對網(wǎng)絡(luò)攻防技術(shù)的應(yīng)用探析

對網(wǎng)絡(luò)攻防技術(shù)的應(yīng)用探析2謝菲爾德大學(xué)3武警甘肅總隊摘要：本文介紹了網(wǎng)絡(luò)對抗的概念，概括了網(wǎng)絡(luò)邊界難以界定、攻防對抗隱蔽性強、攻防結(jié)果難以預(yù)測、攻防武器的非傳統(tǒng)性、攻防力量的非對稱性等特點，從網(wǎng)絡(luò)攻擊和防御兩個方面介紹了網(wǎng)絡(luò)對抗的關(guān)鍵技術(shù)，就如何提高網(wǎng)絡(luò)安全整體防御能力進行了理性思考。關(guān)鍵詞：網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)防御網(wǎng)絡(luò)安全信息網(wǎng)絡(luò)的“神經(jīng)中樞”作用，使網(wǎng)絡(luò)安全防御體系建設(shè)成為信息化建設(shè)的重要內(nèi)容，通過網(wǎng)絡(luò)對抗奪取“制網(wǎng)權(quán)”優(yōu)勢成為信息化發(fā)展的關(guān)鍵。現(xiàn)有條件下，如何加強網(wǎng)絡(luò)攻防對抗演練，快速提高網(wǎng)絡(luò)攻防對抗能力成為網(wǎng)絡(luò)安全領(lǐng)域面臨的重要問題。1.網(wǎng)絡(luò)對抗的概念和特點網(wǎng)絡(luò)對抗是指在信息系統(tǒng)中，以信息網(wǎng)絡(luò)系統(tǒng)為載體，以計算機或計算機網(wǎng)絡(luò)為目標(biāo)，應(yīng)用網(wǎng)絡(luò)技術(shù)進行的一系列網(wǎng)絡(luò)偵察、網(wǎng)絡(luò)進攻、網(wǎng)絡(luò)防御和網(wǎng)絡(luò)支援行動。其攻擊對象是敵方的計算機網(wǎng)絡(luò)和信息，攻擊區(qū)域是廣闊的計算機網(wǎng)絡(luò)空間，攻擊手段是根據(jù)計算機技術(shù)研制的各種病毒、邏輯炸彈和芯片武器，其目的是爭取制網(wǎng)絡(luò)權(quán)。網(wǎng)絡(luò)對抗是以比特流對抗為著眼點的比知識、比算法、比技能的智力戰(zhàn)，具備以下特點：（一）網(wǎng)絡(luò)邊界難以界定。網(wǎng)絡(luò)對抗的范圍可根據(jù)需求實時改變，網(wǎng)絡(luò)攻擊點設(shè)置無需固定，只需點擊鼠標(biāo)即可完成攻擊地域、攻擊方向、攻擊目標(biāo)的改變。網(wǎng)絡(luò)對抗中，距離的概念逐步消失，網(wǎng)絡(luò)邊界無法確定，網(wǎng)絡(luò)所能覆蓋的區(qū)域可能都是攻擊地域，所有網(wǎng)絡(luò)設(shè)備可能都是攻擊目標(biāo)。（二） 攻防對抗隱蔽性強。網(wǎng)絡(luò)對抗行動以信息流和數(shù)據(jù)流的形式呈現(xiàn)，具有行動快、時間短、欺騙性強的特點。網(wǎng)絡(luò)對抗通過施放病毒、竊取數(shù)據(jù)、引爆網(wǎng)絡(luò)炸彈等行動可在瞬間完成，所有攻擊行動難以監(jiān)測和監(jiān)視，對抗雙方很難提前做出有針對性的應(yīng)對措施。（三） 攻防結(jié)果難以預(yù)測。通過網(wǎng)絡(luò)對抗可以修改竊取對方數(shù)據(jù)，阻斷其網(wǎng)絡(luò)通道，甚至癱瘓其整個網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)對抗具有虛擬性、瞬時性和異地性特征，從而以較低的成本換取較高的效益。（四） 攻擊武器的非傳統(tǒng)性。網(wǎng)絡(luò)對抗的雙方只需通過點擊鼠標(biāo)的就可以實現(xiàn)激烈的網(wǎng)絡(luò)對抗，知識、技能和智慧匯集在一起形成強大的攻擊力量，意味著是一場知識密集型的行動。（五） 攻防力量的非對稱性。網(wǎng)絡(luò)對抗是常態(tài)化的，沒有清晰的時間界限，網(wǎng)絡(luò)攻擊成本和門檻很低，即使非專業(yè)人員利用一些公開代碼和病毒程序也可發(fā)起攻擊。越是發(fā)達國家和地區(qū)，其經(jīng)濟、文化、軍事發(fā)展對計算機網(wǎng)絡(luò)的依賴程度越高，網(wǎng)絡(luò)攻擊對其危害越大。二、網(wǎng)絡(luò)對抗的關(guān)鍵技術(shù)從網(wǎng)絡(luò)安全發(fā)展過程看，網(wǎng)絡(luò)安全的本質(zhì)是對抗。網(wǎng)絡(luò)對抗是高烈度無底線的較量，要建立有效的網(wǎng)絡(luò)安全防護體系，必須打破“物理隔離+好人假定+規(guī)定推演”所構(gòu)成的自我麻痹式的安全觀，以真實有效的敵情想定作為基礎(chǔ)和前提，不斷加強主動防御和對抗演練，在實戰(zhàn)中檢驗網(wǎng)絡(luò)防御能力，才能真正做到攻防兼?zhèn)?。（一）網(wǎng)絡(luò)攻擊技術(shù)。網(wǎng)絡(luò)攻擊包括信息偵察、網(wǎng)絡(luò)隱身、實施攻擊、系統(tǒng)控制等過程。信息偵察。信息收集是滲透攻擊的前提，確定攻擊目標(biāo)后，通過掃描系統(tǒng)的開放端口和服務(wù)獲得可能的攻擊入口。信息收集的方法包括pingsweep、DNSSweep、DNSzone、transfer、操作系統(tǒng)指紋判斷、應(yīng)用判別、賬號掃描、配置判別等。操作系統(tǒng)內(nèi)置的許多功能，如TELNET、NSLOOKUP、IE等，也可作為收集信息的有效工具。Sniffer、NetCat、nmap、zenmap、sparta是較為常見的掃描和嗅探工具漏洞掃描是對遠程或本地計算機進行安全檢測，利用發(fā)現(xiàn)的漏洞進行滲透攻擊的行為。較為有效的漏洞掃描工具有Nessus、Openvas、X-scan等。Nikto、Golismer。是專門針對Web應(yīng)用程序的漏洞掃描工具，NGS、Squirrel是專門針對數(shù)據(jù)庫DBMS的漏洞掃描工具。網(wǎng)絡(luò)隱身。網(wǎng)絡(luò)隱身通常指在網(wǎng)絡(luò)中隱藏自己真實的IP地址，使受害者無法反向追蹤到攻擊者。載荷投遞與攻擊實施。攻擊者利用檢測到的漏洞，發(fā)起入侵或破壞性攻擊，入侵方式有阻塞類、漏洞類、欺騙類和控制類攻擊，具體使用賬戶口令入侵、種植木馬病毒、WWW的欺騙攻擊、安全漏洞攻擊、端口掃描攻擊、防火墻攻擊、DOS攻擊等方法實施。賬戶口令入侵：攻擊者可利用漏洞進行遠程入侵，通過暴力破解等辦法獲取用戶口令和訪問權(quán)限，甚至是超級管理員權(quán)限，從而實施網(wǎng)絡(luò)監(jiān)聽、信息發(fā)送、數(shù)據(jù)刪改等操作，還可設(shè)置釣魚木馬等操作。NetXRayforWindows95/98/NT、SniffitforLinux等工具都可輕而易舉的獲取用戶賬號和口令。端口掃描攻擊：利用Socket編程與目標(biāo)主機的某些端口建立TCP連接進行傳輸協(xié)議的驗證，從而偵知目標(biāo)主機的掃描端口是否是處于激活狀態(tài)、主機提供了哪些服務(wù)、提供的服務(wù)中是否含有某些缺陷等等，利用網(wǎng)絡(luò)端口攻擊軟件NetCat等進行攻擊。防火墻攻擊：用Firewalking、Hping技術(shù)繞過防火墻認證，采用地址欺騙和TCP序號協(xié)同攻擊、IP分片攻擊、Tcp/ip會話劫持、協(xié)議隧道攻擊等進行。DOS攻擊：載荷投遞攻擊時，DOS攻擊產(chǎn)生的危害相對較大，可以使計算機系統(tǒng)藍屏、重啟、凝固等。DDos攻擊又被稱為拒絕服務(wù)攻擊，比如利用firefox

漏洞耗盡內(nèi)存、IE瀏覽器漏洞引起空循環(huán)耗盡資源、windows組件漏洞引起系統(tǒng)中斷或無限重啟、Apache配置不當(dāng)引起系統(tǒng)拒絕服務(wù)等。WinNuke、Bonk、TearDrop、WinArp、Land、FluShot、Bloo、PIMP、Jolt等都是常用的攻擊工具。ARP攻擊、腳本攻擊、TCP/IP和DNS劫持、路由訪問攻擊也是常見的攻擊方法。模擬攻擊的操作過程過程如下圖所示。ping攻擊準(zhǔn)岑常覘信點獲取信息收集卜traceroute模擬攻擊操作思路

>攻擊階段端【【掃「漏洞掃描 心攻擊準(zhǔn)岑常覘信點獲取信息收集卜traceroute模擬攻擊操作思路

>攻擊階段端【【掃「漏洞掃描 心U$-緩沖區(qū)溢3~可天繚服:弱性不描[[令猜測PangolinAppScan應(yīng).用滲透wvsNikto用戶提供NMAPSuperscan密碼破解攻苗結(jié)束 權(quán)限提升 ?- 獲取敏感定息模擬攻擊技術(shù)流程圖系統(tǒng)控制。攻擊者為了再次進入目標(biāo)系統(tǒng)并保持訪問權(quán)限，通常會在系統(tǒng)中設(shè)置后門。設(shè)置后門可以通過開放不安全的服務(wù)端口、修改系統(tǒng)配置、安裝網(wǎng)絡(luò)嗅探器、建立隱藏通道、創(chuàng)建具有root權(quán)限的虛假用戶賬號、安裝批處理文件、安裝遠程控制木馬、使用木馬程序替換系統(tǒng)程序等實現(xiàn)。PassCopy、SolariesBO2000(BackOrifice)、冰河、NetSpy、Glacier、KeyboardGhost、ExeBind等都是常見的木馬工具。5、 竊取和毀壞數(shù)據(jù)。攻擊者會通過竊取數(shù)據(jù)來破壞數(shù)據(jù)的機密性，通過刪改操作來破壞數(shù)據(jù)的完整性，通過攻擊駐留數(shù)據(jù)的系統(tǒng)來破壞計算機系統(tǒng)功能。清除痕跡。攻擊者在獲得訪問權(quán)后往往要清除登錄日志和其他有關(guān)記錄，從而清除所有攻擊痕跡和隱藏自己的蹤跡，防止被管理員發(fā)現(xiàn)。常用方法包括隱藏上傳的文件、修改日志文件中的審計信息、修改系統(tǒng)時間造成日志文件數(shù)據(jù)紊亂、刪除或停止審計服務(wù)進程、干擾入侵檢測系統(tǒng)正常運行、修改完整性檢測數(shù)據(jù)等。Rootkits是較為常見的工具。（二）網(wǎng)絡(luò)防御技術(shù)。隨著網(wǎng)絡(luò)攻擊手段的不斷更新，防御技術(shù)也從被動防御向主動防御轉(zhuǎn)變。常用的網(wǎng)絡(luò)防御技術(shù)有信息加密、訪問控制、防火墻、入侵防御、惡意代碼防范、安全審計與查證等。1.防火墻技術(shù)。防火墻可以對兩個網(wǎng)絡(luò)之間的訪問策略進行控制，限制被保護的網(wǎng)絡(luò)與互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)之間進行信息存取，阻擋對網(wǎng)絡(luò)的非法訪問和不安全數(shù)據(jù)的傳遞，避免本地系統(tǒng)和網(wǎng)絡(luò)遭受安全威脅。防火墻可以記錄所有通過它的訪問，并提供統(tǒng)計數(shù)據(jù)、風(fēng)險預(yù)警和審計功能。2.安全審計和跟蹤技術(shù)。通過對網(wǎng)絡(luò)數(shù)據(jù)的記錄、檢查和監(jiān)控等操作，建立審計和跟蹤機制，從而完成以數(shù)據(jù)完整性要求為主的安全功能。典型技術(shù)包括:入侵檢測系統(tǒng)（IDS）、漏洞掃描系統(tǒng)、安全審計系統(tǒng)等。IDS作為防火墻的合理補充，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性，能夠幫助系統(tǒng)管理員分析網(wǎng)絡(luò)攻擊。入侵防御系統(tǒng)（IPS）是一種主動保護網(wǎng)絡(luò)和系統(tǒng)安全的技術(shù)，它從計算機系統(tǒng)或網(wǎng)絡(luò)中采集、分析數(shù)據(jù)，查看網(wǎng)絡(luò)或主機系統(tǒng)中是否有違反安全策略或遭到攻擊的行為，并采取適當(dāng)?shù)捻憫?yīng)措施來阻擋攻擊。漏洞掃描系統(tǒng)采用查找網(wǎng)絡(luò)安全漏洞和打補丁等方式，修正系統(tǒng)BUG和消除安全隱患，從而優(yōu)化系統(tǒng)配置，解決網(wǎng)絡(luò)層安全問題。數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)是對信息進行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息真實內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)可以有效提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被非法用戶獲取所采用的主要手段之一。防病毒技術(shù)。防病毒系統(tǒng)主要由掃描器、特征信息庫、消毒器三部分組成，用于主動防范計算機網(wǎng)絡(luò)系統(tǒng)不受病毒入侵，從而避免數(shù)據(jù)資料泄露、設(shè)備程序被破壞等情況出現(xiàn)。網(wǎng)絡(luò)蜜罐技術(shù)。蜜罐（Honeypot）技術(shù)是一種主動防御技術(shù)，是一個“誘捕”攻擊者的陷阱。蜜罐系統(tǒng)是包含漏洞的誘騙系統(tǒng)，它通過模擬一個或多個易受攻擊的主機和服務(wù)，給攻擊者提供一個容易攻擊的目標(biāo)，使攻擊者在蜜罐上浪費大量時間，從而延緩對真正目標(biāo)的攻擊。三、對網(wǎng)絡(luò)安全防御工作的幾點思考網(wǎng)絡(luò)對抗歸根結(jié)底是人與人之間的對抗，只有將目標(biāo)聚焦到攻擊者、聚焦到對“人”的對抗上，才能在網(wǎng)絡(luò)攻防實戰(zhàn)中獲得“制網(wǎng)權(quán)”。（一） 提高網(wǎng)絡(luò)安全基線水平。建立紅藍團隊進行對抗演練，通過對抗中發(fā)現(xiàn)的問題，開展全方位、多層次的漏洞修復(fù)、安全策略調(diào)整、防病毒系統(tǒng)配置等工作，不斷提高網(wǎng)絡(luò)安全基線水平，實現(xiàn)信息資源安全可控。（二） 樹立網(wǎng)絡(luò)安全底線思維。對于關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)，樹立敵情想定的極限思維是做好網(wǎng)絡(luò)安全防御工作的前提。安全防御要與物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)與用戶等各個層級深度結(jié)合，所有防御措施要部署到信息化基礎(chǔ)設(shè)施和信息系統(tǒng)的“每一個角落”，最大化覆蓋構(gòu)成網(wǎng)絡(luò)的各個組成部分。（三） 推動主動防御體系建設(shè)。通過精確預(yù)警，有針對性地集中資源重點開展防御部署，建立包括保護、檢測、響應(yīng)和恢復(fù)的防御體系。采用嗅探、定位、隔離、封堵等手段進行攻擊行為溯源，是主動防御的重點內(nèi)容。盡可能多地采用自動化工具和外采人工服務(wù)，使用領(lǐng)先技術(shù)和新產(chǎn)品、高素質(zhì)網(wǎng)絡(luò)安全人才為網(wǎng)絡(luò)防御提供有力支撐。（四）加強網(wǎng)安人才隊伍建設(shè)。網(wǎng)絡(luò)空間的競爭，