战场网络欺骗的运用

2018-03-04杨连沁

网络安全技术与应用 2018年5期

关键词：敌方IP地址战场

◆杨连沁

战场网络欺骗的运用

◆杨连沁

（66018部队天津 300380）

本文介绍了一种更加高效的战场网络攻击手段，战场网络欺骗。简述了战场网络欺骗、主动式网络欺骗攻击和引诱式网络欺骗防护的概念，并给出了实现战场网络欺骗的方法。

战场网络欺骗；主动式网络欺骗攻击；引诱式网络欺骗防护

0 前言

战争，是武力对抗的最高形式。它不但是力量的角逐，更是智力的较量。使用计谋欺骗敌人，使敌人进入自己的圈套，从而克敌制胜的事例，自古以来不胜枚举，没有军事欺骗，就不可能展现出令人拍案叫绝的战争艺术，就不可能取得辉煌战果。现在随着计算机技术和网络技术的发展及其在战争领域的应用，一种奇特的欺骗攻击手段应运而生，这就是战场网络欺骗。

1 现行战场网络攻击的种类和缺点

1.1现行战场网络攻击的种类

（1）利用计算机病毒攻击

计算机病毒是指能实现自我复制的程序或可执行代码，这些程序或代码能破坏计算机功能和毁坏计算机数据，影响计算机正常使用。我们利用计算机病毒攻击，先要获得敌方目标系统的管理员权限。

（2）利用网络蠕虫攻击

网络蠕虫是指能在计算机独立运行，并能把自身所包含全部功能模块复制到网络中其他计算机中的程序，它最直接的危害是造成网络拥塞甚至网络瘫痪。我们利用网络蠕虫攻击要先扫描网络，查找攻击目标，判断目标是否存在安全漏洞，再利用安全漏洞进行漏洞溢出和自我复制。

（3）利用特洛伊木马攻击

特洛伊木马是指一种计算机程序，表面上有某种正常的功能，却暗含有隐藏的可以控制用户计算机系统和危害用户系统安全的功能，这能造成用户的资料泄露、数据损坏和整个系统的崩溃。木马的实质是一种基于客户/服务器模式的远程控制管理工具。我们利用特洛伊木马攻击，要先获得敌方目标系统的管理员权限，安装客户/服务器模式的远程控制程序。

（4）利用僵尸网络DoS攻击和DDoS攻击

DoS攻击和DDoS攻击是指攻击者过多占用共享资源，导致服务器超载或系统资源耗尽，使其无法为用户提供正常服务，最终导致网络服务瘫痪，甚至引起死机，这种方式通常要借助客户/服务器技术。我们利用僵尸网络DoS攻击和DDoS攻击，必须先用技术手段获取大量傀儡主机，也就是僵尸网络的系统管理员权限，植入僵尸程序并暗中操控。

1.2现行战场网络攻击的缺点

我们分析这些攻击手段，发现都是采取相似的攻击步骤：目标踩点—扫描目标—获取目标关键信息—分析并入侵—获取一般用户权限—提升管理员权限—扩展获取资源范围—安装后门程序—清除入侵痕迹。从中可以看出，在从“分析并入侵”的步骤以后，对目标主机进行网络攻击就要先扫描并获取目标主机的开放服务、操作系统、安全漏洞等关键信息；再利用关键信息进行入侵渗透，获取管理员权限，扩大我方获取目标的资源范围；最后植入计算机病毒、蠕虫和木马程序，并有效清除自己的入侵痕迹。也就是说我们要进行网络攻击要先入侵敌方内部系统，获取管理员权限后，再进行后续步骤攻击。但随着计算机防护技术的发展，如防火墙技术、入侵检测技术、病毒防护技术、数据加密技术的发展，入侵渗透到敌方计算机系统，获取敌方管理员权限变得越来越困难，更不要谈以后的植入病毒和木马等后门程序进行攻击。

如何才能在战场上更加容易、更加有效地进行网络攻击呢？这就需要研究一种更加高效的战场网络攻击手段，这就是战场网络欺骗。

2 战场网络欺骗的方法和运用

战场网络欺骗就是采用计算机技术和网络技术，嗅探和骗取敌方网络地址，冒名顶替敌方网络节点，伺机在敌方网络上窃取信息、传播伪令和破坏系统，造成其信息误导，以达到对敌实施心理战和军事欺骗的目的，并在必要时对敌实施网络攻击。也可通过设置网络陷阱，伪造我方虚假的重要信息资源和信息系统，诱使敌方相信上述信息资源具有较高价值，并具有可攻击、可窃取的安全防范漏洞，然后将敌方引向这些网络陷阱，增加敌方攻击代价，消耗敌方系统资源，使敌深陷其中，作战效能降低。

从中可以看出，利用战场网络欺骗，我方不需要进入敌方主机内部，获取敌方系统管理员权限，完成后续步骤再进行攻击，只是冒充敌方网络节点或设置网络陷阱，就可达到欺骗效果，降低敌方作战效能，这大大降低了我方的攻击难度。

2.1主动式网络欺骗攻击

主动式网络欺骗攻击就是综合运用计算机技术和网络技术，嗅探和骗取敌方网络地址，冒名顶替敌方网络节点，通过敌方身份认证，骗取敌方信任，伺机在敌方网络空间传播和发布图文并茂的假消息、假命令等来迷惑敌方，以达到对敌实施心理战和军事欺骗的目的，并在必要时可对敌实施网络攻击。

主动式网络欺骗攻击运用：

（1）IP欺骗

因为现行IP协议不对IP数据包中IP地址进行认证，因此任何人不经授权就可以伪造IP包的源地址。IP包一旦从网络中发送出去，源IP地址就几乎不用，仅在中间路由器因某种原因丢弃或到达目标端后，才被使用。这使得一个主机可以使用别的主机IP地址发送IP包。因此，我方把自己的主机伪装成被敌方主机信任的友好主机，即把发送的IP地址包中的源IP地址改成被敌方信任的友好主机的IP地址，利用主机间的信任关系和身份认证中存在的脆弱性，就可以冒充敌方信任主机对目标进行欺骗攻击。

（2）IP欺骗DoS攻击

我方利用IP数据包头的RST位来实现。当敌方已经向服务器建立了正常的连接，我方可构造TCP数据包，伪装自己的IP地址为敌方的IP地址，并向服务器发送一个带有RST位的TCP数据包。服务器接收到这样的数据包后，认为从敌方IP地址发送的连接有错误，服务器就会清空缓冲区中建立好的连接。这时，如果敌方再发送数据，服务器就已经没有这样的连接了，敌方就必须重新开始建立连接。我方可利用这一点，构造大量的源地址为敌方用户的IP地址、RST位置1的数据包，发送给目标服务器，使服务器不对敌方用户服务，从而实现对敌方主机的拒绝式服务攻击。

（3）TCP会话欺骗

TCP会话欺骗是一种结合了嗅探及欺骗技术在内的攻击手段，它是建立在IP欺骗的基础上。由于我方劫持主机已经通过了敌方会话一方的认证，我方就不需要花费大量的时间来进行口令破解和身份认证，可以直接进行通信。也就是在敌方的通信过程中，我方作为第三方接管敌方的一个现存动态会话参与到其中，可以在敌双方会话中进行监听，也可以替代敌一方主机接管会话，还可在会话数据流中注入额外的欺骗攻击信息。

（4）E-mail欺骗

现行的SMTP协议有一个很严重的缺陷，就是没有设计身份验证，它不对邮件发送者的身份进行验证。我方可伪造E-mail地址，冒充是敌方熟悉的同事，甚至是上下级，以他们的名义发出E-mail。在敌方收到E-mail后，在发件人字段中显示的是敌方熟悉的名字，而邮件地址又是正确的，所以敌方就会相信这封E-mail是真实的，从而达到欺骗。我方还可以诱使敌方在回信中透露敏感信息，或诱使敌方运行恶意附件。同时还可以设定邮件返回地址，当敌方回信时，答复将会发送到我方所指定的邮箱中，从而隐藏我方的真实身份。

2.2引诱式网络欺骗防护

引诱式网络欺骗防护就是根据敌方想要获取我方重要信息资源，我方通过布置网络陷阱，诱使敌方相信我方信息系统具有可窃取的重要资源，并存在具有可攻击、可窃取的安全防范漏洞，将敌方引向这些网络陷阱，增加敌方攻击代价，消耗敌方系统资源，使敌深陷其中，作战效能降低。同时，我方还可跟踪敌方的进攻轨迹，获知其进攻技术和进攻意图，并在进入我方网络陷阱的敌方机器上植入后门、埋设病毒，使其在不知不觉中上当受骗，必要时对敌实施网络攻击。

引诱式网络欺骗防护运用：

（1）部署“蜜网”系统

蜜罐技术是一种网络主动防御技术，通过构建模拟正常系统，可达到诱骗敌方、增加敌方攻击代价，减少对我方真正服务系统安全威胁的目的，同时还可了解敌方所使用的攻击工具和攻击方法。“蜜网”就是蜜罐技术的发展。

我方在网络中部署“蜜网”系统，模拟真实的网络信息系统，在发现敌方进行信息侦查或攻击时，采取虚假、模拟和冒充相结合，诱骗敌方对这些虚假信息及信息系统进行入侵，从而增加敌方的工作量和入侵复杂度，使敌方深陷其中。并实时记录敌方入侵动作，在分析敌方入侵机理后，适时采取有针对性的反制行动。而我方真正的情报信息系统则通过隐蔽技术特征、提高防护等级、采用加密线路和小范围联网等方式加以隐蔽。

（2）扩建诱骗空间

利用计算机系统的多宿主能力和虚拟机技术，在只有一块以太网卡的计算机上分配出上千个IP地址，这样利用十几台计算机组成的网络系统，能覆盖整个B类地址空间的欺骗。

我方在这十几台计算机组成的网络系统上布置“蜜网”系统，它具有两个直接的效果，一是将诱骗服务分布到更广范围的IP地址和端口上，增大了诱骗服务在整个网络中的百分比，使得诱骗服务更容易被敌方扫描器发现，二是增加敌方的攻击代价，因为他们需要判断其中哪些服务是真的，哪些服务是伪造的。而当几十台计算机上都放置了诱骗服务时，敌方就需要花费大量的时间和精力来进行鉴别，这会大大增加敌方入侵复杂度和不确定性，使敌作战效能严重降低。

（3）提升诱骗效果

我方结合运用多种技术，不断提升网络诱骗效果。比如网络流量仿真、网络动态配置和多重地址转换都是有效增强网络诱骗效果的方法。网络流量仿真是指采用实时方式和重现方式复制真正的网络流量到诱骗系统，使诱骗系统产生与真实网络系统相仿的网络流量，使得通过流量分析不能分辨出诱骗系统与真实系统。网络动态配置就是动态地配置诱骗网络来模拟正常的网络服务行为，使得诱骗网络也像真实网络那样随时间而动态变化。网络地址多重转换就是重定向代理服务，由代理服务进行地址转换，将诱骗服务绑定在与提供真实服务主机相同的类型和配置的计算机上，从而提高诱骗的真实性。