于盟 張格 江浩

摘 要：從信息搜集、滲透攻擊、痕跡消除等步驟介紹了網(wǎng)絡(luò)攻擊的一般過程，從網(wǎng)絡(luò)攻擊技術(shù)、網(wǎng)絡(luò)攻擊對象的變化，介紹了網(wǎng)絡(luò)攻擊的發(fā)展變化和趨勢，針對網(wǎng)絡(luò)攻擊過程給出了針對性防范措施，為日常網(wǎng)絡(luò)安全防護(hù)工作提供參考。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊；網(wǎng)絡(luò)安全；工控系統(tǒng)；車聯(lián)網(wǎng)

中圖分類號：TP309 文獻(xiàn)標(biāo)識(shí)碼：A

Development of network attack technology and preventive measures

Abstract： This article introduces the general process of network attack.through information collection， infiltration attack， trace elimination， and the trend of network attack through the development and trend of network attack technology ，the changes of the network attack objects. The countermeasures against the network attack are given. This article provide reference for daily network security protection work.

Key words： network attack； cyber security； industrial control system； car networking

1 引言

當(dāng)下進(jìn)入了萬物互聯(lián)時(shí)代，物聯(lián)網(wǎng)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用不斷發(fā)展，相應(yīng)的網(wǎng)絡(luò)攻擊技術(shù)也不斷演進(jìn)，網(wǎng)絡(luò)安全防護(hù)迎來了新的挑戰(zhàn)。2014年，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立。2017年，《網(wǎng)絡(luò)安全法》頒布實(shí)施。網(wǎng)絡(luò)安全已經(jīng)上升到國家安全高度，得到了黨和國家的高度重視。如何做好安全防護(hù)，應(yīng)對網(wǎng)絡(luò)攻擊是每一名網(wǎng)絡(luò)安全工作者應(yīng)不斷思索解決的問題。知己知彼，百戰(zhàn)不殆，做好網(wǎng)絡(luò)安全防護(hù)，首先要了解攻擊者攻擊手段，了解新型攻擊方式，并借助這些手段動(dòng)態(tài)評估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，有針對性地主動(dòng)地進(jìn)行安全防范。

2 網(wǎng)絡(luò)攻擊基本過程

網(wǎng)絡(luò)攻擊技術(shù)是指攻擊者利用網(wǎng)絡(luò)和系統(tǒng)存在的漏洞和安全缺陷，對其硬件、軟件及數(shù)據(jù)進(jìn)行攻擊的技術(shù)。利用這些技術(shù)可以控制網(wǎng)絡(luò)和系統(tǒng)，竊取敏感信息、破壞各種數(shù)據(jù)、監(jiān)控用戶行為、影響或者終止系統(tǒng)運(yùn)行。

實(shí)施網(wǎng)絡(luò)攻擊大體上分三個(gè)步驟。

2.1 收集信息，確定目標(biāo)

網(wǎng)絡(luò)攻擊是在網(wǎng)絡(luò)空間實(shí)施的主動(dòng)進(jìn)攻行動(dòng)，第一步是要收集網(wǎng)絡(luò)攻擊的相關(guān)信息，選擇可以實(shí)施攻擊的目標(biāo)。其中主要包括網(wǎng)絡(luò)踩點(diǎn)、網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)查點(diǎn)三個(gè)環(huán)節(jié)。

2.1.1 網(wǎng)絡(luò)踩點(diǎn)

網(wǎng)絡(luò)踩點(diǎn)是指通過技術(shù)手段收集攻擊目標(biāo)的網(wǎng)絡(luò)環(huán)境和安全防護(hù)狀況，為開展攻擊行動(dòng)提供情報(bào)支持的過程。常用的技術(shù)手段有網(wǎng)絡(luò)搜索與信息挖掘、DNS與IP查詢、網(wǎng)絡(luò)拓?fù)涮綔y等。通常通過公開渠道就能夠獲取網(wǎng)站域名、IP地址、注冊單位、聯(lián)系人及其電話、電子信箱等信息。

2.1.2 網(wǎng)絡(luò)掃描

網(wǎng)絡(luò)掃描是指利用技術(shù)手段找出連接互聯(lián)網(wǎng)的主機(jī)、開放的網(wǎng)絡(luò)服務(wù)等信息。常用的技術(shù)手段有主機(jī)掃描、端口掃描、操作系統(tǒng)探測、漏洞掃描等。

2.1.3 網(wǎng)絡(luò)查點(diǎn)

網(wǎng)絡(luò)查點(diǎn)是指在前期收集信息的基礎(chǔ)上，對攻擊目標(biāo)進(jìn)行更具針對性地探查，找出可以進(jìn)入的通道，以及實(shí)施攻擊所需的關(guān)鍵信息。常用的技術(shù)手段有網(wǎng)絡(luò)服務(wù)旗標(biāo)抓取、網(wǎng)絡(luò)服務(wù)查點(diǎn)等。

2.2 實(shí)施滲透，開展破壞

收集足夠情報(bào)信息，精確選擇攻擊目標(biāo)后，第二步是潛入目標(biāo)系統(tǒng)，獲取系統(tǒng)控制權(quán)限，竊取重要數(shù)據(jù)或者對系統(tǒng)運(yùn)行進(jìn)行控制和癱瘓。這個(gè)過程主要包括獲取訪問權(quán)限、提升權(quán)限、竊取或破壞數(shù)據(jù)三個(gè)環(huán)節(jié)。

2.2.1 獲取訪問權(quán)限

通常利用密碼破解、Web應(yīng)用攻擊、社會(huì)工程學(xué)攻擊等手段，獲取目標(biāo)系統(tǒng)訪問權(quán)限。

2.2.2 提升權(quán)限

攻擊者獲取訪問權(quán)限后，會(huì)利用口令猜解、緩沖區(qū)溢出、系統(tǒng)漏洞或?qū)ｉT工具將訪問權(quán)限提升為控制權(quán)限，實(shí)現(xiàn)對目標(biāo)系統(tǒng)的控制。

2.2.3 竊取或破壞數(shù)據(jù)

攻擊者取得控制權(quán)限后，可以對目標(biāo)系統(tǒng)進(jìn)行任意操作，包括竊取、篡改、破壞系統(tǒng)數(shù)據(jù)。

2.3 消除痕跡，潛伏控制

攻擊目的達(dá)到以后，攻擊者為了不暴露自己的行蹤，通常會(huì)掩蓋攻擊痕跡，同時(shí)植入后門，為后續(xù)侵入預(yù)留通道。這個(gè)過程主要包括掩蓋蹤跡、創(chuàng)建后門兩個(gè)環(huán)節(jié)。

2.3.1 掩蓋蹤跡

攻擊者會(huì)采取刪除操作系統(tǒng)、服務(wù)器和安全設(shè)備中的日志信息，以及異常操作的審計(jì)信息等，破壞系統(tǒng)安防措施，使其難以對攻擊行為進(jìn)行識(shí)別、報(bào)警、阻斷，掩蓋其攻擊蹤跡，并切斷溯源鏈條，即使被發(fā)現(xiàn)也無法準(zhǔn)確地追蹤溯源。

2.3.2 創(chuàng)建后門

為了能夠長期利用目標(biāo)系統(tǒng)開展竊密、破壞活動(dòng)，攻擊者通常會(huì)在目標(biāo)系統(tǒng)上創(chuàng)建特權(quán)賬號、安裝遠(yuǎn)程控制工具或植入木馬，以便后續(xù)隨時(shí)開展攻擊。2016年安全檢查發(fā)現(xiàn)，上海教育考試院系統(tǒng)被植入的木馬程序已經(jīng)潛伏了10年，持續(xù)竊取敏感數(shù)據(jù)。

3 網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展歷程

伴隨著網(wǎng)絡(luò)及信息技術(shù)的不斷進(jìn)步，網(wǎng)絡(luò)攻擊技術(shù)也在發(fā)展演變。黨的總書記在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議強(qiáng)調(diào)“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪”。 網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展歷程也是信息化的發(fā)展進(jìn)步史。

3.1 電腦“病毒”

上世紀(jì)80年代，個(gè)人電腦逐漸普及，1988年出現(xiàn)了全球第一個(gè)電腦病毒Morris，為麻省理工學(xué)院的學(xué)生Morris所編寫，幾個(gè)小時(shí)就感染了數(shù)以千計(jì)的Unix服務(wù)器。服務(wù)器感染該病毒后，會(huì)不斷執(zhí)行、復(fù)制這段病毒程序，直到資源耗盡、死機(jī)。一直到現(xiàn)在，針對個(gè)人電腦、服務(wù)器甚至手機(jī)的病毒一直存在，實(shí)現(xiàn)對個(gè)人電腦、服務(wù)器、手機(jī)的控制和破壞。

3.2 Web應(yīng)用滲透

上世紀(jì)90年代，網(wǎng)站、信息系統(tǒng)等Web應(yīng)用快速發(fā)展，Web應(yīng)用系統(tǒng)相比操作系統(tǒng)更加開放、交互性更強(qiáng)，針對Web應(yīng)用的多種類型的攻擊手段開始涌現(xiàn)，如SQL注入、遠(yuǎn)程命令執(zhí)行、任意文件上傳等，通過不斷發(fā)掘系統(tǒng)本身和交互過程中的高危漏洞，攻擊者可遠(yuǎn)程控制系統(tǒng)、竊取數(shù)據(jù)，而且能夠以安全漏洞為突破口，進(jìn)一步滲透至企業(yè)或組織內(nèi)部網(wǎng)絡(luò)。

3.3 無線網(wǎng)絡(luò)滲透

進(jìn)入21世紀(jì)后，無線網(wǎng)絡(luò)技術(shù)開始普及，給人們的生活帶來極大的便利。眾多企業(yè)或組織內(nèi)部架設(shè)了無線網(wǎng)絡(luò)，并與辦公網(wǎng)等核心網(wǎng)絡(luò)相連，這在方便員工辦公的同時(shí)，也給攻擊者以可乘之機(jī)。攻擊者潛伏在無線網(wǎng)絡(luò)覆蓋區(qū)域，利用口令破解、弱口令漏洞等獲得目標(biāo)無線網(wǎng)絡(luò)的訪問權(quán)限，即可滲透至內(nèi)部網(wǎng)絡(luò)。

3.4 社會(huì)工程學(xué)攻擊

隨著網(wǎng)絡(luò)安全防護(hù)手段的逐步完善，直接利用技術(shù)漏洞進(jìn)行網(wǎng)絡(luò)攻擊的方式越來越難達(dá)到目的。攻擊者將矛頭對準(zhǔn)了網(wǎng)絡(luò)安全防線中最重要但同時(shí)也是最薄弱環(huán)節(jié)——人。社會(huì)工程學(xué)網(wǎng)絡(luò)滲透利用人的心理弱點(diǎn)，誘使人們進(jìn)入攻擊者精心設(shè)計(jì)的圈套，從而在堅(jiān)固的網(wǎng)絡(luò)安全防線上打開突破口。

3.5 人工智能攻擊

近年來，人工智能技術(shù)向各應(yīng)用領(lǐng)域蔓延，隨著深度學(xué)習(xí)技術(shù)的逐漸成熟，網(wǎng)絡(luò)滲透技術(shù)也朝著自動(dòng)化、智能化的方向發(fā)展。在2016年8月份舉行的Defcon全球黑客大會(huì)上，引入了人機(jī)對戰(zhàn)的全新競賽模式。從結(jié)果看，雖然機(jī)器仍然無法做到復(fù)雜情況的準(zhǔn)確判斷，想要完全取代人類攻擊者，還有很長的路要走，但這無疑是未來網(wǎng)絡(luò)攻擊技術(shù)發(fā)展的大趨勢。

4 網(wǎng)絡(luò)攻擊對象發(fā)展趨勢

當(dāng)前世界進(jìn)入了萬物互聯(lián)時(shí)代，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅也隨著網(wǎng)絡(luò)普及應(yīng)用延伸擴(kuò)展到各個(gè)領(lǐng)域，工控系統(tǒng)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、云計(jì)算等都成為了網(wǎng)絡(luò)攻擊的對象和目標(biāo)。

4.1 對工控系統(tǒng)的攻擊

隨著工業(yè)信息化的推進(jìn)，網(wǎng)絡(luò)攻擊目標(biāo)已不僅僅是信息系統(tǒng)，攻擊者將攻擊目標(biāo)指向了工業(yè)控制系統(tǒng)。由于工業(yè)控制系統(tǒng)保障著電力、石油、石化、天然氣、城市軌道交通、供水供氣供熱等領(lǐng)域的正常運(yùn)轉(zhuǎn)，一旦遭受攻擊后，能夠?qū)@些設(shè)施運(yùn)行產(chǎn)生重要影響，甚至造成癱瘓。2010年“震網(wǎng)”病毒是一個(gè)工控攻擊的標(biāo)志性事件，是第一個(gè)專門定向攻擊真實(shí)世界中基礎(chǔ)（能源）設(shè)施的“蠕蟲”病毒，造成了伊朗核電站的運(yùn)行故障。2015年12月，網(wǎng)絡(luò)攻擊造成了烏克蘭基輔部分地區(qū)及西部地區(qū)大規(guī)模停電，波及140萬名居民。攻擊者首先誘騙電力公司員工下載惡意軟件，滲透進(jìn)入電力公司內(nèi)部網(wǎng)絡(luò)，訪問變電站控制系統(tǒng)，然后非法操控使之無法工作。

4.2 對物聯(lián)網(wǎng)平臺(tái)攻擊

物聯(lián)網(wǎng)設(shè)備上通常運(yùn)行嵌入式操作系統(tǒng)和應(yīng)用軟件，目前針對物聯(lián)網(wǎng)系統(tǒng)、軟件和應(yīng)用的攻擊已經(jīng)出現(xiàn)。2017年3月維基解密公布的美國中情局絕密文件，披露了一款針對三星電視的惡意軟件，可把電視變成一個(gè)巨大的“竊聽器”，使電視在關(guān)閉狀態(tài)下對房間進(jìn)行錄音后發(fā)送到美國中情局服務(wù)器。

4.3 對移動(dòng)互聯(lián)網(wǎng)攻擊

近年來移動(dòng)智能系統(tǒng)和移動(dòng)互聯(lián)網(wǎng)迅猛發(fā)展，日常生活中的社交、購物、導(dǎo)航、娛樂等生活應(yīng)用都基于智能手機(jī)來實(shí)現(xiàn)，相應(yīng)地針對智能手機(jī)的惡意軟件也層出不窮，出現(xiàn)了大量具有錄音、錄像、定位功能的間諜軟件，能夠竊取個(gè)人隱私信息。

4.4 對車聯(lián)網(wǎng)攻擊

當(dāng)今汽車智能化、聯(lián)網(wǎng)化的程度越來越高，成為“裝了4個(gè)輪子的計(jì)算機(jī)”。早在2013年，黑客大會(huì)就展示了破解汽車控制系統(tǒng)，操縱汽車開門、關(guān)門、加速、倒車、剎車等操作的攻擊案例。美國中情局絕密文件中也披露了車載智能系統(tǒng)攻擊工具，用于執(zhí)行“幾乎不可覺察的暗殺”行動(dòng)。2017年12月2日，深圳市無人駕駛公交車在開放道路上試運(yùn)行，其網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也需引起重視。

4.5 對云計(jì)算平臺(tái)攻擊

網(wǎng)絡(luò)攻擊同樣沒有缺席云計(jì)算和網(wǎng)絡(luò)虛擬化等技術(shù)發(fā)展。近年來，不但出現(xiàn)了針對云計(jì)算、虛擬化架構(gòu)的攻擊程序，云計(jì)算技術(shù)還被用于網(wǎng)絡(luò)攻擊。攻擊者將云服務(wù)器作為主控機(jī)開展網(wǎng)絡(luò)攻擊，降低了被檢測、被追溯的可能。利用云到設(shè)備的消息推送服務(wù)來控制僵尸主機(jī)，使僵尸網(wǎng)絡(luò)更為隱蔽、穩(wěn)定。

5 網(wǎng)絡(luò)攻擊的防范措施

為了有效防范網(wǎng)絡(luò)攻擊，需從攻擊的幾個(gè)階段入手進(jìn)行有針對性防范。

5.1 信息搜集階段防范

信息搜集階段攻擊者主要搜集目標(biāo)網(wǎng)絡(luò)暴露的IP地址等入口信息、端口信息、網(wǎng)絡(luò)資產(chǎn)等相關(guān)情況。為了減少攻擊面，需在保證網(wǎng)絡(luò)服務(wù)正常運(yùn)行條件下關(guān)閉不必要的IP地址和網(wǎng)絡(luò)服務(wù)，僅在官方或權(quán)威機(jī)構(gòu)注冊相關(guān)服務(wù)，本著最小原則提供相關(guān)信息。

5.2 漏洞關(guān)聯(lián)階段防范

漏洞關(guān)聯(lián)階段攻擊者主要尋找并確認(rèn)目標(biāo)網(wǎng)絡(luò)存在的安全漏洞。網(wǎng)絡(luò)運(yùn)營者需對網(wǎng)絡(luò)及服務(wù)進(jìn)行定期漏洞掃描，有能力的可以建設(shè)網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，及時(shí)發(fā)現(xiàn)系統(tǒng)存在的安全漏洞，對公開漏洞進(jìn)行及時(shí)修補(bǔ)，不給攻擊者可乘之機(jī)。

5.3 入侵攻擊階段防范

入侵攻擊階段，攻擊者通常在目標(biāo)網(wǎng)絡(luò)或系統(tǒng)中上傳后門文件、批量查詢數(shù)據(jù)庫、執(zhí)行系統(tǒng)命令等操作來達(dá)到數(shù)據(jù)竊取、獲取服務(wù)器控制權(quán)限等目標(biāo)。因此，需在網(wǎng)絡(luò)關(guān)鍵部位部署安全防護(hù)設(shè)備及時(shí)阻斷非法操作，同時(shí)對非法行為進(jìn)行記錄。

5.4 社會(huì)工程學(xué)網(wǎng)絡(luò)滲透防范

社會(huì)工程學(xué)網(wǎng)絡(luò)滲透攻擊主要利用了人類心理弱點(diǎn)。因此要從人員網(wǎng)絡(luò)安全意識(shí)教育入手，通過對組織內(nèi)部技術(shù)開發(fā)人員、網(wǎng)絡(luò)運(yùn)維人員、普通員工等進(jìn)行有針對性的網(wǎng)絡(luò)安全意識(shí)教育，規(guī)范網(wǎng)絡(luò)使用行為，提高判別可疑網(wǎng)絡(luò)滲透攻擊手段的能力。

6 結(jié)束語

網(wǎng)絡(luò)安全的本質(zhì)在對抗，對抗的本質(zhì)在攻防兩端能力較量。網(wǎng)絡(luò)攻擊與安全防護(hù)作為一對矛盾，在相互博弈中不斷發(fā)展進(jìn)步。隨著網(wǎng)絡(luò)信息技術(shù)發(fā)展應(yīng)用，網(wǎng)絡(luò)攻擊技術(shù)不斷涌現(xiàn)，攻擊手段日益變化，網(wǎng)絡(luò)安全防護(hù)也就需要因勢而動(dòng)、動(dòng)態(tài)提升。強(qiáng)化網(wǎng)絡(luò)安全日常管理，查找漏洞，消除風(fēng)險(xiǎn)，主動(dòng)防范。加強(qiáng)網(wǎng)絡(luò)安全培訓(xùn)，提高人員網(wǎng)絡(luò)安全意識(shí)和基本技能，從我做起，自覺防范，共筑網(wǎng)絡(luò)安全防線。

參考文獻(xiàn)

[1] 諸葛建偉.網(wǎng)絡(luò)攻防技術(shù)與實(shí)現(xiàn)[M].北京：電子工業(yè)出版社，2011.64-217.

[2] 諸葛建偉，陳力被，孫松柏，等.Metasploit滲透測試魔鬼訓(xùn)練營[M].北京：機(jī)械工業(yè)出版社，2013，65-110.

[3] 劉龍龍，張建輝，楊夢.網(wǎng)絡(luò)攻擊及其分類技術(shù)研究[J].電子科技，2017年第2期：169-172.

[4] 宋超臣，王希忠，黃俊強(qiáng)，吳瓊.Web 滲透測試流程研究[J].電子設(shè)計(jì)工程，2014年第17期：165-167.

[5] 劉欣然.網(wǎng)絡(luò)攻擊分類技術(shù)綜述[J].通信學(xué)報(bào)，2004年第4期：30-36.

[6] 蘇劍飛，王景偉.網(wǎng)絡(luò)攻擊技術(shù)與網(wǎng)絡(luò)安全探析[J].通信技術(shù)，2010年第1期：91-93.

[7] 張義榮，趙志濤，鮮明，等.計(jì)算機(jī)網(wǎng)絡(luò)掃描技術(shù)研究[J].計(jì)算機(jī)工程，2004年第2期：173-176.

[8] 楊文濤.網(wǎng)絡(luò)攻擊技術(shù)研究[D].成都：四川大學(xué)，2004.

[9] 趙文哲.網(wǎng)絡(luò)滲透測試綜合實(shí)驗(yàn)平臺(tái)技術(shù)研究與實(shí)現(xiàn)[D].國防科學(xué)技術(shù)大學(xué)，2014.

[10] 朱麗.網(wǎng)絡(luò)滲透行為研究[D].北京交通大學(xué)，2016.

[11] 黃偉光.網(wǎng)頁木馬的防御與檢測技術(shù)研究[D].北京交通大學(xué)，2011.