网络攻击：破解弱口令、拒绝服务的威胁！

1.网络攻击的概念

网络攻击是指对网络系统的机密性、完整性、可用性、可控性、抗抵赖性产生危害行为。网络攻击的全过程如下：攻击者发起并应用一定的攻击工具，对目标网络系统进行攻击操作，达到一定的攻击效果，实现攻击者预定的攻击意图，网络攻击的全过程如表5-1所示。

表5-1　网络攻击的全过程

（1）攻击者。攻击者按照范围不同，可以分为内部人员和外部人员两类；根据攻击动机与目的不同，可以分为黑客、间谍、恐怖主义者、公司职员、犯罪分子等五类。

（2）攻击工具。攻击者通过用户命令、脚本或程序、初始化程序或程序片段独立执行漏洞挖掘等一系列攻击工具，对目标实施攻击。

（3）攻击访问。攻击者一定会访问目标网络系统以达到其攻击目的。攻击过程主要依赖于非法访问和使用目标网络的资源，即未授权访问或为首选使用目标系统的资源。攻击者能够进行未授权访问和使用系统资源的前提是，目标网络和系统存在安全弱点，包括设计弱点、实现弱点和配置弱点。进入目标系统之后，攻击者就开始执行相关命令，如修改文件、传送数据等，实施各类不同的攻击。

（4）攻击效果。攻击者实施攻击后，达到的攻击效果主要有以下几种：

①破坏信息：删除或修改系统中存储的信息或者网络中传送的信息。

②信息泄露：窃取或公布敏感信息。

③窃取服务：未授权使用计算机或网络服务。

④拒绝服务：干扰系统和网络的正常服务，降低系统和网络性能，甚至使系统和网络崩溃。

（5）攻击意图。攻击者的意图主要有以下六类：

①挑战：攻击的动机与目的是为了表现自己或技术挑战。

②获取情报：攻击的动机与目的是获取情报信息。

③恐怖事件：攻击的动机与目的是为了达到恐怖主义集团的目的。

④好奇：攻击的动机与目的是好奇、显示才干。

⑤经济利益：攻击的动机与目的是获取经济利益。

⑥报复：攻击的动机与目的是报复、泄气。(www.xing528.com)

2.网络攻击常用技术方法

网络攻击技术是指攻击者在攻击过程中所使用的技术手段。经过对已发生的网络攻击事件的分析和归纳，常用的攻击技术主要包括端口扫描、口令攻击、恶意代码、拒绝服务、缓冲区溢出、欺骗、会话劫持和网络监听。具体如下：

（1）端口扫描。端口扫描是指发送一组端口扫描消息，试图以此侵入计算机，并通过端口开放情况了解其提供的网络服务类型。一般来说，端口扫描包括向每个端口发送消息，接收到的消息回应类型将会表明计算机是否在使用该端口。

（2）口令攻击。口令机制是资源访问控制的第一道屏障。网络攻击者常常以破解用户的弱口令为突破口，获取系统的访问权限。主要攻击方法如下：

①通过网络监听非法得到用户口令，这是获取用户账户和密码的一条有效途径。实际上很多互联网协议没有采用任何加密或身份认证技术，如在Telnet、FTP、HTTP、SMTP等传输协议中，用户账户和密码信息都是以明文格式进行传输。如果攻击者利用相关工具如数据包截取工具，便可以收集到账户和密码。

②在知道用户的账号后，利用一些专门软件强行破解用户口令也是口令攻击的一种方式。如采用字典穷举法暴力破解用户密码。攻击者可以通过一些工具程序，自动地从电脑字典中取出一个单词，作为用户的口令，再输入给远端的主机，申请进入系统；若口令错误，就按序取出下一个单词，进行下一个尝试，并一直循环下去，直到找到正确的口令或字典的单词试完为止。由于这个破译过程由计算机程序来自动完成，因而几个小时就可以把上十万条记录的字典里所有单词都尝试一遍。

③利用系统管理员的失误进行攻击。在Unix操作系统中，用户的基本信息存放在Passwd文件中，而所有的口令则经过DES加密方法加密后专门存放在一个叫Shadow的文件中。黑客们获取口令文件后，就会使用专门破解DES加密法的程序来破解口令。同时，由于为数不少的操作系统都存在许多安全漏洞或一些其他设计缺陷，这些缺陷一旦被找出，黑客就可以进入系统为所欲为。

（3）恶意代码。恶意代码是指故意编制或设置的对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒（简称病毒）、特洛伊木马（简称木马）、计算机蠕虫（简称蠕虫）、后门、逻辑炸弹等。病毒通过复制自己来感染其他系统或程序，进而影响计算机的使用；特洛伊木马程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，而是通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑；蠕虫类似于病毒，是一种可以自我复制传播，但不需要宿主的一种完整的程序，这种程序可以自动生成一个自我拷贝文件并执行它，不需要任何人为干预；在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击；逻辑炸弹包括各种在特定条件满足时就会被激活的恶意代码；后门一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。

（4）拒绝服务。当一个对资源的合理请求大大超过资源的支付能力时就会造成拒绝服务攻击。最基本的DDoS攻击就是利用合理的服务请求来占用过多的服务资源，致使服务超载，无法响应其他的请求。这些服务资源包括网络带宽、文件系统空间容量、开放的进程或者内向的链接等。这种攻击会导致资源的匮乏，无论计算机的处理速度多么快，容量多么大，互联网的速度多么快，都无法避免这种攻击带来的后果。分布式拒绝服务攻击DDoS（Distributed Denial of Services）采用了一种比较特别的体系结构，从许多分布的主机同时攻击一个目标，从而导致目标瘫痪，是拒绝服务攻击的一种升级和发展。

3.APT攻击

APT攻击，全称为高级持续性威胁（Advanced Persistent Threat）。APT攻击本质上并不是一种全新的攻击手段，而是多种攻击手段（比如钓鱼邮件、社工、木马、DDOS等）的战术性综合利用，APT攻击因为手法多样，可以很好地隐匿攻击者身份，实现对特定对象的长期、有计划性和组织性的攻击效果。

（1）攻击行为特征难以提取。APT普遍采用0 day漏洞获取权限、通过未知木马进行远程控制，而传统基于特征匹配的检测设备总是要先捕获恶意代码样本，才能提取特征并基于特征进行攻击识别，这就存在先天的滞后性。

（2）单点隐蔽能力强。为了躲避传统检测设备，APT更加注重动态行为和静态文件的隐蔽性。例如通过隐蔽通道、加密通道避免网络行为被检测，或者通过伪造合法签名的方式避免恶意代码文件本身被识别，这就给传统基于签名的检测带来很大困难。

（3）攻击渠道多样化。目前被曝光的知名APT事件中，社交攻击、0 day漏洞利用、物理摆渡等方式层出不穷，而传统的检测往往只注重边界防御，系统边界一旦被绕过，后续的攻击步骤实施的难度将大大降低。

（4）攻击持续时间长。APT攻击分为多个步骤，从最初的信息搜集到信息窃取并外传往往要经历几个月甚至更长的时间。而传统的检测方式是基于单个时间点的实时检测，难以对跨度如此长的攻击进行有效跟踪。

Google极光攻击

2010年的Google（谷歌）Aurora（极光）攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接，引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月，并且造成各种系统的数据被窃取。此次APT（Advanced Persistent Threat，高级持续性威胁）攻击者首先寻找特定的Google员工成为攻击者的目标。攻击者尽可能地收集该员工在Facebook（脸书）、Twitter（推特）和其他社交网站上发布的信息。接着攻击者利用一个动态DNS（Domain Name System，域名系统）供应商来建立一个托管伪造照片网站的Web服务器。利用这个伪造的Web服务器，攻击者伪造成这位Google员工所信任的人，并向他发送了恶意链接。员工点击了这个未知的网络链接就进入了恶意网站。该恶意网站页面含有Shellcode（壳代码）的JavaScript（脚本语言）脚本造成了IE浏览器（Internet Explorer，微软公司出品的Web浏览器）溢出，进而执行FTP（File Transfer Protocol，文件传输协议）下载程序。攻击者通过SSL安全隧道与受害人机器建立了链接，持续监听最终获得了该雇员访问Google服务器的账号和密码等信息。最后攻击者就使用该雇员的凭证成功渗透进入了Google的邮件服务器，进而不断地获取特定Gmail（谷歌网络邮件服务）账户的邮件内容。