網(wǎng)絡(luò)攻擊技術(shù)調(diào)研報(bào)告一、概述在這個(gè)世界上，人類不停研究和發(fā)展新的信息安全機(jī)制和工程實(shí)踐為戰(zhàn)勝計(jì)算機(jī)網(wǎng)絡(luò)安全威脅付出了艱巨的努力。似乎如果計(jì)算機(jī)攻擊手法不再翻新，有關(guān)信息安全的戰(zhàn)爭(zhēng)將很快結(jié)束。然而，這將是一場(chǎng)永不結(jié)束的戰(zhàn)爭(zhēng)，只要計(jì)算機(jī)技術(shù)在發(fā)展，就會(huì)有新的攻擊手法出現(xiàn)。安全攻擊的手段多個(gè)多樣，典型的手段包含回絕服務(wù)攻擊、非法接入、ip欺騙、網(wǎng)絡(luò)嗅探、中間人攻擊、木馬攻擊以及信息垃圾等等。隨著攻擊技術(shù)的發(fā)展，重要攻擊手段由原來單一的攻擊手段，向多個(gè)攻擊手段結(jié)合的綜合性攻擊發(fā)展。例如結(jié)合木馬、網(wǎng)絡(luò)嗅探、防回絕服務(wù)等多個(gè)攻擊手段的結(jié)合帶來的危害，將遠(yuǎn)遠(yuǎn)不不大于單一手法的攻擊，且更難控制。近年，狀況愈演愈烈，以“熊貓燒香”、“灰鴿子”事件為代表形成的黑色產(chǎn)業(yè)鏈，也凸顯理解決信息安全問題的迫切性和重要性。這些攻擊手段的新變種，與前幾年出現(xiàn)的相比，更加智能化，攻擊目的直指互聯(lián)網(wǎng)基礎(chǔ)合同和操作系統(tǒng)層次。從web程序的控制程序到內(nèi)核級(jí)rootkits，黑客的攻擊手法不停升級(jí)翻新，向顧客的信息安全防備能力不停發(fā)起挑戰(zhàn)。(注：rootkits,是一種攻擊腳本、經(jīng)修改的系統(tǒng)程序，或者成套攻擊腳本和工具，用于在一種目的系統(tǒng)中非法獲取系統(tǒng)的最高控制權(quán)限。)在長(zhǎng)久與信息安全專家的較勁中，黑客對(duì)開發(fā)隱蔽的計(jì)算機(jī)網(wǎng)絡(luò)攻擊技術(shù)更加得心應(yīng)手。同時(shí)，這些工具應(yīng)用起來也越來越簡(jiǎn)樸。以前諸多命令行的攻擊工具被人寫成gui(圖形界面)的內(nèi)核級(jí)rootkit，將這些高度詭異的攻擊武器武裝到了那些熱中于“玩腳本的菜鳥”手中，這些殺傷力很強(qiáng)的黑客工具，使“腳本菜鳥”們變得象令人敬畏的黑客。固然，工具本身是不會(huì)危及系統(tǒng)安全的-壞事都是人干的。信息安全專業(yè)人員也使用和入侵者同樣使用的掃描和監(jiān)聽工具，對(duì)系統(tǒng)安全做例行公事般地審計(jì)。在惡意顧客使用前，那些能非法控制web程序的新的滲入測(cè)試工具，也被安全人員用來測(cè)試系統(tǒng)的漏洞。但是，尚有諸多的工含有它完全黑暗的一面，例如，蠕蟲程序不停發(fā)展和傳輸，它只用來干壞事；反入侵檢測(cè)工具和諸多rootkits專門用來破壞系統(tǒng)的安全性。本文將探討某些黑客工具的獨(dú)創(chuàng)性，以及它們令普通人驚訝的功效。這對(duì)協(xié)助顧客考慮采用新技術(shù)和傳統(tǒng)方法來防備這些威脅有很重要的意義:在攻擊者攻擊來臨之前，先檢測(cè)和修補(bǔ)系統(tǒng)和軟件漏洞。二、web應(yīng)用程序：首選目的日益增加的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用為脆弱的web應(yīng)用提供了漏洞滋生的土壤。如銀行、政府機(jī)構(gòu)和在線商務(wù)公司都使用了web技術(shù)提供服務(wù)。這些機(jī)構(gòu)往往自己開發(fā)整套的web應(yīng)用程序(asp、jsp和cgi等)，而這些開發(fā)者由于沒有獲得過專業(yè)訓(xùn)練，造成這些自產(chǎn)軟件漏洞百出。web程序的開發(fā)者沒故意識(shí)到，任何傳遞給瀏覽器的信息都可能被顧客運(yùn)用和操縱。不管用不用ssl(安全套接層)，惡意顧客能夠查看、修改或者插入敏感信息（涉及價(jià)格、會(huì)話跟蹤信息甚至是腳本執(zhí)行代碼）。攻擊者能夠通過狀態(tài)操縱攻擊或者sql代碼嵌入等技術(shù)危及電子商務(wù)網(wǎng)站的安全。所謂狀態(tài)操縱攻擊(statemanipulation),是指攻擊者通過在url中修改傳遞給瀏覽器的敏感信息，隱藏表格元素和cookies，達(dá)成非法訪問的目的。如果一種安全意識(shí)松懈的web開發(fā)者，他把數(shù)據(jù)存儲(chǔ)在會(huì)話id中，而沒有考慮到價(jià)格和余額等核心數(shù)據(jù)的完整性保護(hù)，則攻擊者完全能夠修改這些數(shù)據(jù)。再加上如果web程序相信由瀏覽器傳遞過來的數(shù)據(jù)，那么攻擊者完全能夠竊取顧客帳號(hào)、修改價(jià)格或者修改帳戶余額。所謂sql代碼嵌入(sqlinjection)，是指攻擊者在普通顧客輸入中插入數(shù)據(jù)庫(kù)查詢指令。這些問題相稱多狀況下是由于輸入檢查不嚴(yán)格和在錯(cuò)誤的代碼層中編碼引發(fā)的，如對(duì)逗號(hào)”,”和分號(hào)”;”等。在這種狀況下，攻擊者能夠?qū)?shù)據(jù)庫(kù)進(jìn)行查詢、修改和刪除等操作，在特定狀況下，還能夠執(zhí)行系統(tǒng)指令。普通狀況下，web網(wǎng)頁(yè)上的顧客名表單往往是這類攻擊的入口。如果攻擊者使用proxyserver執(zhí)行這類操作，管理員將很難查到入侵者的來源。而要避免這類攻擊，必須在自研軟件開發(fā)程序上下手整治，形成良好的編程規(guī)范和代碼檢測(cè)機(jī)制，僅僅靠勤打補(bǔ)丁和安裝防火墻是不夠的?，F(xiàn)在有一類新的web應(yīng)用程序防護(hù)產(chǎn)品，通過分析全部的web連接，避免常見的應(yīng)用層攻擊和應(yīng)用層的敏感數(shù)據(jù)泄露。如sanctum開發(fā)的appshield，kavado的interdo，ubizen的dmz/shield，和spidynamics的webinspect。這些工具采用學(xué)習(xí)機(jī)制，被配臵成為能理解正常的web應(yīng)用訪問行為，在一種顧客會(huì)話中，當(dāng)異常的修改發(fā)生或者特殊字符輸入出現(xiàn)時(shí)，這種攻擊將截停非法修改并向管理員報(bào)告異常行為。另首先，一種由志愿者構(gòu)成的開放源碼組織開發(fā)了一種叫openwebapplicationsecurityproject(owasp)的項(xiàng)目，對(duì)web應(yīng)用程序中普遍存在的脆弱性做了歸類，并為建立web安全應(yīng)用和服務(wù)提供具體指南。尚有，owasp正在開發(fā)一種基于java的“web甲蟲(webscarab)”，這是一種評(píng)定web應(yīng)用安全的工具。如果web程序開發(fā)者能理解其系統(tǒng)面臨的威脅并且構(gòu)建防御機(jī)制，系統(tǒng)安全性將得到高層次的防護(hù)。開發(fā)者用到的，發(fā)送到瀏覽器的敏感數(shù)據(jù)必須含有完整性保護(hù)機(jī)制，這能夠通過md5哈希(hash)函數(shù)或者時(shí)間戳數(shù)字簽名技術(shù)來實(shí)現(xiàn);尚有,對(duì)顧客輸入必須進(jìn)行細(xì)致的檢查,過濾可能危及后臺(tái)數(shù)據(jù)庫(kù)的特殊字符、腳本語(yǔ)言和命令，涉及逗號(hào)、引號(hào)、括號(hào)、星號(hào)、百分號(hào)、下劃線和管道符等。這些字符檢測(cè)機(jī)制是在webserver實(shí)現(xiàn)，而不是在瀏覽器端實(shí)現(xiàn)，由于攻擊者能夠通過多個(gè)手段繞過客戶端的安全機(jī)制。對(duì)于這些字符能夠采用去除或者強(qiáng)制替代的辦法避免它們威脅服務(wù)器的安全。三、超隱秘”嗅探式”后門后門對(duì)計(jì)算機(jī)系統(tǒng)安全的侵?jǐn)_，其歷史已達(dá)十年之久。通過后門，攻擊能繞過正常的安全機(jī)制自如地訪問系統(tǒng)資源。近來，這類攻擊變得更加隱秘，更加難以察覺。這種新的攻擊與傳統(tǒng)的后門不同之出是，它將sniffer技術(shù)和后門技術(shù)結(jié)合起來了。傳統(tǒng)的后門是通過監(jiān)聽tcp端口和udp端口，向攻擊者敞開方便之門。對(duì)于這類后門，有經(jīng)驗(yàn)的系統(tǒng)管理員和信息安全人員能夠通過定時(shí)檢測(cè)端口使用狀況，來發(fā)現(xiàn)這些新開放的后門服務(wù)。而新類型的后門技術(shù)排除了把進(jìn)程建立在端口上的方式，而是使用sniffer(監(jiān)聽)技術(shù)，通過類型匹配的方式，被動(dòng)地捕獲后門操作者發(fā)過來的消息，從而執(zhí)行對(duì)應(yīng)的指令，后門采用的批示器能夠是一種特定的ip地址、一種tcp標(biāo)志位，甚至是一種沒有開放（偵聽）的端口。象cd00r和sadoor就是類似這樣的后門程序。嗅探式后門(sniffer/backdoors)能夠工作在混雜模式下，也能夠工作在非混雜模式下。(編者注：混雜模式是網(wǎng)絡(luò)監(jiān)聽程序要用到的工作模式，其實(shí)就是變化網(wǎng)卡設(shè)臵，把網(wǎng)卡原來只接受屬于自己的數(shù)據(jù)包的模式，改為不管什么數(shù)據(jù)包都接受的模式)。非混雜模式的嗅探式后門，只監(jiān)聽本機(jī)通信，只在受害主機(jī)上扮演威脅者的角色。而被設(shè)臵為混雜模式的后門，能夠監(jiān)聽以太網(wǎng)上其它主機(jī)的通信數(shù)據(jù)，這種模式將嚴(yán)重困擾網(wǎng)絡(luò)安全管理員。構(gòu)想下列狀況：攻擊者在dmz區(qū)(停火區(qū))其中一臺(tái)web服務(wù)器放臵嗅探式后門，監(jiān)視另一臺(tái)mail服務(wù)器的通信。對(duì)于攻擊者來說，他能夠只需要向mail服務(wù)器發(fā)送攻擊指令，但mail服務(wù)器上其實(shí)沒有裝后門，指令的執(zhí)行者是web服務(wù)器。管理員查來查去還會(huì)覺得是mail服務(wù)器中了木馬，卻很難想到其實(shí)是web服務(wù)器中標(biāo)。這是典型的偽造現(xiàn)場(chǎng)的作案思路。盡管查找開放的端口的方式已經(jīng)不夠?qū)Ω蹲钚碌暮箝T技術(shù)，但傳統(tǒng)的對(duì)付后門方式仍然是十分重要的。另外，由于大多數(shù)后門都針邊界服務(wù)器，因此，能夠運(yùn)用象tripwire和aide的完整性檢查工具檢查系統(tǒng)文獻(xiàn)，有助于發(fā)現(xiàn)后門程序。想要理解可疑端口的占用，能夠使用lsof工具(forunix)或者inzider工具(forwindows)。另外還能夠從遠(yuǎn)程使用nmap工具進(jìn)行異常端口占用檢測(cè)。如果發(fā)現(xiàn)一種未知的進(jìn)程占用了一種端口，特別是以超級(jí)顧客權(quán)限運(yùn)行的進(jìn)程，應(yīng)當(dāng)立刻進(jìn)行調(diào)查，是誰(shuí)啟動(dòng)了這個(gè)進(jìn)程。在調(diào)查不清晰的狀況下能夠果斷關(guān)閉端口或殺掉進(jìn)程。要想理解網(wǎng)卡與否被臵于混雜模式，能夠采用ifstatus(forsolaris)或者promiscdetect(forwindows)。如果想遠(yuǎn)程檢測(cè)混雜模式的sniffer，能夠選用packetfactory的sentinel工具。最后，要確保顧客單位的安全應(yīng)急小組必須掌握最新的計(jì)算機(jī)后門技術(shù)動(dòng)向。當(dāng)發(fā)現(xiàn)與后門有關(guān)的通信出現(xiàn)的時(shí)候，顧客應(yīng)當(dāng)對(duì)端口占用狀況、活動(dòng)進(jìn)程和網(wǎng)卡工作模式進(jìn)行檢測(cè)，以擬定終究是誰(shuí)中了后門。四、核心級(jí)別的rootkitsrootkits是被廣泛使用的工具，允許攻擊者獲得后門級(jí)訪問。過去，rootkits普通是替代操作系統(tǒng)中的正常二進(jìn)制執(zhí)行程序，如login程序、ifconfig程序等。但這兩年來rootkits發(fā)展很快，發(fā)展到直接對(duì)底層內(nèi)核進(jìn)行操作，而不再需要去修改單個(gè)的程序。通過修改操作系統(tǒng)核心，內(nèi)核級(jí)的rootkits使一種被修改內(nèi)核的操作系統(tǒng)看上去和正常的系統(tǒng)沒有區(qū)別，它們普通都包含重定向系統(tǒng)調(diào)用的能力。因此，當(dāng)顧客執(zhí)行類似ps,netstat或者ifconfig–a之類的指令的時(shí)候，實(shí)際執(zhí)行的是一種特洛伊的版本。這些工具還能夠隱藏進(jìn)程、文獻(xiàn)和端口使用狀況等，顧客將得不到真實(shí)的系統(tǒng)狀況報(bào)告?，F(xiàn)在攻擊者使用的rootkits有l(wèi)inux、solaris和windows等系統(tǒng)的版本。kernelintrusionsystem是其中的一款(forlinux)，是功效最強(qiáng)大的內(nèi)核級(jí)rootkits之一。對(duì)于非內(nèi)核級(jí)的rootkits，能夠使用前面說過的完整性檢查工具檢查二進(jìn)制執(zhí)行程序文獻(xiàn)被修改的狀況。這個(gè)辦法對(duì)內(nèi)核級(jí)rootkits不管用。要對(duì)付內(nèi)核級(jí)的rootkits，必須加固臨界系統(tǒng)的內(nèi)核。st.judeproject是一款監(jiān)測(cè)linux內(nèi)核完整性的工具，它通過監(jiān)測(cè)系統(tǒng)調(diào)用表的修改狀況來實(shí)現(xiàn)對(duì)內(nèi)核完整性的監(jiān)控。還能夠?qū)⑾到y(tǒng)配臵成為固化內(nèi)核的形式，建立一種不支持lkms(loadablekernelmodules)的系統(tǒng)內(nèi)核。這樣的系統(tǒng)效率更高，由于內(nèi)存管理更簡(jiǎn)樸。另外的方法是自己加固內(nèi)核。argussystemsgroup提供的pitbull工具，通過限制顧客訪問系統(tǒng)程序和內(nèi)核來保護(hù)solaris等系統(tǒng)的內(nèi)核。另外象selinux和trustedsolaris等系統(tǒng)提供附加的內(nèi)核保護(hù)功效。內(nèi)核保護(hù)機(jī)制不能被濫用，否則會(huì)使系統(tǒng)管理變得復(fù)雜，并可能影響其它程序的正常運(yùn)行。五、脈沖蛇神和其它的ddos手段蛇神，能夠指揮大批毒蛇向敵人發(fā)動(dòng)攻打。用來形容象tfn2k這樣的ddos攻擊控制工具是再適宜但是了。攻擊者通過劫持?jǐn)?shù)千臺(tái)計(jì)算機(jī)并植入dos代理后，幾乎就能夠所向無(wú)敵了。這些dos代理睬在攻擊者的指揮下同時(shí)向一臺(tái)主機(jī)發(fā)送大量的數(shù)據(jù)包，使對(duì)方服務(wù)癱瘓，使這臺(tái)主機(jī)沉沒在大量的數(shù)據(jù)包中。以往，isp普通狀況下尚能對(duì)某些ddos攻擊進(jìn)行跟蹤，通過逆流而上的辦法快速跟蹤數(shù)據(jù)包，能夠找到活動(dòng)的攻擊來源。前些年，一種叫“脈沖蛇神”的攻擊形式使網(wǎng)管難以追查攻擊的來源。攻擊者能夠使多個(gè)ddos代理交替發(fā)出flood數(shù)據(jù)包，這種隨機(jī)發(fā)包方式就好象電子脈沖同樣。如果攻擊者有幾千個(gè)這樣的代理，追查“蛇神”將變得幾近不可能。尚有更絕的?；ヂ?lián)網(wǎng)上曾經(jīng)出現(xiàn)了一種叫”反射式ddos”的攻擊辦法。這種新辦法用的是借刀殺人的思路，最少將有兩方受害。反射式ddos的原理是synflood的巧妙變形。它充足運(yùn)用了tcp三次握手機(jī)制的“優(yōu)點(diǎn)”，一種ddos代理，用一種假的源地址，向一臺(tái)高帶寬的服務(wù)器發(fā)送一種tcpsyn數(shù)據(jù)包，服務(wù)器收到這個(gè)包后來，將向這個(gè)源地址回送一種syn-ack的響應(yīng)包。攻擊者在發(fā)包前能夠?qū)⑦@個(gè)假的源地址設(shè)臵為他要攻擊的主機(jī)地址，這樣，就變成了一臺(tái)高性能/高帶寬的服務(wù)器dos目的主機(jī)。如果攻擊者用多個(gè)線程，相似的源地址，不停地向多臺(tái)高帶寬服務(wù)器發(fā)包，則目的主機(jī)將受到多臺(tái)服務(wù)器的攻擊，目的主機(jī)幾乎是“必死無(wú)疑”。用這種方式，在現(xiàn)在的互聯(lián)網(wǎng)環(huán)境下，攻擊者能夠讓yahoo或者微軟的web服務(wù)器去ddos一臺(tái)他想攻擊的主機(jī)。并且在這種狀況下，想要追查到攻擊者來源，實(shí)在是太難了。為了對(duì)付ddos攻擊，市場(chǎng)上出現(xiàn)了商業(yè)化的抗dos產(chǎn)品和解決方案。大致分為兩類，一類是基于探頭的工具，如astanetworks出品的vantagesystem和arbornetworks出品的peakflow,它們?cè)试S管理員將這些探頭布署到網(wǎng)絡(luò)的各個(gè)節(jié)點(diǎn)上，用基于異常的掃描技術(shù)發(fā)現(xiàn)不尋常的flood數(shù)據(jù)包，發(fā)現(xiàn)后將實(shí)時(shí)地調(diào)節(jié)路由器和防火墻的設(shè)臵進(jìn)行過濾。另首先，象captusnetworks出品的captio和toplayer出品的appsafe則在網(wǎng)絡(luò)邊界處直接發(fā)現(xiàn)和封殺dos數(shù)據(jù)包。即使采用這些技術(shù)，但面臨者成百上千的“蛇神”的時(shí)候，就算系統(tǒng)不停止響應(yīng)，網(wǎng)絡(luò)帶寬也會(huì)被很快消耗掉。沒有工具能夠避免帶寬的消耗。因此，如果在線連接和點(diǎn)擊量對(duì)顧客單位的業(yè)務(wù)非常重要的話，那么顧客有必要規(guī)定isp的應(yīng)急小組充足配合，從上游杜絕flood數(shù)據(jù)包。在選擇isp的時(shí)候，有關(guān)這個(gè)問題，要問清晰isp對(duì)dos攻擊是如何進(jìn)行應(yīng)急解決的。六、掃描器的發(fā)展安全掃描是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，其原理是采用仿真黑客入侵的手法去測(cè)試系統(tǒng)上有無(wú)安全上的漏洞，對(duì)目的可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查。目的能夠是工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫(kù)應(yīng)用等多個(gè)對(duì)象。然后根據(jù)掃描成果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告。掃描器基本上包含下列三個(gè)類型：端口掃描工具，如端口掃描器nmap等，它不僅能檢測(cè)操作系統(tǒng)類型，也支持隱蔽性掃描。但不能檢測(cè)系統(tǒng)漏洞。漏洞掃描工具，如web脆弱性掃描器whisker2.0版。該工具檢測(cè)已知的基于web技術(shù)的安全漏洞，如cgi、asp等。新版本涉及內(nèi)臵的ssl支持，易用性增強(qiáng)。最后一類則是公司級(jí)的分布式安全檢測(cè)評(píng)定系統(tǒng)，如cnnsscanner。它能從瀏覽器直接提交請(qǐng)求，實(shí)現(xiàn)多掃描顧客權(quán)限管理。最后得出的安全報(bào)告能協(xié)助系統(tǒng)管理員理解系統(tǒng)上的安全漏洞以及如何去修補(bǔ)這些漏洞，并能提供本地下載的升級(jí)程序或補(bǔ)丁。要避免惡意顧客威脅系統(tǒng)，我們必須：1、通過關(guān)閉全部比必要的服務(wù)和安裝系統(tǒng)補(bǔ)丁加固系統(tǒng)；2、保持對(duì)最新補(bǔ)丁和安全公示的追蹤，下載補(bǔ)丁后要在實(shí)驗(yàn)環(huán)境進(jìn)行測(cè)試，測(cè)試完后來正式安裝在主機(jī)上。3、用黑客的角度審視系統(tǒng)的安全脆弱性，通過端口掃描器和脆弱性掃描器定時(shí)對(duì)系統(tǒng)進(jìn)行檢測(cè)，最少每月一次。七、sniffer變得主動(dòng)在近來兩年，網(wǎng)絡(luò)監(jiān)聽(sniffer)技術(shù)出現(xiàn)了新的重要特性。傳統(tǒng)的sniffer技術(shù)是被動(dòng)地監(jiān)聽網(wǎng)絡(luò)通信、顧客名和口令。而新的sniffer技術(shù)出現(xiàn)了主動(dòng)地控制通信數(shù)據(jù)的特點(diǎn)，把sniffer技術(shù)擴(kuò)展到了一種新的領(lǐng)域。dugsong寫的dsniff的工具是第一批擴(kuò)展了傳統(tǒng)的sniffer概念的監(jiān)聽工具。dsniff制造數(shù)據(jù)包注入到網(wǎng)絡(luò)，并將通信數(shù)據(jù)重定向到攻擊者的機(jī)器。在這種方式下，dsniff允許攻擊者在交換環(huán)境的