首页 理论教育 计算机网络攻击的一般过程与常用方法

计算机网络攻击的一般过程与常用方法

时间:2023-08-19 理论教育 版权反馈
【摘要】:当然,利用某些工具或系统漏洞登录主机也是攻击者常用的一种方法。此外,为了避免目标主机发现,攻击者们一般还会通过清除日志、删除拷贝的文件等手段来隐藏自己的踪迹。因此,在被动攻击方式中,攻击者一般不会改变消息的内容。

1. 网络攻击的一般过程

目前,造成网络不安全的主要因素是系统、协议及数据库等的设计上存在缺陷。由于最初的计算机网络操作系统在本身结构设计和代码设计时偏重考虑系统使用时的方便性,导致了系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞。网络互连一般采用TCP/IP协议,它是一个工业标准的协议簇,但该协议簇在制定之初,对安全问题考虑不多,协议中存在着很多的安全漏洞。所有这些安全漏洞都可能被一些另有图谋的黑客(Hacker)利用并发起攻击。一般来说,黑客攻击网络的过程主要包括如下几个阶段:

(1)攻击身份和位置隐藏:为了不在目标主机上留下自己的IP地址,防止被目标主机发现,老练的攻击者都会尽量通过“跳板”或“肉鸡”展开攻击。所谓“肉鸡”,通常是指黑客通过后门程序控制的傀儡主机,通过“肉鸡”开展的扫描及攻击,即便被发现,也由于现场遗留环境的IP地址是“肉鸡”的地址而很难被追查。

(2)收集攻击目标信息:攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址,域名是为了便于记忆主机的IP地址而另起的名字,只要利用域名和IP地址就可以顺利地找到目标主机。当然,知道了要攻击目标的位置还是远远不够的,还必须将主机的操作系统类型及其所提供服务等资料做全面的了解。此时,攻击者们会使用一些扫描器工具,以试图获取目标主机运行的是哪种操作系统的哪个版本,系统有哪些账户,开启了哪些服务,以及服务程序的版本等资料,为入侵做好充分的准备。

(3)获取目标访问权限:攻击者要想入侵一台主机,首先要有该主机的一个账号和密码,否则连登录都无法进行。这样常迫使他们先设法盗窃账户文件,进行破解,从中获取某用户的账户和口令,再寻觅合适时机以此身份进入主机。当然,利用某些工具或系统漏洞登录主机也是攻击者常用的一种方法。

(4)获得控制权:攻击者们利用各种工具或系统漏洞进入目标主机系统获得控制权之后,就会做两件事:清除记录和留下后门。例如:通过更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序,以便日后可以不被觉察地再次进入系统。此外,为了避免目标主机发现,攻击者们一般还会通过清除日志、删除拷贝的文件等手段来隐藏自己的踪迹。

(5)窃取网络资源和特权:一旦攻击成功,黑客们轻则修改网页来进行恶作剧,重则破坏系统程序或放病毒使系统陷入瘫痪,或窃取政治、军事以及商业秘密,或进行电子邮件骚扰、转移资金账户窃取钱财等。

2. 网络攻击的常用方法

按照攻击者是有意或无意对网络进行攻击,网络攻击方法可分为以下两类:

(1)被动攻击(Passive Attackers):是指攻击者只通过网络窃听或流量分析等手段来截取重要敏感信息。因此,在被动攻击方式中,攻击者一般不会改变消息的内容。常见的被动攻击方法包括窃听和流量分析等。

(2)主动攻击(Active Attackers):是指攻击者利用网络本身的缺陷,通过采用伪装(一个实体假装成另一个实体)、重放(抓包并重发)、篡改(修改部分数据)、拒绝服务(阻止或限制正常使用服务)等手段对网络实施的攻击。因此,在主动攻击方式中,攻击者往往会更改数据流或者伪造一个错误的数据流。常见的主动攻击方法包括伪装攻击、重放攻击、篡改消息和拒绝服务等。

黑客在实施网络攻击时,常用的攻击方法主要包括如下几种:

◆ 口令入侵:是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的账号,然后再进行合法用户口令的破译。获得普通用户账号的方法很多,例如:通过网络监听非法得到用户口令,在知道了用户的账号之后(例如:电子邮件@前面的部分),即可利用一些专门软件强行破解用户口令等。

◆ 端口扫描攻击:是指利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务以及提供的服务中是否含有某些缺陷等。

◆ 电子邮件攻击:攻击者使用邮件炸弹软件等向目标邮箱发送大量内容重复、无用的垃圾邮件,从而使目标邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统瘫痪。

◆ 网络监听:网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。在网络监听的基础上,攻击者可以实施如下几种不同形式的网络攻击:

①假冒:攻击者假扮成另一个实体进行网络活动。

②重放:攻击者在截获一份报文后,重复发送该报文或该报文的一部分给目标用户。

③篡改:攻击者在截获一份报文后,对报文内容进行篡改并将篡改后的报文发送给目标用户。

④ 流量分析:通过对网上的信息流的观察和分析推断出网上传输的有用信息,例如:有无传输、传输的数量、方向和频率等。由于报文信息不能加密,所以即使数据进行了加密处理,也可以进行有效的流量分析。

◆ 逻辑炸弹(Logic Bomb):一种当运行环境满足某种特点条件时执行其他特殊功能的程序。如一个编译程序在平时运行得很好,但当系统时间为13日又为星期五时,它删除系统所有文件,这种程序就是一种逻辑炸弹。

◆ 拒绝服务(Denial of Service):攻击者想办法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。SYN Flood是当前最流行的DoS(Denial of Service,拒绝服务攻击)与DDoS (Distributed Denial Of Service,分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议中三次握手过程的缺陷,通过发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。

◆ 病毒(Virus):是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒往往还具有很强的感染性、一定的潜伏性、特定的触发性和很大的破坏性等,由于其所具有的这些特点与生物学上的病毒有相似之处,因此人们才将这种恶意程序代码称为“病毒”。

◆ 木马:木马是一种基于远程控制的病毒程序,可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开。带有木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会像古特洛伊人在敌人城外留下的藏满士兵的木马一样留在用户的电脑中,并在用户的计算机系统中隐藏一个可以在系统启动时悄悄执行的程序。当用户连接到因特网上时,这个程序就会通知攻击者,来报告用户的IP地址以及预先设定的端口。攻击者在收到这些信息之后,再利用这个潜伏在其中的程序,即可任意修改用户计算机的参数设定、复制文件以及窥视用户硬盘中的内容等,从而达到控制用户计算机的目的。

◆ 蠕虫(Worm):是一种通过网络传播的恶性病毒,通常可利用系统漏洞和电子邮件来进行传播,蠕虫除了具有病毒的一些共性外,同时具有自己的一些特征,例如:可以不利用文件寄生(有的只存在于内存中),可对网络造成拒绝服务等。蠕虫病毒主要的破坏方式是大量地复制自身,然后在网络中传播,严重地占用有限的网络资源,最终引起整个网络的瘫痪,使用户不能通过网络进行正常的工作。此外,有一些蠕虫病毒还具有更改用户文件和将用户文件自动当附件转发的功能,更是严重地危害到用户的系统安全。

针对上述形式多样的网络攻击方法,人们也提出了多种多样的计算机网络安全保障技术,主要包括加密技术、远程接入控制技术、信息认证技术、防火墙技术以及网络入侵检测技术等。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈