1.3 网络攻击的属性
网络攻击的实施是一个系列过程,同时涉及技术和非技术因素。对于任何一个攻击来说其实施过程都不是单一的,而是由一个或多个不同阶段组成的,其中不同的阶段体现出不同的攻击特点。研究网络攻击的目的是通过掌握攻击的实施过程来确定对应的防御方法。攻击涉及安全,而安全具有相对性,所以在具体的研究过程中,受研究条件、研究环境、把控能力等因素的影响,人们对各种网络攻击的理解不尽相同,进而对网络攻击的判定和特征的提取方法也不相同,对网络攻击及其造成危害或威胁的认识程序也不一致,从而对网络的防御带来了一定的困难。为便于对攻击过程的理解,本节选择从攻击中抽取属性的方法,将攻击分为权限、转换方法和动作3种类型。
1.3.1 权限
网络中的权限用于确定谁能够访问某一系统及能够访问这一系统上的哪些资源。对于任何一个授权访问系统来说,权限管理对其安全性是非常重要的。以Windows Server操作系统来说,用户被分成多个组,每个组设置了不同的权限,组与组之间的权限不同。其中,Administrators(管理员组)默认具有最高的权限,位于该组中的用户可以对计算机或域进行任意权限的操作;Power Users(高级用户组)中的用户可以执行除了为Administrators组保留的任务外的其他任何操作系统任务,其权限仅次于Administrators;Users(普通用户组)中的用户可以运行经过验证的应用程序,但无法修改操作系统的设置或用户信息。通过对不同类型的用户设置不同的权限,可以加强对用户的分类管理,以提高系统的安全性。
根据访问方式的不同,权限又分为远程网络访问、本地网络访问、用户访问、超级网络管理员访问和对主机的物理访问等类型。任意一种访问如果被恶意利用,便构成了针对该访问方式的攻击。
1. 远程网络访问攻击
远程网络访问攻击属于一种外部攻击方式,它是通过各种手段,从被攻击者所在网络外发起的攻击行为。
2. 本地网络访问攻击
本地网络访问攻击属于一种内部攻击方式,攻击者和被攻击者属于同一个网络(多为内部局域网),也可能是攻击者为了隐藏自己的真实身份,从本网络获取了被攻击者的必要信息后,从外部发起攻击,造成外部入侵的假象。
3. 用户访问攻击
用户访问攻击属于利用账户的攻击方式,攻击者在非法获得了合法用户账户信息后,冒充合法用户访问系统或资源。
4. 超级网络管理访问攻击
超级网络管理访问攻击属于利用账户的攻击方式,攻击者在非法获得了系统管理员的账户信息后,冒充系统管理员对系统进行非法的操作。
5. 对主机的物理访问攻击
作为内部攻击方式时,攻击者通常获得能够直接接触被攻击主机的机会,对主机进行物理破坏;作为外部攻击方式时,攻击者在入侵被攻击对象后通过植入木马或病毒对内存或硬盘等主机的硬件进行破坏。
1.3.2 转换方法
转换方法是指攻击者对已有漏洞的利用。攻击过程的实施需要借助通信机制,通过对已有机制存在的漏洞的利用来实现。转换方法主要包括以下几种。
1. 伪装
伪装就是将攻击者的秘密信息隐藏于正常的非秘密文件中,常见的有图像、声音、视频等多媒体数字文件。伪装技术不同于传统的加密技术,加密操作仅仅隐藏了信息的内容,而信息伪装不但隐藏了信息的内容而且隐藏了信息的存在。伪装攻击最大特点是具有隐蔽性,不易被发现。
2. 滥用
滥用主要是指针对系统功能和权限的非法利用。例如,针对权限的滥用多是指服务端开放的功能超出了实际的需求,或者服务端开放的权限对具体需求的限制不严格,导致攻击者可以通过直接或间接调用的方式达到攻击效果。
3. 执行缺陷
缺陷(Bug)是指系统或程序中隐藏着的一些未被发现的错误或不足,程序设计中存在的缺陷会导致功能不正常或运行不稳定。执行缺陷是指攻击者对系统或程序中缺陷的发现和利用。
4. 系统误设
用户需求的多元化导致了应用系统功能的多样性,但对于某一个具体的应用来说其功能需求是确定的。然而,在系统部署过程中,受技术熟练程度、需求掌握情况及安全意识等方面的限制,对系统功能的设置往往没有做到与具体功能的对应,出现了超出预定需求甚至是错误的设置。错误设置尤其是安全功能的错误设置一旦被攻击者利用,就会对安全造成威胁。
5. 社会工程学
社会工程学被认为是反映当代社会现象发展复杂性程度的一门综合性的社会科学,其目标是对各种社会问题进行实例分析和解决。它并不是将人文科学、社会科学、自然科学的知识与技术简单相加,而是根据计划、政策的概念,在重构这些知识和技术的基础上,进行新的探索和整合。社会工程学攻击是一种针对受害者本能反应、好奇心、信任、贪婪等心理陷阱采取诸如欺骗、伤害等危害手段,获得自身利益的手法。传统的计算机攻击者在系统入侵的环境下存在很多的局限性,而新的社会工程学攻击则将充分发挥其优势,通过利用人为的漏洞缺陷进行欺骗来获取系统控制权。这种攻击表面上难以察觉,不需要与受害者目标进行面对面的交流,不会在系统中留下任何可被追查的日志记录。
1.3.3 动作
动作是指攻击实施过程中的具体行为或采用的方法,主要包括以下几种。
1. 探测
探测是指对计算机网络或服务器进行扫描,以获取有效IP地址、活动端口号、主机操作系统类型和安全弱点的攻击方式。探测主要用扫描器作攻击工具,扫描器是一种自动检测远程或本地主机在安全性方面弱点的程序包。例如,用一个TCP端口扫描工具选择要扫描的TCP端口或服务器,记录下目标主机的应答,以此获得有关目标主机的信息。理解和分析这些信息,就可能发现破坏目标主机安全性的因素。
2. 拒绝服务
1)拒绝服务(Deny of Service,DoS)攻击
通过连续向攻击目标发送超出其处理能力的过量数据,消耗其有限的网络链路或操作系统资源,使之无法为合法用户提供有效服务。DoS攻击可分为两种形式:一是利用目标系统或软件漏洞,发送一个或多个精心构造的数据包给目标系统,让被攻击系统崩溃、运行异常或重启等,导致无法为正常用户提供服务。例如,ping-of-death攻击发送大容量的ICMP ping包给被攻击系统,这些ping包会被分片重组,某些操作系统设计不完善可能会因为缓冲区溢出而重启、崩溃;另一种称为洪泛攻击,它让无用的信息占去系统的带宽或其他资源,使得系统不能服务于合法用户。
2)分布式拒绝服务(Distributed DoS,DDoS)攻击
传统DoS攻击中的数据包来自一个固定的攻击源,而DDoS攻击中的数据包来自不同的攻击源,即利用网络中不同的主机同时发起DoS攻击,使得被攻击对象不能服务于正常用户。DDoS攻击因为使用了不同的攻击源,攻击效果被放大。典型的DDoS攻击包含4个方面的要素:①实际攻击者;②用来隐藏攻击者身份的机器,可能会被隐藏多级,该机器一般用于控制僵尸网络(实际发起攻击的机器)并发送攻击命令;③实际进行DDoS攻击的机器群,一般属于僵尸网络;④被攻击目标(即受害者)。
3)低速率拒绝服务(Low-rate DoS,LDoS)攻击
传统DoS攻击原理的共同特点是攻击者采取一种压力(sledge-hammer)方式向被攻击者发送大量攻击包,即要求攻击者维持一个高频、高速率的攻击流。正是这种特征,各种传统DoS攻击的网络流量与正常网络流量相比都具有一种异常统计特性,使得对其进行检测相对简单。因此,许多DoS检测方法都把这种异常统计特征作为识别DoS攻击的特征,一旦检测到攻击,就激活包过滤机制,丢弃所有具有攻击特征的数据流传送的数据包,或者采用一定的速率限制技术来降低攻击影响。LDoS攻击只是在特定时间间隔内发送数据,同一周期其他时间段内不发送任何数据,此间歇性攻击特点,使得攻击流的平均速率比较低,与合法用户的数据流区别不大,不再具有传统DoS攻击数据的异常统计特性,因此很难用已有的方法对其进行检测和防范。LDoS攻击是对传统DoS攻击的改进形式,它与传统DoS攻击相比,攻击效率有了大幅度的提高,且更加有效地躲避了检测和防范。LDoS攻击比传统DoS攻击更具威胁性。
3. 截获
截获攻击针对的是信息安全中的秘密性。攻击者在截取了通信双方的正常数据包后,通过篡改数据包的字段信息(包括收发地址、数据、窗口大小等)伪造了一个虚假的数据包,从而实现攻击目的。在无线通信网络中,由于数据包易于获取,所以截获攻击较容易实施。
4. 改变
改变攻击是攻击行为的泛指,在具体的攻击实施过程中凡是破坏或扰乱了原有秩序的行为统称为改变,包括地址改变、内容改变、路径改变、时间改变等。
5. 利用
在攻击过程中利用一般借助于系统存在的漏洞来实现。例如,ARP欺骗攻击借助于ARP协议存在的安全漏洞来实现,IP源地址伪造攻击借助于路由器缺乏对源IP地址的验证机制这一规则来实现,还有大量利用各类操作系统安全漏洞的渗透攻击等。在网络攻击中,利用既是一个动作,也是一种手段和方法。