网络攻击行为及其特征的研究

网络攻击行为及其特征的研究
网络攻击行为及其特征的研究
摘要：本文简要介绍了在过去的几年里影响比较广，破坏力强的几种恶意攻击事件，并对其攻击行为的特征进行了简单的分析和研究。

其中包括红色代码、尼姆达(Nimda)、美丽莎(Melissa) 、分布式拒绝服务攻击和远程控制特洛伊木马后门等。

并通过对过去几年里网络攻击行为的研究对未来的几年里可能发生网络攻击行为进行了简单的预测。

研究结果认为利用超级蠕虫、利用程序自动更新存在的缺陷、针对路由或DNS的攻击以及同时发生计算机网络攻击和恐怖袭击等几种攻击方式可能在未来的几年中发生的几率比较大。

关键词：网络；黑客；攻击行为；特征；
前言
随着Internet在全球的发展，黑客的活动也日趋活跃进，网络攻击行为业越来越多，大有方兴未艾之势。

简单说来黑客的动向有以下几个特点：
1.组织越来越扩大化：早期的黑客虽然也有些是有组织的，但规模不大。

现在跨地区，跨国界的大型黑客组织己经出现。

在Internet网上还有许多黑客的专题讨论组，并有不断扩大之势。

2.行动越来越公开化：包括召开会议，举办竞赛，编写教材等。

例如2002年7月12日至14日，来自世界各国的2000名国际黑客云集纽约，举行了迄今为止规模最大的全球黑客大会，并且抛出一款全新的软件作为宣战的工具。

在此次黑客大会上，黑客们公布的一项计划引起了全球瞩目，那就是众黑客以不满网络安全检查为由宣布将对全球20多个进行网络检查的国家开战。

3.情况越来越复杂化：无论人们对于黑客的功过如何评说，黑客的成分背景日益复杂，行为动机各有不同，这是客观事实，对此己经不是用‚好人、好事‛还是‚坏人、坏事‛所能简单概括。

正义、非正义，侵入、反侵入的斗争错综复杂，种种迹象表明，有朝一日在网上爆发一场世界黑客大战并非天方夜谭。

为了避免以后的类似的网络攻击行为的发生，或者尽可能的减少网络攻击行为带来的危害。

所以说对其特征的研究也是非常必要的。

本文选择了过去几年种一些比较典型的网络攻击行为并对其特点进行了简单的阐述。

并对未来的几年里可能发生的网络行为进行了预测。

●一、过去几年中几种危害比较大的病毒或黑客袭击事件特征简介
1、红色代码
2001年7月的某天，全球的IDS几乎同时报告遭到不明蠕虫攻击。

信息安全组织和专业人士纷纷迅速行动起来，使用蜜罐(honeypots)技术从因特网上捕获数据包进行分析，最终发现这是一利用微软IIS缓冲溢出漏洞进行感染的变种蠕虫。

其实这一安全漏洞早在一个月以前就已经被eEye Digital Security 发现，微软也发布了相应的补丁程序，但是却很少有组织和企业的网络引起了足够的重视，下载并安装了该补丁。

在红色代码首次爆发的短短9个小时内，这一小小蠕虫以速不掩耳之势迅速感染了250,000台服务器，其速度和深入范围之广也迅速引起了全球媒体的注意。

最初发现的红色代码蠕虫还只是篡改英文站点的主页，显示‚Welcome to ! Hacked by Chinese!‛等信息。

但是随后的红色代码蠕虫便如同洪水般在互联网上泛滥，
发动DoS（拒绝服务）攻击以及格式化目标系统硬盘，并会在每月20日～28日对白宫的WWW站点的IP地址发动DOS攻击，使白宫的WWW站点不得不全部更改自己的IP地址。

之后，红色代码又不断的变种，其破坏力也更强，在红色代码II肆虐时，有近2万服务器，约500万网站被感染。

从红色代码的肆虐中网络用户可以得到启示：只要注意及时更新补丁和修复程序，对于一般的蠕虫传播是完全可以避免的。

因此作为系统管理员在平时应该多注意自己的系统和应用程序所出现的最新漏洞和修复程序，对于提供了修复程序和解决方案的应立即安装和实施；在网络遭到攻击时，为进行进一步的分析，使用蜜罐是一种非常行之有效的方法；红色代码猛攻白宫之所以被成功扼制，是因为ISP们及时将路由表中所有白宫的IP地址都清空了，在这一蠕虫代码企图阻塞网络之前，在因特网边界就已被丢弃。

另外，白宫网站也立即更改了所有服务器的IP地址。

2、尼姆达（Nimda）
尼姆达（Nimda）是在 9/11 恐怖袭击后整整一个星期后出现的。

笔者现在还清楚地记得因为美国的网络常常成为恐怖组织和对其怀有敌意的黑客的攻击目标。

另外，地区之间的冲突和摩擦也会导致双方黑客互相实施攻击，当时传言是中国为了试探美国对网络恐怖袭击的快速反应能力而散布了尼姆达病毒，一些安全专家甚至喊出了‚我们现在急需制定另一个‘曼哈顿计划’，以随时应对网络恐怖主义‛的口号，由此可见尼姆达在当时给人们造成的恐慌。

尼姆达病毒是在早上9：08发现的，它明显地比红病毒更快、更具有摧毁功能，半小时之内就传遍了整个世界。

随后在全球各地侵袭了830万部电脑，总共造成将近10亿美元的经济损失。

同‚红色代码‛一样，‚尼姆达‛也是通过网络对Windows操作系统进行感染的一种蠕虫型病毒。

但是它与以前所有的网络蠕虫
的最大不同之处在于，‚尼姆达‛通过多种不同的途径进行传播，而且感染多种Windows操作系统。

‚红色代码‛只能够利用IIS的漏洞来感染系统，而
‚尼姆达‛则利用了至少四种微软产品的漏洞来进行传播。

从Nimda蠕虫病毒播发的全程和特点来看，网络用户又可以深刻地认识到：对网络攻击事件的紧急响应能力以及和安全专家们建立良好的关系是非常重要的；为阻断恶意蠕虫的传播，往往需要在和广域网的接口之间设臵过滤器，或者干脆暂时断开和广域网的连接；在电子邮件客户端和网络浏览器中禁止任意脚本的执行对网络安全性来说是很关键的。

3、美丽莎(Melissa)
美丽莎(Melissa)是一种宏病毒,它感染 Word 97 和Word 2000 文件, 寄
生在Word 的模板文档normal.dot 中（这意味着任何新建的Word 文件也会含毒），并且在时间与日期相等时（如2月24日的2点24分），会自动在文档中加入一行字。

当用户打开染毒文件的时候，美丽莎会自动通过Microsoft Exchange 和 Outlook 把带毒邮件寄给Outlook 通讯录的前50 名用户。

邮件的标题为：‚Important Message From‛，正文为：‚Here is that document youasked for...don't show anyone else;-)。

‛。

并且邮件一般会有一个文件名为list.doc 的附件, 打开它就会释放病毒。

可以想象, 这种
呈几何级数增长的连锁性大规模电子邮件传播, 会造成网络系统资源大量被占用, 最终导致邮件服务器的停机。

比邮件服务器瘫痪更可怕的是 W97M/Melissa 病毒通过电子邮件窃取用户机密并加以无限扩散, 而且这种传播是在用户毫无察觉的情况下发生的, 用户甚至都无法知道这些机密信息去了哪里。

这种病毒的‚狡猾‛之处在于，接收邮件的用户在看到是自己熟悉的人发过来的信的时候, 就会放松警惕打开带毒邮件, 因而极易传播。

由于Melissa
能自动地进行自我复制, 所以她又属于蠕虫类病毒, 这种身兼宏病毒和蠕虫病
毒特性的新型复合型病毒可称得上名副其实的‚美丽杀手‛。

4、分布式拒绝服务攻击
在2000年新千年的到来之际，信息安全领域的人们都以为可以集体地长长
地嘘一口气了，因为他们以为由于存在千年虫的问题，在信息网络安全领域中
应该暂时还不会出现什么波动。

然而, 一月之后却来了一场谁也意想不到的大
洪水：在全球知名网站雅虎第一个宣告因为遭受分布式拒绝服务攻击而彻底崩
溃后, 紧接着, CNN, E*Trade, ZDNet, , Excite 和 eBay 等其它七大知名网站也几乎在同一时间彻底崩溃。

这无疑又一次敲响了因特网
的警钟。

在这以前人们其实已经接触过来自数以百计的机器的flood攻击，但
是像攻击雅虎这样如此大规模的攻击却从未目击过甚至想像过。

DDoS 的闪击般
攻击使人们认识到英特网远比他们想象得更加脆弱，分布式地拒绝服务攻击产
生的影响也远比他们原来想象中的要大得多。

利用因特网上大量的机器进行DdoS，分布式扫描和分布式口令破解等，一个攻击者能够达到许多意想不到的
强大效果。

从雅虎遭到强大的DDoS攻击中人们又获得了启示：要阻止这种攻击关键是
网络出口反欺骗过滤器的功能是否强大。

也就是说如果你的Web服务器收到的
数据包的源IP地址是伪造的话,你的边界路由器或防火墙必须能够识别出来并
将其丢弃；网络安全事件响应小组们认识到他们必须和他们的ISP共同去阻止
数据包的flood攻击。

如果失去ISP的支持，即使你的防火墙功能再强大，你
网络出口的带宽仍旧可能被全部站用。

唯一有效的也是最快速地方法就是和
ISP联手一起来通过丢包等方法阻挡这一庞大的flood攻击；不幸地，DDoS攻
击即使在目前也仍旧是互联网面临的主要威胁,当然这主要是因为ISP在配合阻
断DDoS攻击上速度太慢引起的，无疑使事件紧急响应的效果大打折扣。

5、远程控制特洛伊木马后门
在1998年7月，黑客 Cult of the Dead Cow（CDC）推出的强大后门制造
工具 Back Orifice（或称BO）使庞大的网络系统轻而易举地陷入了瘫痪之中。

安装BO主要目的是：黑客通过网络远程入侵并控制受攻击的Win95系统，从而
使受侵机器‚言听计从‛。

BO以多功能、代码简洁而著称，并且由于BO操作
简单，只要简单地点击鼠标即可，即使最不熟练的黑客也可以成功地引诱用户
安装Back Orifice 。

只要用户一安装了Back Orifice，黑客几乎就可以为所
欲为了，像非法访问敏感信息，修改和删除数据，甚至改变系统配臵。

如果仅
仅从功能上讲，Back Orifice完全可以和市场上最流行的商业远程控制软件，
像赛门铁克的pcanywhere,CA的ControlIT, 和免费软件VNC等相媲美。

因此，许多人干脆拿它来当作远程控制软件来进行合法的网络管理。

由于其简单易用和大肆地宣传，BO迅速被众多的初级黑客用来攻击系统。

BO的成功后来也迅速地带动和产生了许多类似的远程控制工具，像 SubSeven, NetBus, Hack-a-Tack 和 Back Orifice 2000 (BO2K)等。

这些攻击工具和方法
甚至一直保留到现在，作为黑客继续开发新的和更加强大的特洛伊木马后门，
以避开检测，绕过个人防火墙和伪装自己的设计思想基础。

Back Orifice 和其
它类似的木马后门工具使人们从根本上认识到了对用户进行一定的安全方面的
培训，使他们不要随意运行不信任软件和广泛地配臵防病毒软件的重要性。

6、其它
另外，还有在2002年8月公布的在IE浏览器中签发CA证书时存在的安全
漏洞；在2002年2月发现的多个SNMP漏洞；在2001年1月伪装成微软职员进
行代码签名的漏洞。

也是影响比较广泛的比较典型的网络攻击行为。

虽然这些
恶意的全球性的攻击给人们带来了数十亿美元的经济损失,但也在一定程度上给信息安全技术的发展在无形中起到了巨大的刺激和促进作用。

从这些具体的攻
击和排除，防范措施中，人们使网络信息安全策略得到了不断地完善和加强,
为迎接新的信息安全挑战奠定了基础。

●二、对未来可能发生的攻击机制的预测
以上的这些恶意攻击均给人们造成了巨大的经济损失，但人们也从中学到
了很多的东西。

大部分的企业或组织至少也都在信息安全方面采取了一定的基
本防御措施，用户的安全意识也得到了加强，一些独创性的安全技术为应对未
来更加强大的攻击提供了支持。

但是仅仅这些就足够了吗？这是不可能的。

至
少仅仅靠安全意识上的加强是远远不够的，而且很少有人将历史教训放在心上。

红色代码的爆发就充分地说明人们常常即使已经知道存在某种安全威胁，但却
事不关己，高高挂起，自己还没有遭到攻击就赖得补救。

而企业有限的安全预
算也制约着信息安全领域的发展。

另外，一些人还会出于某种目的花费大量的
时间去研究新的攻击方法和手段，尽管如此，我们还是可以尝试着去预测隐伏
着的可能的这些攻击。

1、利用超级蠕虫
无论是手段的高明性，还是破坏的危害性，计算机网络受到蠕虫的威胁都
在激增。

在我们的民意调查中显示人们仍旧将这一威胁看作是计算机网络将面
临的最大威胁之一，有超过36%的人认为超级蠕虫的威胁应该摆在第一位。

超
级蠕虫一般被认为是混合蠕虫，它通常能自我繁殖，并且繁殖速度会变得更快，传播的范围会变得更广。

更可怕的是它的一次攻击就能针对多个漏洞。

例如，
超级蠕虫潜入系统后，不是仅仅攻击某个漏洞，而是会尝试某个已知漏洞，然
后尝试一个又一个漏洞。

超级蠕虫的一枚弹头针对多个漏洞发动攻击，所以总
有一个会有效果。

如果它发现你未打补丁的地方，那你就在劫难逃了。

而事实
上没有哪家公司的系统完全打上了所有的补丁。

很多安全专家逐渐看到的通过
IM（即时消息）进行传播的蠕虫就可以说是一种超级蠕虫。

黑客将一个链接发
给IM用户后，如果用户点击链接，蠕虫就会传播给该用户的IM地址簿上的所
有人。

有了IM，用户将随时处于连接状态，所以也随时会受到攻击。

2、利用程序自动更新存在的缺陷
主流软件供应商,像Microsoft和Apple Computer等都允许用户通过Internet自动更新他们的软件。

通过自动下载最新发布的修复程序和补丁，这
些自动更新工具可以减少配臵安全补丁所耽误的时间。

但是程序允许自动更新
的这个特征却好比一把双刃剑，有有利的一面，也有不利的一面。

攻击者能够
通过威胁厂商Web站点的安全性，迫使用户请求被重定向到攻击者自己构建的
机器上。

然后，当用户尝试连接到厂商站点下载更新程序时，真正下载的程序
却是攻击者的恶意程序。

这样的话攻击者将能利用软件厂商的自动更新Web站
点传播自己的恶意代码和蠕虫病毒。

3、针对路由或DNS的攻击
Internet主要由两大基本架构组成：路由器构成Internet的主干，DNS服务器将域名解析为IP地址。

如果一个攻击者能成功地破坏主干路由器用来共享路由信息的边界网关协议（BGP），或者更改网络中的DNS服务器，将能使Internet陷入一片混乱。

攻击者通常会从头到脚，非常仔细地检查一些主流路
由器和DNS服务器的服务程序代码，寻找一些能够使目标程序或设备彻底崩溃
或者取得系统管理权限的缓冲溢出或其它安全缺陷。

路由代码非常复杂，目前
已经发现并已修复了许多重要的安全问题，但是仍旧可能存在许多更严重的问题，并且很可能被黑客发现和利用。

DNS软件过去经常发生缓冲溢出这样的问
题，在以后也肯定还可能发生类似的问题。

如果攻击者发现了路由或DNS的安
全漏洞，并对其进行大举攻击的话，大部分因特网将会迅速瘫痪。

为了防止遭
到这种攻击，确保你的系统不会被作为攻击他人的跳板，应采取如下措施：对
公共路由器和外部DNS服务器进行安全加固，如果公司的DNS服务器是为安全
敏感的机器提供服务，则应为DNS服务器配臵防火墙和身份验证服务器；确保DNS服务器安装了最新补丁，对DNS服务器严格监控；如果你认为是由ISP的
安全缺陷造成的威胁，确保你的事件紧急响应小组能够迅速和你的ISP取得联系，共同对付这种大规模的网络攻击。

4、同时发生计算机网络攻击和恐怖袭击
这可以说是一场双重噩梦：一场大规模的网络攻击使数百万的系统不能正
常使用，紧接着，恐怖分子袭击了一个或者更多城市，例如一次类似9/11的恐怖爆炸事件或者一次生化袭击。

在9/11恐怖袭击事件后，美国东部的几个海岸城市，电话通信被中断，惊恐万分的人们不得不通过E-MAIL去询问同事或亲人的安全。

由于这次袭击，人们发现 Internet 是一种极好的传媒(还有电视传媒)。

但是我们不妨假设一下，如果此时爆发超级蠕虫，BGP和DNS被遭到大举
攻击，那么在我们最需要它的时候它也将离我们而去,可以想象将是一种什么样的糟糕场面。

但是这又并不是不可能发生的。

我们要居安思危，为这种灾难的
可能发生作好应急准备是相当困难的，所能做的将是：作好计算机的备份工作；除给紧急响应小组配备无线电话外，还需配备全双工传呼设备；要确保你的计
算机紧急响应小组有应付恐怖袭击的能力；要假想可能出现的恐怖袭击场面以
进行适当的演习，以确保真正同时发生网络攻击和恐怖袭击时，他们能够迅速、完全地进入角色。

结论
随着计算机网络技术和应用的不断发展，网络规模正在不断地扩大，网络
的复杂性也日益增加。

同时，网络安全问题也越来越突出。

目前针对计算机网
络的攻击行为，不仅越来越多，而且手段也越来越复杂。

在这样复杂多样的网
络攻击频发的时期，本文简单介绍了进来几年中比较典型的、影响范围比较广的、造成经济损失比较大的几种网络攻击行为，并对其特征进行了简单的描述。

主要包括红色代码、尼姆达(Nimda)、美丽莎(Melissa) 、情书(Love Letter)、分布式拒绝服务攻击、远程控制特洛伊木马后门等几种攻击行为。

并从对过去
几年的网络攻击行为的特点的研究结果出发，对未来的几年中可能发生的网络
攻击行为进行了简单的预测，研究结果认为利用超级蠕虫、利用程序自动更新
存在的缺陷、针对路由或DNS的攻击以及同时发生计算机网络攻击和恐怖袭击
等几种攻击方式可能在未来的几年中发生的几率比较大。

主要参考文献
[1] 任晓明，将文保：动态协作式网络安全系统，网络与信息，2002，1，
p86
[2] 张涛，董占球：网络行为分类技术的研究，计算机应用，2004，24，
p115
[3] 王换招，王灏，李健：网络已知攻击行为的防御方法，计算机工程与
应用，2003，21，p171
[4] 美国西蒙舒施特国际出版公司：网络最高安全技术指南，北京机械工业出版社，1998.p5
[5] 杨英杰，马范援：一种基于过程的网络攻击行为分析方法，通信技术，2003，134，p82
[6] 数字时代工作室编：个人用网络安全与黑客防范技术，人民邮电出版社，2001
[7] 余建武：黑客的攻击手段及用户对策，人民邮电出版社，1998
[8] 王宏等：黑客与防护，中国青年出版社，2001。