幾種常見網(wǎng)絡(luò)攻擊的方法與對(duì)策研究

賀 楊

（淮北市廣播電視臺(tái) 安徽 淮北 235000）

在網(wǎng)絡(luò)這個(gè)不斷更新?lián)Q代的世界里，網(wǎng)絡(luò)中的安全漏洞無(wú)處不在。即便舊的安全漏洞補(bǔ)上了，新的安全漏洞又將不斷涌現(xiàn)。網(wǎng)絡(luò)攻擊正是利用這些存在的漏洞和安全缺陷對(duì)系統(tǒng)和資源進(jìn)行攻擊。網(wǎng)絡(luò)攻擊主要是通過信息收集、分析、整理以后，發(fā)現(xiàn)目標(biāo)系統(tǒng)漏洞與弱點(diǎn)，有針對(duì)性地對(duì)目標(biāo)系統(tǒng)(服務(wù)器、網(wǎng)絡(luò)設(shè)備與安全設(shè)備)進(jìn)行資源入侵與破壞，機(jī)密信息竊取、監(jiān)視與控制的活動(dòng)。

1 RLA(Remote to Local Attacks)網(wǎng)絡(luò)攻擊的原理和手法

RLA是一種常見的網(wǎng)絡(luò)攻擊手段，它指的是在目標(biāo)主機(jī)上沒有賬戶的攻擊者獲得該機(jī)器的當(dāng)?shù)卦L問權(quán)限，從機(jī)器中過濾出數(shù)據(jù)、修改數(shù)據(jù)等的攻擊方式。RLA也是一種遠(yuǎn)程攻擊方法。遠(yuǎn)程攻擊的一般過程：1)收集被攻擊方的有關(guān)信息，分析被攻擊方可能存在的漏洞；2）建立模擬環(huán)境，進(jìn)行模擬攻擊，測(cè)試對(duì)方可能的反應(yīng)；3)利用適當(dāng)?shù)墓ぞ哌M(jìn)行掃描；4）實(shí)施攻擊。

IP Spoofing是一種典型的RLA攻擊，它通過向主機(jī)發(fā)送IP包來實(shí)現(xiàn)攻擊，主要目的是掩護(hù)攻擊者的真實(shí)身份，使攻擊者看起來像正常的用戶或者嫁禍于其他用戶。攻擊過程可簡(jiǎn)單描述如下：①攻擊端-SYN(偽造自己的地址)-被攻擊端；②偽造的地址SYN-ACK被攻擊端；③被攻擊端等待偽裝端的回答。IP Spoofing攻擊過程見圖1，具體描述如下：①假設(shè)I企圖攻擊A，而A信任B。②假設(shè)I已經(jīng)知道了被信任的B，使B的網(wǎng)絡(luò)功能暫時(shí)癱瘓，以免對(duì)攻擊造成干擾。因此，在實(shí)施 IP Spoofing攻擊之前常常對(duì)B進(jìn)行SYN Flooding攻擊。③I必須確定A當(dāng)前的ISN。④I向A發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段請(qǐng)求連接，只是信源IP改成了B。A向B回送 SYN+ACK數(shù)據(jù)段，B已經(jīng)無(wú)法響應(yīng)，B的TCP層只是簡(jiǎn)單地丟棄A的回送數(shù)據(jù)段。⑤I暫停，讓A有足夠時(shí)間發(fā)送SYN+ACK，然后I再次偽裝成B向A發(fā)送ACK，此時(shí)發(fā)送的數(shù)據(jù)段帶有I預(yù)測(cè)的A的ISN+1。如果預(yù)測(cè)準(zhǔn)確，連接建立，數(shù)據(jù)傳送開始。如果預(yù)測(cè)不準(zhǔn)確，A將發(fā)送一個(gè)帶有RST標(biāo)志的數(shù)據(jù)段異常終止連接，I重新開始。

IP Spoofing攻擊利用了RPCN服務(wù)器僅僅依賴于信源IP地址進(jìn)行安全校驗(yàn)的特性，攻擊最困難的地方在于預(yù)測(cè)A的ISN。

圖1 IP Spoofing攻擊過程

2 拒絕服務(wù) DoS(Denial of Service)攻擊

拒絕服務(wù)攻擊指一個(gè)用戶占據(jù)了大量的共享資源，使系統(tǒng)沒有剩余的資源給其他用戶使用的攻擊方式。拒絕服務(wù)可以用來攻擊域名服務(wù)器、路由器及其它網(wǎng)絡(luò)操作服務(wù)，使CPU、磁盤空間、打印機(jī)、調(diào)制解調(diào)器等資源的可加性降低。拒絕服務(wù)的典型攻擊方法有SYN Flooding、Ping Flooding、Land、Smurf、Ping of catch等類型。這里主要分析SYN Flooding攻擊。

當(dāng)一個(gè)主機(jī)接收到大量不完全連接請(qǐng)求而超出其所能處理的范圍時(shí)，就會(huì)發(fā)生SYN Flooding攻擊。在通常情況下，希望通過TCP連接來交換數(shù)據(jù)的主機(jī)必須使用3次握手進(jìn)行任務(wù)初始化。SYN Flooding攻擊就是基于阻止3次握手的完成來實(shí)現(xiàn)的。SYN Flooding攻擊原理是：首先，攻擊者向目標(biāo)主機(jī)發(fā)送大量的SYN請(qǐng)求，用被掛起的連接占滿連接請(qǐng)求隊(duì)列。一旦目標(biāo)主機(jī)接收到這種請(qǐng)求，就會(huì)向它所認(rèn)為的SYN報(bào)文的源主機(jī)發(fā)送SYN/ACK報(bào)文做出應(yīng)答。一旦存儲(chǔ)隊(duì)列滿了，接下來的請(qǐng)求就會(huì)被TCP端忽略，直至最初的請(qǐng)求超時(shí)，被重置(通常為75s)，每次超時(shí)過后，服務(wù)器端就向未達(dá)的客戶端發(fā)送一個(gè)RST報(bào)文，此時(shí)攻擊者必須重復(fù)以上步驟來維持拒絕服務(wù)的攻擊。

SYN Flooding攻擊的重點(diǎn)就在于不斷發(fā)送大量的SYN報(bào)文，其攻擊在空間性上表現(xiàn)得極為明顯。如圖2，從源到匯，攻擊者可從不同路徑向被攻擊主機(jī)持續(xù)發(fā)送連接請(qǐng)求，也可將數(shù)據(jù)包拆分為幾個(gè)傳輸再在目的地匯合，以湮沒被攻擊主機(jī)。檢測(cè)這種攻擊的困難就在于目標(biāo)主機(jī)接收到的數(shù)據(jù)包好像來自整個(gè)Internet。

圖2 SYN Flooding攻擊過程

3 攻擊方式的四種趨勢(shì)

從1988年開始，位于美國(guó)卡內(nèi)基梅隆大學(xué)的CERT CC（計(jì)算機(jī)緊急響應(yīng)小組協(xié)調(diào)中心）就開始調(diào)查入侵者的活動(dòng)。CERT CC給出一些關(guān)于最新入侵者攻擊方式的趨勢(shì)。

一是攻擊過程的自動(dòng)化與攻擊工具的快速更新。攻擊工具的自動(dòng)化程度繼續(xù)不斷增強(qiáng)，自動(dòng)化攻擊涉及到的四個(gè)階段都發(fā)生了變化。

二是攻擊工具的不斷復(fù)雜化。攻擊工具的編寫者采用了比以前更加先進(jìn)的技術(shù)。攻擊工具的特征碼越來越難以通過分析來發(fā)現(xiàn)，并且越來越難以通過基于特征碼的檢測(cè)系統(tǒng)發(fā)現(xiàn)，例如防病毒軟件和入侵檢測(cè)系統(tǒng)。當(dāng)今攻擊工具的三個(gè)重要特點(diǎn)是反檢測(cè)功能，動(dòng)態(tài)行為特點(diǎn)以及攻擊工具的模塊化。

三是漏洞發(fā)現(xiàn)得更快。每一年報(bào)告給CERT/CC的漏洞數(shù)量都成倍增長(zhǎng)。CERT/CC公布的漏洞數(shù)據(jù)2000年為1090個(gè)，2001年為2437個(gè)，2002年已經(jīng)增加至4129個(gè)，就是說每天都有十幾個(gè)新的漏洞被發(fā)現(xiàn)?？梢韵胂?，對(duì)于管理員來說想要跟上補(bǔ)丁的步伐是很困難的。而且，入侵者往往能夠在軟件廠商修補(bǔ)這些漏洞之前首先發(fā)現(xiàn)這些漏洞。隨著發(fā)現(xiàn)漏洞的工具的自動(dòng)化趨勢(shì)，留給用戶打補(bǔ)丁的時(shí)間越來越短。尤其是緩沖區(qū)溢出類型的漏洞，其危害性非常大而又無(wú)處不在，是計(jì)算機(jī)安全的最大的威脅。在CERT和其它國(guó)際性網(wǎng)絡(luò)安全機(jī)構(gòu)的調(diào)查中，這種類型的漏洞是對(duì)服務(wù)器造成后果最嚴(yán)重的。

四是滲透防火墻。我們常常依賴防火墻提供一個(gè)安全的主要邊界保護(hù)。但是情況是：已經(jīng)存在一些繞過典型防火墻配置的技術(shù)，如IPP（the Internet Printing Protocol）和Web-DAV（Web-based Distributed Authoring and Versioning）。 一些標(biāo)榜是“防火墻適用”的協(xié)議實(shí)際上設(shè)計(jì)為能夠繞過典型防火墻的配置。特定特征的“移動(dòng)代碼”（如ActiveX控件，Java和JavaScript）使得保護(hù)存在漏洞的系統(tǒng)以及發(fā)現(xiàn)惡意的軟件更加困難。

4 總結(jié)

隨著Internet網(wǎng)絡(luò)上計(jì)算機(jī)的不斷增長(zhǎng)，所有計(jì)算機(jī)之間存在很強(qiáng)的依存性。一旦某些計(jì)算機(jī)遭到了入侵，它就有可能成為入侵者的棲息地和跳板，作為進(jìn)一步攻擊的工具。對(duì)于網(wǎng)絡(luò)基礎(chǔ)架構(gòu)如DNS系統(tǒng)、路由器的攻擊也越來越成為嚴(yán)重的安全威脅。我們還應(yīng)該認(rèn)識(shí)到隨著網(wǎng)絡(luò)及其應(yīng)用的廣泛發(fā)展，安全威脅呈現(xiàn)出的種類、方法和總體數(shù)量越來越多、網(wǎng)絡(luò)攻擊越來越猖獗、破壞性和系統(tǒng)恢復(fù)難度越來越大的趨勢(shì)，對(duì)網(wǎng)絡(luò)安全造成了很大的威脅。這就要求我們，對(duì)網(wǎng)絡(luò)安全又更清醒的認(rèn)識(shí)；對(duì)攻擊方法有更進(jìn)一步的研究，對(duì)安全策略有更完善的發(fā)展，建立起一個(gè)全面的、可靠的、高效的安全體系。

對(duì)于任何黑客的惡意攻擊，都有辦法來防御，只要了解了他們的攻擊手段，具有豐富的網(wǎng)絡(luò)知識(shí)，就可以抵御黑客們的瘋狂攻擊，相信在不久的將來，網(wǎng)絡(luò)一定會(huì)是一個(gè)安全的信息傳輸媒體。特別需要強(qiáng)調(diào)的是，在任何時(shí)候都應(yīng)將網(wǎng)絡(luò)安全教育放在整個(gè)安全體系的首位，努力提高所有網(wǎng)絡(luò)用戶的安全意識(shí)和提高防范技術(shù)。這對(duì)提高整個(gè)網(wǎng)絡(luò)的安全性有著十分重要的意義。

［1］方富貴.網(wǎng)絡(luò)攻擊與安全防范策略研究[J].軟件導(dǎo)刊,2011(6).

［2］趙安軍,曾應(yīng)員,除邦海.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[M].北京:人民郵電出版社,2007.

［3］石志國(guó),薛為名.計(jì)算機(jī)網(wǎng)絡(luò)安全教程[M].北京:北京交通大學(xué)出版社,2007.

［4］胡小新,王穎,羅旭斌.一種DoS攻擊的防御方案[J].計(jì)算機(jī)工程與應(yīng)用,2004(12).

［5］雷震甲.網(wǎng)絡(luò)工程師教程[M].北京:清華大學(xué)出版社,2004.

［6］勞幗齡.網(wǎng)絡(luò)安全與管理[M].北京:高等教育出版社,2003.