yumr

2007年，網絡安全界風起雲湧，從技術更加精湛的網絡注入到隱蔽性更強的釣魚式攻擊，從頻頻被利用的系統漏洞到悄然運行的木馬工具，網絡攻擊者的手段也更加高明。

綜合分析2007年網絡攻擊技術發展情況，其攻擊趨勢可以歸納如下: [bitsCN.Com]

發現安全漏洞越來越快，覆蓋面越來越廣

新發現的安全漏洞每年都要增加一倍之多，管理人員要不斷用最新的補丁修補這些漏洞，而且每年都會發現安全漏洞的許多新類型。入侵者經常能夠在廠商修補這些漏洞前發現攻擊目標。 bitsCN.nET*中國網管博客

攻擊工具越來越複雜

攻擊工具開發者正在利用更先進的技術武裝攻擊工具。與以前相比，攻擊工具的特徵更難發現，更難利用特徵進行檢測。攻擊工具具有以下特點:

◆ 反偵破和動態行為

攻擊者採用隱蔽攻擊工具特性的技術，這使安全專家分析新攻擊工具和瞭解新攻擊行為所耗費的時間增多;早期的攻擊工具是以單一確定的順序執行攻擊步驟，今天的自動攻擊工具可以根據隨機選擇、預先定義的決策路徑或通過入侵者直接管理，來變化它們的模式和行為。

◆ 攻擊工具的成熟性

與早期的攻擊工具不同，目前攻擊工具可以通過升級或更換工具的一部分迅速變化，發動迅速變化的攻擊，且在每一次攻擊中會出現多種不同形態的攻擊工具。此外，攻擊工具越來越普遍地被開發為可在多種操作系統平台上執行。

攻擊自動化程度和攻擊速度提高，殺傷力逐步提高

掃瞄可能的受害者、損害脆弱的系統。目前，掃瞄工具利用更先進的掃瞄模式來改善掃瞄效果和提高掃瞄速度。以前，安全漏洞只在廣泛的掃瞄完成後才被加以利用。而現在攻擊工具利用這些安全漏洞作為掃瞄活動的一部分，從而加快了攻擊的傳播速度。

傳播攻擊。在2000年之前，攻擊工具需要人來發動新一輪攻擊。目前，攻擊工具可以自己發動新一輪攻擊。像紅色代碼和尼姆達這類工具能夠自我傳播，在不到18個小時內就達到全球飽和點。

越來越不對稱的威脅

Internet上的安全是相互依賴的。每個Internet系統遭受攻擊的可能性取決於連接到全球Internet上其他系統的安全狀態。

由於攻擊技術的進步，一個攻擊者可以比較容易地利用分佈式系統，對一個受害者連續發動破壞性的攻擊。隨著部署自動化程度和攻擊工具管理技巧的提高，威脅的不對稱性將繼續增加。 bitsCN#com中國網管聯盟

越來越高的防火牆滲透率

防火牆是人們用來防範入侵者的主要保護措施。但是越來越多的攻擊技術可以繞過防火牆，例如，Internet打印協議和WebDAV(基於Web的分佈式創作與翻譯)都可以被攻擊者利用來繞過防火牆。

對基礎設施將形成越來越大的威脅

基礎設施攻擊是大面積影響Internet關鍵組成部分的攻擊。由於用戶越來越多地依賴Internet完成日常業務，基礎設施攻擊引起人們越來越大的擔心。

基礎設施面臨分佈式拒絕服務攻擊、蠕蟲病毒、對Internet域名系統(DNS)的攻擊和對路由器攻擊或利用路由器的攻擊。攻擊工具的自動化程度使得一個攻擊者可以安裝他們的工具並控制幾萬個受損害的系統發動攻擊。入侵者經常搜索已知包含大量具有高速連接的易受攻擊系統的地址塊，電纜調製解調器、DSL和大學地址塊越來越成為計劃安裝攻擊工具的入侵者的目標。

我們可以從攻擊者的角度出發，將攻擊的步驟可分為探測（Probe）、攻擊（Exploit）和隱藏（Conceal）。同時，攻擊技術據此可分為探測技術、攻擊技術和隱藏技術三大類，並在每類中對各種不同的攻擊技術進行細分。

探測技術和攻擊測試平台的發展

探測是黑客在攻擊開始前必需的情報收集工作，攻擊者通過這個過程需要盡可能詳細的瞭解攻擊目標安全相關的方方面面信息，以便能夠集中火力進行攻擊。

探測又可以分為三個基本步驟:踩點、掃瞄和查點。

如果將服務器比作一個大樓，主機入侵信息收集及分析要做的工作就如在大樓中部署若干個攝像頭，在大樓發生盜竊事件之後，對攝像頭中的影像進行分析，進而為報案和「亡羊補牢」做準備。

第一步:踩點。是指攻擊者結合各種工具和技巧，以正常合法的途徑對攻擊目標進行窺探，對其安全情況建立完整的剖析圖。

在這個步驟中，主要收集的信息包括:各種聯繫信息，包括名字、郵件地址和電話號碼、傳真號;IP地址範圍;DNS服務器;郵件服務器。

對於一般用戶來說，如果能夠利用互聯網中提供的大量信息來源，就能逐漸縮小範圍，從而鎖定所需瞭解的目標。

幾種實用的流行方式有:通過網頁搜尋和鏈接搜索、利用互聯網域名註冊機構進行Whois查詢、利用Traceroute獲取網絡拓撲結構信息等。

第二步:掃瞄。是攻擊者獲取活動主機、開放服務、操作系統、安全漏洞等關鍵信息的重要技術。 [bitsCN_com]

掃瞄技術包括Ping掃瞄（確定哪些主機正在活動）、端口掃瞄（確定有哪些開放服務）、操作系統辨識（確定目標主機的操作系統類型）和安全漏洞掃瞄（獲得目標上存在著哪些可利用的安全漏洞）。

Ping掃射可以幫助我們判斷哪些系統是存活的。而通過端口掃瞄可以同目標系統的某個端口來建立連接，從而確定系統目前提供什麼樣的服務或者哪些端口正處於偵聽狀態。

著名的掃瞄工具包括nmap、netcat等，知名的安全漏洞掃瞄工具包括開源的nessus及一些商業漏洞掃瞄產品如ISS的Scanner系列產品。

另外，在網絡環境下，網絡掃瞄技術則是指檢測目標系統是否同互聯網連接、所提供的網絡服務類型等。

通過網絡掃瞄獲得的信息有:被掃瞄系統所運行的TCP/UDP服務;系統體系結構;通過互聯網可以訪問的IP地址範圍;操作系統類型等。

第三步:查點。是攻擊者常採用的從目標系統中抽取有效賬號或導出資源名的技術。

通常這種信息是通過主動同目標系統建立連接來獲得的，因此這種查詢在本質上要比踩點和端口掃瞄更具有入侵效果。查點技術通常和操作系統有關，所收集的信息包括用戶名和組名信息、系統類型信息、路由表信息和SNMP信息等。

綜觀本年度比較熱門的攻擊事件，可以看到，在尋找攻擊目標的過程中，以下手段明顯加強:

（1）通過視頻文件尋找「肉雞」。在今年，這種方法大有星火燎原之勢，攻擊者首先要配置木馬，然後製作視頻木馬，如RM木馬、WMV木馬等，然後通過P2P軟件、QQ發送、論壇等渠道進行傳播，用戶很難察覺。

（2）根據漏洞公告尋找「肉雞」。現在，關於漏洞技術的網站專業性更強，經常會公佈一些知名黑客發現的漏洞，從遠程攻擊、本地攻擊到腳本攻擊等，描述十分詳細。在漏洞補丁沒發佈前，這些攻擊說明可能會進一步加大網絡安全威脅。

（3）利用社會心理學、社會工程學獲取目標信息。比如，通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益的手法，近年來已呈迅速上升甚至濫用的趨勢。