唐斌1 張鈺釧2 張鄭武文3 西華師范大學(xué)計(jì)算機(jī)學(xué)院1 西華師范大學(xué)數(shù)學(xué)與信息學(xué)院2 西華師范大學(xué)新聞傳播學(xué)院3
上世紀(jì)末,網(wǎng)絡(luò)技術(shù)由軍用逐漸過渡至民用,在多家公司的共同參與下迅速發(fā)展,并滲透到社會(huì)的各個(gè)領(lǐng)域。網(wǎng)絡(luò)技術(shù)的迅速發(fā)展得益于網(wǎng)絡(luò)的開放性、自由性、易理解性等特性,它允許每一位網(wǎng)民自由接入,并在短時(shí)間內(nèi)開始使用互聯(lián)網(wǎng),網(wǎng)絡(luò)世界的匿名性、跨時(shí)空性也吸引著越來越多的公眾參與。但以上優(yōu)勢(shì)也留下一系列潛在的安全問題,網(wǎng)絡(luò)愛好者能夠快速掌握網(wǎng)絡(luò)傳輸協(xié)議并對(duì)其中的弱點(diǎn)進(jìn)行攻擊和利用,同時(shí)實(shí)現(xiàn)對(duì)自己身份信息的隱藏。當(dāng)今世界,各個(gè)國家和相關(guān)組織正在大力開展網(wǎng)絡(luò)安全建設(shè),我國也正為實(shí)現(xiàn)網(wǎng)絡(luò)強(qiáng)國的偉大理想而添磚加瓦。
使用瀏覽器的賬號(hào)密碼記錄與保存cookie功能使得訪問常用網(wǎng)站變得更加方便,但也增加了受到網(wǎng)絡(luò)攻擊而造成賬號(hào)信息泄露的風(fēng)險(xiǎn)。網(wǎng)絡(luò)實(shí)名制的推行實(shí)施使得每位網(wǎng)民的真實(shí)信息被網(wǎng)絡(luò)服務(wù)公司保留,在一定程度上規(guī)范了網(wǎng)民的道德規(guī)范,但大量的個(gè)人隱私生活分享,會(huì)給他人留下可用信息。社會(huì)工程學(xué)通過社會(huì)、自然、制度等途徑,利用人的心理弱點(diǎn)(本能、好奇、信任、貪婪等)及制度上的漏洞,在攻擊者和被攻擊者之間建立信任關(guān)系,獲取有價(jià)值的信息,最終通過未經(jīng)授權(quán)的路徑訪問某些重要數(shù)據(jù)[1]。此外,在不同網(wǎng)站中使用相同的賬號(hào)密碼會(huì)存在撞庫的風(fēng)險(xiǎn),在公共環(huán)境中使用網(wǎng)絡(luò)也存在網(wǎng)絡(luò)監(jiān)聽的風(fēng)險(xiǎn),以上都能導(dǎo)致系統(tǒng)被入侵與數(shù)據(jù)被竊取。
在實(shí)現(xiàn)網(wǎng)絡(luò)參數(shù)標(biāo)準(zhǔn)化方面,國際標(biāo)準(zhǔn)化組織在網(wǎng)絡(luò)技術(shù)發(fā)展初期提出了OSI七層模型,但真正投入使用的是當(dāng)時(shí)由公司聯(lián)合提出的TCP/IP協(xié)議。我們以O(shè)SI七層模型入手,分析每層協(xié)議存在的安全隱患。
2.2.1 應(yīng)用層
應(yīng)用層負(fù)責(zé)直接與用戶和應(yīng)用程序建立聯(lián)系,提供遠(yuǎn)程登陸、郵件傳遞、文件傳輸?shù)确?wù)。DNS負(fù)責(zé)將域名解析為IP地址,并且優(yōu)先查詢本地?cái)?shù)據(jù),如果對(duì)hosts文件進(jìn)行篡改,就可以達(dá)到DNS欺騙的效果。FTP和TELNET服務(wù)允許用戶遠(yuǎn)程訪問主機(jī),在沒有登陸限制的情況下,攻擊者可以通過枚舉的形式對(duì)賬戶進(jìn)行暴力破解。HTTP提供的WEB服務(wù)允許任何人訪問,一旦攻擊者通過SQL注入、文件上傳等方式拿到服務(wù)器權(quán)限,將造成不可估量的損失。
2.2.2 表示層
表示層負(fù)責(zé)數(shù)據(jù)編碼,實(shí)現(xiàn)不同系統(tǒng)之間的數(shù)據(jù)兼容,同時(shí)提供加密解密服務(wù)。在數(shù)據(jù)包被截取后,攻擊者可以對(duì)數(shù)據(jù)包進(jìn)行解密與解碼,從而造成信息泄露。
2.2.3 會(huì)話層
會(huì)話層負(fù)責(zé)數(shù)據(jù)同步,通過數(shù)據(jù)偏移量等參數(shù),保證一個(gè)被正確接受之后再傳輸下一個(gè)數(shù)據(jù)包。利用會(huì)話層的特性,攻擊者可以偽造數(shù)據(jù)包序列號(hào)來接管真實(shí)客戶端進(jìn)行通信,從而達(dá)到會(huì)話劫持的效果。
2.2.4 傳輸層
傳輸層負(fù)責(zé)數(shù)據(jù)的完整傳輸,在數(shù)據(jù)包接收失敗后進(jìn)行數(shù)據(jù)重傳。在網(wǎng)絡(luò)攻擊中,經(jīng)常利用TCP三次握手原理存在的漏洞進(jìn)行信息收集。此外,如果同時(shí)與服務(wù)器建立大量空連接,服務(wù)器會(huì)因資源被耗盡而拒絕正常服務(wù)。
2.2.5 網(wǎng)絡(luò)層
網(wǎng)絡(luò)層負(fù)責(zé)在源主機(jī)和目標(biāo)主機(jī)之間建立路由,目前應(yīng)用最廣泛的是IP協(xié)議。每個(gè)IP報(bào)文中會(huì)保存數(shù)據(jù)的源IP地址與目的IP地址,攻擊者可以通過偽造源IP的方式來實(shí)現(xiàn)IP欺騙。在局域網(wǎng)中,路由器通過IP地址與MAC地址的映射關(guān)系找到真實(shí)主機(jī),攻擊者可以通過偽造ARP請(qǐng)求來修改路由器ARP數(shù)據(jù),實(shí)現(xiàn)ARP欺騙。
2.2.6 數(shù)據(jù)鏈路層
數(shù)據(jù)鏈路層負(fù)責(zé)數(shù)據(jù)的發(fā)送與接收,源節(jié)點(diǎn)通過目的節(jié)點(diǎn)回傳的響應(yīng)報(bào)文來保證數(shù)據(jù)包安全到達(dá)。攻擊者可以通過故意傳輸錯(cuò)誤數(shù)據(jù)的方式,使目的主機(jī)耗費(fèi)大量資源進(jìn)行數(shù)據(jù)校驗(yàn)。
2.2.7 物理層
物理層負(fù)責(zé)將數(shù)據(jù)鏈路層數(shù)據(jù)轉(zhuǎn)化成物理信號(hào),并在物理線路上進(jìn)行傳輸。無線網(wǎng)絡(luò)允許每位信號(hào)范圍內(nèi)的客戶端接入,攻擊者經(jīng)常通過免費(fèi)WIFI和偽基站的方式誘導(dǎo)被攻擊者接入局域網(wǎng),以便進(jìn)行內(nèi)網(wǎng)攻擊。此外,電信號(hào)在傳輸過程會(huì)形成感應(yīng)電流,利用特殊設(shè)備可以根據(jù)電流變化生成二進(jìn)制數(shù)據(jù),達(dá)到數(shù)據(jù)竊取的目的。
“暗網(wǎng)”又稱深層網(wǎng)絡(luò),主要包括建立在封包交換方式基礎(chǔ)上的I2P匿名網(wǎng)絡(luò)、建立在P2P分布式技術(shù)上的Tor等匿名網(wǎng)絡(luò)以及建立在自組織機(jī)制上的Firechat等自組織匿名網(wǎng)絡(luò)[2]?!鞍稻W(wǎng)”能夠?qū)崿F(xiàn)匿名訪問互聯(lián)網(wǎng),使得用戶IP難以被追蹤。這種技術(shù)常被攻擊者用來隱藏身份信息。
科技發(fā)展日新月異,網(wǎng)絡(luò)安全面臨的挑戰(zhàn)與困難越來越多。網(wǎng)絡(luò)安全部門需保持與時(shí)俱進(jìn)的態(tài)度,不斷學(xué)習(xí)新的理論和技術(shù)以面對(duì)新的問題與挑戰(zhàn)。同時(shí),還需從國家層面進(jìn)一步加強(qiáng)安全建設(shè),從源頭上杜絕問題的發(fā)生,提升網(wǎng)絡(luò)安全宣傳力度,增強(qiáng)公民網(wǎng)絡(luò)安全意識(shí)。
在攻擊的實(shí)施過程中,攻擊者通常通過使用多個(gè)海外服務(wù)器為跳板的方式來實(shí)現(xiàn)IP地址欺騙,以達(dá)到隱藏自己身份信息的目的。在網(wǎng)絡(luò)犯罪的取證過程中,需要聯(lián)系服務(wù)器所在國家的通信部門以獲取上一跳服務(wù)器IP地址,最終取得攻擊者的真實(shí)IP地址。為了構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體,我國應(yīng)積極主張、加快推進(jìn),提出國際網(wǎng)絡(luò)犯罪破案合作機(jī)制,形成一套方便快捷、覆蓋全面的國際網(wǎng)絡(luò)犯罪取證查詢系統(tǒng)。
3.3.1 區(qū)塊鏈技術(shù)
區(qū)塊鏈技術(shù)源于比特幣,它能在不可信的環(huán)境中實(shí)現(xiàn)可信通信[3]。區(qū)塊鏈?zhǔn)褂萌ブ行幕瘷C(jī)制,加入?yún)^(qū)塊鏈的所有計(jì)算機(jī)上都儲(chǔ)存著每位用戶的操作記錄,以保證用戶操作不可否認(rèn)。區(qū)塊鏈分為私有鏈、聯(lián)盟鏈、公共鏈。其中,聯(lián)盟鏈?zhǔn)且环N中心化機(jī)制與去中心化機(jī)制結(jié)合的技術(shù)。
3.3.2 全新網(wǎng)絡(luò)協(xié)議構(gòu)想
在原有的中心化管理機(jī)制下,引入?yún)^(qū)塊鏈技術(shù),兩者結(jié)合既能實(shí)現(xiàn)統(tǒng)一管理,又能快速、準(zhǔn)確地對(duì)用戶操作進(jìn)行溯源。這也要求全球合作的快速推進(jìn),讓每個(gè)國家使用一臺(tái)高性能服務(wù)器加入?yún)^(qū)塊鏈,以實(shí)現(xiàn)網(wǎng)絡(luò)操作日志記錄賬本全球共享,有利于各國執(zhí)法部門快速追查跨國網(wǎng)絡(luò)犯罪活動(dòng)。
自從網(wǎng)絡(luò)技術(shù)產(chǎn)生以來,人類對(duì)于網(wǎng)絡(luò)安全的研究與探索就從未停歇。在不斷發(fā)展的技術(shù)面前,網(wǎng)絡(luò)安全面臨的挑戰(zhàn)越來越多,無論是國家、組織還是個(gè)人,只有通過不斷學(xué)習(xí)、積極創(chuàng)新,在面對(duì)網(wǎng)絡(luò)安全問題時(shí)才能胸有成竹。當(dāng)前,關(guān)于網(wǎng)絡(luò)協(xié)議本身缺陷的研究?jī)?nèi)容紛繁復(fù)雜,但都是在已有問題上進(jìn)行控制。如果要從根本上解決網(wǎng)絡(luò)安全問題,還需結(jié)合不斷發(fā)展的新技術(shù),對(duì)協(xié)議內(nèi)容進(jìn)行改進(jìn)或提出新的網(wǎng)絡(luò)傳輸協(xié)議加以應(yīng)對(duì)。
[1]Kevin Mitnick. The Art of Deception : ontrolling the Human Element of Security[M]. New York : Wiley, 005
[2]伍勁峰.OSI七層參考模型解析[J].軟件導(dǎo)刊,2006(17):46-47.
[3]駱慧勇.區(qū)塊鏈技術(shù)原理與應(yīng)用價(jià)值[J].金融縱,2016(07):33-37+76.