王春明，焦方宁，康子明，仝麦智

95876部队，甘肃 张掖 734100

网络攻击主要是利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击，从而造成被攻击的电脑或网络可能会出现网络断线、网速缓慢、信息与数据泄漏等情况，特别是重要信息或数据的泄漏，将直接对企业或者个人造成极大的损失。

古语有云：知己知彼，百战不殆，只有掌握网络攻击的基本方法与步骤，才能准确的将其检测出来，才能更好的防范网络攻击。从技术上来说，网络攻击的主要动机是取得所攻击的目标机的超级管理员权限，从而可以操控目标机，安装病毒程序、修改资源配置、隐藏行踪等等。网络攻击的方法非常多，但是主要方法是完成攻击前的信息收集、完成主要的权限提升和完成主要的后门留置等。

1 网络攻击的基本步骤

网络攻击一般情况下是利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击，一般的网络攻击主要包括3个步骤：

1）第一步：搜集信息

攻击者在选定将要攻击的网络资源的时候需要分析被攻击的环境，这就要求攻击者大量的收集与汇总被攻击的目标的相关信息，包括攻击目标的操作系统、类型、网络拓扑结构等等，攻击者搜集信息的手段非常多，但一般采用7个步骤来搜集信息，并且攻击者在这7步中都会利用对应的工具来搜集攻击目标的信息。搜集信息的7个步骤分别是：搜集初始信息、搜集攻击对象所在的网络地址范围、搜集活动的机器、搜索入口点与开放端口、分清主机操作系统、弄清端口对应的运行的服务和画出网络拓扑图。

2）第二步：寻找系统安全弱点

攻击者在第一步已经搜集到了足够的信息，接下来攻击者会根据搜集到的被攻击网络的相关信息，对被攻击对象的网络上的主机进行全方位探测，以便发现被攻击对象的安全漏洞与弱点。攻击者主要会利用两个方法去探测系统弱点：

（1）运用“补丁”程序探测突破口

攻击者会通过前期准备阶段搜集到的信息寻找“补丁”程序的接口，然后编写对应的攻击程序通过这个接口入侵被攻击系统。

（2）运用扫描器寻找系统安全漏洞

目标系统的管理员使用扫描器扫描系统就会扫描出系统当前多存在的安全漏洞，然后修补漏洞加强系统的安全防御体系。但是攻击者就会利用扫描器去扫描系统漏洞，目前较为流行的扫描器是安全管理员网络分析工具SATAN、因特网安全扫描程序IIS、Nessus、NSS 等等。

3）第三步：实施攻击

攻击者通过上述方法探测到系统存在的弱点后，就开始对系统进行攻击。攻击的行为通常情况下分为3种形式：

（1）掩盖行踪，预留后门

攻击者入侵被攻击系统后，会尽量掩盖可能留下的侵入痕迹，并在受损的系统中探测新的安全漏洞或者留下后门，以便再次实施入侵时使用。

（2）安装探测程序

攻击者入侵系统后可能会在系统中安装探测程序软件，即使攻击者退出之后，探测软件仍然可以窥探所在系统的活动，搜集攻击者所需要的信息，并源源不断的将窥探到的秘密信息传送给安装程序的攻击者。

（3）取得特权，扩大攻击范围

攻击者很有可能会进一步的去探测受损系统在网络中的信任等级，然后利用该信任等级所具有的权限，对整个被攻击系统展开全方面攻击。一旦攻击者获得管理员或者根用户权限后，后果将不堪设想。

2 网络攻击的检测技术

2.1 使用数据流特征检测

攻击者在进行信息扫描之前会构造被攻击对象的IP数据包，然后通过某端口发送毫无意义的数据包，这主要是因为各种操作系统对这种无意义的数据包的处理方式不同，攻击者会解析返回的数据包，那么我们可以从下面3种思路去检测系统被非法扫描。

1）统计分析。预先定义某个固定时间段的连接次数，在此时间段内如果发现连接次数超过预定义值，则认为端口被非法扫描；

2）特征匹配。通常情况下攻击者发送的数据包都含有端口扫描特征的相关数据，比如：当攻击者尝试UDP端口扫描时，数据包中会有content:“sUDP”数据等等。可以通过分析扫面特征数据来检测端口是否被非法扫描

2.2 本地权限攻击检测

检查文件完备性、监测行为、对比检查系统快照均是最为流行的检测技术。

1）检查文件完备性。定期检查常用库文件与系统文件的完备性。通常情况下会使用checksum的方式，对比较重要的文件做先验快照，检测这些重要文件的访问，检查这些文件的完备性作，结合行为监测法，防止重要文件遭到欺骗攻击与覆盖攻击；

2）行为监测法。行为监测法主要从两个方面监测: 一是监测所有程序进程的堆栈变化，以便维护程序运行期的堆栈合法性。以防御被攻击对象遭到竞争条件攻击与本地溢出攻击；二是监测内存的活动，跟踪内存容量的非正常变化，检测、监控中断向量。

拦截、仲裁来自ftp服务目录、互联网服务的相关脚本执行目录等敏感目录。审计对这些目录的文件写入操作，防止非法程序的写入与上传。监测执行系统服务程序的命令，控制数据库服务程序的相关接口，防止使用系统服务程序提升权限；

3）对比检查系统快照。先验快照系统中的重要的公共信息，如系统的环境变量、配置参数， 检测对这些系统变量的访问，防止遭到篡改导向攻击。

2.3 常用后门留置检测技术

1）对比检测法。后门留置检测时，最重要的是检测木马的异常行为与可疑踪迹。木马程序入侵目标网络成功之后，攻击者会用尽各种隐藏踪迹的措施去防止用户发现，因此在检测木马程序入侵过程中一定要考虑到木马程序可能利用的隐藏技术并采取有效措施进行规避，只有这样才会发现木马程序入侵时所引起的异常现象从而使隐身的木马“现形”。常用的检测木马程序异常行为与可疑踪迹的措施包括对比检测法、监测系统资源法、防篡改文件法和分析协议法等；

2）监测系统资源法。监测系统资源法是指利用监控目标主机系统资源的方式去监控木马程序入侵引起的异常行为；

3）防篡改文件法。防篡改文件法是指在打开新的文件之前，用户首先就要检验此文件的身份信息以确保新文件没有被别人修改。标识文件的指纹信息就是文件的身份信息，文件的身份信息可以通过md5检验与数字签名的方式生成；

4）分析协议法。分析协议法是对比分析监听的网络会话与某种标准的网络协议，从而去判断监听的网络会话是否被木马程序入侵。

3 结论

网络安全已经成为世界人民关注的焦点问题，非法用户的网络攻击造成了网络的种种不安全。本文详细介绍了网络攻击的步骤，并给出了防止网络攻击的基本检测技术，只有掌握了网络攻击的步骤，才能将网络攻击拒之门外，才能构建安全、健康的网络环境。

[1]张敏波编著.网络安全实战详解[J].北京：电子工业出版社，2008，5.

[2]王景伟，郭英敏.密码技术在信息网络安全中的应用[J].信息网络安全，2009(4)：27-28.

[3]杨义先编著.网络安全理论与技术[J].北京：人民邮电出版社，2003.