蔡逸竹

　　在網絡安全實踐中，網絡攻擊者主動性很強，因此，在整個攻防實戰中佔據著十分重要的地位。從典型的攻擊思路來看，攻擊者一般要經過「探測」、「攻擊」、「隱藏」等三個步驟，而且每個步驟又有許多種類型。   
  
2007年，網絡安全界風起雲湧，從技術更加精湛的網絡注入到隱蔽性更強的釣魚式攻擊，從頻頻被利用的系統漏洞到悄然運行木馬工具，網絡攻擊者的手段也更加高明。「知己知彼，百戰不殆」，本專題將通過科學分類的方法，對本年度的網絡攻擊技術進行詳細的點評。同時，還將穿插精彩的典型案例，使用戶達到舉一反三的目的。

　　一、2007年網絡攻擊的發展趨勢　　

　　綜合分析2007年網絡攻擊技術發展情況，其攻擊趨勢可以歸納如下：

　　趨勢1：發現安全漏洞越來越快，覆蓋面越來越廣。新發現的安全漏洞每年都要增加一倍，管理人員不斷用最新的補丁修補這些漏洞，而且每年都會發現安全漏洞的新類型。入侵者經常能夠在廠商修補這些漏洞前發現攻擊目標。

　　趨勢2：攻擊工具越來越複雜。攻擊工具開發者正在利用更先進的技術武裝攻擊工具。與以前相比，攻擊工具的特徵更難發現，更難利用特徵進行檢測。攻擊工具具有以下特點：

　　反偵破和動態行為。攻擊者採用隱蔽攻擊工具特性的技術，這使安全專家分析新攻擊工具和瞭解新攻擊行為所耗費的時間增多；早期的攻擊工具是以單一確定的順序執行攻擊步驟，今天的自動攻擊工具可以根據隨機選擇、預先定義的決策路徑或通過入侵者直接管理，來變化它們的模式和行為。

　　攻擊工具的成熟性。與早期的攻擊工具不同，目前攻擊工具可以通過升級或更換工具的一部分迅速變化，發動迅速變化的攻擊，且在每一次攻擊中會出現多種不同形態的攻擊工具。此外，攻擊工具越來越普遍地被開發為可在多種操作系統平台上執行。

　　趨勢3：攻擊自動化程度和攻擊速度提高，殺傷力逐步提高。自動攻擊一般涉及四個階段，在每個階段都出現了新變化。

　　Ø 掃瞄可能的受害者、損害脆弱的系統。目前，掃瞄工具利用更先進的掃瞄模式來改善掃瞄效果和提高掃瞄速度。以前，安全漏洞只在廣泛的掃瞄完成後才被加以利用。而現在攻擊工具利用這些安全漏洞作為掃瞄活動的一部分，從而加快了攻擊的傳播速度。

　　Ø 傳播攻擊。在2000年之前，攻擊工具需要人來發動新一輪攻擊。目前，攻擊工具可以自己發動新一輪攻擊。像紅色代碼和尼姆達這類工具能夠自我傳播，在不到18個小時內就達到全球飽和點。

　　趨勢4：越來越不對稱的威脅。Internet上的安全是相互依賴的。每個Internet系統遭受攻擊的可能性取決於連接到全球Internet上其他系統的安全狀態。由於攻擊技術的進步，一個攻擊者可以比較容易地利用分佈式系統，對一個受害者發動破壞性的攻擊。隨著部署自動化程度和攻擊工具管理技巧的提高，威脅的不對稱性將繼續增加。

　　趨勢5：越來越高的防火牆滲透率。防火牆是人們用來防範入侵者的主要保護措施。但是越來越多的攻擊技術可以繞過防火牆，例如，Internet打印協議和WebDAV（基於Web的分佈式創作與翻譯）都可以被攻擊者利用來繞過防火牆。

　　趨勢6：對基礎設施將形成越來越大的威脅。基礎設施攻擊是大面積影響Internet關鍵組成部分的攻擊。由於用戶越來越多地依賴Internet完成日常業務，基礎設施攻擊引起人們越來越大的擔心。基礎設施面臨分佈式拒絕服務攻擊、蠕蟲病毒、對Internet域名系統(DNS)的攻擊和對路由器攻擊或利用路由器的攻擊。攻擊工具的自動化程度使得一個攻擊者可以安裝他們的工具並控制幾萬個受損害的系統發動攻擊。入侵者經常搜索已知包含大量具有高速連接的易受攻擊系統的地址塊，電纜調製解調器、DSL和大學地址塊越來越成為計劃安裝攻擊工具的入侵者的目標。

　　我們可以從攻擊者的角度出發，將攻擊的步驟可分為探測（Probe）、攻擊（Exploit）和隱藏（Conceal）。同時，攻擊技術據此可分為探測技術、攻擊技術和隱藏技術三大類，並在每類中對各種不同的攻擊技術進行細分。

　　二、探測技術和攻擊測試平台的發展　　

　　探測是黑客在攻擊開始前必需的情報收集工作，攻擊者通過這個過程需要盡可能詳細的瞭解攻擊目標安全相關的方方面面信息，以便能夠集中火力進行攻擊。探測又可以分為三個基本步驟：踩點、掃瞄和查點。如下表所示：

攻擊技術			攻擊方法
探測技術	踩點		查詢域名、DNS、網絡勘察
	掃瞄	Ping 掃瞄	ipsweep
		端口掃瞄	portsweep, resetscan
		操作系統辨識	queso
		漏洞掃瞄	satan, mscan
	查點		ls, ntinfoscan

蔡逸竹

　　1、三部曲：踩點、掃瞄和查點  

　　如果將服務器比作一個大樓，主機入侵信息收集及分析要做的工作就如在大樓中部署若干個攝像頭，在大樓發生盜竊事件之後，對攝像頭中的影像進行分析，進而為報案和「亡羊補牢」做準備。

   
　　第一步：踩點。是指攻擊者結合各種工具和技巧，以正常合法的途徑對攻擊目標進行窺探，對其安全情況建立完整的剖析圖。在這個步驟中，主要收集的信息包括：各種聯繫信息，包括名字、郵件地址和電話號碼、傳真號；IP地址範圍；DNS服務器；郵件服務器。對於一般用戶來說，如果能夠利用互聯網中提供的大量信息來源，就能逐漸縮小範圍，從而鎖定所需瞭解的目標。幾種實用的流行方式有：通過網頁搜尋和鏈接搜索、利用互聯網域名註冊機構進行Whois查詢、利用Traceroute獲取網絡拓撲結構信息等。

　　第二步：掃瞄。是攻擊者獲取活動主機、開放服務、操作系統、安全漏洞等關鍵信息的重要技術。掃瞄技術包括Ping 掃瞄（確定哪些主機正在活動）、端口掃瞄（確定有哪些開放服務）、操作系統辨識（確定目標主機的操作系統類型）和安全漏洞掃瞄（獲得目標上存在著哪些可利用的安全漏洞）。Ping掃射可以幫助我們判斷哪些系統是存活的。而通過端口掃瞄可以同目標系統的某個端口來建立連接，從而確定系統目前提供什麼樣的服務或者哪些端口正處於偵聽狀態。著名的掃瞄工具包括nmap，netcat 等，知名的安全漏洞掃瞄工具包括開源的nessus 及一些商業漏洞掃瞄產品如ISS 的Scanner 系列產品。另外，在網絡環境下，網絡掃瞄技術則是指檢測目標系統是否同互聯網連接、所提供的網絡服務類型等等。通過網絡掃瞄獲得的信息有：被掃瞄系統所運行的TCP/UDP服務；系統體系結構；通過互聯網可以訪問的IP地址範圍；操作系統類型等。

　　第三步：查點。是攻擊者常採用的從目標系統中抽取有效賬號或導出資源名的技術。通常這種信息是通過主動同目標系統建立連接來獲得的，因此這種查詢在本質上要比踩點和端口掃瞄更具有入侵效果。查點技術通常和操作系統有關，所收集的信息包括用戶名和組名信息、系統類型信息、路由表信息和SNMP信息等。

　　綜觀本年度比較熱門的攻擊事件，可以看到，在尋找攻擊目標的過程中，以下手段明顯加強：

　　（1）通過視頻文件尋找「肉雞」。在今年，這種方法大有星火燎原之勢，攻擊者首先要配置木馬，然後製作視頻木馬，如RM木馬、WMV木馬等，然後通過P2P軟件、QQ發送、論壇等渠道進行傳播，用戶很難察覺。

　　（2）根據漏洞公告尋找「肉雞」。現在，關於漏洞技術的網站專業性更強，訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。這個網站上，經常會公佈一些知名黑客發現的漏洞，從遠程攻擊、本地攻擊到腳本攻擊等，描述十分詳細。在漏洞補丁沒有發佈之前，這些攻擊說明可能會進一步加大網絡安全威脅。

　　（3）利用社會心理學、社會工程學獲取目標信息。比如，通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益的手法，近年來已呈迅速上升甚至濫用的趨勢。目前，已經有攻擊者通過「溯雪＋社會工程學」的形式破解了263信箱。

　　2、一則安全日記引發的攻擊思路分析

　　時間：2007年7月某天晚上

　　地點：某出版社網絡管理中心

　　人物：某網絡管理員

　　序幕：一個網友突然傳來一個網址，讓我檢測一個數據中心網站的安全性。資料顯示，該站點是一個大型虛擬主機系統，支持ASP+PHP+JSP。

　　事件記錄：

　　拿過站點地址，沒經過任何思考，我利用SuperScan等軟件對主機進行了端口掃瞄，掃瞄後共發現開了10個端口，重要的有80、110、135、139、3389等，但能夠利用的服務不算多。從掃瞄的80信息顯示來看，對方的系統是Windows 2000+IIS5.0，還打開了一個遠程桌面管理（開放了3389端口）。

　　第1步：檢查是否有應用程序漏洞。登錄3389服務，看看有沒有非系統自帶的輸入法，因為某些類型的輸入法還是有幫助文件和URL的，結果沒有任何幫助文件。使用net命令測試後，發現不能順利與服務器建立空連接，猜測密碼口令也沒有結果。

　　第2步：現在，比較合理的選擇是檢測CGI漏洞，使用安全掃瞄軟件後，發現默認的「scripts」、「_vti_bin」等目錄以及大量的「ida」、「idq」、「htw」等映像，但是用了許多溢出程序都沒有溢出。初步推測，系統打上了SP3補丁。

　　第3步：下面再看看郵件服務軟件是否支持expn、vrfy指令。經測試，返回「OK」並枚舉出一個100多個用戶的詳細列表，接著用POP3密碼破解軟件破密碼，自然收穫不小了。然後嘗試用這些帳號登錄ftp服務，終於發現其中有一個用戶名為cndes，密碼為1234abcd，而且可以登錄ftp空間。也就是說，這個用戶買了服務器的收費郵箱和收費主頁空間，並且郵箱和主頁空間的密碼設置的是相同的。

　　第4步：計劃向主頁空間上傳兩個文件，一個是win.exe，這是一個大小僅有4kb的木馬，功能相當強大；另一個是海陽頂端ASP木馬。上傳完畢，現在就可以查看服務器的詳細情況了。順便查查cndes空間目錄在什麼位置，並把win.exe的路徑記下來。

　　第5步：使用temp.asp進行入侵。為了防止被系統日誌記錄下來，明智的選擇是另外開個沒有日誌記錄的shell，並準備運行另一個win.exe木馬。怎麼運行它呢，用過Unicode漏洞的人都知道，有了木馬在服務器的絕對路徑，並且木馬所在的目錄有腳本可執行權限，我們就能運行它了。看到IE狀態區的進度條，表示已經在服務器端運行了程序。現在就可以從剛開的後門進去了。

　　第6步：取得admin權限。由於Administrator帳號更改，現在把一個特殊的cmd.exe（利用exe合併軟件把cmd.exe和木馬合成一個程序）上傳到服務器C盤下並隱藏起來，等待管理員運行cmd.exe時，系統就會多了一個admin權限的帳號，接下來就是用這個帳號來停掉w3svc服務並修改日誌，整個過程到此結束。

　　其實，這位黑客是一位受到委託的網路安全專家。通過自己的經驗和專業技術，他找到了可能被黑客利用的重大安全隱患。可見，隨著網絡技術的不斷發展，網路攻擊者的思路也日趨成熟，在某些方面甚至比網路管理員更專業、更瞭解對方。在這種程序化的思路中，他們就能夠號入座尋找可能存在的對象，並實施有目的性的攻擊。

[ 本帖最後由 蔡逸竹 於 2007-4-15 07:53 編輯 ]

蔡逸竹

　　3、攻擊測試平台的新發展

　　對於網絡管理員來說，虛擬機是一項很不錯的技術，安裝了虛擬機，管理員就可以在自己的機子上同時運行多個操作系統，並可在它們之間進行自由的切換。不過，從2007年各大安全論壇的討論主題來看，虛擬機技術在黑客中間也得到了普及。   
  
通過使用虛擬機，網絡攻擊者不需要重新開機就能在同一台電腦使用好幾個操作系統，它可以將電腦上的一部分硬盤和內存進行組合，虛擬出若干台機器，實施各種操作系統下的攻擊。

　　下面，我們將結合VMWare，詳細瞭解攻擊測試平台的搭建過程。用戶可從以下網站下載訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。。

　　第1步：VMWare軟件的安裝。這個過程十分簡單，下載完畢，直接「Next」即可完成安裝。安裝完畢，我們會發現多了兩塊虛擬網卡，在VMWare下用戶可以使用虛擬網卡進行聯網設置及試驗。單擊「新建虛擬機」圖標，根據提示選擇一種要安裝的操作系統，一般選擇典型設置。

　　第2步：虛擬機啟動並自檢後，這時按F2可以進入BIOS設置。每一台虛擬機都有它自己的BIOS。虛擬機使用PHOENIX BIOS，先將鼠標點擊虛擬機窗口，接收鼠標鍵盤的輸入信息後，就可以進行相關BIOS設置了。

　　第3步：設置光驅映像ISO文件或者將光盤放入光驅後，進入操作系統的安裝過程，否則虛擬機將會提示沒有找到操作系統。如果光盤沒有啟動，需要到BIOS中設置啟動順序。安裝完畢，點擊虛擬機操作界面上方左邊工具欄中的「打開電源」鍵，如同按下了一台電腦的開關。

　　第4步：切換到虛擬機。進入虛擬平台後，它會屏蔽掉主機計算機的所有鼠標或鍵盤操作，不過我們可以按「Ctrl＋Alt」組合鍵返回主機系統。虛擬機的重新啟動、關機等對於宿主計算機來說都是虛擬的，但對於虛擬機中安裝的操作系統來說則是真實的。因此，安裝好操作系統的虛擬機，一樣要先通過「開始」菜單關機。而不能強制關閉虛擬機電源，否則，虛擬機下次啟動的時候也會像真實的電腦一樣檢測磁盤的。

　　第5步：安裝VMWare Tools。完成安裝後，在VMWare軟件的左下角有一個提示：「你沒有安裝VMWare Tools」。單擊「虛擬機」菜單中的「安裝VMWare工具」選項，安裝VMWare工具。注意，如果是用ISO文件安裝的操作系統，最好重新加載該安裝文件並重新啟動系統，這樣系統就能自動找到VMWare Tools的安裝文件。如圖1所示。



安裝VMWare Tools

　　安裝VMWare Tools之後，再次登錄redhat Linux系統，現在就會感覺在圖像色彩和聲音質量上都有很大的提高。同時，鼠標可以在虛擬機、宿主機之間隨意移動、切換。新建一個虛擬機後，除了使用默認值，用戶還可以通過配置文件修改參數。在單機平台上，利用VMWare構建一個具有多個節點的局域網，組建非常複雜的局域網。如圖2所示。



虛擬機設置

　　通過上面的典型測試環境，攻擊者已經可以在本地輕鬆的完成各種網路程序和其他操作系統的測試。如果能夠結合resin、Apache等web服務器，我們也就不難理解黑客為什麼能夠如此迅速的完成其他系統或平台下的漏洞或攻擊測試了。難怪有人會這麼評價：「一名優秀的網路管理員首先是一名優秀的黑客」。

蔡逸竹

　　三、2007年網路攻擊和隱藏技術發展趨勢　　

　　「心中有佛天地寬」，網路攻擊中的「佛」在哪裡呢？首先，我們應該對攻擊技術的分類有一個清晰的脈絡，否則很難確定自己在這場戰爭中的角色。因此，我們可以將從以下幾個方面對2007年網路攻擊技術進行分述，即竊聽技術、欺騙技術、拒絕服務和數據驅動攻擊。同時，對攻擊事件完成之後的隱藏技術也進行分析。

　　1、竊聽技術的發展趨勢

　　竊聽技術是攻擊者通過非法手段對系統活動的監視從而獲得一些安全關鍵信息。目前屬於竊聽技術的流行攻擊方法有鍵擊記錄器、網絡監聽、非法訪問數據和攫取密碼文件。可以從以下幾個方面來分析。

　　（1）鍵擊記錄器。這是植入操作系統內核的隱蔽軟件，通常實現為一個鍵盤設備驅動程序，能夠把每次鍵擊都記錄下來，存放到攻擊者指定的隱藏的本地文件中。著名的有Win32 平台下適用的IKS 等。

　　（2）網路監聽。這是攻擊者一旦在目標網絡上獲得一個立足點之後刺探網路情報的最有效方法，通過設置網卡的混雜（promiscuous）模式獲得網路上所有的數據包，並從中抽取安全關鍵信息，如明文方式傳輸的口令。Unix 平台下提供了libpcap 網路監聽工具庫和tcpdump、dsniff 等著名監聽工具，而在Win32 平台下也擁有WinPcap監聽工具庫和windump、dsniff forWin32、Sniffer等免費工具，另外還有專業工具Sniffer Pro等。

　　（3）非法訪問數據。這是指攻擊者或內部人員違反安全策略對其訪問權限之外的數據進行非法訪問。

　　（4）攫取密碼文件。這是攻擊者進行口令破解獲取特權用戶或其他用戶口令的必要前提，關鍵的密碼文件如Windows 9x下的PWL 文件、Windows NT/2000下的SAM文件和Unix平台下的/etc/password 和/etc/shadow。

　　下面，我們以本年度比較熱門的Sniffer為例進行講解。Sniffer是一種利用計算機的網路接口截獲目的地為其他計算機的數據報文的一種工具。2007年以來，網路監聽技術出現了新的重要特徵。傳統的Sniffer技術是被動地監聽網路通信、用戶名和口令，而新的Sniffer技術則主動地控制通信數據。在網路攻擊者看來，此類工具是其必備技能之一，並對其竊取數據起到了十分重要的作用。Sniffer工作在網路環境中的底層，它會攔截所有的正在網路上傳送的數據，可以很輕鬆截獲在網上傳送的用戶姓名、口令、信用卡號碼、截止日期、賬號和pin碼。軟件下載地址訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。。

　　第1步：軟件安裝。安裝後，可以看到Sniffer pro的監控模式有：儀表板，主機列表，矩陣，請求相應時間，歷史取樣，協議分佈，全局統計表等，這些模式能顯示各項網路性能指標及詳細的協議分析。在默認情況下，Sniffer將捕獲其接入碰撞域中流經的所有數據包。

　　第2步：定義過濾器。Sniffer提供了捕獲數據包前的過濾規則的定義，在主界面選擇「捕獲」菜單下的「定義過濾器」選項，然後打開「地址」選項卡。其中包括MAC地址、ip地址和ipx地址的定義。如圖3所示。



　　第3步：然後選擇「定義過濾器」選項的「高級」選項卡，定義希望捕獲的相關協議的數據包。此外，還可以在「緩衝」選項卡裡面定義捕獲數據包的緩衝區，再將定義的過濾規則應用於捕獲中。如果要停止Sniffer捕獲包時，點選「捕獲」菜單下的「停止」，把捕獲的數據包進行解碼和顯示。

　  2、欺騙技術的發展趨勢

　　欺騙技術是攻擊者通過冒充正常用戶以獲取對攻擊目標訪問權或獲取關鍵信息的攻擊方法，屬於此類的有獲取口令、惡意代碼、網路欺騙等攻擊手法。下面，我們歸納了2007年比較熱門的一些欺騙技術。具體如下：

　　第1種：獲取口令的方式。主要有通過缺省口令、口令猜測和口令破解三種途徑。某些軟件和網路設備在初始化時，會設置缺省的用戶名和密碼，但也給攻擊者提供了最容易利用的脆弱點。口令猜測則是歷史最為悠久的攻擊手段，由於用戶普遍缺乏安全意識，不設密碼或使用弱密碼的情況隨處可見，這也為攻擊者進行口令猜測提供了可能。口令破解技術則提供了進行口令猜測的自動化工具，通常需要攻擊者首先獲取密碼文件，然後遍歷字典或高頻密碼列表從而找到正確的口令。著名的工具有John the Ripple、Crack和適用於Win32平台的L0phtcrack等。

　　第2種：惡意代碼。包括特洛伊木馬應用程序、郵件病毒、網頁病毒等，通常冒充成有用的軟件工具、重要的信息等，誘導用戶下載運行或利用郵件客戶端和瀏覽器的自動運行機制，在啟動後暗地裡安裝邪惡的或破壞性軟件的程序，通常為攻擊者給出能夠完全控制該主機的遠程連接。

　　第3種：網路欺騙。是攻擊者向攻擊目標發送冒充其信任主機的網路數據包，達到獲取訪問權或執行命令的攻擊方法。具體的有IP 欺騙、會話劫持、ARP（地址解析協議）重定向和RIP（路由信息協議）路由欺騙等。

　　（1）IP 欺騙。是指攻擊者將其發送的網路數據包的源IP地址篡改為攻擊目標所信任的某台主機的IP地址，從而騙取攻擊目標信任的一種網絡欺騙攻擊方法。通用應用於攻擊Unix 平台下通過IP 地址進行認證的一些遠程服務如rlogin、rsh等，也常應用於穿透防火牆。

　　（2）會話劫持指。是指攻擊者冒充網路正常會話中的某一方，從而欺騙另一方執行其所要的操作。目前較知名的如TCP 會話劫持，通過監聽和猜測TCP 會話雙方的ACK，插入包含期待ACK的數據包，能夠冒充會話一方達到在遠程主機上執行命令的目的。支持TCP 會話劫持的工具有最初的Juggernaut 產品和著名的開源工具Hunt。

　　（3）ARP欺騙。這種方法提供將IP地址動態映射到MAC 地址的機制，但ARP機制很容易被欺騙，攻擊主機可以發送假冒的ARP 回答給目標主機發起的ARP查詢，從而使其錯誤地將網路數據包都發往攻擊主機，導致拒絕服務或者中間人攻擊。由於RIP沒有身份認證機制，因此攻擊者很容易發送冒充的數據包欺騙RIP 路由器，使之將網路流量路由到指定的主機而不是真正希望的主機，達到攻擊的目標。

　　2007年以來，通過欺騙的方式獲得機密信息的事件越來越多，在國內比較嚴重的銀行詐騙事件已經讓不少用戶開始感覺到網路中存在的安全隱患。下面是國際反釣魚組織公佈了一個典型案例。攻擊者發了一個欺騙的郵件並聲稱：按照年度計劃，用戶的數據庫信息需要進行例行更新，並給出了一個「To update your account address」連接地址。由於這封Email來自SebastianMareygrossness@comcast-support.biz，因此，一般人不會太懷疑。不過，細心的用戶會發現，表面地址訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。，實際地址訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。。很明顯，這個攻擊者利用了URL欺騙技術，以達到其不可告人的目的！

　　此外，還有不少流氓軟件通過欺騙技術，未經許可強行潛伏到用戶電腦中，而且此類程序無卸載程序，無法正常卸載和刪除，強行刪除後還會自動生成。有跡象表明，病毒、黑客和流氓軟件正緊密結合，日益趨於商業化、集團化，並且已經形成了一根完整的產業鏈條。

蔡逸竹

　　3、拒絕服務攻擊技術的發展

　　拒絕服務攻擊指中斷或者完全拒絕對合法用戶、網路、系統和其他資源的服務的攻擊方法，被認為是最邪惡的攻擊，其意圖就是徹底地破壞，而這往往比真正取得他們的訪問權要容易得多，同時所需的工具在網路上也唾手可得。因此拒絕服務攻擊，特別是分佈式拒絕服務攻擊對目前的互聯網路構成了嚴重的威脅，造成的經濟損失也極為龐大。拒絕服務攻擊的類型按其攻擊形式劃分包括導致異常型、資源耗盡型、分佈式拒絕服務攻擊（DDoS）。

　　第1種，導致異常型拒絕服務攻擊。這種方法利用軟硬件實現上的編程缺陷，導致其出現異常，從而使其拒絕服務。如著名的Ping of Death攻擊和利用IP協議棧對IP 分片重疊處理異常的Treadrop攻擊。

　　第2種，資源耗盡型拒絕服務攻擊。這種方法通過大量消耗資源使得攻擊目標由於資源耗盡不能提供正常的服務。根據資源類型的不同可分為帶寬耗盡和系統資源耗盡兩類。帶寬耗盡攻擊的本質是攻擊者通過放大等技巧消耗掉目標網路的所有可用帶寬。系統資源耗盡攻擊指對系統內存、CPU 或程序中的其他資源進行消耗，使其無法滿足正常提供服務的需求。著名的Syn Flood 攻擊即是通過向目標服務發送大量的數據包，造成服務的連接隊列耗盡，無法再為其他正常的連接請求提供服務。

　　第3種，分佈式拒絕服務攻擊。這種方法通過控制多台傀儡主機，利用他們的帶寬資源集中向攻擊目標發動總攻，從而耗盡其帶寬或系統資源的攻擊形式。DDoS攻擊的第一步是瞄準並獲得盡可能多的傀儡主機的系統管理員訪問權，然後上傳DDoS攻擊並運行。目前著名的DDoS 工具有TFN（Tribe FloodNetwork）、TFN2K、Trinoo、WinTrinoo和Stacheldraht等。

　　從2007年網路攻擊技術的發展情況來看，最近發生的拒絕服務攻擊事件大多與聯機遊戲有關。某些玩家對在遊戲中被人殺死或丟失他們喜愛的武器不滿意，因此發動拒絕服務攻擊，許多服務器已經成為這種攻擊的犧牲品。另外，使用拒絕服務進行網路敲詐勒索的事件仍然十分頻繁，攻擊者通過在短暫而非緊要的時間段內發動攻擊，對用戶的數據構成威脅，受害者則不得不為此而支付「保護費」。

　　4、數據驅動攻擊技術及其新發展

　　數據驅動攻擊是通過向某個程序發送數據，以產生非預期結果的攻擊，通常為攻擊者給出訪問目標系統的權限，數據驅動攻擊分為緩衝區溢出攻擊、格式化字符串攻擊、輸入驗證攻擊、同步漏洞攻擊、信任漏洞攻擊等。

　　第1種，緩衝區溢出攻擊。緩衝區溢出攻擊的原理是向程序緩衝區寫入超出其邊界的內容，造成緩衝區的溢出，使得程序轉而執行其他攻擊者指定的代碼，通常是為攻擊者打開遠程連接的ShellCode，以達到攻擊目標。近年來著名的蠕蟲如Code-Red、SQL.Slammer、Blaster 和Sasser 等，都是通過緩衝區溢出攻擊獲得系統權限後進行傳播。

　　第2種，同步漏洞攻擊。這種方法主要是利用程序在處理同步操作時的缺陷，如競爭狀態。信號處理等問題，以獲取更高權限的訪問。發掘信任漏洞攻擊則利用程序濫設的信任關係獲取訪問權的一種方法，著名的有Win32 平台下互為映像的本地和域Administrator 憑證、LSA 密碼（Local SecurityAuthority）和Unix 平台下SUID 權限的濫用和X Window 系統的xhost 認證機制等。

　　第3種，格式化字符串攻擊。這種方法主要是利用由於格式化函數的微妙程序設計錯誤造成的安全漏洞，通過傳遞精心編製的含有格式化指令的文本字符串，以使目標程序執行任意命令。輸入驗證攻擊針對程序未能對輸入進行有效的驗證的安全漏洞，使得攻擊者能夠讓程序執行指定的命令。

　　下面是一個很有代表性的例子。打開某些網頁時，可以把網址中的「/」換成「%5c」然後提交，這樣就可以暴出數據庫的路徑。成功後，會有類似的提示：「確定路徑名稱拼寫是否正確，以及是否連接到文件存放的服務器。」 在Google或者百度中，搜索關鍵詞「wishshow.asp?id=」，找到一些具有缺陷的的許願板程序。本例是一個台灣測試站點，地址訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。。在wish後，用「%5c」替換「/」，地址就變成訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。，這樣就可以暴出對方數據庫了。根據錯誤提示，數據庫是db.mdb，而且還可以直接下載。如圖4所示。



格式化字符串攻擊

　　「%5c」並不是網頁本身的漏洞，而是利用了IIS解碼方式的一個缺陷。實際上是「\」的十六進制代碼，是「\」的另一種表示法。但是，提交「\」和「%5c」卻會產生不同的結果。在IE中，我們把下面第一個地址中的「/」換成「\」提交：

複製內容到剪貼板

代碼:

　http://web.gges.tp.edu.tw/asp/wish/wishshow.asp?id=117

　http://web.gges.tp.edu.tw/asp/wish\wishshow.asp?id=117  

　　二者的訪問結果是一樣的。IE會自動把「\」轉變成「/」，從而訪問到同一地址。但是，當我們把「/」換成十六進制寫法「%5c」時，IE就不會對此進行轉換，地址中的「%5c」被原樣提交了。2007年以來，針對網站、論壇等程序的攻擊依然是一大熱點，一些大學網站、論壇甚至一些知名企業的站點都遭遇了不同程度的攻擊。比較熱門的事件有：OBlog2.52文件刪除漏洞、COCOON在線文件管理器上傳漏洞、PJBlog v2.2用戶提權再提權、BBSXP 6.0 SQL版的版主提權漏洞、雪人「SF v2.5 for Access」版論壇漏洞等，這些攻擊手法都綜合了多種技巧，尤其是數據驅動攻擊技術的運用。

蔡逸竹

　  5、隱藏技術及其新發展

　　攻擊者在完成其攻擊目標後，通常會採取隱藏技術來消除攻擊留下的蛛絲馬跡，避免被系統管理員發現，同時還會盡量保留隱蔽的通道，使其以後還能輕易的重新進入目標系統。隱藏技術主要包括日誌清理、內核套件、安裝後門等。


　　第1種，日誌清理。日誌清理主要對系統日誌中攻擊者留下的訪問記錄進行清除，從而有效地抹除自己的動蹤跡。Unix平台下較常用的日誌清理工具包括zap、wzap、wted 和remove。攻擊者通常在獲得特權用戶訪問權後會安裝一些後門工具，以便輕易地重新進入或遠程控制該主機，著名的後門工具包括BO、netbus和稱為「瑞士軍刀」的netcat等；攻擊者還可對系統程序進行特洛伊木馬化，使其隱藏攻擊者留下的程序、服務等。

　　第2種，內核套件。內核套件則直接控制操作系統內核，提供給攻擊者一個完整的隱藏自身的工具包，著名的有knark for Linux、Linux Root Kit 及rootkit。

　　第3種，安裝木馬後門。木馬的危害性在於它對電腦系統強大的控制和破壞能力，竊取密碼、控制系統操作、進行文件操作等等，一般的木馬都有客戶端和服務器端兩個執行程序，其中客戶端是用於攻擊者遠程控制植入木馬的機器，服務器端程序即是木馬程序。木馬在被植入攻擊主機後，它一般會通過一定的方式把入侵主機的信息，如主機的IP地址、木馬植入的端口等發送給攻擊者，這樣攻擊者有這些信息才能夠與木馬裡應外合控制攻擊主機。本文將通過網絡盒子NetBox做一個木馬，它可以方便的將ASP等腳本編譯成為獨立運行的執行程序，完全不用考慮平台兼容性要求。步驟如下：

　　第1步：創建一個NetBox應用。創建一個空的目錄，假設是c:\web；同時，在目錄中創建一個文件，命名為main.box，其內容為：

複製內容到剪貼板

代碼:

　Dim httpd

　　'------------設置在服務中運行的名稱，可適當修改進行隱藏---------------------
　　Shell.Service.RunService "NBWeb", "NetBox Web Server", "NetBox Http Server Sample"
　　'---------------------- 設置服務器啟動---------------------
　　Sub OnServiceStart()
　　  Set httpd = CreateObject("NetBox.HttpServer")
　　'-------以下設置瀏覽端口，可修改為其他參數，或更改wwwroot目錄----
　　  If httpd.Create("", 8080) = 0 Then
　　  Set host = httpd.AddHost("", "\wwwroot")
　　  host.EnableScript = true
　　  host.AddDefault "default.asp"
　　  host.AddDefault "default.htm"
　　  httpd.Start
　　  else
　　  Shell.Quit 0
　　  end if
　　End Sub
　　Sub OnServiceStop()
　　  httpd.Close
　　End Sub
　　Sub OnServicePause()
　　  httpd.Stop
　　End Sub
　　Sub OnServiceResume()
　　  httpd.Start
　　End Sub

　　第2步：設置木馬運行環境。在c:\web目錄中再創建一個子目錄wwwroot，並將我們所需要的ASP木馬文件全部複製到wwwroot 中，這裡選用的是海陽頂端ASP木馬。此時，ASP運行環境應該已經準備好了。為了運行新建的NetBox 應用，必須確認8080端口沒有被其他程序佔用。雙擊main.box文件，就可以在窗口右下角看見NetBox的圖標。此時，NetBox 已經正常運行了。現在，訪訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。測試ASP木馬是否能正常運行。這種木馬的好處是，不用擔心有日誌記錄。但是現在它還遠不是一個後門，只是提供了與IIS相當的功能

　　第3步：編譯。執行「NetBox Deployment Wizard」，點擊「選擇文件夾」，找到剛才建立的目錄C:\web，設置文件類型和輸出文件名後，點「Build...（編譯）」按鈕，開始編譯，就得到了編譯成功的那個執行文件。因為這個例程是以服務方式創建的Web 服務器，所以可以在命令行下執行：myapp -install將應用安裝成為服務，這樣，系統無須登錄便可以自動運行應用了。如果需要卸載服務，則可以在命令行下執行如下命令：myapp –remove。（myapp代表輸出的應用文件名，如本例中的test），如圖5所示。


NetBox Deployment Wizard

　　第4步：隱藏服務。要達到「神不知鬼不覺」的效果，首先需要把應用程序添加為服務，我們可以使用Windows提供的Instsrv.exe和Srvany.exe這兩個小軟件。在命令行下，先把Instsrv.exe把Srvany.exe註冊為服務。格式為：INSTSRV 服務名 SRVANY的路徑，如：「INSTSRV SYSTEM C:\WEB\SRVANY.EXE」。其中SYSTEM是為了便於隱藏服務名。

蔡逸竹

　　第5步：添加註冊表鍵值。註冊成功後，打開註冊表如下鍵值： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SYSTEM] 。   
  
SYSTEM是剛才我們註冊的服務名，在SYSTEM下面先建立一個項PARAMETERS，然後在這個項上建立一個鍵值APPLICATION，填上我們要執行的文件路徑如C:\web\test.exe，就可以了。

　　第6步：啟動服務。方法有兩種，第一種是在圖形界面，直接進入「管理工具」下的「服務」面板；另一種是在命令行下，啟動命令為：「NET START SYSTEM」，停止命令為：「NET STOP SYSTEM」。如果要將這個服務刪除，可以用如下命令：「SC DELETE SYSTEM」。

　　第7步：製作並發佈木馬。結合批處理和腳本把這個做成自解壓文件，或者其他的上傳方式，比如通過後台數據庫備份上傳後再修改密碼。

　　值得注意的是，2007年木馬技術發展迅猛，除了一些老牌木馬，其他有特色的木馬也讓人頭疼不已，例如管理型木馬——ncph遠程控制；國產木馬新秀PCView 2007；五毒俱全的蜜蜂大盜；木馬Erazer Lite；另類的遠程控制工具JXWebSver等。這些木馬隱藏技術的不斷提高，也給用戶帶來了許多麻煩。

　　通過上面的詳細分類，就可以對本年度的攻擊技術情況有了一個十分直觀的認識。下面，我們通過典型的案例進行點評。

　　四、實例分析　　

　　現實生活中，網路應用越來越複雜，利用瀏覽器、網站插件、代碼等方面的漏洞進行攻擊的事件也愈演愈烈，甚至被有心人士用來竊取顧客的私人信息。一般來說，漏洞的威脅類型基本上決定了它的嚴重性，很多公司在公佈安全漏洞的危險等級時候，把嚴重性分成高、中、低三個級別，再提示用戶根據具體的情況，要採取程度不同的防範措施。在網路攻擊者的眼裡，「肉雞」意味著可以輕鬆佔有一台或多台服務器；至於網吧，針對服務器和網吧管理軟件的攻擊也十分頻繁，醉翁之意不在酒，當然是想免費上網了。

　　針對網路服務器的攻擊，也出現了許多獨特的思路和新方法。如利用SA用戶權限的安全隱患快速入侵網站；利用wmf遠程執行漏洞（MS06－001）攻擊服務器；利用Metasploit Framework體驗MS06-040漏洞；利用Ability FTP Server新漏洞入侵網站；利用Windows圖形渲染引擎WMF格式代碼執行漏洞；利用文件後綴解析的漏洞攻擊Apache服務器；百度、TOM、21CN系列搜索引擎漏洞等。

　　現在，網路管理員加強了內網的安全管理。比較常見的情況是網管通常都會封殺比較常見的服務端口，導致用戶不能訪問某些網站，不能使用QQ等工具進行聊天、玩遊戲等。另外，出於安全考慮，有些網路管理員會限制某些協議，如不能使用FTP、對下載進行限制等。一般情況下，網路攻擊者可以使用普通的HTTP代理或者SOCKS代理。現在，提供socks服務的代理軟件有很多，如「通通通」軟件訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。）、Socksonline訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。）等。軟件連通後，界面如圖6所示。


通訊代理

　　Socksonline正常啟動後，該程序就變成了本地的Socks Proxy，用戶就可以通過Http Proxy或其他Proxy訪問Internet了。如果要突破內網登陸QQ，可以打開QQ中的設置窗口輸入參數。以QQ2007為例，在「代理設置」界面中，選擇「使用SOCKS5代理服務器」。然後在代理服務器地址欄填入「localhost」，在端口欄填入「1080」或自己設置的服務端口，默認不需要用戶名和密碼驗證。可以單擊「測試」按鈕，看是否連接網路。

　　同樣，如果要突破內網，實現自由上網，也可以使用類似方法在IE瀏覽器中設置SOCKS5代理服務器。如果身處學校機房或管理比較嚴格的單位網絡，還可以通過Socksonline和e-Border軟件的配合，突破內網的限制就很容易了。

　　e-Border安裝完成後，會彈出一個設置客戶端程序的窗口，根據嚮導設置代理服務器名和默認的端口1080。在e-Border的代理方式中，選擇Proxy only方式，表示將所有的網路連接全部截獲並通過Socks代理連接。然後按下「Include list（包含列表）」按鈕，在彈出的對話框中按下Add（添加）按鈕，把Socksonline軟件加入到列表框中。用同樣的方法把平時上網需要使用Socks協議的軟件都加入列表框。當然，網路攻擊者也可以把一些特殊的黑客工具軟件和遊戲軟件也添加進去。點OK關閉此對話框。如圖7所示。


列表

　　這樣，無論是內網還是外網，攻擊者都可以橫行了，這也是目前很多網路管理員比較頭疼的一個地方。在山東臨沂銀雀山出土的《孫臏兵法》上，有這樣一段對話。齊威王曰：「地平卒齊，合而敗北者，何也？」（翻譯為：地形很好，士兵也很齊心，為什麼打了敗仗？）孫臏的回答是：「陣無鋒也。」意即：「因為沒有找到突破口。」這個典故說明了兩軍對壘，能否突破一點，向縱深進兵，往往是能否奪取全局性勝利的重要關鍵。總之，在網路安全實踐中，我們也必須隨時掌握最新的攻擊技術發展動態，尋找防守的突破口，這樣才能達到有效防範的目的。