以通过一些特殊的方法绕过人们精心设计好的防火墙从而破坏计算机系统等。入侵后还能清除安全日志,消除犯罪痕迹,隐蔽性很强。四是以软件攻击为主。几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统[1]。
1.2网络入侵的对象
攻击是入侵者进行入侵所采取的技术手段和方法,入侵的整个过程都伴随着攻击。了解和分析网络入侵的对象是防范网络攻击的第一步。网络入侵对象主要包括以下几个方面:
1) 固有的安全漏洞。任何软件系统,包括系统软件和应用软件都无可避免地存在安全漏洞。这些漏洞主要来源于程序设计等方面的错误和疏忽,如协议的安全漏洞、弱口令、缓冲区溢出等。这些漏洞给入侵者提供了可乘之机。
2) 维护措施不完善的系统。当发现漏洞时,管理人员需要仔细分析危险程序,并采取补救措施。有时虽然对系统进行了维护,对软件进行了更新或升级,但由于路由器及防火墙过滤规则复杂等问题,系统可能又会出现新的漏洞。
3) 缺乏良好安全体系的系统。一些系统不重视信息安全,在设计时没有建立有效的、多层次的防御体系,这样的系统不能防御复杂的攻击。另外,缺乏足够的检测能力也是很严重的问题。很多企业依赖于审计跟踪和其他的独立工具来检测攻击,日新月异的攻击技术使这些传统的检测技术显得苍白无力[2]。
2常见的攻击方法
2.1口令攻击
口令是网络安全的第一道防线,从目前的技术来看,口令已没有足够的安全性,各种针对口令的
攻击不断出现。所谓口令攻击是指通过猜测或获取口令文件等方式获得系统认证口令,从而进入系统的攻击方式。获取口令一般有3种方法:一是通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所处网段的所有用户帐号和口令,对局域网安全威胁巨大;二是在知道用户帐号后,利用一些专门软件强行破解用户口令,这种方法不受网段限制;三是在获得一个服务器上的用户口令文件(在Unix中称为Shadow)后,用暴力破解程序和用户口令,特别是对于弱口令,如123456、666666、admin等,在极短的时间内就会被破解。
2.2特洛伊木马
特洛伊木马是包含在一个合法程序中的非法程序,是一种远程控制工具,可以直接侵入用户的计算机并进行破坏,常被伪装成工具或者游戏,或捆绑在某个有用的程序上,一旦用户执行了这些程序,木马程序就会留在计算机中,并会在每次启动时悄悄执行,向攻击者泄漏用户的IP地址以及预先设定的端口。攻击者收到这些信息后,再利用潜伏在其中的程序,就可以任意地修改用户计算机参数设定、复制文件、窥视整个硬盘中的内容,从而达到控制用户计算机的目的。
2.3安全漏洞攻击
许多系统都有这样那样的安全漏洞(Bugs)。其中一些是操作系统或应用软件本身具有的,如缓冲区溢出攻击。它们是由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令造成的。CERT/CC年度报告表明,漏洞中有超过30%是缓冲区溢出的漏洞。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符,他甚至可以访问根目录,从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击,破坏根目录,从而获得超级用户的权限。又如,ICMP协议也经常被用于发动拒绝服务攻击。它的具体手法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击。它们的繁殖能力极强,一般通过Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件,而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言,也有可能遭到大量数据包的攻击使其无法进行正常的网络操作。
2.4网络与主机扫描技术
扫描技术主要分为两类:主机安全扫描技术和网络安全扫描技术,其中网络安全扫描技术主要针对系统中存在的弱口令或与安全规则相抵触的对象进行检查;而主机安全扫描技术则是通过执行一些脚本文件,对系统进行模拟攻击,同时记录系统的反应,从而发现其中的漏洞。
常见的扫描技术主要有端口扫描和漏洞扫描。端口扫描是利用TCP/IP来识别不同的操作系统和服务,其原理就是“三次握手”建立连接(图1),“四次挥手”释放连接(图2)。漏洞扫描是一种最常见的攻击模式,用于探测系统和网络漏洞,针对某一类型的漏洞,都有专门的攻击工具。
2.5拒绝服务攻击
拒绝服务攻击(Denial of Service,DoS)(图3)就是向网站服务器发送大量要求回复的信息,消耗网络带宽或系统资源,导致网站服务器不能正常服务以至于瘫痪而停止服务。DoS威力很有限,所以就出现了DDoS(Distributed Denial of Service)分布式拒绝服务攻击,DDoS攻击方式和DoS基本一样(原理见图4),但它是由N台连上Internet的计算机组成的一个攻击者,威力可想而知,机器越多威力越大,但DDoS也有缺点,就是攻击者必须收集足够的攻击傀儡机器才能发起一次大规模的DDoS。另一个威力强悍的新型攻击方式DRDoS(Distributed Reflection Denial of Servie Attack) 分布式反射拒绝服务攻击,它不需要收集大量傀儡机器,只要带宽足够,1台机
器就可以发动一次大规模的攻击,就像百度这样的大网站在短时间内也会被攻击而停止服务。
2.6ARP欺骗攻击
ARP攻击就是通过伪造IP受到arp攻击地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其他计算机的通信信息,并因此造成网内其他计算机的通信故障。某机器A要向主机B发送报文,会查询本地的ARP缓存表,到B的IP地址对应的MAC地址后,就会进行数据传输。如果未到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存,接着使用这个MAC地址发送数据(由网卡附加MAC地址)。ARP欺骗实现过程如图5所示[3]。
注:①正常访问;②进行ARP欺骗;③被欺骗主机更新自己的ARP缓存表;④被欺骗主机无法正常
访问Internet。
图5ARP欺骗实现过程
2.7SQL注入
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多,但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患[4]。恶意用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些想得知的数据,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过Web表单递交查询字符爆出的,这类表单特别容易受到SQL注入式攻击。
2.8攻击
攻击主要表现为两种方式:一是轰炸和“滚雪球”,也就是通常所说的邮件,指的是用伪造的IP地址和地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给服务器操作系统带
来危险,甚至瘫痪;二是欺骗,攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令或在貌似正常的附件中加载病毒或其他木马程序[5]。
3攻击的发展趋势
随着网络硬件和软件的快速发展,攻击者攻击的方式呈现多样化,攻击手段也越来越高明,破坏性也越来越大。时至今日,攻击技术主要呈现以下几个方面发展趋势。
1) 网络攻击的自动化程度和攻击速度不断提高。
攻击工具的自动化程度继续不断增强,自动化攻击涉及的4个阶段都发生了新的变化。在扫描阶段,新的扫描工具利用更先进的扫描技术,变得更加有威力,并且提高了速度;在渗透控制阶段,安全脆弱的系统更容易受到损害;在攻击扩散阶段,由人工启动软件发起攻击发展到攻击工具可以自己发动新的攻击;在攻击工具的协调管理方面,攻击者可以容易地控制和协调分布在网络上的大量已部署的攻击工具。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论