劉海霞

不可否認(rèn),網(wǎng)絡(luò)已經(jīng)溶入到了我們的日常工作和生活中。因此，在我們使用電腦時(shí)就得時(shí)時(shí)考慮被網(wǎng)絡(luò)攻擊的防范工作。俗語(yǔ)說(shuō)“知己知彼，百戰(zhàn)不貽”，要想免遭黑客的攻擊，當(dāng)然就得對(duì)它的主要手段和攻擊方法作一些了解。而我們也要知道信息安全涉及到信息的保密性、完整性、可用性、可控性和不可否認(rèn)性。綜合起來(lái)說(shuō),就是要保障電子信息的有效性。保密性就是對(duì)抗對(duì)手的被動(dòng)攻擊,保證信息不泄漏給未經(jīng)授權(quán)的人；完整性就是對(duì)抗對(duì)手主動(dòng)攻擊,防止信息被未經(jīng)授權(quán)的人篡改；可用性就是保證信息及信息系統(tǒng)確實(shí)為授權(quán)使用者所用；可控性就是對(duì)信息及信息系統(tǒng)實(shí)施安全監(jiān)控。

1 黑客攻擊的主要方式

黑客對(duì)網(wǎng)絡(luò)的攻擊方式是多種多樣的，一般來(lái)講，攻擊總是利用“系統(tǒng)配置的缺陷”、“操作系統(tǒng)的安全漏洞”或“通信協(xié)議的安全漏洞”來(lái)進(jìn)行的。到目前為止，已經(jīng)發(fā)現(xiàn)的攻擊方式超過(guò)2 000種，其中對(duì)絕大部分黑客攻擊手段已經(jīng)有相應(yīng)的解決方法，這些攻擊大概可以劃分為以下6類：

1.1 拒絕服務(wù)攻擊

一般情況下，拒絕服務(wù)攻擊是通過(guò)使被攻擊對(duì)象（通常是工作站或重要服務(wù)器）的系統(tǒng)關(guān)鍵資源過(guò)載，從而使被攻擊對(duì)象停止部分或全部服務(wù)。目前已知的拒絕服務(wù)攻擊就有幾百種，它是最基本的入侵攻擊手段，也是最難對(duì)付的入侵攻擊之一。典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、WinNuke攻擊等。

1.2 非授權(quán)訪問(wèn)嘗試

是攻擊者對(duì)被保護(hù)文件進(jìn)行讀、寫或執(zhí)行的嘗試，也包括為獲得被保護(hù)訪問(wèn)權(quán)限所做的嘗試。

1.3 預(yù)探測(cè)攻擊

在連續(xù)的非授權(quán)訪問(wèn)嘗試過(guò)程中，攻擊者為了獲得網(wǎng)絡(luò)內(nèi)部的信息及網(wǎng)絡(luò)周圍的信息，通常使用這種攻擊嘗試。典型示例包括SATAN掃描、端口掃描和IP半途掃描等。

1.4 可疑活動(dòng)

是通常定義的“標(biāo)準(zhǔn)”網(wǎng)絡(luò)通信范疇之外的活動(dòng)，也可以指網(wǎng)絡(luò)上不希望有的活動(dòng)。如IP Unknown Protocol和Duplicate IP Address事件等。

1.5 協(xié)議解碼

協(xié)議解碼可用于以上任何一種非期望的方法中，網(wǎng)絡(luò)或安全管理員需要進(jìn)行解碼工作，并獲得相應(yīng)的結(jié)果，解碼后的協(xié)議信息可能表明期望的活動(dòng)。如FTU User和Portmapper Proxy等解碼方式。

1.6 系統(tǒng)代理攻擊

這種攻擊通常是針對(duì)單個(gè)主機(jī)發(fā)起的，而并非整個(gè)網(wǎng)絡(luò)，通過(guò)RealSecure系統(tǒng)代理可以對(duì)它們進(jìn)行監(jiān)視。

2 黑客攻擊行為的特征分析與反攻擊技術(shù)

檢測(cè)入侵的最基本手段是采用模式匹配的方法來(lái)發(fā)現(xiàn)入侵攻擊行為，要有效的進(jìn)行反攻擊首先必須了解入侵的原理和工作機(jī)理，只有這樣才能做到知己知彼，從而有效的防止入侵攻擊行為的發(fā)生。下面就幾種典型的入侵攻擊進(jìn)行分析，并提出相應(yīng)的對(duì)策。

2.1 Land攻擊

攻擊類型：Land攻擊是一種拒絕服務(wù)攻擊。

攻擊特征：用于Land攻擊的數(shù)據(jù)包中的源地址和目標(biāo)地址是相同的，因?yàn)楫?dāng)操作系統(tǒng)接收到這類數(shù)據(jù)包時(shí)，不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況，或者循環(huán)發(fā)送和接收該數(shù)據(jù)包，消耗大量的系統(tǒng)資源，從而有可能造成系統(tǒng)崩潰或死機(jī)等現(xiàn)象。

檢測(cè)方法：判斷網(wǎng)絡(luò)數(shù)據(jù)包的源地址和目標(biāo)地址是否相同。

反攻擊方法：適當(dāng)配置防火墻設(shè)備或過(guò)濾路由器的過(guò)濾規(guī)則就可以防止這種攻擊行為（一般是丟棄該數(shù)據(jù)包），并對(duì)這種攻擊進(jìn)行審計(jì)（記錄事件發(fā)生的時(shí)間，源主機(jī)和目標(biāo)主機(jī)的MAC地址和IP地址）。

2.2 TCP SYN攻擊

攻擊類型：TCP SYN攻擊是一種拒絕服務(wù)攻擊。

攻擊特征：它是利用TCP客戶機(jī)與服務(wù)器之間三次握手過(guò)程的缺陷來(lái)進(jìn)行的。攻擊者通過(guò)偽造源IP地址向被攻擊者發(fā)送大量的SYN數(shù)據(jù)包，當(dāng)被攻擊主機(jī)接收到大量的SYN數(shù)據(jù)包時(shí)，需要使用大量的緩存來(lái)處理這些連接，并將SYN ACK數(shù)據(jù)包發(fā)送回錯(cuò)誤的IP地址，并一直等待ACK數(shù)據(jù)包的回應(yīng)，最終導(dǎo)致緩存用完，不能再處理其它合法的SYN連接，即不能對(duì)外提供正常服務(wù)。

檢測(cè)方法：檢查單位時(shí)間內(nèi)收到的SYN連接是否超過(guò)系統(tǒng)設(shè)定的值。

反攻擊方法：當(dāng)接收到大量的SYN數(shù)據(jù)包時(shí)，通知防火墻阻斷連接，請(qǐng)求或丟棄這些數(shù)據(jù)包，并進(jìn)行系統(tǒng)審計(jì)。

2.3 Ping Of Death攻擊

攻擊類型：Ping Of Death攻擊是一種拒絕服務(wù)攻擊。

攻擊特征：該攻擊數(shù)據(jù)包大于65535個(gè)字節(jié)。由于部分操作系統(tǒng)接收到長(zhǎng)度大于65535個(gè)字節(jié)的數(shù)據(jù)包時(shí)，就會(huì)造成內(nèi)存溢出、系統(tǒng)崩潰、重啟、內(nèi)核失敗等后果，從而達(dá)到攻擊的目的。

檢測(cè)方法：判斷數(shù)據(jù)包的大小是否大于65535個(gè)字節(jié)。

反攻擊方法：使用新的補(bǔ)丁程序。當(dāng)收到大于65535個(gè)字節(jié)的數(shù)據(jù)包時(shí)，丟棄該數(shù)據(jù)包，并進(jìn)行系統(tǒng)審計(jì)。

2.4 WinNuke攻擊

攻擊類型：WinNuke攻擊是一種拒絕服務(wù)攻擊。

攻擊特征：WinNuke攻擊又稱帶外傳輸攻擊，它的特征是攻擊目標(biāo)端口。被攻擊的目標(biāo)端口通常是139、138、137、113、53，而且URG位設(shè)為“1”，即緊急模式。

檢測(cè)方法：判斷數(shù)據(jù)包目標(biāo)端口是否為139、138、137等，并判斷URG位是否為“1”。

反攻擊方法：適當(dāng)配置防火墻設(shè)備或過(guò)濾路由器就可以防止這種攻擊手段（丟棄該數(shù)據(jù)包），并對(duì)這種攻擊進(jìn)行審計(jì)（記錄事件發(fā)生的時(shí)間，源主機(jī)和目標(biāo)主機(jī)的MAC地址和IP地址MAC）。

2.5 Teardrop攻擊

攻擊類型：Teardrop攻擊是一種拒絕服務(wù)攻擊。

攻擊特征：Teardrop是基于UDP的病態(tài)分片數(shù)據(jù)包的攻擊方法，其工作原理是向被攻擊者發(fā)送多個(gè)分片的IP包（IP分片數(shù)據(jù)包中包括該分片數(shù)據(jù)包屬于哪個(gè)數(shù)據(jù)包以及在數(shù)據(jù)包中的位置等信息），某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時(shí)將會(huì)出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。

檢測(cè)方法：對(duì)接收到的分片數(shù)據(jù)包進(jìn)行分析，計(jì)算數(shù)據(jù)包的片偏移量（Offset）是否有誤。

反攻擊方法：添加系統(tǒng)補(bǔ)丁程序，丟棄收到的病態(tài)分片數(shù)據(jù)包并對(duì)這種攻擊進(jìn)行審計(jì)。

2.6 TCP／UDP端口掃描

攻擊類型：TCP/UDP端口掃描是一種預(yù)探測(cè)攻擊。

攻擊特征：對(duì)被攻擊主機(jī)的不同端口發(fā)送TCP或UDP連接請(qǐng)求，探測(cè)被攻擊對(duì)象運(yùn)行的服務(wù)類型。

檢測(cè)方法：統(tǒng)計(jì)外界對(duì)系統(tǒng)端口的連接請(qǐng)求，特別是對(duì)21、23、25、53、80、8000、8080等以外的非常用端口的連接請(qǐng)求。

反攻擊方法：當(dāng)收到多個(gè)TCP/UDP數(shù)據(jù)包對(duì)異常端口的連接請(qǐng)求時(shí)，通知防火墻阻斷連接請(qǐng)求，并對(duì)攻擊者的IP地址和MAC地址進(jìn)行審計(jì)。

對(duì)于某些較復(fù)雜的入侵攻擊行為（如分布式攻擊、組合攻擊）不但需要采用模式匹配的方法，還需要利用狀態(tài)轉(zhuǎn)移、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等方法來(lái)進(jìn)行入侵檢測(cè)。

3 入侵檢測(cè)系統(tǒng)的幾點(diǎn)思考

從性能上講，入侵檢測(cè)系統(tǒng)面臨的一個(gè)矛盾就是系統(tǒng)性能與功能的折衷，即對(duì)數(shù)據(jù)進(jìn)行全面復(fù)雜的檢驗(yàn)構(gòu)成了對(duì)系統(tǒng)實(shí)時(shí)性要求很大的挑戰(zhàn)。

從技術(shù)上講，入侵檢測(cè)系統(tǒng)存在一些亟待解決的問(wèn)題，主要表現(xiàn)在以下幾個(gè)方面：

3.1 如何識(shí)別“大規(guī)模的組合式、分布式的入侵攻擊”目前還沒(méi)有較好的方法和成熟的解決方案。從Yahoo等著名ICP的攻擊事件中，我們了解到安全問(wèn)題日漸突出，攻擊者的水平在不斷地提高，加上日趨成熟多樣的攻擊工具，以及越來(lái)越復(fù)雜的攻擊手法，使入侵檢測(cè)系統(tǒng)必須不斷跟蹤最新的安全技術(shù)。

3.2 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通過(guò)匹配網(wǎng)絡(luò)數(shù)據(jù)包發(fā)現(xiàn)攻擊行為，入侵檢測(cè)系統(tǒng)往往假設(shè)攻擊信息是明文傳輸?shù)?，因此?duì)信息的改變或重新編碼就可能騙過(guò)入侵檢測(cè)系統(tǒng)的檢測(cè)，因此字符串匹配的方法對(duì)于加密過(guò)的數(shù)據(jù)包就顯得無(wú)能為力。

3.3 網(wǎng)絡(luò)設(shè)備越來(lái)越復(fù)雜、越來(lái)越多樣化就要求入侵檢測(cè)系統(tǒng)能有所定制，以適應(yīng)更多的環(huán)境的要求。

3.4 對(duì)入侵檢測(cè)系統(tǒng)的評(píng)價(jià)還沒(méi)有客觀的標(biāo)準(zhǔn)。標(biāo)準(zhǔn)的不統(tǒng)一使得入侵檢測(cè)系統(tǒng)之間不易互聯(lián)。入侵檢測(cè)系統(tǒng)是一項(xiàng)新興技術(shù)，隨著技術(shù)的發(fā)展和對(duì)新攻擊識(shí)別的增加，入侵檢測(cè)系統(tǒng)需要不斷的升級(jí)才能保證網(wǎng)絡(luò)的安全性。

3.5 采用不恰當(dāng)?shù)淖詣?dòng)反應(yīng)同樣會(huì)給入侵檢測(cè)系統(tǒng)造成風(fēng)險(xiǎn)。入侵檢測(cè)系統(tǒng)通?？梢耘c防火墻結(jié)合在一起工作，當(dāng)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)攻擊行為時(shí)，過(guò)濾掉所有來(lái)自攻擊者的IP數(shù)據(jù)包。當(dāng)一個(gè)攻擊者假冒大量不同的IP進(jìn)行模擬攻擊時(shí)，入侵檢測(cè)系統(tǒng)自動(dòng)配置防火墻將這些實(shí)際上并沒(méi)有進(jìn)行任何攻擊的地址都過(guò)濾掉，于是造成新的拒絕服務(wù)訪問(wèn)。

3.6 對(duì)IDS自身的攻擊。與其他系統(tǒng)一樣，IDS本身也存在安全漏洞，若對(duì)IDS攻擊成功，則導(dǎo)致報(bào)警失靈，入侵者在其后的行為將無(wú)法被記錄，因此要求系統(tǒng)應(yīng)該采取多種安全防護(hù)手段。

3.7 隨著網(wǎng)絡(luò)帶寬的不斷增加，如何開發(fā)基于高速網(wǎng)絡(luò)的檢測(cè)器（事件分析器）仍然存在很多技術(shù)上的困難。

入侵檢測(cè)系統(tǒng)作為網(wǎng)絡(luò)安全關(guān)鍵性測(cè)防系統(tǒng)，具有很多值得進(jìn)一步深入研究的方面，有待于我們進(jìn)一步完善，為今后的網(wǎng)絡(luò)發(fā)展提供有效的安全手段。

[1] 王奇.以太網(wǎng)中ARP欺騙原理與解決辦法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007(2).

[2]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京：人民郵電出版社，2006.

[3]趙鵬.計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中基于ARP協(xié)議的攻擊與保護(hù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2005(1):101. [4]朱周華.電子政務(wù)網(wǎng)絡(luò)與信息安全保障體系設(shè)計(jì)[J].微計(jì)算機(jī)信息，2009,25(3):56-57.

[5]李明柱.電子商務(wù)安全技術(shù)[M].北京:北京航空航天出版社,2003.