王春明，焦方寧，康子明，仝麥智

95876部隊，甘肅 張掖 734100

網(wǎng)絡(luò)攻擊主要是利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊，從而造成被攻擊的電腦或網(wǎng)絡(luò)可能會出現(xiàn)網(wǎng)絡(luò)斷線、網(wǎng)速緩慢、信息與數(shù)據(jù)泄漏等情況，特別是重要信息或數(shù)據(jù)的泄漏，將直接對企業(yè)或者個人造成極大的損失。

古語有云：知己知彼，百戰(zhàn)不殆，只有掌握網(wǎng)絡(luò)攻擊的基本方法與步驟，才能準(zhǔn)確的將其檢測出來，才能更好的防范網(wǎng)絡(luò)攻擊。從技術(shù)上來說，網(wǎng)絡(luò)攻擊的主要動機(jī)是取得所攻擊的目標(biāo)機(jī)的超級管理員權(quán)限，從而可以操控目標(biāo)機(jī)，安裝病毒程序、修改資源配置、隱藏行蹤等等。網(wǎng)絡(luò)攻擊的方法非常多，但是主要方法是完成攻擊前的信息收集、完成主要的權(quán)限提升和完成主要的后門留置等。

1 網(wǎng)絡(luò)攻擊的基本步驟

網(wǎng)絡(luò)攻擊一般情況下是利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對系統(tǒng)和資源進(jìn)行的攻擊，一般的網(wǎng)絡(luò)攻擊主要包括3個步驟：

1）第一步：搜集信息

攻擊者在選定將要攻擊的網(wǎng)絡(luò)資源的時候需要分析被攻擊的環(huán)境，這就要求攻擊者大量的收集與匯總被攻擊的目標(biāo)的相關(guān)信息，包括攻擊目標(biāo)的操作系統(tǒng)、類型、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等等，攻擊者搜集信息的手段非常多，但一般采用7個步驟來搜集信息，并且攻擊者在這7步中都會利用對應(yīng)的工具來搜集攻擊目標(biāo)的信息。搜集信息的7個步驟分別是：搜集初始信息、搜集攻擊對象所在的網(wǎng)絡(luò)地址范圍、搜集活動的機(jī)器、搜索入口點與開放端口、分清主機(jī)操作系統(tǒng)、弄清端口對應(yīng)的運行的服務(wù)和畫出網(wǎng)絡(luò)拓?fù)鋱D。

2）第二步：尋找系統(tǒng)安全弱點

攻擊者在第一步已經(jīng)搜集到了足夠的信息，接下來攻擊者會根據(jù)搜集到的被攻擊網(wǎng)絡(luò)的相關(guān)信息，對被攻擊對象的網(wǎng)絡(luò)上的主機(jī)進(jìn)行全方位探測，以便發(fā)現(xiàn)被攻擊對象的安全漏洞與弱點。攻擊者主要會利用兩個方法去探測系統(tǒng)弱點：

（1）運用“補(bǔ)丁”程序探測突破口

攻擊者會通過前期準(zhǔn)備階段搜集到的信息尋找“補(bǔ)丁”程序的接口，然后編寫對應(yīng)的攻擊程序通過這個接口入侵被攻擊系統(tǒng)。

（2）運用掃描器尋找系統(tǒng)安全漏洞

目標(biāo)系統(tǒng)的管理員使用掃描器掃描系統(tǒng)就會掃描出系統(tǒng)當(dāng)前多存在的安全漏洞，然后修補(bǔ)漏洞加強(qiáng)系統(tǒng)的安全防御體系。但是攻擊者就會利用掃描器去掃描系統(tǒng)漏洞，目前較為流行的掃描器是安全管理員網(wǎng)絡(luò)分析工具SATAN、因特網(wǎng)安全掃描程序IIS、Nessus、NSS 等等。

3）第三步：實施攻擊

攻擊者通過上述方法探測到系統(tǒng)存在的弱點后，就開始對系統(tǒng)進(jìn)行攻擊。攻擊的行為通常情況下分為3種形式：

（1）掩蓋行蹤，預(yù)留后門

攻擊者入侵被攻擊系統(tǒng)后，會盡量掩蓋可能留下的侵入痕跡，并在受損的系統(tǒng)中探測新的安全漏洞或者留下后門，以便再次實施入侵時使用。

（2）安裝探測程序

攻擊者入侵系統(tǒng)后可能會在系統(tǒng)中安裝探測程序軟件，即使攻擊者退出之后，探測軟件仍然可以窺探所在系統(tǒng)的活動，搜集攻擊者所需要的信息，并源源不斷的將窺探到的秘密信息傳送給安裝程序的攻擊者。

（3）取得特權(quán)，擴(kuò)大攻擊范圍

攻擊者很有可能會進(jìn)一步的去探測受損系統(tǒng)在網(wǎng)絡(luò)中的信任等級，然后利用該信任等級所具有的權(quán)限，對整個被攻擊系統(tǒng)展開全方面攻擊。一旦攻擊者獲得管理員或者根用戶權(quán)限后，后果將不堪設(shè)想。

2 網(wǎng)絡(luò)攻擊的檢測技術(shù)

2.1 使用數(shù)據(jù)流特征檢測

攻擊者在進(jìn)行信息掃描之前會構(gòu)造被攻擊對象的IP數(shù)據(jù)包，然后通過某端口發(fā)送毫無意義的數(shù)據(jù)包，這主要是因為各種操作系統(tǒng)對這種無意義的數(shù)據(jù)包的處理方式不同，攻擊者會解析返回的數(shù)據(jù)包，那么我們可以從下面3種思路去檢測系統(tǒng)被非法掃描。

1）統(tǒng)計分析。預(yù)先定義某個固定時間段的連接次數(shù)，在此時間段內(nèi)如果發(fā)現(xiàn)連接次數(shù)超過預(yù)定義值，則認(rèn)為端口被非法掃描；

2）特征匹配。通常情況下攻擊者發(fā)送的數(shù)據(jù)包都含有端口掃描特征的相關(guān)數(shù)據(jù)，比如：當(dāng)攻擊者嘗試UDP端口掃描時，數(shù)據(jù)包中會有content:“sUDP”數(shù)據(jù)等等?？梢酝ㄟ^分析掃面特征數(shù)據(jù)來檢測端口是否被非法掃描

2.2 本地權(quán)限攻擊檢測

檢查文件完備性、監(jiān)測行為、對比檢查系統(tǒng)快照均是最為流行的檢測技術(shù)。

1）檢查文件完備性。定期檢查常用庫文件與系統(tǒng)文件的完備性。通常情況下會使用checksum的方式，對比較重要的文件做先驗快照，檢測這些重要文件的訪問，檢查這些文件的完備性作，結(jié)合行為監(jiān)測法，防止重要文件遭到欺騙攻擊與覆蓋攻擊；

2）行為監(jiān)測法。行為監(jiān)測法主要從兩個方面監(jiān)測: 一是監(jiān)測所有程序進(jìn)程的堆棧變化，以便維護(hù)程序運行期的堆棧合法性。以防御被攻擊對象遭到競爭條件攻擊與本地溢出攻擊；二是監(jiān)測內(nèi)存的活動，跟蹤內(nèi)存容量的非正常變化，檢測、監(jiān)控中斷向量。

攔截、仲裁來自ftp服務(wù)目錄、互聯(lián)網(wǎng)服務(wù)的相關(guān)腳本執(zhí)行目錄等敏感目錄。審計對這些目錄的文件寫入操作，防止非法程序的寫入與上傳。監(jiān)測執(zhí)行系統(tǒng)服務(wù)程序的命令，控制數(shù)據(jù)庫服務(wù)程序的相關(guān)接口，防止使用系統(tǒng)服務(wù)程序提升權(quán)限；

3）對比檢查系統(tǒng)快照。先驗快照系統(tǒng)中的重要的公共信息，如系統(tǒng)的環(huán)境變量、配置參數(shù)， 檢測對這些系統(tǒng)變量的訪問，防止遭到篡改導(dǎo)向攻擊。

2.3 常用后門留置檢測技術(shù)

1）對比檢測法。后門留置檢測時，最重要的是檢測木馬的異常行為與可疑蹤跡。木馬程序入侵目標(biāo)網(wǎng)絡(luò)成功之后，攻擊者會用盡各種隱藏蹤跡的措施去防止用戶發(fā)現(xiàn)，因此在檢測木馬程序入侵過程中一定要考慮到木馬程序可能利用的隱藏技術(shù)并采取有效措施進(jìn)行規(guī)避，只有這樣才會發(fā)現(xiàn)木馬程序入侵時所引起的異?，F(xiàn)象從而使隱身的木馬“現(xiàn)形”。常用的檢測木馬程序異常行為與可疑蹤跡的措施包括對比檢測法、監(jiān)測系統(tǒng)資源法、防篡改文件法和分析協(xié)議法等；

2）監(jiān)測系統(tǒng)資源法。監(jiān)測系統(tǒng)資源法是指利用監(jiān)控目標(biāo)主機(jī)系統(tǒng)資源的方式去監(jiān)控木馬程序入侵引起的異常行為；

3）防篡改文件法。防篡改文件法是指在打開新的文件之前，用戶首先就要檢驗此文件的身份信息以確保新文件沒有被別人修改。標(biāo)識文件的指紋信息就是文件的身份信息，文件的身份信息可以通過md5檢驗與數(shù)字簽名的方式生成；

4）分析協(xié)議法。分析協(xié)議法是對比分析監(jiān)聽的網(wǎng)絡(luò)會話與某種標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議，從而去判斷監(jiān)聽的網(wǎng)絡(luò)會話是否被木馬程序入侵。

3 結(jié)論

網(wǎng)絡(luò)安全已經(jīng)成為世界人民關(guān)注的焦點問題，非法用戶的網(wǎng)絡(luò)攻擊造成了網(wǎng)絡(luò)的種種不安全。本文詳細(xì)介紹了網(wǎng)絡(luò)攻擊的步驟，并給出了防止網(wǎng)絡(luò)攻擊的基本檢測技術(shù)，只有掌握了網(wǎng)絡(luò)攻擊的步驟，才能將網(wǎng)絡(luò)攻擊拒之門外，才能構(gòu)建安全、健康的網(wǎng)絡(luò)環(huán)境。

[1]張敏波編著.網(wǎng)絡(luò)安全實戰(zhàn)詳解[J].北京：電子工業(yè)出版社，2008，5.

[2]王景偉，郭英敏.密碼技術(shù)在信息網(wǎng)絡(luò)安全中的應(yīng)用[J].信息網(wǎng)絡(luò)安全，2009(4)：27-28.

[3]楊義先編著.網(wǎng)絡(luò)安全理論與技術(shù)[J].北京：人民郵電出版社，2003.