楊顏玲

（恩施職業(yè)技術(shù)學(xué)院，湖北 恩施 445000）

計(jì)算機(jī)網(wǎng)絡(luò)是上個(gè)世紀(jì)人類最偉大的科學(xué)技術(shù)成就之一，計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展速度已超過了世界上任何一種其他科學(xué)技術(shù)的發(fā)展速度。互聯(lián)網(wǎng)發(fā)展至今，除了表面的繁榮外，也出現(xiàn)了一些不良現(xiàn)象，其中黑客攻擊是廣大網(wǎng)民最頭痛的事情，也是計(jì)算機(jī)網(wǎng)絡(luò)安全的主要威脅，往往造成嚴(yán)重的后果，降低入侵的風(fēng)險(xiǎn)成為了急待解決的問題。

1 計(jì)算機(jī)網(wǎng)絡(luò)攻擊的常見手法

1.1 利用網(wǎng)絡(luò)系統(tǒng)漏洞進(jìn)行攻擊

許多網(wǎng)絡(luò)系統(tǒng)都存在著這樣那樣的漏洞，這些漏洞有可能是系統(tǒng)本身所有的，如WindowsNT、UNIX等都有數(shù)量不等的漏洞，也有可能是由于網(wǎng)管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測(cè)、系統(tǒng)入侵等攻擊。

1.2 通過電子郵件進(jìn)行攻擊

電子郵件是互聯(lián)網(wǎng)上運(yùn)用地十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量?jī)?nèi)容重復(fù)、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。當(dāng)垃圾郵件的發(fā)送流量特別大時(shí)，還有可能造成郵件系統(tǒng)對(duì)于正常的工作反映緩慢，甚至癱瘓。

1.3 解密攻擊

在互聯(lián)網(wǎng)上，使用密碼是最常見并且最重要的安全保護(hù)方法，用戶時(shí)時(shí)刻刻都需要輸入密碼進(jìn)行身份校驗(yàn)。而現(xiàn)在的密碼保護(hù)手段大都只認(rèn)密碼不認(rèn)人，只要有密碼，系統(tǒng)就會(huì)認(rèn)為你是經(jīng)過授權(quán)的正常用戶，因此，獲取密碼也是黑客進(jìn)行攻擊的一種重要手法。獲取密碼有幾種方法，一是對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行監(jiān)聽。系統(tǒng)在進(jìn)行密碼校驗(yàn)時(shí)，用戶輸入的密碼需要從用戶端傳送到服務(wù)器端，而黑客就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽。但一般系統(tǒng)在傳送密碼時(shí)都進(jìn)行了加密處理，即黑客所得到的數(shù)據(jù)中不會(huì)存在明文的密碼，這給黑客進(jìn)行破解又提了一道難題。這種手法一般運(yùn)用于局域網(wǎng)，一旦成功攻擊者將會(huì)得到很大的操作權(quán)益。另一種解密方法就是使用窮舉法對(duì)已知用戶名的密碼進(jìn)行暴力解密。這種解密軟件嘗試所有可能字符所組成的密碼，但這項(xiàng)工作十分地費(fèi)時(shí)，不過如果用戶的密碼設(shè)置的比較簡(jiǎn)單，如“12345”、“ABC”等有可能只需一眨眼的功夫就能解密。

1.4 后門軟件攻擊

后門軟件攻擊是互聯(lián)網(wǎng)上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬，它們可以非法地取得用戶電腦的超級(jí)用戶級(jí)權(quán)利，對(duì)其進(jìn)行完全的控制，除了能進(jìn)行文件操作外，同時(shí)也可以進(jìn)行對(duì)方桌面抓圖、取得密碼等操作。這些后門軟件分為服務(wù)器端和用戶端，當(dāng)黑客進(jìn)行攻擊時(shí)，會(huì)使用用戶端程序登陸上已安裝好服務(wù)器端程序的電腦，這些服務(wù)器端程序都比較小，一般會(huì)附帶于某些軟件上。有可能當(dāng)用戶下載了一個(gè)小游戲并運(yùn)行時(shí)，后門軟件的服務(wù)器端就安裝完成了，而且大部分后門軟件的重生能力比較強(qiáng)，給用戶進(jìn)行清除造成一定的麻煩。

1.5 拒絕服務(wù)攻擊

互聯(lián)網(wǎng)上許多大網(wǎng)站都遭受過此類攻擊。實(shí)施拒絕服務(wù)攻擊（DDoS）的難度比較小，但它的破壞性卻很大。它的具體手法是向目的服務(wù)器發(fā)送大量的數(shù)據(jù)包，幾乎占取該服務(wù)器所有的網(wǎng)絡(luò)寬帶，從而使其無法對(duì)正常的服務(wù)請(qǐng)求進(jìn)行處理，導(dǎo)致網(wǎng)站無法進(jìn)入、網(wǎng)站響應(yīng)速度大大降低或服務(wù)器癱瘓?，F(xiàn)在常見的蠕蟲病毒或與其同類的病毒都可以對(duì)服務(wù)器進(jìn)行拒絕服務(wù)攻擊的進(jìn)攻。它們的繁殖能力極強(qiáng)，一般通過 Microsoft的Outlook軟件向眾多郵箱發(fā)出帶有病毒的郵件，使郵件服務(wù)器無法承擔(dān)如此龐大的數(shù)據(jù)處理量而癱瘓。

2 攻防實(shí)驗(yàn)的目標(biāo)和任務(wù)

在攻擊和防御的對(duì)抗中，攻擊方通常掌握著主動(dòng)性，而防御方必須具備能夠和攻擊方相抗衡的智能。因此，攻防實(shí)驗(yàn)通常需要達(dá)到的目標(biāo)是發(fā)現(xiàn)信息系統(tǒng)的脆弱性，提高系統(tǒng)的防御能力和系統(tǒng)的入侵響應(yīng)能力，盡可能有效排除系統(tǒng)的威脅。

攻防實(shí)驗(yàn)的第一任務(wù)是掌握先進(jìn)的入侵方法和手段，發(fā)現(xiàn)系統(tǒng)的潛在脆弱性，分析攻擊的規(guī)律及軌跡，為反向工程提供實(shí)踐依據(jù)。很多情況下，系統(tǒng)的入侵是由于管理員不知道黑客攻擊的入侵手段和系統(tǒng)的潛在脆弱性，不能夠快速反應(yīng)。攻防實(shí)驗(yàn)的第二任務(wù)是收集積累準(zhǔn)確的數(shù)據(jù)資料，為安全策略分析和系統(tǒng)改進(jìn)提供依據(jù)。在攻防實(shí)驗(yàn)的過程中，要注意記錄和保留相關(guān)的原始資料，為下一階段的分析和總結(jié)提供良好的基礎(chǔ)。

3 攻防實(shí)驗(yàn)的主要技術(shù)

攻防實(shí)驗(yàn)可以分成入侵技術(shù)和防御技術(shù)。入侵技術(shù)可分為信息搜集技術(shù)和攻擊技術(shù)，防御技術(shù)可分為監(jiān)控技術(shù)、檢測(cè)技術(shù)和蜜罐技術(shù)。通過對(duì)攻防實(shí)驗(yàn)的準(zhǔn)確定位，讓攻防實(shí)驗(yàn)可以較真實(shí)較全面地模擬網(wǎng)絡(luò)入侵。

3.1 入侵技術(shù)

基于對(duì)網(wǎng)絡(luò)攻擊行為過程性的認(rèn)識(shí)，入侵技術(shù)以入侵目標(biāo)網(wǎng)絡(luò)為主要目的，通常以入侵為主要手段，以盜取信息或破壞系統(tǒng)為主要目的。對(duì)其進(jìn)行分類研究，對(duì)于了解攻擊的本質(zhì)以更準(zhǔn)確地對(duì)其進(jìn)行檢測(cè)和響應(yīng)具有重要的意義。通常，入侵以信息搜集為前導(dǎo)，通過系統(tǒng)所暴露的脆弱性進(jìn)行相應(yīng)的入侵操作。

3.1.1 信息搜集

信息搜集通常包括掃描技術(shù)和網(wǎng)絡(luò)嗅探技術(shù)。掃描技術(shù)是一種檢測(cè)本地主機(jī)或遠(yuǎn)程主機(jī)安全性的程序。根據(jù)網(wǎng)絡(luò)掃描的階段性特征，可分為主機(jī)掃描技術(shù)、端口掃描技術(shù)以及漏洞掃描技術(shù)，其中端口掃描和漏洞掃描是網(wǎng)絡(luò)掃描的核心。主機(jī)掃描的目的是確認(rèn)目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否處于啟動(dòng)狀態(tài)及其主機(jī)的相關(guān)信息。端口掃描最大的作用是提供目標(biāo)主機(jī)的使用端口清單。漏洞掃描則建立在端口掃描的基礎(chǔ)之上，主要通過基于漏洞庫(kù)的匹配檢測(cè)方法或模擬攻擊的方法來檢查目標(biāo)主機(jī)是否存在漏洞。

網(wǎng)絡(luò)嗅探技術(shù)主要指通過截獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)流來對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行分析的技術(shù)。網(wǎng)絡(luò)嗅探技術(shù)要優(yōu)于掃描技術(shù)，因?yàn)榫W(wǎng)絡(luò)嗅探技術(shù)不易被發(fā)現(xiàn)，讓管理員難以察覺。而嗅探的設(shè)備可以是軟件，也可以是硬件。

3.1.2 攻擊

黑客的入侵過程通常在對(duì)目標(biāo)主機(jī)的掃描探測(cè)后，針對(duì)系統(tǒng)所暴露的脆弱性和漏洞，對(duì)系統(tǒng)進(jìn)行入侵操作。在攻擊階段，黑客利用信息搜集技術(shù)搜集來的信息，采取攻擊技術(shù)對(duì)目標(biāo)進(jìn)行攻擊。攻擊技術(shù)的種類很多，大致可分為拒絕服務(wù)攻擊、信息利用攻擊和惡意代碼攻擊。

拒絕服務(wù)DoS攻擊指利用網(wǎng)絡(luò)協(xié)議的缺陷或耗盡被攻擊對(duì)象的資源，目的是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)或資源訪問，使目標(biāo)計(jì)算機(jī)停止響應(yīng)甚至崩潰，而在此攻擊中并不入侵目標(biāo)設(shè)備。分布式拒絕服務(wù)DDoS攻擊是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。分布式拒絕服務(wù)DDoS通過占領(lǐng)傀儡機(jī)來實(shí)施，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。

信息利用攻擊指并不對(duì)目標(biāo)主機(jī)進(jìn)行破壞，而是盜取或偽造存儲(chǔ)的重要信息。信息利用攻擊一般是通過協(xié)議缺陷，以冒充安全域欺騙主機(jī)的行為。

惡意代碼攻擊包括病毒和木馬攻擊。病毒是一種可以通過自我復(fù)制來感染其它程序的程序，并且具有傳染性和不可預(yù)見性。木馬程序是一種暗含某種功能的程序，內(nèi)部含有隱蔽代碼，其實(shí)質(zhì)是通過隱藏端口進(jìn)行通信，因此木馬一般是C/S結(jié)構(gòu)的。黑客以病毒攻擊的方式對(duì)系統(tǒng)進(jìn)行破壞，以木馬的方式對(duì)系統(tǒng)留下后門，以便可以隨時(shí)進(jìn)入系統(tǒng)，對(duì)系統(tǒng)的權(quán)限和配置信息進(jìn)行更改或破壞。

3.2 防御技術(shù)

基于對(duì)入侵技術(shù)的識(shí)別，防御技術(shù)以應(yīng)對(duì)入侵技術(shù)而產(chǎn)生。目前，防御技術(shù)以彌補(bǔ)漏洞為主，輔以檢測(cè)設(shè)備，并設(shè)置防火墻等防護(hù)軟件。通常防御技術(shù)包括監(jiān)控技術(shù)、檢測(cè)技術(shù)和蜜罐技術(shù)。

3.2.1 監(jiān)控技術(shù)

監(jiān)控技術(shù)主要針對(duì)入侵技術(shù)中的信息搜集技術(shù)，防止黑客對(duì)網(wǎng)絡(luò)的信息搜集，也可阻止惡意代碼對(duì)網(wǎng)絡(luò)的攻擊，對(duì)目標(biāo)主機(jī)或網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控。監(jiān)控以監(jiān)控網(wǎng)絡(luò)狀態(tài)為主，通過數(shù)據(jù)包的收發(fā)，防止信息探測(cè)，也可對(duì)主機(jī)內(nèi)進(jìn)程監(jiān)控，查看主機(jī)異常進(jìn)程。監(jiān)控技術(shù)又可分為軟監(jiān)控和硬監(jiān)控兩種。軟監(jiān)控指通過軟件來實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)實(shí)現(xiàn)監(jiān)控的目的，如網(wǎng)絡(luò)監(jiān)控軟件。硬監(jiān)控技術(shù)指通過硬件的方式來對(duì)目標(biāo)網(wǎng)絡(luò)實(shí)現(xiàn)監(jiān)控，物理隔離技術(shù)和入侵防護(hù)設(shè)備是硬監(jiān)控技術(shù)的體現(xiàn)。

3.2.2 檢測(cè)技術(shù)

檢測(cè)技術(shù)是近年來發(fā)展起來的一種防范技術(shù)，其作用是監(jiān)控網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)是否出現(xiàn)被入侵或?yàn)E用的征兆。它依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。檢測(cè)技術(shù)不同于監(jiān)控技術(shù)，檢測(cè)的第一要素是監(jiān)聽，因此，只要通過監(jiān)視來自網(wǎng)絡(luò)區(qū)域的訪問流量和需要進(jìn)行網(wǎng)絡(luò)報(bào)文的統(tǒng)計(jì)。

3.2.3 蜜罐

蜜罐是一臺(tái)存在多種漏洞的計(jì)算機(jī)，是網(wǎng)絡(luò)管理員經(jīng)過周密布置而設(shè)下的“黑匣子”，好像是故意讓人攻擊的目標(biāo)，引誘黑客前來攻擊，看似漏洞百出卻盡在掌握之中，管理員清楚它身上有多少個(gè)漏洞，這就像狙擊手為了試探敵方狙擊手的實(shí)力而用槍支撐起的鋼盔，蜜罐被入侵而記錄下入侵者的一舉一動(dòng)，是為了管理員能更好的分析入侵者都喜歡往哪個(gè)洞里鉆，今后才能加強(qiáng)防御。攻擊者入侵后，蜜罐監(jiān)控者只要記錄下進(jìn)出系統(tǒng)的每個(gè)數(shù)據(jù)包，就能夠?qū)诳偷乃魉鶠橐磺宥?，隨時(shí)了解針對(duì)服務(wù)器發(fā)動(dòng)的最新攻擊和漏洞。還可以通過竊聽黑客之間的聯(lián)系，收集黑客所用的種種工具，并且掌握他們的社交網(wǎng)絡(luò)。蜜罐的核心價(jià)值就在于對(duì)這些攻擊活動(dòng)進(jìn)行監(jiān)視、檢測(cè)和分析。

蜜罐系統(tǒng)的優(yōu)點(diǎn)之一就是它們大大減少了所要分析的數(shù)據(jù)。對(duì)于通常的網(wǎng)站或郵件服務(wù)器，攻擊流量通常會(huì)被合法流量所淹沒。而蜜罐進(jìn)出的數(shù)據(jù)大部分是攻擊流量。因而瀏覽數(shù)據(jù)、查明攻擊者的實(shí)際行為也就容易多了。同時(shí)，蜜罐技術(shù)也存在著一些缺陷，如需要較多的時(shí)間和精力投入，只能對(duì)針對(duì)蜜罐的攻擊行為進(jìn)行監(jiān)視和分析。另外，部署蜜罐會(huì)帶來一定的安全風(fēng)險(xiǎn)，因?yàn)樗瑫r(shí)也是一臺(tái)連接網(wǎng)絡(luò)的計(jì)算機(jī)，如果你做的一臺(tái)蜜罐被入侵者攻破并“借”來對(duì)你的服務(wù)器進(jìn)行攻擊，因此引發(fā)的損失也是難以估量的。

實(shí)系統(tǒng)蜜罐是最真實(shí)的蜜罐，它運(yùn)行著真實(shí)的系統(tǒng)，并且?guī)е鎸?shí)可入侵的漏洞，屬于最危險(xiǎn)的漏洞，但是它記錄下的入侵信息往往是最真實(shí)的。這種蜜罐安裝的系統(tǒng)一般都是最初的，沒有任何SP補(bǔ)丁，或者打了低版本SP補(bǔ)丁，根據(jù)管理員需要，也可能補(bǔ)上了一些漏洞，只要值得研究的漏洞還存在即可。然后把蜜罐連接上網(wǎng)絡(luò)，根據(jù)目前的網(wǎng)絡(luò)掃描頻繁度來看，這樣的蜜罐很快就能吸引到目標(biāo)并接受攻擊，系統(tǒng)運(yùn)行著的記錄程序會(huì)記下入侵者的一舉一動(dòng)，但同時(shí)它也是最危險(xiǎn)的，因?yàn)槿肭终呙恳粋€(gè)入侵都會(huì)引起系統(tǒng)真實(shí)的反應(yīng)，例如被溢出、滲透、奪取權(quán)限等。

偽系統(tǒng)蜜罐利用一些工具程序強(qiáng)大的模仿能力，偽造出不屬于自己平臺(tái)的“漏洞”，入侵這樣的“漏洞”，只能是在一個(gè)程序框架里打轉(zhuǎn)，即使成功“滲透”，也是程序制造的虛擬狀態(tài)。實(shí)現(xiàn)一個(gè)“偽系統(tǒng)”并不困難，Windows平臺(tái)下的一些虛擬機(jī)程序、Linux自身的腳本功能加上第三方工具就能輕松實(shí)現(xiàn)，甚至在 Linux/Unix下還能實(shí)時(shí)由管理員產(chǎn)生一些根本不存在的“漏洞”，讓入侵者自以為得逞的在里面瞎忙。實(shí)現(xiàn)跟蹤記錄也很容易，只要在后臺(tái)開著相應(yīng)的記錄程序即可。這種蜜罐的好處在于，它可以最大程度防止被入侵者破壞，也能模擬不存在的漏洞，甚至可以讓一些Windows蠕蟲攻擊Linux——只要你模擬出符合條件的Windows特征即可。