求网络攻击技术和防护技术的发展历史。
新发现的安全漏洞每年都会翻倍。管理者要不断用最新的补丁来修补这些漏洞,每年都会发现很多新型的安全漏洞。入侵者通常可以在制造商修复这些漏洞之前找到目标。
攻击工具变得越来越复杂。
攻击工具开发者正在使用更先进的技术来武装攻击工具。与以前相比,攻击工具的特征更加难以发现和检测。攻击工具具有以下特征:
◆反检测和动态行为
攻击者使用隐藏攻击工具特征的技术,增加了安全专家分析新攻击工具和理解新攻击行为的时间;早期的攻击工具以一个明确的顺序执行攻击步骤。今天的自动攻击工具可以根据随机选择、预定义的决策路径或入侵者的直接管理来改变其模式和行为。
◆攻击工具的成熟度
与早期的攻击工具不同,现在的攻击工具可以通过升级或更换一些工具来快速变化,发动快速变化的攻击,而且每次攻击都会出现很多不同形式的攻击工具。此外,攻击工具越来越多地被开发成可在各种操作系统平台上执行。
攻击自动化程度和攻击速度提高,杀伤力逐步提升。
扫描可能的受害者,破坏脆弱的系统。目前扫描工具采用更先进的扫描方式,提高扫描效果和速度。以前,安全漏洞只有在全面扫描完成后才会被利用。现在攻击工具将这些安全漏洞作为扫描活动的一部分,从而加速了攻击的传播。
分散攻击。2000年以前,攻击工具需要人来发动新一轮攻击。目前攻击工具可以自己发起新一轮攻击。像红队和尼姆达这样的工具可以自我扩散,不到18小时就达到全局饱和点。
日益不对称的威胁
互联网上的安全是相互依赖的。每个互联网系统被攻击的可能性取决于连接到全球互联网的其他系统的安全状态。
由于攻击技术的进步,攻击者可以很容易地利用分布式系统对受害者发起持续的破坏性攻击。随着部署自动化和攻击工具管理技能的提高,威胁的不对称性将不断增加。
越来越高的防火墙渗透率
防火墙是人们用来防止入侵者的主要保护措施。然而,越来越多的攻击技术可以绕过防火墙。例如,互联网打印协议和WebDAV(基于Web的分布式创作和翻译)可以被攻击者用来绕过防火墙。
它将对基础设施构成越来越大的威胁。
基础设施攻击是一种在大范围内影响互联网关键组件的攻击。随着用户越来越依赖互联网来完成日常业务,人们越来越担心基础设施受到攻击。
基础设施面临分布式拒绝服务攻击、蠕虫、对互联网域名系统(DNS)的攻击、对路由器的攻击或利用路由器的攻击。攻击工具的自动化使攻击者能够安装他们的工具并控制成千上万的受损系统来发起攻击。入侵者经常搜索已知包含大量高速连接的易受攻击系统的地址块。电缆调制解调器、DSL和大学地址块越来越成为计划安装攻击工具的入侵者的目标。
从攻击者的角度来看,我们可以将攻击步骤分为探测、利用和隐藏。同时,攻击技术可以分为检测技术、攻击技术和隐藏技术三大类,每一类中又细分出不同的攻击技术。
检测技术和攻击测试平台的发展
检测是黑客在攻击前必要的情报收集工作。通过这个过程,攻击者需要尽可能了解与目标安全相关的各方面信息,以便集中火力进行攻击。
检测可以分为三个基本步骤:步进、扫描和计数。
如果把服务器比作一座大楼,那么主机入侵信息的收集和分析就好比在大楼里部署几个摄像头,在大楼被盗后分析摄像头里的图像,为报案和“亡羊补牢”做准备。
第一步:就地踩点。它意味着攻击者结合各种工具和技能,以正常合法的方式窥探目标,并建立其安全状况的完整轮廓。
这一步,收集的主要信息包括:各种联系方式,包括姓名、邮箱、电话、传真;IP地址范围;DNS服务器;邮件服务器。
对于普通用户来说,如果能够利用互联网提供的大量信息源,就可以逐渐缩小范围,从而锁定自己需要了解的目标。
比较实用和流行的几种方法有:网页搜索和链接搜索、互联网域名注册机构Whois查询、Traceroute获取网络拓扑信息。