從1988年開始,位於美國卡內基梅隆大學的CERT CC(計算機緊急響應小組協調中心)就開始調查入侵者的活動。CERT CC給出一些關於最新入侵者攻擊方式的趨勢。 趨勢一:攻擊過程的自動化與攻擊工具的快速更新 攻擊工具的自動化程度繼續不斷增強。自動化攻擊涉及到的四個階段都發生了變化。 1.掃描潛在的受害者。從1997年起開始出現大量的掃描活動。目前,新的掃描工具利用更先進的掃描技術,變得更加有威力,並且提高了速度。 2.入侵具有漏洞的系統。以前,對具有漏洞的系統的攻擊是發生在大范圍的掃描之後的。現在,攻擊工具已經將對漏洞的入侵設計成為掃描活動的一部分,這樣大大加快了入侵的速度。 3.攻擊擴散。2000年之前,攻擊工具需要一個人來發起其余的攻擊過程。現在,攻擊工具能夠自動發起新的攻擊過程。例如紅色代碼和Nimda病毒這些工具就在18個小時之內傳遍了全球。 4.攻擊工具的協同管理。自從1999年起,隨著分布式攻擊工具的產生,攻擊者能夠對大量分布在Internet之上的攻擊工具發起攻擊。現在,攻擊者能夠更加有效地發起一個分布式拒絕服務攻擊。協同功能利用了大量大眾化的協議如IRC(Internet Relay Chat)、IR(Instant Message)等的功能。
趨勢二:攻擊工具的不斷復雜化 攻擊工具的編寫者采用了比以前更加先進的技術。攻擊工具的特征碼越來越難以通過分析來發現,並且越來越難以通過基於特征碼的檢測系統發現,例如防病毒軟件和入侵檢測系統。當今攻擊工具的三個重要特點是反檢測功能,動態行為特點以及攻擊工具的模塊化。 1.反檢測。攻擊者采用了能夠隱藏攻擊工具的技術。這使得安全專家想要通過各種分析方法來判斷新的攻擊的過程變得更加困難和耗時。 2.動態行為。以前的攻擊工具按照預定的單一步驟發起進攻。現在的自動攻擊工具能夠按照不同的方法更改它們的特征,如隨機選擇、預定的決策路徑或者通過入侵者直接的控制。 3.攻擊工具的模塊化。和以前攻擊工具僅僅實現一種攻擊相比,新的攻擊工具能夠通過升級或者對部分模塊的替換完成快速更改。而且,攻擊工具能夠在越來越多的平台上運行。例如,許多攻擊工具采用了標准的協議如IRC和HTTP進行數據和命令的傳輸,這樣,想要從正常的網絡流量中分析出攻擊特征就更加困難了。
趨勢三:漏洞發現得更快 每一年報告給CERT/CC的漏洞數量都成倍增長。CERT/CC公布的漏洞數據2000年為1090個,2001年為2437個,2002年已經增加至4129個,就是說每天都有十幾個新的漏洞被發現。可以想象,對於管理員來說想要跟上補丁的步伐是很困難的。而且,入侵者往往能夠在軟件廠商修補這些漏洞之前首先發現這些漏洞。隨著發現漏洞的工具的自動化趨勢,留給用戶打補丁的時間越來越短。尤其是緩沖區溢出類型的漏洞,其危害性非常大而又無處不在,是計算機安全的最大的威脅。在CERT和其它國際性網絡安全機構的調查中,這種類型的漏洞是對服務器造成後果最嚴重的。 趨勢四:滲透防火牆 我們常常依賴防火牆提供一個安全的主要邊界保護。但是情況是: * 已經存在一些繞過典型防火牆配置的技術,如IPP(the Internet Printing Protocol)和WebDAV(Web-based Distributed Authoring and Versioning) * 一些標榜是“防火牆適用”的協議實際上設計為能夠繞過典型防火牆的配置。 特定特征的“移動代碼”(如ActiveX控件,Java和JavaScript)使得保護存在漏洞的系統以及發現惡意的軟件更加困難。 另外,隨著Internet網絡上計算機的不斷增長,所有計算機之間存在很強的依存性。一旦某些計算機遭到了入侵,它就有可能成為入侵者的棲息地和跳板,作為進一步攻擊的工具。對於網絡基礎架構如DNS系統、路由器的攻擊也越來越成為嚴重的安全威脅。 采用主動防御措施應對新一代網絡攻擊 “紅色代碼”蠕蟲病毒在因特網上傳播的最初九小時內就感染了超過250,000個計算機系統。該感染導致的代價以每天2億美元飛速增長,最終損失高達26億美元。“紅色代碼”,“紅色代碼II”,及“尼姆達”、“求職信”快速傳播的威脅顯示出現有的網絡防御的嚴重的局限性。市場上大多數的入侵檢測系統是簡單的,對網絡中新出現的、未知的、通常稱做“瞬時攻擊:Zero-day Attack”的威脅沒有足夠防御手段。
黑客的“機會之窗” 目前大多數的入侵檢測系統是有局限性的,因為它們使用特征碼去進行辨別是否存在攻擊行為。這些系統采用這種方式對特定的攻擊模式進行監視。它們基於貯存在其數據庫裡的識別信息:類似於防病毒軟件檢查已知病毒的方式。這意味著這些系統只能檢測他們已經編入識別程序的特定的攻擊。因為“瞬時攻擊”是新出現的,尚未被廣泛認識,所以在新的特征碼被開發出來,並且進行安裝和配置等這些過程之前,它們就能繞過這些安全系統。實際上,僅僅需要對已知的攻擊方式進行稍微的修改,這些系統就不會認識這些攻擊方式了,從而給入侵者提供了避開基於特征碼的防御系統的手段。 從新的攻擊的發動到開發新的特征碼的這段時間,是一個危險的“機會之窗”,許多的網絡會被攻破。這時候許多快速的入侵工具會被設計開發出來,網絡很容易受到攻擊。下圖舉例說明了為什麼大多數的安全產品在該時期內實際上是無效的。CERT組織研制的這個圖表說明了一個網絡攻擊的典型的生命周期。該曲線的波峰就在攻擊的首次襲擊之後,這是大多數安全產品最終開始提供保護的時候。然而“瞬時攻擊”是那些最老練的黑客在最早期階段重點展開的。 同時,現在那些快速進行的攻擊利用了廣泛使用的計算機軟件中的安全漏洞來造成分布更廣的破壞。僅僅使用幾行代碼,他們就能編寫一個蠕蟲滲透到計算機網絡中,通過共享賬號克隆自己,然後開始攻擊你的同伴和用戶的網絡。使用這種方式,在廠商開發出特征碼並將其分發到用戶的這段時間內,“尼姆達蠕蟲”僅僅在美國就傳播到了超過100,000的網絡站點。這些分發機制使“瞬間攻擊”像SirCam和Love Bug兩種病毒分別席卷了230萬和4000萬的計算機,,而不需要多少人為干預。其中有些攻擊甚至還通過安裝一個後門來為以後的破壞建立基礎,該後門允許對手、黑客和其他未獲授權的用戶訪問一個組織重要的數據和網絡資源。