信息系統(tǒng)常見攻擊與防范

梁全錦

摘要：該文介紹了信息系統(tǒng)被攻擊的常見手段，并提出了防范措施，促使工作人員提高防范意識。

關(guān)鍵詞：互聯(lián)網(wǎng)；信息系統(tǒng)；攻擊；防范

中圖分類號：TP393

文獻標識碼：A

文章編號：1009-3044（2017）10-0038-02

1.引言

隨著互聯(lián)網(wǎng)的興起和發(fā)展，互聯(lián)網(wǎng)已經(jīng)滲透每個人的生活的方方面面，利用互聯(lián)網(wǎng)信息系統(tǒng)提高企業(yè)單位的工作效率和管理水平開始變得普遍。越來越多的小型企業(yè)單位架構(gòu)的信息系統(tǒng)暴露在互聯(lián)網(wǎng)上，由于許多小型企業(yè)單位疏于對信息系統(tǒng)的管理，眾多信息系統(tǒng)成了攻擊的目標。

2.常見攻擊手段

1）拒絕性服務(wù)攻擊

此類攻擊通過耗盡對方帶寬、內(nèi)存、磁盤空間、處理器時間等計算機資源，目的是癱瘓對方系統(tǒng)，使其無法提供服務(wù)。攻擊者往往利用在網(wǎng)絡(luò)中大量受控主機（俗稱“肉雞”），集中對目標系統(tǒng)進行泛洪IP報文直至系統(tǒng)崩潰。

Synflood攻擊：通過發(fā)送大量偽造的tcp/syn包給被攻擊者，被攻擊者收到此包后，會建立一個半連接，然后發(fā)送tcp/syn-ack包給源ip主機，由于發(fā)送的包都是偽造的，因此被攻擊機器永遠收不到tcp/ack包，三次握手無法完成，一直保持一個半連接狀態(tài)，耗盡被攻擊機器的鏈接數(shù)，阻止合法的請求鏈接。值得注意的是因為攻擊實現(xiàn)難度低，在網(wǎng)絡(luò)中越來越常見，syn-flood只需要少量主機就可以癱瘓一個小型企業(yè)級信息系統(tǒng)；

Teardrop attack攻擊：發(fā)送大量的、過大的錯位IP碎片到被攻擊的機器。造成操作系統(tǒng)崩潰。這個是因為在TCP/IP碎片重組代碼中存在bug；

Http_halfconnect：攻擊者發(fā)送一個完整的、合法的http posthead，包含一個Content-Length區(qū)域，即要發(fā)送的消息長度，通常這個長度設(shè)置的非常大，但是發(fā)送速度又很慢，這樣可以長時間hold住連接不斷開。

2）系統(tǒng)攻擊

信息系統(tǒng)往往包含操作系統(tǒng)、數(shù)據(jù)庫、Web應(yīng)用等，攻擊成功后往往可以獲取信息系統(tǒng)的控制權(quán)、獲取數(shù)據(jù)庫敏感信息。常見有操作系統(tǒng)攻擊、數(shù)據(jù)庫SQL注入攻擊、跨站腳本攻擊。

操作系統(tǒng)攻擊：主要利用系統(tǒng)弱口令和開放漏洞端口進行滲透攻擊，由于安全意識的確實，大量漏洞主機暴露在互聯(lián)網(wǎng)上，成為攻擊的對象。常見的系統(tǒng)漏洞也會給攻擊者提供攻擊的入口，如溢出類漏洞、系統(tǒng)服務(wù)漏洞、瀏覽器漏洞。RPC請求緩沖區(qū)溢出漏洞fMS08-067）曾廣泛存在Windows 2000、XP和Server 2003等系統(tǒng)中，攻擊者利用Server服務(wù)在處理特制RPC請求時存在緩沖區(qū)溢出漏洞，可以通過發(fā)送惡意的RPC請求觸發(fā)這個溢出，導(dǎo)致完全入侵用戶系統(tǒng)，以SYSTEM權(quán)限執(zhí)行任意指令。利用PwDump7、mimikatz、Metasploit

等工具就可以輕松對目標主機進行弱口令及漏洞檢測和爆破系統(tǒng)一旦被攻陷，造成的損失將是不可預(yù)測的。

數(shù)據(jù)庫攻擊：利用數(shù)據(jù)庫sql語句的漏洞，攻擊者可以輕松獲取數(shù)據(jù)庫敏感信息。大量信息系統(tǒng)使用php+sql架構(gòu)，每個數(shù)據(jù)庫交互的頁面將為攻擊者打開一個方便之門，攻擊者可以構(gòu)造讓數(shù)據(jù)庫產(chǎn)生歧義的語句進行測試，并分析數(shù)據(jù)庫執(zhí)行的結(jié)果，最后達到目的。缺乏安全意識的數(shù)據(jù)庫管理員未能在數(shù)據(jù)庫操作的關(guān)鍵代碼進行嚴格審計也提高了數(shù)據(jù)庫泄露的風險。如web表單界窗口簡單輸入賬號“l(fā)' or'1‘='1"，未嚴格審計的數(shù)據(jù)庫代碼就會產(chǎn)生意想不到的后果：select count（*）from user where userid=‘or1=1and password="。上述的數(shù)據(jù)庫代碼返回為真，攻擊者可以輕松獲取權(quán)限。

Web應(yīng)用攻擊：攻擊者在獲取到一定的系統(tǒng)權(quán)限后，可以偽裝身份驗證進行身份欺詐，并且在信息系統(tǒng)上植入惡意木馬對用戶進行攻擊。常見方式有網(wǎng)絡(luò)釣魚、跨站腳本攻擊、Cook_ie欺騙、網(wǎng)頁掛馬等。最常見的是在數(shù)據(jù)庫植入跨站腳本，當用戶進入系統(tǒng)后自動執(zhí)行腳本指令，誘導(dǎo)用戶下載運行木馬病毒。目前許多小型信息系統(tǒng)未配置證書驗證，存在巨大風險。

3）網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊是指攻擊者利用網(wǎng)絡(luò)傳輸層對目標進行惡意攻擊，當前互聯(lián)網(wǎng)網(wǎng)絡(luò)基本上都是基于TCP/IP協(xié)議架構(gòu)，各種報文通過TCP/IP協(xié)議進行傳輸，攻擊者利用嗅探工具對報文進行破解已獲取敏感信息。

中間人攻擊：目前各式各樣的網(wǎng)絡(luò)攻擊，幾乎都是中間人攻擊，任何兩方面的通訊，必然受到第三方攻擊的威脅。攻擊者通過惡意修改自身網(wǎng)絡(luò)硬件MAC地址或IP地址進行身份偽裝，常見如ARP欺騙、DNS欺騙、網(wǎng)頁劫持等幾乎都在使用中間人攻擊。

嗅探攻擊：指捕獲在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息就稱為嗅探（sniff）。嗅探攻擊屬于網(wǎng)絡(luò)第二層攻擊。攻擊者把網(wǎng)卡設(shè)置為混雜接受模式時，所有流經(jīng)網(wǎng)卡的數(shù)據(jù)幀都會被網(wǎng)卡接受，然后把這些數(shù)據(jù)傳給嗅探程序，分析出攻擊者想要的敏感信息，如賬號、密碼或一些商業(yè)信息，這就實現(xiàn)了竊聽的目的。Sniff工作在網(wǎng)絡(luò)環(huán)境的底層，它是極其安靜的，是一種被動攻擊。此類攻擊很難察覺，只能針對敏感報文進行加密進行防范。需要警惕的是嗅探攻擊不單在有線網(wǎng)絡(luò)上，在無線網(wǎng)絡(luò)也可以完成監(jiān)聽。目前wifi已經(jīng)非常常見，攻擊者可以偽裝同名ssid的熱點進行對誘導(dǎo)用戶進行連接實現(xiàn)攻擊，或者直接對目標區(qū)域進行抓包嗅探以獲取敏感信息。

面對復(fù)雜的網(wǎng)絡(luò)環(huán)境和攻擊手段的發(fā)展，網(wǎng)絡(luò)攻擊越來越頻繁，一個稍有網(wǎng)絡(luò)知識的技術(shù)人員可以通過互聯(lián)網(wǎng)獲取大量攻擊工具和教程進行攻擊。目前信息系統(tǒng)安全主要還是從提高安全意識、加強日常安全管理做起。

3.常見防范手段

首先是硬件上進行必要的升級改造，有條件的企業(yè)單位可以增加防火墻或有包檢測過濾功能的路由設(shè)備對網(wǎng)絡(luò)進行加固；對于vpn接人互聯(lián)網(wǎng)的信息系統(tǒng)可以利用IP Sec加密保證數(shù)據(jù)報文的安全；增加證書認證服務(wù)器防止身份欺詐；在接入層交換機劃分vlan以隔離用戶。其次是對軟件系統(tǒng)版本及時升級更新，對系統(tǒng)漏洞及時修復(fù)，如刪除window服務(wù)器默認賬戶、關(guān)閉telnet NTLM和tftp服務(wù)以防止攻擊者利用漏洞后門進行嗅探和攻擊。再次是加強信息系統(tǒng)管理，包括口令管理、數(shù)據(jù)管理、日記管理，做好數(shù)據(jù)備份，周期性對系統(tǒng)日記進行審計分析以發(fā)現(xiàn)漏洞或者入侵者，管理員口令需保證一定復(fù)雜度并周期性更換。

目前微信支付、支付寶等支付方式已經(jīng)開始普遍，互聯(lián)網(wǎng)的人口也越來越多，可以預(yù)見越來越多的企業(yè)單位如學校、醫(yī)院、餐廳、工廠趨向架構(gòu)小型信息系統(tǒng)進行用戶管理、出入鑒權(quán)、賬單支付等，各種敏感信息將會直接暴露在互聯(lián)網(wǎng)網(wǎng)絡(luò)上，信息系統(tǒng)的安全將越來越重要，怎么保護信息系統(tǒng)的安全值得每位網(wǎng)絡(luò)管理人員進行關(guān)注和思考。