何寧

摘要：隨著計算機網(wǎng)絡的迅速發(fā)展和電子商務的應用，計算機信息系統(tǒng)安全演變成信息網(wǎng)絡系統(tǒng)的安全，信息網(wǎng)絡系統(tǒng)攻擊的工具和技術(shù)有了最新的發(fā)展，利用Internet運營業(yè)務就會面臨從未有過的風險?？偨Y(jié)了信息網(wǎng)絡系統(tǒng)攻擊技術(shù)的研究進展，對攻擊類別根據(jù)不同方式進行劃分，介紹了幾種主要的系統(tǒng)攻擊方法，包括網(wǎng)絡蠕蟲攻擊技術(shù)、木馬攻擊技術(shù)以及分布式服務拒絕攻擊技術(shù)，并分析了這些攻擊方法的異同和信息網(wǎng)絡系統(tǒng)攻擊技術(shù)的最新研究動向。

關(guān)鍵詞：信息網(wǎng)絡；系統(tǒng)攻擊；網(wǎng)絡蠕蟲；特洛伊木馬；分布式拒絕服務

中圖分類號：TP316文獻標志碼：A文章編號：1008-1739（2018）02-58-4

A Review of Attack Technologies of Information Network System

HE Ning

（Unit 91404， PLA， Qinhuangdao Hebei 066001， China）

0引言

計算機信息系統(tǒng)安全問題始于20世紀60年代末，隨著計算機網(wǎng)絡的迅速發(fā)展和電子商務的應用，計算機信息系統(tǒng)安全演變成信息網(wǎng)絡系統(tǒng)的安全。信息網(wǎng)絡系統(tǒng)是由計算機硬件、網(wǎng)絡和通信設備、計算機軟件、信息資源、信息用戶和規(guī)章制度組成的以處理信息流為目的的人機一體化系統(tǒng)，能夠進行信息的收集、傳遞、存儲、加工、維護和使用，其飛速發(fā)展迅速提高了人類社會的自動化水平，同時也提高了通過網(wǎng)絡攻擊系統(tǒng)的可能性。

1當前系統(tǒng)攻擊概況

信息網(wǎng)絡系統(tǒng)攻擊是指利用存在于系統(tǒng)的缺陷和漏洞，通過條件控制或者遠程控制，可控地損傷、盜取和癱瘓目標物，對網(wǎng)絡系統(tǒng)的軟硬件和其中的數(shù)據(jù)進行的攻擊。一般分成窺探設施、查點落腳、攻擊系統(tǒng)和掃尾工作4個步驟[1]。

①窺探設施

攻擊者通過前期網(wǎng)絡窺察，確認被攻擊的系統(tǒng)在網(wǎng)絡上的配置和構(gòu)造，發(fā)掘目標系統(tǒng)的外圍安全設備類型并明確入侵點，經(jīng)過外圍安全設備的薄弱環(huán)節(jié)，侵入網(wǎng)絡的正常服務，例如經(jīng)過電子郵件系統(tǒng)侵入網(wǎng)絡。

②查點落腳

入侵者如果獲取了進入網(wǎng)絡的權(quán)利，就會在外部設備中為自己尋覓一個安全且不易察覺的侵入點，一般侵入者都會采用一個能夠獲得root權(quán)限的主機作為侵入點。確定侵入點以后，侵入者就成為了系統(tǒng)中的內(nèi)部成員之一。

③系統(tǒng)攻擊

入侵者在系統(tǒng)內(nèi)部尋找可損壞目標和可盜取數(shù)據(jù)，包括竊取感興趣的數(shù)據(jù)和軟件源代碼、訪問機密文件、損壞硬件和數(shù)據(jù)等。

④掃尾工作

攻擊和損壞成功后，入侵者就會安設后門及消除入侵痕跡，以防被發(fā)現(xiàn)。一般做法是刪除或替換系統(tǒng)的日志文件。

系統(tǒng)攻擊是信息網(wǎng)絡系統(tǒng)攻擊的主要步驟。當前，對不同攻擊類別的分類方法己經(jīng)有很多，常用的幾種分類方法分別從攻擊對信息產(chǎn)生的破壞性、攻擊的層次、攻擊的位置、攻擊的工具和攻擊的方法等角度對系統(tǒng)攻擊進行了分類。

①產(chǎn)生的破壞性：一般可分為主動攻擊和被動攻擊[3]；

②攻擊層次：由淺入深可分為拒絕簡單服務、遠程用戶獲得特權(quán)文件讀權(quán)限、本地用戶獲得非授權(quán)寫權(quán)限、遠程用戶獲得非授權(quán)賬號信息、本地用戶獲得非授權(quán)讀權(quán)限、遠程用戶擁有了系統(tǒng)管理員權(quán)限、遠程用戶獲得特權(quán)文件寫權(quán)限。

③攻擊位置：主要分為本地攻擊、遠程攻擊和偽遠程攻擊等。

④攻擊工具：劃分為木馬程式攻擊和DOS攻擊。

⑤攻擊方法：這是比較常用的一種分類方法，目前大致可分為2大類：一類是通過信息系統(tǒng)安全漏洞繞過信息系統(tǒng)安全保護措施，侵入信息系統(tǒng)，進而達到控制信息系統(tǒng)的目的，稱為控制型攻擊，常見的有網(wǎng)絡蠕蟲攻擊和特洛伊木馬攻擊等方式；另一類攻擊雖然不能控制信息系統(tǒng)，但可大量占用信息系統(tǒng)的資源，如帶寬資源、計算資源和內(nèi)存資源等，使得信息系統(tǒng)服務能力下降甚至完全失去服務能力，稱為網(wǎng)絡資源消耗型攻擊，常見的有網(wǎng)絡蠕蟲攻擊和分布式拒絕服務攻擊技術(shù)等方式。

2主要系統(tǒng)攻擊方法

2.1網(wǎng)絡蠕蟲攻擊技術(shù)

網(wǎng)絡蠕蟲是一種綜合了計算機病毒技術(shù)、密碼學和網(wǎng)絡攻擊的，智能化的、無需干預即可獨立運行的惡意代碼或攻擊程序[2]。網(wǎng)絡蠕蟲掃描并攻擊網(wǎng)絡上存在系統(tǒng)漏洞的主機，不斷自我繁殖，不停地獲得這些計算機上的部分或全部控制權(quán)，通過局域網(wǎng)或互聯(lián)網(wǎng)從一個節(jié)點傳播到另外一個節(jié)點，同時搜集、擴散并暴露系統(tǒng)敏感信息，然后在系統(tǒng)中留下未來的安全隱患，其傳播范圍非常廣，而且具有突發(fā)性和破壞性的特點，容易造成網(wǎng)絡擁塞并消耗系統(tǒng)資源，對網(wǎng)絡和計算機造成嚴重破壞。

2.1.1網(wǎng)絡蠕蟲的分類

網(wǎng)絡蠕蟲根據(jù)傳播策略可以分為以下3類。

（1）基于網(wǎng)絡掃描的蠕蟲

生成一個目的IP地址，定義為被感染的主機，通過網(wǎng)絡探測來決定這個IP地址的主機是否能被感染，若能被感染則會利用網(wǎng)絡將自身副本拷貝到遠程目的主機上，然后就完成了一次感染。

（2）電子郵件蠕蟲

利用電子郵件感染接入網(wǎng)絡上的主機，主要有2種方法：①用戶接收到的日常電子郵件中感染了蠕蟲病毒，點擊下載該電子郵件中的附件，主機就會被感染；②因為電子郵件客戶端本身具有漏洞，致使主機接收到了一些惡意郵件，即使用戶沒有打開該郵件，主機也會直接被蠕蟲所感染。

（3）基于支持多矢量傳播的蠕蟲

主要通過網(wǎng)絡共享、電子郵件、網(wǎng)絡掃描和網(wǎng)頁等傳播方式對網(wǎng)絡主機進行感染。2.1.2網(wǎng)絡蠕蟲傳播過程

蠕蟲程序在掃描到具有漏洞的計算機后，將蠕蟲主體遷移到目標主機，取得該主機的權(quán)限（管理員權(quán)限），獲得一個Shell，蠕蟲程序進入被感染的系統(tǒng)，對目標主機進行現(xiàn)場處理，包括隱藏、信息搜索和清除日志，在主機上安裝后門、跳板、控制端及監(jiān)視器等；同時，蠕蟲程序生成多個副本，再重復上述過程，利用原主機和新主機之間進行的交互進而將蠕蟲程序復制到新主機。

蠕蟲程序的基本功能結(jié)構(gòu)可分解為5個模塊：①搜索模塊：用于尋找下一臺要傳染的機器；②攻擊模塊：在被感染的機器上建立傳輸通道；③傳輸模塊：用于完成蠕蟲副本在不同計算機之間的傳遞；④信息搜集模塊：將被傳染的機器上搜集并建立的信息單獨使用并傳送到集中地點；⑤繁殖模塊：用于建立自身的多個副本，繁殖包括實體副本和進程副本的建立。2.1.3網(wǎng)絡蠕蟲與傳統(tǒng)病毒的區(qū)別

①攻擊機理不同

蠕蟲只能感染運行著存在漏洞的上層軟件的主機（郵件蠕蟲除外），但是傳統(tǒng)病毒卻沒有這種限制。

②攻擊目標不同

傳統(tǒng)病毒攻擊本地文件，蠕蟲攻擊網(wǎng)絡上的主機，另外因為它使用網(wǎng)絡進行自我傳播，進而形成了一個附加的攻擊目標，那就是網(wǎng)絡路由資源。

③載體方式不同

傳統(tǒng)病毒都需要載體，通常需要感染駐留的文件才能夠存在于主機當中；蠕蟲不需要載體，它通常以獨立的自我存在于主機中。

④傳播方式不同

傳播傳統(tǒng)病毒需要人工參與，而蠕蟲能夠自我發(fā)現(xiàn)并主動感染目的主機。

⑤擴散速度不同

在傳播過程中蠕蟲不需要人工參與，所以其速度比傳統(tǒng)病毒的要快得多。

2.2木馬攻擊技術(shù)

特洛伊木馬是指隱藏在正常程序中的一段具有特殊功能的惡意代碼（外來代碼）[3]，其實質(zhì)是一個利用端口進行通信的網(wǎng)絡客戶或者服務程序。網(wǎng)絡客戶或者服務程序的原理是一臺主機提供服務，而另一臺主機接受服務，所以木馬程序一般由2部分組成：客戶端程序和服務端程序。

客戶端程序用來遠程控制計算機，但服務端程序卻藏匿到遠程計算機中，接收然后執(zhí)行客戶端程序發(fā)出的命令，它一般隱藏在目標計算機里，隨計算機自啟動并在某一端口進行竊聽，通過對所接收的數(shù)據(jù)進行識別后，對目標計算機執(zhí)行特定操作。它可以記憶客戶端的按鍵操作、盜取用戶的帳號和密碼、取得被控端信息、盜取被控端資源、遠程控制對方機器、復制和修改并刪除對方文件、格式化硬盤及上傳或下載文件等。2.2.1木馬的分類

木馬程序誕生以來出現(xiàn)了多種類型，常見的有破壞型、遠程訪問型、玩笑型、代理木馬、密碼發(fā)送型、反彈端口型木馬及鍵盤記錄型等。實際大部分木馬不是單一功能的木馬，通常是多種功能的集成[4]。

①玩笑型：不進行破壞，雖然讓人討厭卻是無害，一般容易刪除。

②破壞型：唯一功能就是破壞并刪除文件，還可以自動刪除DLL、INI和EXE等文件。

③密碼發(fā)送型：可以找到隱藏密碼并把密碼發(fā)送到指定郵箱。

④遠程訪問型：這種木馬最廣泛，用起來也非常簡單，只需服務端程序被運行，并得到服務端IP地址，就可實現(xiàn)遠程控制，訪問目標機。

⑤鍵盤記錄木馬：記錄目標主機的鍵盤敲擊，在Log文件里找到密碼并將密碼發(fā)出。

⑥D(zhuǎn)oS攻擊木馬：這種木馬產(chǎn)生的危害不體現(xiàn)在被感染計算機上，而是攻擊者可以利用它來攻擊與之聯(lián)網(wǎng)的其他計算機，然后給網(wǎng)絡造成嚴重傷害和損失。當黑客入侵了一臺機器并在該機器上安裝DoS攻擊木馬后，這臺計算機就成為黑客DoS攻擊的得力助手了。

⑦代理木馬：黑客在入侵的同時會給目標主機種上代理木馬，讓其變成攻擊者發(fā)動攻擊的跳板，從而攻擊者就可在匿名的情況下使用ICQ、Telnet等程序，隱藏自己的痕跡，謹防別人發(fā)現(xiàn)自己的身份。

⑧FTP木馬：通過21端口進行數(shù)據(jù)傳送的木馬，是最簡單最古老的木馬，它唯一功能就是打開主要用于實現(xiàn)FTP服務的21端口，等待用戶連接。最新FTP木馬增加了密碼功能，只有攻擊者本人才知道正確密碼，最終入侵目標主機。

⑨程序殺手木馬：上述木馬到了目標主機上還需通過防木馬軟件的查殺，程序殺手木馬就是用來關(guān)閉目標主機上運行的防木馬軟件的工具。

⑩反彈端口型木馬：防火墻會非常嚴格地過濾接入的鏈接，但是對于輸出的鏈接卻疏于防范。同一般木馬不同，反彈端口型木馬的服務端（被控制端）使用主動端口，客戶端（控制端）使用被動端口。木馬定時監(jiān)測控制端的狀態(tài)，發(fā)現(xiàn)控制端上線就立即彈出端口主動連結(jié)控制端；出于隱蔽目的，控制端的被動端口一般開在80，即使用戶使用掃描軟件檢查自己的端口，發(fā)現(xiàn)類似1026 Controller IP和80ESTABLISHED的情況，稍微大意就以為是自己在瀏覽網(wǎng)頁。

2.2.2基于木馬的攻擊技術(shù)

基于木馬的攻擊技術(shù)，主要有植入、自啟動、隱藏及免殺技術(shù)等。

①植入木馬：是進行基于木馬攻擊技術(shù)的前提條件，目前植入木馬的主要方法有網(wǎng)站掛馬、網(wǎng)絡發(fā)送超級連接、電子郵件傳播、利用系統(tǒng)的漏洞以緩沖區(qū)溢出的方法、將木馬和其他病毒形態(tài)如蠕蟲病毒結(jié)合在一起進行傳播的方法等。

②木馬自啟動：木馬植入后一般需要運用系統(tǒng)中現(xiàn)有文件實現(xiàn)自啟動，比如利用Windows系統(tǒng)和autorun.inf文件自啟動、在開始菜單里面添加自啟動及利用注冊表實現(xiàn)自啟動等。

③木馬隱藏：隱蔽性是木馬最重要的特征，以逃避殺毒軟件和用戶的手工查殺。木馬主要通過文件、進程和通信隱藏等。

④木馬免殺：木馬免殺的主要手段有通過給木馬進行加殼實現(xiàn)免殺、通過修改文件特征代碼實現(xiàn)免殺及通過添加花指令實現(xiàn)免殺。

2.2.3木馬與病毒的區(qū)別

木馬的獨有特征是偽裝成正常應用片區(qū)用戶信任而入侵，潛伏在電腦中盜取用戶資料與信息，它不會自我繁殖，也并不“刻意”地去感染其他文件，而病毒（包含蠕蟲）的共同特征則是自我復制和傳播。

2.3分布式服務拒絕攻擊技術(shù)

根據(jù)目標類型，可將網(wǎng)絡資源消耗型攻擊分成無目標網(wǎng)絡資源消耗攻擊和目標網(wǎng)絡資源消耗型攻擊2類：①無目標網(wǎng)絡資源消耗攻擊是指在攻擊過程中，沒有專門的攻擊目標，對中間路由器的影響比較大，主要是為了耗盡某種網(wǎng)絡資源，如通信鏈路的帶寬容量、路由器的分組轉(zhuǎn)發(fā)能力等，從而使合法用戶無法得到服務，其中蠕蟲是近幾年來無目標網(wǎng)絡資源消耗型攻擊的典型代表；②目標網(wǎng)絡資源消耗型攻擊是指在攻擊過程中以終端服務器為攻擊目標，最基本的攻擊手段就是利用合理的服務請求來搶占系統(tǒng)資源，使終端服務器的CPU、內(nèi)存技術(shù)通信鏈路等資源過載，從而使其他的正常用戶無法獲得足夠的資源，導致系統(tǒng)停止對服務請求的響應[5]，如分布式拒絕服務攻擊。

分布式拒絕服務攻擊技術(shù)（DDoS）是基于DoS的特殊形式的拒絕服務攻擊，是一種大規(guī)模分布和協(xié)作的攻擊方式。DDoS攻擊通過一些被控制的機器向一臺機器發(fā)動攻擊，具備強大的破壞性。伴隨計算機性能的提高以及網(wǎng)絡通信技術(shù)的基本成形，進而攻擊技術(shù)也取得了很大發(fā)展，攻擊者可以利用控制代理端進而對主機發(fā)起并發(fā)任務，產(chǎn)生了分布式拒絕服務攻擊技術(shù)，最終大大提升了攻擊強度。

2.3.1分布式服務拒絕攻擊的分類

當前的分布式拒絕服務攻擊技術(shù)主要分為應用程序的攻擊和網(wǎng)絡協(xié)議的攻擊2個方面：

①應用程序級攻擊：網(wǎng)絡是系統(tǒng)之間的傳輸部分，打斷網(wǎng)絡是中斷通信的有效手段。在實際應用中，應用程序是攻擊目標，同時會遭到拒絕服務問題的攻擊，如基于概念和邏輯缺陷、基于會話、基于內(nèi)部機制及基于運行模式的攻擊等。

②網(wǎng)絡協(xié)議攻擊：這類攻擊瞄準信息傳輸中的信道，把IP堆棧作為攻擊的目標，IP堆棧是類似內(nèi)存或CPU之類的關(guān)鍵資源的切入點，它的基本攻擊類型有SYN洪水、SYN-ACK洪水、UDP洪水及異常攻擊等。

2.3.2拒絕攻擊服務技術(shù)發(fā)展趨勢

隨著網(wǎng)絡節(jié)點的增多，使得DDoS攻擊有了更多的機會，隨著技術(shù)上的逐漸升級，主要表現(xiàn)在以下幾個方面[5]：

①攻擊專業(yè)化：攻擊軟件越來越巧妙，并逐漸向?qū)I(yè)化發(fā)展。例如Stacheldraht、Trinoo、TFN2K和TFN等攻擊軟件是目前網(wǎng)絡上經(jīng)常使用的黑客攻擊程序。

②攻擊創(chuàng)新化：反射式DDoS的原理是基于SYN Flood的精巧變形，它通過TCP三次握手機制的“優(yōu)點”，使用 DDoS代理，利用一個假的源地址，向一臺高帶寬的服務器發(fā)送一個TCP-SYN數(shù)據(jù)包，接收到這個包的服務器將向源地址回送一個SYN-ACK的響應包。攻擊者在發(fā)包前把這個假的源地址創(chuàng)立為要攻擊的主機地址，若攻擊者使用多線程和相同源地址，目標主機就會受到多臺服務器的攻擊，最終目標主機“必死無疑”。

3結(jié)束語

信息網(wǎng)絡系統(tǒng)所面臨的威脅來自很多方面，而且會隨著時間的變化而變化。最近網(wǎng)絡系統(tǒng)攻擊的工具和技術(shù)有了最新的發(fā)展，所以有些機構(gòu)利用Internet運營業(yè)務就會面臨從未有過的風險。例如：威脅越來越不對稱、防火墻滲透率越來越高、攻擊工具越來越復雜、對基礎(chǔ)設施的威脅增大、發(fā)現(xiàn)安全漏洞越來越快、自動化及攻擊速度越來越高等。因此，應該提高安全意識并制定針對性策略，明確安全對象，將防毒、防黑作為日常例行工作，設置強有力的安全保障體系，有的放矢，從而讓攻擊者無計可施。

參考文獻

[1] Sajal K D，Krishna K， Zhang N.Handbook on Securing Cyber-Physical Critical Infrastructure[M]. Amsterdam： Elsevier，2012.

[2]陳廳，汪小芬，張小松.網(wǎng)絡與系統(tǒng)攻擊技術(shù)實驗教學探討[J].實驗科學與技術(shù)，2015，13（1）：88-90.

[3] Falliere N，Murchu L O，Chien E.W32. Stuxnet Dossier[M]. Washington，D.C.：Symantec Corp，2011.

[4]張如云.基于網(wǎng)絡環(huán)境下對日志系統(tǒng)攻擊的機理分析與研究[J].辦公自動化，2015（5）：53-56.

[5]經(jīng)小川，胡昌振，譚惠民.網(wǎng)絡協(xié)同攻擊及其檢測方法研究[J].計算機應用，2004，24（11）：25-27.