探究网络攻击及其分类技术研究.docVIP

探究网络攻击及其分类技术研究 1网络攻击技术 计算机网络攻击(Computer Network Attack，CNA)是指任何试图窃取、修改、阻塞、降低或破坏存储在计算机系统或计算机网络中的信息，或者计算机系统与计算机网络本身的一切动作的集合。主要通过收集攻击目标的信息，并加以分析和整理以发现目标的漏洞，然后制定有针对性的攻击策略入侵目标系统，达到信息窃取、监控或破坏的目的。 网络攻击的流程 网络攻击是一个不断迭代的过程，随着对攻击目标信息的不断收集，攻击者对攻击目标的掌控和控制会不断加强。在网络攻击的一次迭代过程中，一般分为情报收集、目标扫描、实施攻击、维持访问、擦除痕迹5个阶段。 情报收集 黑客在进行一次网络攻击前，会尽可能详细的收集有关目标的情报信息，多数时间这类信息可以从互联网网站，如Google或专注于信息共享和社交媒体的网站获得。互联网域名服务器也可以透漏有关目标的信息，有时甚至一封电子邮件就可以追踪到具体的组织结构。黑客使用的情报搜集手段主要包括Google Hacking、社会工程学、网络踩点、扫描侦测、被动监听等。 目标扫描 黑客在对攻击目标的情报做充分分析和整理后就会进入扫描阶段。在该阶段黑客的主要目标是确定攻击目标的物理及逻辑信息系统的结构。确定连接到目标网络的计算机和其他设备的信息，并寻找可用的主机，确定节点的类型(台式机、笔记本、服务器、网络设备等)、操作系统、提供的可用的公开服务(Web应用程序、SMTP、FTP等)，运气好的话黑客甚至能发现目标中存在的可利用的漏洞。扫描是通过一系列的工具进行的，如扫描神器Nmap、Nessus和SATAN等。 实施攻击 经过前期的情报搜集和目标扫描后，攻击者探测连接到目标网络上的每台主机以寻找目标网络存在的安全漏洞。通过深入分析目标网络的网络协议、网络安全防护设备(防火墙、入侵检测系统、VPN等)以及连接到目标网络的主机操作系统，在此基础上分析目标网络的缺陷和安全隐患，然后制定相应的攻击策略，如端口扫描、口令猜测、缓冲区溢出攻击、拒绝服务攻击、IP地址欺骗以及会话劫持等。 维持访问 黑进一台计算机、网络设备或者一台Web服务器不是一个黑客的最终目的，黑客的最终目的是要维持访问被入侵的系统，以便能够持续的控制和监听目标网络。目前维持访问的技术主要有木马、后门程序以及Rootkit等。 擦除痕迹 黑客完成一次攻击后，会小心的擦除实施攻击后产生的日志信息，以避免被网络管理员发现，同时建立隐藏文件和秘密通道以便后续的访问和实施攻击。 网络攻击常见方式 口令入侵 口令入侵是黑客最常见的攻击方式，所谓口令入侵是指破解用户口令或者屏蔽口令安全防护。口令是网络安全的第一道屏障，但是随着计算机技术的发展，针对口令的各种攻击技术层出不穷，口令已经很难保障用户的安全和隐私。黑客破解口令时常采用一些自动化工具，这些工具所采用的技术是仿真对比，其利用与原始口令程序相同的方法，通过对比分析，用不同的加密口令去匹配原始口令。 网络上的服务器大多运行的是Unix或者类Unix操作系统，而Unix操作系统把用户的登录ID和口令存放在ETC/PASSWD文件中。黑客如果获取到服务器上的口令文件，就可以通过一些暴力破解的方式获取到用户口令，特别是一些弱口令比如123456、admin、以及用户生日类的口令，可在极短的时间内被破解。 木马攻击 木马程序是指任何提供了隐藏的，用户不希望的功能的程序。木马常常隐藏在一个合法程序中，随着合法程序的下载使用而进入到网络系统中。一旦用户使用了隐藏有木马的程序，木马就会在后台启动运行。木马实际上是一个基于S/C架构的程序，被木马入侵的主机相当于一台服务器，会持续不断的向攻击者泄漏被入侵系统的私有信息，甚至于攻击者会利用木马程序控制整个被入侵系统。木马程序隐蔽性很强，难以被发现，在它被发现之前可能已经存在几个星期甚至几个月了，在这期间攻击者很可能已经获取了整个系统的Root权限，这样攻击者可以随意的篡改系统设置，即使后来木马被发现，攻击者在系统中也已经留下了管理员注意不到的漏洞，给整个网络系统带来了新的安全威胁。 应用程序攻击 随着国内计算机网络的普及和飞速发展，基于B/S架构的Web应用程序也得到了快速的发展，吸引了越来越多的程序设计人员参与其中。但是由于程序设计人员的水平和经验参差不齐，许多程序员在编写代码时没有考虑安全控制问题，没有对用户输入的合法性做出判断和验证，导致整个应用程序存在安全隐患。攻击者可以通过状态操纵或者SQL代码注入的方式达到入侵的目的。 拒绝服务攻击 拒绝服务攻击(Denial of Service，DOS)就是向目标服务器发送大量要求回复的信息，消耗网络带宽和系统资源，导致服务器不能正常提供服务