10.5.3 常见网络安全威胁
对网络攻击行为和网络攻击技术进行充分的了解和透彻的研究是确保网络安全的关键。随着网络技术的发展,目前的网络攻击威胁多种多样。
1.口令破解
用户登录系统常用方法是提供账号和口令进行身份认证。用户的账号相对容易获取,而口令是保密的。因此,黑客攻击目标时也常把破解用户口令作为目标。口令破解后,就可以以合法的身份登录系统进行各种破坏活动。口令破解的方式主要有以下几种:
(1)窃听攻击 如果在不安全的公开通信环境中明文传送口令进行身份认证,攻击者就可以在中间信道上窃听到口令。因此,口令应该经过一些变换后传递,而不能以明文方式传递。
(2)字典攻击 攻击者使用攻击软件,对各个可能的口令进行测试。具体步骤如下:首先根据用户的使用特点建立所有可能的口令表,称为字典;然后针对字典中的候选口令,逐个进行尝试,直到找到真正的口令为止,这个过程是由程序自动完成。互联网上有大量的免费攻击工具和代码可以下载,其原理都大同小异,区别主要在于破解口令的速度。
为了防范字典攻击,选择口令时应注意足够的长度和复杂度,同时口令中不要使用常见单词和个人信息。
(3)其他方式 除了上述方式外,还存在其他方法可以实现口令破解,例如攻击者伪造网银网站进行钓鱼,通过植入键盘记录软件窃取用户从键盘上输入的口令等。
2.恶意软件
传统意义上的病毒(Virus)现在已经发展成为包括病毒、蠕虫、木马、后门、间谍软件等一系列的恶意软件大家族。恶意软件和黑客攻击相结合是现在的主要安全攻击方式。
(1)恶意软件(Malware) 也称为恶意代码(Malicious Code),是怀有恶意的程序的统称。病毒、蠕虫、木马、恶意移动代码、混合多种恶意软件类型的混合攻击以及间谍软件、广告软件等都属于恶意软件。
(2)病毒(Virus) 同生物病毒相似,计算机病毒也能借助某些载体,通过执行程序来复制自己,并从一台计算机传播到另一台计算机。
(3)蠕虫(Worm) 同病毒一个显著的不同是它并不需要载体,也不需要用户的操作,完全可以自包含地复制和感染。随着互联网和网络的快速发展,蠕虫这种完全可以不依赖用户操作,不必通过“宿主”程序或文件的特性,使其可以更加容易地被感染和传播。
(4)特洛伊木马(Trojan Horse) 指的是那些看上去很友好但实际却有害的程序。正因为他们表面上友好,因此更具有迷惑性。现在特洛伊木马经常同其他攻击方式相结合,从而更隐蔽和更具破坏性。
3.拒绝服务
拒绝服务攻击(Denial of Service,简称DoS)是指通过某些手段使得目标系统或者网络不能提供正常的服务,大致可分为以下三类:
(1)利用协议本身或软件实现中的漏洞 攻击者发送一些非正常的数据包使得目标系统在处理时出现异常,导致系统崩溃。这类攻击的特点是对攻击者没有运算能力和带宽的要求,一个小的PC就可以造成一个大型系统的瘫痪。例如碎片攻击(Teardrop)就是利用了Windows95/NT处理IP分片的漏洞。攻击者向目标机器发送偏移位置重叠的分片的UDP数据包,使得目标机器在将分片重组时出现异常错误,从而导致目标系统的崩溃或重启。
(2)发送大量误用的数据包(又称风暴型攻击) 这些数据包从单个来看是无害的,但当达到一定数量后就会造成目标服务器无法正常工作。例如通常所说的邮件炸弹就是这类攻击。攻击者向一个邮件地址或邮件服务器发送大量的邮件,使得该地址或服务器的存储空间塞满,从而不能提供正常的邮件服务。
(3)分布式拒绝服务攻击 这类攻击的目标包括计算机、路由器、网络主干段、电源、冷却设备等。由于风暴型攻击往往需要大量的带宽,为了克服这种限制,黑客们研究出了拒绝服务攻击(Distributed Denial of Service,简称DDoS)。这种方法的思路很简单,就是利用更多的傀儡机同时向目标发起攻击。如果一台攻击机达不到效果,就使用10台、100台攻击机同时发起攻击。首先黑客收集目标主机的情况,包括攻击目标主机的数量、地址、配置、性能、网络带宽等。然后黑客挑选有漏洞的主机入侵,使其成为傀儡机。最后阶段是发起实质性攻击,黑客登录到控制台,向所有傀儡机发出命令,使他们一起向目标主机以高速度发送大量的数据包,导致目标主机死机或无法响应正常请求。可以看出,由于实质性攻击使用的是傀儡机的IP地址,检测DDoS攻击是非常困难的。即使检测到了也很难防范。
4.数据欺骗
数据欺骗攻击包括数据捕获、修改和损坏网络上传输的数据。它包括网络上数据包的重发和重定向数据包的目的地址。黑客利用网络协议或操作系统固有的漏洞发起这种攻击。常见的数据欺骗攻击是黑客攻入一个Web站点并修改内容。
(1)哄骗 哄骗攻击是黑客将其计算机伪造成网络上的目标计算机。黑客的目的是诱骗目标计算机来共享数据,或冒充它发出数据,得到数据修改权限。哄骗攻击可分为IP哄骗和ARP哄骗。
1)IP哄骗攻击。黑客利用伪造的IP地址或伪造一台受信任的主机来共享目标计算机。
2)ARP哄骗攻击。在TCP/IP协议中,以太网中进行通信的应用程序只需要知道通信双方的IP地址即可。根据该原理,黑客可以修改主机中的ARP表进行ARP哄骗攻击。黑客首先要劫持ARP广播信息,把目的地址改变为黑客的IP地址,并把黑客的MAC地址作为应答。路由器接到MAC地址后,认为此MAC地址是正确的,就把数据包传送到黑客的计算机。
(2)嗅探 嗅探是在计算机、电缆、路由器、与互联网连接的网络,或者和接收口令的服务器连接的网络等网络入口处放置嗅探器来捕获网络信息。
嗅探器就是一个用来监督、管理和监控网络上传输的数据的程序。在一个共享式的网络上,所有计算机通过网线连接到网卡。当数据在网络上传输时,请求被发往网络上的所有计算机。虽然所有计算机都看到了此请求,只有数据包的目的计算机才会做出响应,而其他计算机忽略此请求。嗅探器将网卡设置为混杂模式后就不对数据包进行过滤,能够接受一切通过它的数据,而不管该数据是不是传给它的。
(3)重路由 路由器是允许对数据包的非授权访问的网络上的另一个易受攻击的入口点。路由器有一个路由表,其中包含了路由信息和网络上其他主机的配置信息。路由信息协议(RIP)是用来维护路由表的。黑客利用RIP协议来操作路由信息或路由表中的主机配置信息。操作路由表可能导致网络上主机配置的路由错误,这样会导致网络上数据包的丢失。
(4)端口扫描 端口扫描是黑客在渗透一个网络或网络上的一台主机之前常用的信息收集技术。所有联网的计算机之间的通信都依赖于端口的侦听。这些端口就像是数据出入的门。例如,TCI/IP联网中任何节点的应用程序通信都通过TCP或UDP端口建立。
在端口扫描中,黑客尽力去发现网络上所有可能开放的端口,于是就向所有端口发送数据。每个数据传输单元包含了要扫描端口的应用程序类型。根据应答响应,黑客就可以确定在扫描过程中哪些应用端口是开放的。
5.社会工程
社会工程是通过人与人的交流获取信息的威胁方式。即使是在现代的信息社会,通过同人的交流获取各种信息从而进一步产生信息安全威胁往往是黑客手中最高深、最有效的方式。通常,社会工程是外部人员通过愚弄内部人员,获取所需信息或允许对非授权资源进行访问。实际上,网络钓鱼很大程度上属于一种社会工程攻击方式。
社会工程常见方式有:
(1)直接索取 直接向目标人员索取所需信息。
(2)个人冒充
1)重要人物冒充。假装是部门的高级主管,要求工作人员提供所需信息。
2)求助职员冒充。假装是需要帮助的职员,请求工作人员帮助解决网络问题,借以获得所需信息。
3)技术支持冒充。假装是正在处理网络问题的技术支持人员,要求获得所需信息以解决问题。
(3)反向社会工程 迫使目标人员反过来向攻击者求助的手段。对目标系统获得简单权限后,留下错误信息,使用户注意到信息,并尝试获得帮助。
1)推销。利用推销确保用户能够向攻击者求助,比如冒充是系统维护公司,或者在错误信息里留下求助电话号码。
2)支持。攻击者帮助用户解决系统问题,在用户不察觉的情况下,进一步获得所需信息。
(4)邮件利用 在欺骗性信件内加入木马或病毒,欺骗接收者将邮件群发给所有朋友和同事。
(5)网络钓鱼 模仿合法站点的非法站点,利用欺骗性的电子邮件或者跨站攻击诱导用户前往伪装站点,截获受害者输入的个人信息。