于盟 张格 江浩

摘 要：从信息搜集、渗透攻击、痕迹消除等步骤介绍了网络攻击的一般过程，从网络攻击技术、网络攻击对象的变化，介绍了网络攻击的发展变化和趋势，针对网络攻击过程给出了针对性防范措施，为日常网络安全防护工作提供参考。

关键词：网络攻击；网络安全；工控系统；车联网

中图分类号：TP309 文献标识码：A

Development of network attack technology and preventive measures

Abstract： This article introduces the general process of network attack.through information collection， infiltration attack， trace elimination， and the trend of network attack through the development and trend of network attack technology ，the changes of the network attack objects. The countermeasures against the network attack are given. This article provide reference for daily network security protection work.

Key words： network attack； cyber security； industrial control system； car networking

1 引言

当下进入了万物互联时代，物联网、云计算、移动互联网、工业互联网等计算机网络应用不断发展，相应的网络攻击技术也不断演进，网络安全防护迎来了新的挑战。2014年，中央网络安全和信息化领导小组成立。2017年，《网络安全法》颁布实施。网络安全已经上升到国家安全高度，得到了党和国家的高度重视。如何做好安全防护，应对网络攻击是每一名网络安全工作者应不断思索解决的问题。知己知彼，百戰不殆，做好网络安全防护，首先要了解攻击者攻击手段，了解新型攻击方式，并借助这些手段动态评估网络安全风险，有针对性地主动地进行安全防范。

2 网络攻击基本过程

网络攻击技术是指攻击者利用网络和系统存在的漏洞和安全缺陷，对其硬件、软件及数据进行攻击的技术。利用这些技术可以控制网络和系统，窃取敏感信息、破坏各种数据、监控用户行为、影响或者终止系统运行。

实施网络攻击大体上分三个步骤。

2.1 收集信息，确定目标

网络攻击是在网络空间实施的主动进攻行动，第一步是要收集网络攻击的相关信息，选择可以实施攻击的目标。其中主要包括网络踩点、网络扫描、网络查点三个环节。

2.1.1 网络踩点

网络踩点是指通过技术手段收集攻击目标的网络环境和安全防护状况，为开展攻击行动提供情报支持的过程。常用的技术手段有网络搜索与信息挖掘、DNS与IP查询、网络拓扑探测等。通常通过公开渠道就能够获取网站域名、IP地址、注册单位、联系人及其电话、电子信箱等信息。

2.1.2 网络扫描

网络扫描是指利用技术手段找出连接互联网的主机、开放的网络服务等信息。常用的技术手段有主机扫描、端口扫描、操作系统探测、漏洞扫描等。

2.1.3 网络查点

网络查点是指在前期收集信息的基础上，对攻击目标进行更具针对性地探查，找出可以进入的通道，以及实施攻击所需的关键信息。常用的技术手段有网络服务旗标抓取、网络服务查点等。

2.2 实施渗透，开展破坏

收集足够情报信息，精确选择攻击目标后，第二步是潜入目标系统，获取系统控制权限，窃取重要数据或者对系统运行进行控制和瘫痪。这个过程主要包括获取访问权限、提升权限、窃取或破坏数据三个环节。

2.2.1 获取访问权限

通常利用密码破解、Web应用攻击、社会工程学攻击等手段，获取目标系统访问权限。

2.2.2 提升权限

攻击者获取访问权限后，会利用口令猜解、缓冲区溢出、系统漏洞或专门工具将访问权限提升为控制权限，实现对目标系统的控制。

2.2.3 窃取或破坏数据

攻击者取得控制权限后，可以对目标系统进行任意操作，包括窃取、篡改、破坏系统数据。

2.3 消除痕迹，潜伏控制

攻击目的达到以后，攻击者为了不暴露自己的行踪，通常会掩盖攻击痕迹，同时植入后门，为后续侵入预留通道。这个过程主要包括掩盖踪迹、创建后门两个环节。

2.3.1 掩盖踪迹

攻击者会采取删除操作系统、服务器和安全设备中的日志信息，以及异常操作的审计信息等，破坏系统安防措施，使其难以对攻击行为进行识别、报警、阻断，掩盖其攻击踪迹，并切断溯源链条，即使被发现也无法准确地追踪溯源。

2.3.2 创建后门

为了能够长期利用目标系统开展窃密、破坏活动，攻击者通常会在目标系统上创建特权账号、安装远程控制工具或植入木马，以便后续随时开展攻击。2016年安全检查发现，上海教育考试院系统被植入的木马程序已经潜伏了10年，持续窃取敏感数据。

3 网络攻击技术的发展历程

伴随着网络及信息技术的不断进步，网络攻击技术也在发展演变。党的总书记在中央网络安全和信息化领导小组第一次会议强调“网络安全和信息化是一体之两翼、驱动之双轮”。 网络攻击技术的发展历程也是信息化的发展进步史。

3.1 电脑“病毒”

上世纪80年代，个人电脑逐渐普及，1988年出现了全球第一个电脑病毒Morris，为麻省理工学院的学生Morris所编写，几个小时就感染了数以千计的Unix服务器。服务器感染该病毒后，会不断执行、复制这段病毒程序，直到资源耗尽、死机。一直到现在，针对个人电脑、服务器甚至手机的病毒一直存在，实现对个人电脑、服务器、手机的控制和破坏。

3.2 Web应用渗透

上世纪90年代，网站、信息系统等Web应用快速发展，Web应用系统相比操作系统更加开放、交互性更强，针对Web应用的多种类型的攻击手段开始涌现，如SQL注入、远程命令执行、任意文件上传等，通过不断发掘系统本身和交互过程中的高危漏洞，攻击者可远程控制系统、竊取数据，而且能够以安全漏洞为突破口，进一步渗透至企业或组织内部网络。

3.3 无线网络渗透

进入21世纪后，无线网络技术开始普及，给人们的生活带来极大的便利。众多企业或组织内部架设了无线网络，并与办公网等核心网络相连，这在方便员工办公的同时，也给攻击者以可乘之机。攻击者潜伏在无线网络覆盖区域，利用口令破解、弱口令漏洞等获得目标无线网络的访问权限，即可渗透至内部网络。

3.4 社会工程学攻击

随着网络安全防护手段的逐步完善，直接利用技术漏洞进行网络攻击的方式越来越难达到目的。攻击者将矛头对准了网络安全防线中最重要但同时也是最薄弱环节——人。社会工程学网络渗透利用人的心理弱点，诱使人们进入攻击者精心设计的圈套，从而在坚固的网络安全防线上打开突破口。

3.5 人工智能攻击

近年来，人工智能技术向各应用领域蔓延，随着深度学习技术的逐渐成熟，网络渗透技术也朝着自动化、智能化的方向发展。在2016年8月份举行的Defcon全球黑客大会上，引入了人机对战的全新竞赛模式。从结果看，虽然机器仍然无法做到复杂情况的准确判断，想要完全取代人类攻击者，还有很长的路要走，但这无疑是未来网络攻击技术发展的大趋势。

4 网络攻击对象发展趋势

当前世界进入了万物互联时代，网络安全风险和威胁也随着网络普及应用延伸扩展到各个领域，工控系统、物联网、移动互联网、车联网、云计算等都成为了网络攻击的对象和目标。

4.1 对工控系统的攻击

随着工业信息化的推进，网络攻击目标已不仅仅是信息系统，攻击者将攻击目标指向了工业控制系统。由于工业控制系统保障着电力、石油、石化、天然气、城市轨道交通、供水供气供热等领域的正常运转，一旦遭受攻击后，能够对这些设施运行产生重要影响，甚至造成瘫痪。2010年“震网”病毒是一个工控攻击的标志性事件，是第一个专门定向攻击真实世界中基础（能源）设施的“蠕虫”病毒，造成了伊朗核电站的运行故障。2015年12月，网络攻击造成了乌克兰基辅部分地区及西部地区大规模停电，波及140万名居民。攻击者首先诱骗电力公司员工下载恶意软件，渗透进入电力公司内部网络，访问变电站控制系统，然后非法操控使之无法工作。

4.2 对物联网平台攻击

物联网设备上通常运行嵌入式操作系统和应用软件，目前针对物联网系统、软件和应用的攻击已经出现。2017年3月维基解密公布的美国中情局绝密文件，披露了一款针对三星电视的恶意软件，可把电视变成一个巨大的“窃听器”，使电视在关闭状态下对房间进行录音后发送到美国中情局服务器。

4.3 对移动互联网攻击

近年来移动智能系统和移动互联网迅猛发展，日常生活中的社交、购物、导航、娱乐等生活应用都基于智能手机来实现，相应地针对智能手机的恶意软件也层出不穷，出现了大量具有录音、录像、定位功能的间谍软件，能够窃取个人隐私信息。

4.4 对车联网攻击

当今汽车智能化、联网化的程度越来越高，成为“装了4个轮子的计算机”。早在2013年，黑客大会就展示了破解汽车控制系统，操纵汽车开门、关门、加速、倒车、刹车等操作的攻击案例。美国中情局绝密文件中也披露了车载智能系统攻击工具，用于执行“几乎不可觉察的暗杀”行动。2017年12月2日，深圳市无人驾驶公交车在开放道路上试运行，其网络安全风险也需引起重视。

4.5 对云计算平台攻击

网络攻击同样没有缺席云计算和网络虚拟化等技术发展。近年来，不但出现了针对云计算、虚拟化架构的攻击程序，云计算技术还被用于网络攻击。攻击者将云服务器作为主控机开展网络攻击，降低了被检测、被追溯的可能。利用云到设备的消息推送服务来控制僵尸主机，使僵尸网络更为隐蔽、稳定。

5 网络攻击的防范措施

为了有效防范网络攻击，需从攻击的几个阶段入手进行有针对性防范。

5.1 信息搜集阶段防范

信息搜集阶段攻击者主要搜集目标网络暴露的IP地址等入口信息、端口信息、网络资产等相关情况。为了减少攻击面，需在保证网络服务正常运行条件下关闭不必要的IP地址和网络服务，仅在官方或权威机构注册相关服务，本着最小原则提供相关信息。

5.2 漏洞关联阶段防范

漏洞关联阶段攻击者主要寻找并确认目标网络存在的安全漏洞。网络运营者需对网络及服务进行定期漏洞扫描，有能力的可以建设网络安全监测系统，及时发现系统存在的安全漏洞，对公开漏洞进行及时修补，不给攻击者可乘之机。

5.3 入侵攻击阶段防范

入侵攻击阶段，攻击者通常在目标网络或系统中上传后门文件、批量查询数据库、执行系统命令等操作来达到数据窃取、获取服务器控制权限等目标。因此，需在网络关键部位部署安全防护设备及时阻断非法操作，同时对非法行为进行记录。

5.4 社会工程学网络渗透防范

社会工程学网络渗透攻击主要利用了人类心理弱点。因此要从人员网络安全意识教育入手，通过对组织内部技术开发人员、网络运维人员、普通员工等进行有针对性的网络安全意识教育，规范网络使用行为，提高判别可疑网络渗透攻击手段的能力。

6 结束语

网络安全的本质在对抗，对抗的本质在攻防两端能力较量。网络攻击与安全防护作为一对矛盾，在相互博弈中不断发展进步。随着网络信息技术发展应用，网络攻击技术不断涌现，攻击手段日益变化，网络安全防护也就需要因势而动、动态提升。强化网络安全日常管理，查找漏洞，消除风险，主动防范。加强网络安全培训，提高人员网络安全意识和基本技能，从我做起，自觉防范，共筑网络安全防线。

参考文献

[1] 诸葛建伟.网络攻防技术与实现[M].北京：电子工业出版社，2011.64-217.

[2] 诸葛建伟，陈力被，孙松柏，等.Metasploit渗透测试魔鬼训练营[M].北京：机械工业出版社，2013，65-110.

[3] 刘龙龙，张建辉，杨梦.网络攻击及其分类技术研究[J].电子科技，2017年第2期：169-172.

[4] 宋超臣，王希忠，黄俊强，吴琼.Web 渗透测试流程研究[J].电子设计工程，2014年第17期：165-167.

[5] 刘欣然.网络攻击分类技术综述[J].通信学报，2004年第4期：30-36.

[6] 苏剑飞，王景伟.网络攻击技术与网络安全探析[J].通信技术，2010年第1期：91-93.

[7] 张义荣，赵志涛，鲜明，等.计算机网络扫描技术研究[J].计算机工程，2004年第2期：173-176.

[8] 杨文涛.网络攻击技术研究[D].成都：四川大学，2004.

[9] 赵文哲.网络渗透测试综合实验平台技术研究与实现[D].国防科学技术大学，2014.

[10] 朱丽.网络渗透行为研究[D].北京交通大学，2016.

[11] 黄伟光.网页木马的防御与检测技术研究[D].北京交通大学，2011.