網(wǎng)絡攻擊中的路由探測技術淺析

徐海波

摘要：如今互聯(lián)網(wǎng)正在遭受著愈發(fā)嚴峻的安全挑戰(zhàn)，例如，邏輯炸彈，計算機病毒，拒絕服務攻擊等。網(wǎng)絡攻擊旨在破壞網(wǎng)絡信息的保密性，完整性，可用性，可審查性，可用性。采用加密技術，數(shù)字簽名，完整性技術和認證技術可以防御網(wǎng)絡攻擊。網(wǎng)絡攻擊的過程中，攻擊者獲取網(wǎng)絡信息，進行域名信息探測，網(wǎng)絡連通性探測，路由信息探測和局域網(wǎng)信息探測等。介紹了路由信息探測的技術原理，主要利用Ip數(shù)據(jù)包的TTL字段。圖形化的路由工具VisualRoute可以更加直觀形象地向使用者展示數(shù)據(jù)包在網(wǎng)絡中傳輸?shù)那闆r。

關鍵詞：網(wǎng)絡攻擊；網(wǎng)絡防御；路由探測；VisualR.oute

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）13-0018-02

1概述

網(wǎng)絡的出現(xiàn)給人們的生活，學習以及工作方式提供了一種全新的模式。通過網(wǎng)絡，人們可以有效地實現(xiàn)信息交換，資源共享等，網(wǎng)絡為人類社會提供了一個互操作性的平臺。與此同時網(wǎng)絡也面臨著極大的安全挑戰(zhàn)。最初進行操作系統(tǒng)開發(fā)和網(wǎng)絡協(xié)議制定時，人們只考慮到系統(tǒng)和協(xié)議的可使用性而忽略了其安全性。伴隨著蠕蟲病毒事件，后門事件的爆發(fā)，人們開始逐漸意識到網(wǎng)絡的安全性問題以及其重要性。當信息在網(wǎng)絡中傳輸時，需要進一步保證數(shù)據(jù)的安全性，隱蔽性，不被他人篡改嗅探，實現(xiàn)信息的保密性，完整性和可用性。

如今的網(wǎng)絡環(huán)境充滿各式各樣的威脅。對于個體用戶而言，由于本身對外提供的服務很少，所以安全防范比較簡單，安全性比較容易得到保障，面臨的最大問題類似特洛伊木馬，病毒或者后門?；趥€人用戶的攻擊一釣魚攻擊是最常見的一種方式，所謂的釣魚攻擊即是引誘用戶去訪問某一個網(wǎng)站，利用安裝的第三方軟件的漏洞，下載木馬程序運行。

相比之下，企業(yè)用戶面臨的問題較為嚴峻，企業(yè)用戶通常需要對外提供服務，善意的或是惡意的用戶都可以訪問。出于商業(yè)競爭或者獲取企業(yè)核心機密的目的，惡意用戶對企業(yè)服務器進行攻擊，之后再進行內部網(wǎng)頁的滲透進而獲取非法權限，外部的攻擊或者內部的攻擊都可能導致信息的丟失篡改銷毀。

2網(wǎng)絡攻擊的目標及防御技術

網(wǎng)絡信息安全分為五類基本要素，分別為保密性，完整性，可用性，可控性和可審查性。保密性，也稱機密性，確保信息不暴露給非授權的實體或者進程；完整性，只有得到授權的人才能修改數(shù)據(jù)，并且能夠有效判斷數(shù)據(jù)是否已被篡改，破壞數(shù)據(jù)的完整性是破壞網(wǎng)絡信息安全的最終目標；可用性：得到授權的實體在需要時可以訪問數(shù)據(jù)，拒絕不具備權限的實體或進程訪問數(shù)據(jù)；可控性，授權機構可以控制授權范圍內的信息流向及行為方式；可審查性，即非否認（抗抵賴）性，在信息交流過程結束后，通信雙方都無法抵賴數(shù)據(jù)傳輸?shù)氖聦?，對出現(xiàn)的網(wǎng)絡安全問題提供調查的依據(jù)和手段。

根據(jù)上述網(wǎng)絡信息安全的基本要素，得知網(wǎng)絡攻擊意圖破壞網(wǎng)絡信息的保密性，完整性，可用性，可審查性，可用性。采用加密技術可以防止信息被竊取，為了防止信息抵賴可以采用數(shù)字簽名技術，完整性技術可以防止信息篡改。鑒別信息冒充可以利用認證技術。

3網(wǎng)絡攻擊過程

一般情況下，將網(wǎng)絡攻擊過程劃分為三個階段，預攻擊，攻擊和后攻擊階段。預攻擊階段主要是收集信息，獲得域名和IP分布，應用系統(tǒng)情況等，用于制定下一步的攻擊決策。在發(fā)起攻擊之前，隱藏自己的攻擊身份和位置，收集目標系統(tǒng)信息，挖掘分析弱點信息；攻擊階段，隱藏攻擊行為，實施攻擊。獲得遠程權限，進入遠程系統(tǒng)，提升本地權限，進一步擴展權限，進行實質性操作獲取目標使用權限。后攻擊階段，消除攻擊痕跡，長期維持一定的權限。為下一次的攻擊植入后門木馬，刪除日志，修補明顯的漏洞，進一步滲透和擴展，開辟后門。

預攻擊階段收集目標系統(tǒng)的信息，進行進一步的攻擊決策。信息的獲取過程是循序漸進的。從攻擊者的角度來說，對于攻擊目標，知道的信息越詳細越好。收集的信息包括系統(tǒng)的一般信息，例如，系統(tǒng)的軟硬件平臺，系統(tǒng)用戶，系統(tǒng)服務及應用等；系統(tǒng)及服務的管理配置；系統(tǒng)口令的安全性，是否存在默認缺省口令，弱口令；系統(tǒng)服務的安全性，是否提供了安全性較差的服務，是否使用了低版本服務等。

在獲取目標主機信息之前，需要獲取源主機和目標主機之間的網(wǎng)絡信息。路由信息探測技術作為獲取網(wǎng)絡信息的方式之一發(fā)揮著很大的作用。

4路由信息探測

從網(wǎng)絡故障偵測角度來說，如果突然不能夠訪問目標的一臺主機，探測從源地址通往目標地址所經(jīng)過的路由器，可以找到出現(xiàn)問題的結點。對于網(wǎng)絡攻擊而言，對路由進行探測時，攻擊者一般更為關注網(wǎng)絡中從目標主機開始算起的倒數(shù)第二個結點或倒數(shù)第一個結點。通常情況下，這個節(jié)點是目標主機外圍的防火墻，探測這臺機器的安全訪問程度，安全訪問策略，可以訪問的端口號可以有效幫助攻擊者獲清對方的拓撲結構，路由狀況和安全防護狀況等。

4.1技術原理

TCP、IP協(xié)議定義的IP數(shù)據(jù)包格式如圖1所示，頭部的固定部分有20個字節(jié)，其中的生存時間（TTL）字段，用來標識IP數(shù)據(jù)包的存活時間，數(shù)據(jù)包的存活時間不是以時，分，秒來度量，而是以網(wǎng)絡傳輸?shù)倪^程中通過路由器的數(shù)目來標記。

源主機向網(wǎng)絡中發(fā)送一個IP數(shù)據(jù)包時會給TTL字段賦一個初值，數(shù)據(jù)包在網(wǎng)絡中傳輸?shù)倪^程中每通過一個路由器或者網(wǎng)關，TTL字段的值就會減1，直至到達某一個路由器時TTL的值變?yōu)?，此時該路由器直接丟棄此數(shù)據(jù)包，不再繼續(xù)向網(wǎng)絡的下一個結點傳送。

構建源地址和目標地址間網(wǎng)絡信息的具體步驟：

Step1：構造一個IP數(shù)據(jù)包，將它的TYL字段值設為1（Win-dows系統(tǒng)發(fā)送IP數(shù)據(jù)包TTL字段的默認值是128，Unix系統(tǒng)為256）。IP數(shù)據(jù)包在網(wǎng)絡中傳輸，到達第一個路由器，TFL字段的值減1變?yōu)?，數(shù)據(jù)包過期，路由器將這一信息回送給Source，那么源地址會收到第一個路由器發(fā)送的數(shù)據(jù)包過期的消息通知，Source就獲知了第一個路由器的IP地址。

Step2：構造TI'L字段為2的數(shù)據(jù)包，到達第一個路由器時TTL減1，值變?yōu)?。傳送到第二個路由器TTL的值減1變?yōu)?，第二個路由器給源地址發(fā)送消息。源地址就知道了第二個路由器的地址。

Step3：以此類推，TYL字段的值依次增1。直到增加到某一數(shù)值，數(shù)據(jù)包能夠順利地到達目標地址。

通過以上過程，獲知數(shù)據(jù)包在源主機和目標主機傳輸過程中所經(jīng)過的所有結點信息。

4.2路由查詢命令

在Unix系統(tǒng)中，路由查詢命令：traeeroute。這個命令向目標主機某個不知名的高端口（大于1024小于65535）發(fā)送UDP探測包。在Windows中路由查詢命令tracert向目標主機發(fā)送ICMP Echo Request探測數(shù)據(jù)包。UDP探測包和ICMP探測包并不能保證可靠性，所以為了提高可靠性，tracea和traceroute命令會向目標主機發(fā)送三個數(shù)據(jù)包。利用路由查詢命令可以獲知源地址和目的地址之間所有的路由器或網(wǎng)關的IP地址。Vi-sualRoute是圖形化的路由查詢工具，它不僅集成了ping，whois和traceroute的功能，而且可以自動分析網(wǎng)絡連接結構并呈現(xiàn)在世界地圖上。

5結束語

伴隨著計算機網(wǎng)絡的廣泛應用，與Internet有關的安全問題日漸突出。簡單介紹了網(wǎng)絡攻擊的過程，攻擊者在預攻擊階段需要對網(wǎng)絡信息進行獲取，路由信息探測幫助攻擊者獲知數(shù)據(jù)包在源主機和目標主機傳輸過程中所經(jīng)過的所有結點信息。另外，了解網(wǎng)絡攻擊技術有助于人們從正面角度去采取預防措施。