网络攻击技术分析与应对措施

网络攻击是造成网络安全问题的主要原因。网络攻击技术，是利用网络中存在的漏洞和安全缺陷对网络中的系统、计算机或者终端进行攻击。网络攻击技术主要包括目标侦察技术、协议攻击技术、缓冲区溢出攻击技术、拒绝服务攻击技术、恶意代码和APT攻击技术等。

1.目标侦查技术

实施网络攻击首先要明确攻击目标。互联网提供了大量的信息来源，关键是要从大量的信息中筛选出所需要攻击目标的核心信息，缩小并最终锁定攻击目标。常用的获取攻击目标基本信息的方法有网页搜寻、链接搜索、网络查点等。目前大多数网络安全漏洞都是针对特定操作系统的，因此识别远程主机的操作系统对攻击实施非常重要。依靠TCP/IP探测技术，攻击者可以很容易地获取主机操作系统的版本。网络扫描器可以自动检测网络环境中远程或本地主机的安全弱点。扫描器一般采用模拟攻击的形式对网络中的目标主机可能存在的已知安全漏洞进行逐项检查。对目标主机进行端口扫描，能得到许多有用的信息，从而发现系统的安全漏洞。利用网络监听技术，可以监控网络当前的信息状况、网络流量，进行网络访问统计分析等工作。通过网络监听，可以发现网络中存在的漏洞和隐患。

2.协议攻击技术

计算机网络是基于网络协议来实现的。网络协议通常是按不同层次进行设计和开发的，每一层分别负责不同的通信功能。TCP/IP是一个包括众多协议的协议族的简称，也是当今最为成功的通信协议，是控制两个对等实体之间进行通信的规则的集合，使得两个对等实体之间能够进行通信。TCP/IP的设计与实现使不同计算机之间、不同操作系统之间的通信成为可能。但是TCP/IP在安全性方面做得不够完善。目前计算机网络TCP/IP攻击技术主要针对其不同的结构层进行，包括链路层协议攻击技术、网络层协议攻击技术、传输层协议攻击技术、应用层协议攻击技术等。

1）链路层协议攻击技术

实现IP地址和硬件地址之间转换的协议有ARP（把IP地址转换为硬件地址）和与之对应的RARP。ARP欺骗攻击是最常见的链路层攻击。ARP欺骗攻击主要有两种攻击方式：伪造ARP响应包；伪造IP地址。ARP欺骗还可以演变成很多种攻击方式，如拒绝服务攻击等。

2）网络层协议攻击技术

网络层协议攻击主要有IP欺骗攻击、碎片攻击、Smurf攻击、Ping Flood攻击等。IP欺骗攻击就是对基于IP认证的系统进行攻击的一种手段。碎片攻击是基于IP数据在分片重组时将会出现错误行为而实现的。Smurf攻击综合使用了IP欺骗和ICMP协议脆弱性，使得大量网络数据包充斥目标系统，引起目标系统的网络带宽耗尽而拒绝服务的。Ping Flood攻击是采用对ICMP包中IP地址的信任机制进行攻击的。

3）传输层协议攻击技术

传输层协议攻击主要有SYN Flood攻击和LAND攻击。SYN Flood攻击者利用原始套接字构造包含随机源地址SYN数据包，使目标系统收不到ACK数据包以完成TCP连接，直到目标系统的端口的等待队列被全部填满而拒绝一切外来的连接请求，导致系统拒绝正常服务。LAND攻击是利用构造的SYN数据包使服务器的某个端口自己与自己之间建立大量的连接而使服务器崩溃。

4）应用层协议攻击技术

TCP/IP应用层是TCP/IP的最高层。应用层协议攻击者将自己伪装成目标系统A的可信任主机B，在主机B未启动或者已经被攻击死机时，向目标系统A执行B系列命令，就可以以可信任主机的身份登录进服务器，利用TCP/IP进行数据通信。

3.缓冲区溢出攻击技术

缓冲区溢出攻击，是通过往程序的缓冲区写入超出其长度的内容，造成缓冲区溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的，可以造成程序运行失败、系统死机、重新启动。一般攻击者利用缓冲区溢出攻击的主要目的在于扰乱那些以特权运行的程序的功能，以获得程序的控制权，如果该程序具有管理员的权限，那么整个目标主机就会被攻击者所控制。攻击者通过预设程序向程序的缓冲区写入超出其长度的内容，造成缓冲区溢出，对系统进程接受了控制，从而可以让进程改变原来的执行流程，去执行已准备好的代码，而不是程序原先应该执行的代码。如果这个预先准备的代码是破坏程序的代码，就可以以此来达到攻击的目的；如果用的是进程无法访问的段地址，将导致进程崩溃；如果该地址处有无效的机器指令数据，那将导致非法指令错误。

4.拒绝服务攻击技术(www.xing528.com)

造成拒绝服务的攻击行为称为拒绝服务（DoS）攻击，其目的是使计算机或网络无法提供正常的服务。这种攻击是由人为或非人为发起的，使主机硬件、软件或者两者都失去工作能力，使系统变得不可访问，因而拒绝为合法用户提供服务的攻击方式。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击，是指以极大的通信量冲击网络，使所有的可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。连通性攻击，是指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。通常的DoS攻击可以分为带宽耗用、资源衰竭、编程缺陷和对路由器或者DNS服务器的攻击。通用DoS攻击手段主要包括：Smurf攻击、SYN Flood攻击、DNS攻击等。特定的DoS攻击手段是IP碎片攻击、分布式拒绝服务（DDoS）攻击等。

5.恶意代码

计算机病毒（CV），是一种依附在其他可执行程序中，具有自我复制能力的程序片段，它借助文件下载服务、磁盘文件交换等途径进入计算机或计算机网络。计算机病毒通常都具有破坏性，发作后可能会引起单机、整个系统或网络运行错误，甚至瘫痪。计算机病毒在传染时，首先要在被传染的程序（也称宿主）中建立一个新节，然后把病毒代码写入新节，并修改程序的入口地址使之指向病毒代码。这样当宿主程序被执行时，病毒代码将会先被执行，为了使用户觉察不到宿主程序已经被病毒传染，病毒代码在执行完毕之后通常会把程序的执行流程重新指向宿主程序的原有指令。蠕虫程序和特洛伊木马是常见的两种计算机病毒。

6.APT攻击技术

高级可持续威胁（又称定向威胁，APT），是指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性，通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。APT攻击的对象多为一些高安全等级的网络，具有针对性、伪装性、间接性、共享性等特点。APT攻击过程一般包括6个阶段：侦查准备阶段；代码传入阶段；初次入侵阶段；保持访问阶段；扩展行动阶段；攻击收益阶段。

7.网络攻击技术的发展趋势

网络的开放性和共享性使网络安全问题日益突出，网络攻击的方法已由最初的零散知识点发展为一门完整系统的科学。网络攻击技术的使用必定会变得大众化，其技术本身的高集成、高速度、自动化是其大众化的主要因素。网络攻击技术的发展趋势主要表现在以下几个方面：

（1）攻击阶段自动化。网络攻击的自动化促使了网络攻击速度的大大提高。

（2）攻击工具智能化。随着人工智能技术的发展，网络攻击工具已经具备了反侦破、智能动态行为、攻击工具变异等特点，普通的攻击者都有可能在较短的时间内向脆弱的计算机网络系统发起攻击。

（3）漏洞的发现和利用速度越来越快。系统安全漏洞是各类安全威胁的主要根源之一，攻击者经常能够抢在厂商发布漏洞补丁之前发现这些未修补的漏洞同时发起攻击。

（4）防护系统的渗透率越来越高。越来越多的攻击技术可以绕过防护系统。

（5）安全威胁的不对称性在不断增加。随着攻击技术水平的进步和攻击工具管理技巧的提高，威胁的不对称性将继续增加。

（6）对网络基础设施的破坏越来越大。用户越来越多地依赖网络，攻击者攻击位于网络关键部位的网络基础设施造成的破坏影响越来越大。

（7）移动互联网成为网络攻击的新阵地。随着移动通信和智能终端的不断发展和迅速普及，互联网的安全问题已在移动网络中逐步凸显。

（8）网络攻击开始针对现实世界基础设施。针对现实世界中工业控制系统等基础设施的计算机网络攻击使全球网络信息安全已进入了一个新的时代。