【正文】 第 5章 網(wǎng)絡(luò)攻擊及其防范 蘭州交通大學(xué) 李啟南 本地 ISP 公司網(wǎng)絡(luò) 區(qū)域 ISP 路由器 工作站 服務(wù)器 移動(dòng)節(jié)點(diǎn) 網(wǎng)絡(luò)攻擊是指對(duì)網(wǎng)絡(luò)系統(tǒng)的機(jī)密性 ?完整性 ?可用性 ?可控性和抗抵賴性產(chǎn)生危害的行為 ? 攻擊行為從攻擊者開始在接觸目標(biāo)機(jī)的那個(gè)時(shí)刻起可以說(shuō)就已經(jīng)開始了。比如，獲得了沒有授權(quán)的讀寫特權(quán)，或者濫用權(quán)限對(duì)系統(tǒng)的數(shù)據(jù)進(jìn)行破壞，或者使得系統(tǒng)不能正常為其他用戶提供服務(wù)的行為。 ? 攻擊是指對(duì)接入網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)的非法入侵，既攻擊者未經(jīng)合法的手段和程序而取得了使用該信息系統(tǒng)的權(quán)限。 ? 所有導(dǎo)致一個(gè)信息系統(tǒng)安全性受到破壞、服務(wù)受到影響的行為都稱為攻擊。 ? 攻擊是指謀取超越目標(biāo)網(wǎng)絡(luò)安全策略所限定的服務(wù)（入侵）或者使目標(biāo)網(wǎng)絡(luò)服務(wù)受到影響甚至停止（攻擊） 的所有行為。 所謂網(wǎng)絡(luò)的入侵是指對(duì)接入網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)的非法入侵，即攻擊者未經(jīng)合法的手段和程序而取得了使用該系統(tǒng)資源的權(quán)限 ? 網(wǎng)絡(luò)入侵的目的有多種： ?處理能力以及訪問其存儲(chǔ)內(nèi)容的權(quán)限； ； （使其毀壞或喪失服務(wù)能力） ? 黑客 惡意網(wǎng)絡(luò)攻擊者 根據(jù)我國(guó)現(xiàn)行法律的有關(guān)規(guī)定，對(duì)黑客可以給出兩個(gè)定義： ? 一是廣義的黑客，是指利用計(jì)算機(jī)技術(shù)，非法侵入或者擅自操作他人 (包括國(guó)家機(jī)關(guān)、社會(huì)組織及個(gè)人，下同 )計(jì)算機(jī)信息系統(tǒng)，對(duì)電子信息交流安全具有不同程度的威脅性和危害性的人； ? 二是狹義的黑客，是指利用計(jì)算機(jī)技術(shù)，非法侵入并擅自操作他人計(jì)算機(jī)信息系統(tǒng)，對(duì)系統(tǒng)功能、數(shù)據(jù)或者程序進(jìn)行干擾、破壞，或者非法侵入計(jì)算機(jī)信息系統(tǒng)并擅自利用系統(tǒng)資源，實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國(guó)家秘密或者其他犯罪的人。 ? 狹義的黑客包括在廣義的黑客之中，前者基本上是計(jì)算機(jī)犯罪的主體，后者的行為不一定都構(gòu)成犯罪。 黑客 惡意網(wǎng)絡(luò)攻擊者 黑客 (Hacker)源于英語(yǔ)動(dòng)詞 Hack，意為 “ 劈、砍 ” ，引申為 “ 辟出、開辟 ” ，進(jìn)一步的意思是 “ 干了一件非常漂亮的工作 ” 。 在 20世紀(jì)早期的麻省理工學(xué)院校園口語(yǔ)中，黑客則有 “ 惡作劇 ” 之意，尤其是指手法巧妙、技術(shù)高明的惡作劇。 今天的黑客可分為兩類：一類是駭客，他們只想引人注目，證明自己的能力，在進(jìn)人網(wǎng)絡(luò)系統(tǒng)后，不會(huì)去破壞系統(tǒng)，或者僅僅會(huì)做一些無(wú)傷大雅的惡作劇，他們追求的是從侵人行為本身獲得巨大的成功滿足感； 另一類是竊客，他們的行為帶有強(qiáng)烈的目的性，早期的這些黑客主要是竊取國(guó)家情報(bào)、科研情報(bào)，而現(xiàn)在的這些黑客的目標(biāo)大部分瞄準(zhǔn)了銀行的資金和電子商務(wù)的整個(gè)交易過程。 黑客 惡意網(wǎng)絡(luò)攻擊者 1964年出生于美國(guó)洛杉磯的凱文 米特尼克（ Kevin David Mitnick）如圖 ，有評(píng)論稱他為 “ 世界頭號(hào)黑客 ” 。 黑客 惡意網(wǎng)絡(luò)攻擊者 ? 他在 15歲時(shí)就成功破解北美空中防務(wù)指揮系統(tǒng)，在他 16歲時(shí)被逮捕，他也因此而成為了全球第一名網(wǎng)絡(luò)少年犯。 ? 他破譯太平洋電話公司的密碼，修改上萬(wàn)美國(guó)家庭的電話號(hào)碼，被電腦信息跟蹤機(jī)跟蹤并第一次被逮捕，出獄后又修改了不少公司的財(cái)務(wù)賬單，導(dǎo)致他又被逮捕，入獄一年。 ? 不過釋放后的米特尼克并未收手，在后來(lái)他又成功入侵了諾基亞、摩托羅拉、升陽(yáng)以及富士通等的公司計(jì)算機(jī)，盜取企業(yè)重要資料， FBI統(tǒng)計(jì)他給這些公司帶來(lái)的損失高達(dá) 4億美元。 黑客 惡意網(wǎng)絡(luò)攻擊者 ? 1994年，米特尼克對(duì)圣地亞哥超級(jí)計(jì)算機(jī)中心進(jìn)行入侵與攻擊，并戲弄 了在此工作的日裔美籍計(jì)算機(jī)安全專家下村務(wù) ，盜走了他計(jì)算機(jī)中的文件，還使用會(huì)話劫持技術(shù)盜走他的網(wǎng)站的流量。 ? 后來(lái)下村務(wù)使用 蜜罐技術(shù)設(shè)立了 “ 蜜罐 ” 讓米特尼克中計(jì)引誘他上鉤，用 “ 電子隱形化 ” 技術(shù)進(jìn)行跟蹤，結(jié)果 1995年米特尼克再次被逮捕。 ? 2021年 1月 21日，米特尼克入獄時(shí)間滿被釋放，但被禁止在以后 3年內(nèi)再接觸計(jì)算機(jī)以及手機(jī)等數(shù)碼產(chǎn)品，以戒其網(wǎng)癮并防止其利用技術(shù)再搞破壞。 黑客 惡意網(wǎng)絡(luò)攻擊者 以上只是一個(gè)黑客的典型例子 ， 網(wǎng)絡(luò)上還有許多類似的黑客 。 另具不完全統(tǒng)計(jì) ，互聯(lián)網(wǎng)上目前有大約 26萬(wàn)個(gè)網(wǎng)站在介紹黑客的知識(shí) ， 所以現(xiàn)在黑客對(duì)信息的破壞變的越來(lái)越容易 。 網(wǎng)絡(luò)黑客的活動(dòng) ， 已成為當(dāng)前網(wǎng)絡(luò)社會(huì)的一大公害 ， 黑客的反社會(huì)性日趨加劇 。 黑客的入侵嚴(yán)重危害著網(wǎng)絡(luò)社會(huì)正常秩序 ， 甚至威脅到國(guó)家安全 。 攻擊的分類 ? 根據(jù)不同的分類標(biāo)準(zhǔn)，攻擊可以有不同的分類。根據(jù)攻擊者是否直接改變網(wǎng)絡(luò)的服務(wù)，攻擊可以分為被動(dòng)攻擊和主動(dòng)攻擊。 ? 主動(dòng)攻擊 ： 主動(dòng)攻擊會(huì)造成網(wǎng)絡(luò)系統(tǒng)狀態(tài)和服務(wù)的改變。它以各種方式有選擇地破壞信息的有效性和完整性，這就是純粹的信息破壞，這樣的網(wǎng)絡(luò)侵犯者被稱為積極侵犯者，積極侵犯者截取網(wǎng)上的信息包，并對(duì)其進(jìn)行更改使它失效，或者故意添加一些有利于自己的信息，起到信息誤導(dǎo)的作用，或者進(jìn)入系統(tǒng)，使用并占用大量網(wǎng)絡(luò)資源，造成資源的消耗，損害合法用戶的利益，積極侵犯者的破壞作用較大。 攻擊的分類 A. 被動(dòng)攻擊：被動(dòng)攻擊不直接改變網(wǎng)絡(luò)狀態(tài)和服務(wù) 。它是在不影響網(wǎng)絡(luò)正常工作的情況下 ， 進(jìn)行截獲 、 竊取 、破譯以獲得重要機(jī)密信息 ， 這種僅竊聽而不破壞網(wǎng)絡(luò)中傳輸信息的侵犯者被稱為消極侵犯者 。 這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害 ， 并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏 。 攻擊的分類 ? 根據(jù)攻擊者是否是系統(tǒng)正常用戶可以分為外部人員攻擊和內(nèi)部人員攻擊。 ? 外部人員攻擊 ：不是系統(tǒng)用戶，不能通過正常的途徑進(jìn)入系統(tǒng)的攻擊者發(fā)起的攻擊。一般黑客攻擊都是指外部人員發(fā)起的攻擊。 ? 內(nèi)部人員攻擊 ：具有系統(tǒng)正常的用戶身份，擁有系統(tǒng)用戶賬號(hào)和授權(quán)。內(nèi)部人員攻擊常常被忽略。 ? 與外部人員攻擊不同，由于內(nèi)部人員對(duì)被攻擊系統(tǒng)更了解，有較多的訪問權(quán)限，內(nèi)部人員發(fā)起的攻擊往往更容易造成危害。據(jù) IDC統(tǒng)計(jì)，目前信息系統(tǒng) 80%左右的攻擊都來(lái)自于內(nèi)部人員，而只有 20%左右的攻擊都來(lái)自于外部人員。因此，要高度重視內(nèi)部人員攻擊。 網(wǎng)絡(luò)攻擊步驟 ?通常有兩種方法隱藏自己 IP： ① 入侵互聯(lián)網(wǎng)上的一臺(tái)電腦 ,利用這臺(tái)電腦進(jìn)行攻擊。 ②做多極跳板“ Sock代理”。 黑客入侵一般的完整的模式為： 隱藏自身 → 踩點(diǎn) → 掃描 → 查點(diǎn) → 分析并入侵 →獲取權(quán)限 → 提升權(quán)限 → 擴(kuò)大范圍 → 安裝后門 → 清除日志。 網(wǎng)絡(luò)攻擊的步驟： （ 1）攻擊者的身份和位置隱藏：利用被侵入的主機(jī)作為跳板，如在安裝 Windows的計(jì)算機(jī)內(nèi)利用 Wingate軟件作為跳板，利用配置不當(dāng)?shù)?Proxy作為踏板、電話轉(zhuǎn)接技術(shù)、盜用他人的賬號(hào)、代理、偽造 IP地址、假冒用戶賬號(hào)。 （ 2）收集攻擊目標(biāo)信息：主要方法有口令攻擊、端口掃描、漏洞檢測(cè)、對(duì)目標(biāo)系統(tǒng)進(jìn)行整體安全性分析，還可利用如ISS、 SATAN和 NESSUS等報(bào)告軟件來(lái)收集目標(biāo)信息。 （ 3）挖掘漏洞信息：常用的技術(shù)有系統(tǒng)或應(yīng)用服務(wù)軟件漏洞、主機(jī)信任關(guān)系漏洞、目標(biāo)網(wǎng)絡(luò)的使用者漏洞、通信協(xié)議漏洞和網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)漏洞。 （ 4）獲取目標(biāo)訪問權(quán)限：通過一切辦法獲得管理員口令。 網(wǎng)絡(luò)攻擊步驟 （ 5）隱蔽攻擊行為：包括連接隱藏、進(jìn)程隱藏和文件隱藏等。 （ 6）實(shí)施攻擊：攻擊主要包括修改刪除重要數(shù)據(jù)、竊聽敏感數(shù)據(jù)、停止網(wǎng)絡(luò)服務(wù)和下載敏感數(shù)據(jù)等。 （ 7）開辟后門：主要有放寬文件許可權(quán)、重新開放不安全的服務(wù)如 TFTP等、修改系統(tǒng)的配置如系統(tǒng)啟動(dòng)文件、替換系統(tǒng)本身的共享庫(kù)文件、修改系統(tǒng)的源代碼、安裝各種特洛伊木馬、安裝 Sniffers和建立隱蔽信道等。 （ 8）清除攻擊痕跡：主要方法有篡改日志文件中的審計(jì)信息、改變系統(tǒng)時(shí)間造成日志文件數(shù)據(jù)紊亂以迷惑系統(tǒng)管理員、刪除或停止審計(jì)服務(wù)進(jìn)程、干擾入侵檢測(cè)系統(tǒng)正常運(yùn)行和修改完整性檢測(cè)標(biāo)簽等。 網(wǎng)絡(luò)攻擊步驟 這些行為可抽象地分為四個(gè)基本情形：信息泄漏攻擊、完整性破壞攻擊、拒絕服務(wù)攻擊和非法使用攻擊 ? 攻擊類型主要有：拒絕服務(wù)攻擊，分布式拒絕服務(wù)攻擊，利用型攻擊，信息收集型攻擊，假消息攻擊等等。 網(wǎng)絡(luò)攻擊概述 拒絕服務(wù)攻擊（ Denial of Service， DoS） DoS攻擊是目前最常見的一種攻擊類型。 從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來(lái)看