知己知彼 2007年网络安全技术发展分析(4)

　　三、2007年网络攻击和隐藏技术发展趋势　　

　　“心中有佛天地宽”，网络攻击中的“佛”在哪里呢？首先，我们应该对攻击技术的分类有一个清晰的脉络，否则很难确定自己在这场战争中的角色。因此，我们可以将从以下几个方面对2007年网络攻击技术进行分述，即窃听技术、欺骗技术、拒绝服务和数据驱动攻击。同时，对攻击事件完成之后的隐藏技术也进行分析。

　　1、窃听技术的发展趋势

　　窃听技术是攻击者通过非法手段对系统活动的监视从而获得一些安全关键信息。目前属于窃听技术的流行攻击方法有键击记录器、网络监听、非法访问数据和攫取密码文件。可以从以下几个方面来分析。

　　（1）键击记录器。这是植入

操作系统内核的隐蔽软件，通常实现为一个键盘设备驱动程序，能够把每次键击都记录下来，存放到攻击者指定的隐藏的本地文件中。著名的有Win32 平台下适用的IKS 等。

　　（2）网络监听。这是攻击者一旦在目标网络上获得一个立足点之后刺探网络情报的最有效方法，通过设置网卡的混杂（promiscuous）模式获得网络上所有的数据包，并从中抽取安全关键信息，如明文方式传输的口令。Unix 平台下提供了libpcap 网络监听工具库和tcpdump、dsniff 等著名监听工具，而在Win32 平台下也拥有WinPcap监听工具库和windump、dsniff forWin32、Sniffer等免费工具，另外还有专业工具Sniffer Pro等。

　　（3）非法访问数据。这是指攻击者或内部人员违反安全策略对其访问权限之外的数据进行非法访问。

　　（4）攫取密码文件。这是攻击者进行口令破解获取特权用户或其他用户口令的必要前提，关键的密码文件如Windows 9x下的PWL 文件、Windows NT/2000下的SAM文件和Unix平台下的/etc/password 和/etc/shadow。

　　下面，我们以本年度比较热门的Sniffer为例进行讲解。Sniffer是一种利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。2007年以来，网络监听技术出现了新的重要特征。传统的Sniffer技术是被动地监听网络通信、用户名和口令，而新的Sniffer技术则主动地控制通信数据。在网络攻击者看来，此类工具是其必备技能之一，并对其窃取数据起到了十分重要的作用。Sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、账号和pin码。软件下载地址为http://wvw.ttian.net/download/list.php。

　　第1步：软件安装。安装后，可以看到Sniffer pro的监控模式有：仪表板，主机列表，矩阵，请求相应时间，历史取样，协议分布，全局统计表等，这些模式能显示各项网络性能指标及详细的协议分析。在默认情况下，Sniffer将捕获其接入碰撞域中流经的所有数据包。

　　第2步：定义过滤器。Sniffer提供了捕获数据包前的过滤规则的定义，在主界面选择“捕获”菜单下的“定义过滤器”选项，然后打开“地址”选项卡。其中包括MAC地址、ip地址和ipx地址的定义。如图3所示。

　　第3步：然后选择“定义过滤器”选项的“高级”选项卡，定义希望捕获的相关协议的数据包。此外，还可以在“缓冲”选项卡里面定义捕获数据包的缓冲区，再将定义的过滤规则应用于捕获中。如果要停止Sniffer捕获包时，点选“捕获”菜单下的“停止”，把捕获的数据包进行解码和显示。

　  2、欺骗技术的发展趋势

　　欺骗技术是攻击者通过冒充正常用户以获取对攻击目标访问权或获取关键信息的攻击方法，属于此类的有获取口令、恶意代码、网络欺骗等攻击手法。下面，我们归纳了2007年比较热门的一些欺骗技术。具体如下：

　　第1种：获取口令的方式。主要有通过缺省口令、口令猜测和口令破解三种途径。某些软件和网络设备在初始化时，会设置缺省的用户名和密码，但也给攻击者提供了最容易利用的脆弱点。口令猜测则是历史最为悠久的攻击手段，由于用户普遍缺乏安全意识，不设密码或使用弱密码的情况随处可见，这也为攻击者进行口令猜测提供了可能。口令破解技术则提供了进行口令猜测的自动化工具，通常需要攻击者首先获取密码文件，然后遍历字典或高频密码列表从而找到正确的口令。著名的工具有John the Ripple、Crack和适用于Win32平台的L0phtcrack等。

　　第2种：恶意代码。包括特洛伊木马应用程序、邮件病毒、网页病毒等，通常冒充成有用的软件工具、重要的信息等，诱导用户下载运行或利用邮件客户端和浏览器的自动运行机制，在启动后暗地里安装邪恶的或破坏性软件的程序，通常为攻击者给出能够完全控制该主机的远程连接。

　　第3种：网络欺骗。是攻击者向攻击目标发送冒充其信任主机的网络数据包，达到获取访问权或执行命令的攻击方法。具体的有IP 欺骗、会话劫持、ARP（地址解析协议）重定向和RIP（路由信息协议）路由欺骗等。

　　（1）IP 欺骗。是指攻击者将其发送的网络数据包的源IP地址篡改为攻击目标所信任的某台主机的IP地址，从而骗取攻击目标信任的一种网络欺骗攻击方法。通用应用于攻击Unix 平台下通过IP 地址进行认证的一些远程服务如rlogin、rsh等，也常应用于穿透防火墙。

　　（2）会话劫持指。是指攻击者冒充网络正常会话中的某一方，从而欺骗另一方执行其所要的操作。目前较知名的如TCP 会话劫持，通过监听和猜测TCP 会话双方的ACK，插入包含期待ACK的数据包，能够冒充会话一方达到在远程主机上执行命令的目的。支持TCP 会话劫持的工具有最初的Juggernaut 产品和著名的开源工具Hunt。

　　（3）ARP欺骗。这种方法提供将IP地址动态映射到MAC 地址的机制，但ARP机制很容易被欺骗，攻击主机可以发送假冒的ARP 回答给目标主机发起的ARP查询，从而使其错误地将网络数据包都发往攻击主机，导致拒绝服务或者中间人攻击。由于RIP没有身份认证机制，因此攻击者很容易发送冒充的数据包欺骗RIP 路由器，使之将网络流量路由到指定的主机而不是真正希望的主机，达到攻击的目标。

　　2007年以来，通过欺骗的方式获得机密信息的事件越来越多，在国内比较严重的银行诈骗事件已经让不少用户开始感觉到网络中存在的安全隐患。下面是国际反钓鱼组织公布了一个典型案例。攻击者发了一个欺骗的邮件并声称：按照年度计划，用户的数据库信息需要进行例行更新，并给出了一个“To update your account address”连接地址。由于这封Email来自SebastianMareygrossness@comcast-support.biz，因此，一般人不会太怀疑。不过，细心的用户会发现，表面地址是http://comcast-database.biz/，实际地址是http://66.113.136.225。很明显，这个攻击者利用了URL欺骗技术，以达到其不可告人的目的！

　　此外，还有不少流氓软件通过欺骗技术，未经许可强行潜伏到用户电脑中，而且此类程序无卸载程序，无法正常卸载和删除，强行删除后还会自动生成。有迹象表明，病毒、黑客和流氓软件正紧密结合，日益趋于商业化、集团化，并且已经形成了一根完整的产业链条。

[上一页]　[1]　[2]　[3]　[4]　[5]　[6]　[7]　[下一页]

本文导航:
·2007年网络攻击的发展趋势 ·探测技术和攻击测试平台的发展 ·攻击测试平台的新发展 ·2007年网络攻击和隐藏技术发展趋势		·拒绝服务攻击技术的发展 ·隐藏技术及其新发展 ·实例分析