论文部分内容阅读
摘要:网络安全的五个基本目标是保密性、完整性、不可抵赖性、可用性和可控性,面临的主要威胁包括恶意代码、远程入侵、拒绝服务攻击、身份假冒、信息窃取和篡改等。
关键词:网络攻击;防御机制
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2019)09-0052-03
Abstract: The five basic targets of cybersecurity are confidentiality, integrity, non-repudiation, availability and controllability. Major threats include malicious code, remote intrusion, denial of service attacks, identity spoofing, information theft and tampering.
Key words: network attacks; defense mechanism
1 背景
计算机网络技术的迅速发展,在给人们的工作和生活带来方便的同时,也带来了巨大的安全隐患。如今,网络攻击事件屡见不鲜,给国家和社会带来巨大的经济利益损失,有时甚至危害到国家安全。因此,如何保护在网络中各台计算机存储的大量数据以及在不同计算机之间传输的数据,成为我们首要解决的关键问题。
2 网络攻击
网络攻击是指对网络的保密性、完整性、不可抵赖性、可用性、可控性产生危害的任何行为,可抽象分为信息泄露、完整性破坏、拒绝服务攻击和非法访问四种基本类型。网络攻击的基本特征是:由攻击者发起并使用一定的攻击工具,对目标网络系统进行攻击访问,并呈现一定的攻击效果,实现了攻击者的攻击意图。
网络攻击方式一般可分为读取攻击、操作攻击、欺骗攻击、泛洪攻击、重定向攻击和Rootkits技术等。
实施网络攻击的过程虽然复杂多变,但是仍有规律可循。一次成功的网络攻击通常包括信息收集、网络隐身、端口和漏洞扫描、实施攻击、设置后门和痕迹清除等步骤。网络攻击的一般流程如图1所示。
(1)信息收集
信息收集指通过各种方式获取目标主机或网络的信息,属于攻击前的准备阶段,也是一个关键的环节。首先要确定攻击目的,即明确要给对方形成何种后果,有的可能是为了获取机密文件信息,有的可能是为了破坏系统完整性,有的可能是为了获得系统的最高权限。其次是尽可能多地收集各种与目标系统有关的信息,形成对目标系统的粗略性认识。
(2)网络隐身
网络隐身通常指在网络中隐藏自己真实的IP地址,使受害者无法反向追踪到攻击者。
(3)端口和漏洞扫描
因为网络服务基于TCP/UDP端口开放,所以判定目标服务是否开启,就演变为判定目标主机的对应端口是否开启。端口扫描检测有关端口是打开还是关闭,现有端口扫描工具还可以在发现端口打开后,继续发送探测报文,判定目标端口运行的服务类型和版本信息,如经典扫描工具nmap,及其图形化工具zenmap和sparta都支持服务类型的版本的判定。通过对主机发送多种不同的探测报文,根据不同操作系统的响应情况,可以产生操作系统的“网络指纹”,从而识别不同系统的类型和版本,这项工作通常由端口扫描工具操作完成。
漏洞扫描是对指定的远程或本地计算机进行安全检测,利用发现的漏洞进行渗透攻击的行為。在检测出目标系统和服务的类型及版本后,需要进一步扫描它们是否存在可供利用的安全漏洞,这一步的工作通常由专用的漏洞扫描工具完成,如经典漏洞扫描工具Nessus,其开源版本Openvas及国产对应版本X-scan等。除了对主机系统的漏洞扫描工具外,还有专门针对Web应用程序的漏洞扫描工具,如Nikto、Golismero等,专门针对数据库DMBS的漏洞扫描工具,如NGS Squirrel。
(4)攻击实施
当攻击者检测到可利用漏洞后,利用漏洞破解程序即可发起入侵或破坏性攻击。攻击的结果一般分为拒绝服务攻击、获取访问权限和提升访问权限等。拒绝服务攻击可以使得目标系统瘫痪,此类攻击危害极大,特别是从多台不同主机发起的分布式拒绝服务攻击(DDoS),目前还没有防御DdoS较好的解决办法。获取访问权限指获得目标系统的一个普通用户权限,一般利用远程漏洞进行远程入侵都是先获得普通用户权限,然后需要配合本地漏洞把获得的权限提升为系统管理员的最高权限。只有获得了最高权限后,才可以实施如网络监听、清除攻击痕迹等操作。权限提升的其他办法包括暴力破解管理员口令、检测系统配置错误、网络监听或设置钓鱼木马。
(5)设置后门
一次成功的攻击往往耗费大量时间和精力,因此攻击者为了再次进入目标系统并保持访问权限,通常在退出攻击之前,会在系统中设置后门程序。木马和Rootkits也可以说是后门。所谓后门,就是无论系统配置如何改变,都能够成功让攻击者再次轻松和隐蔽地进入网络或系统而不被发现的通道。
设置后门的主要方法有开放不安全的服务端口、修改系统配置、安装网络嗅探器、建立隐藏通道、创建具有root权限的虚假用户账号、安装批处理文件、安装远程控制木马、使用木马程序替换系统程序等。
(6)清除痕迹
在攻击成功获得访问权或控制权后,此时最重要的事情是清除所有痕迹,隐藏自己踪迹,防止被管理员发现。因为所有操作系统通常都提供日志记录,会把所有发生的操作记录下来,所以攻击者往往要清除登录日志和其他有关记录。常用方法包括隐藏上传的文件、修改日志文件中的审计信息、修改系统时间造成日志文件数据紊乱、删除或停止审计服务进程、干扰入侵检测系统正常运行、修改完整性检测数据、使用Rootkits工具等。 3 网络防御
网络防御主要是用于防范网络攻击,随着网络攻击手段的不断进步,防御技术也从被动防御转向主动防御。现有防御技术大体可以分为数据加密、访问控制、安全检测、安全监控和安全审计技术等,综合运用这些技术,根据目标网络的安全需求,有效形成网络安全防护的解决方案,可以很好地抵御网络攻击。
常见的网络防御技术有信息加密、访问控制、防火墙、入侵防御、恶意代码防范、安全审计与查证等。
(1)信息加密
加密是网络安全的核心技术,是传输安全的基础,包括数据加密、消息摘要、数字签名和密钥交换等,可以实现保密性、完整性和不可否认性等基本安全目标。
(2)访问控制
访问控制是网络防护的核心策略。它基于身份论证,规定了用户和进程对系统和资源访问的限制,目的是合法地使用网络资源,用户不能越权访问,只能根据自身的权限来访问系统资源。
身份认证是指用户要向系统证明他就是他所声明的用户,包括身份识别和身份验证。身份识别是明确访问者的身份,识别信息是公开的,例如居民身份证件上的姓名和住址等信息。身份认证是对其身份进行确认,验证信息是保密的,例如查验居民身份证上的信息是否真实有效。身份认证就是证实用户的真实身份是否与其申明的身份相符的过程,是为了限制非法用户访问网络资源,是所有其他安全机制的基础。身份认证包括单机环境下的认证和网络环境下的认证。
(3)防火墙
所谓防火墙是指在不同网络或网络安全域之间,对网络流量或访问行为实施访问控制的一系列安全组件或设备,从技术上分类,它属于网络访问控制机制。它通常工作在可信内部网络和不可信外部网络之间的边界,它的作用是在保证网络通畅的前提下,保证内部网络的安全。这是一种被动的防御技术,也是一种静态安全组件。
防火墙的类型主要有个人防火墙和网络防火墙两类。个人防火墙有时与操作系统的安全规则相结合。网络防火墙按照工作的网络层次划分,包括包过滤防火墙、链路层网关和应用层网关三类,其中包过滤防火墙又分为有状态和无状态两类。按照实现方式划分又可以分为硬件防火墙和软件防火墙,硬件防火墙主要是基于专用硬件设备实现高速过滤,如Cisco和PIX;软件防火墙依赖于底层操作系统支持,需要在主机上安装运行配置后才能使用,如Windows自带的个人防火墙、Linux下的iptables。
(4)入侵防御
入侵是指未经授权蓄意访问、篡改数据,使网络系统不可使用的行为。入侵防御系统(Instrusion Prevention System,IPS),它是通过从网络上获得的信息,检测对系统的入侵或企图,并阻止入侵的行为。IPS是一种主动安全技术,可以检测出用户的未授权活动和误操作,可有效弥补防火墙的不足,被称为防火墙之后的第二道闸门。它通常与防火墙联合,把攻击拦截在防火墙外。与防火墙的不同之处在于,入侵防御主要检测内部网络流的信息流模式,尤其是关键网段的信息流模式,及时报警并通知管理员。
(5)恶意代码防范
所谓恶意代码实质是一种在一定环境下可以独立执行的指令集或嵌入到其他程序中的代码。恶意代码分类的标准是独立性和自我复制性。独立性是指恶意代码本身可独立执行,非独立性指必须要嵌入到其他程序中执行的恶意代码,本身无法独立执行。自我复制性指能够自动将自己传染给其他正常程序或传播给其他系统,不具有自我复制能力的恶意代码必须借助其他媒介传播。
恶意代码的传播途径包括移动媒介、Web站点、电子邮件和自动传播等。所有编程语言都可编写恶意代码,常见的恶意脚本使用VBS或JavaScript实现,木马和病毒多用C和C 实现。
(6)安全审计与查证
网络安全审计是指在特定网络环境下,为了保证网络系统和信息资源不受来自外网和内网用户的入侵和破坏,运用各种技术手段实时收集和监控网络各组件的安全状态和安全事件,以便集中报警、分析和处理的一种技术。它作为一种新的概念和发展方向,已经出现许多产品和解决方案,如上网行为监控、信息过滤等。安全审计对于系统安全的评价、对攻击源和攻击类型与危害的分析、对完整證据的收集至关重要。
4 小结
当前,网络攻击手段越来越高明,网络攻击技术正朝着自动化、智能化、系统化、高速化等方向发展,网络攻击已经对网络安全构成了极大的威胁。因此,我们必须熟知各种网络攻击的基本原理和技术,才可以更好地做好相应的防护。
参考文献:
[1] 佚名. Linux中iptables详解[J/OL]. Http://www.68idc.cn/help/jiabenmake/qita/20150516340597.html
[2] 汪列军. 安全漏洞及分类[J/OL]. http://www.2cto.com/article/201405/299140.html.
[3] 叮叮. 常见十大Web应用安全漏洞[J/OL]. http://www.evget.com/article/2014/6/20/21209.html.
【通联编辑:代影】
关键词:网络攻击;防御机制
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2019)09-0052-03
Abstract: The five basic targets of cybersecurity are confidentiality, integrity, non-repudiation, availability and controllability. Major threats include malicious code, remote intrusion, denial of service attacks, identity spoofing, information theft and tampering.
Key words: network attacks; defense mechanism
1 背景
计算机网络技术的迅速发展,在给人们的工作和生活带来方便的同时,也带来了巨大的安全隐患。如今,网络攻击事件屡见不鲜,给国家和社会带来巨大的经济利益损失,有时甚至危害到国家安全。因此,如何保护在网络中各台计算机存储的大量数据以及在不同计算机之间传输的数据,成为我们首要解决的关键问题。
2 网络攻击
网络攻击是指对网络的保密性、完整性、不可抵赖性、可用性、可控性产生危害的任何行为,可抽象分为信息泄露、完整性破坏、拒绝服务攻击和非法访问四种基本类型。网络攻击的基本特征是:由攻击者发起并使用一定的攻击工具,对目标网络系统进行攻击访问,并呈现一定的攻击效果,实现了攻击者的攻击意图。
网络攻击方式一般可分为读取攻击、操作攻击、欺骗攻击、泛洪攻击、重定向攻击和Rootkits技术等。
实施网络攻击的过程虽然复杂多变,但是仍有规律可循。一次成功的网络攻击通常包括信息收集、网络隐身、端口和漏洞扫描、实施攻击、设置后门和痕迹清除等步骤。网络攻击的一般流程如图1所示。
(1)信息收集
信息收集指通过各种方式获取目标主机或网络的信息,属于攻击前的准备阶段,也是一个关键的环节。首先要确定攻击目的,即明确要给对方形成何种后果,有的可能是为了获取机密文件信息,有的可能是为了破坏系统完整性,有的可能是为了获得系统的最高权限。其次是尽可能多地收集各种与目标系统有关的信息,形成对目标系统的粗略性认识。
(2)网络隐身
网络隐身通常指在网络中隐藏自己真实的IP地址,使受害者无法反向追踪到攻击者。
(3)端口和漏洞扫描
因为网络服务基于TCP/UDP端口开放,所以判定目标服务是否开启,就演变为判定目标主机的对应端口是否开启。端口扫描检测有关端口是打开还是关闭,现有端口扫描工具还可以在发现端口打开后,继续发送探测报文,判定目标端口运行的服务类型和版本信息,如经典扫描工具nmap,及其图形化工具zenmap和sparta都支持服务类型的版本的判定。通过对主机发送多种不同的探测报文,根据不同操作系统的响应情况,可以产生操作系统的“网络指纹”,从而识别不同系统的类型和版本,这项工作通常由端口扫描工具操作完成。
漏洞扫描是对指定的远程或本地计算机进行安全检测,利用发现的漏洞进行渗透攻击的行為。在检测出目标系统和服务的类型及版本后,需要进一步扫描它们是否存在可供利用的安全漏洞,这一步的工作通常由专用的漏洞扫描工具完成,如经典漏洞扫描工具Nessus,其开源版本Openvas及国产对应版本X-scan等。除了对主机系统的漏洞扫描工具外,还有专门针对Web应用程序的漏洞扫描工具,如Nikto、Golismero等,专门针对数据库DMBS的漏洞扫描工具,如NGS Squirrel。
(4)攻击实施
当攻击者检测到可利用漏洞后,利用漏洞破解程序即可发起入侵或破坏性攻击。攻击的结果一般分为拒绝服务攻击、获取访问权限和提升访问权限等。拒绝服务攻击可以使得目标系统瘫痪,此类攻击危害极大,特别是从多台不同主机发起的分布式拒绝服务攻击(DDoS),目前还没有防御DdoS较好的解决办法。获取访问权限指获得目标系统的一个普通用户权限,一般利用远程漏洞进行远程入侵都是先获得普通用户权限,然后需要配合本地漏洞把获得的权限提升为系统管理员的最高权限。只有获得了最高权限后,才可以实施如网络监听、清除攻击痕迹等操作。权限提升的其他办法包括暴力破解管理员口令、检测系统配置错误、网络监听或设置钓鱼木马。
(5)设置后门
一次成功的攻击往往耗费大量时间和精力,因此攻击者为了再次进入目标系统并保持访问权限,通常在退出攻击之前,会在系统中设置后门程序。木马和Rootkits也可以说是后门。所谓后门,就是无论系统配置如何改变,都能够成功让攻击者再次轻松和隐蔽地进入网络或系统而不被发现的通道。
设置后门的主要方法有开放不安全的服务端口、修改系统配置、安装网络嗅探器、建立隐藏通道、创建具有root权限的虚假用户账号、安装批处理文件、安装远程控制木马、使用木马程序替换系统程序等。
(6)清除痕迹
在攻击成功获得访问权或控制权后,此时最重要的事情是清除所有痕迹,隐藏自己踪迹,防止被管理员发现。因为所有操作系统通常都提供日志记录,会把所有发生的操作记录下来,所以攻击者往往要清除登录日志和其他有关记录。常用方法包括隐藏上传的文件、修改日志文件中的审计信息、修改系统时间造成日志文件数据紊乱、删除或停止审计服务进程、干扰入侵检测系统正常运行、修改完整性检测数据、使用Rootkits工具等。 3 网络防御
网络防御主要是用于防范网络攻击,随着网络攻击手段的不断进步,防御技术也从被动防御转向主动防御。现有防御技术大体可以分为数据加密、访问控制、安全检测、安全监控和安全审计技术等,综合运用这些技术,根据目标网络的安全需求,有效形成网络安全防护的解决方案,可以很好地抵御网络攻击。
常见的网络防御技术有信息加密、访问控制、防火墙、入侵防御、恶意代码防范、安全审计与查证等。
(1)信息加密
加密是网络安全的核心技术,是传输安全的基础,包括数据加密、消息摘要、数字签名和密钥交换等,可以实现保密性、完整性和不可否认性等基本安全目标。
(2)访问控制
访问控制是网络防护的核心策略。它基于身份论证,规定了用户和进程对系统和资源访问的限制,目的是合法地使用网络资源,用户不能越权访问,只能根据自身的权限来访问系统资源。
身份认证是指用户要向系统证明他就是他所声明的用户,包括身份识别和身份验证。身份识别是明确访问者的身份,识别信息是公开的,例如居民身份证件上的姓名和住址等信息。身份认证是对其身份进行确认,验证信息是保密的,例如查验居民身份证上的信息是否真实有效。身份认证就是证实用户的真实身份是否与其申明的身份相符的过程,是为了限制非法用户访问网络资源,是所有其他安全机制的基础。身份认证包括单机环境下的认证和网络环境下的认证。
(3)防火墙
所谓防火墙是指在不同网络或网络安全域之间,对网络流量或访问行为实施访问控制的一系列安全组件或设备,从技术上分类,它属于网络访问控制机制。它通常工作在可信内部网络和不可信外部网络之间的边界,它的作用是在保证网络通畅的前提下,保证内部网络的安全。这是一种被动的防御技术,也是一种静态安全组件。
防火墙的类型主要有个人防火墙和网络防火墙两类。个人防火墙有时与操作系统的安全规则相结合。网络防火墙按照工作的网络层次划分,包括包过滤防火墙、链路层网关和应用层网关三类,其中包过滤防火墙又分为有状态和无状态两类。按照实现方式划分又可以分为硬件防火墙和软件防火墙,硬件防火墙主要是基于专用硬件设备实现高速过滤,如Cisco和PIX;软件防火墙依赖于底层操作系统支持,需要在主机上安装运行配置后才能使用,如Windows自带的个人防火墙、Linux下的iptables。
(4)入侵防御
入侵是指未经授权蓄意访问、篡改数据,使网络系统不可使用的行为。入侵防御系统(Instrusion Prevention System,IPS),它是通过从网络上获得的信息,检测对系统的入侵或企图,并阻止入侵的行为。IPS是一种主动安全技术,可以检测出用户的未授权活动和误操作,可有效弥补防火墙的不足,被称为防火墙之后的第二道闸门。它通常与防火墙联合,把攻击拦截在防火墙外。与防火墙的不同之处在于,入侵防御主要检测内部网络流的信息流模式,尤其是关键网段的信息流模式,及时报警并通知管理员。
(5)恶意代码防范
所谓恶意代码实质是一种在一定环境下可以独立执行的指令集或嵌入到其他程序中的代码。恶意代码分类的标准是独立性和自我复制性。独立性是指恶意代码本身可独立执行,非独立性指必须要嵌入到其他程序中执行的恶意代码,本身无法独立执行。自我复制性指能够自动将自己传染给其他正常程序或传播给其他系统,不具有自我复制能力的恶意代码必须借助其他媒介传播。
恶意代码的传播途径包括移动媒介、Web站点、电子邮件和自动传播等。所有编程语言都可编写恶意代码,常见的恶意脚本使用VBS或JavaScript实现,木马和病毒多用C和C 实现。
(6)安全审计与查证
网络安全审计是指在特定网络环境下,为了保证网络系统和信息资源不受来自外网和内网用户的入侵和破坏,运用各种技术手段实时收集和监控网络各组件的安全状态和安全事件,以便集中报警、分析和处理的一种技术。它作为一种新的概念和发展方向,已经出现许多产品和解决方案,如上网行为监控、信息过滤等。安全审计对于系统安全的评价、对攻击源和攻击类型与危害的分析、对完整證据的收集至关重要。
4 小结
当前,网络攻击手段越来越高明,网络攻击技术正朝着自动化、智能化、系统化、高速化等方向发展,网络攻击已经对网络安全构成了极大的威胁。因此,我们必须熟知各种网络攻击的基本原理和技术,才可以更好地做好相应的防护。
参考文献:
[1] 佚名. Linux中iptables详解[J/OL]. Http://www.68idc.cn/help/jiabenmake/qita/20150516340597.html
[2] 汪列军. 安全漏洞及分类[J/OL]. http://www.2cto.com/article/201405/299140.html.
[3] 叮叮. 常见十大Web应用安全漏洞[J/OL]. http://www.evget.com/article/2014/6/20/21209.html.
【通联编辑:代影】