贝航杰

（武警上海总队，上海 200050）

0. 引言

基于互联网时代发展背景下，网络安全备受各领域关注，随着软件系统规模扩大、功能强化、内置程序逐渐增多，系统安全漏洞及风险问题不可避免。为消除安全隐患及风险，需加大网络攻击防范力度，依据具体方法及攻击对象详细探究，提出针对性的防范策略与建议。在运行管理方面组建专业化的工作队伍，加大管理制度实施力度，在根本上解决网络攻击问题，增强网络系统安全性、可靠性，实施成效显著提升。

1. 网络攻击步骤

1.1 隐藏位置

普通攻击者会利用别人的电脑隐藏自己的真实IP地址，老练的攻击者会通过800电话无人转接服务连接ASP登陆他人账号并上网。

1.2 明确攻击目标

先寻找目标主机，在Internet上识别主机IP地址，并记忆主机IP地址，再另起名字，可以顺利找到目标主机，确定攻击位置后在操作过程中获取更多的信息内容，能对目标主机有更准确的了解，借助扫描工具轻松获取主机运行系统的版本及系统用户个人信息，为入侵做好准备工作。

1.3 登陆主机

攻击者入侵一台主机，先要获取该主机用户名及密码，如果无法登录就会迫使攻击者先盗取账号文件进行破解，能找到用户名及口令，寻找时机以用户身份进入主机。也有部分攻击者利用某些工具或系统漏洞登入主机进行入侵。

1.4 获得控制权

攻击者通过FTP工具，利用系统漏洞进入主机后获得控制权。一般情况下会清理记录或留下后门，通过系统设置植入特洛伊木马或远程操纵程序，不被察觉的情况下持续进入系统[1]。大部分后门程序是提前编制好的，只需修改时间及权限就能使用，甚至文件大小未发生改变，攻击者只使用FTP传递文件，不会留下FTB记录。采用众多手段隐藏攻击者的路径，以便于后续行动。

1.5 窃取资源

攻击者找到攻击目标后会下载敏感信息，盗取账号、密码、信用卡号等，使系统瘫痪，对用户信息安全产生不利影响。

2. 网络攻击类型

2.1 木马攻击

大部分攻击者会选择特洛伊木马程序攻击方式，直接入侵用户电脑，伪装成工具程序或者游戏，使用户打开或下载。而一旦操作后就会使木马程序启动，并滞留在系统中，成为一个隐藏性的程序，随着系统启动悄悄执行。当用户连接Internet时，整个程序会被攻击者掌控，获取用户IP地址，攻击者获得信息后利用提前设置的端口及程序，随意更改计算机参数、复制文件、窥探硬盘内容等，从而达到攻击目的。

2.2 安全漏洞攻击

大部分系统具有安全漏洞，如缓冲区溢出攻击，是系统在不检查程序的过程中而产生的漏洞问题，攻击者随意操作就能获取相应的信息数据，系统会按照指令执行，存在较大隐患。攻击者发出超出缓冲区的长度命令，系统整体稳定状态缺乏基础保障。再加上特别配置的攻击字符，极易出现系统瘫痪情况，导致攻击者对整个网络获取绝对控制权。

2.3 病毒攻击

网络病毒破坏性较强，影响网络资源及计算机应用分区极易出现主机无法启动的情况，会对整个网络造成瘫痪。同时，还会有隐蔽性、复制性、传染性等特点，是大部分攻击者选择的主要手段之一。

2.4 信息探测

攻击者明确目标主机后，会通过扫描工具与主机服务开放端口进行连接，在主机端口分配的情况下，提供主机版号及漏洞信息，攻击者只需对服务端口进行攻击，就能顺利控制系统操作。信息探测并不是对主题目标直接攻击，但攻击者能获取到用户的个人信息，使用户信息安全存在一定隐患。

2.5 电子欺骗入侵

依然是考虑缓冲区溢出攻击内容长度，如果攻击者所设计的程序缓冲区长度内容超过原有标准，就会超出缓冲区，对程序造成破坏，使程序执行新的命令。例如，ROOT权限控制系统中就可顺利地完成入侵活动，缓冲区攻击的目的是系统功能及程序扰乱，以此使攻击者获得程序控制权[2]。

2.6 网络监听

考虑主机工作模式，网络监听是主要模式之一，主机接受本网段在同一条物理通道上传输的所有信息，无论信息发送方还是接收方，不会在此方面提出针对性的要求，系统在密码校验时需要输入用户名及密码，从用户端传送到服务器端，攻击者可以在两端数据鉴定方面进行攻击。如果两台主机并没有对通信信息加密设置，就会在网络监听工具的影响下，轻而易举地获取相应的信息内容。

3. 网络攻击防范策略

3.1 缓冲区溢出攻击防范策略

缓冲区溢出是属于危险的漏洞，在系统操作过程中明显存在，根本原因在于超长缓冲区长度自律拷贝到缓冲区之外，使缓冲区溢出对程序造成破坏，使系统执行新的命令，以此达到攻击目的[3]。攻击行为发生后会使运行程序失败，严重的还会使系统直接死机，无法重新启动。同时，攻击者也会根据此操作对系统发出指令，在系统内获得身份及更多信息，以多种方法进行攻击。充分说明缓冲区溢出攻击防范工作对整个系统运行安全有密切关系，还需在此方面引起重视，编制完善的防范策略，建议在系统管理方面提高重视度。关于不需要使用的特权程序要及时关闭，考虑缓冲溢出区能获更高特权使用的重要意义，由系统管理员启动服务进程，明确缓冲区溢出攻击的主要目标，能够降低攻击风险。

例如：关于fdformat缓冲区溢出漏洞，suid程序关闭格式化软盘的命令，直接去除程序或去掉suid位，适合应用在缓冲区溢出漏洞程序无补丁的情况下。而如果有补丁程序，还需迅速采取有效的补救措施，大部分入侵攻击者主要是根据已经发布的漏洞探究，掌握程序运行方式，通过系统抗攻击能力的增强起到较强的防范作用。

此外，在软件开发的过程中也需加大防范力度。

首先，了解缓冲区溢出故障问题发生的主要因素。被攻击者攻击后植入代码，对系统操作全程管控，先检查程序指针完整性，检测其是否发生改变。如果攻击者成功改变了程序指针，系统能够监测到改变的指针，直接防护处理，避免影响后续工作进度及信息安全。

其次，堆栈保护。是借助编译器技术对指针完整性的检查，了解函数活动记录，确定指针返回地址，增加附加字节，在函数返回时也能对函数是否被改动过进行检查。如果出现攻击行为，在函数返回时会被及时检测到，避免影响系统整体稳定性。

最后，数组边界检查。它是对所有数组读写操作，检查操作范围得到有效控制，通常会采用优化技术减少检查次数。常用方法有Purify存储器存取检查、Compaq C翻译器、Jones and Kelly C数组边界检查等。

3.2 木马防范策略

主要是分析特洛伊木马。虽然在执行方面看似是属于正常的程序，但运行后无法察觉，整体破坏性较强，通常情况下会获取重要的信息，并传递给攻击者。攻击者能够任意植入木马，对信息内容拷贝、破坏等，一旦计算机感染木马程序就会面临更大的隐患，还需在网络攻击防范策略制定与实施方面特别注重[4]。针对特洛伊木马的防范建议从两方面探究：

一方面是对运行反木马实时监控程序，如the cleaner，能实时监控整个系统程序的运行情况，并显示当前所有运行程序的描述数据，属于全新的杀毒软件；另一方面，对来历不明的执行软件坚决不能安装，使用前用反病毒软件检查，确定没有木马程序后再安装、使用，有效杜绝特洛伊木马入侵，不为攻击者提供入侵条件。

3.3 安全漏洞攻击防范

考虑大部分系统均存在安全漏洞，从攻击者的攻击行为方面分析，主要包括CGI漏洞、FTP协议漏洞。关于CGI漏洞攻击的防范处理，可以设置脚本权限，增强系统运行安全性，CGI程序只是简单的传递内容，不会对信息内容进行过滤，攻击者能通过页面所提供的危险指令获取脚本代码，使系统执行新的命令并运行。也有部分系统程序能够过滤一些特殊的数据，但由于攻击者故意用一些混乱的字符无法识别，能替换页面，以新的脚本对系统进行持续攻击。对此，通过CGI脚本权限设置能在根本上做好防控工作。

FTP协议漏洞攻击是在使用的端口方面来保护，关于CGI提供的其他服务任意端口，攻击者能够对其他服务进行攻击，允许无限次输入密码，攻击者可以使用口令暴力攻击。对此，还需在服务器限制方面做出改变，用户名及密码输入次数严谨控制，一旦登录失败后就需要身份验证，通过系统改变端口号的方法，使整体防控能力显著提升。

3.4 网络安全防护策略

网络安全防护策略的实施，主要目的是增强系统运行安全性、可靠性，在各个程序运行过程中有具体标准及要求，为网络安全提供有利的基础条件。同时，也会以一切网络安全活动为核心目标，在安全结构体系开发及应用方面加大管控力度，通过各项技术手段合理应用获取更精准的信息数据。对此，建议从攻击前、攻击过程中、攻击后实施防范策略。

攻击前的防范是使用防火墙成为网络安全的第一道防线，能够识别及阻挡非法攻击行为，在网络边界特殊访问控制系统中，防火墙能够有效隔离内部、外部网络信息的交流，依据网络体系结构层次能够展现出不同的功能，如IP分组过滤防火墙、应用级防火墙等。

攻击发生过程中的防范，考虑攻击者技术娴熟情况，所应用的攻击手段及工具较复杂。如果对防火墙单一化的设计及应用无法确保后续程序运行过程中的安全性，尤其是安全度较敏感的部门，那么全方位管控属于一种重要手段。在网络环境复杂的情况下，能对各类设备升级，注重系统漏洞处理，设置专业化的网络管理员动态化监管，做好系统安全管理工作，包括入侵检测系统，也是目前网络安全中的热点内容，得到更多领域关注，在不同环境中发挥着关键作用[5]。

攻击后的应对策略是通过攻击前与攻击中所获取的信息内容为参考依据，能对实践操作中的危险动作或蓄意攻击行为做好记录，并在主机上安装杀毒程序，跟踪攻击者的攻击路径及行为，分析攻击方式，及时解决系统漏洞问题，避免再次遭受攻击。追究攻击者的法律责任，依据法规有效处理，避免影响后续工作进度及网络安全。

3.5 系统化防范策略

首先，强调物理安全策略。核心目的是对计算机系统进行有效保护，避免通信链路受各项因素影响而出现安全问题。同时，关于人为破坏或蓄意攻击行为也能明确安全边界，指定安全区域通过控制保护，在访问过程中有严谨的管控依据，避免出现信息丢失、破坏等情况。如果是在商业活动中的应用，要制定完善的安全管理制度，关于非法进入计算机系统中所产生的偷窃或破坏行为要加大处理力度，杜绝网络攻击行为频繁发生。

其次，实施访问控制策略。目标是对特定信息访问及保护，关于非法使用或非法访问行为要在根本上有效管控，保证网络资源安全、可靠，也是极其重要的手段。其中，访问控制是网络安全核心，保护内容较多，如用户访问管理、网络访问控制、应用系统访问控制、保护网络服务等，对整个授权行为加大控制力度，并对使用人员的信息严格验证，避免攻击者对网络系统进行攻击。

最后，是对网络安全管理策略的实施。要控制安全等级及管理范畴，制定程序操作制度及人员出入机房管理制度，随着实践工作开展贯彻落实，再配合网络系统维护制度与应急措施的应用，能确保网络运行安全、可靠，发挥较强的防护作用，在网络安全中成为较有力的安全策略之一[6]。

4. 结语

了解网络攻击步骤及类型，为从根本上解决不法行为及所产生的各类问题，还需引起众多领域关注，加大技术手段创新及应用力度，从根本上探究各类网络攻击行为发生的具体原因，出台各项政策与法律法规，严厉打击不法行为，维护网络运行安全性、可靠性，如缓冲区溢出攻击防范策略、木马防范策略、安全漏洞攻击防范、网络安全防护策略、系统化防范策略等，消除隐患及风险，规避常规问题，满足通讯网络发展需求，并促进现代化社会和谐发展。