李 寧

摘 要:網(wǎng)絡(luò)安全問題已經(jīng)引起了人們的普遍關(guān)注,成為當(dāng)今網(wǎng)絡(luò)技術(shù)的一個重要研究課題。本文首先概括了網(wǎng)絡(luò)安全及攻擊行為的三個階段,之后分析了網(wǎng)絡(luò)攻擊的幾種手段及其產(chǎn)生的原理,并就其中典型的拒絕服務(wù)攻擊、同步(SYN)攻擊、Web欺騙攻擊和TCP/IP欺騙攻擊方式進(jìn)行了探討,最后就普通用戶最常遇到的兩種攻擊方式做了簡要分析。

關(guān)鍵詞:網(wǎng)絡(luò)安全 攻擊 欺騙 防范

隨著Internet的進(jìn)一步發(fā)展,各種網(wǎng)上活動日益頻繁,尤其網(wǎng)上辦公、交易越來越普及,使得網(wǎng)絡(luò)安全問題日益突出,各種各樣的網(wǎng)絡(luò)攻擊層出不窮,如何防止網(wǎng)絡(luò)攻擊,為廣大用戶提供一個安全的網(wǎng)絡(luò)環(huán)境變得尤為重要。

一、網(wǎng)絡(luò)攻擊概述

網(wǎng)絡(luò)攻擊一般分為三個階段:

第一階段:獲取一個登錄賬號

對UNLX系統(tǒng)進(jìn)行攻擊的首要目標(biāo)是設(shè)法獲取登錄賬號及口令,攻擊者一般先試圖獲取存在于/etc/passwd或NIS映射中的加密口令文件,得到該口令文件之后,就對其運行Crack,借助于口令字典,Crack甚至可以在幾分鐘內(nèi)破譯一個賬號。

第二階段:獲取根訪問權(quán)

進(jìn)入系統(tǒng)后,入侵者就會收集各種信息,尋找系統(tǒng)中的種種漏洞,利用網(wǎng)絡(luò)本身存在的一些缺陷,設(shè)法獲取根訪問權(quán),例如未加限制的NFS允許根對其讀和寫。利用NFS協(xié)議,客戶與服務(wù)器的安裝守護(hù)程序先交換信息,信息交換后,生成對NFS守護(hù)程序的請求,客戶通過這些請求對服務(wù)器上的文件進(jìn)行讀或?qū)懖僮?。因?當(dāng)客戶機(jī)安裝文件系統(tǒng)并打開某個文件時,如果入侵者發(fā)出適當(dāng)?shù)腢DP數(shù)據(jù)報,服務(wù)器就將處理NFS請求,同時將結(jié)果回送客戶,如果請求是寫操作,入侵者就可以把信息寫入服務(wù)器中的磁盤。如果是讀操作,入侵者就可以利用其設(shè)置于服務(wù)器和客戶機(jī)之間的窺探器了解服務(wù)器磁盤中的信息,從而獲得根訪問權(quán)。

第三階段:擴(kuò)展訪問權(quán)

一旦入侵者擁有根訪問權(quán),則該系統(tǒng)即可被用來供給網(wǎng)絡(luò)上的其他系統(tǒng)。例如:可以對登錄守護(hù)程序做修改以便獲取口令;增加包窺探儀可獲取網(wǎng)絡(luò)通信口令;利用一些獨立軟件工具動態(tài)地修改UNLX內(nèi)核,以系統(tǒng)中任何用戶的身份截?fù)裟硞€終端及某個連接,獲得遠(yuǎn)程主機(jī)的訪問權(quán)。

二、攻擊的種類及其分析

1.拒絕服務(wù)攻擊

拒絕服務(wù)攻擊不損壞數(shù)據(jù),而是拒絕為用戶服務(wù),它往往通過大量不相關(guān)的信息來阻斷系統(tǒng)或通過向系統(tǒng)發(fā)出毀滅性的命令來實現(xiàn)。例如入侵者非法侵入某系統(tǒng)后,可向與之相關(guān)連的其他系統(tǒng)發(fā)出大量信息,最終導(dǎo)致接收系統(tǒng)過載,造成系統(tǒng)誤操作甚至癱瘓。這種供給的主要目的是降低目標(biāo)服務(wù)器的速度,填滿可用的磁盤空間,用大量的無用信息消耗系統(tǒng)資源,使服務(wù)器不能及時響應(yīng),并同時試圖登錄到工作站上的授權(quán)賬戶。

2.同步(SYN)攻擊

同步攻擊與拒絕服務(wù)攻擊相似,它摧毀正常通信握手關(guān)系。在SYN攻擊發(fā)生時,攻擊者的計算機(jī)不回應(yīng)其他計算機(jī)的ACK,而是向他發(fā)送大量的SYN ACK信息。通常計算機(jī)有一缺省值,允許它持特定樹木的SYN ACK信息,一旦達(dá)到這個數(shù)目后,其他人將不能初始化握手,這就意味著其他人將不能進(jìn)入系統(tǒng),因此最終有可能導(dǎo)致網(wǎng)絡(luò)的崩潰。

3.Web欺騙攻擊

Web欺騙的關(guān)鍵是要將攻擊者偽造的Web服務(wù)器在邏輯上置于用戶與目的Web服務(wù)器之間,使用戶的所有信息都在攻擊者的監(jiān)視之下。一般Web欺騙使用兩種技術(shù):URL地址重寫技術(shù)和相關(guān)信息掩蓋技術(shù)。

利用URL地址重寫技術(shù),攻擊者重寫某些重要的Web站點上的所有URL地址,使這些地址均指向攻擊者的Web服務(wù)器,即攻擊者可以將自己的Web站點的URL地址加到所有URL地址的前面。當(dāng)用戶與站點進(jìn)行安全鏈接時,則會毫無防備地進(jìn)入攻擊者服務(wù)器。此時用戶瀏覽器首先向攻擊者服務(wù)器請求訪問,然后由攻擊者服務(wù)器向真正的目標(biāo)服務(wù)器請求訪問,目標(biāo)服務(wù)器向攻擊服務(wù)器傳回相關(guān)信息,攻擊者服務(wù)器重寫傳回頁面后再傳給用戶。此時瀏覽器呈現(xiàn)給用戶的的確是一個安全鏈接,但連接的對象卻是攻擊者服務(wù)器。用戶向真正Web服務(wù)器所提交的信息和真正Web服務(wù)器傳給用戶的所有信息均要經(jīng)過攻擊者服務(wù)器,并受制于它,攻擊者可以對所有信息進(jìn)行記錄和修改。

由于瀏覽器一般均設(shè)有地址欄和狀態(tài)欄,當(dāng)瀏覽器與某個站點連接時,可以在地址欄中和狀態(tài)欄中獲取連接中的Web站點地址及相關(guān)的傳輸信息,用戶可由此發(fā)現(xiàn)問題,所以一般攻擊者往往在URL地址重寫的同時,利用相關(guān)信息掩蓋技術(shù)來掩蓋地址欄和狀態(tài)欄信息,以達(dá)到其掩蓋欺騙的目的。

4.TCP/IP欺騙攻擊

IP欺騙可發(fā)生在IP系統(tǒng)的所有層次上,包括硬件數(shù)據(jù)鏈路層、IP層、傳輸層及應(yīng)用層均容易受到影響。如果底層受到損害,則應(yīng)用層的所有協(xié)議都將處于危險之中。另外,由于用戶本身不直接與底層結(jié)構(gòu)相互交流,有時甚至根本沒有意識到這些結(jié)構(gòu)的存在,因而對底層的攻擊更具欺騙性。

IP欺騙供給通常是通過外部計算機(jī)偽裝成另一臺合法機(jī)器來實現(xiàn)的。他能破壞兩臺機(jī)器間通信鏈路上的正常數(shù)據(jù)流,也可以在通信鏈路上插入數(shù)據(jù),其偽裝的目的在于哄騙網(wǎng)絡(luò)中的其他機(jī)器誤將攻擊者作為合法機(jī)器而加以接受,誘使其他機(jī)器向它發(fā)送數(shù)據(jù)或允許它修改數(shù)據(jù)。

由于許多應(yīng)用程序最初設(shè)計時就是把信任建立于發(fā)送方的IP地址簿,即如果包能夠使其自身沿著路由到達(dá)目的地,并且應(yīng)答包也可以回到原地,則可以肯定源IP地址是有效的。因此一個攻擊者可以通過發(fā)送有效IP源地址屬于另一臺機(jī)器的IP數(shù)據(jù)報來實施欺騙。

一方面現(xiàn)有路由器的某些配置使得網(wǎng)絡(luò)更容易受到IP欺騙攻擊。因此利用這一點網(wǎng)絡(luò)外不用戶只要設(shè)法表明是一種內(nèi)部IP地址即可繞過路由器發(fā)送報。

另一方面,攻擊者使用偽造的IP地址發(fā)送數(shù)據(jù)報,不僅可以獲取數(shù)據(jù)報特有的有效請求,還可以通過預(yù)測TCP字節(jié)順序號迫使接收方相信其合法而與之進(jìn)行連接,從而達(dá)到TCP欺騙連接。

一個TCP連接包括三個階段:(1)建立連接;(2)數(shù)據(jù)交換;(3)斷開連接。其中最關(guān)鍵的就是數(shù)據(jù)交換。TCP協(xié)議為每個數(shù)據(jù)字節(jié)分配自己的順序號,每個TCP頭包含一個順序域。TCP數(shù)據(jù)交換中客戶方以發(fā)送帶有SYN標(biāo)志的TCP頭為開始,發(fā)送一個或多個TCP/IP數(shù)據(jù)包,接受方回送包含SYN及ACK標(biāo)志的頭答復(fù)送方的SYN頭。

初始的順序號是隨機(jī)的,當(dāng)接受方接收到客戶的序列號后首先要進(jìn)行確認(rèn),如果確認(rèn)號域有效,它就對應(yīng)于下一個期望數(shù)據(jù)字節(jié)的順序號,并設(shè)置ACK標(biāo)志。攻擊者利用偽造的IP地址成功地發(fā)送數(shù)據(jù)報后,只是獲得這些數(shù)據(jù)報特有的有效請求,要獲得些請求的答復(fù)還必須預(yù)測到TCP順序號。攻擊者對順序號的預(yù)測是一個估計與猜測的過程。攻擊者可以在客戶與服務(wù)器之間設(shè)置窺探儀來確定初始順序號,一旦攻擊者獲取了連接的初始順序號,就可以通過估算發(fā)送者發(fā)送給接收者的TCP/IP數(shù)據(jù)量計算出下一個期望的順序號,即下一個期望的順序號為:數(shù)據(jù)量+初始順序號。而事實上,一些TCP/IP實現(xiàn)并不完全采用隨機(jī)方式分配初始順序號,而是由一個簡單的隨機(jī)數(shù)生成器產(chǎn)生。這種生成器按某種固定的次序產(chǎn)生數(shù)據(jù),因此實際上可能的初始順序號只能在一個有限的范圍內(nèi),這樣預(yù)測起來就會更加方便。預(yù)測獲得的順序號只是一個估計值,它一般可分為三種情況考慮。

第一種情況:預(yù)測值正好等于下一順序號

若偽造的數(shù)據(jù)報遲于合法數(shù)據(jù)報到達(dá)且其包含的數(shù)據(jù)報少于合法數(shù)據(jù)報,則接收方將完全丟棄偽造的數(shù)據(jù)報;如果若偽造的數(shù)據(jù)報遲于合法數(shù)據(jù)報到達(dá)但其數(shù)據(jù)報包含的數(shù)據(jù)多于合法數(shù)據(jù)報,則接收方將接收偽造數(shù)據(jù)報中順序號大于合法數(shù)據(jù)報的那部分內(nèi)容,同時丟棄順序號與合法數(shù)據(jù)報重疊部分的內(nèi)容;若偽造的數(shù)據(jù)報早于合法數(shù)據(jù)報到達(dá),則接收方將丟棄合法數(shù)據(jù)報內(nèi)容。

第二種情況:預(yù)測值大于下一個順序號

在這種情況下,接收方將丟棄其中超過窗口域(即輸入緩沖區(qū))中的部分內(nèi)容,而將前面部分內(nèi)容放入緩沖區(qū)中,待下一期望順序號與第一個偽造數(shù)據(jù)報字節(jié)順序號間的空當(dāng)被合法數(shù)據(jù)填滿之后,再為接收方接收。

第三種情況:預(yù)測值小于下一個順序號

在這種情況下,偽造數(shù)據(jù)報中的前面部分內(nèi)容肯定會被丟棄,但是如果偽造數(shù)據(jù)報內(nèi)容足夠多,則接收方有可能接受其后面的內(nèi)容。

三、網(wǎng)絡(luò)上常見的幾種攻擊方式及其防范

用戶在撥號上網(wǎng)時,如果選擇了“保存密碼”的功能,則上網(wǎng)密碼將被儲存在windows目錄中,以“username.pwl”的形式存放。如果不小心被別人看到這個文件,那就麻煩了,因為從網(wǎng)上可以很輕松地找到諸如pwlview這樣的軟件來觀看其中的內(nèi)容,那上網(wǎng)密碼就泄漏了。

那么該如何防范密碼不被攻擊呢?應(yīng)從以下方面入手:(1)不用生日、電話號碼、名字等易于猜到的字符做密碼。(2)上網(wǎng)時盡量不選擇保存密碼。(3)每隔半個月左右更換一次密碼。

木馬程序是一種特殊的病毒,它通過修改注冊表等手段潛伏在系統(tǒng)中,在用戶上網(wǎng)后,種植木馬的黑客通過服務(wù)器端木馬程序控制用戶的計算機(jī),獲取用戶的口令等重要信息,其危害性非常大。

預(yù)防木馬程序應(yīng)從以下幾方面入手:(1)安裝反病毒防火墻。(2)對于不明來歷的電子郵件要謹(jǐn)慎對待,不要輕易打開其附件文件。(3)不要隨便從一些小站點下載軟件,應(yīng)從較大的知名網(wǎng)站上下載。

四、結(jié)束語

本文闡述了網(wǎng)絡(luò)攻擊的一般步驟,較詳細(xì)地介紹了幾種常見的網(wǎng)絡(luò)攻擊手段的原理,并提出了一些可行的防范網(wǎng)絡(luò)攻擊的策略,希望本文能夠為網(wǎng)絡(luò)管理員或一般的網(wǎng)絡(luò)使用者在制訂網(wǎng)絡(luò)安全策略時起到有益的參考。

參考文獻(xiàn)

1.(美)海吉著,羅進(jìn)文等譯.《網(wǎng)絡(luò)安全技術(shù)與解決方案》.人民郵電出版社,2009.3.1

2.(美)斯托林斯(Stallings,W.)著,孟慶樹等譯.密碼編碼學(xué)與網(wǎng)絡(luò)安全——原理與實踐(第四版).電子工業(yè)出版社,2006.11.1

3.龍冬陽.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用.華南理工大學(xué)出版社,2006.2.1

4.王繼剛.揭秘Web應(yīng)用程序攻擊技術(shù).水利水電出版社,2009.5.1 ■