1、网络安全技术发展分析2007 年,网络安全界风起云涌,从技术更加精湛的网络注入到隐蔽性更强的钓鱼式攻击,从频频被利用的系统漏洞到悄然运行的木马工具,网络攻击者的手段也更加高明。网络攻击的发展趋势综合分析 2007 年网络攻击技术发展情况,其攻击趋势可以归纳如下:如今安全漏洞越来越快,覆盖面越来越广新发现的安全漏洞每年都要增加一倍之多,管理人员要不断用最新的补丁修补这些漏洞,而且每年都会发现安全漏洞的许多新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。攻击工具越来越复杂攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比,攻击工具的特征更难发现,更难利用特征进行检测。攻击工具具有以
2、下特点: 反侦破和动态行为攻击者采用隐蔽攻击工具特性的技术,这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多;早期的攻击工具是以单一确定的顺序执行攻击步骤,今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理,来变化它们的模式和行为。 攻击工具的成熟性与早期的攻击工具不同,目前攻击工具可以通过升级或更换工具的一部分迅速变化,发动迅速变化的攻击,且在每一次攻击中会出现多种不同形态的攻击工具。此外,攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。攻击自动化程度和攻击速度提高,杀伤力逐步提高扫描可能的受害者、损害脆弱的系统。目前,扫描工具利用更先进的扫描模式来
3、改善扫描效果和提高扫描速度。以前,安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分,从而加快了攻击的传播速度。传播攻击。在 2000 年之前,攻击工具需要人来发动新一轮攻击。目前,攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播,在不到 18 个小时内就达到全球饱和点。越来越不对称的威胁Internet 上的安全是相互依赖的。每个 Internet 系统遭受攻击的可能性取决于连接到全球 Internet 上其他系统的安全状态。由于攻击技术的进步,一个攻击者可以比较容易地利用分布式系统,对一个受害者连续发动破坏性的攻击。随着部署自
4、动化程度和攻击工具管理技巧的提高,威胁的不对称性将继续增加。越来越高的防火墙渗透率防火墙是人们用来防范入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙,例如,Internet 打印协议和WebDAV(基于 Web 的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。对基础设施将形成越来越大的威胁基础设施攻击是大面积影响 Internet 关键组成部分的攻击。由于用户越来越多地依赖 Internet 完成日常业务,基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对 Internet 域名系统(DNS)的攻击和对路由器攻击或利用路由器的攻击。攻击工具的自动化
5、程度使得一个攻击者可以安装他们的工具并控制几万个受损害的系统发动攻击。入侵者经常搜索已知包含大量具有高速连接的易受攻击系统的地址块,电缆调制解调器、DSL 和大学地址块越来越成为计划安装攻击工具的入侵者的目标。我们可以从攻击者的角度出发,将攻击的步骤可分为探测(Probe)、攻击(Exploit)和隐藏(Conceal)。同时,攻击技术据此可分为探测技术、攻击技术和隐藏技术三大类,并在每类中对各种不同的攻击技术进行细分。探测技术和攻击测试平台的发展探测是黑客在攻击开始前必需的情报收集工作,攻击者通过这个过程需要尽可能详细的了解攻击目标安全相关的方方面面信息,以便能够集中火力进行攻击。探测又可以
6、分为三个基本步骤:踩点、扫描和查点。如果将服务器比作一个大楼,主机入侵信息收集及分析要做的工作就如在大楼中部署若干个摄像头,在大楼发生盗窃事件之后,对摄像头中的影像进行分析,进而为报案和“亡羊补牢”做准备。第一步:踩点。是指攻击者结合各种工具和技巧,以正常合法的途径对攻击目标进行窥探,对其安全情况建立完整的剖析图。在这个步骤中,主要收集的信息包括:各种联系信息,包括名字、邮件地址和电话号码、传真号;IP 地址范围 ;DNS 服务器;邮件服务器。对于一般用户来说,如果能够利用互联网中提供的大量信息来源,就能逐渐缩小范围,从而锁定所需了解的目标。几种实用的流行方式有:通过网页搜寻和链接搜索、利用互
7、联网域名注册机构进行 Whois 查询、利用 Traceroute 获取网络拓扑结构信息等。第二步:扫描。是攻击者获取活动主机、开放服务、操作系统、安全漏洞等关键信息的重要技术。扫描技术包括 Ping 扫描( 确定哪些主机正在活动 )、端口扫描(确定有哪些开放服务) 、操作系统辨识(确定目标主机的操作系统类型)和安全漏洞扫描( 获得目标上存在着哪些可利用的安全漏洞) 。Ping 扫射可以帮助我们判断哪些系统是存活的。而通过端口扫描可以同目标系统的某个端口来建立连接,从而确定系统目前提供什么样的服务或者哪些端口正处于侦听状态。著名的扫描工具包括 nmap、netcat 等,知名的安全漏洞扫描工具
8、包括开源的 nessus 及一些商业漏洞扫描产品如 ISS 的Scanner 系列产品。另外,在网络环境下,网络扫描技术则是指检测目标系统是否同互联网连接、所提供的网络服务类型等。通过网络扫描获得的信息有:被扫描系统所运行的 TCP/UDP 服务;系统体系结构; 通过互联网可以访问的 IP 地址范围;操作系统类型等。第三步:查点。是攻击者常采用的从目标系统中抽取有效账号或导出资源名的技术。通常这种信息是通过主动同目标系统建立连接来获得的,因此这种查询在本质上要比踩点和端口扫描更具有入侵效果。查点技术通常和操作系统有关,所收集的信息包括用户名和组名信息、系统类型信息、路由表信息和 SNMP 信息
9、等。综观本年度比较热门的攻击事件,可以看到,在寻找攻击目标的过程中,以下手段明显加强:(1) 通过视频文件寻找“肉鸡”。在今年,这种方法大有星火燎原之势,攻击者首先要配置木马,然后制作视频木马,如 RM 木马、WMV 木马等,然后通过 P2P 软件、QQ 发送、论坛等渠道进行传播,用户很难察觉。(2) 根据漏洞公告寻找“肉鸡”。现在,关于漏洞技术的网站专业性更强,在 http:/ 这个网站上,经常会公布一些知名黑客发现的漏洞,从远程攻击、本地攻击到脚本攻击等,描述十分详细。在漏洞补丁没发布前,这些攻击说明可能会进一步加大网络安全威胁。(3) 利用社会心理学、社会工程学获取目标信息。比如,通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已呈迅速上升甚至滥用的趋势。
