知己知彼 2007年網絡安全技術發展分析

作者： 彭文波(原創)

　　在網絡安全實踐中，網絡攻擊者主動性很強，因此，在整個攻防實戰中占據著十分重要的地位。從典型的攻擊思路來看，攻擊者一般要經過“探測”、“攻擊”、“隱藏”等三個步驟，而且每個步驟又有許多種類型。2007年，網絡安全界風起雲湧，從技術更加精湛的網絡注入到隱蔽性更強的釣魚式攻擊，從頻頻被利用的系統漏洞到悄然運行木馬工具，網絡攻擊者的手段也更加高明。“知己知彼，百戰不殆”，本專題將通過科學分類的方法，對本年度的網絡攻擊技術進行詳細的點評。同時，還將穿插精彩的典型案例，使用戶達到舉一反三的目的。

　　一、2007年網絡攻擊的發展趨勢　　

　　綜合分析2007年網絡攻擊技術發展情況，其攻擊趨勢可以歸納如下：

　　趨勢1：發現安全漏洞越來越快，覆蓋面越來越廣。新發現的安全漏洞每年都要增加一倍，管理人員不斷用最新的補丁修補這些漏洞，而且每年都會發現安全漏洞的新類型。入侵者經常能夠在廠商修補這些漏洞前發現攻擊目標。

　　趨勢2：攻擊工具越來越復雜。攻擊工具開發者正在利用更先進的技術武裝攻擊工具。與以前相比，攻擊工具的特征更難發現，更難利用特征進行檢測。攻擊工具具有以下特點：

　　反偵破和動態行為。攻擊者采用隱蔽攻擊工具特性的技術，這使安全專家分析新攻擊工具和了解新攻擊行為所耗費的時間增多；早期的攻擊工具是以單一確定的順序執行攻擊步驟，今天的自動攻擊工具可以根據隨機選擇、預先定義的決策路徑或通過入侵者直接管理，來變化它們的模式和行為。

　　攻擊工具的成熟性。與早期的攻擊工具不同，目前攻擊工具可以通過升級或更換工具的一部分迅速變化，發動迅速變化的攻擊，且在每一次攻擊中會出現多種不同形態的攻擊工具。此外，攻擊工具越來越普遍地被開發為可在多種操作系統平台上執行。

　　趨勢3：攻擊自動化程度和攻擊速度提高，殺傷力逐步提高。自動攻擊一般涉及四個階段，在每個階段都出現了新變化。

　　Ø 掃描可能的受害者、損害脆弱的系統。目前，掃描工具利用更先進的掃描模式來改善掃描效果和提高掃描速度。以前，安全漏洞只在廣泛的掃描完成後才被加以利用。而現在攻擊工具利用這些安全漏洞作為掃描活動的一部分，從而加快了攻擊的傳播速度。

　　Ø 傳播攻擊。在2000年之前，攻擊工具需要人來發動新一輪攻擊。目前，攻擊工具可以自己發動新一輪攻擊。像紅色代碼和尼姆達這類工具能夠自我傳播，在不到18個小時內就達到全球飽和點。

　　趨勢4：越來越不對稱的威脅。Internet上的安全是相互依賴的。每個Internet系統遭受攻擊的可能性取決於連接到全球Internet上其他系統的安全狀態。由於攻擊技術的進步，一個攻擊者可以比較容易地利用分布式系統，對一個受害者發動破壞性的攻擊。隨著部署自動化程度和攻擊工具管理技巧的提高，威脅的不對稱性將繼續增加。

　　趨勢5：越來越高的防火牆滲透率。防火牆是人們用來防范入侵者的主要保護措施。但是越來越多的攻擊技術可以繞過防火牆，例如，Internet打印協議和WebDAV（基於Web的分布式創作與翻譯）都可以被攻擊者利用來繞過防火牆。

　　趨勢6：對基礎設施將形成越來越大的威脅。基礎設施攻擊是大面積影響Internet關鍵組成部分的攻擊。由於用戶越來越多地依賴Internet完成日常業務，基礎設施攻擊引起人們越來越大的擔心。基礎設施面臨分布式拒絕服務攻擊、蠕蟲病毒、對Internet域名系統(DNS)的攻擊和對路由器攻擊或利用路由器的攻擊。攻擊工具的自動化程度使得一個攻擊者可以安裝他們的工具並控制幾萬個受損害的系統發動攻擊。入侵者經常搜索已知包含大量具有高速連接的易受攻擊系統的地址塊，電纜調制解調器、DSL和大學地址塊越來越成為計劃安裝攻擊工具的入侵者的目標。

　　我們可以從攻擊者的角度出發，將攻擊的步驟可分為探測（Probe）、攻擊（Exploit）和隱藏（Conceal）。同時，攻擊技術據此可分為探測技術、攻擊技術和隱藏技術三大類，並在每類中對各種不同的攻擊技術進行細分。

　　二、探測技術和攻擊測試平台的發展　　

　　探測是黑客在攻擊開始前必需的情報收集工作，攻擊者通過這個過程需要盡可能詳細的了解攻擊目標安全相關的方方面面信息，以便能夠集中火力進行攻擊。探測又可以分為三個基本步驟：踩點、掃描和查點。如下表所示：

攻擊技術 攻擊方法

　　探測技術

踩點 查詢域名、DNS、網絡勘察

　　掃描

Ping 掃描

ipsweep

端口掃描

portsweep, resetscan

操作系統辨識

queso

漏洞掃描

satan, mscan 查點 ls, ntinfoscan

　　1、三部曲：踩點、掃描和查點

　　如果將服務器比作一個大樓，主機入侵信息收集及分析要做的工作就如在大樓中部署若干個攝像頭，在大樓發生盜竊事件之後，對攝像頭中的影像進行分析，進而為報案和“亡羊補牢”做准備。

　　第一步：踩點。是指攻擊者結合各種工具和技巧，以正常合法的途徑對攻擊目標進行窺探，對其安全情況建立完整的剖析圖。在這個步驟中，主要收集的信息包括：各種聯系信息，包括名字、郵件地址和電話號碼、傳真號；IP地址范圍；DNS服務器；郵件服務器。對於一般用戶來說，如果能夠利用互聯網中提供的大量信息來源，就能逐漸縮小范圍，從而鎖定所需了解的目標。幾種實用的流行方式有：通過網頁搜尋和鏈接搜索、利用互聯網域名注冊機構進行Whois查詢、利用Traceroute獲取網絡拓撲結構信息等。

　　第二步：掃描。是攻擊者獲取活動主機、開放服務、操作系統、安全漏洞等關鍵信息的重要技術。掃描技術包括Ping 掃描（確定哪些主機正在活動）、端口掃描（確定有哪些開放服務）、操作系統辨識（確定目標主機的操作系統類型）和安全漏洞掃描（獲得目標上存在著哪些可利用的安全漏洞）。Ping掃射可以幫助我們判斷哪些系統是存活的。而通過端口掃描可以同目標系統的某個端口來建立連接，從而確定系統目前提供什麼樣的服務或者哪些端口正處於偵聽狀態。著名的掃描工具包括nmap，netcat 等，知名的安全漏洞掃描工具包括開源的nessus 及一些商業漏洞掃描產品如ISS 的Scanner 系列產品。另外，在網絡環境下，網絡掃描技術則是指檢測目標系統是否同互聯網連接、所提供的網絡服務類型等等。通過網絡掃描獲得的信息有：被掃描系統所運行的TCP/UDP服務；系統體系結構；通過互聯網可以訪問的IP地址范圍；操作系統類型等。

　　第三步：查點。是攻擊者常采用的從目標系統中抽取有效賬號或導出資源名的技術。通常這種信息是通過主動同目標系統建立連接來獲得的，因此這種查詢在本質上要比踩點和端口掃描更具有入侵效果。查點技術通常和操作系統有關，所收集的信息包括用戶名和組名信息、系統類型信息、路由表信息和SNMP信息等。

　　綜觀本年度比較熱門的攻擊事件，可以看到，在尋找攻擊目標的過程中，以下手段明顯加強：

　　（1）通過視頻文件尋找“肉雞”。在今年，這種方法大有星火燎原之勢，攻擊者首先要配置木馬，然後制作視頻木馬，如RM木馬、WMV木馬等，然後通過P2P軟件、QQ發送、論壇等渠道進行傳播，用戶很難察覺。

　　（2）根據漏洞公告尋找“肉雞”。現在，關於漏洞技術的網站專業性更強，在這個網站上，經常會公布一些知名黑客發現的漏洞，從遠程攻擊、本地攻擊到腳本攻擊等，描述十分詳細。在漏洞補丁沒有發布之前，這些攻擊說明可能會進一步加大網絡安全威脅。

　　（3）利用社會心理學、社會工程學獲取目標信息。比如，通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益的手法，近年來已呈迅速上升甚至濫用的趨勢。目前，已經有攻擊者通過“溯雪＋社會工程學”的形式破解了263信箱。

　　2、一則安全日記引發的攻擊思路分析

　　時間：2007年7月某天晚上

　　地點：某出版社網絡管理中心

　　人物：某網絡管理員

　　序幕：一個網友突然傳來一個網址，讓我檢測一個數據中心網站的安全性。資料顯示，該站點是一個大型虛擬主機系統，支持ASP PHP JSP。

　　事件記錄：

　　拿過站點地址，沒經過任何思考，我利用SuperScan等軟件對主機進行了端口掃描，掃描後共發現開了10個端口，重要的有80、110、135、139、3389等，但能夠利用的服務不算多。從掃描的80信息顯示來看，對方的系統是Windows 2000 IIS5.0，還打開了一個遠程桌面管理（開放了3389端口）。

　　第1步：檢查是否有應用程序漏洞。登錄3389服務，看看有沒有非系統自帶的輸入法，因為某些類型的輸入法還是有幫助文件和URL的，結果沒有任何幫助文件。使用net命令測試後，發現不能順利與服務器建立空連接，猜測密碼口令也沒有結果。

　　第2步：現在，比較合理的選擇是檢測CGI漏洞，使用安全掃描軟件後，發現默認的“scripts”、“_vti_bin”等目錄以及大量的“ida”、“idq”、“htw”等映像，但是用了許多溢出程序都沒有溢出。初步推測，系統打上了SP3補丁。

　　第3步：下面再看看郵件服務軟件是否支持expn、vrfy指令。經測試，返回“OK”並枚舉出一個100多個用戶的詳細列表，接著用POP3密碼破解軟件破密碼，自然收獲不小了。然後嘗試用這些帳號登錄ftp服務，終於發現其中有一個用戶名為cndes，密碼為1234abcd，而且可以登錄ftp空間。也就是說，這個用戶買了服務器的收費郵箱和收費主頁空間，並且郵箱和主頁空間的密碼設置的是相同的。

　　第4步：計劃向主頁空間上傳兩個文件，一個是win.exe，這是一個大小僅有4kb的木馬，功能相當強大；另一個是海陽頂端ASP木馬。上傳完畢，現在就可以查看服務器的詳細情況了。順便查查cndes空間目錄在什麼位置，並把win.exe的路徑記下來。