戰(zhàn)場(chǎng)網(wǎng)絡(luò)欺騙的運(yùn)用

◆楊連沁

戰(zhàn)場(chǎng)網(wǎng)絡(luò)欺騙的運(yùn)用

◆楊連沁

（66018部隊(duì) 天津 300380）

本文介紹了一種更加高效的戰(zhàn)場(chǎng)網(wǎng)絡(luò)攻擊手段，戰(zhàn)場(chǎng)網(wǎng)絡(luò)欺騙。簡(jiǎn)述了戰(zhàn)場(chǎng)網(wǎng)絡(luò)欺騙、主動(dòng)式網(wǎng)絡(luò)欺騙攻擊和引誘式網(wǎng)絡(luò)欺騙防護(hù)的概念，并給出了實(shí)現(xiàn)戰(zhàn)場(chǎng)網(wǎng)絡(luò)欺騙的方法。

戰(zhàn)場(chǎng)網(wǎng)絡(luò)欺騙；主動(dòng)式網(wǎng)絡(luò)欺騙攻擊；引誘式網(wǎng)絡(luò)欺騙防護(hù)

0 前言

戰(zhàn)爭(zhēng)，是武力對(duì)抗的最高形式。它不但是力量的角逐，更是智力的較量。使用計(jì)謀欺騙敵人，使敵人進(jìn)入自己的圈套，從而克敵制勝的事例，自古以來不勝枚舉，沒有軍事欺騙，就不可能展現(xiàn)出令人拍案叫絕的戰(zhàn)爭(zhēng)藝術(shù)，就不可能取得輝煌戰(zhàn)果。現(xiàn)在隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展及其在戰(zhàn)爭(zhēng)領(lǐng)域的應(yīng)用，一種奇特的欺騙攻擊手段應(yīng)運(yùn)而生，這就是戰(zhàn)場(chǎng)網(wǎng)絡(luò)欺騙。

1 現(xiàn)行戰(zhàn)場(chǎng)網(wǎng)絡(luò)攻擊的種類和缺點(diǎn)

1.1現(xiàn)行戰(zhàn)場(chǎng)網(wǎng)絡(luò)攻擊的種類

（1）利用計(jì)算機(jī)病毒攻擊

計(jì)算機(jī)病毒是指能實(shí)現(xiàn)自我復(fù)制的程序或可執(zhí)行代碼，這些程序或代碼能破壞計(jì)算機(jī)功能和毀壞計(jì)算機(jī)數(shù)據(jù)，影響計(jì)算機(jī)正常使用。我們利用計(jì)算機(jī)病毒攻擊，先要獲得敵方目標(biāo)系統(tǒng)的管理員權(quán)限。

（2）利用網(wǎng)絡(luò)蠕蟲攻擊

網(wǎng)絡(luò)蠕蟲是指能在計(jì)算機(jī)獨(dú)立運(yùn)行，并能把自身所包含全部功能模塊復(fù)制到網(wǎng)絡(luò)中其他計(jì)算機(jī)中的程序，它最直接的危害是造成網(wǎng)絡(luò)擁塞甚至網(wǎng)絡(luò)癱瘓。我們利用網(wǎng)絡(luò)蠕蟲攻擊要先掃描網(wǎng)絡(luò)，查找攻擊目標(biāo)，判斷目標(biāo)是否存在安全漏洞，再利用安全漏洞進(jìn)行漏洞溢出和自我復(fù)制。

（3）利用特洛伊木馬攻擊

特洛伊木馬是指一種計(jì)算機(jī)程序，表面上有某種正常的功能，卻暗含有隱藏的可以控制用戶計(jì)算機(jī)系統(tǒng)和危害用戶系統(tǒng)安全的功能，這能造成用戶的資料泄露、數(shù)據(jù)損壞和整個(gè)系統(tǒng)的崩潰。木馬的實(shí)質(zhì)是一種基于客戶/服務(wù)器模式的遠(yuǎn)程控制管理工具。我們利用特洛伊木馬攻擊，要先獲得敵方目標(biāo)系統(tǒng)的管理員權(quán)限，安裝客戶/服務(wù)器模式的遠(yuǎn)程控制程序。

（4）利用僵尸網(wǎng)絡(luò)DoS攻擊和DDoS攻擊

DoS攻擊和DDoS攻擊是指攻擊者過多占用共享資源，導(dǎo)致服務(wù)器超載或系統(tǒng)資源耗盡，使其無法為用戶提供正常服務(wù)，最終導(dǎo)致網(wǎng)絡(luò)服務(wù)癱瘓，甚至引起死機(jī)，這種方式通常要借助客戶/服務(wù)器技術(shù)。我們利用僵尸網(wǎng)絡(luò)DoS攻擊和DDoS攻擊，必須先用技術(shù)手段獲取大量傀儡主機(jī)，也就是僵尸網(wǎng)絡(luò)的系統(tǒng)管理員權(quán)限，植入僵尸程序并暗中操控。

1.2現(xiàn)行戰(zhàn)場(chǎng)網(wǎng)絡(luò)攻擊的缺點(diǎn)

我們分析這些攻擊手段，發(fā)現(xiàn)都是采取相似的攻擊步驟：目標(biāo)踩點(diǎn)—掃描目標(biāo)—獲取目標(biāo)關(guān)鍵信息—分析并入侵—獲取一般用戶權(quán)限—提升管理員權(quán)限—擴(kuò)展獲取資源范圍—安裝后門程序—清除入侵痕跡。從中可以看出，在從“分析并入侵”的步驟以后，對(duì)目標(biāo)主機(jī)進(jìn)行網(wǎng)絡(luò)攻擊就要先掃描并獲取目標(biāo)主機(jī)的開放服務(wù)、操作系統(tǒng)、安全漏洞等關(guān)鍵信息；再利用關(guān)鍵信息進(jìn)行入侵滲透，獲取管理員權(quán)限，擴(kuò)大我方獲取目標(biāo)的資源范圍；最后植入計(jì)算機(jī)病毒、蠕蟲和木馬程序，并有效清除自己的入侵痕跡。也就是說我們要進(jìn)行網(wǎng)絡(luò)攻擊要先入侵?jǐn)撤絻?nèi)部系統(tǒng)，獲取管理員權(quán)限后，再進(jìn)行后續(xù)步驟攻擊。但隨著計(jì)算機(jī)防護(hù)技術(shù)的發(fā)展，如防火墻技術(shù)、入侵檢測(cè)技術(shù)、病毒防護(hù)技術(shù)、數(shù)據(jù)加密技術(shù)的發(fā)展，入侵滲透到敵方計(jì)算機(jī)系統(tǒng)，獲取敵方管理員權(quán)限變得越來越困難，更不要談以后的植入病毒和木馬等后門程序進(jìn)行攻擊。

如何才能在戰(zhàn)場(chǎng)上更加容易、更加有效地進(jìn)行網(wǎng)絡(luò)攻擊呢？這就需要研究一種更加高效的戰(zhàn)場(chǎng)網(wǎng)絡(luò)攻擊手段，這就是戰(zhàn)場(chǎng)網(wǎng)絡(luò)欺騙。

2 戰(zhàn)場(chǎng)網(wǎng)絡(luò)欺騙的方法和運(yùn)用

戰(zhàn)場(chǎng)網(wǎng)絡(luò)欺騙就是采用計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)，嗅探和騙取敵方網(wǎng)絡(luò)地址，冒名頂替敵方網(wǎng)絡(luò)節(jié)點(diǎn)，伺機(jī)在敵方網(wǎng)絡(luò)上竊取信息、傳播偽令和破壞系統(tǒng)，造成其信息誤導(dǎo)，以達(dá)到對(duì)敵實(shí)施心理戰(zhàn)和軍事欺騙的目的，并在必要時(shí)對(duì)敵實(shí)施網(wǎng)絡(luò)攻擊。也可通過設(shè)置網(wǎng)絡(luò)陷阱，偽造我方虛假的重要信息資源和信息系統(tǒng)，誘使敵方相信上述信息資源具有較高價(jià)值，并具有可攻擊、可竊取的安全防范漏洞，然后將敵方引向這些網(wǎng)絡(luò)陷阱，增加敵方攻擊代價(jià)，消耗敵方系統(tǒng)資源，使敵深陷其中，作戰(zhàn)效能降低。

從中可以看出，利用戰(zhàn)場(chǎng)網(wǎng)絡(luò)欺騙，我方不需要進(jìn)入敵方主機(jī)內(nèi)部，獲取敵方系統(tǒng)管理員權(quán)限，完成后續(xù)步驟再進(jìn)行攻擊，只是冒充敵方網(wǎng)絡(luò)節(jié)點(diǎn)或設(shè)置網(wǎng)絡(luò)陷阱，就可達(dá)到欺騙效果，降低敵方作戰(zhàn)效能，這大大降低了我方的攻擊難度。

2.1主動(dòng)式網(wǎng)絡(luò)欺騙攻擊

主動(dòng)式網(wǎng)絡(luò)欺騙攻擊就是綜合運(yùn)用計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)，嗅探和騙取敵方網(wǎng)絡(luò)地址，冒名頂替敵方網(wǎng)絡(luò)節(jié)點(diǎn)，通過敵方身份認(rèn)證，騙取敵方信任，伺機(jī)在敵方網(wǎng)絡(luò)空間傳播和發(fā)布圖文并茂的假消息、假命令等來迷惑敵方，以達(dá)到對(duì)敵實(shí)施心理戰(zhàn)和軍事欺騙的目的，并在必要時(shí)可對(duì)敵實(shí)施網(wǎng)絡(luò)攻擊。

主動(dòng)式網(wǎng)絡(luò)欺騙攻擊運(yùn)用：

（1）IP欺騙

因?yàn)楝F(xiàn)行IP協(xié)議不對(duì)IP數(shù)據(jù)包中IP地址進(jìn)行認(rèn)證，因此任何人不經(jīng)授權(quán)就可以偽造IP包的源地址。IP包一旦從網(wǎng)絡(luò)中發(fā)送出去，源IP地址就幾乎不用，僅在中間路由器因某種原因丟棄或到達(dá)目標(biāo)端后，才被使用。這使得一個(gè)主機(jī)可以使用別的主機(jī)IP地址發(fā)送IP包。因此，我方把自己的主機(jī)偽裝成被敵方主機(jī)信任的友好主機(jī)，即把發(fā)送的IP地址包中的源IP地址改成被敵方信任的友好主機(jī)的IP地址，利用主機(jī)間的信任關(guān)系和身份認(rèn)證中存在的脆弱性，就可以冒充敵方信任主機(jī)對(duì)目標(biāo)進(jìn)行欺騙攻擊。

（2）IP欺騙DoS攻擊

我方利用IP數(shù)據(jù)包頭的RST位來實(shí)現(xiàn)。當(dāng)敵方已經(jīng)向服務(wù)器建立了正常的連接，我方可構(gòu)造TCP數(shù)據(jù)包，偽裝自己的IP地址為敵方的IP地址，并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數(shù)據(jù)包。服務(wù)器接收到這樣的數(shù)據(jù)包后，認(rèn)為從敵方IP地址發(fā)送的連接有錯(cuò)誤，服務(wù)器就會(huì)清空緩沖區(qū)中建立好的連接。這時(shí)，如果敵方再發(fā)送數(shù)據(jù)，服務(wù)器就已經(jīng)沒有這樣的連接了，敵方就必須重新開始建立連接。我方可利用這一點(diǎn)，構(gòu)造大量的源地址為敵方用戶的IP地址、RST位置1的數(shù)據(jù)包，發(fā)送給目標(biāo)服務(wù)器，使服務(wù)器不對(duì)敵方用戶服務(wù)，從而實(shí)現(xiàn)對(duì)敵方主機(jī)的拒絕式服務(wù)攻擊。

（3）TCP會(huì)話欺騙

TCP會(huì)話欺騙是一種結(jié)合了嗅探及欺騙技術(shù)在內(nèi)的攻擊手段，它是建立在IP欺騙的基礎(chǔ)上。由于我方劫持主機(jī)已經(jīng)通過了敵方會(huì)話一方的認(rèn)證，我方就不需要花費(fèi)大量的時(shí)間來進(jìn)行口令破解和身份認(rèn)證，可以直接進(jìn)行通信。也就是在敵方的通信過程中，我方作為第三方接管敵方的一個(gè)現(xiàn)存動(dòng)態(tài)會(huì)話參與到其中，可以在敵雙方會(huì)話中進(jìn)行監(jiān)聽，也可以替代敵一方主機(jī)接管會(huì)話，還可在會(huì)話數(shù)據(jù)流中注入額外的欺騙攻擊信息。

（4）E-mail欺騙

現(xiàn)行的SMTP協(xié)議有一個(gè)很嚴(yán)重的缺陷，就是沒有設(shè)計(jì)身份驗(yàn)證，它不對(duì)郵件發(fā)送者的身份進(jìn)行驗(yàn)證。我方可偽造E-mail地址，冒充是敵方熟悉的同事，甚至是上下級(jí)，以他們的名義發(fā)出E-mail。在敵方收到E-mail后，在發(fā)件人字段中顯示的是敵方熟悉的名字，而郵件地址又是正確的，所以敵方就會(huì)相信這封E-mail是真實(shí)的，從而達(dá)到欺騙。我方還可以誘使敵方在回信中透露敏感信息，或誘使敵方運(yùn)行惡意附件。同時(shí)還可以設(shè)定郵件返回地址，當(dāng)敵方回信時(shí)，答復(fù)將會(huì)發(fā)送到我方所指定的郵箱中，從而隱藏我方的真實(shí)身份。

2.2引誘式網(wǎng)絡(luò)欺騙防護(hù)

引誘式網(wǎng)絡(luò)欺騙防護(hù)就是根據(jù)敵方想要獲取我方重要信息資源，我方通過布置網(wǎng)絡(luò)陷阱，誘使敵方相信我方信息系統(tǒng)具有可竊取的重要資源，并存在具有可攻擊、可竊取的安全防范漏洞，將敵方引向這些網(wǎng)絡(luò)陷阱，增加敵方攻擊代價(jià)，消耗敵方系統(tǒng)資源，使敵深陷其中，作戰(zhàn)效能降低。同時(shí)，我方還可跟蹤敵方的進(jìn)攻軌跡，獲知其進(jìn)攻技術(shù)和進(jìn)攻意圖，并在進(jìn)入我方網(wǎng)絡(luò)陷阱的敵方機(jī)器上植入后門、埋設(shè)病毒，使其在不知不覺中上當(dāng)受騙，必要時(shí)對(duì)敵實(shí)施網(wǎng)絡(luò)攻擊。

引誘式網(wǎng)絡(luò)欺騙防護(hù)運(yùn)用：

（1）部署“蜜網(wǎng)”系統(tǒng)

蜜罐技術(shù)是一種網(wǎng)絡(luò)主動(dòng)防御技術(shù)，通過構(gòu)建模擬正常系統(tǒng)，可達(dá)到誘騙敵方、增加敵方攻擊代價(jià)，減少對(duì)我方真正服務(wù)系統(tǒng)安全威脅的目的，同時(shí)還可了解敵方所使用的攻擊工具和攻擊方法。“蜜網(wǎng)”就是蜜罐技術(shù)的發(fā)展。

我方在網(wǎng)絡(luò)中部署“蜜網(wǎng)”系統(tǒng)，模擬真實(shí)的網(wǎng)絡(luò)信息系統(tǒng)，在發(fā)現(xiàn)敵方進(jìn)行信息偵查或攻擊時(shí)，采取虛假、模擬和冒充相結(jié)合，誘騙敵方對(duì)這些虛假信息及信息系統(tǒng)進(jìn)行入侵，從而增加敵方的工作量和入侵復(fù)雜度，使敵方深陷其中。并實(shí)時(shí)記錄敵方入侵動(dòng)作，在分析敵方入侵機(jī)理后，適時(shí)采取有針對(duì)性的反制行動(dòng)。而我方真正的情報(bào)信息系統(tǒng)則通過隱蔽技術(shù)特征、提高防護(hù)等級(jí)、采用加密線路和小范圍聯(lián)網(wǎng)等方式加以隱蔽。

（2）擴(kuò)建誘騙空間

利用計(jì)算機(jī)系統(tǒng)的多宿主能力和虛擬機(jī)技術(shù)，在只有一塊以太網(wǎng)卡的計(jì)算機(jī)上分配出上千個(gè)IP地址，這樣利用十幾臺(tái)計(jì)算機(jī)組成的網(wǎng)絡(luò)系統(tǒng)，能覆蓋整個(gè)B類地址空間的欺騙。

我方在這十幾臺(tái)計(jì)算機(jī)組成的網(wǎng)絡(luò)系統(tǒng)上布置“蜜網(wǎng)”系統(tǒng)，它具有兩個(gè)直接的效果，一是將誘騙服務(wù)分布到更廣范圍的IP地址和端口上，增大了誘騙服務(wù)在整個(gè)網(wǎng)絡(luò)中的百分比，使得誘騙服務(wù)更容易被敵方掃描器發(fā)現(xiàn)，二是增加敵方的攻擊代價(jià)，因?yàn)樗麄冃枰袛嗥渲心男┓?wù)是真的，哪些服務(wù)是偽造的。而當(dāng)幾十臺(tái)計(jì)算機(jī)上都放置了誘騙服務(wù)時(shí)，敵方就需要花費(fèi)大量的時(shí)間和精力來進(jìn)行鑒別，這會(huì)大大增加敵方入侵復(fù)雜度和不確定性，使敵作戰(zhàn)效能嚴(yán)重降低。

（3）提升誘騙效果

我方結(jié)合運(yùn)用多種技術(shù)，不斷提升網(wǎng)絡(luò)誘騙效果。比如網(wǎng)絡(luò)流量仿真、網(wǎng)絡(luò)動(dòng)態(tài)配置和多重地址轉(zhuǎn)換都是有效增強(qiáng)網(wǎng)絡(luò)誘騙效果的方法。網(wǎng)絡(luò)流量仿真是指采用實(shí)時(shí)方式和重現(xiàn)方式復(fù)制真正的網(wǎng)絡(luò)流量到誘騙系統(tǒng)，使誘騙系統(tǒng)產(chǎn)生與真實(shí)網(wǎng)絡(luò)系統(tǒng)相仿的網(wǎng)絡(luò)流量，使得通過流量分析不能分辨出誘騙系統(tǒng)與真實(shí)系統(tǒng)。網(wǎng)絡(luò)動(dòng)態(tài)配置就是動(dòng)態(tài)地配置誘騙網(wǎng)絡(luò)來模擬正常的網(wǎng)絡(luò)服務(wù)行為，使得誘騙網(wǎng)絡(luò)也像真實(shí)網(wǎng)絡(luò)那樣隨時(shí)間而動(dòng)態(tài)變化。網(wǎng)絡(luò)地址多重轉(zhuǎn)換就是重定向代理服務(wù)，由代理服務(wù)進(jìn)行地址轉(zhuǎn)換，將誘騙服務(wù)綁定在與提供真實(shí)服務(wù)主機(jī)相同的類型和配置的計(jì)算機(jī)上，從而提高誘騙的真實(shí)性。

3 結(jié)束語

在現(xiàn)代戰(zhàn)爭(zhēng)中，敵我雙方圍繞著網(wǎng)絡(luò)空間的控制權(quán)展開激烈的爭(zhēng)奪，這已成為影響戰(zhàn)爭(zhēng)勝負(fù)的關(guān)鍵因素。要想取得網(wǎng)絡(luò)制高點(diǎn)權(quán)，就必須掌握最前沿的戰(zhàn)場(chǎng)網(wǎng)絡(luò)欺騙技術(shù)，誰取得了戰(zhàn)場(chǎng)網(wǎng)絡(luò)欺騙攻擊的優(yōu)勢(shì)，誰就能在現(xiàn)代的戰(zhàn)場(chǎng)中立于不敗之地。

[1]張玉清.網(wǎng)絡(luò)攻擊與防御技術(shù)[M].北京:清華大學(xué)出版社，2011.

[2]孫樂昌.計(jì)算機(jī)網(wǎng)絡(luò)攻防技術(shù)概論[M].北京:解放軍出版社，2003.