网络攻击(Cyber Attacks,也称赛博攻击)
| 阿里云国内75折 回扣 微信号:monov8 |
| 阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6 |
网络攻击Cyber Attacks也称赛博攻击是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的任何类型的进攻动作。对于计算机和计算机网络来说破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据都会被视为于计算机和计算机网络中的攻击。
简介
近年来网络攻击事件频发互联网上的木马、蠕虫、勒索软件层出不穷这对网络安全乃至国家安全形成了严重的威胁。2017年维基解密公布了美国中情局和美国国家安全局的新型网络攻击工具其中包括了大量的远程攻击工具、漏洞、网络攻击平台以及相关攻击说明的文档。同时从部分博客、论坛和开源网站普通的用户就可以轻松的获得不同种类的网络攻击工具。互联网的公开性让网络攻击者的攻击成本大大降低。2017年5月全球范围内爆发了永恒之蓝勒索病毒的攻击事件该病毒是通过Windows网络共享协议进行攻击并具有传播和勒索功能的恶意代码。经网络安全专家证实攻击者正是通过改造了NSA泄露的网络攻击武器库中“Eternal Blue”程序发起了此次网络攻击事件。
网络攻击是利用网络信息系统存在的漏洞和安全缺陷对系统和资源进行攻击。网络信息系统所面临的威胁来自很多方面而且会随着时间的变化而变化。从宏观上看这些威胁可分为人为威胁和自然威胁。自然威胁来自与各种自然灾害、恶劣的场地环境、电磁干扰、网络设备的自然老化等。这些威胁是无目的的但会对网络通信系统造成损害危及通信安全。而人为威胁是对网络信息系统的人为攻击通过寻找系统的弱点以非授权方式达到破坏、欺骗和窃取数据信息等目的。两者相比精心设计的人为攻击威胁难防备、种类多、数量大。从对信息的破坏性上看攻击类型可以分为被动攻击和主动攻击。
攻击分类
主动攻击
主动攻击会导致某些数据流的篡改和虚假数据流的产生。这类攻击可分为篡改、伪造消息数据和终端拒绝服务。
1篡改消息
篡改消息是指一个合法消息的某些部分被改变、删除消息被延迟或改变顺序通常用以产生一个未授权的效果。如修改传输消息中的数据将“允许甲执行操作”改为“允许乙执行操作”。
2伪造
伪造指的是某个实体人或系统发出含有其他实体身份信息的数据信息假扮成其他实体从而以欺骗方式获取一些合法用户的权利和特权。
3拒绝服务
拒绝服务即常说的DoSDeny of Service会导致对通讯设备正常使用或管理被无条件地中断。通常是对整个网络实施破坏以达到降低性能、终端服务的目的。这种攻击也可能有一个特定的目标如到某一特定目的地如安全审计服务的所有数据包都被阻止。
被动攻击
被动攻击中攻击者不对数据信息做任何修改截取/窃听是指在未经用户同意和认可的情况下攻击者获得了信息或相关数据。通常包括窃听、流量分析、破解弱加密的数据流等攻击方式。
1流量分析
流量分析攻击方式适用于一些特殊场合例如敏感信息都是保密的攻击者虽然从截获的消息中无法的知道消息的真实内容但攻击者还能通过观察这些数据报的模式分析确定出通信双方的位置、通信的次数及消息的长度获知相关的敏感信息这种攻击方式称为流量分析。
2窃听
窃听是最常用的手段。应用最广泛的局域网上的数据传送是基于广播方式进行的这就使一台主机有可能收到本子网上传送的所有信息。而计算机的网卡工作在杂收模式时它就可以将网络上传送的所有信息传送到上层以供进一步分析。如果没有采取加密措施通过协议分析可以完全掌握通信的全部内容窃听还可以用无限截获方式得到信息通过高灵敏接受装置接收网络站点辐射的电磁波或网络连接设备辐射的电磁波通过对电磁信号的分析恢复原数据信号从而获得网络信息。尽管有时数据信息不能通过电磁信号全部恢复但可能得到极有价值的情报。
由于被动攻击不会对被攻击的信息做任何修改留下痕迹很少或者根本不留下痕迹因而非常难以检测所以抗击这类攻击的重点在于预防具体措施包括虚拟专用网VPN采用加密技术保护信息以及使用交换式网络设备等。被动攻击不易被发现因而常常是主动攻击的前奏。
被动攻击虽然难以检测但可采取措施有效地预防而要有效地防止攻击是十分困难的开销太大抗击主动攻击的主要技术手段是检测以及从攻击造成的破坏中及时地恢复。检测同时还具有某种威慑效应在一定程度上也能起到防止攻击的作用。具体措施包括自动审计、入侵检测和完整性恢复等。
攻击层次
从浅入深的分为以下几个层次
1简单拒绝服务。
2本地用户获得非授权读权限。
3本地用户获得非授权写权限。
4远程用户获得非授权账号信息。
5远程用户获得特权文件的读权限。
6远程用户获得特权文件的写权限。
7远程用户拥有了系统管理员权限。
攻击方法
口令入侵
所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的账号然后再进行合法用户口令的破译。获得普通用户账号的方法非常多如
利用目标主机的Finger功能当用Finger命令查询时主机系统会将保存的用户资料如用户名、登录时间等显示在终端或计算机上
利用目标主机的X.500服务有些主机没有关闭X.500的目录查询服务也给攻击者提供了获得信息的一条简易途径
从电子邮件地址中收集有些用户电子邮件地址常会透露其在目标主机上的账号
查看主机是否有习惯性的账号有经验的用户都知道非常多系统会使用一些习惯性的账号造成账号的泄露。
特洛伊木马
放置特洛伊木马程式能直接侵入用户的计算机并进行破坏他常被伪装成工具程式或游戏等诱使用户打开带有特洛伊木马程式的邮件附件或从网上直接下载一旦用户打开了这些邮件的附件或执行了这些程式之后他们就会像古特洛伊人在敌人城外留下的藏满士兵的木马相同留在自己的计算机中并在自己的计算机系统中隐藏一个能在Windows启动时悄悄执行的程式。当你连接到因特网上时这个程式就会通知攻击者来报告你的IP地址及预先设定的端口。攻击者在收到这些信息后再利用这个潜伏在其中的程式就能任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等从而达到控制你的计算机的目的。
WWW欺骗
在网上用户能利用IE等浏览器进行各种各样的WEB站点的访问如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在正在访问的网页已被黑客篡改过网页上的信息是虚假的例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器当用户浏览目标网页的时候实际上是向黑客服务器发出请求那么黑客就能达到欺骗的目的了。
一般Web欺骗使用两种技术手段即URL地址重写技术和相关信关信息掩盖技术。利用URL地址使这些地址都指向攻击者的Web服务器即攻击者能将自己的Web地址加在所有URL地址的前面。这样当用户和站点进行安全链接时就会毫不防备地进入攻击者的服务器于是用户的所有信息便处于攻击者的监视之中。但由于浏览器材一般均设有地址栏和状态栏当浏览器和某个站点边接时能在地址栏和状态栏中获得连接中的Web站点地址及其相关的传输信息用户由此能发现问题所以攻击者往往在URL地址重写的同时利用相关信息排盖技术即一般用JavaScript程式来重写地址样和状枋样以达到其排盖欺骗的目的。
电子邮件
电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者能使用一些邮件炸弹软件或CGI程式向目的邮箱发送大量内容重复、无用的垃圾邮件从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时更有可能造成邮件系统对于正常的工作反映缓慢甚至瘫痪。相对于其他的攻击手段来说这种攻击方法具有简单、见效快等好处。
节点攻击
攻击者在突破一台主机后往往以此主机作为根据地攻击其他主机以隐蔽其入侵路径避免留下蛛丝马迹。他们能使用网络监听方法尝试攻破同一网络内的其他主机也能通过IP欺骗和主机信任关系攻击其他主机。
这类攻击非常狡猾但由于某些技术非常难掌控如TCP/IP欺骗攻击。攻击者通过外部计算机伪装成另一台合法机器来实现。他能磙坏两台机器间通信链路上的数据其伪装的目的在于哄骗网络中的其他机器误将其攻击者作为合法机器加以接受诱使其他机器向他发送据或允许他修改数据。TCP/IP欺骗能发生TCP/IP系统的所有层次上包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害则应用层的所有协议都将处于危险之中。另外由于用户本身不直接和底层相互相交流因而对底层的攻击更具有欺骗性。
网络监听
网络监听网络监听 网络监听是主机的一种工作模式在这种模式下主机能接收到本网段在同一条物理通道上传输的所有信息而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时用户输入的密码需要从用户端传送到服务器端而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密只要使用某些网络监听工具如NetXRay for 视窗系统95/98/NT、Sniffit for Linux、Solaries等就可轻而易举地截取包括口令和账号在内的信息资料。虽然网络监听获得的用户账号和口令具有一定的局限性但监听者往往能够获得其所在网段的所有用户账号及口令。
黑客软件
利用黑客软件攻击是互连网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马他们能非法地取得用户计算机的终极用户级权利能对其进行完全的控制除了能进行文件操作外同时也能进行对方桌面抓图、取得密码等操作。这些黑客软件分为服务器端和用户端当黑客进行攻击时会使用用户端程式登陆上已安装好服务器端程式的计算机这些服务器端程式都比较小一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时黑客软件的服务器端就安装完成了而且大部分黑客软件的重生能力比较强给用户进行清除造成一定的麻烦。特别是一种TXT文件欺骗手法表面看上去是个TXT文本文件但实际上却是个附带黑客程式的可执行程式另外有些程式也会伪装成图片和其他格式的文件。
安全漏洞
许多系统都有这样那样的安全漏洞Bugs。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击。由于非常多系统在不检查程式和缓冲之间变化的情况就任意接受任意长度的数据输入把溢出的数据放在堆栈里系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令系统便进入不稳定状态。若攻击者特别设置一串准备用作攻击的字符他甚至能访问根目录从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击破坏的根目录从而获得终极用户的权限。又如ICMP协议也经常被用于发动拒绝服务攻击。他的具体手法就是向目的服务器发送大量的数据包几乎占取该服务器所有的网络宽带从而使其无法对正常的服务请求进行处理而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。常见的蠕虫病毒或和其同类的病毒都能对服务器进行拒绝服务攻击的进攻。他们的繁殖能力很强一般通过Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言也有可能遭到大量数据包的攻击使其无法进行正常的网络操作。
端口扫描
所谓端口扫描就是利用Socket编程和目标主机的某些端口建立TCP连接、进行传输协议的验证等从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。常用的扫描方式有Connect扫描、Fragmentation扫描。
攻击位置
远程攻击
指外部攻击者通过各种手段从该子网以外的地方向该子网或者该子网内的系统发动攻击。
本地攻击
指本单位的内部人员通过所在的局域网向本单位的其他系统发动攻击在本级上进行非法越权访问。
伪远程攻击
指内部人员为了掩盖攻击者的身份从本地获取目标的一些必要信息后攻击过程从外部远程发起造成外部入侵的现象。
攻击常用技术
利用系统漏洞
当计算机系统接入到网络后就要面临网络中的各种风险。所以系统是否足够稳定就成了抵御网络攻击的关键。如果操作系统或者系统的应用软件存在设计上的缺陷或者有编写错误导致系统运行过程中存在逻辑缺陷就容易出现缺陷被黑客利用的情况导致系统落入到黑客的掌控中并造成系统中的资料被黑客窃取。
电脑木马
计算机的木马是一种远程控制软件可以伪装成其他软件入侵计算机窃取计算机的信息甚至获得计算机的控制权。木马的结构包括木马和控制中心两个部分有些木马程序为了避免被计算机识别会专门增加跳板模块作为木马和控制中心沟通的桥梁。计算机被木马程序攻击后木马就会利用跳板和控制中心联系实现对计算机的远程控制或者监测计算机的运行状态。
嗅探器
网络嗅探就是网络监听该技术会利用计算机网络共享技术捕获数据利用网络共享通信通道完成数据监听。由于IP/TCP协议的弊端给了网络嗅探机会导致用户容易受到监听。嗅探主要通过两种途径一种会将监听工具软件植入网络连接设备或者管理网络的电脑。
通过物理介质传播
对于公用U盘等储存介质容易感染病毒并在电脑之间传播在储存病毒、木马的U盘插入其他电脑后就会导致该电脑受到木马影响可能会被不法人员远程控制。如果插入重要的涉密计算机就会导致秘密泄露出现机密文件自动上传的情况窃密者也能有机会借助系统漏洞完成远程的秘密窃取。
攻击工具
DOS攻击
DOS攻击例如WinNuke通过发送OOB漏洞导致系统蓝屏Bonk通过发送大量伪造的UDP数据包导致系统重启TearDrop通过发送重叠的IP碎片导致系统的TCP/IP栈崩溃WinArp通过发特别数据包在对方机器上产生大量的窗口Land通过发送大量伪造源IP的基于SYN的TCP请求导致系统重启动FluShot通过发送特定IP包导致系统凝固Bloo通过发送大量的ICMP数据包导致系统变慢甚至凝固PIMP通过IGMP漏洞导致系统蓝屏甚至重新启动Jolt通过大量伪造的ICMP和UDP导致系统变得非常慢甚至重新启动。
木马程式
1BO2000BackOrifice他是功能最全的TCP/IP构架的攻击工具能搜集信息执行系统命令重新设置机器重新定向网络的客户端/服务器应用程式。BO2000支持多个网络协议他能利用TCP或UDP来传送还能用XOR加密算法或更高级的3DES加密算法加密。感染BO2000后机器就完全在别人的控制之下黑客成了终极用户你的所有操作都可由BO2000自带的“秘密摄像机”录制成“录像带”。
2“冰河”冰河是个国产木马程式具有简单的中文使用界面且只有少数流行的反病毒、防火墙才能查出冰河的存在。冰河的功能比起国外的木马程式来一点也不逊色。他能自动跟踪目标机器的屏幕变化能完全模拟键盘及鼠标输入即在使被控端屏幕变化和监视端产生同步的同时被监视端的一切键盘及鼠标操作将反映在控端的屏幕。他能记录各种口令信息包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息他能获取系统信息他还能进行注册表操作包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作。
3NetSpy能运行于视窗系统95/98/NT/2000等多种平台上他是个基于TCP/IP的简单的文件传送软件但实际上你能将他看作一个没有权限控制的增强型FTP服务器。通过他攻击者能神不知鬼不觉地下载和上传目标机器上的任意文件并能执行一些特别的操作。
4Glacier该程式能自动跟踪目标计算机的屏幕变化、获取目标计算机登录口令及各种密码类信息、获取目标计算机系统信息、限制目标计算机系统功能、任意操作目标计算机文件及目录、远程关机、发送信息等多种监视功能。类似于BO2000。
5KeyboardGhost视窗系统是个以消息循环MessageLoop为基础的操作系统。系统的核心区保留了一定的字节作为键盘输入的缓冲区其数据结构形式是队列。键盘幽灵正是通过直接访问这一队列使键盘上输入你的电子邮箱、代理的账号、密码Password显示在屏幕上的是星号得以记录一切涉及以星号形式显示出来的密码窗口的所有符号都会被记录下来并在系统根目录下生成一文件名为KG.DAT的隐含文件。
6ExeBind这个程式能将指定的攻击程式捆绑到所有一个广为传播的热门软件上使宿主程式执行时寄生程式也在后台被执行且支持多重捆绑。实际上是通过多次分割文件多次从父进程中调用子进程来实现的。
攻击步骤
第一步隐藏己方位置
普通攻击者都会利用别人的计算机隐藏他们真实的IP地址。老练的攻击者还会利用800电话的无人转接服务联接ISP然后再盗用他人的账号上网。
第二步寻找并分析
攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址域名是为了便于记忆主机的IP地址而另起的名字只要利用域名和IP地址就能顺利地找到目标主机。当然知道了要攻击目标的位置还是远远不够的还必须将主机的操作系统类型及其所提供服务等资料作个全方面的了解。此时攻击者们会使用一些扫描器工具轻松获取目标主机运行的是哪种操作系统的哪个版本系统有哪些账户WWW、FTP、Telnet、SMTP等服务器程式是何种版本等资料为入侵做好充分的准备。
第三步账号和密码
攻击者要想入侵一台主机首先要该获取主机的一个账号和密码否则连登录都无法进行。这样常迫使他们先设法盗窃账户文件进行破解从中获取某用户的账户和口令再寻觅合适时机以此身份进入主机。当然利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。
第四步获得控制权
攻击者们用FTP、Telnet等工具利用系统漏洞进入进入目标主机系统获得控制权之后就会做两件事清除记录和留下后门。他会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程式以便日后能不被觉察地再次进入系统。大多数后门程式是预先编译好的只需要想办法修改时间和权限就能使用了甚至新文件的大小都和原文件一模相同。攻击者一般会使用rep传递这些文件以便不留下FTB记录。清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后攻击者就开始下一步的行动。
第五步资源和特权
攻击者找到攻击目标后会继续下一步的攻击窃取网络资源和特权。如下载敏感信息实施窃取账号密码、信用卡号等经济偷窃使网络瘫痪。
应对策略
在对网络攻击进行上述分析和识别的基础上我们应当认真制定有针对性的策略。明确安全对象设置强有力的安全保障体系。有的放矢在网络中层层设防发挥网络的每层作用使每一层都成为一道关卡从而让攻击者无隙可钻、无计可使。还必须做到未雨绸缪预防为主将重要的数据备份并时刻注意系统运行状况。以下是针对众多令人担心的网络安全问题提出的几点建议
提高安全意识
1不要随意打开来历不明的电子邮件及文件不要随便运行不太了解的人给你的程式比如“特洛伊”类黑客程式就需要骗你运行。
2尽量避免从Internet下载不知名的软件、游戏程式。即使从知名的网站下载的软件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。
3密码设置尽可能使用字母数字混排单纯的英文或数字非常容易穷举。将常用的密码设置不同防止被人查出一个连带到重要密码。重要密码最佳经常更换。
4及时下载安装系统补丁程式。
5不随便运行黑客程式不少这类程式运行时会发出你的个人信息。
6在支持HTML的BBS上如发现提交警告先看原始码非常可能是骗取密码的陷阱。
防火墙软件
使用防毒、防黑等防火墙软件。防火墙是个用以阻止网络中的黑客访问某个机构网络的屏障也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监视系统来隔离内部和外部网络以阻挡外部网络的侵入。
代理服务器
设置代理服务器隐藏自己IP地址。保护自己的IP地址是非常重要的。事实上即便你的机器上被安装了木马程式若没有你的IP地址攻击者也是没有办法的而保护IP地址的最佳方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用其功能类似于一个数据转发器他主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时代理服务器接受申请然后他根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务如果接受他就向内部网络转发这项请求。
其他策略
将防毒、防黑当成日常例性工作定时更新防毒组件将防毒软件保持在常驻状态以完全防毒
由于黑客经常会针对特定的日期发动攻击计算机用户在此期间应特别提高警戒
对于重要的个人资料做好严密的保护并养成资料备份的习惯。
网络攻击的评估分类方法
基于经验术语的分类方法
基于攻击术语的分类法是通过社会术语和技术术语对攻击进行描述并分类的方法。Lcove按照该方法把攻击分为了病毒、蠕虫、DDoS、网络欺骗等20余类。但此种分类方法很难满足完备性和互斥性术语之间存在着较大的重复。
基于单一属性的分类方法
Jayaram等人从攻击的实施方法将网络攻击划分为物理攻击、系统攻击、恶意程序攻击、权限攻击和通信过程攻击5类。此种分类方法只能宏观的描述攻击属性的特点对于攻击的其他方面的特征无从反映不具有普适性。
基于多维属性的分类方法
基于多维属性的分类方法抽取攻击过程中的多个属性来表示一个攻击过程并对过程进行分类的方法。王昭等人提出了一种基于多维属性的网络攻击分类方法将攻击过程中所涉及的技术手段、攻击来源、攻击入口、攻击目标、攻击行为、攻击意图、漏洞利用、适用平台、检测设备、消耗时间、自动化程度、破坏程度、传播能力和防御能力14个方面。通过多维属性的分类方法可以较好的克服基于术语和基于单一属性的分类方法在普适性和可扩展性方面的缺点。
基于应用的分类方法
基于应用的分类方法是针对特定类型的应用发起的攻击进行分类的方法。Alvarez等人对Web应用的攻击进行了分析并对攻击进行了描述。Welch等人对无线网络的攻击进行了研究从嗅探、中间人和重放攻击等方面进行了描述。此种分类方法可针对特定类型应用对网络攻击进行描述但普适性方面具有天然缺陷不能适应多种应用场景。
基于攻击过程的分类方法
基于攻击过程的分类方法是针对攻击的过程中所适用到的技术方法并对其进行分类的一种方法。刘欣然等人提出了一种面向生命周期的网络攻击分类体系从平台依赖性、漏洞相关性、攻击作用点、攻击结果、破坏强度和传播性6个方面对网络攻击过程的不同阶段进行了描述 [2] 。此种分类方法从攻击过程的角度提取多维属性具有良好的普适性和可扩展性。
基于攻击效果的评估分类方法
基于攻击效果的分类方法屏蔽了攻击的过程从攻击对目标环境的效果方面进行分类改方法具有很好的互斥性但是对于攻击分类的颗粒度不够细致。张森强等人提出了一种基于攻击效能的网络攻击分类方法通过该方法将网络攻击工具分为传染类、控制类、搜索类和破解类。这种分类方法不具备很好的完备性很难覆盖所有的攻击工具如加壳工具、DDoS工具并不在上述四类中。
其他的分类方法
除了上面介绍的分类方法国内外研究学者从自身的研究角度对网络攻击进行了分类。章丽娟等人提出了基于多试图的攻击分类体系构建了攻击试图、防御试图和第三方试图为主体结构攻击分类体系。毛承品等人提出了基于网络攻击平台的攻击分类方法基于教学培训和公安侦讯的网络攻击平台使用维度的分类法对网络攻击进行分类。Onik等人提出了一种基于序列问题的分类方法通过whowherehowwhat四个问题对网络攻击进行分类描述。
发展趋势
网络攻击技术和攻击工具有了新的发展趋势使借助Internet运行业务的机构面临着前所未有的风险本文将对网络攻击的新动向进行分析使读者能够认识、评估并减小这些风险。
越来越不对称的威胁
Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的安全状态。由于攻击技术的进步一个攻击者可以比较容易地利用分布式系统对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高威胁将继续增加。
攻击工具越来越复杂
攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比攻击工具的特征更难发现更难利用特征进行检测。攻击工具具有三个特点反侦破攻击者采用隐蔽攻击工具特性的技术这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多动态行为早期的攻击工具是以单一确定的顺序执行攻击步骤自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理来变化它们的模式和行为攻击工具的成熟性与早期的攻击工具不同攻击工具可以通过升级或更换工具的一部分迅速变化发动迅速变化的攻击且在每一次攻击中会出现多种不同形态的攻击工具。此外攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。许多常见攻击工具使用IRC或HTTP超文本传输协议等协议从入侵者那里向受攻击的计算机发送数据或命令使得人们将攻击特性与正常、合法的网络传输流区别开变得越来越困难。
发现安全漏洞越来越快
新发现的安全漏洞每年都要增加一倍管理人员不断用最新的补丁修补这些漏洞而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。
防火墙渗透率越来越高
防火墙是人们用来防范入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙例如IPPInternet打印协议和WebDAV基于Web的分布式创作与翻译都可以被攻击者利用来绕过防火墙。
自动化和攻击速度提高
攻击工具的自动化水平不断提高。自动攻击一般涉及四个阶段在每个阶段都出现了新变化。扫描可能的受害者。自1997年起广泛的扫描变见惯。扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。损害脆弱的系统。以前安全漏洞只在广泛的扫描完成后才被加以利用。而攻击工具利用这些安全漏洞作为扫描活动的一部分从而加快了攻击的传播速度。传播攻击。在2000年之前攻击工具需要人来发动新一轮攻击。攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播在不到18个小时内就达到全球饱和点。攻击工具的协调管理。随着分布式攻击工具的出现攻击者可以管理和协调分布在许多Internet系统上的大量已部署的攻击工具。分布式攻击工具能够更有效地发动拒绝服务攻击扫描潜在的受害者危害存在安全隐患的系统。
对基础设施威胁增大
基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统DNS的攻击和对路由器攻击或利用路由器的攻击。
拒绝服务攻击利用多个系统攻击一个或多个受害系统使受攻击系统拒绝向其合法用户提供服务。攻击工具的自动化程度使得一个攻击者可以安装他们的工具并控制几万个受损害的系统发动攻击。入侵者经常搜索已知包含大量具有高速连接的易受攻击系统的地址块电缆调制解调器、DSL和大学地址块越来越成为计划安装攻击工具的入侵者的目标。由于Internet是由有限而可消耗的资源组成并且Internet的安全性是高度相互依赖的因此拒绝服务攻击十分有效。蠕虫病毒是一种自我繁殖的恶意代码。与需要用户做某种事才能继续繁殖的病毒不同蠕虫病毒可以自我繁殖。再加上它们可以利用大量安全漏洞会使大量的系统在几个小时内受到攻击。一些蠕虫病毒包括内置的拒绝服务攻击载荷或Web站点损毁载荷另一些蠕虫病毒则具有动态配置功能。但是这些蠕虫病毒的最大影响力是由于它们传播时生成海量的扫描传输流它们的传播实际上在Internet上生成了拒绝攻击造成大量间接的破坏这样的例子包括DSL路由器瘫痪并非扫描本身造成的而是扫描引发的基础网络管理ARP传输流激增造成的电缆调制解制器ISP网络全面超载。
美军发展网络攻击武器
据防务新闻网站2012年10月4日报道一名军方官员表示美国需要发展网络空间攻击性武器以保护国家免受网络攻击。
美国网络司令部司令兼美国国家安全局局长基思·亚历山大表示“如果防御仅仅是在尽力阻止攻击那么这永远不算成功。政府需要在攻击发生之前将其扼杀采取何种防御措施部分归因于攻击手段。”
亚历山大在美国商会举办的网络安全峰会上表示任何赛博攻击行为都需要遵循其他军事态势中相似的交战原则。
美国军方已经开始研究包括攻击型武器在内的各种网络空间策略。DARPA则开始为网络空间攻击能力构建平台并经呼吁学术界和工业界的专家参与。
我国互联网遭受境外网络攻击
国家互联网应急中心监测发现2022年2月下旬以来我国互联网持续遭受境外网络攻击境外组织通过攻击控制我境内计算机进而对俄罗斯、乌克兰、白俄罗斯进行网络攻击。经分析这些攻击地址主要来自美国仅来自纽约州的攻击地址就有10余个攻击流量峰值达36Gbps87%的攻击目标是俄罗斯也有少量攻击地址来自德国、荷兰等国家。