網(wǎng)絡(luò)攻擊的種類分析

摘要：隨著INTERNET的進一步發(fā)展，各種網(wǎng)上活動日益頻繁，尤其網(wǎng)上辦公、交易越來越普及，使得網(wǎng)絡(luò)安全問題日益突出，各種各樣的網(wǎng)絡(luò)攻擊層出不窮，如何防止網(wǎng)絡(luò)攻擊，保護個人、單位的網(wǎng)絡(luò)環(huán)境變得尤為重要。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊 種類

1 網(wǎng)絡(luò)攻擊概述

網(wǎng)絡(luò)安全是一個永恒的話題，因為計算機只要與網(wǎng)絡(luò)連接就不可能徹底安全，網(wǎng)絡(luò)中的安全漏洞無時不在，隨著各種程序的升級換代，往往是舊的安全漏洞補上了，又存在新的安全隱患，網(wǎng)絡(luò)攻擊的本質(zhì)實際上就是尋找一切可能存在的網(wǎng)絡(luò)安全缺陷來達到對系統(tǒng)及資源的損害。

網(wǎng)絡(luò)攻擊一般分為三個階段：

第一階段：獲取一個登錄賬號對UNLX系統(tǒng)進行攻擊的首要目標是設(shè)法獲取登錄賬號及口令，攻擊者一般先試圖獲取存在于/etc/passwd或NIS映射中的加密口令文件，得到該口令文件之后，就對其運行Crack，借助于口令字典，Crack甚至可以在幾分鐘內(nèi)破譯一個賬號。

第二階段：獲取根訪問權(quán)進入系統(tǒng)后，入侵者就會收集各種信息，尋找系統(tǒng)中的種種漏洞，利用網(wǎng)絡(luò)本身存在的一些缺陷，設(shè)法獲取根訪問權(quán)，例如未加限制的NFS允許根對其讀和寫。利用NFS協(xié)議，客戶給與服務(wù)器的安裝守護程序先交換信息，信息交換后，生成對NFS守護程序的請求，客戶通過這些請求對服務(wù)器上的文件進行讀或?qū)懖僮鳌Ｒ虼耍斂蛻魴C安裝文件系統(tǒng)并打開某個文件時，如果入侵者發(fā)出適當各式的UDP數(shù)據(jù)報，服務(wù)器就將處理NFS請求，同時將結(jié)果回送客戶，如果請求是寫操作，入侵者舊可以把信息寫入服務(wù)器中的磁盤。如果是讀操作，入侵者就可以利用其設(shè)置于服務(wù)器和客戶機之間的窺探器了解服務(wù)器磁盤中的信息，從而獲得根訪問

第三階段：擴展訪問權(quán)一旦入侵者擁有根訪問權(quán)，則該系統(tǒng)即可被用來供給網(wǎng)絡(luò)上的其他系統(tǒng)。例如：可以對登錄守護程序作修改以便獲取口令：增加包窺探儀可獲取網(wǎng)絡(luò)通信口令：或者利用一些獨立軟件工具動態(tài)地修改UNLX內(nèi)核，以系統(tǒng)中任何用戶的身份截擊某個終端及某個連接，獲得遠程主機的訪問權(quán)。

2 攻擊的種類及其分析

普通的攻擊一般可分以下幾種：

2.1 拒絕服務(wù)攻擊拒絕服務(wù)攻擊不損壞數(shù)據(jù)，而是拒絕為用戶服務(wù)，它往往通過大量不相關(guān)的信息來阻斷系統(tǒng)或通過向系統(tǒng)發(fā)出會，毀滅性的命令來實現(xiàn)。例如入侵者非法侵入某系統(tǒng)后，可向與之相關(guān)連的其他系統(tǒng)發(fā)出大量信息，最終導致接收系統(tǒng)過載，造成系統(tǒng)誤操作甚至癱瘓。這種供給的主要目的是降低目標服務(wù)器的速度，填滿可用的磁盤空間，用大量的無用信息消耗系統(tǒng)資源，是服務(wù)器不能及時響應(yīng)，并同時試圖登錄到工作站上的授權(quán)賬戶。例如，工作站向北供給服務(wù)器請求NlSpasswd信息時，攻擊者服務(wù)器則利用被攻擊服務(wù)器不能及時響應(yīng)這一特點，替代被攻擊服務(wù)器做出響應(yīng)并提供虛假信息，如沒有口令的紀錄。由于被攻擊服務(wù)器不能接收或及時接收軟件包，它就無法及時響應(yīng)，工作站將把虛假的響應(yīng)當成正確的來處理，從而使帶有假的passwd條目的攻擊者登錄成功。

2.2 同步(SYN)攻擊同步供給與拒絕服務(wù)攻擊相似，它摧毀正常通信握手關(guān)系。在SYN供給發(fā)生時，攻擊者的計算機不回應(yīng)其它計算機的ACK，而是向他發(fā)送大量的SYN ACK信息。通常計算機有一缺省值，允許它持特定樹木的SYN ACK信息，一旦達到這個數(shù)目后，其他人將不能初始化握手，這就意味著其他人將不能進入系統(tǒng)，因此最終有可能導致網(wǎng)絡(luò)的崩潰。

2.3 Web欺騙攻擊Web欺騙的關(guān)鍵是要將攻擊者偽造的Web服務(wù)器在邏輯上置于用戶與目的Web服務(wù)器之間，使用戶的所有信息都在攻擊者的監(jiān)視之下。一般Web欺騙使用兩種技術(shù)：URL地址重寫技術(shù)和相關(guān)信息掩蓋技術(shù)。

利用URL地址重寫技術(shù)，攻擊者重寫某些重要的Web站點上的所有URL地址，使這些地質(zhì)均指向攻擊者的Web服務(wù)器。

當用戶與站點進行安全鏈接時，則會毫無防備地進入攻擊者服務(wù)器。此時用戶瀏覽器首先向攻擊者服務(wù)器請求訪問，然后由攻擊者服務(wù)器向真正的目標服務(wù)器請求訪問，目標服務(wù)器向攻擊服務(wù)器傳回相關(guān)信息，攻擊者服務(wù)器重寫傳回頁面后再傳給用戶。此時瀏覽器呈現(xiàn)給用戶的的確是一個安全鏈接，但連接的對象卻是攻擊者服務(wù)器。用戶向真正Web服務(wù)器所提交的信息和真正Web服務(wù)器傳給用戶的所有信息均要經(jīng)過攻擊者服務(wù)器，并受制于它，攻擊者可以對所有信息進行記錄和修改。

由于瀏覽器一般均設(shè)有地址欄和狀態(tài)欄，當瀏覽器與某個站點連接時，可以在地址欄中和狀態(tài)欄中獲取連接中的Web站點地址及相關(guān)的傳輸信息，用戶可由此發(fā)現(xiàn)問題，所以一般攻擊者往往在URL地址重寫的同時，利用相關(guān)信息掩蓋技術(shù)即一般用的JavaScript程序來地址欄和狀態(tài)欄信息，以達到其掩蓋欺騙的目的。

2.4 TCP/IP欺騙攻擊IP欺騙可發(fā)生在IP系統(tǒng)的所有層次上，包括硬件數(shù)據(jù)鏈路層、IP層、傳輸層及應(yīng)用層均容易受到影響。如果底層受到損害，則應(yīng)用層的所有協(xié)議都將處于危險之中。另外，由于用戶本身不直接與底層結(jié)構(gòu)相互交流，有時甚至根本沒有意識到這些結(jié)構(gòu)的存在，因而對底層的攻擊更具欺騙性。

lP欺騙供給通常是通過外部計算機偽裝成另一臺合法機器來實現(xiàn)的。他能破壞兩臺機器間通信鏈路上的正常數(shù)據(jù)流，也可以在通信鏈路上插入數(shù)據(jù)，其偽裝的目的在于哄騙網(wǎng)絡(luò)中的其他機器誤將攻擊者作為合法機器而加以接受，誘使其他機器向它發(fā)送數(shù)據(jù)或允許它修改數(shù)據(jù)。

由于許多應(yīng)用程序最初設(shè)計時就是把信任建立于發(fā)送方IP地址的薄，即如果包能夠使其置身沿著陸由到達目的地，并且應(yīng)答包也可以回到原地，則可以肯定源IP地址是有效的。因此一個攻擊者可以通過發(fā)送有效IP源地址屬于另一臺機器的IP數(shù)據(jù)報來實施欺騙。

一方面現(xiàn)有路由器的某些配置使得網(wǎng)絡(luò)更容易受到IP欺騙攻擊。例如有些路由器不保護IP包端口源的信息，來自端口的所有l(wèi)P包被裝入同一個隊列然后逐個處理。假如包指示IP源地址來自內(nèi)部網(wǎng)絡(luò)，則該包可轉(zhuǎn)發(fā)。因此利用這一點網(wǎng)絡(luò)外不用戶只要設(shè)法表明是一種內(nèi)部IP地址即可繞過路由器法送報。

另一方面，攻擊者使用偽造的IP地址發(fā)送數(shù)據(jù)報，不僅可以獲取數(shù)據(jù)報特有的有效請求，還可以通過預(yù)測TCP字節(jié)順序號迫使接收方相信其合法而與之進行連接，從而達到TCP欺騙連接。

3 網(wǎng)絡(luò)上常見的幾種攻擊方式

3.1 密碼攻擊用戶在撥號上網(wǎng)時，如果選擇了“保存密碼”的功能，則上網(wǎng)密碼將被儲存在windows目錄中，以“username pwl”的形式存放。如果不小心被別人看到這個文件，那就麻煩了，因為從網(wǎng)上可以很輕松地找到諸如pwlview這樣的軟件來觀看其中的內(nèi)容，那上網(wǎng)密碼就泄漏了。

有的人使用名字、生日、電話號碼等來做密碼，更有的人的密碼干脆和用戶名一樣，這樣的密碼，在黑客攻擊軟件龐大的字典文件面前簡直是不堪一擊。

3.2 木馬程序攻擊木馬程序是一種特殊的病毒，它通過修改注冊表等手段使自己悄悄地潛伏在系統(tǒng)中，在用戶上網(wǎng)后，種植木馬的黑客就可以通過服務(wù)器端木馬程序控制你的計算機，獲取你的口令等重要信息，其危害性非常大。

3.3 垃圾郵件攻擊垃圾郵件是指向他人電子信箱發(fā)送未經(jīng)許可的，難以拒絕的電子郵件或電子郵件列表，其內(nèi)容包括廣告信息、電子雜志、網(wǎng)站信息等。用戶的電子信箱被這些垃圾郵件充斥后，會大大占用網(wǎng)絡(luò)資源，導致網(wǎng)絡(luò)阻塞，嚴重的還會使用戶的郵箱被“炸”掉，使郵箱不能正常工作。

3.4 通過聊天軟件攻擊用戶在用聊天軟件聊天時，黑客用一些小軟件就可查出對方聊天者的lP地址，然后通過lP炸彈阮家對用戶的機器進行轟炸，使之藍屏或死機。

4 網(wǎng)絡(luò)攻擊的六大趨勢

4.1 自動化程度和攻擊速度提高攻擊工具的自動化水平不斷提高。自動化攻擊涉及四個階段，每個階段都出新變化。

掃描可能的受害者。自1997年起，廣泛的掃描變得司空見慣。目前，掃描工具利用更先進的掃描模式來改善掃描效果和提高掃描速度。

損害脆弱的系統(tǒng)。以前，安全漏洞只在廣泛的掃描完成后才被加以利用。而現(xiàn)在攻擊工具利用這些安全漏洞作為掃描活動的一部分，從而加快了攻擊的傳播速度。

傳播攻擊。在2000年之前，攻擊工具需要人來發(fā)動新一輪攻擊。目前，攻擊工具可以自己發(fā)動新一輪攻擊。像紅色代碼和尼姆達這類工具能夠自我傳播，在不到18個小時內(nèi)就達到全球飽和點。

攻擊工具的協(xié)調(diào)管理。隨著分布式攻擊工具的出現(xiàn)，攻擊者可以管理和協(xié)調(diào)公布在許多Internet系統(tǒng)上的大量一部書的攻擊工具。目前，分布式攻擊工具能夠更有效地發(fā)動拒絕服務(wù)攻擊，掃描潛在的受害者，危害存在安全隱患的系統(tǒng)。

4.2 攻擊工具越來越復(fù)雜攻擊工具開發(fā)者正在利用更先進的技術(shù)武裝攻擊工具。與以前相比，攻擊工具的特征更難發(fā)現(xiàn)，更難利用特征進行檢測。攻擊工具有三個特點：反偵破，攻擊者采用隱蔽攻擊工具特性的技術(shù)，這使安全專家分析新攻擊工具和了解新攻擊行為所耗費的時間增多；動態(tài)行為，早期的攻擊工具是以但已確定的順序執(zhí)行攻擊步驟，今天的自動攻擊工具可以根據(jù)隨機選擇、預(yù)先定義的決策路徑或通過入侵者直接管理，來變化它們的模式和行為；攻擊工具的成熟性，與早期的攻擊工具不同，目前攻擊工具可以通過升級或更換工具的一部分迅速變化，發(fā)動迅速變化的功績，且在每一次攻擊中會出現(xiàn)多種不同形態(tài)的攻擊工具。

4.3 發(fā)現(xiàn)安全漏洞越來越快新發(fā)現(xiàn)的安全漏洞每年都要增加一倍，管理人員不斷用最新的補丁修復(fù)這些漏洞，而且每年都會發(fā)現(xiàn)安全漏洞的新類型。入侵者經(jīng)常能夠在廠商修補這些漏洞前發(fā)現(xiàn)攻擊目標。

4.4 越來越高的防火墻滲透率防火墻使人們牙防反入侵者的主要保護措施。但是越來越多的攻擊技術(shù)可以繞過防火墻。例如，(IPP Internet打印協(xié)議)和WebDAV(基于Web的分布式創(chuàng)作與翻譯)都可以被攻擊者利用來繞過防火墻。

4.5 越來越不對稱的威脅Internet上的安全是相互依賴的。每個Internet系統(tǒng)遭受攻擊的可能性取決于連接到全球Internet上其他系統(tǒng)的阿安全狀態(tài)。由于攻擊技術(shù)的進步，一個攻擊者可以比較容易地利用分布式系統(tǒng)，對一個受害者發(fā)動破壞性的攻擊。隨著部署自動化程度和攻擊工具管理技術(shù)的提高，威脅的不對稱性將繼續(xù)增加。

4.6 對基礎(chǔ)設(shè)施將形成越來越大的威脅基礎(chǔ)設(shè)施攻擊是大面積影響Internet關(guān)鍵組成部分的攻擊。由于用戶越來越多地依賴Internet完成日常業(yè)務(wù)，基礎(chǔ)設(shè)施攻擊引起人們越來越大的擔心。基礎(chǔ)設(shè)施面臨分布式拒絕服務(wù)攻擊、蠕蟲病毒、對Internet域名系統(tǒng)DNS的攻擊和對路由器攻擊或利用路由器的攻擊。

通過對以上攻擊方法和原理的介紹，我們將逐步研究防范攻擊的對策，相信攻擊與被攻擊者的戰(zhàn)爭還會不斷持續(xù)下去，這將對我們更深的了解計算機網(wǎng)絡(luò)安全問題形成巨大的推動力。