摘要：當前網(wǎng)絡攻擊不時發(fā)生，因此基于防御視角的常見網(wǎng)絡攻擊技術創(chuàng)新研究是必要的。

關鍵詞：防御視角；網(wǎng)絡攻擊；技術創(chuàng)新；研究

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2012） 22-0000-02

1 端口掃描技術

TCP/IP的服務一般是通過IP地址加一個端口號（Port）來決定，如FTP的服務端口號是21，SMTP的服務端口是25，POP3的端口是110?？蛻舳顺绦蛞话阃ㄟ^服務器的IP地址和端口號與服務器應用程序連接。對目標計算機端口掃描，得到許多有用信息（如該服務是否已經(jīng)啟動等），從而發(fā)現(xiàn)系統(tǒng)的安全漏洞。在基于TCP/IP協(xié)議的網(wǎng)絡環(huán)境中，一臺計算機（具有一個IP地址）可以提供多種服務，如文件傳輸FTP、遠程登錄Rlogin、Gopher查詢等。為了使各種服務協(xié)調運行，TCP/IP協(xié)議為每種服務設定了一個端口，稱為TCP協(xié)議端口。每個端口都擁有一個16 bit的端口號（顯然，對于一臺主機，可以定義65536個端口）。用戶自己提供的服務可以使用自由端口號。不過，一般系統(tǒng)使用的端口號為0～1023，用戶可以自己定義的端口號從1024開始。掃描目標主機的服務端口之前，首先得弄清楚該主機是否已經(jīng)在運行。如果發(fā)現(xiàn)該主機是活的（Alive），則可對該主機提供的各種服務端口進行掃描，從而找出活著的服務。

2 端口偵聽技術

“端口偵聽”與“端口掃描”是黑客攻擊和防護經(jīng)常要用到的兩種端口技術。在黑客攻擊時利用它們可以準確地尋找攻擊的目標，獲取有用信息。在個人及網(wǎng)絡防護方面通過這種端口技術的應用可以及時發(fā)現(xiàn)黑客的攻擊及一些安全漏洞。

3 網(wǎng)絡欺騙技術

網(wǎng)絡欺騙技術是指利用TCP/IP協(xié)議本身的缺陷對TCP/IP網(wǎng)絡進行攻擊的一種復雜的技術。網(wǎng)絡欺騙主要包括如下幾種方式：IP欺騙、ARP欺騙、DNS欺騙、Web欺騙、E-mail欺騙、Cookie欺騙以及源路由欺騙等，下面著重介紹幾種。IP欺騙攻擊是指利用TCP/IP本身的缺陷而進行的入侵，它不是進攻的結果，而是進攻的手段，實際上是兩臺主機之間信任關系的破壞。IP欺騙是適用于TCP/IP環(huán)境的一種復雜的技術攻擊，它由若干部分組成。目前，IP欺騙攻擊已經(jīng)成為黑客入侵時所采用的一種重要手段，因此有必要了解它的工作原理和防御措施，以便充分地保護用戶的合法權益。IP欺騙攻擊的實施步驟如下：（1）選定目標主機；（2）發(fā)現(xiàn)主機之間的信任模式；（3）通過一系列手段迫使被信任主機喪失工作能力；（4）預測和取樣TCP序列號；（5）冒充被信任主機進入系統(tǒng)；（6）實施破壞行為并留下后門以供以后使用。

4 常用網(wǎng)絡攻擊工具

非法入侵者在進行網(wǎng)絡攻擊時需要借助一些工具，這些工具被統(tǒng)稱為網(wǎng)絡攻擊工具。一般情況下，根據(jù)各個工具的功能以及實現(xiàn)的目的不同，可以將網(wǎng)絡攻擊工具分為4類：端口掃描工具、網(wǎng)絡監(jiān)聽工具、密碼破解工具和拒絕服務攻擊工具。目前存在的掃描器產品主要可分為基于主機的和基于網(wǎng)絡的兩種，前者主要關注軟件所在主機上面的風險漏洞，而后者則是通過網(wǎng)絡遠程探測其它主機的安全風險漏洞。SuperScan是一款功能強大的、基于連接的TCP端口掃描工具，它支持ping命令和主機名解析。多線程和異步技術使得掃描速度大大增加，并且SuperScan具有強大的端口管理器，內置了大部分常見的端口以及端口的說明，同時支持自定義端口功能。SuperScan具有以下功能：⑴ 通過Ping來檢驗IP是否在線。⑵ IP和域名相互轉換。⑶ 檢驗目標計算機提供的服務類別。⑷ 檢驗一定范圍目標計算機的是否在線和端口情況。⑸ 工具自定義列表檢驗目標計算機是否在線和端口情況。⑹ 自定義要檢驗的端口，并可以保存為端口列表文件。⑺ 軟件自帶一個木馬端口列表trojans.lst，通過這個列表可以檢測目標計算機是否有木馬；同時，也可以自己定義修改這個木馬端口列表。

5 網(wǎng)絡監(jiān)聽工具

網(wǎng)絡監(jiān)聽工具可以被理解為一種安裝在計算機上的竊聽設備。它可以用來竊聽計算機在網(wǎng)絡上發(fā)送和接收的數(shù)據(jù)，這些數(shù)據(jù)可以是用戶的賬戶信息，也可以是機密的數(shù)據(jù)文件等。常用的網(wǎng)絡監(jiān)聽工具有Sniffer、NetXray、TcpDump、winpcap以及流光等。

TcpDump可以將網(wǎng)絡中傳送的數(shù)據(jù)包的“頭”完全截獲下來提供分析。它支持針對網(wǎng)絡層、協(xié)議、主機、網(wǎng)絡或端口的過濾，并提供and、or、not等邏輯語句來去掉無用的信息。TcpDump提供了源代碼，公開了接口，因此具備很強的可擴展性，對于網(wǎng)絡維護和入侵者都是非常有用的工具。TcpDump存在于基本的FreeBSD系統(tǒng)中，由于它需要將網(wǎng)絡界面設置為混雜模式，普通用戶不能正常執(zhí)行，但具備root權限的用戶可以直接執(zhí)行它來獲取網(wǎng)絡上的信息。因此系統(tǒng)中存在網(wǎng)絡分析工具主要不是對本機安全的威脅，而是對網(wǎng)絡上的其他計算機的安全存在威脅。普通情況下，直接啟動TcpDump將監(jiān)視第一個網(wǎng)絡界面上所有流過的數(shù)據(jù)包。

6 密碼破解工具

密碼破解工具實際上是一種能夠將口令破譯出來或者使口令保護失效的程序。通常情況下，密碼破解工具并不是真正地解碼，而是通過嘗試一個又一個的字符組合，使用已知的加密算法來加密這些字符組合，直到發(fā)現(xiàn)一個字符組合經(jīng)過加密后的結果與要解密的數(shù)據(jù)一樣，就會認為該字符組合為要找的密碼。

LOphtCrack是在Windows NT平臺上使用的口令審計工具，它能通過保存在Windows NT操作系統(tǒng)中Cryptographic Hashes列表來破解用戶口令。通常為了安全起見，用戶的口令都是在經(jīng)過加密之后保存在Hash列表中的。這些敏感的信息如果被攻擊者獲得。他們不僅可能會得到用戶的權限.也可能會得到系統(tǒng)管理員的權限。LOphtCrack可通過各種不同的破解方法對用戶的口令進行破解。PWDump不是一個密碼破解程序，但是使用它可以從Windows中的SAM數(shù)據(jù)庫中提取密碼。PWDump是一個免費的Windows實用程序，它能夠提取出Windows系統(tǒng)中的口令，并存儲在指定的文件中。PWDump能夠從Windows目標中提取出NTLM和LanMan口令散列值，而不管是否啟用了Syskey（一個Windows賬戶數(shù)據(jù)庫加密工具，是Windows下的一條命令）。該程序是Unix密碼破解程序，但是也可以運行在Windows平臺下，功能強大、運行速度快，可以進行字典破解和強行破解。除了上面介紹的三種工具以外，還有其他一些比較常用的密碼破解工具，例如NTSweep、Crack、XIT、Slurpie等。

7 拒絕服務攻擊工具

拒絕服務攻擊因為其容易實施，所以是網(wǎng)絡攻擊中比較常見的一種。一般情況下，比較常見的拒絕服務攻擊方式包括：死亡之Ping、Teardrop、TCP SYN洪水、Land以及Smurf等。Teardrop攻擊是一種拒絕服務攻擊。Teardrop是基于UDP的病態(tài)分片數(shù)據(jù)包的攻擊方法，其工作原理是向被攻擊者發(fā)送多個分片的IP包（IP分片數(shù)據(jù)包中包括該分片數(shù)據(jù)包屬于哪個數(shù)據(jù)包以及在數(shù)據(jù)包中的位置等信息），某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時將會出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。利用UDP包重組時重疊偏移（假設數(shù)據(jù)包中第二片IP包的偏移量小于第一片結束的位移，而且算上第二片IP包的Data，也未超過第一片的尾部，這就是重疊現(xiàn)象）的漏洞對系統(tǒng)主機發(fā)動拒絕服務攻擊，最終導致主機菪掉；對于Windows系統(tǒng)會導致藍屏死機，并顯示STOP 0x0000000A錯誤。TCP/IP棧只能等待有限數(shù)量的ACK（應答）消息，因為每臺計算機用于創(chuàng)建TCP/IP連接的內存緩沖區(qū)都是非常有限的。TCP SYN洪水攻擊正是利用了這一系統(tǒng)漏洞來實施攻擊的。攻擊者利用偽造的IP地址向目標發(fā)出多個連接（SYN）請求。目標系統(tǒng)在接收到請求后發(fā)送確認信息，并等待回答。由于攻擊者發(fā)送請求的IP地址是偽造的，所以確認信息也不會到達任何計算機，當然也就不會有任何計算機為此確認信息作出應答了。而在沒有接收到應答之前，目標計算機系統(tǒng)是不會主動放棄的，繼續(xù)會在緩沖區(qū)中保持相應連接信息，一直等待。當?shù)却B接達到一定數(shù)量后，緩沖區(qū)資源耗盡，從而開始拒絕接收任何其他連接請求，也包括本來屬于正常應用的請求。Land攻擊是一種使用相同的源和目的主機和端口發(fā)送數(shù)據(jù)包到某臺機器的攻擊。

8 蜜網(wǎng)技術

蜜網(wǎng)是在蜜罐技術上逐步發(fā)展起來的一個新的概念，又可成為誘捕網(wǎng)絡。蜜網(wǎng)技術實質上還是一類研究型的高交互蜜罐技術，其主要目的是收集黑客的攻擊信息。但與傳統(tǒng)蜜罐技術的差異在于，蜜網(wǎng)構成了一個黑客誘捕網(wǎng)絡體系架構，在這個架構中，我們可以包含一個或多個蜜罐，同時保證了網(wǎng)絡的高度可控性，以及提供多種工具以方便對攻擊信息的采集和分析。此外，虛擬蜜網(wǎng)通過應用虛擬操作系統(tǒng)軟件（如VMWare和User Mode Linux等）使得我們可以在單一的主機上實現(xiàn)整個蜜網(wǎng)的體系架構。虛擬蜜網(wǎng)的引入使得架設蜜網(wǎng)的代價大幅降低，也較容易部署和管理，但同時也帶來了更大的風險，黑客有可能識別出虛擬操作系統(tǒng)軟件的指紋，也可能攻破虛擬操作系統(tǒng)軟件從而獲得對整個虛擬蜜網(wǎng)的控制權。蜜網(wǎng)有著三大核心需求，即數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析。通過數(shù)據(jù)控制能夠確保黑客不能利用蜜網(wǎng)危害第三方網(wǎng)絡的安全，以減輕蜜網(wǎng)架設的風險；數(shù)據(jù)捕獲技術能夠檢測并審計黑客攻擊的所有行為數(shù)據(jù)；而數(shù)據(jù)分析技術則幫助安全研究人員從捕獲的數(shù)據(jù)中分析出黑客的具體活動、使用工具及其意圖。

參考文獻：

[1]張海堂.21世紀世界商務發(fā)展的潮流[M].北京：經(jīng)濟科學出版社，1999.

[2]龔儉，王倩.計算機網(wǎng)絡安全導論[M].南京：東南大學出版社，2000.

[3]柯新生.網(wǎng)絡支付與結算[M].北京：電子工業(yè)出版社，2004.

[4]尹衍波.電子商務法規(guī)[M].北京：北京交通大學出版社，2007.

[5]勞幗齡.電子商務的安全技術[M].北京：中國水利水電出版社，2000.

[6]謝紅燕.電子商務的安全問題及對策研究[J].哈爾濱商業(yè)大學學報（自然科學版），2007，（3）：350-358，

[7]彭禹皓，蘭波曉玲.電子商務的安全性探討[J].集團經(jīng)濟研究，2007，（232）：216-217.

[8]余紹軍.電子商務安全與數(shù)據(jù)加密技術淺析[J].中國管理信息化，2007，（6）：12-14.

[9]曾鳳生.電子商務安全需求及防護策略[J].數(shù)據(jù)庫及信息管理，2007，（4）：25-28.