劉龍龍，張建輝，楊 夢

(國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 第3研究部，河南 鄭州 450000)

網(wǎng)絡(luò)攻擊及其分類技術(shù)研究

劉龍龍，張建輝，楊 夢

(國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 第3研究部，河南 鄭州 450000)

針對網(wǎng)絡(luò)安全問題，文中介紹計算機網(wǎng)絡(luò)攻擊的一般流程情報收集、目標掃描、實施攻擊、維持訪問、擦除痕跡，以及網(wǎng)絡(luò)攻擊方式包括口令入侵、木馬攻擊、Web應(yīng)用程序攻擊、拒絕服務(wù)攻擊、安全漏洞攻擊，并對常見的攻擊方式進行了類別劃分，并總結(jié)了網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展趨勢，為網(wǎng)絡(luò)攻擊技術(shù)研究提供文獻依據(jù)。

網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻擊技術(shù)；發(fā)展趨勢；類別劃分

1 網(wǎng)絡(luò)攻擊技術(shù)

計算機網(wǎng)絡(luò)攻擊(Computer Network Attack，CNA)是指任何試圖竊取、修改、阻塞、降低或破壞存儲在計算機系統(tǒng)或計算機網(wǎng)絡(luò)中的信息，或者計算機系統(tǒng)與計算機網(wǎng)絡(luò)本身的一切動作的集合[1-2]。主要通過收集攻擊目標的信息，并加以分析和整理以發(fā)現(xiàn)目標的漏洞，然后制定有針對性的攻擊策略入侵目標系統(tǒng)，達到信息竊取、監(jiān)控或破壞的目的。

1.1 網(wǎng)絡(luò)攻擊的流程

網(wǎng)絡(luò)攻擊是一個不斷迭代的過程，隨著對攻擊目標信息的不斷收集，攻擊者對攻擊目標的掌控和控制會不斷加強。在網(wǎng)絡(luò)攻擊的一次迭代過程中，一般分為情報收集、目標掃描、實施攻擊、維持訪問、擦除痕跡5個階段[2]。

圖1 網(wǎng)絡(luò)攻擊流程圖

1.1.1 情報收集

黑客在進行一次網(wǎng)絡(luò)攻擊前，會盡可能詳細的收集有關(guān)目標的情報信息，多數(shù)時間這類信息可以從互聯(lián)網(wǎng)網(wǎng)站，如Google或?qū)Ｗ⒂谛畔⒐蚕砗蜕缃幻襟w的網(wǎng)站獲得?；ヂ?lián)網(wǎng)域名服務(wù)器也可以透漏有關(guān)目標的信息，有時甚至一封電子郵件就可以追蹤到具體的組織結(jié)構(gòu)。黑客使用的情報搜集手段主要包括Google Hacking、社會工程學、網(wǎng)絡(luò)踩點、掃描偵測、被動監(jiān)聽等[4-7]。

1.1.2 目標掃描

黑客在對攻擊目標的情報做充分分析和整理后就會進入掃描階段。在該階段黑客的主要目標是確定攻擊目標的物理及邏輯信息系統(tǒng)的結(jié)構(gòu)。確定連接到目標網(wǎng)絡(luò)的計算機和其他設(shè)備的信息，并尋找可用的主機，確定節(jié)點的類型(臺式機、筆記本、服務(wù)器、網(wǎng)絡(luò)設(shè)備等)、操作系統(tǒng)、提供的可用的公開服務(wù)(Web應(yīng)用程序、SMTP、FTP等)，運氣好的話黑客甚至能發(fā)現(xiàn)目標中存在的可利用的漏洞[8]。掃描是通過一系列的工具進行的，如掃描神器Nmap、Nessus和SATAN等。

1.1.3 實施攻擊

經(jīng)過前期的情報搜集和目標掃描后，攻擊者探測連接到目標網(wǎng)絡(luò)上的每臺主機以尋找目標網(wǎng)絡(luò)存在的安全漏洞。通過深入分析目標網(wǎng)絡(luò)的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)安全防護設(shè)備(防火墻、入侵檢測系統(tǒng)、VPN等)以及連接到目標網(wǎng)絡(luò)的主機操作系統(tǒng)[9]，在此基礎(chǔ)上分析目標網(wǎng)絡(luò)的缺陷和安全隱患，然后制定相應(yīng)的攻擊策略，如端口掃描、口令猜測、緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊、IP地址欺騙以及會話劫持等。

1.1.4 維持訪問

黑進一臺計算機、網(wǎng)絡(luò)設(shè)備或者一臺Web服務(wù)器不是一個黑客的最終目的，黑客的最終目的是要維持訪問被入侵的系統(tǒng)，以便能夠持續(xù)的控制和監(jiān)聽目標網(wǎng)絡(luò)。目前維持訪問的技術(shù)主要有木馬、后門程序以及Rootkit等[9-11]。

1.1.5 擦除痕跡

黑客完成一次攻擊后，會小心的擦除實施攻擊后產(chǎn)生的日志信息，以避免被網(wǎng)絡(luò)管理員發(fā)現(xiàn)，同時建立隱藏文件和秘密通道以便后續(xù)的訪問和實施攻擊。

1.2 網(wǎng)絡(luò)攻擊常見方式

1.2.1 口令入侵

口令入侵是黑客最常見的攻擊方式，所謂口令入侵是指破解用戶口令或者屏蔽口令安全防護。口令是網(wǎng)絡(luò)安全的第一道屏障，但是隨著計算機技術(shù)的發(fā)展，針對口令的各種攻擊技術(shù)層出不窮，口令已經(jīng)很難保障用戶的安全和隱私[12]。黑客破解口令時常采用一些自動化工具，這些工具所采用的技術(shù)是仿真對比，其利用與原始口令程序相同的方法，通過對比分析，用不同的加密口令去匹配原始口令。

網(wǎng)絡(luò)上的服務(wù)器大多運行的是Unix或者類Unix操作系統(tǒng)，而Unix操作系統(tǒng)把用戶的登錄ID和口令存放在ETC/PASSWD文件中。黑客如果獲取到服務(wù)器上的口令文件，就可以通過一些暴力破解的方式獲取到用戶口令，特別是一些弱口令比如123456、admin、以及用戶生日類的口令，可在極短的時間內(nèi)被破解[13]。

1.2.2 木馬攻擊

木馬程序是指任何提供了隱藏的，用戶不希望的功能的程序。木馬常常隱藏在一個合法程序中，隨著合法程序的下載使用而進入到網(wǎng)絡(luò)系統(tǒng)中。一旦用戶使用了隱藏有木馬的程序，木馬就會在后臺啟動運行。木馬實際上是一個基于S/C架構(gòu)的程序，被木馬入侵的主機相當于一臺服務(wù)器，會持續(xù)不斷的向攻擊者泄漏被入侵系統(tǒng)的私有信息，甚至于攻擊者會利用木馬程序控制整個被入侵系統(tǒng)[14]。木馬程序隱蔽性很強，難以被發(fā)現(xiàn)，在它被發(fā)現(xiàn)之前可能已經(jīng)存在幾個星期甚至幾個月了，在這期間攻擊者很可能已經(jīng)獲取了整個系統(tǒng)的Root權(quán)限，這樣攻擊者可以隨意的篡改系統(tǒng)設(shè)置，即使后來木馬被發(fā)現(xiàn)，攻擊者在系統(tǒng)中也已經(jīng)留下了管理員注意不到的漏洞，給整個網(wǎng)絡(luò)系統(tǒng)帶來了新的安全威脅[15]。

1.2.3 Web應(yīng)用程序攻擊

隨著國內(nèi)計算機網(wǎng)絡(luò)的普及和飛速發(fā)展，基于B/S架構(gòu)的Web應(yīng)用程序也得到了快速的發(fā)展，吸引了越來越多的程序設(shè)計人員參與其中。但是由于程序設(shè)計人員的水平和經(jīng)驗參差不齊，許多程序員在編寫代碼時沒有考慮安全控制問題，沒有對用戶輸入的合法性做出判斷和驗證，導(dǎo)致整個應(yīng)用程序存在安全隱患[16]。攻擊者可以通過狀態(tài)操縱或者SQL代碼注入的方式達到入侵的目的。

1.2.4 拒絕服務(wù)攻擊

拒絕服務(wù)攻擊(Denial of Service, DOS)就是向目標服務(wù)器發(fā)送大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬和系統(tǒng)資源，導(dǎo)致服務(wù)器不能正常提供服務(wù)，甚至于癱瘓而停止服務(wù)。DOS的威力有限，所以就出現(xiàn)了DDOS(Distributed Denial of Service)分布式拒絕服務(wù)攻擊[17]，DDOS可以看成是大量的DOS集合，DDOS的攻擊方式與DOS基本相同，但是DDOS是由攻擊者控制大量傀儡機向目標同時發(fā)送訪問請求，其威力可想而知，其缺點就是攻擊者需要收集足夠數(shù)量的傀儡機才能發(fā)動一次攻擊。而另外一種反射式DDOS攻擊則不需要大量傀儡機，它充分利用TCP協(xié)議3次握手機制的特點[18]。攻擊者向一臺高帶寬的服務(wù)器發(fā)送TCP SYN數(shù)據(jù)包，在發(fā)包前攻擊者將源地址修改為其要攻擊的主機IP地址，這樣服務(wù)器就會將SYN-ACK數(shù)據(jù)包回送給攻擊目標，只要帶寬足夠，一臺機器就可以發(fā)動一次大規(guī)模的攻擊足以至癱一個大型網(wǎng)站。

圖2 DOS攻擊過程圖 3 DDOS攻擊原理

1.2.5 安全漏洞攻擊

網(wǎng)絡(luò)上許多系統(tǒng)都存在這樣那樣的安全漏洞，有的是操作系統(tǒng)本身的原因，有的是應(yīng)用軟件造成的。其中緩沖區(qū)溢出是最常見的安全漏洞，統(tǒng)計表明網(wǎng)絡(luò)安全漏洞中有超過30%的都是緩沖區(qū)溢出漏洞。攻擊者通過發(fā)送精心編制的指令字符串，造成緩沖區(qū)溢出，使得計算機執(zhí)行設(shè)計好的指令，進而攻擊者可以獲得整個網(wǎng)絡(luò)的控制權(quán)限[19]。

協(xié)議漏洞是另一類經(jīng)常被攻擊者利用的漏洞，如攻擊者利用POP3一定要在根目錄下運行這一特性發(fā)動攻擊，可獲得超級用戶權(quán)限。ICMP協(xié)議則常被攻擊者用來發(fā)動拒絕服務(wù)攻擊。

2 網(wǎng)絡(luò)攻擊常規(guī)分類

為了理解網(wǎng)絡(luò)攻擊以及方便解決與網(wǎng)絡(luò)攻擊相關(guān)的問題，人們嘗試從多個角度研究了網(wǎng)絡(luò)攻擊的分類方法，以下是幾種常見的分類方法。

2.1 根據(jù)攻擊對信息資源的影響劃分

根據(jù)攻擊對信息資源的影響可將網(wǎng)絡(luò)攻擊分為主動攻擊和被動攻擊。主動攻擊主要破壞傳輸數(shù)據(jù)的完整性和可用性，其采用的技術(shù)手段可分為中斷、篡改、和偽造3種[20]，攻擊者可以查看和控制途徑的數(shù)據(jù)包，進而可以篡改、擴展、刪除以及重發(fā)數(shù)據(jù)包。被動攻擊主要破壞傳輸數(shù)據(jù)的保密性，攻擊者在不影響網(wǎng)絡(luò)正常使用的情況下，監(jiān)聽和竊取重要的機密信息[21]。

2.2 根據(jù)攻擊發(fā)起的位置劃分

根據(jù)攻擊發(fā)起的位置可將攻擊分為遠程攻擊和本地攻擊。遠程攻擊是指攻擊者通過技術(shù)手段，從目標網(wǎng)絡(luò)以外的地方向目標網(wǎng)絡(luò)或者其內(nèi)部的系統(tǒng)發(fā)動攻擊，本地攻擊是指在目標網(wǎng)絡(luò)內(nèi)部向本網(wǎng)絡(luò)內(nèi)的其他系統(tǒng)發(fā)動的網(wǎng)絡(luò)攻擊。

2.3 根據(jù)攻擊的手段和要達到的目的劃分

根據(jù)攻擊者采用的技術(shù)手段以及要達到的目的可將網(wǎng)絡(luò)攻擊劃分為以下幾類:

(1)欺騙攻擊。分為IP地址欺騙和虛假消息欺騙，IP地址欺騙通過冒充合法的網(wǎng)絡(luò)主機以竊取敏感的信息，而虛假消息欺騙是通過設(shè)置一些虛假消息來實施欺騙攻擊，主要包括：ARP緩存欺騙、DNS高速緩存污染、偽造電子郵件以及網(wǎng)絡(luò)釣魚攻擊等[22]；

(2)漏洞攻擊。攻擊者首先使用漏洞掃描器，掃描目標網(wǎng)絡(luò)系統(tǒng)可能存在的漏洞，然后針對發(fā)現(xiàn)的漏洞實施相應(yīng)的攻擊，而且隨著新的漏洞的不斷發(fā)現(xiàn)，漏洞攻擊的手段也在不斷的發(fā)展更新，即使是安裝了入侵檢測系統(tǒng)，有時也難以檢測出漏洞攻擊，令人難以防范；

(3)控制攻擊?？刂祁惞粼噲D獲得對目標主機的控制權(quán)。常見的有口令攻擊、木馬攻擊、緩沖區(qū)溢出攻擊?？诹罱孬@和破譯，目前仍然是最有效的口令攻擊的手段。針對木馬攻擊技術(shù)，目前攻擊者在著重研究新的隱藏技術(shù)和秘密信道技術(shù)[23]。緩沖區(qū)溢出是常用的控制類攻擊技術(shù)，早期攻擊者主要針對系統(tǒng)軟件自身存在的緩沖區(qū)溢出漏洞而進行攻擊，現(xiàn)在攻擊者主要采用人為觸發(fā)的緩沖區(qū)溢出進行攻擊；

(4)阻塞攻擊。阻塞類攻擊是指攻擊者試圖強制占用信道資源、網(wǎng)絡(luò)連接資源以及存儲空間資源，使得服務(wù)器癱瘓而無法對外繼續(xù)提供服務(wù)。DOS是典型的阻塞類攻擊，常見的技術(shù)手段有：淚滴攻擊、UDP/TCP泛洪攻擊、LAND攻擊、電子郵件炸彈等多種方式[24]。然而隨著網(wǎng)絡(luò)技術(shù)的發(fā)展網(wǎng)絡(luò)帶寬資源變得越來越富足，常規(guī)的DOS攻擊已經(jīng)不能起效，因此又演變出了DDOS即分布式的DOS攻擊技術(shù)；

(5)病毒攻擊。計算機病毒已經(jīng)從單機病毒發(fā)展到了網(wǎng)絡(luò)病毒，從早期針對DOS的病毒發(fā)展到了目前針對Win XP、Win7平臺甚至更高Windows版本的計算機病毒，而且針對Unix/Linux平臺的計算機病毒也已經(jīng)出現(xiàn)。

隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊技術(shù)也在不斷的更新，上述網(wǎng)絡(luò)攻擊技術(shù)已經(jīng)呈現(xiàn)出了融合發(fā)展的趨勢，特別是將木馬技術(shù)、緩沖區(qū)溢出技術(shù)、拒絕服務(wù)攻擊技術(shù)結(jié)合到一起的攻擊技術(shù)使得網(wǎng)絡(luò)安全防范變得越來越困難[25]。

3 網(wǎng)絡(luò)攻擊發(fā)展趨勢

隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展以及網(wǎng)絡(luò)設(shè)備的更新?lián)Q代，網(wǎng)絡(luò)攻擊技術(shù)越來越多樣化，攻擊手段也越來越高明和隱蔽，攻擊造成的破壞性也越來越大，目前來看網(wǎng)絡(luò)攻擊技術(shù)呈現(xiàn)出如下的發(fā)展趨勢：

(1)網(wǎng)絡(luò)攻擊的智能化及自動化程度在不斷提高。計算機網(wǎng)絡(luò)技術(shù)的發(fā)展也使得網(wǎng)絡(luò)攻擊技術(shù)越來越智能化，網(wǎng)絡(luò)攻擊工具的自動化程度也在不斷提高。攻擊工具的開發(fā)者采用了目前比較先進的技術(shù)，使得攻擊工具攻擊時的行為特征更加難以被偵測，一些高級的攻擊工具甚至具有了反偵測的特征。攻擊工具自動化程度的不斷增強，使得網(wǎng)絡(luò)攻擊不同階段的效果及影響都發(fā)生了變化[26]；

(2)安全漏洞被利用的速度越來越迅速。信息技術(shù)的發(fā)展使得更多的人投入到網(wǎng)絡(luò)安全研究的工作中，越來越多的漏洞被發(fā)現(xiàn)，每年提交到各種漏洞平臺的安全漏洞在不斷增加。由于攻擊技術(shù)的自動化智能化程度的不斷提高，黑客往往能夠在管理員修補這些漏洞之前對這些漏洞加以利用，而且即使軟件廠商修補了漏洞，個人用戶也往往不能及時打補丁，這為黑客爭取了更多的可利用時機；

(3)攻擊門檻越來越低。以前網(wǎng)絡(luò)攻擊者都有深厚的計算機技術(shù)功底，需要掌握匯編語言、網(wǎng)絡(luò)協(xié)議原理、甚至微機原理與接口技術(shù)，實施攻擊時使用的工具都是自己編制的，針對性目的性很強。但是隨著技術(shù)的不斷發(fā)展，攻擊工具的智能化自動化程度不斷提高，容易使人用自動化的攻擊工具實施遠程掃描甚至攻擊。

4 結(jié)束語

網(wǎng)絡(luò)安全的問題依然嚴峻，受利益的驅(qū)使網(wǎng)絡(luò)攻擊技術(shù)在不斷的發(fā)展，但這也會促使安全防御技術(shù)快速的發(fā)展，安全軟件廠商會不斷的推出滿足用戶需求與時俱進的產(chǎn)品。因此，對網(wǎng)絡(luò)攻擊技術(shù)的研究也會促使安全防護技術(shù)快速的發(fā)展。

[1] 楊文濤.網(wǎng)絡(luò)攻擊技術(shù)研究[D].成都：四川大學，2004.

[2] 張義榮,趙志濤,鮮明,等.計算機網(wǎng)絡(luò)掃描技術(shù)研究[J].計算機工程,2004，40(2):173-176.

[3] 王啟.計算機網(wǎng)絡(luò)安全技術(shù)分析及防范策略研究[J].科技廣場,2011(7)：111-114.

[4] 王威，劉百華，孟凡清.計算機網(wǎng)絡(luò)安全與防范方式[J].電子科技，2012,25(4)：122-123,126.

[5] 張友純.計算機網(wǎng)絡(luò)安全[M]．武漢：華中科技大學出版社,2012.

[6] 胡建偉,湯建龍,楊紹全. 網(wǎng)絡(luò)對抗原理[J].西安：西安電子科技大學出版社,2011.

[7] 王清. 0day安全：軟件漏洞分析技術(shù)[M]. 2版. 電子工業(yè)出版社，2011.

[8] 羅艷梅. 淺談黑客攻擊與防范技術(shù)[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2009(2):31-33.

[9] 劉欣然. 網(wǎng)絡(luò)攻擊分類技術(shù)綜述[J]通信學報，2004(7):30-36．

[10] Richard Stevens W.TCP/IP 詳解(卷 1:協(xié)議)[M].北京:機械工業(yè)出版社,2000.

[11] 許太安.木馬攻擊原理及防御技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(3)：97-98.

[12] 劉帥.SQL注入攻擊及其防范檢測技術(shù)的研究[J].電腦知識與技術(shù)，2009，5(28):7870-7872,7898.

[13] 卿斯?jié)h.安全協(xié)議[M].北京:清華大學出版社,2005.

[14] 劉翠.滲透測試技術(shù)的應(yīng)用分析[J].產(chǎn)業(yè)與科技論壇,2014(11):65-66.

[15] 諸葛建偉,陳力被,孫松柏,等.Metasploit滲透測試魔鬼訓(xùn)練營[M].北京：機械工業(yè)出版社，2013.

[16] 劉修峰,范志剛.網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006(12):46-48.

[17] 呂金剛,王永杰,鮮明.計算機網(wǎng)絡(luò)信息安全技術(shù)與分析[J].中國新通信,2006(15):21-25.

[18] 楊光.無線網(wǎng)絡(luò)安全性的研究和探討[J].機械管理開發(fā),2011(3):208-209.

[19] 李雄偉,于明,周希元.信息網(wǎng)絡(luò)對抗技術(shù)概論[J].無線電工程,2004,34(10):14-18.

[20] 彭沙沙,張紅梅,卞東亮.計算機網(wǎng)絡(luò)安全分析研究[J].現(xiàn)代電子技術(shù),2012,35(4):109-112,116.

[21] 羅艷梅.淺談黑客攻擊與防范技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2009(2):31-33.

[22] Michael E Whitman,Herbert J Mattord.信息安全原理[M].2版.徐焱,譯.北京:清華大學出版社,2006.

[23] 戚文靜,劉學.網(wǎng)絡(luò)安全原理與應(yīng)用[M].北京:中國水利水電出版社,2005.

[24] 高曉俊，劉何東.網(wǎng)絡(luò)滲透測試技術(shù)研究[J].計算機安全，2007，24(4)：285-288.

[25] 孔亮，李東，張濤.網(wǎng)絡(luò)攻擊圖的自動生成[J].計算機應(yīng)用與研究，2006(3)：119-122.

[26] 陳波.SYN Flood攻擊源代碼分析[J].計算機工程與應(yīng)用，2003(7)：36-40.

勘 誤

我刊2016年第29卷8期第135頁圖3和圖4排版錯誤，正確的應(yīng)為

Research on Network Attacks and Their Classification

LIU Longlong，ZHANG Jianhui，YANG Meng

(Third Research Department, National Digital Switching System Engineering Technology Research Center, Zhengzhou 450000, China)

This paper introduces the computer network attacks, the general process of information collection, scan the target, attacking, maintain access, erase traces, and the main network attacks including password invasion, Trojan attacks, web application attacks, denial of service attacks, vulnerabilities, and classification of common attack method. Finally the development trend of the technology of network attack is summarized.

network security; network attack technology; development trend; category classification

圖3 優(yōu)化后采集的回路數(shù)據(jù)

圖4 擴展時域圖

2016- 03- 28

國家自然科學基金創(chuàng)新群體資助項目(61521003)

劉龍龍(1989-)，男，碩士研究生。研究方向：網(wǎng)絡(luò)安全。張建輝(1977-)，男，博士，副教授。研究方向：網(wǎng)絡(luò)安全。

10.16180/j.cnki.issn1007-7820.2017.02.044

TP393.08

A

1007-7820(2017)02-169-04