安全技術(shù)：從網(wǎng)絡(luò)注入到釣魚式攻擊？

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

2007年，網(wǎng)絡(luò)安全界風(fēng)起云涌，從技術(shù)更加精湛的網(wǎng)絡(luò)注入到隱蔽性更強(qiáng)的釣魚式攻擊，從頻頻被利用的系統(tǒng)漏洞到悄然運(yùn)行的木馬工具，網(wǎng)絡(luò)攻擊者的手段也更加高明。

網(wǎng)絡(luò)攻擊的發(fā)展趨勢(shì)

綜合分析2007年網(wǎng)絡(luò)攻擊技術(shù)發(fā)展情況，其攻擊趨勢(shì)可以歸納如下：

發(fā)現(xiàn)安全漏洞越來越快，覆蓋面越來越廣

新發(fā)現(xiàn)的安全漏洞每年都要增加一倍之多，管理人員要不斷用最新的補(bǔ)丁修補(bǔ)這些漏洞，而且每年都會(huì)發(fā)現(xiàn)安全漏洞的許多新類型。入侵者經(jīng)常能夠在廠商修補(bǔ)這些漏洞前發(fā)現(xiàn)攻擊目標(biāo)。

攻擊工具越來越復(fù)雜

攻擊工具開發(fā)者正在利用更先進(jìn)的技術(shù)武裝攻擊工具。與以前相比，攻擊工具的特征更難發(fā)現(xiàn)，更難利用特征進(jìn)行檢測(cè)。攻擊工具具有以下特點(diǎn)：

◆ 反偵破和動(dòng)態(tài)行為

攻擊者采用隱蔽攻擊工具特性的技術(shù)，這使安全專家分析新攻擊工具和了解新攻擊行為所耗費(fèi)的時(shí)間增多；早期的攻擊工具是以單一確定的順序執(zhí)行攻擊步驟，今天的自動(dòng)攻擊工具可以根據(jù)隨機(jī)選擇、預(yù)先定義的決策路徑或通過入侵者直接管理，來變化它們的模式和行為。

◆ 攻擊工具的成熟性

與早期的攻擊工具不同，目前攻擊工具可以通過升級(jí)或更換工具的一部分迅速變化，發(fā)動(dòng)迅速變化的攻擊，且在每一次攻擊中會(huì)出現(xiàn)多種不同形態(tài)的攻擊工具。此外，攻擊工具越來越普遍地被開發(fā)為可在多種操作系統(tǒng)平臺(tái)上執(zhí)行。

攻擊自動(dòng)化程度和攻擊速度提高，殺傷力逐步提高

掃描可能的受害者、損害脆弱的系統(tǒng)。目前，掃描工具利用更先進(jìn)的掃描模式來改善掃描效果和提高掃描速度。以前，安全漏洞只在廣泛的掃描完成后才被加以利用。而現(xiàn)在攻擊工具利用這些安全漏洞作為掃描活動(dòng)的一部分，從而加快了攻擊的傳播速度。

傳播攻擊。在2000年之前，攻擊工具需要人來發(fā)動(dòng)新一輪攻擊。目前，攻擊工具可以自己發(fā)動(dòng)新一輪攻擊。像紅色代碼和尼姆達(dá)這類工具能夠自我傳播，在不到18個(gè)小時(shí)內(nèi)就達(dá)到全球飽和點(diǎn)。

越來越不對(duì)稱的威脅

Internet上的安全是相互依賴的。每個(gè)Internet系統(tǒng)遭受攻擊的可能性取決于連接到全球Internet上其他系統(tǒng)的安全狀態(tài)。

由于攻擊技術(shù)的進(jìn)步，一個(gè)攻擊者可以比較容易地利用分布式系統(tǒng)，對(duì)一個(gè)受害者連續(xù)發(fā)動(dòng)破壞性的攻擊。隨著部署自動(dòng)化程度和攻擊工具管理技巧的提高，威脅的不對(duì)稱性將繼續(xù)增加。

越來越高的防火墻滲透率

防火墻是人們用來防范入侵者的主要保護(hù)措施。但是越來越多的攻擊技術(shù)可以繞過防火墻，例如，Internet打印協(xié)議和WebDAV（基于Web的分布式創(chuàng)作與翻譯）都可以被攻擊者利用來繞過防火墻。

對(duì)基礎(chǔ)設(shè)施將形成越來越大的威脅

基礎(chǔ)設(shè)施攻擊是大面積影響Internet關(guān)鍵組成部分的攻擊。由于用戶越來越多地依賴Internet完成日常業(yè)務(wù)，基礎(chǔ)設(shè)施攻擊引起人們?cè)絹碓酱蟮膿?dān)心。

基礎(chǔ)設(shè)施面臨分布式拒絕服務(wù)攻擊、蠕蟲病毒、對(duì)Internet域名系統(tǒng)（DNS）的攻擊和對(duì)路由器攻擊或利用路由器的攻擊。攻擊工具的自動(dòng)化程度使得一個(gè)攻擊者可以安裝他們的工具并控制幾萬個(gè)受損害的系統(tǒng)發(fā)動(dòng)攻擊。入侵者經(jīng)常搜索已知包含大量具有高速連接的易受攻擊系統(tǒng)的地址塊，電纜調(diào)制解調(diào)器、DSL和大學(xué)地址塊越來越成為計(jì)劃安裝攻擊工具的入侵者的目標(biāo)。

我們可以從攻擊者的角度出發(fā)，將攻擊的步驟可分為探測(cè)（Probe）、攻擊（Exploit）和隱藏（Conceal）。同時(shí)，攻擊技術(shù)據(jù)此可分為探測(cè)技術(shù)、攻擊技術(shù)和隱藏技術(shù)三大類，并在每類中對(duì)各種不同的攻擊技術(shù)進(jìn)行細(xì)分。

探測(cè)技術(shù)和攻擊測(cè)試平臺(tái)的發(fā)展

探測(cè)是黑客在攻擊開始前必需的情報(bào)收集工作，攻擊者通過這個(gè)過程需要盡可能詳細(xì)的了解攻擊目標(biāo)安全相關(guān)的方方面面信息，以便能夠集中火力進(jìn)行攻擊。

探測(cè)又可以分為三個(gè)基本步驟：踩點(diǎn)、掃描和查點(diǎn)。

如果將服務(wù)器比作一個(gè)大樓，主機(jī)入侵信息收集及分析要做的工作就如在大樓中部署若干個(gè)攝像頭，在大樓發(fā)生盜竊事件之后，對(duì)攝像頭中的影像進(jìn)行分析，進(jìn)而為報(bào)案和“亡羊補(bǔ)牢”做準(zhǔn)備。

第一步：踩點(diǎn)。是指攻擊者結(jié)合各種工具和技巧，以正常合法的途徑對(duì)攻擊目標(biāo)進(jìn)行窺探，對(duì)其安全情況建立完整的剖析圖。

在這個(gè)步驟中，主要收集的信息包括：各種聯(lián)系信息，包括名字、郵件地址和電話號(hào)碼、傳真號(hào)；IP地址范圍；DNS服務(wù)器；郵件服務(wù)器。

對(duì)于一般用戶來說，如果能夠利用互聯(lián)網(wǎng)中提供的大量信息來源，就能逐漸縮小范圍，從而鎖定所需了解的目標(biāo)。

幾種實(shí)用的流行方式有：通過網(wǎng)頁搜尋和鏈接搜索、利用互聯(lián)網(wǎng)域名注冊(cè)機(jī)構(gòu)進(jìn)行Whois查詢、利用Traceroute獲取網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息等。

第二步：掃描。是攻擊者獲取活動(dòng)主機(jī)、開放服務(wù)、操作系統(tǒng)、安全漏洞等關(guān)鍵信息的重要技術(shù)。

掃描技術(shù)包括Ping掃描（確定哪些主機(jī)正在活動(dòng)）、端口掃描（確定有哪些開放服務(wù)）、操作系統(tǒng)辨識(shí)（確定目標(biāo)主機(jī)的操作系統(tǒng)類型）和安全漏洞掃描（獲得目標(biāo)上存在著哪些可利用的安全漏洞）。

Ping掃射可以幫助我們判斷哪些系統(tǒng)是存活的。而通過端口掃描可以同目標(biāo)系統(tǒng)的某個(gè)端口來建立連接，從而確定系統(tǒng)目前提供什么樣的服務(wù)或者哪些端口正處于偵聽狀態(tài)。

著名的掃描工具包括nmap、netcat等，知名的安全漏洞掃描工具包括開源的nessus及一些商業(yè)漏洞掃描產(chǎn)品如ISS的Scanner系列產(chǎn)品。

另外，在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)掃描技術(shù)則是指檢測(cè)目標(biāo)系統(tǒng)是否同互聯(lián)網(wǎng)連接、所提供的網(wǎng)絡(luò)服務(wù)類型等。

通過網(wǎng)絡(luò)掃描獲得的信息有：被掃描系統(tǒng)所運(yùn)行的TCP/UDP服務(wù)；系統(tǒng)體系結(jié)構(gòu)；通過互聯(lián)網(wǎng)可以訪問的IP地址范圍；操作系統(tǒng)類型等。

第三步：查點(diǎn)。是攻擊者常采用的從目標(biāo)系統(tǒng)中抽取有效賬號(hào)或?qū)С鲑Y源名的技術(shù)。

通常這種信息是通過主動(dòng)同目標(biāo)系統(tǒng)建立連接來獲得的，因此這種查詢?cè)诒举|(zhì)上要比踩點(diǎn)和端口掃描更具有入侵效果。查點(diǎn)技術(shù)通常和操作系統(tǒng)有關(guān)，所收集的信息包括用戶名和組名信息、系統(tǒng)類型信息、路由表信息和SNMP信息等。

綜觀本年度比較熱門的攻擊事件，可以看到，在尋找攻擊目標(biāo)的過程中，以下手段明顯加強(qiáng)：

（1）通過視頻文件尋找“肉雞”。在今年，這種方法大有星火燎原之勢(shì)，攻擊者首先要配置木馬，然后制作視頻木馬，如RM木馬、WMV木馬等，然后通過P2P軟件、QQ發(fā)送、論壇等渠道進(jìn)行傳播，用戶很難察覺。

（2）根據(jù)漏洞公告尋找“肉雞”?，F(xiàn)在，關(guān)于漏洞技術(shù)的網(wǎng)站專業(yè)性更強(qiáng)，經(jīng)常會(huì)公布一些知名黑客發(fā)現(xiàn)的漏洞，從遠(yuǎn)程攻擊、本地攻擊到腳本攻擊等，描述十分詳細(xì)。在漏洞補(bǔ)丁沒發(fā)布前，這些攻擊說明可能會(huì)進(jìn)一步加大網(wǎng)絡(luò)安全威脅。

（3）利用社會(huì)心理學(xué)、社會(huì)工程學(xué)獲取目標(biāo)信息。比如，通過對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，取得自身利益的手法，近年來已呈迅速上升甚至濫用的趨勢(shì)。（軟件世界）