20CN网络安全小组论坛 - 茶余饭后

论坛: 茶余饭后标题: 八大攻击机制威胁

作者: ilovewhere [ilovewhere]

论坛用户

第三章:八大攻击机制威胁
人类不断研究和发展新的信息安全机制和工程实践，为战胜计算机网络安全威胁付出了艰巨的努力。2002年出现的攻击手段的新变种，与去年前年出现的相比，更加智能化，攻击目标直指互联网基础协议和操作系统层次。从web程序的控制程序到内核级rootkits，黑客的攻击手法不断升级翻新，向用户的信息安全防范能力不断发起挑战。但各种攻击手段大多数都是基于蠕虫、后门、rootkits、DoS和sniffer等攻击机制产生的。为了使用户更加了解主要攻击机制的特点，使其有针对性的进行防御， CNNS安全小组综合各方面因素评选出2002年八大攻击机制，详细情况如下：

蠕虫
回顾早期爆发的蠕虫攻击，其强大的破坏力几乎撼动了当时大多数人对英特网的信心,人们对此所表现出来的恐慌令人感到震惊。而在2002年流行的病毒中蠕虫病毒仍然占据了很大一部分。通过E-mail，或者网页，甚至在局域网内通过共享文件夹等方式进行传播的蠕虫，感染速度非常快，借助于互联网可以在短短几天传播到世界各地。

无论是手段的高明性，还是破坏的危害性，计算机网络受到蠕虫的威胁都在激增。在我们的民意调查中显示人们仍旧将这一威胁看作是计算机网络将面临的最大威胁之一。

基于Web应用程序的攻击
日益增长的网络业务应用为脆弱的web应用提供了漏洞滋生的土壤。如银行、政府机构和在线商务企业都使用了web技术提供服务。这些机构往往自己开发整套的web应用程序(ASP、JSP和CGI等)，而这些开发者由于没有获得过专业训练，导致这些自产软件漏洞百出。Web程序的开发者没有意识到，任何传递给浏览器的信息都可能被用户利用和操纵。不管用不用SSL(安全套接层)，恶意用户都可以查看、修改或者插入敏感信息（包括价格、会话跟踪信息甚至是脚本执行代码）。攻击者可以通过状态操纵攻击或者SQL代码嵌入等技术危及电子商务网站的安全。

后门
后门对计算机系统安全的侵扰，其历史已达十年之久。通过后门，攻击能绕过正常的安全机制自如地访问系统资源。最近，这类攻击变得更加隐秘，更加难以察觉。这种新的攻击与传统的后门不同之出是，它将sniffer技术和后门技术结合起来了。传统的后门是通过监听TCP端口和UDP端口，向攻击者敞开方便之门。对于这类后门，有经验的系统管理员和信息安全人员可以通过定期检测端口使用情况，来发现这些新开放的后门服务。

而新类型的后门技术排除了把进程建立在端口上的方式，而是使用sniffer(监听)技术，通过类型匹配的方式，被动地捕捉后门操作者发过来的消息，从而执行相应的指令，后门采用的指示器可以是一个特定的IP地址、一个TCP标志位，甚至是一个没有开放（侦听）的端口。

rootkits
rootkits, 是一种攻击脚本、经修改的系统程序，或者成套攻击脚本和工具，用于在一个目标系统中非法获取系统的最高控制权限。Rootkits是被广泛使用的工具，允许攻击者获得后门级访问。过去，rootkits通常是替换操作系统中的正常二进制执行程序，如login程序、ifconfig程序等。但这两年来rootkits发展很快，发展到直接对底层内核进行操作，而不再需要去修改单个的程序。

通过修改操作系统核心，内核级的rootkits使一个被修改内核的操作系统看上去和正常的系统没有区别，它们通常都包含重定向系统调用的能力。因此，当用户执行类似ps,netstat或者ifconfig �Ca之类的指令的时候，实际执行的是一个特洛伊的版本。这些工具还可以隐藏进程、文件和端口使用情况等，用户将得不到真实的系统情况报告。

DoS
拒绝服务攻击，通常是以消耗服务器端资源为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，使正常的用户请求得不到应答，以实现攻击目的。由于DoS攻击工具的泛滥，及所针对的协议层的缺陷短时无法改变的事实，DoS也就成为了流传最广、最难防范的攻击方式。

拒绝服务攻击根据其攻击的手法和目的不同，有两种不同的存在形式：一种是以消耗目标主机的可用资源为目的，使目标服务器忙于应付大量的非法的，无用的连接请求，占用了服务器所有的资源，造成服务器对正常的请求无法再做出及时响应，从而形成事实上的服务中断。这也是最常见的拒绝服务攻击形式；另一种拒绝服务攻击是以消耗服务器连路的有效带宽为目的，比如服务器的出口为2M的带宽线路，攻击者通过发送大量的有用或无用数据包，将整条链路带宽全部占用，从而使合法用户请求无法通过链路到达服务器，服务器对部分合法请求的回应也无法返回用户，造成服务中断。

对于这种攻击，可以说非常难以区分和防范，它本来就是利用网络发展过程中不可避免的资源紧缺造成的矛盾进行攻击，大量的合法请求只要涌向一个资源有限的网络系统，就可能造成服务故障，很难说这样的行为是攻击行为还是正常的访问，在2000年中美黑客大战中，就有人号召国人集中力量共同点击访问美国白宫的网站，生成大量的流量，从而造成对白宫网站的拒绝服务攻击的事实。当然从现实来说，这是不合实际和难以奏效的，但是从占用网络资源实现攻击目的的手段来说，它又的确是符合这种攻击的原理和特点的。从这种方式可以看出，对于这种攻击，无论从技术和法律上都难以防范和追查。

Sniffer
在最近两年，网络监听(sniffer)技术出现了新的重要特征。传统的sniffer技术是被动地监听网络通信、用户名和口令。而新的sniffer技术出现了主动地控制通信数据的特点，把sniffer技术扩展到了一个新的领域，并出现了一批扩展了传统sniffer概念的监听工具。攻击者制造数据包注入到网络，并将通信数据重定向到攻击者的机器。这将导致允许攻击者在交换环境的网络内窃听数据，甚至在攻击者和攻击目标不在同一个Lan(局域网)的情况下，也能使攻击者收集到他想要的数据。

此外，无线Sniffer也是威胁无线网络安全性的强有力工具。无线网络常用WEP(Wired Equivalent Privacy)加密手段，安全性非常脆弱。攻击者只要一个装有类似NetStumbler的膝上型电脑和一根廉价的天线，并使用类似Airsnort或者基于java的Mognet等无线sniffer工具，就可以截获无线网络的通信数据。随后攻击者还可以使用Airsnort对WEP的解密功能对信息进行解密。在监听数百万个无线网络连接的数据包后，Airsnort就能确定用于保护用户数据的密钥。

利用程序自动更新存在的缺陷
主流软件供应商,像Microsoft和Apple Computer等都允许用户通过Internet自动更新他们的软件。通过自动下载最新发布的修复程序和补丁，这些自动更新工具可以减少配置安全补丁所耽误的时间。

但是程序允许自动更新的这个特征却好比一把双刃剑，有有利的一面，也有不利的一面。攻击者能够通过威胁厂商Web站点的安全性，迫使用户请求被重定向到攻击者自己构建的机器上。然后，当用户尝试连接到厂商站点下载更新程序时，真正下载的程序却是攻击者的恶意程序。这样的话攻击者将能利用软件厂商的自动更新Web站点传播自己的恶意代码和蠕虫病毒。

在2002年，Apple 和 WinAmp 的Web站点自动更新功能都被黑客成功利用过，所幸的是发现及时(没有被报道)。Apple 和 WinAmp 后来虽然修复了网站的缓冲溢出缺陷，并使用了代码签名(Code Signing)技术，但基于以上问题的攻击流一直没有被彻底清除。

针对路由或DNS的攻击
Internet主要由两大基本架构组成：路由器构成Internet的主干，DNS服务器将域名解析为IP地址。如果一个攻击者能成功地破坏主干路由器用来共享路由信息的边界网关协议（BGP），或者更改网络中的DNS服务器，将能使Internet陷入一片混乱。

攻击者通常会从头到脚，非常仔细地检查一些主流路由器和DNS服务器的服务程序代码，寻找一些能够使目标程序或设备彻底崩溃或者取得系统管理权限的缓冲溢出或其它安全缺陷。路由代码非常复杂，目前已经发现并已修复了许多重要的安全问题，但是仍旧可能存在许多更严重的问题，并且很可能被黑客发现和利用。DNS软件过去经常发生缓冲溢出这样的问题，在以后也肯定还可能发生类似的问题。如果攻击者发现了路由或DNS的安全漏洞，并对其进行大举攻击的话，大部分因特网将会迅速瘫痪。

地主发表时间: 01/23 17:55

论坛: 茶余饭后