網(wǎng)絡(luò)攻擊與防御技術(shù)研究

楊晨霞 涂風(fēng)濤

摘要：網(wǎng)絡(luò)安全的五個基本目標(biāo)是保密性、完整性、不可抵賴性、可用性和可控性，面臨的主要威脅包括惡意代碼、遠程入侵、拒絕服務(wù)攻擊、身份假冒、信息竊取和篡改等。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊；防御機制

中圖分類號：TP393 文獻標(biāo)識碼：A

文章編號：1009-3044（2019）09-0052-03

Abstract： The five basic targets of cybersecurity are confidentiality， integrity， non-repudiation， availability and controllability. Major threats include malicious code， remote intrusion， denial of service attacks， identity spoofing， information theft and tampering.

Key words： network attacks； defense mechanism

1 背景

計算機網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，在給人們的工作和生活帶來方便的同時，也帶來了巨大的安全隱患。如今，網(wǎng)絡(luò)攻擊事件屢見不鮮，給國家和社會帶來巨大的經(jīng)濟利益損失，有時甚至危害到國家安全。因此，如何保護在網(wǎng)絡(luò)中各臺計算機存儲的大量數(shù)據(jù)以及在不同計算機之間傳輸?shù)臄?shù)據(jù)，成為我們首要解決的關(guān)鍵問題。

2 網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊是指對網(wǎng)絡(luò)的保密性、完整性、不可抵賴性、可用性、可控性產(chǎn)生危害的任何行為，可抽象分為信息泄露、完整性破壞、拒絕服務(wù)攻擊和非法訪問四種基本類型。網(wǎng)絡(luò)攻擊的基本特征是：由攻擊者發(fā)起并使用一定的攻擊工具，對目標(biāo)網(wǎng)絡(luò)系統(tǒng)進行攻擊訪問，并呈現(xiàn)一定的攻擊效果，實現(xiàn)了攻擊者的攻擊意圖。

網(wǎng)絡(luò)攻擊方式一般可分為讀取攻擊、操作攻擊、欺騙攻擊、泛洪攻擊、重定向攻擊和Rootkits技術(shù)等。

實施網(wǎng)絡(luò)攻擊的過程雖然復(fù)雜多變，但是仍有規(guī)律可循。一次成功的網(wǎng)絡(luò)攻擊通常包括信息收集、網(wǎng)絡(luò)隱身、端口和漏洞掃描、實施攻擊、設(shè)置后門和痕跡清除等步驟。網(wǎng)絡(luò)攻擊的一般流程如圖1所示。

（1）信息收集

信息收集指通過各種方式獲取目標(biāo)主機或網(wǎng)絡(luò)的信息，屬于攻擊前的準備階段，也是一個關(guān)鍵的環(huán)節(jié)。首先要確定攻擊目的，即明確要給對方形成何種后果，有的可能是為了獲取機密文件信息，有的可能是為了破壞系統(tǒng)完整性，有的可能是為了獲得系統(tǒng)的最高權(quán)限。其次是盡可能多地收集各種與目標(biāo)系統(tǒng)有關(guān)的信息，形成對目標(biāo)系統(tǒng)的粗略性認識。

（2）網(wǎng)絡(luò)隱身

網(wǎng)絡(luò)隱身通常指在網(wǎng)絡(luò)中隱藏自己真實的IP地址，使受害者無法反向追蹤到攻擊者。

（3）端口和漏洞掃描

因為網(wǎng)絡(luò)服務(wù)基于TCP/UDP端口開放，所以判定目標(biāo)服務(wù)是否開啟，就演變?yōu)榕卸繕?biāo)主機的對應(yīng)端口是否開啟。端口掃描檢測有關(guān)端口是打開還是關(guān)閉，現(xiàn)有端口掃描工具還可以在發(fā)現(xiàn)端口打開后，繼續(xù)發(fā)送探測報文，判定目標(biāo)端口運行的服務(wù)類型和版本信息，如經(jīng)典掃描工具nmap，及其圖形化工具zenmap和sparta都支持服務(wù)類型的版本的判定。通過對主機發(fā)送多種不同的探測報文，根據(jù)不同操作系統(tǒng)的響應(yīng)情況，可以產(chǎn)生操作系統(tǒng)的“網(wǎng)絡(luò)指紋”，從而識別不同系統(tǒng)的類型和版本，這項工作通常由端口掃描工具操作完成。

漏洞掃描是對指定的遠程或本地計算機進行安全檢測，利用發(fā)現(xiàn)的漏洞進行滲透攻擊的行為。在檢測出目標(biāo)系統(tǒng)和服務(wù)的類型及版本后，需要進一步掃描它們是否存在可供利用的安全漏洞，這一步的工作通常由專用的漏洞掃描工具完成，如經(jīng)典漏洞掃描工具Nessus，其開源版本Openvas及國產(chǎn)對應(yīng)版本X-scan等。除了對主機系統(tǒng)的漏洞掃描工具外，還有專門針對Web應(yīng)用程序的漏洞掃描工具，如Nikto、Golismero等，專門針對數(shù)據(jù)庫DMBS的漏洞掃描工具，如NGS Squirrel。

（4）攻擊實施

當(dāng)攻擊者檢測到可利用漏洞后，利用漏洞破解程序即可發(fā)起入侵或破壞性攻擊。攻擊的結(jié)果一般分為拒絕服務(wù)攻擊、獲取訪問權(quán)限和提升訪問權(quán)限等。拒絕服務(wù)攻擊可以使得目標(biāo)系統(tǒng)癱瘓，此類攻擊危害極大，特別是從多臺不同主機發(fā)起的分布式拒絕服務(wù)攻擊（DDoS），目前還沒有防御DdoS較好的解決辦法。獲取訪問權(quán)限指獲得目標(biāo)系統(tǒng)的一個普通用戶權(quán)限，一般利用遠程漏洞進行遠程入侵都是先獲得普通用戶權(quán)限，然后需要配合本地漏洞把獲得的權(quán)限提升為系統(tǒng)管理員的最高權(quán)限。只有獲得了最高權(quán)限后，才可以實施如網(wǎng)絡(luò)監(jiān)聽、清除攻擊痕跡等操作。權(quán)限提升的其他辦法包括暴力破解管理員口令、檢測系統(tǒng)配置錯誤、網(wǎng)絡(luò)監(jiān)聽或設(shè)置釣魚木馬。

（5）設(shè)置后門

一次成功的攻擊往往耗費大量時間和精力，因此攻擊者為了再次進入目標(biāo)系統(tǒng)并保持訪問權(quán)限，通常在退出攻擊之前，會在系統(tǒng)中設(shè)置后門程序。木馬和Rootkits也可以說是后門。所謂后門，就是無論系統(tǒng)配置如何改變，都能夠成功讓攻擊者再次輕松和隱蔽地進入網(wǎng)絡(luò)或系統(tǒng)而不被發(fā)現(xiàn)的通道。

設(shè)置后門的主要方法有開放不安全的服務(wù)端口、修改系統(tǒng)配置、安裝網(wǎng)絡(luò)嗅探器、建立隱藏通道、創(chuàng)建具有root權(quán)限的虛假用戶賬號、安裝批處理文件、安裝遠程控制木馬、使用木馬程序替換系統(tǒng)程序等。

（6）清除痕跡

在攻擊成功獲得訪問權(quán)或控制權(quán)后，此時最重要的事情是清除所有痕跡，隱藏自己蹤跡，防止被管理員發(fā)現(xiàn)。因為所有操作系統(tǒng)通常都提供日志記錄，會把所有發(fā)生的操作記錄下來，所以攻擊者往往要清除登錄日志和其他有關(guān)記錄。常用方法包括隱藏上傳的文件、修改日志文件中的審計信息、修改系統(tǒng)時間造成日志文件數(shù)據(jù)紊亂、刪除或停止審計服務(wù)進程、干擾入侵檢測系統(tǒng)正常運行、修改完整性檢測數(shù)據(jù)、使用Rootkits工具等。

3 網(wǎng)絡(luò)防御

網(wǎng)絡(luò)防御主要是用于防范網(wǎng)絡(luò)攻擊，隨著網(wǎng)絡(luò)攻擊手段的不斷進步，防御技術(shù)也從被動防御轉(zhuǎn)向主動防御?，F(xiàn)有防御技術(shù)大體可以分為數(shù)據(jù)加密、訪問控制、安全檢測、安全監(jiān)控和安全審計技術(shù)等，綜合運用這些技術(shù)，根據(jù)目標(biāo)網(wǎng)絡(luò)的安全需求，有效形成網(wǎng)絡(luò)安全防護的解決方案，可以很好地抵御網(wǎng)絡(luò)攻擊。

常見的網(wǎng)絡(luò)防御技術(shù)有信息加密、訪問控制、防火墻、入侵防御、惡意代碼防范、安全審計與查證等。

（1）信息加密

加密是網(wǎng)絡(luò)安全的核心技術(shù)，是傳輸安全的基礎(chǔ)，包括數(shù)據(jù)加密、消息摘要、數(shù)字簽名和密鑰交換等，可以實現(xiàn)保密性、完整性和不可否認性等基本安全目標(biāo)。

（2）訪問控制

訪問控制是網(wǎng)絡(luò)防護的核心策略。它基于身份論證，規(guī)定了用戶和進程對系統(tǒng)和資源訪問的限制，目的是合法地使用網(wǎng)絡(luò)資源，用戶不能越權(quán)訪問，只能根據(jù)自身的權(quán)限來訪問系統(tǒng)資源。

身份認證是指用戶要向系統(tǒng)證明他就是他所聲明的用戶，包括身份識別和身份驗證。身份識別是明確訪問者的身份，識別信息是公開的，例如居民身份證件上的姓名和住址等信息。身份認證是對其身份進行確認，驗證信息是保密的，例如查驗居民身份證上的信息是否真實有效。身份認證就是證實用戶的真實身份是否與其申明的身份相符的過程，是為了限制非法用戶訪問網(wǎng)絡(luò)資源，是所有其他安全機制的基礎(chǔ)。身份認證包括單機環(huán)境下的認證和網(wǎng)絡(luò)環(huán)境下的認證。

（3）防火墻

所謂防火墻是指在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間，對網(wǎng)絡(luò)流量或訪問行為實施訪問控制的一系列安全組件或設(shè)備，從技術(shù)上分類，它屬于網(wǎng)絡(luò)訪問控制機制。它通常工作在可信內(nèi)部網(wǎng)絡(luò)和不可信外部網(wǎng)絡(luò)之間的邊界，它的作用是在保證網(wǎng)絡(luò)通暢的前提下，保證內(nèi)部網(wǎng)絡(luò)的安全。這是一種被動的防御技術(shù)，也是一種靜態(tài)安全組件。

防火墻的類型主要有個人防火墻和網(wǎng)絡(luò)防火墻兩類。個人防火墻有時與操作系統(tǒng)的安全規(guī)則相結(jié)合。網(wǎng)絡(luò)防火墻按照工作的網(wǎng)絡(luò)層次劃分，包括包過濾防火墻、鏈路層網(wǎng)關(guān)和應(yīng)用層網(wǎng)關(guān)三類，其中包過濾防火墻又分為有狀態(tài)和無狀態(tài)兩類。按照實現(xiàn)方式劃分又可以分為硬件防火墻和軟件防火墻，硬件防火墻主要是基于專用硬件設(shè)備實現(xiàn)高速過濾，如Cisco和PIX；軟件防火墻依賴于底層操作系統(tǒng)支持，需要在主機上安裝運行配置后才能使用，如Windows自帶的個人防火墻、Linux下的iptables。

（4）入侵防御

入侵是指未經(jīng)授權(quán)蓄意訪問、篡改數(shù)據(jù)，使網(wǎng)絡(luò)系統(tǒng)不可使用的行為。入侵防御系統(tǒng)（Instrusion Prevention System，IPS），它是通過從網(wǎng)絡(luò)上獲得的信息，檢測對系統(tǒng)的入侵或企圖，并阻止入侵的行為。IPS是一種主動安全技術(shù)，可以檢測出用戶的未授權(quán)活動和誤操作，可有效彌補防火墻的不足，被稱為防火墻之后的第二道閘門。它通常與防火墻聯(lián)合，把攻擊攔截在防火墻外。與防火墻的不同之處在于，入侵防御主要檢測內(nèi)部網(wǎng)絡(luò)流的信息流模式，尤其是關(guān)鍵網(wǎng)段的信息流模式，及時報警并通知管理員。

（5）惡意代碼防范

所謂惡意代碼實質(zhì)是一種在一定環(huán)境下可以獨立執(zhí)行的指令集或嵌入到其他程序中的代碼。惡意代碼分類的標(biāo)準是獨立性和自我復(fù)制性。獨立性是指惡意代碼本身可獨立執(zhí)行，非獨立性指必須要嵌入到其他程序中執(zhí)行的惡意代碼，本身無法獨立執(zhí)行。自我復(fù)制性指能夠自動將自己傳染給其他正常程序或傳播給其他系統(tǒng)，不具有自我復(fù)制能力的惡意代碼必須借助其他媒介傳播。

惡意代碼的傳播途徑包括移動媒介、Web站點、電子郵件和自動傳播等。所有編程語言都可編寫惡意代碼，常見的惡意腳本使用VBS或JavaScript實現(xiàn)，木馬和病毒多用C和C++實現(xiàn)。

（6）安全審計與查證

網(wǎng)絡(luò)安全審計是指在特定網(wǎng)絡(luò)環(huán)境下，為了保證網(wǎng)絡(luò)系統(tǒng)和信息資源不受來自外網(wǎng)和內(nèi)網(wǎng)用戶的入侵和破壞，運用各種技術(shù)手段實時收集和監(jiān)控網(wǎng)絡(luò)各組件的安全狀態(tài)和安全事件，以便集中報警、分析和處理的一種技術(shù)。它作為一種新的概念和發(fā)展方向，已經(jīng)出現(xiàn)許多產(chǎn)品和解決方案，如上網(wǎng)行為監(jiān)控、信息過濾等。安全審計對于系統(tǒng)安全的評價、對攻擊源和攻擊類型與危害的分析、對完整證據(jù)的收集至關(guān)重要。

4 小結(jié)

當(dāng)前，網(wǎng)絡(luò)攻擊手段越來越高明，網(wǎng)絡(luò)攻擊技術(shù)正朝著自動化、智能化、系統(tǒng)化、高速化等方向發(fā)展，網(wǎng)絡(luò)攻擊已經(jīng)對網(wǎng)絡(luò)安全構(gòu)成了極大的威脅。因此，我們必須熟知各種網(wǎng)絡(luò)攻擊的基本原理和技術(shù)，才可以更好地做好相應(yīng)的防護。

參考文獻：

[1] 佚名. Linux中iptables詳解[J/OL]. Http：//www.68idc.cn/help/jiabenmake/qita/20150516340597.html

[2] 汪列軍. 安全漏洞及分類[J/OL]. http：//www.2cto.com/article/201405/299140.html.

[3] 叮叮. 常見十大Web應(yīng)用安全漏洞[J/OL]. http：//www.evget.com/article/2014/6/20/21209.html.

【通聯(lián)編輯：代影】