網絡攻擊技術發展及防范措施

于盟 張格 江浩

摘 要：從信息搜集、滲透攻擊、痕跡消除等步驟介紹了網絡攻擊的一般過程，從網絡攻擊技術、網絡攻擊對象的變化，介紹了網絡攻擊的發展變化和趨勢，針對網絡攻擊過程給出了針對性防范措施，為日常網絡安全防護工作提供參考。

關鍵詞：網絡攻擊；網絡安全；工控系統；車聯網

中圖分類號：TP309 文獻標識碼：A

Development of network attack technology and preventive measures

Abstract： This article introduces the general process of network attack.through information collection， infiltration attack， trace elimination， and the trend of network attack through the development and trend of network attack technology ，the changes of the network attack objects. The countermeasures against the network attack are given. This article provide reference for daily network security protection work.

Key words： network attack； cyber security； industrial control system； car networking

1 引言

當下進入了萬物互聯時代，物聯網、云計算、移動互聯網、工業互聯網等計算機網絡應用不斷發展，相應的網絡攻擊技術也不斷演進，網絡安全防護迎來了新的挑戰。2014年，中央網絡安全和信息化領導小組成立。2017年，《網絡安全法》頒布實施。網絡安全已經上升到國家安全高度，得到了黨和國家的高度重視。如何做好安全防護，應對網絡攻擊是每一名網絡安全工作者應不斷思索解決的問題。知己知彼，百戰不殆，做好網絡安全防護，首先要了解攻擊者攻擊手段，了解新型攻擊方式，并借助這些手段動態評估網絡安全風險，有針對性地主動地進行安全防范。

2 網絡攻擊基本過程

網絡攻擊技術是指攻擊者利用網絡和系統存在的漏洞和安全缺陷，對其硬件、軟件及數據進行攻擊的技術。利用這些技術可以控制網絡和系統，竊取敏感信息、破壞各種數據、監控用戶行為、影響或者終止系統運行。

實施網絡攻擊大體上分三個步驟。

2.1 收集信息，確定目標

網絡攻擊是在網絡空間實施的主動進攻行動，第一步是要收集網絡攻擊的相關信息，選擇可以實施攻擊的目標。其中主要包括網絡踩點、網絡掃描、網絡查點三個環節。

2.1.1 網絡踩點

網絡踩點是指通過技術手段收集攻擊目標的網絡環境和安全防護狀況，為開展攻擊行動提供情報支持的過程。常用的技術手段有網絡搜索與信息挖掘、DNS與IP查詢、網絡拓撲探測等。通常通過公開渠道就能夠獲取網站域名、IP地址、注冊單位、聯系人及其電話、電子信箱等信息。

2.1.2 網絡掃描

網絡掃描是指利用技術手段找出連接互聯網的主機、開放的網絡服務等信息。常用的技術手段有主機掃描、端口掃描、操作系統探測、漏洞掃描等。

2.1.3 網絡查點

網絡查點是指在前期收集信息的基礎上，對攻擊目標進行更具針對性地探查，找出可以進入的通道，以及實施攻擊所需的關鍵信息。常用的技術手段有網絡服務旗標抓取、網絡服務查點等。

2.2 實施滲透，開展破壞

收集足夠情報信息，精確選擇攻擊目標后，第二步是潛入目標系統，獲取系統控制權限，竊取重要數據或者對系統運行進行控制和癱瘓。這個過程主要包括獲取訪問權限、提升權限、竊取或破壞數據三個環節。

2.2.1 獲取訪問權限

通常利用密碼破解、Web應用攻擊、社會工程學攻擊等手段，獲取目標系統訪問權限。

2.2.2 提升權限

攻擊者獲取訪問權限后，會利用口令猜解、緩沖區溢出、系統漏洞或專門工具將訪問權限提升為控制權限，實現對目標系統的控制。

2.2.3 竊取或破壞數據

攻擊者取得控制權限后，可以對目標系統進行任意操作，包括竊取、篡改、破壞系統數據。

2.3 消除痕跡，潛伏控制

攻擊目的達到以后，攻擊者為了不暴露自己的行蹤，通常會掩蓋攻擊痕跡，同時植入后門，為后續侵入預留通道。這個過程主要包括掩蓋蹤跡、創建后門兩個環節。

2.3.1 掩蓋蹤跡

攻擊者會采取刪除操作系統、服務器和安全設備中的日志信息，以及異常操作的審計信息等，破壞系統安防措施，使其難以對攻擊行為進行識別、報警、阻斷，掩蓋其攻擊蹤跡，并切斷溯源鏈條，即使被發現也無法準確地追蹤溯源。

2.3.2 創建后門

為了能夠長期利用目標系統開展竊密、破壞活動，攻擊者通常會在目標系統上創建特權賬號、安裝遠程控制工具或植入木馬，以便后續隨時開展攻擊。2016年安全檢查發現，上海教育考試院系統被植入的木馬程序已經潛伏了10年，持續竊取敏感數據。

3 網絡攻擊技術的發展歷程

伴隨著網絡及信息技術的不斷進步，網絡攻擊技術也在發展演變。黨的總書記在中央網絡安全和信息化領導小組第一次會議強調“網絡安全和信息化是一體之兩翼、驅動之雙輪”。 網絡攻擊技術的發展歷程也是信息化的發展進步史。

3.1 電腦“病毒”

上世紀80年代，個人電腦逐漸普及，1988年出現了全球第一個電腦病毒Morris，為麻省理工學院的學生Morris所編寫，幾個小時就感染了數以千計的Unix服務器。服務器感染該病毒后，會不斷執行、復制這段病毒程序，直到資源耗盡、死機。一直到現在，針對個人電腦、服務器甚至手機的病毒一直存在，實現對個人電腦、服務器、手機的控制和破壞。

3.2 Web應用滲透

上世紀90年代，網站、信息系統等Web應用快速發展，Web應用系統相比操作系統更加開放、交互性更強，針對Web應用的多種類型的攻擊手段開始涌現，如SQL注入、遠程命令執行、任意文件上傳等，通過不斷發掘系統本身和交互過程中的高危漏洞，攻擊者可遠程控制系統、竊取數據，而且能夠以安全漏洞為突破口，進一步滲透至企業或組織內部網絡。

3.3 無線網絡滲透

進入21世紀后，無線網絡技術開始普及，給人們的生活帶來極大的便利。眾多企業或組織內部架設了無線網絡，并與辦公網等核心網絡相連，這在方便員工辦公的同時，也給攻擊者以可乘之機。攻擊者潛伏在無線網絡覆蓋區域，利用口令破解、弱口令漏洞等獲得目標無線網絡的訪問權限，即可滲透至內部網絡。

3.4 社會工程學攻擊

隨著網絡安全防護手段的逐步完善，直接利用技術漏洞進行網絡攻擊的方式越來越難達到目的。攻擊者將矛頭對準了網絡安全防線中最重要但同時也是最薄弱環節——人。社會工程學網絡滲透利用人的心理弱點，誘使人們進入攻擊者精心設計的圈套，從而在堅固的網絡安全防線上打開突破口。

3.5 人工智能攻擊

近年來，人工智能技術向各應用領域蔓延，隨著深度學習技術的逐漸成熟，網絡滲透技術也朝著自動化、智能化的方向發展。在2016年8月份舉行的Defcon全球黑客大會上，引入了人機對戰的全新競賽模式。從結果看，雖然機器仍然無法做到復雜情況的準確判斷，想要完全取代人類攻擊者，還有很長的路要走，但這無疑是未來網絡攻擊技術發展的大趨勢。

4 網絡攻擊對象發展趨勢

當前世界進入了萬物互聯時代，網絡安全風險和威脅也隨著網絡普及應用延伸擴展到各個領域，工控系統、物聯網、移動互聯網、車聯網、云計算等都成為了網絡攻擊的對象和目標。

4.1 對工控系統的攻擊

隨著工業信息化的推進，網絡攻擊目標已不僅僅是信息系統，攻擊者將攻擊目標指向了工業控制系統。由于工業控制系統保障著電力、石油、石化、天然氣、城市軌道交通、供水供氣供熱等領域的正常運轉，一旦遭受攻擊后，能夠對這些設施運行產生重要影響，甚至造成癱瘓。2010年“震網”病毒是一個工控攻擊的標志性事件，是第一個專門定向攻擊真實世界中基礎（能源）設施的“蠕蟲”病毒，造成了伊朗核電站的運行故障。2015年12月，網絡攻擊造成了烏克蘭基輔部分地區及西部地區大規模停電，波及140萬名居民。攻擊者首先誘騙電力公司員工下載惡意軟件，滲透進入電力公司內部網絡，訪問變電站控制系統，然后非法操控使之無法工作。

4.2 對物聯網平臺攻擊

物聯網設備上通常運行嵌入式操作系統和應用軟件，目前針對物聯網系統、軟件和應用的攻擊已經出現。2017年3月維基解密公布的美國中情局絕密文件，披露了一款針對三星電視的惡意軟件，可把電視變成一個巨大的“竊聽器”，使電視在關閉狀態下對房間進行錄音后發送到美國中情局服務器。

4.3 對移動互聯網攻擊

近年來移動智能系統和移動互聯網迅猛發展，日常生活中的社交、購物、導航、娛樂等生活應用都基于智能手機來實現，相應地針對智能手機的惡意軟件也層出不窮，出現了大量具有錄音、錄像、定位功能的間諜軟件，能夠竊取個人隱私信息。

4.4 對車聯網攻擊

當今汽車智能化、聯網化的程度越來越高，成為“裝了4個輪子的計算機”。早在2013年，黑客大會就展示了破解汽車控制系統，操縱汽車開門、關門、加速、倒車、剎車等操作的攻擊案例。美國中情局絕密文件中也披露了車載智能系統攻擊工具，用于執行“幾乎不可覺察的暗殺”行動。2017年12月2日，深圳市無人駕駛公交車在開放道路上試運行，其網絡安全風險也需引起重視。

4.5 對云計算平臺攻擊

網絡攻擊同樣沒有缺席云計算和網絡虛擬化等技術發展。近年來，不但出現了針對云計算、虛擬化架構的攻擊程序，云計算技術還被用于網絡攻擊。攻擊者將云服務器作為主控機開展網絡攻擊，降低了被檢測、被追溯的可能。利用云到設備的消息推送服務來控制僵尸主機，使僵尸網絡更為隱蔽、穩定。

5 網絡攻擊的防范措施

為了有效防范網絡攻擊，需從攻擊的幾個階段入手進行有針對性防范。

5.1 信息搜集階段防范

信息搜集階段攻擊者主要搜集目標網絡暴露的IP地址等入口信息、端口信息、網絡資產等相關情況。為了減少攻擊面，需在保證網絡服務正常運行條件下關閉不必要的IP地址和網絡服務，僅在官方或權威機構注冊相關服務，本著最小原則提供相關信息。

5.2 漏洞關聯階段防范

漏洞關聯階段攻擊者主要尋找并確認目標網絡存在的安全漏洞。網絡運營者需對網絡及服務進行定期漏洞掃描，有能力的可以建設網絡安全監測系統，及時發現系統存在的安全漏洞，對公開漏洞進行及時修補，不給攻擊者可乘之機。

5.3 入侵攻擊階段防范

入侵攻擊階段，攻擊者通常在目標網絡或系統中上傳后門文件、批量查詢數據庫、執行系統命令等操作來達到數據竊取、獲取服務器控制權限等目標。因此，需在網絡關鍵部位部署安全防護設備及時阻斷非法操作，同時對非法行為進行記錄。

5.4 社會工程學網絡滲透防范

社會工程學網絡滲透攻擊主要利用了人類心理弱點。因此要從人員網絡安全意識教育入手，通過對組織內部技術開發人員、網絡運維人員、普通員工等進行有針對性的網絡安全意識教育，規范網絡使用行為，提高判別可疑網絡滲透攻擊手段的能力。

6 結束語

網絡安全的本質在對抗，對抗的本質在攻防兩端能力較量。網絡攻擊與安全防護作為一對矛盾，在相互博弈中不斷發展進步。隨著網絡信息技術發展應用，網絡攻擊技術不斷涌現，攻擊手段日益變化，網絡安全防護也就需要因勢而動、動態提升。強化網絡安全日常管理，查找漏洞，消除風險，主動防范。加強網絡安全培訓，提高人員網絡安全意識和基本技能，從我做起，自覺防范，共筑網絡安全防線。

參考文獻

[1] 諸葛建偉.網絡攻防技術與實現[M].北京：電子工業出版社，2011.64-217.

[2] 諸葛建偉，陳力被，孫松柏，等.Metasploit滲透測試魔鬼訓練營[M].北京：機械工業出版社，2013，65-110.

[3] 劉龍龍，張建輝，楊夢.網絡攻擊及其分類技術研究[J].電子科技，2017年第2期：169-172.

[4] 宋超臣，王希忠，黃俊強，吳瓊.Web 滲透測試流程研究[J].電子設計工程，2014年第17期：165-167.

[5] 劉欣然.網絡攻擊分類技術綜述[J].通信學報，2004年第4期：30-36.

[6] 蘇劍飛，王景偉.網絡攻擊技術與網絡安全探析[J].通信技術，2010年第1期：91-93.

[7] 張義榮，趙志濤，鮮明，等.計算機網絡掃描技術研究[J].計算機工程，2004年第2期：173-176.

[8] 楊文濤.網絡攻擊技術研究[D].成都：四川大學，2004.

[9] 趙文哲.網絡滲透測試綜合實驗平臺技術研究與實現[D].國防科學技術大學，2014.

[10] 朱麗.網絡滲透行為研究[D].北京交通大學，2016.

[11] 黃偉光.網頁木馬的防御與檢測技術研究[D].北京交通大學，2011.