網絡攻擊與防御技術研究

楊晨霞 涂風濤

摘要：網絡安全的五個基本目標是保密性、完整性、不可抵賴性、可用性和可控性，面臨的主要威脅包括惡意代碼、遠程入侵、拒絕服務攻擊、身份假冒、信息竊取和篡改等。

關鍵詞：網絡攻擊；防御機制

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）09-0052-03

Abstract： The five basic targets of cybersecurity are confidentiality， integrity， non-repudiation， availability and controllability. Major threats include malicious code， remote intrusion， denial of service attacks， identity spoofing， information theft and tampering.

Key words： network attacks； defense mechanism

1 背景

計算機網絡技術的迅速發展，在給人們的工作和生活帶來方便的同時，也帶來了巨大的安全隱患。如今，網絡攻擊事件屢見不鮮，給國家和社會帶來巨大的經濟利益損失，有時甚至危害到國家安全。因此，如何保護在網絡中各臺計算機存儲的大量數據以及在不同計算機之間傳輸的數據，成為我們首要解決的關鍵問題。

2 網絡攻擊

網絡攻擊是指對網絡的保密性、完整性、不可抵賴性、可用性、可控性產生危害的任何行為，可抽象分為信息泄露、完整性破壞、拒絕服務攻擊和非法訪問四種基本類型。網絡攻擊的基本特征是：由攻擊者發起并使用一定的攻擊工具，對目標網絡系統進行攻擊訪問，并呈現一定的攻擊效果，實現了攻擊者的攻擊意圖。

網絡攻擊方式一般可分為讀取攻擊、操作攻擊、欺騙攻擊、泛洪攻擊、重定向攻擊和Rootkits技術等。

實施網絡攻擊的過程雖然復雜多變，但是仍有規律可循。一次成功的網絡攻擊通常包括信息收集、網絡隱身、端口和漏洞掃描、實施攻擊、設置后門和痕跡清除等步驟。網絡攻擊的一般流程如圖1所示。

（1）信息收集

信息收集指通過各種方式獲取目標主機或網絡的信息，屬于攻擊前的準備階段，也是一個關鍵的環節。首先要確定攻擊目的，即明確要給對方形成何種后果，有的可能是為了獲取機密文件信息，有的可能是為了破壞系統完整性，有的可能是為了獲得系統的最高權限。其次是盡可能多地收集各種與目標系統有關的信息，形成對目標系統的粗略性認識。

（2）網絡隱身

網絡隱身通常指在網絡中隱藏自己真實的IP地址，使受害者無法反向追蹤到攻擊者。

（3）端口和漏洞掃描

因為網絡服務基于TCP/UDP端口開放，所以判定目標服務是否開啟，就演變為判定目標主機的對應端口是否開啟。端口掃描檢測有關端口是打開還是關閉，現有端口掃描工具還可以在發現端口打開后，繼續發送探測報文，判定目標端口運行的服務類型和版本信息，如經典掃描工具nmap，及其圖形化工具zenmap和sparta都支持服務類型的版本的判定。通過對主機發送多種不同的探測報文，根據不同操作系統的響應情況，可以產生操作系統的“網絡指紋”，從而識別不同系統的類型和版本，這項工作通常由端口掃描工具操作完成。

漏洞掃描是對指定的遠程或本地計算機進行安全檢測，利用發現的漏洞進行滲透攻擊的行為。在檢測出目標系統和服務的類型及版本后，需要進一步掃描它們是否存在可供利用的安全漏洞，這一步的工作通常由專用的漏洞掃描工具完成，如經典漏洞掃描工具Nessus，其開源版本Openvas及國產對應版本X-scan等。除了對主機系統的漏洞掃描工具外，還有專門針對Web應用程序的漏洞掃描工具，如Nikto、Golismero等，專門針對數據庫DMBS的漏洞掃描工具，如NGS Squirrel。

（4）攻擊實施

當攻擊者檢測到可利用漏洞后，利用漏洞破解程序即可發起入侵或破壞性攻擊。攻擊的結果一般分為拒絕服務攻擊、獲取訪問權限和提升訪問權限等。拒絕服務攻擊可以使得目標系統癱瘓，此類攻擊危害極大，特別是從多臺不同主機發起的分布式拒絕服務攻擊（DDoS），目前還沒有防御DdoS較好的解決辦法。獲取訪問權限指獲得目標系統的一個普通用戶權限，一般利用遠程漏洞進行遠程入侵都是先獲得普通用戶權限，然后需要配合本地漏洞把獲得的權限提升為系統管理員的最高權限。只有獲得了最高權限后，才可以實施如網絡監聽、清除攻擊痕跡等操作。權限提升的其他辦法包括暴力破解管理員口令、檢測系統配置錯誤、網絡監聽或設置釣魚木馬。

（5）設置后門

一次成功的攻擊往往耗費大量時間和精力，因此攻擊者為了再次進入目標系統并保持訪問權限，通常在退出攻擊之前，會在系統中設置后門程序。木馬和Rootkits也可以說是后門。所謂后門，就是無論系統配置如何改變，都能夠成功讓攻擊者再次輕松和隱蔽地進入網絡或系統而不被發現的通道。

設置后門的主要方法有開放不安全的服務端口、修改系統配置、安裝網絡嗅探器、建立隱藏通道、創建具有root權限的虛假用戶賬號、安裝批處理文件、安裝遠程控制木馬、使用木馬程序替換系統程序等。

（6）清除痕跡

在攻擊成功獲得訪問權或控制權后，此時最重要的事情是清除所有痕跡，隱藏自己蹤跡，防止被管理員發現。因為所有操作系統通常都提供日志記錄，會把所有發生的操作記錄下來，所以攻擊者往往要清除登錄日志和其他有關記錄。常用方法包括隱藏上傳的文件、修改日志文件中的審計信息、修改系統時間造成日志文件數據紊亂、刪除或停止審計服務進程、干擾入侵檢測系統正常運行、修改完整性檢測數據、使用Rootkits工具等。

3 網絡防御

網絡防御主要是用于防范網絡攻擊，隨著網絡攻擊手段的不斷進步，防御技術也從被動防御轉向主動防御。現有防御技術大體可以分為數據加密、訪問控制、安全檢測、安全監控和安全審計技術等，綜合運用這些技術，根據目標網絡的安全需求，有效形成網絡安全防護的解決方案，可以很好地抵御網絡攻擊。

常見的網絡防御技術有信息加密、訪問控制、防火墻、入侵防御、惡意代碼防范、安全審計與查證等。

（1）信息加密

加密是網絡安全的核心技術，是傳輸安全的基礎，包括數據加密、消息摘要、數字簽名和密鑰交換等，可以實現保密性、完整性和不可否認性等基本安全目標。

（2）訪問控制

訪問控制是網絡防護的核心策略。它基于身份論證，規定了用戶和進程對系統和資源訪問的限制，目的是合法地使用網絡資源，用戶不能越權訪問，只能根據自身的權限來訪問系統資源。

身份認證是指用戶要向系統證明他就是他所聲明的用戶，包括身份識別和身份驗證。身份識別是明確訪問者的身份，識別信息是公開的，例如居民身份證件上的姓名和住址等信息。身份認證是對其身份進行確認，驗證信息是保密的，例如查驗居民身份證上的信息是否真實有效。身份認證就是證實用戶的真實身份是否與其申明的身份相符的過程，是為了限制非法用戶訪問網絡資源，是所有其他安全機制的基礎。身份認證包括單機環境下的認證和網絡環境下的認證。

（3）防火墻

所謂防火墻是指在不同網絡或網絡安全域之間，對網絡流量或訪問行為實施訪問控制的一系列安全組件或設備，從技術上分類，它屬于網絡訪問控制機制。它通常工作在可信內部網絡和不可信外部網絡之間的邊界，它的作用是在保證網絡通暢的前提下，保證內部網絡的安全。這是一種被動的防御技術，也是一種靜態安全組件。

防火墻的類型主要有個人防火墻和網絡防火墻兩類。個人防火墻有時與操作系統的安全規則相結合。網絡防火墻按照工作的網絡層次劃分，包括包過濾防火墻、鏈路層網關和應用層網關三類，其中包過濾防火墻又分為有狀態和無狀態兩類。按照實現方式劃分又可以分為硬件防火墻和軟件防火墻，硬件防火墻主要是基于專用硬件設備實現高速過濾，如Cisco和PIX；軟件防火墻依賴于底層操作系統支持，需要在主機上安裝運行配置后才能使用，如Windows自帶的個人防火墻、Linux下的iptables。

（4）入侵防御

入侵是指未經授權蓄意訪問、篡改數據，使網絡系統不可使用的行為。入侵防御系統（Instrusion Prevention System，IPS），它是通過從網絡上獲得的信息，檢測對系統的入侵或企圖，并阻止入侵的行為。IPS是一種主動安全技術，可以檢測出用戶的未授權活動和誤操作，可有效彌補防火墻的不足，被稱為防火墻之后的第二道閘門。它通常與防火墻聯合，把攻擊攔截在防火墻外。與防火墻的不同之處在于，入侵防御主要檢測內部網絡流的信息流模式，尤其是關鍵網段的信息流模式，及時報警并通知管理員。

（5）惡意代碼防范

所謂惡意代碼實質是一種在一定環境下可以獨立執行的指令集或嵌入到其他程序中的代碼。惡意代碼分類的標準是獨立性和自我復制性。獨立性是指惡意代碼本身可獨立執行，非獨立性指必須要嵌入到其他程序中執行的惡意代碼，本身無法獨立執行。自我復制性指能夠自動將自己傳染給其他正常程序或傳播給其他系統，不具有自我復制能力的惡意代碼必須借助其他媒介傳播。

惡意代碼的傳播途徑包括移動媒介、Web站點、電子郵件和自動傳播等。所有編程語言都可編寫惡意代碼，常見的惡意腳本使用VBS或JavaScript實現，木馬和病毒多用C和C++實現。

（6）安全審計與查證

網絡安全審計是指在特定網絡環境下，為了保證網絡系統和信息資源不受來自外網和內網用戶的入侵和破壞，運用各種技術手段實時收集和監控網絡各組件的安全狀態和安全事件，以便集中報警、分析和處理的一種技術。它作為一種新的概念和發展方向，已經出現許多產品和解決方案，如上網行為監控、信息過濾等。安全審計對于系統安全的評價、對攻擊源和攻擊類型與危害的分析、對完整證據的收集至關重要。

4 小結

當前，網絡攻擊手段越來越高明，網絡攻擊技術正朝著自動化、智能化、系統化、高速化等方向發展，網絡攻擊已經對網絡安全構成了極大的威脅。因此，我們必須熟知各種網絡攻擊的基本原理和技術，才可以更好地做好相應的防護。

參考文獻：

[1] 佚名. Linux中iptables詳解[J/OL]. Http：//www.68idc.cn/help/jiabenmake/qita/20150516340597.html

[2] 汪列軍. 安全漏洞及分類[J/OL]. http：//www.2cto.com/article/201405/299140.html.

[3] 叮叮. 常見十大Web應用安全漏洞[J/OL]. http：//www.evget.com/article/2014/6/20/21209.html.

【通聯編輯：代影】