3.2 攻擊的一般流程

網絡上的各種攻擊行為威脅著許多國家基礎設施。如圖3.6所示的廣播、工業、金融、醫療、交通、電力、通信、控制等信息系統都或多或少受到過網絡上的攻擊。

網絡攻擊在進行的時候，都是有步驟的。典型的攻擊步驟如圖3.7所示。

第1步：預攻擊探測

這一階段主要是為實施攻擊而提前進行的探測活動，為后續攻擊打下基礎。這一階段收集的信息包括網絡信息（域名、IP地址、網絡拓撲）、系統信息（操作系統版本、開放的各種網絡服務版本）、用戶信息（用戶標識、組標識、共享資源、即時通信軟件賬號、郵件賬號）等。如圖3.8所示為攻擊者想要獲取的信息。

攻擊者可以使用下面幾種方法或工具來收集這些信息：

(1)SNMP協議。用它來查閱非安全路由器的路由表，從而了解目標機構網絡拓撲的內部細節。

(2)TraceRoute程序。用它能夠得出到達目標主機所要經過的網絡數和路由器數。

(3)Whois協議。它是一種信息服務，能夠提供有關所有DNS域和負責各個域的系統管理員數據。不過這些數據常常是過時的。

(4)DNS服務器。它查看訪問主機的IP地址表和它們對應的主機名。

（5）Finger協議。它能夠提供特定主機上用戶們的詳細信息（注冊名、電話號碼、最后一次注冊的時間等）。

(6)Ping程序。可以用它來確定一個指定的主機的位置并確定其是否可達。把這個簡單的工具用在掃描程序中，就可以Ping網絡上每個可能的主機地址，從而構造出實際駐留在網絡上的主機的清單。

第2步：發現漏洞，并采取攻擊行為

這一步先要通過掃描工具對目標主機或網絡進行掃描，掃描的主要目的如下。

（1）發現存活主機、IP地址，以及存活主機開放的端口。

（2）發現主機操作系統類型和系統結構。

（3）發現主機開啟的服務類型。

（4）發現主機存在的漏洞。

常用的幾種公開的掃描工具，如ISS（Internet Security Scanner）和SATAN（Security Analysis Tool for Auditing Networks），可以對整個域或子網進行掃描并尋找安全漏洞。這些程序能夠針對不同系統的脆弱性確定其弱點。入侵者利用掃描收集到的信息來獲得對目標系統的非法訪問權。如圖3.9所示為攻擊者掃描網絡的示意圖。

掃描到目標主機的信息之后，就要發起攻擊了。典型的攻擊行為將在下一小節介紹。

第3步：獲得攻擊目標的控制權系統

這一時期的主要目標是獲得系統賬號權限，并提升為root或administrator權限。攻擊者擁有這一權限后，可以對操作系統進行任意操作。

root權限是UNIX/Linux系統權限的一種，也叫根權限。它可以與Windows系統里的system權限理解成一個概念，但高于Administrator權限。root是Linux和UNIX系統中的超級管理員用戶，該用戶擁有整個系統至高無上的權力，所有對象它都可以操作。獲得root權限之后就意味著已經獲得了系統的最高權限，這時候就可以對系統中的任何文件（包括系統文件）執行所有增、刪、改、查的操作。

第4步：安裝系統后門

后門程序一般是指那些繞過安全性控制而獲取對程序或系統訪問權的程序方法。在軟件的開發階段，程序員常常會在軟件內創建后門程序以便可以修改程序設計中的缺陷。但是，如果這些后門被其他人知道，或是在發布軟件之前沒有刪除后門程序，那么它就成為安全風險，容易被黑客當成漏洞進行攻擊。后門是一種登錄系統的方法，它不僅繞過系統已有的安全設置，而且還能挫敗系統上各種增強的安全設置。在命名中，后門一般帶有backdoor字樣。

第5步：繼續滲透網絡，直至獲取機密數據

以攻擊成功的主機為跳板，攻擊其他主機，直到找到攻擊者想要的東西。

第6步：消除蹤跡

消除所有攻擊痕跡，以防止被計算機管理員發現。這里最常用的方法就是把日志文件全部清除。例如，在Windows系統里可以進入“控制面板”的“事件查看器”，選擇“清除日志…”，把日志信息全部清除，如圖3.10所示。