信息网络系统攻击技术综述
2018-09-10何宁
何宁
摘要:随着计算机网络的迅速发展和电子商务的应用,计算机信息系统安全演变成信息网络系统的安全,信息网络系统攻击的工具和技术有了最新的发展,利用Internet运营业务就会面临从未有过的风险。总结了信息网络系统攻击技术的研究进展,对攻击类别根据不同方式进行划分,介绍了几种主要的系统攻击方法,包括网络蠕虫攻击技术、木马攻击技术以及分布式服务拒绝攻击技术,并分析了这些攻击方法的异同和信息网络系统攻击技术的最新研究动向。
关键词:信息网络;系统攻击;网络蠕虫;特洛伊木马;分布式拒绝服务
中图分类号:TP316文献标志码:A文章编号:1008-1739(2018)02-58-4
A Review of Attack Technologies of Information Network System
HE Ning
(Unit 91404, PLA, Qinhuangdao Hebei 066001, China)
0引言
计算机信息系统安全问题始于20世纪60年代末,随着计算机网络的迅速发展和电子商务的应用,计算机信息系统安全演变成信息网络系统的安全。信息网络系统是由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统,能够进行信息的收集、传递、存储、加工、维护和使用,其飞速发展迅速提高了人类社会的自动化水平,同时也提高了通过网络攻击系统的可能性。
1当前系统攻击概况
信息网络系统攻击是指利用存在于系统的缺陷和漏洞,通过条件控制或者远程控制,可控地损伤、盗取和瘫痪目标物,对网络系统的软硬件和其中的数据进行的攻击。一般分成窥探设施、查点落脚、攻击系统和扫尾工作4个步骤[1]。
①窥探设施
攻击者通过前期网络窥察,确认被攻击的系统在网络上的配置和构造,发掘目标系统的外围安全设备类型并明确入侵点,经过外围安全设备的薄弱环节,侵入网络的正常服务,例如经过电子邮件系统侵入网络。
②查点落脚
入侵者如果获取了进入网络的权利,就会在外部设备中为自己寻觅一个安全且不易察觉的侵入点,一般侵入者都会采用一个能够获得root权限的主机作为侵入点。确定侵入点以后,侵入者就成为了系统中的内部成员之一。
③系统攻击
入侵者在系统内部寻找可损坏目标和可盗取数据,包括窃取感兴趣的数据和软件源代码、访问机密文件、损坏硬件和数据等。
④扫尾工作
攻击和损坏成功后,入侵者就会安设后门及消除入侵痕迹,以防被发现。一般做法是删除或替换系统的日志文件。
系统攻击是信息网络系统攻击的主要步骤。当前,对不同攻击类别的分类方法己经有很多,常用的几种分类方法分别从攻击对信息产生的破坏性、攻击的层次、攻击的位置、攻击的工具和攻击的方法等角度对系统攻击进行了分类。
①产生的破坏性:一般可分为主动攻击和被动攻击[3];
②攻击层次:由浅入深可分为拒绝简单服务、远程用户获得特权文件读权限、本地用户获得非授权写权限、远程用户获得非授权账号信息、本地用户获得非授权读权限、远程用户拥有了系统管理员权限、远程用户获得特权文件写权限。
③攻击位置:主要分为本地攻击、远程攻击和伪远程攻击等。
④攻击工具:划分为木马程式攻击和DOS攻击。
⑤攻击方法:这是比较常用的一种分类方法,目前大致可分为2大类:一类是通过信息系统安全漏洞绕过信息系统安全保护措施,侵入信息系统,进而达到控制信息系统的目的,称为控制型攻击,常见的有网络蠕虫攻击和特洛伊木马攻击等方式;另一类攻击虽然不能控制信息系统,但可大量占用信息系统的资源,如带宽资源、计算资源和内存资源等,使得信息系统服务能力下降甚至完全失去服务能力,称为网络资源消耗型攻击,常见的有网络蠕虫攻击和分布式拒绝服务攻击技术等方式。
2主要系统攻击方法
2.1網络蠕虫攻击技术
网络蠕虫是一种综合了计算机病毒技术、密码学和网络攻击的,智能化的、无需干预即可独立运行的恶意代码或攻击程序[2]。网络蠕虫扫描并攻击网络上存在系统漏洞的主机,不断自我繁殖,不停地获得这些计算机上的部分或全部控制权,通过局域网或互联网从一个节点传播到另外一个节点,同时搜集、扩散并暴露系统敏感信息,然后在系统中留下未来的安全隐患,其传播范围非常广,而且具有突发性和破坏性的特点,容易造成网络拥塞并消耗系统资源,对网络和计算机造成严重破坏。
2.1.1网络蠕虫的分类
网络蠕虫根据传播策略可以分为以下3类。
(1)基于网络扫描的蠕虫
生成一个目的IP地址,定义为被感染的主机,通过网络探测来决定这个IP地址的主机是否能被感染,若能被感染则会利用网络将自身副本拷贝到远程目的主机上,然后就完成了一次感染。
(2)电子邮件蠕虫
利用电子邮件感染接入网络上的主机,主要有2种方法:①用户接收到的日常电子邮件中感染了蠕虫病毒,点击下载该电子邮件中的附件,主机就会被感染;②因为电子邮件客户端本身具有漏洞,致使主机接收到了一些恶意邮件,即使用户没有打开该邮件,主机也会直接被蠕虫所感染。
(3)基于支持多矢量传播的蠕虫
主要通过网络共享、电子邮件、网络扫描和网页等传播方式对网络主机进行感染。2.1.2网络蠕虫传播过程
蠕虫程序在扫描到具有漏洞的计算机后,将蠕虫主体迁移到目标主机,取得该主机的权限(管理员权限),获得一个Shell,蠕虫程序进入被感染的系统,对目标主机进行现场处理,包括隐藏、信息搜索和清除日志,在主机上安装后门、跳板、控制端及监视器等;同时,蠕虫程序生成多个副本,再重复上述过程,利用原主机和新主机之间进行的交互进而将蠕虫程序复制到新主机。
蠕虫程序的基本功能结构可分解为5个模块:①搜索模块:用于寻找下一台要传染的机器;②攻击模块:在被感染的机器上建立传输通道;③传输模块:用于完成蠕虫副本在不同计算机之间的传递;④信息搜集模块:将被传染的机器上搜集并建立的信息单独使用并传送到集中地点;⑤繁殖模块:用于建立自身的多个副本,繁殖包括实体副本和进程副本的建立。2.1.3网络蠕虫与传统病毒的区别
①攻击机理不同
蠕虫只能感染运行着存在漏洞的上层软件的主机(邮件蠕虫除外),但是传统病毒却没有这种限制。
②攻击目标不同
传统病毒攻击本地文件,蠕虫攻击网络上的主机,另外因为它使用网络进行自我传播,进而形成了一个附加的攻击目标,那就是网络路由资源。
③载体方式不同
传统病毒都需要载体,通常需要感染驻留的文件才能够存在于主机当中;蠕虫不需要载体,它通常以独立的自我存在于主机中。
④传播方式不同
传播传统病毒需要人工参与,而蠕虫能够自我发现并主动感染目的主机。
⑤扩散速度不同
在传播过程中蠕虫不需要人工参与,所以其速度比传统病毒的要快得多。
2.2木马攻击技术
特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码(外来代码)[3],其实质是一个利用端口进行通信的网络客户或者服务程序。网络客户或者服务程序的原理是一台主机提供服务,而另一台主机接受服务,所以木马程序一般由2部分组成:客户端程序和服务端程序。
客户端程序用来远程控制计算机,但服务端程序却藏匿到远程计算机中,接收然后执行客户端程序发出的命令,它一般隐藏在目标计算机里,随计算机自启动并在某一端口进行窃听,通过对所接收的数据进行识别后,对目标计算机执行特定操作。它可以记忆客户端的按键操作、盗取用户的帐号和密码、取得被控端信息、盗取被控端资源、远程控制对方机器、复制和修改并删除对方文件、格式化硬盘及上传或下载文件等。2.2.1木马的分类
木马程序诞生以来出现了多种类型,常见的有破坏型、远程访问型、玩笑型、代理木马、密码发送型、反弹端口型木马及键盘记录型等。实际大部分木马不是单一功能的木马,通常是多种功能的集成[4]。
①玩笑型:不进行破坏,虽然让人讨厌却是无害,一般容易删除。
②破坏型:唯一功能就是破坏并删除文件,还可以自动删除DLL、INI和EXE等文件。
③密码发送型:可以找到隐藏密码并把密码发送到指定邮箱。
④远程访问型:这种木马最广泛,用起来也非常简单,只需服务端程序被运行,并得到服务端IP地址,就可实现远程控制,访问目标机。
⑤键盘记录木马:记录目标主机的键盘敲击,在Log文件里找到密码并将密码发出。
⑥DoS攻击木马:这种木马产生的危害不体现在被感染计算机上,而是攻击者可以利用它来攻击与之联网的其他计算机,然后给网络造成严重伤害和损失。当黑客入侵了一台机器并在该机器上安装DoS攻击木马后,这台计算机就成为黑客DoS攻击的得力助手了。
⑦代理木马:黑客在入侵的同时会给目标主机种上代理木马,让其变成攻击者发动攻击的跳板,从而攻击者就可在匿名的情况下使用ICQ、Telnet等程序,隐藏自己的痕迹,谨防别人发现自己的身份。
⑧FTP木马:通过21端口进行数据传送的木马,是最简单最古老的木马,它唯一功能就是打开主要用于实现FTP服务的21端口,等待用户连接。最新FTP木马增加了密码功能,只有攻击者本人才知道正确密码,最终入侵目标主机。
⑨程序杀手木马:上述木马到了目标主机上还需通过防木马软件的查杀,程序杀手木马就是用来关闭目标主机上运行的防木马软件的工具。
⑩反弹端口型木马:防火墙会非常严格地过滤接入的链接,但是对于输出的链接却疏于防范。同一般木马不同,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。木马定时监测控制端的状态,发现控制端上线就立即弹出端口主动连结控制端;出于隐蔽目的,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口,发现类似1026 Controller IP和80ESTABLISHED的情况,稍微大意就以为是自己在浏览网页。
2.2.2基于木马的攻击技术
基于木马的攻击技术,主要有植入、自启动、隐藏及免杀技术等。
①植入木马:是进行基于木马攻击技术的前提条件,目前植入木马的主要方法有网站挂马、网络发送超级连接、电子邮件传播、利用系统的漏洞以缓冲区溢出的方法、将木马和其他病毒形态如蠕虫病毒结合在一起进行传播的方法等。
②木马自启动:木马植入后一般需要运用系统中现有文件实现自启动,比如利用Windows系统和autorun.inf文件自启动、在开始菜单里面添加自启动及利用注册表实现自启动等。
③木马隐藏:隐蔽性是木马最重要的特征,以逃避杀毒软件和用户的手工查杀。木马主要通过文件、进程和通信隐藏等。
④木马免杀:木马免杀的主要手段有通过给木马进行加壳实现免杀、通过修改文件特征代码实现免杀及通过添加花指令实现免杀。
2.2.3木马与病毒的区别
木马的独有特征是伪装成正常应用片区用户信任而入侵,潛伏在电脑中盗取用户资料与信息,它不会自我繁殖,也并不“刻意”地去感染其他文件,而病毒(包含蠕虫)的共同特征则是自我复制和传播。
2.3分布式服务拒绝攻击技术
根据目标类型,可将网络资源消耗型攻击分成无目标网络资源消耗攻击和目标网络资源消耗型攻击2类:①无目标网络资源消耗攻击是指在攻击过程中,没有专门的攻击目标,对中间路由器的影响比较大,主要是为了耗尽某种网络资源,如通信链路的带宽容量、路由器的分组转发能力等,从而使合法用户无法得到服务,其中蠕虫是近几年来无目标网络资源消耗型攻击的典型代表;②目标网络资源消耗型攻击是指在攻击过程中以终端服务器为攻击目标,最基本的攻击手段就是利用合理的服务请求来抢占系统资源,使终端服务器的CPU、内存技术通信链路等资源过载,从而使其他的正常用户无法获得足够的资源,导致系统停止对服务请求的响应[5],如分布式拒绝服务攻击。
分布式拒绝服务攻击技术(DDoS)是基于DoS的特殊形式的拒绝服务攻击,是一种大规模分布和协作的攻击方式。DDoS攻击通过一些被控制的机器向一台机器发动攻击,具备强大的破坏性。伴随计算机性能的提高以及网络通信技术的基本成形,进而攻击技术也取得了很大发展,攻击者可以利用控制代理端进而对主机发起并发任务,产生了分布式拒绝服务攻击技术,最终大大提升了攻击强度。
2.3.1分布式服务拒绝攻击的分类
当前的分布式拒绝服务攻击技术主要分为应用程序的攻击和网络协议的攻击2个方面:
①应用程序级攻击:网络是系统之间的传输部分,打断网络是中断通信的有效手段。在实际应用中,应用程序是攻击目标,同时会遭到拒绝服务问题的攻击,如基于概念和逻辑缺陷、基于会话、基于内部机制及基于运行模式的攻击等。
②网络协议攻击:这类攻击瞄准信息传输中的信道,把IP堆栈作为攻击的目标,IP堆栈是类似内存或CPU之类的关键资源的切入点,它的基本攻击类型有SYN洪水、SYN-ACK洪水、UDP洪水及异常攻击等。
2.3.2拒绝攻击服务技术发展趋势
随着网络节点的增多,使得DDoS攻击有了更多的机会,随着技术上的逐渐升级,主要表现在以下几个方面[5]:
①攻击专业化:攻击软件越来越巧妙,并逐渐向专业化发展。例如Stacheldraht、Trinoo、TFN2K和TFN等攻击软件是目前网络上经常使用的黑客攻击程序。
②攻击创新化:反射式DDoS的原理是基于SYN Flood的精巧变形,它通过TCP三次握手机制的“优点”,使用 DDoS代理,利用一个假的源地址,向一台高带宽的服务器发送一个TCP-SYN数据包,接收到这个包的服務器将向源地址回送一个SYN-ACK的响应包。攻击者在发包前把这个假的源地址创立为要攻击的主机地址,若攻击者使用多线程和相同源地址,目标主机就会受到多台服务器的攻击,最终目标主机“必死无疑”。
3结束语
信息网络系统所面临的威胁来自很多方面,而且会随着时间的变化而变化。最近网络系统攻击的工具和技术有了最新的发展,所以有些机构利用Internet运营业务就会面临从未有过的风险。例如:威胁越来越不对称、防火墙渗透率越来越高、攻击工具越来越复杂、对基础设施的威胁增大、发现安全漏洞越来越快、自动化及攻击速度越来越高等。因此,应该提高安全意识并制定针对性策略,明确安全对象,将防毒、防黑作为日常例行工作,设置强有力的安全保障体系,有的放矢,从而让攻击者无计可施。
参考文献
[1] Sajal K D,Krishna K, Zhang N.Handbook on Securing Cyber-Physical Critical Infrastructure[M]. Amsterdam: Elsevier,2012.
[2]陈厅,汪小芬,张小松.网络与系统攻击技术实验教学探讨[J].实验科学与技术,2015,13(1):88-90.
[3] Falliere N,Murchu L O,Chien E.W32. Stuxnet Dossier[M]. Washington,D.C.:Symantec Corp,2011.
[4]张如云.基于网络环境下对日志系统攻击的机理分析与研究[J].办公自动化,2015(5):53-56.
[5]经小川,胡昌振,谭惠民.网络协同攻击及其检测方法研究[J].计算机应用,2004,24(11):25-27.
