李光灿

（重庆大学附属三峡医院信息数据部 重庆市 404000）

1 引言

计算机技术的发展虽然给人们的生活带来了便利，但网络的攻击技术也随之更新，破坏网络安全。不管是从攻击者的角度来看还是从防御者的角度来看，对网络攻击技术特征与发展趋势的研究都具有重要的意义。

2 网络攻击的概念

网络攻击是指对网络的保密性、完整性、不可抵赖性、可用性、可控性产生危害的任何行为。

3 网络攻击的方式

网络攻击的常用方式包括：

（1）读取攻击：用于侦察和扫描，识别目标主机运行的网络服务以及可能的漏洞。

（2）操作攻击：以篡改数据为手段，攻击以特权身份运行的服务程序，取得程序的控制权，如SQL 注入、缓冲区溢出攻击。

（3）欺骗攻击：将自身伪装成其他用户实施攻击行为，冒充特权用户入侵系统。如ARP 欺骗、DNS 欺骗、IP 欺骗和网络钓鱼等。

（4）泛洪攻击：目的是让远程主机无法承受巨大的流量而瘫痪，如Smurf 攻击和DDoS 攻击等。

（5）重定向攻击：将发往目标的信息全部重定向到攻击者指定的目标主机上，有利于展开下一步攻击。如ARP 重定向是欺骗受害主机，将攻击者主机伪装成网关，从而截获所有受害主机发往互联网的报文。

（6）Rootkits 技术：Rootkits 是用于隐藏自身及指定文件、进程和链接的恶意软件工具集，集多种攻击技术于一体，常与其它恶意代码结合使用，

4 网络攻击的常用手段

网络攻击的常用手段包括：

（1）网络监听。大多数网络通信采用未经加密的明文通信，因此只要攻击者获取数据通信的传输路径即可轻易实现监听，监听型攻击会造成数据泄露，危及敏感数据安全。

（2）篡改数据。攻击者对截获的数据进行修改，并使得数据收发双方无法察觉。

（3）网络欺骗。常见的欺骗攻击主要有IP 欺骗、ARP 欺骗、DNS 欺骗、路由欺骗、网络钓鱼。

（4）弱口令攻击。攻击者通过各种方式成功获取和破解合法用户的口令，从而冒充合法用户进入系统。

（5）拒绝服务攻击。破坏性攻击，直接使目标系统停止工作或耗尽目标网络的带宽使之无法为正常请求提供服务。

（6）漏洞破解。利用系统漏洞实施攻击，获取系统访问权限。

（7）木马攻击。在正常的Web 页面或聊天界面中植入恶意代码或链接，诱使用户查看或点击，然后自动下载木马程序到目标用户主机，使得攻击者可以通过木马远程控制用户主机。

5 网络攻击的步骤

一次成功的网络攻击通常包括以下步骤：

5.1 信息收集

信息收集是指通过各种方式获取目标主机或网络的信息，属于攻击前的准备阶段，也是一个关键的环节。收集的信息通常包括：

（1）网络接入方式：拨号接入、无线局域网接入、以太网接入、VPN 远程接入等。

（2）目标网络信息：域名范围、IP 地址范围、具体地理位置等。

（3）网络拓扑结构：交换设备类型、设备生产厂家、传输网络类型等。

（4）网络用户信息：邮件地址范围、用户账号密码等。

收集信息的方式包括：

（1）使用常见的搜索引擎，如Google、百度等。

（2）使用dmitry 等工具通过whois 服务器查询主机的具体域名和地理信息。

（3）使用netdiscover 等工具查询主机的IP 地址范围，使用dnsmap、dnswalk 等工具查询域名空间。

（4）使用社会工程学手段获得有关社会信息，如网站所属公司的名称、规模，管理员的生活习惯、电话号码等。maltego 就是一款收集此类社会信息的查询工具。

5.2 网络隐身

网络隐身是指在网络中隐藏自己真实的IP 地址，使受害者无法反向追踪到攻击者。常用方法包括：

（1）IP 假冒或盗用。TCP/IP 协议不检查源IP 地址，所以攻击者可以定制一个虚假源IP；有的访问控制系统会设置IP 访问黑名单，攻击者可以修改IP 地址从而绕过该机制。

（2）MAC地址盗用。有些网络接入系统针对MAC地址做限制，攻击者通过修改自身主机的MAC 地址即可以冒充合法主机接入目标网络，从而发起攻击。

（3）代理隐藏。攻击者收集目标信息时，通常通过免费代理进行，即使被管理员发现，也仅是发现代理地址，而不会发现攻击者的真实IP；如果攻击者通过多个代理级联，那么就更加难以追踪。

（4）冒充真实用户。通过监听或破解网络合法用户的账号和口令后，利用该账户进入目标网络。

（5）僵尸机器。入侵互联网上的某台僵尸主机，通过该主机进行攻击，并在该主机上清除所有与攻击者有关的痕迹，即使目标系统的管理员发现了攻击行为，也只能看到僵尸机器的IP 地址，而发现不了攻击者的真实地址。

5.3 端口扫描和漏洞扫描

扫描首先要确定主机的操作系统类型和版本、提供哪些服务、服务软件的类型和版本等信息，然后检测这些系统软件和服务软件的版本是否存在已经公开的漏洞，并且漏洞还没有及时打上补丁。

一个端口开放即意味着远程主机开启了一个服务，这可能是一个潜在的通信通道甚至是一个入侵通道。端口扫描就是找出目标主机或目标设备开放的端口和提供的服务，为下一步攻击做好准备。它向TCP/UDP 服务端口发送探测报文，记录并分析响应报文以判断目标端口处于打开还是关闭状态，分为TCP 端口扫描和UDP 端口扫描两类。TCP 端口扫描包括全连接扫描、半连接扫描、FIN 扫描、ACK扫描、NULL扫描、XMAS扫描、TCP窗口扫描和自定义扫描等，除了全连接扫描外，其它扫描类型都属于隐蔽扫描，因为它们不会被日志审计系统发现。除了全连接和半连接扫描外，其它TCP 扫描类型的结果正确性都依赖于具体操作系统的实现。UDP 端口扫描只有唯一一种类型。

漏洞扫描是针对特定应用和服务查找目标网络中存在哪些漏洞，它们是成功实施攻击的关键所在。根据漏洞的属性和利用方法，漏洞分为操作系统漏洞、应用服务漏洞和配置漏洞等。操作系统漏洞按照不同系统分类，如Windows、Linux、UNIX 系统等；应用服务漏洞按照具体的服务类型、服务程序名和版本号分类；配置漏洞按照系统类型、程序名称和设置选项分类。网络安全管理员需要定期对管理的网络或设备进行漏洞扫描，提升网络安全性。漏洞扫描技术包括基于漏洞数据库和基于插件两种。

漏洞扫描主要采取两种方法：

（1）根据端口和服务扫描的结果，与已知漏洞数据库进行匹配，检测是否有满足匹配的漏洞存在。

（2）根据已知漏洞存在的原因设置必要的检测条件，对目标进行浅层次的攻击测试，以判断漏洞是否存在，如存在则报告漏洞的详细信息。

所谓浅层次攻击是指并不实际攻击系统，而是仅依据漏洞的特征进行测试，以判断漏洞存在的可能性，所以扫描器的报告信息有时未必十分准确。

5.4 攻击实施

通过信息收集和网络扫描收集到足够的目标信息后，攻击者即可开始实施网络攻击。攻击的目的一般分为信息泄露、完整性破坏、拒绝服务和非法访问4 种基本类型，攻击的方式主要包括口令破解、中间人攻击、恶意代码攻击、漏洞破解、拒绝服务攻击等。早期的攻击工具往往是针对某个具体漏洞单独开发，如针对Windows RPC漏洞MS03-026 的攻击工具scanms.exe，其自动寻找网络中的漏洞主机并可批量发起攻击。目前，网络攻击正在向平台化和集成化发展，攻击者可以根据研究者公开的漏洞直接在平台上利用已有模块快速开发和部署漏洞破解程序，并集成其它的工具实施完整的攻击，此类平台最著名的代表是Rapid7 公司出品的Metasploit 工具包，不仅包含大量最新的漏洞，还几乎集成了所有网络攻击所需要的软件工具，同时提供了诸多开发模块，方便攻击者开发新的破解程序。

5.5 设置后门

攻击者在成功完成对目标的远程攻击后，为保持对目标的长久控制并再次方便地进入目标系统，需要建立一些进入系统的特殊途径，即网络后门。理想的后门应该是无论用户账号是否变化，无论系统服务是开启还是关闭，无论系统配置如何变化，都存在一条秘密通道能够让攻击者再次隐蔽进入目标系统或网络。创建后门的主要方法包括：开放连接端口、修改系统配置、安装监控器、建立隐蔽连接通道、创建用户账号、安装远程控制工具和替换系统文件等。

5.6 清除痕迹

当攻击者成功进入目标系统时，不论他采取何种方式进入或者实施哪些攻击操作，操作系统或者网络服务程序分别会在日志中忠实记录相应的事件。如果安全人员每天都例行查看这些日志，则很容易发现系统被攻击或入侵。因此攻击者必须清楚地了解他的每个动作会在系统中留下什么样的记录，并且使用相应的工具或脚本将记录从日志中清除，且不会被安全人员察觉。

攻击Windows7 系统可能留下的痕迹主要包括：

（1）事件查看器记录的管理事件日志、系统日志、安全日志、Setup日志、应用程序日志、应用程序和服务日志。

（2）如果利用HTTP 协议进行攻击或者后门设置，则可能在浏览器或者Web 服务器上留下相应的访问和使用记录。

（3）相应的系统使用痕迹。

Linux 下的大多数日志文件是以文本方式或者以简单的结构体方式存入文件，因此可以针对不同的日志格式编写相应的痕迹清除工具。

6 结束语

随着计算机网络技术的发展，网络攻击技术越来越先进，我们要熟悉各种网络攻击技术，以便采用更有效的安全措施抵御网络攻击。