信息網絡系統攻擊技術綜述

何寧

摘要：隨著計算機網絡的迅速發展和電子商務的應用，計算機信息系統安全演變成信息網絡系統的安全，信息網絡系統攻擊的工具和技術有了最新的發展，利用Internet運營業務就會面臨從未有過的風險。總結了信息網絡系統攻擊技術的研究進展，對攻擊類別根據不同方式進行劃分，介紹了幾種主要的系統攻擊方法，包括網絡蠕蟲攻擊技術、木馬攻擊技術以及分布式服務拒絕攻擊技術，并分析了這些攻擊方法的異同和信息網絡系統攻擊技術的最新研究動向。

關鍵詞：信息網絡；系統攻擊；網絡蠕蟲；特洛伊木馬；分布式拒絕服務

中圖分類號：TP316文獻標志碼：A文章編號：1008-1739（2018）02-58-4

A Review of Attack Technologies of Information Network System

HE Ning

（Unit 91404， PLA， Qinhuangdao Hebei 066001， China）

0引言

計算機信息系統安全問題始于20世紀60年代末，隨著計算機網絡的迅速發展和電子商務的應用，計算機信息系統安全演變成信息網絡系統的安全。信息網絡系統是由計算機硬件、網絡和通信設備、計算機軟件、信息資源、信息用戶和規章制度組成的以處理信息流為目的的人機一體化系統，能夠進行信息的收集、傳遞、存儲、加工、維護和使用，其飛速發展迅速提高了人類社會的自動化水平，同時也提高了通過網絡攻擊系統的可能性。

1當前系統攻擊概況

信息網絡系統攻擊是指利用存在于系統的缺陷和漏洞，通過條件控制或者遠程控制，可控地損傷、盜取和癱瘓目標物，對網絡系統的軟硬件和其中的數據進行的攻擊。一般分成窺探設施、查點落腳、攻擊系統和掃尾工作4個步驟[1]。

①窺探設施

攻擊者通過前期網絡窺察，確認被攻擊的系統在網絡上的配置和構造，發掘目標系統的外圍安全設備類型并明確入侵點，經過外圍安全設備的薄弱環節，侵入網絡的正常服務，例如經過電子郵件系統侵入網絡。

②查點落腳

入侵者如果獲取了進入網絡的權利，就會在外部設備中為自己尋覓一個安全且不易察覺的侵入點，一般侵入者都會采用一個能夠獲得root權限的主機作為侵入點。確定侵入點以后，侵入者就成為了系統中的內部成員之一。

③系統攻擊

入侵者在系統內部尋找可損壞目標和可盜取數據，包括竊取感興趣的數據和軟件源代碼、訪問機密文件、損壞硬件和數據等。

④掃尾工作

攻擊和損壞成功后，入侵者就會安設后門及消除入侵痕跡，以防被發現。一般做法是刪除或替換系統的日志文件。

系統攻擊是信息網絡系統攻擊的主要步驟。當前，對不同攻擊類別的分類方法己經有很多，常用的幾種分類方法分別從攻擊對信息產生的破壞性、攻擊的層次、攻擊的位置、攻擊的工具和攻擊的方法等角度對系統攻擊進行了分類。

①產生的破壞性：一般可分為主動攻擊和被動攻擊[3]；

②攻擊層次：由淺入深可分為拒絕簡單服務、遠程用戶獲得特權文件讀權限、本地用戶獲得非授權寫權限、遠程用戶獲得非授權賬號信息、本地用戶獲得非授權讀權限、遠程用戶擁有了系統管理員權限、遠程用戶獲得特權文件寫權限。

③攻擊位置：主要分為本地攻擊、遠程攻擊和偽遠程攻擊等。

④攻擊工具：劃分為木馬程式攻擊和DOS攻擊。

⑤攻擊方法：這是比較常用的一種分類方法，目前大致可分為2大類：一類是通過信息系統安全漏洞繞過信息系統安全保護措施，侵入信息系統，進而達到控制信息系統的目的，稱為控制型攻擊，常見的有網絡蠕蟲攻擊和特洛伊木馬攻擊等方式；另一類攻擊雖然不能控制信息系統，但可大量占用信息系統的資源，如帶寬資源、計算資源和內存資源等，使得信息系統服務能力下降甚至完全失去服務能力，稱為網絡資源消耗型攻擊，常見的有網絡蠕蟲攻擊和分布式拒絕服務攻擊技術等方式。

2主要系統攻擊方法

2.1網絡蠕蟲攻擊技術

網絡蠕蟲是一種綜合了計算機病毒技術、密碼學和網絡攻擊的，智能化的、無需干預即可獨立運行的惡意代碼或攻擊程序[2]。網絡蠕蟲掃描并攻擊網絡上存在系統漏洞的主機，不斷自我繁殖，不停地獲得這些計算機上的部分或全部控制權，通過局域網或互聯網從一個節點傳播到另外一個節點，同時搜集、擴散并暴露系統敏感信息，然后在系統中留下未來的安全隱患，其傳播范圍非常廣，而且具有突發性和破壞性的特點，容易造成網絡擁塞并消耗系統資源，對網絡和計算機造成嚴重破壞。

2.1.1網絡蠕蟲的分類

網絡蠕蟲根據傳播策略可以分為以下3類。

（1）基于網絡掃描的蠕蟲

生成一個目的IP地址，定義為被感染的主機，通過網絡探測來決定這個IP地址的主機是否能被感染，若能被感染則會利用網絡將自身副本拷貝到遠程目的主機上，然后就完成了一次感染。

（2）電子郵件蠕蟲

利用電子郵件感染接入網絡上的主機，主要有2種方法：①用戶接收到的日常電子郵件中感染了蠕蟲病毒，點擊下載該電子郵件中的附件，主機就會被感染；②因為電子郵件客戶端本身具有漏洞，致使主機接收到了一些惡意郵件，即使用戶沒有打開該郵件，主機也會直接被蠕蟲所感染。

（3）基于支持多矢量傳播的蠕蟲

主要通過網絡共享、電子郵件、網絡掃描和網頁等傳播方式對網絡主機進行感染。2.1.2網絡蠕蟲傳播過程

蠕蟲程序在掃描到具有漏洞的計算機后，將蠕蟲主體遷移到目標主機，取得該主機的權限（管理員權限），獲得一個Shell，蠕蟲程序進入被感染的系統，對目標主機進行現場處理，包括隱藏、信息搜索和清除日志，在主機上安裝后門、跳板、控制端及監視器等；同時，蠕蟲程序生成多個副本，再重復上述過程，利用原主機和新主機之間進行的交互進而將蠕蟲程序復制到新主機。

蠕蟲程序的基本功能結構可分解為5個模塊：①搜索模塊：用于尋找下一臺要傳染的機器；②攻擊模塊：在被感染的機器上建立傳輸通道；③傳輸模塊：用于完成蠕蟲副本在不同計算機之間的傳遞；④信息搜集模塊：將被傳染的機器上搜集并建立的信息單獨使用并傳送到集中地點；⑤繁殖模塊：用于建立自身的多個副本，繁殖包括實體副本和進程副本的建立。2.1.3網絡蠕蟲與傳統病毒的區別

①攻擊機理不同

蠕蟲只能感染運行著存在漏洞的上層軟件的主機（郵件蠕蟲除外），但是傳統病毒卻沒有這種限制。

②攻擊目標不同

傳統病毒攻擊本地文件，蠕蟲攻擊網絡上的主機，另外因為它使用網絡進行自我傳播，進而形成了一個附加的攻擊目標，那就是網絡路由資源。

③載體方式不同

傳統病毒都需要載體，通常需要感染駐留的文件才能夠存在于主機當中；蠕蟲不需要載體，它通常以獨立的自我存在于主機中。

④傳播方式不同

傳播傳統病毒需要人工參與，而蠕蟲能夠自我發現并主動感染目的主機。

⑤擴散速度不同

在傳播過程中蠕蟲不需要人工參與，所以其速度比傳統病毒的要快得多。

2.2木馬攻擊技術

特洛伊木馬是指隱藏在正常程序中的一段具有特殊功能的惡意代碼（外來代碼）[3]，其實質是一個利用端口進行通信的網絡客戶或者服務程序。網絡客戶或者服務程序的原理是一臺主機提供服務，而另一臺主機接受服務，所以木馬程序一般由2部分組成：客戶端程序和服務端程序。

客戶端程序用來遠程控制計算機，但服務端程序卻藏匿到遠程計算機中，接收然后執行客戶端程序發出的命令，它一般隱藏在目標計算機里，隨計算機自啟動并在某一端口進行竊聽，通過對所接收的數據進行識別后，對目標計算機執行特定操作。它可以記憶客戶端的按鍵操作、盜取用戶的帳號和密碼、取得被控端信息、盜取被控端資源、遠程控制對方機器、復制和修改并刪除對方文件、格式化硬盤及上傳或下載文件等。2.2.1木馬的分類

木馬程序誕生以來出現了多種類型，常見的有破壞型、遠程訪問型、玩笑型、代理木馬、密碼發送型、反彈端口型木馬及鍵盤記錄型等。實際大部分木馬不是單一功能的木馬，通常是多種功能的集成[4]。

①玩笑型：不進行破壞，雖然讓人討厭卻是無害，一般容易刪除。

②破壞型：唯一功能就是破壞并刪除文件，還可以自動刪除DLL、INI和EXE等文件。

③密碼發送型：可以找到隱藏密碼并把密碼發送到指定郵箱。

④遠程訪問型：這種木馬最廣泛，用起來也非常簡單，只需服務端程序被運行，并得到服務端IP地址，就可實現遠程控制，訪問目標機。

⑤鍵盤記錄木馬：記錄目標主機的鍵盤敲擊，在Log文件里找到密碼并將密碼發出。

⑥DoS攻擊木馬：這種木馬產生的危害不體現在被感染計算機上，而是攻擊者可以利用它來攻擊與之聯網的其他計算機，然后給網絡造成嚴重傷害和損失。當黑客入侵了一臺機器并在該機器上安裝DoS攻擊木馬后，這臺計算機就成為黑客DoS攻擊的得力助手了。

⑦代理木馬：黑客在入侵的同時會給目標主機種上代理木馬，讓其變成攻擊者發動攻擊的跳板，從而攻擊者就可在匿名的情況下使用ICQ、Telnet等程序，隱藏自己的痕跡，謹防別人發現自己的身份。

⑧FTP木馬：通過21端口進行數據傳送的木馬，是最簡單最古老的木馬，它唯一功能就是打開主要用于實現FTP服務的21端口，等待用戶連接。最新FTP木馬增加了密碼功能，只有攻擊者本人才知道正確密碼，最終入侵目標主機。

⑨程序殺手木馬：上述木馬到了目標主機上還需通過防木馬軟件的查殺，程序殺手木馬就是用來關閉目標主機上運行的防木馬軟件的工具。

⑩反彈端口型木馬：防火墻會非常嚴格地過濾接入的鏈接，但是對于輸出的鏈接卻疏于防范。同一般木馬不同，反彈端口型木馬的服務端（被控制端）使用主動端口，客戶端（控制端）使用被動端口。木馬定時監測控制端的狀態，發現控制端上線就立即彈出端口主動連結控制端；出于隱蔽目的，控制端的被動端口一般開在80，即使用戶使用掃描軟件檢查自己的端口，發現類似1026 Controller IP和80ESTABLISHED的情況，稍微大意就以為是自己在瀏覽網頁。

2.2.2基于木馬的攻擊技術

基于木馬的攻擊技術，主要有植入、自啟動、隱藏及免殺技術等。

①植入木馬：是進行基于木馬攻擊技術的前提條件，目前植入木馬的主要方法有網站掛馬、網絡發送超級連接、電子郵件傳播、利用系統的漏洞以緩沖區溢出的方法、將木馬和其他病毒形態如蠕蟲病毒結合在一起進行傳播的方法等。

②木馬自啟動：木馬植入后一般需要運用系統中現有文件實現自啟動，比如利用Windows系統和autorun.inf文件自啟動、在開始菜單里面添加自啟動及利用注冊表實現自啟動等。

③木馬隱藏：隱蔽性是木馬最重要的特征，以逃避殺毒軟件和用戶的手工查殺。木馬主要通過文件、進程和通信隱藏等。

④木馬免殺：木馬免殺的主要手段有通過給木馬進行加殼實現免殺、通過修改文件特征代碼實現免殺及通過添加花指令實現免殺。

2.2.3木馬與病毒的區別

木馬的獨有特征是偽裝成正常應用片區用戶信任而入侵，潛伏在電腦中盜取用戶資料與信息，它不會自我繁殖，也并不“刻意”地去感染其他文件，而病毒（包含蠕蟲）的共同特征則是自我復制和傳播。

2.3分布式服務拒絕攻擊技術

根據目標類型，可將網絡資源消耗型攻擊分成無目標網絡資源消耗攻擊和目標網絡資源消耗型攻擊2類：①無目標網絡資源消耗攻擊是指在攻擊過程中，沒有專門的攻擊目標，對中間路由器的影響比較大，主要是為了耗盡某種網絡資源，如通信鏈路的帶寬容量、路由器的分組轉發能力等，從而使合法用戶無法得到服務，其中蠕蟲是近幾年來無目標網絡資源消耗型攻擊的典型代表；②目標網絡資源消耗型攻擊是指在攻擊過程中以終端服務器為攻擊目標，最基本的攻擊手段就是利用合理的服務請求來搶占系統資源，使終端服務器的CPU、內存技術通信鏈路等資源過載，從而使其他的正常用戶無法獲得足夠的資源，導致系統停止對服務請求的響應[5]，如分布式拒絕服務攻擊。

分布式拒絕服務攻擊技術（DDoS）是基于DoS的特殊形式的拒絕服務攻擊，是一種大規模分布和協作的攻擊方式。DDoS攻擊通過一些被控制的機器向一臺機器發動攻擊，具備強大的破壞性。伴隨計算機性能的提高以及網絡通信技術的基本成形，進而攻擊技術也取得了很大發展，攻擊者可以利用控制代理端進而對主機發起并發任務，產生了分布式拒絕服務攻擊技術，最終大大提升了攻擊強度。

2.3.1分布式服務拒絕攻擊的分類

當前的分布式拒絕服務攻擊技術主要分為應用程序的攻擊和網絡協議的攻擊2個方面：

①應用程序級攻擊：網絡是系統之間的傳輸部分，打斷網絡是中斷通信的有效手段。在實際應用中，應用程序是攻擊目標，同時會遭到拒絕服務問題的攻擊，如基于概念和邏輯缺陷、基于會話、基于內部機制及基于運行模式的攻擊等。

②網絡協議攻擊：這類攻擊瞄準信息傳輸中的信道，把IP堆棧作為攻擊的目標，IP堆棧是類似內存或CPU之類的關鍵資源的切入點，它的基本攻擊類型有SYN洪水、SYN-ACK洪水、UDP洪水及異常攻擊等。

2.3.2拒絕攻擊服務技術發展趨勢

隨著網絡節點的增多，使得DDoS攻擊有了更多的機會，隨著技術上的逐漸升級，主要表現在以下幾個方面[5]：

①攻擊專業化：攻擊軟件越來越巧妙，并逐漸向專業化發展。例如Stacheldraht、Trinoo、TFN2K和TFN等攻擊軟件是目前網絡上經常使用的黑客攻擊程序。

②攻擊創新化：反射式DDoS的原理是基于SYN Flood的精巧變形，它通過TCP三次握手機制的“優點”，使用 DDoS代理，利用一個假的源地址，向一臺高帶寬的服務器發送一個TCP-SYN數據包，接收到這個包的服務器將向源地址回送一個SYN-ACK的響應包。攻擊者在發包前把這個假的源地址創立為要攻擊的主機地址，若攻擊者使用多線程和相同源地址，目標主機就會受到多臺服務器的攻擊，最終目標主機“必死無疑”。

3結束語

信息網絡系統所面臨的威脅來自很多方面，而且會隨著時間的變化而變化。最近網絡系統攻擊的工具和技術有了最新的發展，所以有些機構利用Internet運營業務就會面臨從未有過的風險。例如：威脅越來越不對稱、防火墻滲透率越來越高、攻擊工具越來越復雜、對基礎設施的威脅增大、發現安全漏洞越來越快、自動化及攻擊速度越來越高等。因此，應該提高安全意識并制定針對性策略，明確安全對象，將防毒、防黑作為日常例行工作，設置強有力的安全保障體系，有的放矢，從而讓攻擊者無計可施。

參考文獻

[1] Sajal K D，Krishna K， Zhang N.Handbook on Securing Cyber-Physical Critical Infrastructure[M]. Amsterdam： Elsevier，2012.

[2]陳廳，汪小芬，張小松.網絡與系統攻擊技術實驗教學探討[J].實驗科學與技術，2015，13（1）：88-90.

[3] Falliere N，Murchu L O，Chien E.W32. Stuxnet Dossier[M]. Washington，D.C.：Symantec Corp，2011.

[4]張如云.基于網絡環境下對日志系統攻擊的機理分析與研究[J].辦公自動化，2015（5）：53-56.

[5]經小川，胡昌振，譚惠民.網絡協同攻擊及其檢測方法研究[J].計算機應用，2004，24（11）：25-27.