1.網(wǎng)絡(luò)攻擊技術(shù)概述
常見網(wǎng)絡(luò)攻擊技術(shù),網(wǎng)絡(luò)嗅探技術(shù)、緩沖區(qū)溢出技術(shù)、拒絕服務(wù)攻擊技術(shù)、IP欺騙技術(shù)、密碼攻擊技術(shù)等。
常見的網(wǎng)絡(luò)攻擊工具,安全掃描工具、監(jiān)聽工具、口令破譯工具等。
網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具的迅速發(fā)展使得各個(gè)單位的網(wǎng)絡(luò)信息安全面臨越來越大的風(fēng)險(xiǎn)。
要保證網(wǎng)絡(luò)信息安全就必須想辦法在一定程度上客服以上種種威脅,加深對(duì)網(wǎng)絡(luò)攻擊技術(shù)發(fā)展趨勢的了解,盡早采取相應(yīng)的防護(hù)措施。
(1) 網(wǎng)絡(luò)攻擊階段自動(dòng)化
①掃描階段
攻擊者采用新出現(xiàn)的掃描技術(shù)(隱藏掃描、告訴掃描、智能掃描、指紋識(shí)別等)推動(dòng)掃描工具的發(fā)展,使得攻擊者利用更先進(jìn)的掃描模式來改善掃描效果,提高掃描速度。
一個(gè)新的發(fā)展趨勢,漏洞數(shù)據(jù)同掃描代碼分離出來,并標(biāo)準(zhǔn)化,使得攻擊者能自行對(duì)掃描工具進(jìn)行更新。
②滲透控制階段
傳統(tǒng)的植入方式,郵件附件植入、文件捆綁植入,已經(jīng)不再有效,因?yàn)槠毡榘惭b了殺毒軟件和防火墻。
隱藏遠(yuǎn)程植入方式,基于數(shù)字水印遠(yuǎn)程植入方式、基于動(dòng)態(tài)鏈接庫(DLL)和遠(yuǎn)程線程插入的植入技術(shù),能夠躲避防病毒軟件的檢測,將受控端程序植入到目的計(jì)算機(jī)中。
③傳播攻擊階段
以前需要依靠人工啟動(dòng)工具發(fā)起的攻擊,現(xiàn)在發(fā)展到由攻擊工具本身主動(dòng)發(fā)起新的攻擊。
④攻擊工具協(xié)調(diào)管理階段
隨著分布式攻擊工具的出現(xiàn),攻擊者可以很容易地控制和協(xié)調(diào)分布在 Internet 上的大量已經(jīng)部署的攻擊工具。
目前,分布式攻擊工具能夠更有效地發(fā)動(dòng)拒絕服務(wù)攻擊,掃描潛在的受害者,危害存在安全隱患的系統(tǒng)。
(2) 網(wǎng)絡(luò)攻擊智能化
智能性的網(wǎng)絡(luò)攻擊工具普及,普通技術(shù)的攻擊者能在較短的時(shí)間內(nèi)向脆弱的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)發(fā)起攻擊。安全人員若要在這場入侵的網(wǎng)絡(luò)戰(zhàn)爭中獲勝,做到“知彼知己”,才能采用相應(yīng)的對(duì)策組織這些攻擊。
攻擊工具的開發(fā)者,利用更先進(jìn)的思想和技術(shù)來武裝攻擊工具,攻擊工具的特征比以前更難發(fā)現(xiàn);工具已經(jīng)具備了反偵破、智能動(dòng)態(tài)行為、攻擊工具變異等特點(diǎn)。
反偵破,攻擊者越來越多地采用具有隱蔽攻擊工具特性的技術(shù),使得網(wǎng)絡(luò)安全專家需要耗費(fèi)更多的時(shí)間分析新出現(xiàn)的攻擊工具和了解新的攻擊行為。
智能動(dòng)態(tài)行為,攻擊工具能根據(jù)環(huán)境自適應(yīng)地選擇,或預(yù)先定義決定策略路徑來變化對(duì)他們的模式和行為;早期的攻擊工具,僅僅以單一確定的順序執(zhí)行攻擊步驟。
攻擊工具變異,攻擊工具可以通過升級(jí)或更換工具的一部分迅速變化自身,進(jìn)而發(fā)動(dòng)迅速變化的攻擊,且在每一次攻擊中會(huì)出現(xiàn)多種不同形態(tài)的攻擊工具。
(3) 安全漏洞被利用的速度越來越快
安全漏洞是危害網(wǎng)絡(luò)安全的主要因素,安全漏洞沒有廠商和操作系統(tǒng)平臺(tái)的區(qū)別,在所有的操作系統(tǒng)和應(yīng)用軟件普遍存在。
新發(fā)現(xiàn)的各種操作系統(tǒng)與網(wǎng)絡(luò)安全漏洞每年都要增加一倍,網(wǎng)絡(luò)安全管理員需要不斷用最近的補(bǔ)丁修補(bǔ)相應(yīng)的漏洞。
攻擊者經(jīng)常搶在廠商發(fā)布漏洞補(bǔ)丁之前,發(fā)現(xiàn)這些未修補(bǔ)的漏洞同時(shí)發(fā)起攻擊。
(4) 防火墻的滲透率越來越高
防火墻目前是企業(yè)和個(gè)人防范網(wǎng)絡(luò)入侵的主要防護(hù)措施。一直以來,攻擊者都在研究攻擊和躲避防火墻的技術(shù)和手段。
從攻擊防火墻的過程,大概分為兩類。
第一類攻擊防火墻的方法,探測在目標(biāo)網(wǎng)絡(luò)上安裝的是何種防火墻系統(tǒng),找出防火墻系統(tǒng)允許哪些服務(wù)開放,基于防火墻的探測攻擊。
第二類攻擊防火墻的方法,采取地址欺騙,TCP序列號(hào)攻擊等手法繞過防火墻的認(rèn)證機(jī)制,達(dá)到攻擊防火墻和內(nèi)部網(wǎng)絡(luò)的目的。
(5) 安全威脅的不對(duì)稱性在增加
Internet上的安全是相互依賴的,每個(gè)Internet系統(tǒng)遭受攻擊的可能性取決于連接到全球Internet上其他系統(tǒng)的安全狀態(tài)。
攻擊技術(shù)水平的進(jìn)步,攻擊者比較容易地利用那些不安全的系統(tǒng),對(duì)受害者發(fā)動(dòng)破壞性的攻擊。
部署自動(dòng)化程度和攻擊工具管理技巧的提高,威脅的不對(duì)稱性增加。
(6) 對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的破壞越來越大
用戶依賴網(wǎng)絡(luò)提供服務(wù)來完成日常業(yè)務(wù),攻擊者攻擊位于Internet關(guān)鍵部位的網(wǎng)絡(luò)基礎(chǔ)設(shè)施造成的破壞影響越來越大。
對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊,主要手段有分布式拒絕服務(wù)攻擊、蠕蟲病毒攻擊、Internet域名系統(tǒng)DNS攻擊和路由器攻擊。
路由器保護(hù)技術(shù)已成型,用戶未充分利用路由器的加密和認(rèn)證特性進(jìn)行相應(yīng)的安全防護(hù)。
2. 網(wǎng)絡(luò)攻擊的一般流程
①攻擊身份和位置隱藏。隱藏網(wǎng)絡(luò)攻擊者的身份及主機(jī)位置,利用入侵主機(jī)(肉雞)作為跳板、利用電話轉(zhuǎn)接技術(shù)、盜用他人賬號(hào)上網(wǎng)、通過免費(fèi)網(wǎng)關(guān)代理、偽造IP地址和假冒用戶賬號(hào)等技術(shù)實(shí)現(xiàn)。
②目標(biāo)系統(tǒng)信息收集。確定攻擊目標(biāo)并收集目標(biāo)系統(tǒng)的有關(guān)信息,包括:系統(tǒng)一般信息(硬件平臺(tái)類型、系統(tǒng)的用戶、系統(tǒng)的服務(wù)與應(yīng)用等),系統(tǒng)及服務(wù)的管理、配置情況,系統(tǒng)口令的安全性,系統(tǒng)提供的服務(wù)的安全性等信息。
③弱點(diǎn)信息挖掘分析。從收集到的目標(biāo)信息中提取可使用的漏洞信息,包括系統(tǒng)或應(yīng)用服務(wù)軟件漏洞,主機(jī)信任關(guān)系漏洞,目標(biāo)網(wǎng)絡(luò)的使用者漏洞,通信協(xié)議漏洞,網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)漏洞等。
④目標(biāo)使用權(quán)限獲取。獲取目標(biāo)系統(tǒng)的普通或特權(quán)賬戶權(quán)限,獲得系統(tǒng)管理員的口令,利用系統(tǒng)管理上的漏洞,令系統(tǒng)管理員運(yùn)行特洛伊木馬程序,竊聽管理員口令。
⑤攻擊行為隱藏。連接隱藏,冒充其它用戶、修改LOGNAME環(huán)境變量、修改utmp日志文件、IP SPOOF;進(jìn)程隱藏,使用重定向技術(shù)減少ps給出的信息量、用木馬代替ps程序;文件隱藏,利用字符串的相似來麻痹系統(tǒng)管理員,或修改文件屬性使普通顯示方法無法看到;利用操作系統(tǒng)可加載模塊特性,隱藏攻擊時(shí)所產(chǎn)生的信息。
⑥攻擊實(shí)施。實(shí)施攻擊或以目標(biāo)系統(tǒng)為跳板向其他系統(tǒng)發(fā)起。攻擊其他被信任的主機(jī)和網(wǎng)絡(luò);修改或刪除重要數(shù)據(jù);竊聽敏感數(shù)據(jù);停止網(wǎng)絡(luò)服務(wù);下載敏感數(shù)據(jù);刪除用戶賬號(hào);修改數(shù)據(jù)記錄。
⑦開辟后門。在目標(biāo)系統(tǒng)中開辟后門,方便以后入侵。放寬文件許可權(quán);重新開放不安全的服務(wù),如REXD、TFTP等;修改系統(tǒng)的配置,如系統(tǒng)啟動(dòng)文件、網(wǎng)絡(luò)服務(wù)配置文件等;替換系統(tǒng)的共享庫文件;修改系統(tǒng)的源代碼,安裝各種特洛伊木馬;安裝嗅探器;建立隱蔽通道。
⑧攻擊痕跡清除。清除攻擊痕跡,逃避攻擊取證。篡改日志文件中的審計(jì)信息;改變系統(tǒng)時(shí)間造成日志文件數(shù)據(jù)紊亂;刪除或停止審計(jì)服務(wù)進(jìn)程;干擾入侵檢測系統(tǒng)的正常運(yùn)行;修改完整性檢測標(biāo)簽。
3. 黑客技術(shù)
黑客技術(shù),是發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的缺陷和漏洞,以及針對(duì)這些缺陷實(shí)施的攻擊技術(shù)。缺陷包括軟件缺陷、硬件缺陷、網(wǎng)絡(luò)協(xié)議缺陷、管理缺陷和人為失誤。
開放系統(tǒng)都會(huì)有漏洞。黑客攻擊,是黑客自己開發(fā)或利用已有工具尋找計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的缺陷及漏洞,并對(duì)這些缺陷實(shí)施攻擊。常用手段是獲得超級(jí)用戶口令,先分析目標(biāo)系統(tǒng)正在運(yùn)行哪些應(yīng)用程序,可以獲得哪些權(quán)限,有哪些漏洞可以利用;并利用這些漏洞獲得超級(jí)用戶權(quán)限,再達(dá)到他們的目的。
黑客技術(shù)是一把雙刃劍,黑客技術(shù)的好壞取決于使用它的人。有些人研究計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中存在的漏洞,提出解決和修補(bǔ)漏洞的方法完善系統(tǒng);有些人研究系統(tǒng)和網(wǎng)絡(luò)漏洞,以破壞為目的,非法進(jìn)入主機(jī)破壞程序,修改網(wǎng)頁,串入銀行網(wǎng)絡(luò)轉(zhuǎn)移資金等。
黑客攻擊每年以10倍的速度增長,美國每年經(jīng)濟(jì)損失近百億美元。黑客技術(shù)的存在促進(jìn)了網(wǎng)絡(luò)的自我完善,推動(dòng)整個(gè)互聯(lián)網(wǎng)的發(fā)展。網(wǎng)絡(luò)戰(zhàn)是第四大武器。在未來的戰(zhàn)爭中,黑客技術(shù)成為主要手段。
@木子雨辰,將一直帶給大家信息安全知識(shí),由淺至深、采用體系化結(jié)構(gòu)逐步分享,大家有什么建議和問題,可以及留言,多謝大家點(diǎn)擊關(guān)注、轉(zhuǎn)發(fā),謝謝大家。
