安全技術(shù)：從網(wǎng)絡(luò)注入到釣魚式攻擊？

申請免費試用、咨詢電話：400-8352-114

2007年，網(wǎng)絡(luò)安全界風起云涌，從技術(shù)更加精湛的網(wǎng)絡(luò)注入到隱蔽性更強的釣魚式攻擊，從頻頻被利用的系統(tǒng)漏洞到悄然運行的木馬工具，網(wǎng)絡(luò)攻擊者的手段也更加高明。

網(wǎng)絡(luò)攻擊的發(fā)展趨勢

綜合分析2007年網(wǎng)絡(luò)攻擊技術(shù)發(fā)展情況，其攻擊趨勢可以歸納如下：

發(fā)現(xiàn)安全漏洞越來越快，覆蓋面越來越廣

新發(fā)現(xiàn)的安全漏洞每年都要增加一倍之多，管理人員要不斷用最新的補丁修補這些漏洞，而且每年都會發(fā)現(xiàn)安全漏洞的許多新類型。入侵者經(jīng)常能夠在廠商修補這些漏洞前發(fā)現(xiàn)攻擊目標。

攻擊工具越來越復雜

攻擊工具開發(fā)者正在利用更先進的技術(shù)武裝攻擊工具。與以前相比，攻擊工具的特征更難發(fā)現(xiàn)，更難利用特征進行檢測。攻擊工具具有以下特點：

◆ 反偵破和動態(tài)行為

攻擊者采用隱蔽攻擊工具特性的技術(shù)，這使安全專家分析新攻擊工具和了解新攻擊行為所耗費的時間增多；早期的攻擊工具是以單一確定的順序執(zhí)行攻擊步驟，今天的自動攻擊工具可以根據(jù)隨機選擇、預先定義的決策路徑或通過入侵者直接管理，來變化它們的模式和行為。

◆ 攻擊工具的成熟性

與早期的攻擊工具不同，目前攻擊工具可以通過升級或更換工具的一部分迅速變化，發(fā)動迅速變化的攻擊，且在每一次攻擊中會出現(xiàn)多種不同形態(tài)的攻擊工具。此外，攻擊工具越來越普遍地被開發(fā)為可在多種操作系統(tǒng)平臺上執(zhí)行。

攻擊自動化程度和攻擊速度提高，殺傷力逐步提高

掃描可能的受害者、損害脆弱的系統(tǒng)。目前，掃描工具利用更先進的掃描模式來改善掃描效果和提高掃描速度。以前，安全漏洞只在廣泛的掃描完成后才被加以利用。而現(xiàn)在攻擊工具利用這些安全漏洞作為掃描活動的一部分，從而加快了攻擊的傳播速度。

傳播攻擊。在2000年之前，攻擊工具需要人來發(fā)動新一輪攻擊。目前，攻擊工具可以自己發(fā)動新一輪攻擊。像紅色代碼和尼姆達這類工具能夠自我傳播，在不到18個小時內(nèi)就達到全球飽和點。

越來越不對稱的威脅

Internet上的安全是相互依賴的。每個Internet系統(tǒng)遭受攻擊的可能性取決于連接到全球Internet上其他系統(tǒng)的安全狀態(tài)。

由于攻擊技術(shù)的進步，一個攻擊者可以比較容易地利用分布式系統(tǒng)，對一個受害者連續(xù)發(fā)動破壞性的攻擊。隨著部署自動化程度和攻擊工具管理技巧的提高，威脅的不對稱性將繼續(xù)增加。

越來越高的防火墻滲透率

防火墻是人們用來防范入侵者的主要保護措施。但是越來越多的攻擊技術(shù)可以繞過防火墻，例如，Internet打印協(xié)議和WebDAV（基于Web的分布式創(chuàng)作與翻譯）都可以被攻擊者利用來繞過防火墻。

對基礎(chǔ)設(shè)施將形成越來越大的威脅

基礎(chǔ)設(shè)施攻擊是大面積影響Internet關(guān)鍵組成部分的攻擊。由于用戶越來越多地依賴Internet完成日常業(yè)務，基礎(chǔ)設(shè)施攻擊引起人們越來越大的擔心。

基礎(chǔ)設(shè)施面臨分布式拒絕服務攻擊、蠕蟲病毒、對Internet域名系統(tǒng)（DNS）的攻擊和對路由器攻擊或利用路由器的攻擊。攻擊工具的自動化程度使得一個攻擊者可以安裝他們的工具并控制幾萬個受損害的系統(tǒng)發(fā)動攻擊。入侵者經(jīng)常搜索已知包含大量具有高速連接的易受攻擊系統(tǒng)的地址塊，電纜調(diào)制解調(diào)器、DSL和大學地址塊越來越成為計劃安裝攻擊工具的入侵者的目標。

我們可以從攻擊者的角度出發(fā)，將攻擊的步驟可分為探測（Probe）、攻擊（Exploit）和隱藏（Conceal）。同時，攻擊技術(shù)據(jù)此可分為探測技術(shù)、攻擊技術(shù)和隱藏技術(shù)三大類，并在每類中對各種不同的攻擊技術(shù)進行細分。

探測技術(shù)和攻擊測試平臺的發(fā)展

探測是黑客在攻擊開始前必需的情報收集工作，攻擊者通過這個過程需要盡可能詳細的了解攻擊目標安全相關(guān)的方方面面信息，以便能夠集中火力進行攻擊。

探測又可以分為三個基本步驟：踩點、掃描和查點。

如果將服務器比作一個大樓，主機入侵信息收集及分析要做的工作就如在大樓中部署若干個攝像頭，在大樓發(fā)生盜竊事件之后，對攝像頭中的影像進行分析，進而為報案和“亡羊補牢”做準備。

第一步：踩點。是指攻擊者結(jié)合各種工具和技巧，以正常合法的途徑對攻擊目標進行窺探，對其安全情況建立完整的剖析圖。

在這個步驟中，主要收集的信息包括：各種聯(lián)系信息，包括名字、郵件地址和電話號碼、傳真號；IP地址范圍；DNS服務器；郵件服務器。

對于一般用戶來說，如果能夠利用互聯(lián)網(wǎng)中提供的大量信息來源，就能逐漸縮小范圍，從而鎖定所需了解的目標。

幾種實用的流行方式有：通過網(wǎng)頁搜尋和鏈接搜索、利用互聯(lián)網(wǎng)域名注冊機構(gòu)進行Whois查詢、利用Traceroute獲取網(wǎng)絡(luò)拓撲結(jié)構(gòu)信息等。

第二步：掃描。是攻擊者獲取活動主機、開放服務、操作系統(tǒng)、安全漏洞等關(guān)鍵信息的重要技術(shù)。

掃描技術(shù)包括Ping掃描（確定哪些主機正在活動）、端口掃描（確定有哪些開放服務）、操作系統(tǒng)辨識（確定目標主機的操作系統(tǒng)類型）和安全漏洞掃描（獲得目標上存在著哪些可利用的安全漏洞）。

Ping掃射可以幫助我們判斷哪些系統(tǒng)是存活的。而通過端口掃描可以同目標系統(tǒng)的某個端口來建立連接，從而確定系統(tǒng)目前提供什么樣的服務或者哪些端口正處于偵聽狀態(tài)。

著名的掃描工具包括nmap、netcat等，知名的安全漏洞掃描工具包括開源的nessus及一些商業(yè)漏洞掃描產(chǎn)品如ISS的Scanner系列產(chǎn)品。

另外，在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)掃描技術(shù)則是指檢測目標系統(tǒng)是否同互聯(lián)網(wǎng)連接、所提供的網(wǎng)絡(luò)服務類型等。

通過網(wǎng)絡(luò)掃描獲得的信息有：被掃描系統(tǒng)所運行的TCP/UDP服務；系統(tǒng)體系結(jié)構(gòu)；通過互聯(lián)網(wǎng)可以訪問的IP地址范圍；操作系統(tǒng)類型等。

第三步：查點。是攻擊者常采用的從目標系統(tǒng)中抽取有效賬號或?qū)С鲑Y源名的技術(shù)。

通常這種信息是通過主動同目標系統(tǒng)建立連接來獲得的，因此這種查詢在本質(zhì)上要比踩點和端口掃描更具有入侵效果。查點技術(shù)通常和操作系統(tǒng)有關(guān)，所收集的信息包括用戶名和組名信息、系統(tǒng)類型信息、路由表信息和SNMP信息等。

綜觀本年度比較熱門的攻擊事件，可以看到，在尋找攻擊目標的過程中，以下手段明顯加強：

（1）通過視頻文件尋找“肉雞”。在今年，這種方法大有星火燎原之勢，攻擊者首先要配置木馬，然后制作視頻木馬，如RM木馬、WMV木馬等，然后通過P2P軟件、QQ發(fā)送、論壇等渠道進行傳播，用戶很難察覺。

（2）根據(jù)漏洞公告尋找“肉雞”?，F(xiàn)在，關(guān)于漏洞技術(shù)的網(wǎng)站專業(yè)性更強，經(jīng)常會公布一些知名黑客發(fā)現(xiàn)的漏洞，從遠程攻擊、本地攻擊到腳本攻擊等，描述十分詳細。在漏洞補丁沒發(fā)布前，這些攻擊說明可能會進一步加大網(wǎng)絡(luò)安全威脅。

（3）利用社會心理學、社會工程學獲取目標信息。比如，通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益的手法，近年來已呈迅速上升甚至濫用的趨勢。（軟件世界）