信息系统常见攻击与防范

梁全锦

摘要：该文介绍了信息系统被攻击的常见手段，并提出了防范措施，促使工作人员提高防范意识。

关键词：互联网；信息系统；攻击；防范

中图分类号：TP393

文献标识码：A

文章编号：1009-3044（2017）10-0038-02

1.引言

随着互联网的兴起和发展，互联网已经渗透每个人的生活的方方面面，利用互联网信息系统提高企业单位的工作效率和管理水平开始变得普遍。越来越多的小型企业单位架构的信息系统暴露在互联网上，由于许多小型企业单位疏于对信息系统的管理，众多信息系统成了攻击的目标。

2.常见攻击手段

1）拒绝性服务攻击

此类攻击通过耗尽对方带宽、内存、磁盘空间、处理器时间等计算机资源，目的是瘫痪对方系统，使其无法提供服务。攻击者往往利用在网络中大量受控主机（俗称“肉鸡”），集中对目标系统进行泛洪IP报文直至系统崩溃。

Synflood攻击：通过发送大量伪造的tcp/syn包给被攻击者，被攻击者收到此包后，会建立一个半连接，然后发送tcp/syn-ack包给源ip主机，由于发送的包都是伪造的，因此被攻击机器永远收不到tcp/ack包，三次握手无法完成，一直保持一个半连接状态，耗尽被攻击机器的链接数，阻止合法的请求链接。值得注意的是因为攻击实现难度低，在网络中越来越常见，syn-flood只需要少量主机就可以瘫痪一个小型企业级信息系统；

Teardrop attack攻击：发送大量的、过大的错位IP碎片到被攻击的机器。造成操作系统崩溃。这个是因为在TCP/IP碎片重组代码中存在bug；

Http_halfconnect：攻击者发送一个完整的、合法的http posthead，包含一个Content-Length区域，即要发送的消息长度，通常这个长度设置的非常大，但是发送速度又很慢，这样可以长时间hold住连接不断开。

2）系统攻击

信息系统往往包含操作系统、数据库、Web应用等，攻击成功后往往可以获取信息系统的控制权、获取数据库敏感信息。常见有操作系统攻击、数据库SQL注入攻击、跨站脚本攻击。

操作系统攻击：主要利用系统弱口令和开放漏洞端口进行渗透攻击，由于安全意识的确实，大量漏洞主机暴露在互联网上，成为攻击的对象。常见的系统漏洞也会给攻击者提供攻击的入口，如溢出类漏洞、系统服务漏洞、浏览器漏洞。RPC请求缓冲区溢出漏洞fMS08-067）曾广泛存在Windows 2000、XP和Server 2003等系统中，攻击者利用Server服务在处理特制RPC请求时存在缓冲区溢出漏洞，可以通过发送恶意的RPC请求触发这个溢出，导致完全入侵用户系统，以SYSTEM权限执行任意指令。利用PwDump7、mimikatz、Metasploit

等工具就可以轻松对目标主机进行弱口令及漏洞检测和爆破系统一旦被攻陷，造成的损失将是不可预测的。

数据库攻击：利用数据库sql语句的漏洞，攻击者可以轻松获取数据库敏感信息。大量信息系统使用php+sql架构，每个数据库交互的页面将为攻击者打开一个方便之门，攻击者可以构造让数据库产生歧义的语句进行测试，并分析数据库执行的结果，最后达到目的。缺乏安全意识的数据库管理员未能在数据库操作的关键代码进行严格审计也提高了数据库泄露的风险。如web表单界窗口简单输入账号“l' or'1‘='1"，未严格审计的数据库代码就会产生意想不到的后果：select count（*）from user where userid=‘or1=1and password="。上述的数据库代码返回为真，攻击者可以轻松获取权限。

Web应用攻击：攻击者在获取到一定的系统权限后，可以伪装身份验证进行身份欺诈，并且在信息系统上植入恶意木马对用户进行攻击。常见方式有网络钓鱼、跨站脚本攻击、Cook_ie欺骗、网页挂马等。最常见的是在数据库植入跨站脚本，当用户进入系统后自动执行脚本指令，诱导用户下载运行木马病毒。目前许多小型信息系统未配置证书验证，存在巨大风险。

3）网络攻击

网络攻击是指攻击者利用网络传输层对目标进行恶意攻击，当前互联网网络基本上都是基于TCP/IP协议架构，各种报文通过TCP/IP协议进行传输，攻击者利用嗅探工具对报文进行破解已获取敏感信息。

中间人攻击：目前各式各样的网络攻击，几乎都是中间人攻击，任何两方面的通讯，必然受到第三方攻击的威胁。攻击者通过恶意修改自身网络硬件MAC地址或IP地址进行身份伪装，常见如ARP欺骗、DNS欺骗、网页劫持等几乎都在使用中间人攻击。

嗅探攻击：指捕获在网络中传输的数据信息就称为嗅探（sniff）。嗅探攻击属于网络第二层攻击。攻击者把网卡设置为混杂接受模式时，所有流经网卡的数据帧都会被网卡接受，然后把这些数据传给嗅探程序，分析出攻击者想要的敏感信息，如账号、密码或一些商业信息，这就实现了窃听的目的。Sniff工作在网络环境的底层，它是极其安静的，是一种被动攻击。此类攻击很难察觉，只能针对敏感报文进行加密进行防范。需要警惕的是嗅探攻击不单在有线网络上，在无线网络也可以完成监听。目前wifi已经非常常见，攻击者可以伪装同名ssid的热点进行对诱导用户进行连接实现攻击，或者直接对目标区域进行抓包嗅探以获取敏感信息。

面对复杂的网络环境和攻击手段的发展，网络攻击越来越频繁，一个稍有网络知识的技术人员可以通过互联网获取大量攻击工具和教程进行攻击。目前信息系统安全主要还是从提高安全意识、加强日常安全管理做起。

3.常见防范手段

首先是硬件上进行必要的升级改造，有条件的企业单位可以增加防火墙或有包检测过滤功能的路由设备对网络进行加固；对于vpn接人互联网的信息系统可以利用IP Sec加密保证数据报文的安全；增加证书认证服务器防止身份欺诈；在接入层交换机划分vlan以隔离用户。其次是对软件系统版本及时升级更新，对系统漏洞及时修复，如删除window服务器默认账户、关闭telnet NTLM和tftp服务以防止攻击者利用漏洞后门进行嗅探和攻击。再次是加强信息系统管理，包括口令管理、数据管理、日记管理，做好数据备份，周期性对系统日記进行审计分析以发现漏洞或者入侵者，管理员口令需保证一定复杂度并周期性更换。

目前微信支付、支付宝等支付方式已经开始普遍，互联网的人口也越来越多，可以预见越来越多的企业单位如学校、医院、餐厅、工厂趋向架构小型信息系统进行用户管理、出入鉴权、账单支付等，各种敏感信息将会直接暴露在互联网网络上，信息系统的安全将越来越重要，怎么保护信息系统的安全值得每位网络管理人员进行关注和思考。