網(wǎng)絡(luò)攻擊的分析及防范策略分析

貝航杰

（武警上海總隊，上海 200050）

0. 引言

基于互聯(lián)網(wǎng)時代發(fā)展背景下，網(wǎng)絡(luò)安全備受各領(lǐng)域關(guān)注，隨著軟件系統(tǒng)規(guī)模擴(kuò)大、功能強(qiáng)化、內(nèi)置程序逐漸增多，系統(tǒng)安全漏洞及風(fēng)險問題不可避免。為消除安全隱患及風(fēng)險，需加大網(wǎng)絡(luò)攻擊防范力度，依據(jù)具體方法及攻擊對象詳細(xì)探究，提出針對性的防范策略與建議。在運(yùn)行管理方面組建專業(yè)化的工作隊伍，加大管理制度實施力度，在根本上解決網(wǎng)絡(luò)攻擊問題，增強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全性、可靠性，實施成效顯著提升。

1. 網(wǎng)絡(luò)攻擊步驟

1.1 隱藏位置

普通攻擊者會利用別人的電腦隱藏自己的真實IP地址，老練的攻擊者會通過800電話無人轉(zhuǎn)接服務(wù)連接ASP登陸他人賬號并上網(wǎng)。

1.2 明確攻擊目標(biāo)

先尋找目標(biāo)主機(jī)，在Internet上識別主機(jī)IP地址，并記憶主機(jī)IP地址，再另起名字，可以順利找到目標(biāo)主機(jī)，確定攻擊位置后在操作過程中獲取更多的信息內(nèi)容，能對目標(biāo)主機(jī)有更準(zhǔn)確的了解，借助掃描工具輕松獲取主機(jī)運(yùn)行系統(tǒng)的版本及系統(tǒng)用戶個人信息，為入侵做好準(zhǔn)備工作。

1.3 登陸主機(jī)

攻擊者入侵一臺主機(jī)，先要獲取該主機(jī)用戶名及密碼，如果無法登錄就會迫使攻擊者先盜取賬號文件進(jìn)行破解，能找到用戶名及口令，尋找時機(jī)以用戶身份進(jìn)入主機(jī)。也有部分攻擊者利用某些工具或系統(tǒng)漏洞登入主機(jī)進(jìn)行入侵。

1.4 獲得控制權(quán)

攻擊者通過FTP工具，利用系統(tǒng)漏洞進(jìn)入主機(jī)后獲得控制權(quán)。一般情況下會清理記錄或留下后門，通過系統(tǒng)設(shè)置植入特洛伊木馬或遠(yuǎn)程操縱程序，不被察覺的情況下持續(xù)進(jìn)入系統(tǒng)[1]。大部分后門程序是提前編制好的，只需修改時間及權(quán)限就能使用，甚至文件大小未發(fā)生改變，攻擊者只使用FTP傳遞文件，不會留下FTB記錄。采用眾多手段隱藏攻擊者的路徑，以便于后續(xù)行動。

1.5 竊取資源

攻擊者找到攻擊目標(biāo)后會下載敏感信息，盜取賬號、密碼、信用卡號等，使系統(tǒng)癱瘓，對用戶信息安全產(chǎn)生不利影響。

2. 網(wǎng)絡(luò)攻擊類型

2.1 木馬攻擊

大部分攻擊者會選擇特洛伊木馬程序攻擊方式，直接入侵用戶電腦，偽裝成工具程序或者游戲，使用戶打開或下載。而一旦操作后就會使木馬程序啟動，并滯留在系統(tǒng)中，成為一個隱藏性的程序，隨著系統(tǒng)啟動悄悄執(zhí)行。當(dāng)用戶連接Internet時，整個程序會被攻擊者掌控，獲取用戶IP地址，攻擊者獲得信息后利用提前設(shè)置的端口及程序，隨意更改計算機(jī)參數(shù)、復(fù)制文件、窺探硬盤內(nèi)容等，從而達(dá)到攻擊目的。

2.2 安全漏洞攻擊

大部分系統(tǒng)具有安全漏洞，如緩沖區(qū)溢出攻擊，是系統(tǒng)在不檢查程序的過程中而產(chǎn)生的漏洞問題，攻擊者隨意操作就能獲取相應(yīng)的信息數(shù)據(jù)，系統(tǒng)會按照指令執(zhí)行，存在較大隱患。攻擊者發(fā)出超出緩沖區(qū)的長度命令，系統(tǒng)整體穩(wěn)定狀態(tài)缺乏基礎(chǔ)保障。再加上特別配置的攻擊字符，極易出現(xiàn)系統(tǒng)癱瘓情況，導(dǎo)致攻擊者對整個網(wǎng)絡(luò)獲取絕對控制權(quán)。

2.3 病毒攻擊

網(wǎng)絡(luò)病毒破壞性較強(qiáng)，影響網(wǎng)絡(luò)資源及計算機(jī)應(yīng)用分區(qū)極易出現(xiàn)主機(jī)無法啟動的情況，會對整個網(wǎng)絡(luò)造成癱瘓。同時，還會有隱蔽性、復(fù)制性、傳染性等特點(diǎn)，是大部分攻擊者選擇的主要手段之一。

2.4 信息探測

攻擊者明確目標(biāo)主機(jī)后，會通過掃描工具與主機(jī)服務(wù)開放端口進(jìn)行連接，在主機(jī)端口分配的情況下，提供主機(jī)版號及漏洞信息，攻擊者只需對服務(wù)端口進(jìn)行攻擊，就能順利控制系統(tǒng)操作。信息探測并不是對主題目標(biāo)直接攻擊，但攻擊者能獲取到用戶的個人信息，使用戶信息安全存在一定隱患。

2.5 電子欺騙入侵

依然是考慮緩沖區(qū)溢出攻擊內(nèi)容長度，如果攻擊者所設(shè)計的程序緩沖區(qū)長度內(nèi)容超過原有標(biāo)準(zhǔn)，就會超出緩沖區(qū)，對程序造成破壞，使程序執(zhí)行新的命令。例如，ROOT權(quán)限控制系統(tǒng)中就可順利地完成入侵活動，緩沖區(qū)攻擊的目的是系統(tǒng)功能及程序擾亂，以此使攻擊者獲得程序控制權(quán)[2]。

2.6 網(wǎng)絡(luò)監(jiān)聽

考慮主機(jī)工作模式，網(wǎng)絡(luò)監(jiān)聽是主要模式之一，主機(jī)接受本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，無論信息發(fā)送方還是接收方，不會在此方面提出針對性的要求，系統(tǒng)在密碼校驗時需要輸入用戶名及密碼，從用戶端傳送到服務(wù)器端，攻擊者可以在兩端數(shù)據(jù)鑒定方面進(jìn)行攻擊。如果兩臺主機(jī)并沒有對通信信息加密設(shè)置，就會在網(wǎng)絡(luò)監(jiān)聽工具的影響下，輕而易舉地獲取相應(yīng)的信息內(nèi)容。

3. 網(wǎng)絡(luò)攻擊防范策略

3.1 緩沖區(qū)溢出攻擊防范策略

緩沖區(qū)溢出是屬于危險的漏洞，在系統(tǒng)操作過程中明顯存在，根本原因在于超長緩沖區(qū)長度自律拷貝到緩沖區(qū)之外，使緩沖區(qū)溢出對程序造成破壞，使系統(tǒng)執(zhí)行新的命令，以此達(dá)到攻擊目的[3]。攻擊行為發(fā)生后會使運(yùn)行程序失敗，嚴(yán)重的還會使系統(tǒng)直接死機(jī)，無法重新啟動。同時，攻擊者也會根據(jù)此操作對系統(tǒng)發(fā)出指令，在系統(tǒng)內(nèi)獲得身份及更多信息，以多種方法進(jìn)行攻擊。充分說明緩沖區(qū)溢出攻擊防范工作對整個系統(tǒng)運(yùn)行安全有密切關(guān)系，還需在此方面引起重視，編制完善的防范策略，建議在系統(tǒng)管理方面提高重視度。關(guān)于不需要使用的特權(quán)程序要及時關(guān)閉，考慮緩沖溢出區(qū)能獲更高特權(quán)使用的重要意義，由系統(tǒng)管理員啟動服務(wù)進(jìn)程，明確緩沖區(qū)溢出攻擊的主要目標(biāo)，能夠降低攻擊風(fēng)險。

例如：關(guān)于fdformat緩沖區(qū)溢出漏洞，suid程序關(guān)閉格式化軟盤的命令，直接去除程序或去掉suid位，適合應(yīng)用在緩沖區(qū)溢出漏洞程序無補(bǔ)丁的情況下。而如果有補(bǔ)丁程序，還需迅速采取有效的補(bǔ)救措施，大部分入侵攻擊者主要是根據(jù)已經(jīng)發(fā)布的漏洞探究，掌握程序運(yùn)行方式，通過系統(tǒng)抗攻擊能力的增強(qiáng)起到較強(qiáng)的防范作用。

此外，在軟件開發(fā)的過程中也需加大防范力度。

首先，了解緩沖區(qū)溢出故障問題發(fā)生的主要因素。被攻擊者攻擊后植入代碼，對系統(tǒng)操作全程管控，先檢查程序指針完整性，檢測其是否發(fā)生改變。如果攻擊者成功改變了程序指針，系統(tǒng)能夠監(jiān)測到改變的指針，直接防護(hù)處理，避免影響后續(xù)工作進(jìn)度及信息安全。

其次，堆棧保護(hù)。是借助編譯器技術(shù)對指針完整性的檢查，了解函數(shù)活動記錄，確定指針返回地址，增加附加字節(jié)，在函數(shù)返回時也能對函數(shù)是否被改動過進(jìn)行檢查。如果出現(xiàn)攻擊行為，在函數(shù)返回時會被及時檢測到，避免影響系統(tǒng)整體穩(wěn)定性。

最后，數(shù)組邊界檢查。它是對所有數(shù)組讀寫操作，檢查操作范圍得到有效控制，通常會采用優(yōu)化技術(shù)減少檢查次數(shù)。常用方法有Purify存儲器存取檢查、Compaq C翻譯器、Jones and Kelly C數(shù)組邊界檢查等。

3.2 木馬防范策略

主要是分析特洛伊木馬。雖然在執(zhí)行方面看似是屬于正常的程序，但運(yùn)行后無法察覺，整體破壞性較強(qiáng)，通常情況下會獲取重要的信息，并傳遞給攻擊者。攻擊者能夠任意植入木馬，對信息內(nèi)容拷貝、破壞等，一旦計算機(jī)感染木馬程序就會面臨更大的隱患，還需在網(wǎng)絡(luò)攻擊防范策略制定與實施方面特別注重[4]。針對特洛伊木馬的防范建議從兩方面探究：

一方面是對運(yùn)行反木馬實時監(jiān)控程序，如the cleaner，能實時監(jiān)控整個系統(tǒng)程序的運(yùn)行情況，并顯示當(dāng)前所有運(yùn)行程序的描述數(shù)據(jù)，屬于全新的殺毒軟件；另一方面，對來歷不明的執(zhí)行軟件堅決不能安裝，使用前用反病毒軟件檢查，確定沒有木馬程序后再安裝、使用，有效杜絕特洛伊木馬入侵，不為攻擊者提供入侵條件。

3.3 安全漏洞攻擊防范

考慮大部分系統(tǒng)均存在安全漏洞，從攻擊者的攻擊行為方面分析，主要包括CGI漏洞、FTP協(xié)議漏洞。關(guān)于CGI漏洞攻擊的防范處理，可以設(shè)置腳本權(quán)限，增強(qiáng)系統(tǒng)運(yùn)行安全性，CGI程序只是簡單的傳遞內(nèi)容，不會對信息內(nèi)容進(jìn)行過濾，攻擊者能通過頁面所提供的危險指令獲取腳本代碼，使系統(tǒng)執(zhí)行新的命令并運(yùn)行。也有部分系統(tǒng)程序能夠過濾一些特殊的數(shù)據(jù)，但由于攻擊者故意用一些混亂的字符無法識別，能替換頁面，以新的腳本對系統(tǒng)進(jìn)行持續(xù)攻擊。對此，通過CGI腳本權(quán)限設(shè)置能在根本上做好防控工作。

FTP協(xié)議漏洞攻擊是在使用的端口方面來保護(hù)，關(guān)于CGI提供的其他服務(wù)任意端口，攻擊者能夠?qū)ζ渌?wù)進(jìn)行攻擊，允許無限次輸入密碼，攻擊者可以使用口令暴力攻擊。對此，還需在服務(wù)器限制方面做出改變，用戶名及密碼輸入次數(shù)嚴(yán)謹(jǐn)控制，一旦登錄失敗后就需要身份驗證，通過系統(tǒng)改變端口號的方法，使整體防控能力顯著提升。

3.4 網(wǎng)絡(luò)安全防護(hù)策略

網(wǎng)絡(luò)安全防護(hù)策略的實施，主要目的是增強(qiáng)系統(tǒng)運(yùn)行安全性、可靠性，在各個程序運(yùn)行過程中有具體標(biāo)準(zhǔn)及要求，為網(wǎng)絡(luò)安全提供有利的基礎(chǔ)條件。同時，也會以一切網(wǎng)絡(luò)安全活動為核心目標(biāo)，在安全結(jié)構(gòu)體系開發(fā)及應(yīng)用方面加大管控力度，通過各項技術(shù)手段合理應(yīng)用獲取更精準(zhǔn)的信息數(shù)據(jù)。對此，建議從攻擊前、攻擊過程中、攻擊后實施防范策略。

攻擊前的防范是使用防火墻成為網(wǎng)絡(luò)安全的第一道防線，能夠識別及阻擋非法攻擊行為，在網(wǎng)絡(luò)邊界特殊訪問控制系統(tǒng)中，防火墻能夠有效隔離內(nèi)部、外部網(wǎng)絡(luò)信息的交流，依據(jù)網(wǎng)絡(luò)體系結(jié)構(gòu)層次能夠展現(xiàn)出不同的功能，如IP分組過濾防火墻、應(yīng)用級防火墻等。

攻擊發(fā)生過程中的防范，考慮攻擊者技術(shù)嫻熟情況，所應(yīng)用的攻擊手段及工具較復(fù)雜。如果對防火墻單一化的設(shè)計及應(yīng)用無法確保后續(xù)程序運(yùn)行過程中的安全性，尤其是安全度較敏感的部門，那么全方位管控屬于一種重要手段。在網(wǎng)絡(luò)環(huán)境復(fù)雜的情況下，能對各類設(shè)備升級，注重系統(tǒng)漏洞處理，設(shè)置專業(yè)化的網(wǎng)絡(luò)管理員動態(tài)化監(jiān)管，做好系統(tǒng)安全管理工作，包括入侵檢測系統(tǒng)，也是目前網(wǎng)絡(luò)安全中的熱點(diǎn)內(nèi)容，得到更多領(lǐng)域關(guān)注，在不同環(huán)境中發(fā)揮著關(guān)鍵作用[5]。

攻擊后的應(yīng)對策略是通過攻擊前與攻擊中所獲取的信息內(nèi)容為參考依據(jù)，能對實踐操作中的危險動作或蓄意攻擊行為做好記錄，并在主機(jī)上安裝殺毒程序，跟蹤攻擊者的攻擊路徑及行為，分析攻擊方式，及時解決系統(tǒng)漏洞問題，避免再次遭受攻擊。追究攻擊者的法律責(zé)任，依據(jù)法規(guī)有效處理，避免影響后續(xù)工作進(jìn)度及網(wǎng)絡(luò)安全。

3.5 系統(tǒng)化防范策略

首先，強(qiáng)調(diào)物理安全策略。核心目的是對計算機(jī)系統(tǒng)進(jìn)行有效保護(hù)，避免通信鏈路受各項因素影響而出現(xiàn)安全問題。同時，關(guān)于人為破壞或蓄意攻擊行為也能明確安全邊界，指定安全區(qū)域通過控制保護(hù)，在訪問過程中有嚴(yán)謹(jǐn)?shù)墓芸匾罁?jù)，避免出現(xiàn)信息丟失、破壞等情況。如果是在商業(yè)活動中的應(yīng)用，要制定完善的安全管理制度，關(guān)于非法進(jìn)入計算機(jī)系統(tǒng)中所產(chǎn)生的偷竊或破壞行為要加大處理力度，杜絕網(wǎng)絡(luò)攻擊行為頻繁發(fā)生。

其次，實施訪問控制策略。目標(biāo)是對特定信息訪問及保護(hù)，關(guān)于非法使用或非法訪問行為要在根本上有效管控，保證網(wǎng)絡(luò)資源安全、可靠，也是極其重要的手段。其中，訪問控制是網(wǎng)絡(luò)安全核心，保護(hù)內(nèi)容較多，如用戶訪問管理、網(wǎng)絡(luò)訪問控制、應(yīng)用系統(tǒng)訪問控制、保護(hù)網(wǎng)絡(luò)服務(wù)等，對整個授權(quán)行為加大控制力度，并對使用人員的信息嚴(yán)格驗證，避免攻擊者對網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊。

最后，是對網(wǎng)絡(luò)安全管理策略的實施。要控制安全等級及管理范疇，制定程序操作制度及人員出入機(jī)房管理制度，隨著實踐工作開展貫徹落實，再配合網(wǎng)絡(luò)系統(tǒng)維護(hù)制度與應(yīng)急措施的應(yīng)用，能確保網(wǎng)絡(luò)運(yùn)行安全、可靠，發(fā)揮較強(qiáng)的防護(hù)作用，在網(wǎng)絡(luò)安全中成為較有力的安全策略之一[6]。

4. 結(jié)語

了解網(wǎng)絡(luò)攻擊步驟及類型，為從根本上解決不法行為及所產(chǎn)生的各類問題，還需引起眾多領(lǐng)域關(guān)注，加大技術(shù)手段創(chuàng)新及應(yīng)用力度，從根本上探究各類網(wǎng)絡(luò)攻擊行為發(fā)生的具體原因，出臺各項政策與法律法規(guī)，嚴(yán)厲打擊不法行為，維護(hù)網(wǎng)絡(luò)運(yùn)行安全性、可靠性，如緩沖區(qū)溢出攻擊防范策略、木馬防范策略、安全漏洞攻擊防范、網(wǎng)絡(luò)安全防護(hù)策略、系統(tǒng)化防范策略等，消除隱患及風(fēng)險，規(guī)避常規(guī)問題，滿足通訊網(wǎng)絡(luò)發(fā)展需求，并促進(jìn)現(xiàn)代化社會和諧發(fā)展。