對(duì)網(wǎng)絡(luò)攻防技術(shù)的應(yīng)用探析

對(duì)網(wǎng)絡(luò)攻防技術(shù)的應(yīng)用探析2謝菲爾德大學(xué)3武警甘肅總隊(duì)摘要：本文介紹了網(wǎng)絡(luò)對(duì)抗的概念，概括了網(wǎng)絡(luò)邊界難以界定、攻防對(duì)抗隱蔽性強(qiáng)、攻防結(jié)果難以預(yù)測(cè)、攻防武器的非傳統(tǒng)性、攻防力量的非對(duì)稱(chēng)性等特點(diǎn)，從網(wǎng)絡(luò)攻擊和防御兩個(gè)方面介紹了網(wǎng)絡(luò)對(duì)抗的關(guān)鍵技術(shù)，就如何提高網(wǎng)絡(luò)安全整體防御能力進(jìn)行了理性思考。關(guān)鍵詞：網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)防御網(wǎng)絡(luò)安全信息網(wǎng)絡(luò)的“神經(jīng)中樞”作用，使網(wǎng)絡(luò)安全防御體系建設(shè)成為信息化建設(shè)的重要內(nèi)容，通過(guò)網(wǎng)絡(luò)對(duì)抗奪取“制網(wǎng)權(quán)”優(yōu)勢(shì)成為信息化發(fā)展的關(guān)鍵?，F(xiàn)有條件下，如何加強(qiáng)網(wǎng)絡(luò)攻防對(duì)抗演練，快速提高網(wǎng)絡(luò)攻防對(duì)抗能力成為網(wǎng)絡(luò)安全領(lǐng)域面臨的重要問(wèn)題。1.網(wǎng)絡(luò)對(duì)抗的概念和特點(diǎn)網(wǎng)絡(luò)對(duì)抗是指在信息系統(tǒng)中，以信息網(wǎng)絡(luò)系統(tǒng)為載體，以計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)為目標(biāo)，應(yīng)用網(wǎng)絡(luò)技術(shù)進(jìn)行的一系列網(wǎng)絡(luò)偵察、網(wǎng)絡(luò)進(jìn)攻、網(wǎng)絡(luò)防御和網(wǎng)絡(luò)支援行動(dòng)。其攻擊對(duì)象是敵方的計(jì)算機(jī)網(wǎng)絡(luò)和信息，攻擊區(qū)域是廣闊的計(jì)算機(jī)網(wǎng)絡(luò)空間，攻擊手段是根據(jù)計(jì)算機(jī)技術(shù)研制的各種病毒、邏輯炸彈和芯片武器，其目的是爭(zhēng)取制網(wǎng)絡(luò)權(quán)。網(wǎng)絡(luò)對(duì)抗是以比特流對(duì)抗為著眼點(diǎn)的比知識(shí)、比算法、比技能的智力戰(zhàn)，具備以下特點(diǎn)：（一）網(wǎng)絡(luò)邊界難以界定。網(wǎng)絡(luò)對(duì)抗的范圍可根據(jù)需求實(shí)時(shí)改變，網(wǎng)絡(luò)攻擊點(diǎn)設(shè)置無(wú)需固定，只需點(diǎn)擊鼠標(biāo)即可完成攻擊地域、攻擊方向、攻擊目標(biāo)的改變。網(wǎng)絡(luò)對(duì)抗中，距離的概念逐步消失，網(wǎng)絡(luò)邊界無(wú)法確定，網(wǎng)絡(luò)所能覆蓋的區(qū)域可能都是攻擊地域，所有網(wǎng)絡(luò)設(shè)備可能都是攻擊目標(biāo)。（二） 攻防對(duì)抗隱蔽性強(qiáng)。網(wǎng)絡(luò)對(duì)抗行動(dòng)以信息流和數(shù)據(jù)流的形式呈現(xiàn)，具有行動(dòng)快、時(shí)間短、欺騙性強(qiáng)的特點(diǎn)。網(wǎng)絡(luò)對(duì)抗通過(guò)施放病毒、竊取數(shù)據(jù)、引爆網(wǎng)絡(luò)炸彈等行動(dòng)可在瞬間完成，所有攻擊行動(dòng)難以監(jiān)測(cè)和監(jiān)視，對(duì)抗雙方很難提前做出有針對(duì)性的應(yīng)對(duì)措施。（三） 攻防結(jié)果難以預(yù)測(cè)。通過(guò)網(wǎng)絡(luò)對(duì)抗可以修改竊取對(duì)方數(shù)據(jù)，阻斷其網(wǎng)絡(luò)通道，甚至癱瘓其整個(gè)網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)對(duì)抗具有虛擬性、瞬時(shí)性和異地性特征，從而以較低的成本換取較高的效益。（四） 攻擊武器的非傳統(tǒng)性。網(wǎng)絡(luò)對(duì)抗的雙方只需通過(guò)點(diǎn)擊鼠標(biāo)的就可以實(shí)現(xiàn)激烈的網(wǎng)絡(luò)對(duì)抗，知識(shí)、技能和智慧匯集在一起形成強(qiáng)大的攻擊力量，意味著是一場(chǎng)知識(shí)密集型的行動(dòng)。（五） 攻防力量的非對(duì)稱(chēng)性。網(wǎng)絡(luò)對(duì)抗是常態(tài)化的，沒(méi)有清晰的時(shí)間界限，網(wǎng)絡(luò)攻擊成本和門(mén)檻很低，即使非專(zhuān)業(yè)人員利用一些公開(kāi)代碼和病毒程序也可發(fā)起攻擊。越是發(fā)達(dá)國(guó)家和地區(qū)，其經(jīng)濟(jì)、文化、軍事發(fā)展對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴(lài)程度越高，網(wǎng)絡(luò)攻擊對(duì)其危害越大。二、網(wǎng)絡(luò)對(duì)抗的關(guān)鍵技術(shù)從網(wǎng)絡(luò)安全發(fā)展過(guò)程看，網(wǎng)絡(luò)安全的本質(zhì)是對(duì)抗。網(wǎng)絡(luò)對(duì)抗是高烈度無(wú)底線的較量，要建立有效的網(wǎng)絡(luò)安全防護(hù)體系，必須打破“物理隔離+好人假定+規(guī)定推演”所構(gòu)成的自我麻痹式的安全觀，以真實(shí)有效的敵情想定作為基礎(chǔ)和前提，不斷加強(qiáng)主動(dòng)防御和對(duì)抗演練，在實(shí)戰(zhàn)中檢驗(yàn)網(wǎng)絡(luò)防御能力，才能真正做到攻防兼?zhèn)?。（一）網(wǎng)絡(luò)攻擊技術(shù)。網(wǎng)絡(luò)攻擊包括信息偵察、網(wǎng)絡(luò)隱身、實(shí)施攻擊、系統(tǒng)控制等過(guò)程。信息偵察。信息收集是滲透攻擊的前提，確定攻擊目標(biāo)后，通過(guò)掃描系統(tǒng)的開(kāi)放端口和服務(wù)獲得可能的攻擊入口。信息收集的方法包括pingsweep、DNSSweep、DNSzone、transfer、操作系統(tǒng)指紋判斷、應(yīng)用判別、賬號(hào)掃描、配置判別等。操作系統(tǒng)內(nèi)置的許多功能，如TELNET、NSLOOKUP、IE等，也可作為收集信息的有效工具。Sniffer、NetCat、nmap、zenmap、sparta是較為常見(jiàn)的掃描和嗅探工具漏洞掃描是對(duì)遠(yuǎn)程或本地計(jì)算機(jī)進(jìn)行安全檢測(cè)，利用發(fā)現(xiàn)的漏洞進(jìn)行滲透攻擊的行為。較為有效的漏洞掃描工具有Nessus、Openvas、X-scan等。Nikto、Golismer。是專(zhuān)門(mén)針對(duì)Web應(yīng)用程序的漏洞掃描工具，NGS、Squirrel是專(zhuān)門(mén)針對(duì)數(shù)據(jù)庫(kù)DBMS的漏洞掃描工具。網(wǎng)絡(luò)隱身。網(wǎng)絡(luò)隱身通常指在網(wǎng)絡(luò)中隱藏自己真實(shí)的IP地址，使受害者無(wú)法反向追蹤到攻擊者。載荷投遞與攻擊實(shí)施。攻擊者利用檢測(cè)到的漏洞，發(fā)起入侵或破壞性攻擊，入侵方式有阻塞類(lèi)、漏洞類(lèi)、欺騙類(lèi)和控制類(lèi)攻擊，具體使用賬戶(hù)口令入侵、種植木馬病毒、WWW的欺騙攻擊、安全漏洞攻擊、端口掃描攻擊、防火墻攻擊、DOS攻擊等方法實(shí)施。賬戶(hù)口令入侵：攻擊者可利用漏洞進(jìn)行遠(yuǎn)程入侵，通過(guò)暴力破解等辦法獲取用戶(hù)口令和訪問(wèn)權(quán)限，甚至是超級(jí)管理員權(quán)限，從而實(shí)施網(wǎng)絡(luò)監(jiān)聽(tīng)、信息發(fā)送、數(shù)據(jù)刪改等操作，還可設(shè)置釣魚(yú)木馬等操作。NetXRayforWindows95/98/NT、SniffitforLinux等工具都可輕而易舉的獲取用戶(hù)賬號(hào)和口令。端口掃描攻擊：利用Socket編程與目標(biāo)主機(jī)的某些端口建立TCP連接進(jìn)行傳輸協(xié)議的驗(yàn)證，從而偵知目標(biāo)主機(jī)的掃描端口是否是處于激活狀態(tài)、主機(jī)提供了哪些服務(wù)、提供的服務(wù)中是否含有某些缺陷等等，利用網(wǎng)絡(luò)端口攻擊軟件NetCat等進(jìn)行攻擊。防火墻攻擊：用Firewalking、Hping技術(shù)繞過(guò)防火墻認(rèn)證，采用地址欺騙和TCP序號(hào)協(xié)同攻擊、IP分片攻擊、Tcp/ip會(huì)話劫持、協(xié)議隧道攻擊等進(jìn)行。DOS攻擊：載荷投遞攻擊時(shí)，DOS攻擊產(chǎn)生的危害相對(duì)較大，可以使計(jì)算機(jī)系統(tǒng)藍(lán)屏、重啟、凝固等。DDos攻擊又被稱(chēng)為拒絕服務(wù)攻擊，比如利用firefox

漏洞耗盡內(nèi)存、IE瀏覽器漏洞引起空循環(huán)耗盡資源、windows組件漏洞引起系統(tǒng)中斷或無(wú)限重啟、Apache配置不當(dāng)引起系統(tǒng)拒絕服務(wù)等。WinNuke、Bonk、TearDrop、WinArp、Land、FluShot、Bloo、PIMP、Jolt等都是常用的攻擊工具。ARP攻擊、腳本攻擊、TCP/IP和DNS劫持、路由訪問(wèn)攻擊也是常見(jiàn)的攻擊方法。模擬攻擊的操作過(guò)程過(guò)程如下圖所示。ping攻擊準(zhǔn)岑常覘信點(diǎn)獲取信息收集卜traceroute模擬攻擊操作思路

>攻擊階段端【【掃「漏洞掃描 心攻擊準(zhǔn)岑常覘信點(diǎn)獲取信息收集卜traceroute模擬攻擊操作思路

>攻擊階段端【【掃「漏洞掃描 心U$-緩沖區(qū)溢3~可天繚服:弱性不描[[令猜測(cè)PangolinAppScan應(yīng).用滲透wvsNikto用戶(hù)提供NMAPSuperscan密碼破解攻苗結(jié)束 權(quán)限提升 ?- 獲取敏感定息模擬攻擊技術(shù)流程圖系統(tǒng)控制。攻擊者為了再次進(jìn)入目標(biāo)系統(tǒng)并保持訪問(wèn)權(quán)限，通常會(huì)在系統(tǒng)中設(shè)置后門(mén)。設(shè)置后門(mén)可以通過(guò)開(kāi)放不安全的服務(wù)端口、修改系統(tǒng)配置、安裝網(wǎng)絡(luò)嗅探器、建立隱藏通道、創(chuàng)建具有root權(quán)限的虛假用戶(hù)賬號(hào)、安裝批處理文件、安裝遠(yuǎn)程控制木馬、使用木馬程序替換系統(tǒng)程序等實(shí)現(xiàn)。PassCopy、SolariesBO2000(BackOrifice)、冰河、NetSpy、Glacier、KeyboardGhost、ExeBind等都是常見(jiàn)的木馬工具。5、 竊取和毀壞數(shù)據(jù)。攻擊者會(huì)通過(guò)竊取數(shù)據(jù)來(lái)破壞數(shù)據(jù)的機(jī)密性，通過(guò)刪改操作來(lái)破壞數(shù)據(jù)的完整性，通過(guò)攻擊駐留數(shù)據(jù)的系統(tǒng)來(lái)破壞計(jì)算機(jī)系統(tǒng)功能。清除痕跡。攻擊者在獲得訪問(wèn)權(quán)后往往要清除登錄日志和其他有關(guān)記錄，從而清除所有攻擊痕跡和隱藏自己的蹤跡，防止被管理員發(fā)現(xiàn)。常用方法包括隱藏上傳的文件、修改日志文件中的審計(jì)信息、修改系統(tǒng)時(shí)間造成日志文件數(shù)據(jù)紊亂、刪除或停止審計(jì)服務(wù)進(jìn)程、干擾入侵檢測(cè)系統(tǒng)正常運(yùn)行、修改完整性檢測(cè)數(shù)據(jù)等。Rootkits是較為常見(jiàn)的工具。（二）網(wǎng)絡(luò)防御技術(shù)。隨著網(wǎng)絡(luò)攻擊手段的不斷更新，防御技術(shù)也從被動(dòng)防御向主動(dòng)防御轉(zhuǎn)變。常用的網(wǎng)絡(luò)防御技術(shù)有信息加密、訪問(wèn)控制、防火墻、入侵防御、惡意代碼防范、安全審計(jì)與查證等。1.防火墻技術(shù)。防火墻可以對(duì)兩個(gè)網(wǎng)絡(luò)之間的訪問(wèn)策略進(jìn)行控制，限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)之間進(jìn)行信息存取，阻擋對(duì)網(wǎng)絡(luò)的非法訪問(wèn)和不安全數(shù)據(jù)的傳遞，避免本地系統(tǒng)和網(wǎng)絡(luò)遭受安全威脅。防火墻可以記錄所有通過(guò)它的訪問(wèn)，并提供統(tǒng)計(jì)數(shù)據(jù)、風(fēng)險(xiǎn)預(yù)警和審計(jì)功能。2.安全審計(jì)和跟蹤技術(shù)。通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的記錄、檢查和監(jiān)控等操作，建立審計(jì)和跟蹤機(jī)制，從而完成以數(shù)據(jù)完整性要求為主的安全功能。典型技術(shù)包括:入侵檢測(cè)系統(tǒng)（IDS）、漏洞掃描系統(tǒng)、安全審計(jì)系統(tǒng)等。IDS作為防火墻的合理補(bǔ)充，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性，能夠幫助系統(tǒng)管理員分析網(wǎng)絡(luò)攻擊。入侵防御系統(tǒng)（IPS）是一種主動(dòng)保護(hù)網(wǎng)絡(luò)和系統(tǒng)安全的技術(shù)，它從計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中采集、分析數(shù)據(jù)，查看網(wǎng)絡(luò)或主機(jī)系統(tǒng)中是否有違反安全策略或遭到攻擊的行為，并采取適當(dāng)?shù)捻憫?yīng)措施來(lái)阻擋攻擊。漏洞掃描系統(tǒng)采用查找網(wǎng)絡(luò)安全漏洞和打補(bǔ)丁等方式，修正系統(tǒng)BUG和消除安全隱患，從而優(yōu)化系統(tǒng)配置，解決網(wǎng)絡(luò)層安全問(wèn)題。數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)是對(duì)信息進(jìn)行重新編碼，從而隱藏信息內(nèi)容，使非法用戶(hù)無(wú)法獲取信息真實(shí)內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)可以有效提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被非法用戶(hù)獲取所采用的主要手段之一。防病毒技術(shù)。防病毒系統(tǒng)主要由掃描器、特征信息庫(kù)、消毒器三部分組成，用于主動(dòng)防范計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)不受病毒入侵，從而避免數(shù)據(jù)資料泄露、設(shè)備程序被破壞等情況出現(xiàn)。網(wǎng)絡(luò)蜜罐技術(shù)。蜜罐（Honeypot）技術(shù)是一種主動(dòng)防御技術(shù)，是一個(gè)“誘捕”攻擊者的陷阱。蜜罐系統(tǒng)是包含漏洞的誘騙系統(tǒng)，它通過(guò)模擬一個(gè)或多個(gè)易受攻擊的主機(jī)和服務(wù)，給攻擊者提供一個(gè)容易攻擊的目標(biāo)，使攻擊者在蜜罐上浪費(fèi)大量時(shí)間，從而延緩對(duì)真正目標(biāo)的攻擊。三、對(duì)網(wǎng)絡(luò)安全防御工作的幾點(diǎn)思考網(wǎng)絡(luò)對(duì)抗歸根結(jié)底是人與人之間的對(duì)抗，只有將目標(biāo)聚焦到攻擊者、聚焦到對(duì)“人”的對(duì)抗上，才能在網(wǎng)絡(luò)攻防實(shí)戰(zhàn)中獲得“制網(wǎng)權(quán)”。（一） 提高網(wǎng)絡(luò)安全基線水平。建立紅藍(lán)團(tuán)隊(duì)進(jìn)行對(duì)抗演練，通過(guò)對(duì)抗中發(fā)現(xiàn)的問(wèn)題，開(kāi)展全方位、多層次的漏洞修復(fù)、安全策略調(diào)整、防病毒系統(tǒng)配置等工作，不斷提高網(wǎng)絡(luò)安全基線水平，實(shí)現(xiàn)信息資源安全可控。（二） 樹(shù)立網(wǎng)絡(luò)安全底線思維。對(duì)于關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)，樹(shù)立敵情想定的極限思維是做好網(wǎng)絡(luò)安全防御工作的前提。安全防御要與物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)與用戶(hù)等各個(gè)層級(jí)深度結(jié)合，所有防御措施要部署到信息化基礎(chǔ)設(shè)施和信息系統(tǒng)的“每一個(gè)角落”，最大化覆蓋構(gòu)成網(wǎng)絡(luò)的各個(gè)組成部分。（三） 推動(dòng)主動(dòng)防御體系建設(shè)。通過(guò)精確預(yù)警，有針對(duì)性地集中資源重點(diǎn)開(kāi)展防御部署，建立包括保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)的防御體系。采用嗅探、定位、隔離、封堵等手段進(jìn)行攻擊行為溯源，是主動(dòng)防御的重點(diǎn)內(nèi)容。盡可能多地采用自動(dòng)化工具和外采人工服務(wù)，使用領(lǐng)先技術(shù)和新產(chǎn)品、高素質(zhì)網(wǎng)絡(luò)安全人才為網(wǎng)絡(luò)防御提供有力支撐。（四）加強(qiáng)網(wǎng)安人才隊(duì)伍建設(shè)。網(wǎng)絡(luò)空間的競(jìng)爭(zhēng)，