网络攻击：了解CyberAttack

关联词：网络安全

网络攻击，也称网络安全攻击，是指对目标计算机信息系统、基础设施、计算机网络或个人计算机等设备发起的攻击，是个人（或组织）故意或恶意企图破坏他人或组织的信息系统的行为。通常情况下，攻击者为了向受害人寻求某种好处而破坏计算机网络。

常见的网络攻击类型包括拒绝服务（Denial-of-Service，DoS）攻击，SQL注入（SQL injection，SQLi）攻击，零日（Zero-day，0 day）攻击，高级持续性威胁（Advanced Persistent Threat，APT）等。

拒绝服务攻击，以及分布式拒绝服务（Distributed Denial-of-Service，DDoS）攻击是最常见的网络攻击形式，其目的是使计算机或网络无法提供正常的服务。实际中，攻击者（一般是黑客）通常利用其控制的分散在网络中的成百上千台计算机在同一时刻对目标计算机发起攻击，即分布式拒绝服务攻击。DoS攻击根据攻击目标可以划分为连通性攻击和网络带宽攻击。

从网络原理上看，DoS攻击利用计算机网络协议（TCP/IP）自身安全缺陷，以极大的网络通信量攻击目标计算机网络的连通性和带宽，使其可用网络资源被消耗殆尽，导致合法的请求无法通过。因此，DoS攻击也可以称作网络攻击的终极手段。

DDoS攻击几乎与计算机网络同时出现，但直到2010年12月才引起主流社会的注意。当时，互联网黑客利用DDoS攻击击垮了维基解密（Wikileaks）网站。随后，同情维基解密网站的黑客又针对万事达、Visa、贝宝及其他知名商业机构等诸多目标发动了DDoS攻击作为反攻。

DoS攻击可以分为容量耗尽攻击（Volumetric Attacks）、协议攻击（Protocol Attacks）和应用层攻击（Application Layer Attacks）等3种类型。

容量耗尽攻击企图通过耗尽目标计算机网络资源，以及攻击者和目标之间互联网的所有可用带宽来造成拥塞。攻击者通过创建超大规模的流量（如来自僵尸网络的请求）并发送到目标服务器，从而导致其拥堵。

协议攻击有时也称状态表耗尽攻击（State-Exhaustion Attacks），这种攻击利用第3层和第4层网络协议的弱点，企图耗尽目标计算机网络的Web应用服务器或中间资源（如防火墙、负载均衡器）的所有可用状态表的容量，导致其服务终端“崩溃”。网络分层由开放式系统互联（Open System Interconnection，OSI）模型得来。7

应用层攻击有时也称第7层DDoS攻击。与协议攻击类似，这个称谓同样来自开放式系统互联模型。这种攻击企图耗尽目标计算机网络的应用层资源。应用层攻击者试图让目标服务器生成网页并响应其HTTP（超文本传输协议）请求。由于单个HTTP请求在攻击者客户端的执行成本较低，而目标服务器需要加载多个文件并运行数据库查询，创建Web页面才能响应客户端的请求，目标服务器的成本巨大，从而阻止了真正的用户访问。应用层DDoS攻击很难防御，因为目标服务器很难标记哪些访问请求是恶意的。(www.xing528.com)

SQLi攻击是攻击者针对目标计算机网络的数据库系统的攻击类型。攻击者可以控制目标服务器Web应用程序依赖的数据库系统，通过提交恶意SQL语句非法访问、窃取、篡改和删除数据，或者对目标服务器的数据库系统增加恶意负载（Malicious Payload）。

SQLi攻击主要出现在B/S模式（Browser/Server，浏览器/服务器模式）的Web应用环境中。由于Web程序员的水平参差不齐，相当一部分Web程序代码缺少对用户输入数据的合法性判断，使得发布的Web应用程序存在安全隐患。攻击者可以向目标服务器提交一段数据库查询代码（即SQL语句），根据其返回的结果，获得某些他想得知的数据。另外，攻击者恶意提交那些造成数据库高“开销”的SQL语句，也会导致目标服务器资源出现“瓶颈”。这些就是所谓的SQLi攻击。

零日攻击，又称零日漏洞、零时差攻击，是指软件开发人员和公众所不知道的软件安全漏洞，被发现后立即被攻击者恶意利用，即受保护的计算机网络还没有来得及打安全补丁，相关的恶意攻击就已发生。零日攻击往往具有较强的突发性与破坏性。

随着互联网全球普及推动的信息价值的飞速提升，零日攻击的破坏性越来越大。常见的零日攻击出现在软件破解、口令解密、间谍软件、木马病毒等场景，并从单纯的黑客炫技和信息安全研究发展成为商业利益的运作。零日攻击的目标包罗万象，从操作系统到数据库，从商业软件到开源项目，从Web应用程序到插件，甚至包括全球互联网的漏洞发布中心。信息系统的漏洞必定存在，只是尚未被发现，而弥补措施却永远滞后。因此，零日攻击不可预知，也必然会出现。

最近一次典型的零日攻击出现在苹果公司的MacBook或苹果手机的相机上。82020年4月，某白帽黑客发现苹果公司该软件中的多个零日漏洞，其中一些漏洞可用于劫持MacBook或苹果手机上的相机。苹果公司立即验证了所有漏洞，并在几周后为相机劫持漏洞发布了修复程序。

高级持续性威胁，又称高级长期威胁、先进持续性威胁等，是一种隐蔽的网络攻击类型。在这种攻击中，某些个人或团体在很长一段时间内获得了未经授权的访问权限，对特定计算机系统进行隐匿而持久的入侵。目标计算机系统处在“感染”和修复之间，攻击者经常监视、拦截、转发信息和敏感数据。

高级持续性威胁通常出于商业或政治动机，针对特定组织或国家，并在长时间内保持高隐蔽性。人们普遍认为，高级持续性威胁这个术语是在2006年由美国空军某军事战略专家提出的。

2010年6月伊朗核设施中出现的“震网”（Stuxnet）蠕虫病毒就是一个典型的高级持续性威胁。此蠕虫病毒专门定向攻击真实世界中的基础设施，包括核电站、水坝、电网等。某知名信息安全公司的研究表明，近60%的感染事件发生在伊朗的能源基础设施，其次为印度尼西亚（约20%）和印度（约10%）。此外，阿塞拜疆、美国与巴基斯坦等地也有小量个案。“震网”病毒具有极强的隐蔽性和破坏力，利用微软Windows系统之前未被发现的漏洞，只要计算机管理员将被病毒感染的U盘插入USB接口，这种病毒就会在神不知鬼不觉的情况下窃取一些工业计算机系统的控制权。通常情况下，黑客会利用这些漏洞窃取银行和信用卡信息以获取非法收入。然而，“震网”病毒却不用来赚钱，反而需要黑客花钱研制并用在基础设施上。因此，有些信息安全专家认为“震网”病毒出自某些国家的情报部门。