田永民

(湖南大眾傳媒職業(yè)技術(shù)學(xué)院,湖南 長(zhǎng)沙 410100)

0 引言

關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)攻防滲透技術(shù),相關(guān)領(lǐng)域的研究學(xué)者對(duì)其定義并不統(tǒng)一,其中得到廣泛認(rèn)同的說法是從計(jì)算機(jī)網(wǎng)絡(luò)的定義出發(fā)的,連接不同地理位置、不同地理功能的多臺(tái)設(shè)備的系統(tǒng)即為計(jì)算機(jī)網(wǎng)絡(luò)[1]。 在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中,系統(tǒng)中應(yīng)用的軟件包括網(wǎng)絡(luò)通信協(xié)議與操作系統(tǒng)等,屬于現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與通信技術(shù)結(jié)合的科技產(chǎn)物,功能相對(duì)完整,可以滿足現(xiàn)代社會(huì)通信的需求。 近年來,網(wǎng)絡(luò)中存在的不安全因素需要得到相關(guān)領(lǐng)域的重視,技術(shù)人員更要從人們?cè)诠ぷ髋c生活中遇到的問題出發(fā),研究攻防滲透技術(shù)的深層內(nèi)容,用于維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境的安全發(fā)展。 考慮到客觀網(wǎng)絡(luò)環(huán)境的資源共享特點(diǎn),技術(shù)人員更需要結(jié)合現(xiàn)代人在網(wǎng)絡(luò)環(huán)境中的需求,適時(shí)地增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的防御性能。

1 計(jì)算機(jī)網(wǎng)絡(luò)攻擊常見的方式

1.1 DOS 攻擊方式

DOS 攻擊手段,在本質(zhì)上屬于一種阻止用戶的個(gè)人計(jì)算機(jī)訪問網(wǎng)絡(luò)環(huán)境中資源的攻擊方式,目的也是以“攻擊”為主,被攻擊的計(jì)算機(jī)程序出現(xiàn)死機(jī)、崩潰等情況,之后用戶就難以從網(wǎng)絡(luò)中獲得數(shù)據(jù)資源。 對(duì)于DOS 攻擊方式,目前常采用DDOS 分布式拒絕服務(wù)來阻隔攻擊,主要是根據(jù)DOS 攻擊的原理衍生出的一種防范手段。 DOS 攻擊手段是在同一時(shí)間向其他計(jì)算機(jī)發(fā)送數(shù)據(jù)包,遭受攻擊的計(jì)算機(jī)會(huì)向主機(jī)返回?cái)?shù)量相等的數(shù)據(jù)包,由于這些數(shù)據(jù)包量較大,服務(wù)器可能會(huì)出現(xiàn)擁擠或者資源被完全耗盡的情況,而主機(jī)的服務(wù)功能也會(huì)因?yàn)閿?shù)據(jù)包的不斷涌入而陷入癱瘓。 總之,DOS攻擊是流量攻擊的方式,或是數(shù)據(jù)資源攻擊的方式,都是由主機(jī)向目標(biāo)計(jì)算機(jī)發(fā)送數(shù)據(jù)包的形式,占用用戶的計(jì)算機(jī)程序,使用戶難以獲取想要的數(shù)據(jù)資料[2]。

1.2 系統(tǒng)漏洞攻擊方式

程序員所編寫的計(jì)算機(jī)程序難以避免地會(huì)存在或多或少的不足,而這些漏洞也會(huì)在計(jì)算機(jī)程序的持續(xù)使用中逐漸顯現(xiàn)出來,但是程序員也會(huì)編寫更多的補(bǔ)丁來修補(bǔ)程序,原有的系統(tǒng)程序會(huì)在補(bǔ)丁的幫助下逐漸完善。 從漏洞出現(xiàn)到補(bǔ)丁修復(fù)的過程中,會(huì)存在一些網(wǎng)絡(luò)攻擊。 針對(duì)網(wǎng)絡(luò)協(xié)議中存在的缺陷,一些不法分子可能會(huì)使用虛假的數(shù)據(jù)包使程序單純地認(rèn)為數(shù)據(jù)包中的信息是合法的,等到數(shù)據(jù)包進(jìn)入系統(tǒng)以后才會(huì)影響程序,這屬于典型的電子欺騙攻擊,其影響程度與技術(shù)本身相關(guān)。 一些不法分子要預(yù)先掌握用戶計(jì)算機(jī)系統(tǒng)的情況,才能實(shí)現(xiàn)電子欺騙攻擊,用戶的計(jì)算機(jī)會(huì)在遭受攻擊的階段喪失通信能力,不法分子將特定的信息包傳輸?shù)接脩舻挠?jì)算機(jī)系統(tǒng)后,執(zhí)行錯(cuò)誤的身份驗(yàn)證,以此來突破計(jì)算機(jī)的防護(hù)程序,由于電子欺騙的攻擊需要在特定的情況下實(shí)現(xiàn),許多不法分子會(huì)通過修改IP 地址來獲取防火墻的信任,進(jìn)行持續(xù)不間斷的攻擊[3]。

1.3 Web 滲透攻擊方式

1.3.1 SQL 注入式攻擊

到目前為止,許多計(jì)算機(jī)程序中的命令及數(shù)據(jù)并不是完全獨(dú)立的,所以一些攻擊者可以通過輸入程序命令來實(shí)現(xiàn)攻擊行為,即所謂的SQL 注入式攻擊。 這種攻擊要先突破認(rèn)證機(jī)制以后,控制用戶計(jì)算機(jī)的數(shù)據(jù)庫,由于用戶的數(shù)據(jù)庫保存著關(guān)于網(wǎng)頁資源等多項(xiàng)數(shù)據(jù),用戶計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)命令也符合相應(yīng)的語法程序,將其數(shù)據(jù)看作一種命令以后,用戶也可以在計(jì)算機(jī)的數(shù)據(jù)庫中執(zhí)行命令,所以SQL 注入式攻擊也成為一種新的網(wǎng)絡(luò)攻擊方式[4]。

1.3.2 XSS 跨站腳本攻擊

XSS 跨站腳本攻擊是利用網(wǎng)頁漏洞來完成的,攻擊者在掛馬網(wǎng)站或被攻擊的Web 服務(wù)器網(wǎng)頁中嵌入惡意腳本,這些惡意腳本是通過JavaScript 編寫的。 用戶訪問的網(wǎng)頁中如果被嵌入惡意代碼,惡意代碼將會(huì)在用戶的瀏覽器上執(zhí)行。 攻擊者編寫好惡意腳本后,在網(wǎng)站進(jìn)行輸入,此時(shí)惡意腳本會(huì)被正常執(zhí)行,用戶訪問被植入惡意代碼的網(wǎng)頁時(shí),惡意代碼就被觸發(fā)執(zhí)行,用戶的重要數(shù)據(jù)就被攻擊者獲取。

1.3.3 病毒攻擊方式

計(jì)算機(jī)病毒之所以出現(xiàn),主要是因?yàn)橐恍┯?jì)算機(jī)愛好者出于各種目的編寫了具有一定破壞性的程序代碼,利用系統(tǒng)中存在的漏洞,以不法行為入侵他人的計(jì)算機(jī)網(wǎng)絡(luò),并對(duì)其計(jì)算機(jī)程序?qū)嵤┮幌盗衅茐男曰顒?dòng)。計(jì)算機(jī)病毒屬于一種比較常見的攻擊方式,具備寄生性、隱蔽性、潛伏性及突然性等特點(diǎn)。 所謂寄生性,就是病毒的傳染性,可以從遭受攻擊的計(jì)算機(jī)系統(tǒng)傳染到其他健康的計(jì)算機(jī)系統(tǒng)中,并主動(dòng)感染其他計(jì)算機(jī)程序;隱蔽性和潛伏性主要體現(xiàn)在計(jì)算機(jī)程序在中病毒的前期并不會(huì)直接停止運(yùn)行,經(jīng)歷一段時(shí)間的潛伏以后,病毒才會(huì)對(duì)計(jì)算機(jī)的系統(tǒng)程序進(jìn)行攻擊,只有計(jì)算機(jī)系統(tǒng)滿足病毒程序預(yù)先設(shè)定的條件才會(huì)逐步影響程序,所以在病毒發(fā)作之前,系統(tǒng)很難發(fā)現(xiàn)自身存在病毒;突然性是指病毒對(duì)計(jì)算機(jī)系統(tǒng)發(fā)動(dòng)攻擊以后,用戶很難及時(shí)對(duì)病毒進(jìn)行有效的防治,所以病毒攻擊也成為目前計(jì)算機(jī)網(wǎng)絡(luò)攻擊中最難防治的方式[5]。

2 計(jì)算機(jī)網(wǎng)絡(luò)攻擊防滲透技術(shù)的應(yīng)用措施

2.1 DDOS 攻擊防護(hù)措施

DDOS 攻擊防護(hù)措施主要是針對(duì)計(jì)算機(jī)主機(jī)因網(wǎng)絡(luò)阻塞等原因?qū)е碌木芙^服務(wù)的情況,技術(shù)人員可以采取以下幾種方法來減少DOS 攻擊的危害。 其一,采用QOS 保證的方式,通過對(duì)計(jì)算機(jī)程序的QOS 分類及資源調(diào)度等方面管理的重新設(shè)置,可以最大限度地減少網(wǎng)絡(luò)延遲及堵塞的情況,這種方法在結(jié)構(gòu)相對(duì)簡(jiǎn)單且流量較少的DOS 攻擊中,可以起到比較明顯的防護(hù)效果,可一旦面臨比較復(fù)雜的DOS 攻擊,該方法需要與其他先進(jìn)的防護(hù)技術(shù)聯(lián)合應(yīng)用,才能達(dá)到預(yù)期的防護(hù)目標(biāo)。 其二,可以在用戶的計(jì)算機(jī)系統(tǒng)中安裝功能更強(qiáng)大的防火墻程序,抵御DOS 攻擊,安全等級(jí)更高的防火墻系統(tǒng)能夠防御一定程度的DOS 攻擊,對(duì)系統(tǒng)程序的運(yùn)行進(jìn)行監(jiān)控,并且予以同步管理,對(duì)計(jì)算機(jī)系統(tǒng)遭受的未知風(fēng)險(xiǎn)進(jìn)行防范。 其三,采用資源分布技術(shù),技術(shù)人員可以將數(shù)據(jù)資源從單一的服務(wù)器管理變?yōu)槎鄠€(gè)服務(wù)器共同管理,DNS 服務(wù)管理的形式能夠根據(jù)服務(wù)器的數(shù)據(jù)傳輸需求進(jìn)行合理的調(diào)整,而不會(huì)將所有的資源統(tǒng)轄至一處,這種數(shù)據(jù)資源管理方式與傳統(tǒng)模式相比更加優(yōu)化,不會(huì)在數(shù)據(jù)流流量傳輸過大時(shí)影響通信的流暢性,同時(shí)也能夠?qū)OS 攻擊形成一定的防范作用,使用這種方法需要付出較高的成本,后續(xù)維護(hù)工作中需要投入的成本也較高,所以難以在實(shí)際應(yīng)用中大范圍推廣[6]。

2.2 系統(tǒng)漏洞防護(hù)措施

目前,計(jì)算機(jī)網(wǎng)絡(luò)中的許多攻擊都是利用系統(tǒng)中的漏洞完成的,正是因?yàn)槌绦騿T在編寫程序時(shí),會(huì)不可避免地使程序存在一些漏洞,所以應(yīng)對(duì)漏洞攻擊的方式就是對(duì)計(jì)算機(jī)系統(tǒng)的漏洞進(jìn)行必要的防護(hù),以此來減少計(jì)算機(jī)遭受的攻擊。 其一,要及時(shí)安裝系統(tǒng)補(bǔ)丁,在系統(tǒng)運(yùn)行一段時(shí)間以后,適時(shí)地安裝補(bǔ)丁可以使攻擊者找不到漏洞,所以攻擊也會(huì)變得困難。 其二,可以對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行安全設(shè)置,通過NTFS 的關(guān)閉默認(rèn)共享等方式,可以禁止用戶從軟盤等區(qū)域配置安全策略,進(jìn)而完善用戶的計(jì)算機(jī)系統(tǒng)安全設(shè)置,可以實(shí)現(xiàn)對(duì)漏洞的防護(hù)。 其三,考慮到計(jì)算機(jī)系統(tǒng)的服務(wù)安全問題,用戶可以自行關(guān)閉其他程序中的多余端口,禁用一些程序,盡管系統(tǒng)的功能會(huì)受到一定程度的影響,但是詢問安全記錄訪問權(quán)限的方式更適用于系統(tǒng)的漏洞保護(hù)[7]。

2.3 Web 滲透攻擊防護(hù)措施

SQL 注入的防范方法應(yīng)該是用戶在輸入數(shù)據(jù)時(shí)程序中對(duì)其進(jìn)行嚴(yán)格檢測(cè)。 其一,要對(duì)用戶的輸入進(jìn)行校驗(yàn),檢查方法是限制輸入長(zhǎng)度或者使用正則表達(dá)式來完成,對(duì)引號(hào)輸入要進(jìn)行格式轉(zhuǎn)換。 其二,對(duì)數(shù)據(jù)庫SQL 的使用不能動(dòng)態(tài)拼裝,查找存取數(shù)據(jù)時(shí)可以使用存儲(chǔ)過程或者參數(shù)化的數(shù)據(jù)庫。 其三,重要數(shù)據(jù)需要加密,不能將涉密信息明文存放。 其四,在連接數(shù)據(jù)庫時(shí),應(yīng)該盡量使用普通用戶權(quán)限,不能使用管理員權(quán)限連接數(shù)據(jù)庫。

防止XSS 攻擊應(yīng)該讓W(xué)eb 應(yīng)用程序?qū)τ脩舻妮斎脒M(jìn)行嚴(yán)格過濾。 其一,服務(wù)端防范措施,應(yīng)該執(zhí)行用戶的輸入內(nèi)容要被Web 程序嚴(yán)格過濾。 其二,客戶端防范措施,由于XSS 攻擊是在客戶端實(shí)施的,可以將客戶端瀏覽器的安全等級(jí)提高并停止Cookies 功能。 另外,也可以采用一些安全瀏覽器。

2.4 病毒攻擊防護(hù)措施

病毒攻擊是比較常見的計(jì)算機(jī)網(wǎng)絡(luò)攻擊手段,受到相關(guān)領(lǐng)域的廣泛關(guān)注,要做好病毒攻擊的防護(hù)工作,就需要通過相應(yīng)的技術(shù)操作來提升防護(hù)等級(jí)。 其一,可以在計(jì)算機(jī)系統(tǒng)中安裝殺毒軟件,定期對(duì)計(jì)算機(jī)系統(tǒng)運(yùn)行過程中產(chǎn)生的病毒進(jìn)行全面查殺。 其二,用戶不要在使用計(jì)算機(jī)網(wǎng)絡(luò)過程中隨意打開不明網(wǎng)頁的鏈接,更不要打開已經(jīng)標(biāo)注風(fēng)險(xiǎn)的不良網(wǎng)站的鏈接。 其三,對(duì)于陌生賬號(hào)發(fā)來的文件,用戶可以在工具欄或者菜單欄中的文件夾選項(xiàng),選擇取消隱藏的已知文件類型擴(kuò)展名這項(xiàng)功能,先查看文件的類型以后,再做判斷是否打開文件。 其四,要加強(qiáng)對(duì)公共磁盤空間的管理,并且要在使用計(jì)算機(jī)的期間定期使用殺毒軟件查殺病毒。 其五,在使用移動(dòng)的儲(chǔ)存器之前,應(yīng)該先用殺毒軟件進(jìn)行查殺,以免移動(dòng)儲(chǔ)存器成為轉(zhuǎn)移病毒的媒介。其六,用戶可以對(duì)計(jì)算機(jī)系統(tǒng)中的各個(gè)賬號(hào)設(shè)置特殊的口令,已經(jīng)過期的賬號(hào)要定期刪除。 其七,用戶要定期對(duì)計(jì)算機(jī)中比較重要的數(shù)據(jù)進(jìn)行備份,即使系統(tǒng)受到病毒的攻擊,這些數(shù)據(jù)也可以及時(shí)修復(fù),以免用戶遭受不必要的損失。

3 計(jì)算機(jī)網(wǎng)絡(luò)攻擊防滲透測(cè)試技術(shù)的創(chuàng)新應(yīng)用

針對(duì)當(dāng)前網(wǎng)絡(luò)環(huán)境中的各類問題,相關(guān)領(lǐng)域的技術(shù)人員研究出滲透測(cè)試的相關(guān)概念,模擬網(wǎng)絡(luò)黑客對(duì)系統(tǒng)進(jìn)行攻擊,以測(cè)試被測(cè)系統(tǒng)的安全性,盡早發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)中的薄弱環(huán)節(jié)。 防滲透測(cè)試技術(shù)的應(yīng)用可以在系統(tǒng)外部發(fā)動(dòng)攻擊,針對(duì)企業(yè)類用戶的設(shè)備,包括對(duì)電子郵件服務(wù)器及域名服務(wù)器等設(shè)備進(jìn)行測(cè)試,同時(shí),技術(shù)人員還可以進(jìn)行內(nèi)部滲透測(cè)試,在企業(yè)的內(nèi)部技術(shù)環(huán)境中模擬員工的越權(quán)測(cè)試,查看越權(quán)訪問行為是否能夠?qū)е缕髽I(yè)的核心機(jī)密信息泄露。 此外,還有盲式測(cè)試和定向測(cè)試,前者完全模擬黑客的操作方法對(duì)系統(tǒng)發(fā)起攻擊,在掌握少量系統(tǒng)信息的前提下,對(duì)系統(tǒng)進(jìn)行攻擊和滲透,而定向測(cè)試則需要技術(shù)人員對(duì)系統(tǒng)的設(shè)計(jì)信息進(jìn)行充分了解,這種測(cè)試方法更加經(jīng)濟(jì)有效。 縱觀攻擊防滲透測(cè)試技術(shù)的新應(yīng)用,系統(tǒng)的開發(fā)人員可以模擬黑客攻擊的手段來掃描漏洞,通過提升權(quán)限和破解密碼,對(duì)系統(tǒng)的信息予以進(jìn)一步滲透,比如內(nèi)網(wǎng)滲透中的Sniff 抓包,就可以查詢已滲透的機(jī)器上的文件,或者查看系統(tǒng)中的日志信息等。 技術(shù)人員往往會(huì)為了模擬整體的攻擊流程及系統(tǒng)防護(hù)的強(qiáng)度,在滲透工作結(jié)束以后,清除訪問的痕跡,并且形成網(wǎng)絡(luò)滲透測(cè)試工作的完整報(bào)告。

4 結(jié)語

現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的研究,提升了人們的生活品質(zhì),提高了工作效率,雖然現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展具有極大的優(yōu)勢(shì),但網(wǎng)絡(luò)環(huán)境也不是特別安全,需要每一位使用者具有一定的網(wǎng)絡(luò)安全防范意識(shí),合理地使用網(wǎng)絡(luò)資源,否則容易引發(fā)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問題,用戶本身也可能要承擔(dān)相應(yīng)的損失。 在當(dāng)下的網(wǎng)絡(luò)環(huán)境中,了解一些計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)對(duì)用戶而言是非常必要的,用戶不僅要“會(huì)”如何用,更要“懂”如何用,正確防范網(wǎng)絡(luò)環(huán)境中的風(fēng)險(xiǎn)因素,保持良好的網(wǎng)絡(luò)資源使用習(xí)慣,以此來降低個(gè)人信息遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn),共同營(yíng)造健康且和諧的網(wǎng)絡(luò)環(huán)境。