网络攻击技术调研报告.doc

网络攻击技术调研报告 网络攻击技术调研报告 一、概述 在这个世界上，人类不断研究和发展新的信息安全机制和工程实践为战胜计算机网络安全威胁付出了艰巨的努力。似乎如果计算机攻击手法不再翻新，关于信息安全的战争将很快结束。然而，这将是一场永不结束的战争，只要计算机技术在发展，就会有新的攻击手法出现。安全攻击的手段多种多样，典型的手段包含拒绝服务攻击、非法接入、I P欺骗、网络嗅探、中间人攻击、木马攻击以及信息垃圾等等。随着攻击技术的发展，主要攻击手段由原来单一的攻击手段，向多种攻击手段结合的综合性攻击发展。例如结合木马、网络嗅探、防拒绝服务等多种攻击手段的结合带来的危害，将远远大于单一手法的攻击，且更难控制。近年，情况愈演愈烈，以“熊猫烧香”、“灰鸽子”事件为代表形成的黑色产业链，也凸显了解决信息安全问题的迫切性和重要性。这些攻击手段的新变种，与前几年出现的相比，更加智能化，攻击目标直指互联网基础协议和操作系统层次。从web程序的控制程序到内核级rootkits，黑客的攻击手法不断升级翻新，向用户的信息安全防范能力不断发起挑战。 (注：rootkits, 是一种攻击脚本、经修改的系统程序，或者成套攻击脚本和工具，用于在一个目标系统中非法获取系统的最高控制权限。) 在长期与信息安全专家的较量中，黑客对开发隐蔽的计算机网络攻击技术更加得心应手。同时，这些工具应用起来也越来越简单。以前很多命令行的攻击工具被人写成GUI(图形界面)的内核级rootkit，将这些高度诡异的攻击武器武装到了那些热中于“玩脚本的菜鸟”手中，这些杀伤力很强的黑客工具，使“脚本菜鸟”们变得象令人敬畏的黑客。 当然，工具本身是不会危及系统安全的-坏事都是人干的。信息安全专业人员也使用和入侵者同样使用的扫描和监听工具，对系统安全做例行公事般地审计。在恶意用户使用前，那些能非法控制web程序的新的渗透测试工具，也被安全人员用来测试系统的漏洞。但是，还有很多的工具有它完全黑暗的一面，比如，蠕虫程序不断发展和传播，它只用来干坏事；反入侵检测工具和很多rootkits专门用来破坏系统的安全性。 本文将探讨一些黑客工具的独创性，以及它们令普通人惊讶的功能。这对帮助用户考虑采用新技术和传统措施来防范这些威胁有很重要的意义:在攻击者攻击来临之前，先检测和修补系统和软件漏洞。 二、Web应用程序：首选目标 日益增长的网络业务应用为脆弱的web应用提供了漏洞滋生的土壤。如银行、政府机构和在线商务企业都使用了web技术提供服务。这些机构往往自己开发整套的web应用程序(ASP、JSP和CGI等)，而这些开发者由于没有获得过专业训练，导致这些自产软件漏洞百出。Web程序的开发者没有意识到，任何传递给浏览器的信息都可能被用户利用和操纵。不管用不用SSL(安全套接层)，恶意用户可以查看、修改或者插入敏感信息（包括价格、会话跟踪信息甚至是脚本执行代码）。攻击者可以通过状态操纵攻击或者SQL代码嵌入等技术危及电子商务网站的安全。 所谓状态操纵攻击(state manipulation), 是指攻击者通过在URL中修改传递给浏览器的敏感信息，隐藏表格元素和cookies，达到非法访问的目的。如果一个安全意识松懈的web开发者，他把数据存储在会话ID中，而没有考虑到价格和余额等关键数据的完整性保护，则攻击者完全可以修改这些数据。再加上如果web程序相信由浏览器传递过来的数据，那么攻击者完全可以窃取用户帐号、修改价格或者修改帐户余额。 所谓SQL代码嵌入(SQL injection)，是指攻击者在普通用户输入中插入数据库查询指令。这些问题相当多情况下是因为输入检验不严格和在错误的代码层中编码引起的，如 对逗号”,”和分号”;”等。在这种情况下，攻击者可以对数据库进行查询、修改和删除等操作，在特定情况下，还可以执行系统指令。一般情况下，web网页上的用户名表单往往是这类攻击的入口。如果攻击者使用Proxy server执行这类操作，管理员将很难查到入侵者的来源。而要防止这类攻击，必须在自研软件开发程序上下手整治，形成良好的编程规范和代码检测机制，仅仅靠勤打补丁和安装防火墙是不够的。 目前有一类新的Web应用程序防护产品，通过分析所有的Web连接，防止常见的应用层攻击和应用层的敏感数据泄露。如Sanctum开发的AppShield，KaVaDo的InterDo，Ubizen的DMZ/Shield，和SPI Dynamics的WebInspect。这些工具采用学习机制，被配臵成为能理解正常的Web应用访问行为，在一个用户会话中，当异常的修改发生或者特殊字符输入出现时，这种攻击将截停非法修改并向管理员报告异常行为。 另一方面，一个由志愿者组