基于防御視角的常見網(wǎng)絡(luò)攻擊技術(shù)發(fā)展趨勢(shì)研究

摘要：當(dāng)前網(wǎng)絡(luò)攻擊不時(shí)發(fā)生，因此基于防御視角的常見網(wǎng)絡(luò)攻擊技術(shù)創(chuàng)新研究是必要的。

關(guān)鍵詞：防御視角；網(wǎng)絡(luò)攻擊；技術(shù)創(chuàng)新；研究

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 22-0000-02

1 端口掃描技術(shù)

TCP/IP的服務(wù)一般是通過(guò)IP地址加一個(gè)端口號(hào)（Port）來(lái)決定，如FTP的服務(wù)端口號(hào)是21，SMTP的服務(wù)端口是25，POP3的端口是110?？蛻舳顺绦蛞话阃ㄟ^(guò)服務(wù)器的IP地址和端口號(hào)與服務(wù)器應(yīng)用程序連接。對(duì)目標(biāo)計(jì)算機(jī)端口掃描，得到許多有用信息（如該服務(wù)是否已經(jīng)啟動(dòng)等），從而發(fā)現(xiàn)系統(tǒng)的安全漏洞。在基于TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境中，一臺(tái)計(jì)算機(jī)（具有一個(gè)IP地址）可以提供多種服務(wù)，如文件傳輸FTP、遠(yuǎn)程登錄Rlogin、Gopher查詢等。為了使各種服務(wù)協(xié)調(diào)運(yùn)行，TCP/IP協(xié)議為每種服務(wù)設(shè)定了一個(gè)端口，稱為TCP協(xié)議端口。每個(gè)端口都擁有一個(gè)16 bit的端口號(hào)（顯然，對(duì)于一臺(tái)主機(jī)，可以定義65536個(gè)端口）。用戶自己提供的服務(wù)可以使用自由端口號(hào)。不過(guò)，一般系統(tǒng)使用的端口號(hào)為0～1023，用戶可以自己定義的端口號(hào)從1024開始。掃描目標(biāo)主機(jī)的服務(wù)端口之前，首先得弄清楚該主機(jī)是否已經(jīng)在運(yùn)行。如果發(fā)現(xiàn)該主機(jī)是活的（Alive），則可對(duì)該主機(jī)提供的各種服務(wù)端口進(jìn)行掃描，從而找出活著的服務(wù)。

2 端口偵聽技術(shù)

“端口偵聽”與“端口掃描”是黑客攻擊和防護(hù)經(jīng)常要用到的兩種端口技術(shù)。在黑客攻擊時(shí)利用它們可以準(zhǔn)確地尋找攻擊的目標(biāo)，獲取有用信息。在個(gè)人及網(wǎng)絡(luò)防護(hù)方面通過(guò)這種端口技術(shù)的應(yīng)用可以及時(shí)發(fā)現(xiàn)黑客的攻擊及一些安全漏洞。

3 網(wǎng)絡(luò)欺騙技術(shù)

網(wǎng)絡(luò)欺騙技術(shù)是指利用TCP/IP協(xié)議本身的缺陷對(duì)TCP/IP網(wǎng)絡(luò)進(jìn)行攻擊的一種復(fù)雜的技術(shù)。網(wǎng)絡(luò)欺騙主要包括如下幾種方式：IP欺騙、ARP欺騙、DNS欺騙、Web欺騙、E-mail欺騙、Cookie欺騙以及源路由欺騙等，下面著重介紹幾種。IP欺騙攻擊是指利用TCP/IP本身的缺陷而進(jìn)行的入侵，它不是進(jìn)攻的結(jié)果，而是進(jìn)攻的手段，實(shí)際上是兩臺(tái)主機(jī)之間信任關(guān)系的破壞。IP欺騙是適用于TCP/IP環(huán)境的一種復(fù)雜的技術(shù)攻擊，它由若干部分組成。目前，IP欺騙攻擊已經(jīng)成為黑客入侵時(shí)所采用的一種重要手段，因此有必要了解它的工作原理和防御措施，以便充分地保護(hù)用戶的合法權(quán)益。IP欺騙攻擊的實(shí)施步驟如下：（1）選定目標(biāo)主機(jī)；（2）發(fā)現(xiàn)主機(jī)之間的信任模式；（3）通過(guò)一系列手段迫使被信任主機(jī)喪失工作能力；（4）預(yù)測(cè)和取樣TCP序列號(hào)；（5）冒充被信任主機(jī)進(jìn)入系統(tǒng)；（6）實(shí)施破壞行為并留下后門以供以后使用。

4 常用網(wǎng)絡(luò)攻擊工具

非法入侵者在進(jìn)行網(wǎng)絡(luò)攻擊時(shí)需要借助一些工具，這些工具被統(tǒng)稱為網(wǎng)絡(luò)攻擊工具。一般情況下，根據(jù)各個(gè)工具的功能以及實(shí)現(xiàn)的目的不同，可以將網(wǎng)絡(luò)攻擊工具分為4類：端口掃描工具、網(wǎng)絡(luò)監(jiān)聽工具、密碼破解工具和拒絕服務(wù)攻擊工具。目前存在的掃描器產(chǎn)品主要可分為基于主機(jī)的和基于網(wǎng)絡(luò)的兩種，前者主要關(guān)注軟件所在主機(jī)上面的風(fēng)險(xiǎn)漏洞，而后者則是通過(guò)網(wǎng)絡(luò)遠(yuǎn)程探測(cè)其它主機(jī)的安全風(fēng)險(xiǎn)漏洞。SuperScan是一款功能強(qiáng)大的、基于連接的TCP端口掃描工具，它支持ping命令和主機(jī)名解析。多線程和異步技術(shù)使得掃描速度大大增加，并且SuperScan具有強(qiáng)大的端口管理器，內(nèi)置了大部分常見的端口以及端口的說(shuō)明，同時(shí)支持自定義端口功能。SuperScan具有以下功能：⑴ 通過(guò)Ping來(lái)檢驗(yàn)IP是否在線。⑵ IP和域名相互轉(zhuǎn)換。⑶ 檢驗(yàn)?zāi)繕?biāo)計(jì)算機(jī)提供的服務(wù)類別。⑷ 檢驗(yàn)一定范圍目標(biāo)計(jì)算機(jī)的是否在線和端口情況。⑸ 工具自定義列表檢驗(yàn)?zāi)繕?biāo)計(jì)算機(jī)是否在線和端口情況。⑹ 自定義要檢驗(yàn)的端口，并可以保存為端口列表文件。⑺ 軟件自帶一個(gè)木馬端口列表trojans.lst，通過(guò)這個(gè)列表可以檢測(cè)目標(biāo)計(jì)算機(jī)是否有木馬；同時(shí)，也可以自己定義修改這個(gè)木馬端口列表。

5 網(wǎng)絡(luò)監(jiān)聽工具

網(wǎng)絡(luò)監(jiān)聽工具可以被理解為一種安裝在計(jì)算機(jī)上的竊聽設(shè)備。它可以用來(lái)竊聽計(jì)算機(jī)在網(wǎng)絡(luò)上發(fā)送和接收的數(shù)據(jù)，這些數(shù)據(jù)可以是用戶的賬戶信息，也可以是機(jī)密的數(shù)據(jù)文件等。常用的網(wǎng)絡(luò)監(jiān)聽工具有Sniffer、NetXray、TcpDump、winpcap以及流光等。

TcpDump可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的“頭”完全截獲下來(lái)提供分析。它支持針對(duì)網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過(guò)濾，并提供and、or、not等邏輯語(yǔ)句來(lái)去掉無(wú)用的信息。TcpDump提供了源代碼，公開了接口，因此具備很強(qiáng)的可擴(kuò)展性，對(duì)于網(wǎng)絡(luò)維護(hù)和入侵者都是非常有用的工具。TcpDump存在于基本的FreeBSD系統(tǒng)中，由于它需要將網(wǎng)絡(luò)界面設(shè)置為混雜模式，普通用戶不能正常執(zhí)行，但具備root權(quán)限的用戶可以直接執(zhí)行它來(lái)獲取網(wǎng)絡(luò)上的信息。因此系統(tǒng)中存在網(wǎng)絡(luò)分析工具主要不是對(duì)本機(jī)安全的威脅，而是對(duì)網(wǎng)絡(luò)上的其他計(jì)算機(jī)的安全存在威脅。普通情況下，直接啟動(dòng)TcpDump將監(jiān)視第一個(gè)網(wǎng)絡(luò)界面上所有流過(guò)的數(shù)據(jù)包。

6 密碼破解工具

密碼破解工具實(shí)際上是一種能夠?qū)⒖诹钇谱g出來(lái)或者使口令保護(hù)失效的程序。通常情況下，密碼破解工具并不是真正地解碼，而是通過(guò)嘗試一個(gè)又一個(gè)的字符組合，使用已知的加密算法來(lái)加密這些字符組合，直到發(fā)現(xiàn)一個(gè)字符組合經(jīng)過(guò)加密后的結(jié)果與要解密的數(shù)據(jù)一樣，就會(huì)認(rèn)為該字符組合為要找的密碼。

LOphtCrack是在Windows NT平臺(tái)上使用的口令審計(jì)工具，它能通過(guò)保存在Windows NT操作系統(tǒng)中Cryptographic Hashes列表來(lái)破解用戶口令。通常為了安全起見，用戶的口令都是在經(jīng)過(guò)加密之后保存在Hash列表中的。這些敏感的信息如果被攻擊者獲得。他們不僅可能會(huì)得到用戶的權(quán)限.也可能會(huì)得到系統(tǒng)管理員的權(quán)限。LOphtCrack可通過(guò)各種不同的破解方法對(duì)用戶的口令進(jìn)行破解。PWDump不是一個(gè)密碼破解程序，但是使用它可以從Windows中的SAM數(shù)據(jù)庫(kù)中提取密碼。PWDump是一個(gè)免費(fèi)的Windows實(shí)用程序，它能夠提取出Windows系統(tǒng)中的口令，并存儲(chǔ)在指定的文件中。PWDump能夠從Windows目標(biāo)中提取出NTLM和LanMan口令散列值，而不管是否啟用了Syskey（一個(gè)Windows賬戶數(shù)據(jù)庫(kù)加密工具，是Windows下的一條命令）。該程序是Unix密碼破解程序，但是也可以運(yùn)行在Windows平臺(tái)下，功能強(qiáng)大、運(yùn)行速度快，可以進(jìn)行字典破解和強(qiáng)行破解。除了上面介紹的三種工具以外，還有其他一些比較常用的密碼破解工具，例如NTSweep、Crack、XIT、Slurpie等。

7 拒絕服務(wù)攻擊工具

拒絕服務(wù)攻擊因?yàn)槠淙菀讓?shí)施，所以是網(wǎng)絡(luò)攻擊中比較常見的一種。一般情況下，比較常見的拒絕服務(wù)攻擊方式包括：死亡之Ping、Teardrop、TCP SYN洪水、Land以及Smurf等。Teardrop攻擊是一種拒絕服務(wù)攻擊。Teardrop是基于UDP的病態(tài)分片數(shù)據(jù)包的攻擊方法，其工作原理是向被攻擊者發(fā)送多個(gè)分片的IP包（IP分片數(shù)據(jù)包中包括該分片數(shù)據(jù)包屬于哪個(gè)數(shù)據(jù)包以及在數(shù)據(jù)包中的位置等信息），某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時(shí)將會(huì)出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。利用UDP包重組時(shí)重疊偏移（假設(shè)數(shù)據(jù)包中第二片IP包的偏移量小于第一片結(jié)束的位移，而且算上第二片IP包的Data，也未超過(guò)第一片的尾部，這就是重疊現(xiàn)象）的漏洞對(duì)系統(tǒng)主機(jī)發(fā)動(dòng)拒絕服務(wù)攻擊，最終導(dǎo)致主機(jī)菪掉；對(duì)于Windows系統(tǒng)會(huì)導(dǎo)致藍(lán)屏死機(jī)，并顯示STOP 0x0000000A錯(cuò)誤。TCP/IP棧只能等待有限數(shù)量的ACK（應(yīng)答）消息，因?yàn)槊颗_(tái)計(jì)算機(jī)用于創(chuàng)建TCP/IP連接的內(nèi)存緩沖區(qū)都是非常有限的。TCP SYN洪水攻擊正是利用了這一系統(tǒng)漏洞來(lái)實(shí)施攻擊的。攻擊者利用偽造的IP地址向目標(biāo)發(fā)出多個(gè)連接（SYN）請(qǐng)求。目標(biāo)系統(tǒng)在接收到請(qǐng)求后發(fā)送確認(rèn)信息，并等待回答。由于攻擊者發(fā)送請(qǐng)求的IP地址是偽造的，所以確認(rèn)信息也不會(huì)到達(dá)任何計(jì)算機(jī)，當(dāng)然也就不會(huì)有任何計(jì)算機(jī)為此確認(rèn)信息作出應(yīng)答了。而在沒(méi)有接收到應(yīng)答之前，目標(biāo)計(jì)算機(jī)系統(tǒng)是不會(huì)主動(dòng)放棄的，繼續(xù)會(huì)在緩沖區(qū)中保持相應(yīng)連接信息，一直等待。當(dāng)?shù)却B接達(dá)到一定數(shù)量后，緩沖區(qū)資源耗盡，從而開始拒絕接收任何其他連接請(qǐng)求，也包括本來(lái)屬于正常應(yīng)用的請(qǐng)求。Land攻擊是一種使用相同的源和目的主機(jī)和端口發(fā)送數(shù)據(jù)包到某臺(tái)機(jī)器的攻擊。

8 蜜網(wǎng)技術(shù)

蜜網(wǎng)是在蜜罐技術(shù)上逐步發(fā)展起來(lái)的一個(gè)新的概念，又可成為誘捕網(wǎng)絡(luò)。蜜網(wǎng)技術(shù)實(shí)質(zhì)上還是一類研究型的高交互蜜罐技術(shù)，其主要目的是收集黑客的攻擊信息。但與傳統(tǒng)蜜罐技術(shù)的差異在于，蜜網(wǎng)構(gòu)成了一個(gè)黑客誘捕網(wǎng)絡(luò)體系架構(gòu)，在這個(gè)架構(gòu)中，我們可以包含一個(gè)或多個(gè)蜜罐，同時(shí)保證了網(wǎng)絡(luò)的高度可控性，以及提供多種工具以方便對(duì)攻擊信息的采集和分析。此外，虛擬蜜網(wǎng)通過(guò)應(yīng)用虛擬操作系統(tǒng)軟件（如VMWare和User Mode Linux等）使得我們可以在單一的主機(jī)上實(shí)現(xiàn)整個(gè)蜜網(wǎng)的體系架構(gòu)。虛擬蜜網(wǎng)的引入使得架設(shè)蜜網(wǎng)的代價(jià)大幅降低，也較容易部署和管理，但同時(shí)也帶來(lái)了更大的風(fēng)險(xiǎn)，黑客有可能識(shí)別出虛擬操作系統(tǒng)軟件的指紋，也可能攻破虛擬操作系統(tǒng)軟件從而獲得對(duì)整個(gè)虛擬蜜網(wǎng)的控制權(quán)。蜜網(wǎng)有著三大核心需求，即數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析。通過(guò)數(shù)據(jù)控制能夠確保黑客不能利用蜜網(wǎng)危害第三方網(wǎng)絡(luò)的安全，以減輕蜜網(wǎng)架設(shè)的風(fēng)險(xiǎn)；數(shù)據(jù)捕獲技術(shù)能夠檢測(cè)并審計(jì)黑客攻擊的所有行為數(shù)據(jù)；而數(shù)據(jù)分析技術(shù)則幫助安全研究人員從捕獲的數(shù)據(jù)中分析出黑客的具體活動(dòng)、使用工具及其意圖。

參考文獻(xiàn)：

[1]張海堂.21世紀(jì)世界商務(wù)發(fā)展的潮流[M].北京：經(jīng)濟(jì)科學(xué)出版社，1999.

[2]龔儉，王倩.計(jì)算機(jī)網(wǎng)絡(luò)安全導(dǎo)論[M].南京：東南大學(xué)出版社，2000.

[3]柯新生.網(wǎng)絡(luò)支付與結(jié)算[M].北京：電子工業(yè)出版社，2004.

[4]尹衍波.電子商務(wù)法規(guī)[M].北京：北京交通大學(xué)出版社，2007.

[5]勞幗齡.電子商務(wù)的安全技術(shù)[M].北京：中國(guó)水利水電出版社，2000.

[6]謝紅燕.電子商務(wù)的安全問(wèn)題及對(duì)策研究[J].哈爾濱商業(yè)大學(xué)學(xué)報(bào)（自然科學(xué)版），2007，（3）：350-358，

[7]彭禹皓，蘭波曉玲.電子商務(wù)的安全性探討[J].集團(tuán)經(jīng)濟(jì)研究，2007，（232）：216-217.

[8]余紹軍.電子商務(wù)安全與數(shù)據(jù)加密技術(shù)淺析[J].中國(guó)管理信息化，2007，（6）：12-14.

[9]曾鳳生.電子商務(wù)安全需求及防護(hù)策略[J].數(shù)據(jù)庫(kù)及信息管理，2007，（4）：25-28.