互聯網網絡攻擊基本步驟的研究與檢測

王春明，焦方寧，康子明，仝麥智

95876部隊，甘肅 張掖 734100

網絡攻擊主要是利用網絡存在的漏洞和安全缺陷對網絡系統的硬件、軟件及其系統中的數據進行的攻擊，從而造成被攻擊的電腦或網絡可能會出現網絡斷線、網速緩慢、信息與數據泄漏等情況，特別是重要信息或數據的泄漏，將直接對企業或者個人造成極大的損失。

古語有云：知己知彼，百戰不殆，只有掌握網絡攻擊的基本方法與步驟，才能準確的將其檢測出來，才能更好的防范網絡攻擊。從技術上來說，網絡攻擊的主要動機是取得所攻擊的目標機的超級管理員權限，從而可以操控目標機，安裝病毒程序、修改資源配置、隱藏行蹤等等。網絡攻擊的方法非常多，但是主要方法是完成攻擊前的信息收集、完成主要的權限提升和完成主要的后門留置等。

1 網絡攻擊的基本步驟

網絡攻擊一般情況下是利用網絡存在的漏洞和安全缺陷對系統和資源進行的攻擊，一般的網絡攻擊主要包括3個步驟：

1）第一步：搜集信息

攻擊者在選定將要攻擊的網絡資源的時候需要分析被攻擊的環境，這就要求攻擊者大量的收集與匯總被攻擊的目標的相關信息，包括攻擊目標的操作系統、類型、網絡拓撲結構等等，攻擊者搜集信息的手段非常多，但一般采用7個步驟來搜集信息，并且攻擊者在這7步中都會利用對應的工具來搜集攻擊目標的信息。搜集信息的7個步驟分別是：搜集初始信息、搜集攻擊對象所在的網絡地址范圍、搜集活動的機器、搜索入口點與開放端口、分清主機操作系統、弄清端口對應的運行的服務和畫出網絡拓撲圖。

2）第二步：尋找系統安全弱點

攻擊者在第一步已經搜集到了足夠的信息，接下來攻擊者會根據搜集到的被攻擊網絡的相關信息，對被攻擊對象的網絡上的主機進行全方位探測，以便發現被攻擊對象的安全漏洞與弱點。攻擊者主要會利用兩個方法去探測系統弱點：

（1）運用“補丁”程序探測突破口

攻擊者會通過前期準備階段搜集到的信息尋找“補丁”程序的接口，然后編寫對應的攻擊程序通過這個接口入侵被攻擊系統。

（2）運用掃描器尋找系統安全漏洞

目標系統的管理員使用掃描器掃描系統就會掃描出系統當前多存在的安全漏洞，然后修補漏洞加強系統的安全防御體系。但是攻擊者就會利用掃描器去掃描系統漏洞，目前較為流行的掃描器是安全管理員網絡分析工具SATAN、因特網安全掃描程序IIS、Nessus、NSS 等等。

3）第三步：實施攻擊

攻擊者通過上述方法探測到系統存在的弱點后，就開始對系統進行攻擊。攻擊的行為通常情況下分為3種形式：

（1）掩蓋行蹤，預留后門

攻擊者入侵被攻擊系統后，會盡量掩蓋可能留下的侵入痕跡，并在受損的系統中探測新的安全漏洞或者留下后門，以便再次實施入侵時使用。

（2）安裝探測程序

攻擊者入侵系統后可能會在系統中安裝探測程序軟件，即使攻擊者退出之后，探測軟件仍然可以窺探所在系統的活動，搜集攻擊者所需要的信息，并源源不斷的將窺探到的秘密信息傳送給安裝程序的攻擊者。

（3）取得特權，擴大攻擊范圍

攻擊者很有可能會進一步的去探測受損系統在網絡中的信任等級，然后利用該信任等級所具有的權限，對整個被攻擊系統展開全方面攻擊。一旦攻擊者獲得管理員或者根用戶權限后，后果將不堪設想。

2 網絡攻擊的檢測技術

2.1 使用數據流特征檢測

攻擊者在進行信息掃描之前會構造被攻擊對象的IP數據包，然后通過某端口發送毫無意義的數據包，這主要是因為各種操作系統對這種無意義的數據包的處理方式不同，攻擊者會解析返回的數據包，那么我們可以從下面3種思路去檢測系統被非法掃描。

1）統計分析。預先定義某個固定時間段的連接次數，在此時間段內如果發現連接次數超過預定義值，則認為端口被非法掃描；

2）特征匹配。通常情況下攻擊者發送的數據包都含有端口掃描特征的相關數據，比如：當攻擊者嘗試UDP端口掃描時，數據包中會有content:“sUDP”數據等等。可以通過分析掃面特征數據來檢測端口是否被非法掃描

2.2 本地權限攻擊檢測

檢查文件完備性、監測行為、對比檢查系統快照均是最為流行的檢測技術。

1）檢查文件完備性。定期檢查常用庫文件與系統文件的完備性。通常情況下會使用checksum的方式，對比較重要的文件做先驗快照，檢測這些重要文件的訪問，檢查這些文件的完備性作，結合行為監測法，防止重要文件遭到欺騙攻擊與覆蓋攻擊；

2）行為監測法。行為監測法主要從兩個方面監測: 一是監測所有程序進程的堆棧變化，以便維護程序運行期的堆棧合法性。以防御被攻擊對象遭到競爭條件攻擊與本地溢出攻擊；二是監測內存的活動，跟蹤內存容量的非正常變化，檢測、監控中斷向量。

攔截、仲裁來自ftp服務目錄、互聯網服務的相關腳本執行目錄等敏感目錄。審計對這些目錄的文件寫入操作，防止非法程序的寫入與上傳。監測執行系統服務程序的命令，控制數據庫服務程序的相關接口，防止使用系統服務程序提升權限；

3）對比檢查系統快照。先驗快照系統中的重要的公共信息，如系統的環境變量、配置參數， 檢測對這些系統變量的訪問，防止遭到篡改導向攻擊。

2.3 常用后門留置檢測技術

1）對比檢測法。后門留置檢測時，最重要的是檢測木馬的異常行為與可疑蹤跡。木馬程序入侵目標網絡成功之后，攻擊者會用盡各種隱藏蹤跡的措施去防止用戶發現，因此在檢測木馬程序入侵過程中一定要考慮到木馬程序可能利用的隱藏技術并采取有效措施進行規避，只有這樣才會發現木馬程序入侵時所引起的異常現象從而使隱身的木馬“現形”。常用的檢測木馬程序異常行為與可疑蹤跡的措施包括對比檢測法、監測系統資源法、防篡改文件法和分析協議法等；

2）監測系統資源法。監測系統資源法是指利用監控目標主機系統資源的方式去監控木馬程序入侵引起的異常行為；

3）防篡改文件法。防篡改文件法是指在打開新的文件之前，用戶首先就要檢驗此文件的身份信息以確保新文件沒有被別人修改。標識文件的指紋信息就是文件的身份信息，文件的身份信息可以通過md5檢驗與數字簽名的方式生成；

4）分析協議法。分析協議法是對比分析監聽的網絡會話與某種標準的網絡協議，從而去判斷監聽的網絡會話是否被木馬程序入侵。

3 結論

網絡安全已經成為世界人民關注的焦點問題，非法用戶的網絡攻擊造成了網絡的種種不安全。本文詳細介紹了網絡攻擊的步驟，并給出了防止網絡攻擊的基本檢測技術，只有掌握了網絡攻擊的步驟，才能將網絡攻擊拒之門外，才能構建安全、健康的網絡環境。

[1]張敏波編著.網絡安全實戰詳解[J].北京：電子工業出版社，2008，5.

[2]王景偉，郭英敏.密碼技術在信息網絡安全中的應用[J].信息網絡安全，2009(4)：27-28.

[3]楊義先編著.網絡安全理論與技術[J].北京：人民郵電出版社，2003.