网络安全技术连载（6）2007年网络安全技术发展分析

（这是2007年给某刊物写的一篇文章，现转载于此）

（原创作品，未经允许，不得随意转载）

在网络安全实践中，网络攻击者主动性很强，因此，在整个攻防实战中占据着十分重要的地位。从典型的攻击思路来看，攻击者一般要经过“探测”、“攻击”、“隐藏”等三个步骤，而且每个步骤又有许多种类型。2007年，网络安全界风起云涌，从技术更加精湛的网络注入到隐蔽性更强的钓鱼式攻击，从频频被利用的系统漏洞到悄然运行木马工具，网络攻击者的手段也更加高明。“知己知彼，百战不殆”，本专题将通过科学分类的方法，对本年度的网络攻击技术进行详细的点评。同时，还将穿插精彩的典型案例，使用户达到举一反三的目的。

本文主要内容

一、2007年网络攻击的发展趋势

三、2007年网络攻击和隐藏技术发展趋势

二、探测技术和攻击测试平台的发展

1、技术的发展趋势

1、三部曲：踩点、扫描和查点

2、欺骗技术的发展趋势

2、一则安全日记引发的攻击思路分析

3、拒绝服务攻击技术的发展

3、攻击测试平台的新发展

4、数据驱动攻击技术及其新发展

四、热门攻击实例分析

5、隐藏技术及其新发展

一、2007年网络攻击的发展趋势

综合分析2007年网络攻击技术发展情况，其攻击趋势可以归纳如下：

趋势1：发现安全漏洞越来越快，覆盖面越来越广。新发现的安全漏洞每年都要增加一倍，管理人员不断用最新的补丁修补这些漏洞，而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。

趋势2：攻击工具越来越复杂。攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比，攻击工具的特征更难发现，更难利用特征进行检测。攻击工具具有以下特点：

反侦破和动态行为。攻击者采用隐蔽攻击工具特性的技术，这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多；早期的攻击工具是以单一确定的顺序执行攻击步骤，今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理，来变化它们的模式和行为。

攻击工具的成熟性。与早期的攻击工具不同，目前攻击工具可以通过升级或更换工具的一部分迅速变化，发动迅速变化的攻击，且在每一次攻击中会出现多种不同形态的攻击工具。此外，攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。

趋势3：攻击自动化程度和攻击速度提高，杀伤力逐步提高。自动攻击一般涉及四个阶段，在每个阶段都出现了新变化。

Ø 扫描可能的受害者、损害脆弱的系统。目前，扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。以前，安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分，从而加快了攻击的传播速度。

Ø 传播攻击。在2000年之前，攻击工具需要人来发动新一轮攻击。目前，攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播，在不到18个小时内就达到全球饱和点。

趋势4：越来越不对称的威胁。Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的安全状态。由于攻击技术的进步，一个攻击者可以比较容易地利用分布式系统，对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高，威胁的不对称性将继续增加。

趋势5：越来越高的防火墙渗透率。防火墙是人们用来防范入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙，例如，Internet打印协议和WebDAV（基于Web的分布式创作与翻译）都可以被攻击者利用来绕过防火墙。

趋势6：对基础设施将形成越来越大的威胁。基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务，基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统(DNS)的攻击和对路由器攻击或利用路由器的攻击。攻击工具的自动化程度使得一个攻击者可以安装他们的工具并控制几万个受损害的系统发动攻击。入侵者经常搜索已知包含大量具有高速连接的易受攻击系统的地址块，电缆调制解调器、DSL和大学地址块越来越成为计划安装攻击工具的入侵者的目标。

我们可以从攻击者的角度出发，将攻击的步骤可分为探测（Probe）、攻击（Exploit）和隐藏（Conceal）。同时，攻击技术据此可分为探测技术、攻击技术和隐藏技术三大类，并在每类中对各种不同的攻击技术进行细分。

二、探测技术和攻击测试平台的发展

探测是黑客在攻击开始前必需的情报收集工作，攻击者通过这个过程需要尽可能详细的了解攻击目标安全相关的方方面面信息，以便能够集中火力进行攻击。探测又可以分为三个基本步骤：踩点、扫描和查点。
1、三部曲：踩点、扫描和查点 (相关文章：端口·木马·安全·扫描应用知识)

如果将服务器比作一个大楼，主机入侵信息收集及分析要做的工作就如在大楼中部署若干个摄像头，在大楼发生事件之后，对摄像头中的影像进行分析，进而为报案和“亡羊补牢”做准备。

第一步：踩点。是指攻击者结合各种工具和技巧，以正常合法的途径对攻击目标进行窥探，对其安全情况建立完整的剖析图。在这个步骤中，主要收集的信息包括：各种联系信息，包括名字、邮件地址和电话号码、传真号；IP地址范围；DNS服务器；邮件服务器。对于一般用户来说，如果能够利用互联网中提供的大量信息来源，就能逐渐缩小范围，从而锁定所需了解的目标。几种实用的流行方式有：通过网页搜寻和链接搜索、利用互联网域名注册机构进行Whois查询、利用Traceroute获取网络拓扑结构信息等。

第二步：扫描。是攻击者获取活动主机、开放服务、操作系统、安全漏洞等关键信息的重要技术。扫描技术包括Ping 扫描（确定哪些主机正在活动）、端口扫描（确定有哪些开放服务）、操作系统辨识（确定目标主机的操作系统类型）和安全漏洞扫描（获得目标上存在着哪些可利用的安全漏洞）。Ping扫射可以帮助我们判断哪些系统是存活的。而通过端口扫描可以同目标系统的某个端口来建立连接，从而确定系统目前提供什么样的服务或者哪些端口正处于侦听状态。著名的扫描工具包括nmap，netcat 等，知名的安全漏洞扫描工具包括开源的nessus 及一些商业漏洞扫描产品如ISS 的Scanner 系列产品。另外，在网络环境下，网络扫描技术则是指检测目标系统是否同互联网连接、所提供的网络服务类型等等。通过网络扫描获得的信息有：被扫描系统所运行的TCP/UDP服务；系统体系结构；通过互联网可以访问的IP地址范围；操作系统类型等。

第三步：查点。是攻击者常采用的从目标系统中抽取有效账号或导出资源名的技术。通常这种信息是通过主动同目标系统建立连接来获得的，因此这种查询在本质上要比踩点和端口扫描更具有入侵效果。查点技术通常和操作系统有关，所收集的信息包括用户名和组名信息、系统类型信息、路由表信息和SNMP信息等。

综观本年度比较热门的攻击事件，可以看到，在寻找攻击目标的过程中，以下手段明显加强：

（1）通过视频文件寻找“肉鸡”。在今年，这种方法大有星火燎原之势，攻击者首先要配置木马，然后制作视频木马，如RM木马、WMV木马等，然后通过P2P软件、QQ发送、论坛等渠道进行传播，用户很难察觉。

（2）根据漏洞公告寻找“肉鸡”。现在，关于漏洞技术的网站专业性更强，在http://www.milw0rm.com这个网站上，经常会公布一些知名黑客发现的漏洞，从远程攻击、本地攻击到脚本攻击等，描述十分详细。在漏洞补丁没有发布之前，这些攻击说明可能会进一步加大网络安全威胁。

（3）利用社会心理学、社会工程学获取目标信息。比如，通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已呈迅速上升甚至滥用的趋势。目前，已经有攻击者通过“溯雪＋社会工程学”的形式破解了263信箱。

2、一则安全日记引发的攻击思路分析

时间：2007年7月某天晚上

地点：某单位网络管理中心

人物：某网络管理员

序幕：一个网友突然传来一个网址，让我检测一个数据中心网站的安全性。资料显示，该站点是一个大型虚拟主机系统，支持ASP+PHP+JSP。

事件记录：

拿过站点地址，没经过任何思考，我利用SuperScan等软件对主机进行了端口扫描，扫描后共发现开了10个端口，重要的有80、110、135、139、3389等，但能够利用的服务不算多。从扫描的80信息显示来看，对方的系统是Windows 2000+IIS5.0，还打开了一个远程桌面管理（开放了3389端口）。

第1步：检查是否有应用程序漏洞。登录3389服务，看看有没有非系统自带的输入法，因为某些类型的输入法还是有帮助文件和URL的，结果没有任何帮助文件。使用net命令测试后，发现不能顺利与服务器建立空连接，猜测密码口令也没有结果。

第2步：现在，比较合理的选择是检测CGI漏洞，使用安全扫描软件后，发现默认的“scripts”、“_vti_bin”等目录以及大量的“ida”、“idq”、“htw”等映像，但是用了许多溢出程序都没有溢出。初步推测，系统打上了SP3补丁。

第3步：下面再看看邮件服务软件是否支持expn、vrfy指令。经测试，返回“OK”并枚举出一个100多个用户的详细列表，接着用POP3密码破解软件破密码，自然收获不小了。然后尝试用这些帐号登录ftp服务，终于发现其中有一个用户名为cndes，密码为1234abcd，而且可以登录ftp空间。也就是说，这个用户买了服务器的收费邮箱和收费主页空间，并且邮箱和主页空间的密码设置的是相同的。

第4步：计划向主页空间上传两个文件，一个是win.exe，这是一个大小仅有4kb的木马，功能相当强大；另一个是海阳顶端ASP木马。上传完毕，现在就可以查看服务器的详细情况了。顺便查查cndes空间目录在什么位置，并把win.exe的路径记下来。

第5步：使用temp.asp进行入侵。为了防止被系统日志记录下来，明智的选择是另外开个没有日志记录的shell，并准备运行另一个win.exe木马。怎么运行它呢，用过Unicode漏洞的人都知道，有了木马在服务器的绝对路径，并且木马所在的目录有脚本可执行权限，我们就能运行它了。看到IE状态区的进度条，表示已经在服务器端运行了程序。现在就可以从刚开的后门进去了。

第6步：取得admin权限。由于Administrator帐号更改，现在把一个特殊的cmd.exe（利用exe合并软件把cmd.exe和木马合成一个程序）上传到服务器C盘下并隐藏起来，等待管理员运行cmd.exe时，系统就会多了一个admin权限的帐号，接下来就是用这个帐号来停掉w3svc服务并修改日志，整个过程到此结束。

其实，这位黑客是一位受到委托的网络安全专家。通过自己的经验和专业技术，他找到了可能被黑客利用的重大安全隐患。可见，随着网络技术的不断发展，网络攻击者的思路也日趋成熟，在某些方面甚至比网络管理员更专业、更了解对方。在这种程序化的思路中，他们就能够号入座寻找可能存在的对象，并实施有目的性的攻击。

3、攻击测试平台的新发展

对于网络管理员来说，虚拟机是一项很不错的技术，安装了虚拟机，管理员就可以在自己的机子上同时运行多个操作系统，并可在它们之间进行自由的切换。不过，从2007年各大安全论坛的讨论主题来看，虚拟机技术在黑客中间也得到了普及。通过使用虚拟机，网络攻击者不需要重新开机就能在同一台电脑使用好几个操作系统，它可以将电脑上的一部分硬盘和内存进行组合，虚拟出若干台机器，实施各种操作系统下的攻击。

下面，我们将结合VMWare，详细了解攻击测试平台的搭建过程。用户可从以下网站下载：http://www.vmware.cn。

第1步：VMWare软件的安装。这个过程十分简单，下载完毕，直接“Next”即可完成安装。安装完毕，我们会发现多了两块虚拟网卡，在VMWare下用户可以使用虚拟网卡进行联网设置及试验。单击“新建虚拟机”图标，根据提示选择一种要安装的操作系统，一般选择典型设置。

第2步：虚拟机启动并自检后，这时按F2可以进入BIOS设置。每一台虚拟机都有它自己的BIOS。虚拟机使用PHOENIX BIOS，先将鼠标点击虚拟机窗口，接收鼠标键盘的输入信息后，就可以进行相关BIOS设置了。

第3步：设置光驱映像ISO文件或者将光盘放入光驱后，进入操作系统的安装过程，否则虚拟机将会提示没有找到操作系统。如果光盘没有启动，需要到BIOS中设置启动顺序。安装完毕，点击虚拟机操作界面上方左边工具栏中的“打开电源”键，如同按下了一台电脑的开关。

第4步：切换到虚拟机。进入虚拟平台后，它会屏蔽掉主机计算机的所有鼠标或键盘操作，不过我们可以按“Ctrl＋Alt”组合键返回主机系统。虚拟机的重新启动、关机等对于宿主计算机来说都是虚拟的，但对于虚拟机中安装的操作系统来说则是真实的。因此，安装好操作系统的虚拟机，一样要先通过“开始”菜单关机。而不能强制关闭虚拟机电源，否则，虚拟机下次启动的时候也会像真实的电脑一样检测磁盘的。

第5步：安装VMWare Tools。完成安装后，在VMWare软件的左下角有一个提示：“你没有安装VMWare Tools”。单击“虚拟机”菜单中的“安装VMWare工具”选项，安装VMWare工具。注意，如果是用ISO文件安装的操作系统，最好重新加载该安装文件并重新启动系统，这样系统就能自动找到VMWare Tools的安装文件。如图1所示。

安装VMWare Tools之后，再次登录redhat Linux系统，现在就会感觉在图像色彩和声音质量上都有很大的提高。同时，鼠标可以在虚拟机、宿主机之间随意移动、切换。新建一个虚拟机后，除了使用默认值，用户还可以通过配置文件修改参数。在单机平台上，利用VMWare构建一个具有多个节点的局域网，组建非常复杂的局域网。如图2所示。

通过上面的典型测试环境，攻击者已经可以在本地轻松的完成各种网络程序和其他操作系统的测试。如果能够结合resin、Apache等web服务器，我们也就不难理解黑客为什么能够如此迅速的完成其他系统或平台下的漏洞或攻击测试了。难怪有人会这么评价：“一名优秀的网络管理员首先是一名优秀的黑客”。

三、2007年网络攻击和隐藏技术发展趋势

“心中有佛天地宽”，网络攻击中的“佛”在哪里呢？首先，我们应该对攻击技术的分类有一个清晰的脉络，否则很难确定自己在这场战争中的角色。因此，我们可以将从以下几个方面对2007年网络攻击技术进行分述，即技术、欺骗技术、拒绝服务和数据驱动攻击。同时，对攻击事件完成之后的隐藏技术也进行分析。

1、技术的发展趋势

技术是攻击者通过非法手段对系统活动的监视从而获得一些安全关键信息。目前属于技术的流行攻击方法有键击记录器、网络监听、非法访问数据和攫取密码文件。可以从以下几个方面来分析。

（1）键击记录器。这是植入操作系统内核的隐蔽软件，通常实现为一个键盘设备驱动程序，能够把每次键击都记录下来，存放到攻击者指定的隐藏的本地文件中。著名的有Win32 平台下适用的IKS 等。

（2）网络监听。这是攻击者一旦在目标网络上获得一个立足点之后刺探网络情报的最有效方法，通过设置网卡的混杂（promiscuous）模式获得网络上所有的数据包，并从中抽取安全关键信息，如明文方式传输的口令。Unix 平台下提供了libpcap 网络监听工具库和tcpdump、dsniff 等著名监听工具，而在Win32 平台下也拥有WinPcap监听工具库和windump、dsniff forWin32、Sniffer等免费工具，另外还有专业工具Sniffer Pro等。

（3）非法访问数据。这是指攻击者或内部人员违反安全策略对其访问权限之外的数据进行非法访问。

（4）攫取密码文件。这是攻击者进行口令破解获取特权用户或其他用户口令的必要前提，关键的密码文件如Windows 9x下的PWL 文件、Windows NT/2000下的SAM文件和Unix平台下的/etc/password 和/etc/shadow。

<script type="text/javascript"><!-- google_ad_client = "pub-4255855009993786"; /* 300x250, 创建于 09-11-4 */ google_ad_slot = "2489322214"; google_ad_width = 300; google_ad_height = 250; //--> </script><script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>