王敏 唐俊
1湖南机电职业技术学院信息工程系 湖南 410151 2湖南城建职业技术学院信息工程系 湖南 411101
随着信息时代的到来,越来越多的企业或个人逐步意识到信息安全防护的重要性。但又非常自然的以为安全技术能帮助他们免受网络入侵者的恶意攻击。但是,假如这样,追求的只是一种安全意识,却忘记了安全的最薄弱环节:人为因素。因此,分析黑客发动攻击的心理及动机,以及所采用的工具、技术和攻击方法是非常必要的,用以给每个关心网络安全性的人提供帮助。
浩瀚的因特网上有几十亿可能的公有IP地址,因此发现一个适当的目标难度该有多大?这或许是人们首先关注的安全问题。连接入网是黑客发现你的方法之一;因此,必须考虑如何避免黑客的攻击。购买最好的安全技术工具来保护你的PC,并且经常打补丁以保证这些技术是最新。并且希望公司有专门负责网络安全的小组,希望安全专家都具有高水平的技术能力等。事实上普通信息窃取,垃圾搜寻(dumpser diving)才是信息安全最薄弱的环节。问题就在于,对一个社会工程师来说,即便是公司丢弃的垃圾也是不安全的。使用“社会工程学”的黑客能够很轻松地获得这样的信息,连同另外一些更容易弄到的信息就可以进行下一步的入侵了。
很多时候,黑客使用多种工具在网络上游荡,并且随时准备发现某个可能的目标。除了黑客以外,还有许多“菜鸟级”的网络捣乱者。判定你是否会成为一个“机会性目标”的关键在于你的安全构架。根据经验,如果你没有适当的防火墙或者防火墙很长时间没有升级过了,你就有可能成为黑客的一个“机会性目标”。
黑客在选择目标的时候通常在心里已有了一个目标。或许你的公司有一种引发业界革命的新产品,或许你的信用很好以致身份令人垂涎,或许某雇员对公司不满,或许你的公司掌握着某人很看重的其他公司的信息,或许公司业务已陷入混乱而早已被人觊觎,或许公司业务被卷入社会政治风波,在这些情况下,或者其他许多情况下,你正式成为黑客的一个选择性目标。
攻击者可以采用多种方式访问一个系统,无论攻击者的目标是何种系统,他们采取的步骤都基本相同。
侦察和踩点就是指黑客对公司和网络进行的情报准备。黑客指望着能在该阶段获得有用信息。
2.1.1 被动侦探(passive reconnaissance)
使用DNS进行被动侦探,如nslookup命令即可泄露你的网络域名信息;可见只使用 DNS工具,黑客就可以得到目标网站的公开IP地址以及其DNS和E-mail服务器的地址等。另外Whois是许多应用和因特网免费提供的一个工具,利用它,目标公司的网址已经成为一种非常有用的信息,攻击者从中可以得到很多信息。黑客可将这些信息用于社会工程学,获得网络系统识别和系统管理员身份等。通过这些信息的跟踪,黑客可能会对目标网络有了一个更深层次的洞察。
2.1.2 主动侦探(active reconnaissance)
通过目标网络的公开 IP地址来确定在这些服务器上运行了什么服务。如使用Google搜索关键词“Welcome to IIS 4.0”,你就会发现究竟有多少IIS服务器在运行。同时黑客常使用WhatRoute对一类子网进行ping扫描,从扫描结果了解自己是否可能被发现,从而采用主动侦探的方式,一直到他获得足够的信息来找到一个可以攻击该系统的漏洞。
侦察和踩点之后,黑客弄清楚了网络内的主机分布、使用的操作系统、系统管理员信息、提交到新闻组的讨论、办公地点,以及上游的入侵防御系统。黑客掌握了网络和设备布局后,就准备对服务和开放端口进行监听,以确定将承担的风险、留下的痕迹等。黑客经常使用 NMAP、TigerSuite进行详细扫描,以获得有用信息。另外一类扫描是弱点(漏洞)扫描,通常使用 X-Scanner、Superscan、扫描器流光等发现系统漏洞。
网络环境的勾画包括踩点、扫描和枚举分析。黑客通过踩点可以将其活动范围限定到那些最有希望发现漏洞的系统上。通过扫描则可以找到开放的端口和正在运行的服务。枚举分析用于提取有效的账户信息以及输出资源。枚举分析包括对特定系统的动态连接以及对这些特定系统的直接连接请求。针对不同操作系统都有相应的枚举分析技术来对付。其中Windows操作系统中常使用net view、nbtstat进行枚举分析。
很多人都错误的认为黑客想要“控制”入侵的目标设备,其实黑客更有可能是想获得进入目标主机的访问通道。使用枚举分析找到更容易的入口后,就可以用合法的用户账号以及缺乏保护的资源共享来开始更强力的侦测,从而获得访问通道。黑客必须通过系统某个方面的漏洞来获得对该系统的访问通道。通常采用操作系统攻击、应用程序攻击、错误配置攻击、脚本攻击四类攻击。
2.4.1 操作系统攻击
操作系统首先必须满足用户的各种需求,在一定程度上支持网络环境,要求的网络能力越强,提供的服务也就越多,随之开放端口也会多,提供更多可用的动态服务,黑客就有越多机会选择攻击,从而获得访问通道。
2.4.2 应用程序攻击
应用程序的不完善,不规范也是获得访问通道的途径。
2.4.3 错误配置攻击
系统管理员的工作就是保证系统安全或系统能提供用户需要的功能。这通常意味着需要进行系统配置。错误配置没有让系统管理员引起重视,他们一般不会回头研究如何解决碰到的难题,也不会禁用那些不需要的服务;另外忘记改变写入设备程序的缺省管理用户名和口令,也是黑客攻击获取通道的途径。
2.4.4 脚本攻击
UNIX和Linux使用脚本攻击最简单。许多这样的操作系统都自带可用的例子脚本和程序。它们一旦被启动或未经测试,就有可能导致你的系统被黑客攻击。缓冲区溢出、暴力破解口令、尝试且嗅探口令、捕获口令标记等。
尽管获得对系统的访问通道,可普通用户或许并不具备有黑客为达到目的所需要的权限,黑客必须提升权限级别。黑客可能采取的行动:进入系统内部,运行适当的系统漏洞检测代码获得更多的权限;使用多种免费的口令破解工具来破译口令;搜寻未经加密(即明文)的口令;考察一下被入侵的系统和网络中其他系统之间的信任关系,以期发现另外一个攻击机会;查看文件或共享权限是否设置不当。黑客还可能采用拒绝服务(DoS)攻击、同步(SYN flood)攻击、ICMP技术、碎片重叠/碎片偏移错误、缓冲区溢出等。
黑客实现了对目标系统的控制之后,必须隐藏踪迹,防止被管理员察觉。对基于Windows的系统,黑客必须清除或整理时间日志和注册表表项。对基于UNIX的系统,他则必须清空历史文件,并且运行日志清除工具(log wiper)来清理UTMP、WTMP以及LastLog日志文件。
初次入侵后,黑客想要保持进入该系统的访问通道,他就会创建后门以便以后再次访问。可能使用Netcat、VNC、键盘记录器、定制程序等工具,建立系统账户、定期执行批处理任务、开机运行程序或者远程控制服务或软件,以及用木马伪造合法的服务或程序等。
网络安全意识是安全的前提,必须坚持强化意识、自觉防范、主动作为的原则。杜绝黑客窃取普通信息,培养公司所有资料都应该视为敏感信息的意识,主动填补社会工程学陷阱。看似无关紧要的普通信息都应该保护起来,每个员工都应该意识到,除非在数据分级标准里明确规定,否则绝不能泄露。降低该网络系统成为攻击目标的可能性。
定期查看系统日志,关注网络安全基础工具,发现异端及时处理,觉察入侵者的侦察和踩点行为并予以制止。
及时观察系统补丁是网络安全的基础,微软不断推出新的补丁,为了网络信息的安全,还是应该到微软的站点下载用户电脑操作系统对应的补丁程序,很多的病毒木马程序都是由于系统的漏洞才使得它们有机可乘。许多应用软件也存在漏洞,也有非法者入侵者的“窗口”,也要注意并及时打好补丁。削弱入侵者的扫描效果,减少访问通道获得的机率,同时可以防止权限提升。
服务开得多可以给管理带来方便。但也会给黑客留下可乘之机,因此应该关闭用不到的服务。比如在不需要远程管理计算机时,最好把有关远程网络登录的服务关掉。去掉不必要的服务之后,不仅能提高系统运行速度,而且还可以保证系统的安全。
文件和打印共享应该是一个非常有用的功能,但它也是引发黑客入侵的安全漏洞。所以在不需要“文件和打印共享”的情况下,我们可以将其关闭。即便确实需要共享,也应该为共享资源设置访问密码。
杜绝枚举分析,最好方法是设置路由器和防火墙以阻挡NetBIOS包的出入。为了防止对安全的分层攻击,禁用135至139间的TCP及UDP端口,Windows的TCP和UDP445端口。
在默认的情况下,任何用户都可以通过空连接连上服务器,枚举账号并猜测密码。因此我们必须禁止建立空连接。拒绝枚举分析,以及起到关闭“后门”的作用。
计算机网络的飞速发展,势必同时也伴随着网络攻击的猖獗,本文从发现正确的目标到执行攻击,对黑客的攻击方法做了一些相应的剖析,旨在帮助关心网络安全的人群能更加关注安全问题,并且有针对性的结合防范措施避免入侵者的恶意攻击。
[1]Tom Thomas.Network Security first-step.posts&telecom press.2005.
[2]Kevin Mitnick,William Simon. The Art of Deception: Controlling the Human Element of Security.2005.
[3]宋庆大,颜定军.计算机安全漏洞与应对措施[J].计算机安全.2009.
[4]张小磊,计算机病毒诊断与防治[M].北京希望电子出版社.2005.
[5]方晓,迟霄霄,孟丹丹.计算机网络与防范研究.计算机安全.2009.