网络攻击机制和技术发展综述.doc

　　网络攻击机制和技术发展综述～教育资源库 　　一、概述　　在这个世界上，人类不断研究和发展新的信息安全机制和工程实践，为战胜计算机网络安全威胁付出了艰巨的努力。似乎如果计算机攻击手法不再翻新，关于信息安全的战争将很快结束。虽然，大多数地下组织研究的攻击手法都是惊人的相似，无非就是：蠕虫、后门、rootkits、DoS和sniffer等。但这些手段都体现了它们惊人的威力。到今年，情况愈演愈烈。这几类攻击手段的新变种，与去年前年出现的相比，更加智能化，攻击目标直指互联网基础协议和操作系统层次。从anipulation), 是指攻击者通过在URL中修改传递给浏览器的敏感信息，隐藏表格元素和cookies，达到非法访问的目的。如果一个安全意识松懈的开发的AppShield，KaVaDo的InterDo，Ubizen的DMZ/Shield，和SPI Dynamics的WebInspect。这些工具采用学习机制，被配置成为能理解正常的Web应用访问行为，在一个用户会话中，当异常的修改发生或者特殊字符输入出现时，这种攻击将截停非法修改并向管理员报告异常行为。 　　另一方面，一个由志愿者组成的开放源码组织开发了一个叫Open Web Application Security Project (OWASP)的项目，对D5哈希(hash)函数或者时间戳数字签名技术来实现;还有,对用户输入必须进行细致的检查,过滤可能危及后台数据库的特殊字符、脚本语言和命令，包括逗号、引号、括号、星号、百分号、下划线和管道符等。这些字符检测机制是在web server实现，而不是在浏览器端实现，因为攻击者可以通过各种手段绕过客户端的安全机制。对于这些字符可以采用清除或者强制替换的方法避免它们威胁服务器的安全。 　　三、超隐秘嗅探式后门 　　后门对计算机系统安全的侵扰，其历史已达十年之久。通过后门，攻击能绕过正常的安全机制自如地访问系统资源。最近，这类攻击变得更加隐秘，更加难以察觉。这种新的攻击与传统的后门不同之出是，它将sniffer技术和后门技术结合起来了。传统的后门是通过监听TCP端口和UDP端口，向攻击者敞开方便之门。对于这类后门，有经验的系统管理员和信息安全人员可以通过定期检测端口使用情况，来发现这些新开放的后门服务。 　　而新类型的后门技术排除了把进程建立在端口上的方式，而是使用sniffer(监听)技术，通过类型匹配的方式，被动地捕捉后门操发过来的消息，从而执行相应的指令，后门采用的指示器可以是一个特定的IP地址、一个TCP标志位，甚至是一个没有开放（侦听）的端口。象Cd00r和SAdoor就是类似这样的后门程序。 　　嗅探式后门(Sniffer 123下一页 友情提醒：，特别！/backdoors)可以工作在混杂模式下，也可以工作在非混杂模式下。(编者注：混杂模式是网络监听程序要用到的工作模式，其实就是改变网卡设置，把网卡原来只接收属于自己的数据包的模式，改为不管什么数据包都接收的模式)。 　　非混杂模式的嗅探式后门，只监听本机通信，只在受害主机上扮演威胁者的角色。 　　而被设置为混杂模式的后门，可以监听以太网上其它主机的通信数据，这种模式将严重困扰网络安全管理员。设想以下情况：攻击者在DMZ区(停火区)其中一台ail服务器的通信。对于攻击者来说，他可以只需要向mail服务器发送攻击指令，但mail服务器上其实没有装后门，指令的执行者是ail服务器中了木马，却很难想到其实是ap 工具进行异常端口占用检测。如果发现一个未知的进程占用了一个端口，尤其是以超级用户权限运行的进程，应该马上进行调查，是谁开启了这个进程。在调查不清楚的情况下可以果断关闭端口或杀掉进程。 　　要想了解网卡是否被置于混杂模式，可以采用ifstatus(For solaris)或者PromiscDetect(For 是其中的一款(For Linux)，是功能最强大的内核级rootkits之一。 　　对于非内核级的rootkits，可以使用前面说过的完整性检查工具检查二进制执行程序文件被修改的情况。这个方法对内核级rootkits不管用。 　　要对付内核级的rootkits，必须加固临界系统的内核。St. Jude Project是一款监测Linux内核完整性的工具，它通过监测系统调用表的修改情况来实现对内核完整性的监控。还可以将系统配置成为固化内核的形式，建立一个不支持LKMs(loadable kernel modules)的系统内核。这样的系统效率更高，因为内存管理更简单。 　　另外的办法是自己加固内核。Argus Systems Group提供的PitBul