第7章 网络攻击及其防御(1)

４１．网络攻击是如何实施的？

最初的网络攻击，很多是计算机爱好者为了试验或证明自己的技术实力发起的，这样的攻击后果不会太严重。但近年来，有目的、有组织的网络攻击日益增多，这种攻击大多带有逐利或政治目的。

一次有组织的攻击往往分成攻击准备、攻击实施、扫尾三个阶段。在准备阶段，攻击者会通过社会工程、扫描、查点，了解系统情况，分析用户使用习惯，为以后的攻击做好准备（图５．１）。

在这一阶段中，一些扫描、查点动作已经能够被入侵检测系统发觉，系统日志里也会留下痕迹。在攻击阶段，攻击者会循着发现的漏洞，利用入侵隐藏技术隐匿自己的身份，根据已获取的信息进行攻击。攻击的手段是多种多样的，包括监听、会话劫持、口令猜解、木马种植等。在扫尾阶段，有经验的攻击者会小心地清理攻击痕迹，清除系统日志、数据库日志等，同时留下后门，以便对该计算机长期控制。

４２．什么是社会工程学攻击？

社会工程学攻击是指针对好奇、轻信、贪利等大众心理特点，通过诱骗、欺诈、威慑等手段，套取网络内部员工掌握的系统信息，从而完成对拟攻击系统的信息收集，甚至直接取得网络访问权限。

举个例子：某人建立了网站，并向域名服务商申请了域名，攻击者为得到这个域名，便向域名所有人提出一系列问题，如“网络同乡会筹备中，请填写您的地址”等。当套取到足够多的信息后，经过综合分析，猜解、确认域名所有者的身份证号等私人敏感信息，继而利用掌握的信息向域名服务商发出申请，要求重置密码。如果域名服务商的警惕性不高，攻击者就有可能顺利取得该域名的所有权。除上述的诱骗手段外，“胁迫攻击”也很常用。如攻击者冒充高层管理人员询问技术细节信息，或冒充高级技术人员诱骗运行维护人员进行安全策略调整等。

社会工程学攻击的特殊性决定对它的预防只能从管理角度入手，提高用户信息安全意识。

４３．什么是端口扫描？

端口是计算机对外联系的通道。端口扫描即对系统中的端口扫描示例

进行全面探测，以了解系统情况。普通用户借助端口扫描工具可以检测自己的端口开放状况，了解计算机的安全程度。入侵者借助端口扫描，主要判定两方面情况：一是目标主机开放了哪些端口服务？

二是目标主机使用了什么操作系统？取得这些信息后，入侵者才能有针对性地制定入侵策略。扫描工具有很多，着名的有Ｓｕｐｅｒｓｃａｎ、流光等，一些网站还提供在线进行扫描时，扫描工具软件会向大范围的主机发起连接请求。配置防火墙设备、安装个人防火墙软件可以阻止大多数端口扫描。

４４．什么是漏洞扫描？怎样减少系统漏洞？

系统漏洞是指操作系统的缺陷或编写错误，这个缺陷或错误可能会被黑客攻击，从而窃取电脑中的重要信息，甚至破坏系统。

漏洞扫描就是探测系统中是否存在潜在的漏洞。漏洞信息是黑客寻找合适攻击方法的重要依据。

对于一般用户来说，减少系统漏洞的最有效方法是及时下载安装漏洞补丁。以Ｗｉｎｄｏｗｓ系统为例，漏洞一旦被发现，微软公司会将相关信息和防范措施及时公布在网上，用户应及时下载安装，可以通过“３６０安全卫士”的“修复系统漏洞”功能自动进行系统漏洞的检测和修复，如图５．３所示。对网络管理员而言，可以在网络中搭建微软ＷＳＵＳ服务器或ＳＭＳ服务器对全网提供终端补丁下载，也可以布置终端准入系统强制终端升级补丁。

４５．什么是网络监听？怎样防止被监听？

共享是局域网的一大特性。网络上传输的数据都经过同一根总线，这样网络上的数据实际上大家都能接收到，如图５．４所示。

在正常情况下，只有真正的接收方才会接收并解析数据。但是，通过一些技术手段，第三者可以偷听到网络上别人的“对话”。如果不进行加密的话，甚至用户的邮件名和密码也会被截获。网络中最着名的监听工具有Ｓｎｉｆｆｅｒ，如图５．５所示。其操作简单，但功能却很强大。

为了防止被监听，可以从硬件方面对网络进行改进，比如把网络中的“集线器”更换为“交换机”。也可以对通话数据进行加密，防止被监听。

４６．如何防范缓冲区溢出攻击？

“缓冲区溢出”又称“堆栈溢出”，是常用的黑客技术之一，这种漏洞是由编程错误引起的。程序运行时，如果用户输入的数据长度超过应用程序给定的缓冲区，而程序没有对缓冲区边界进行检查，继续接收数据，就会导致缓冲区的数据“溢出”并覆盖其他数据区，影响程序的进程。一般情况下，这种现象最多造成应用程序错误，但是如果覆盖其他数据区的数据是经过黑客精心设计的恶意代码，“溢出”就会导致恶意代码被执行。如果被“溢出”的程序权限足够高，这种攻击方式足以令攻击者控制整个主机。

缓冲区“溢出”攻击的防范是和整个系统的安全性分不开的。

缓冲区“溢出”的危害程度与被“溢出”程序的权限密切相关，因此，平时应尽可能使用受限账户而不是管理员账户进行操作（详见第８章“如何在Ｗｉｎｄｏｗｓ下进行用户管理？”）。此外，应注意关闭不必要的网络服务和端口，及时升级操作系统和应用软件。

４７．如何防范拒绝服务攻击？

拒绝服务攻击简称ＤｏＳ攻击，是一种简单而又有效的破坏性攻击方式，其原理如图５．６所示。针对硬件设备处理能力有限的缺陷，攻击者或发送大量看似正常的ＴＣＰ、ＵＤＰ、ＩＣＭＰ包耗尽带宽资源，或利用ＴＣＰ／ＩＰ协议中的某些漏洞耗尽计算机资源，导致服务器崩溃或无法访问。ＤｏＳ攻击的发展是分布式拒绝服务攻击（ＤＤｏＳ），这种攻击方式操纵分散在互联网各处的计算机同时攻击防范ＤｏＳ、ＤＤｏＳ攻击应注意以下几个方面：

①及早发现系统存在的攻击漏洞，及时安装系统补丁程序，对一些重要的信息（例如系统配置信息）建立和完善备份机制。

对一些特权账号（如管理员账号）的密码设置要谨慎，从而把攻击者的可乘之机降到最小。

②经常检查系统的物理环境，禁止不必要的网络服务。建立边界安全界限，确保输出的数据包受到正确限制。经常检测系统配置信息，查看安全日志。

③利用网络安全设备（比如防火墙）加固网络的安全性，配置好安全规则，尽可能过滤伪造数据包。

④与网络服务商、提供商保持经常联系，帮助实现路由的访问控制和对带宽总量的限制。

⑤当发现遭受ＤＤｏＳ攻击时，应该尽可能快地追踪攻击包，及时联系互联网服务提供商或信息安全服务机构。

⑥当您发现计算机被攻击者用做主控端和代理端时，不能因为自己的系统暂时没有受到损害而掉以轻心，应该及时清理掉ＤＤｏＳ攻击工具，弥补系统漏洞。

４８．如何防范ＩＰ欺骗？

ＩＰ地址用来标识互联网中的主机，每台主机都应该有不同的ＩＰ地址。ＩＰ欺骗就是使互联网中某台受信任主机丧失工作能力，从而将自己伪装成该受信任主机，假冒ＩＰ地址与所选定目标主机建立应用连接并进行非授权操作的攻击手段。可以通过配置路由器中的访问控制列表（ＡＣＬ）进行阻止，还可以在通信时要求加密传输和验证。也可以布置一些专门的设备（如终端准入控制系统）对终端的ＩＰ、ＭＡＣ、主机名、交换机端口号等进行绑定。

４９．什么是ＡＲＰ欺骗？怎样防范ＡＲＰ欺骗？

ＡＲＰ（ＡｄｄｒｅｓｓＲｅｓｏｌｕｔｉｏｎＰｒｏｔｏｃｏｌ）是地址解析协议的简称，它的主要功能是将ＩＰ地址解析为计算机可以理解的物理地址。我们可以在命令行模式中输入ａｒｐａ指令来查看当前计算机缓存的ＡＲＰ信息。

当计算机Ａ要访问计算机Ｂ时，Ａ必须确定Ｂ的物理地址。