探究网络攻击分析与安全防范

摘要：本文分析了几种常见的网络攻击方式，尤其例举了Struts2攻击事件、拖库以及APT等攻击事件加以佐证与说明，并对此作了一些防范策略的探究。

关键词：网络攻击；防范策略；拖库；APT

中图分类号：TN915.08 文献标识码：A DOI：10.3969/j.issn.1003-6970.2012.07.043

引言

网络安全属于一个系统工程，不仅要考虑其系统的安全需求，还应该将各种安全技术结合起来，方能形成一个通用、安全且高效的网络系统。然而，就目前来看，一个开网的网络信息系统必然会存在很多安全隐患（潜在或非潜在），简而言之破坏与反破坏、黑客与反黑客之间的斗争依然激烈地继续着。因此，网络攻击与防范策略之间便形成了一个独特的领域，并越来越被人类所重视，尤其是网络建设者在不断地努力抗争着网络攻击。

1.常见网络攻击分析

1.1人为恶意攻击

1.1.1口令入侵与木马程序

口令入侵与木马程序都能直接侵入用户的计算机网络进行破坏，它经常伪装成游戏或工具程序等对用户展开诱惑，而这些游戏或工具程序往往带着木马程序，当用户打开了这些邮件或附件，进行下载的时候便已经执行了木马程序。木马程序被执行后便会通知攻击者，并将被攻击者的IP地址及预先设计的端口等传递给攻击者，攻击者获取信息后便能通过潜伏的木马程序修改用户的计算机相关参数，并能复制、窥视及下载硬盘中的内容等，也就是说他能完全控制用户的计算机。

1.1.2APT攻击

APT攻击，即高级可持续攻击，它是当今网络攻击中最难应付的一种。世界上最早对其的报道是在2010年的伊核设施遭遇了Stuxnet-超级病毒攻击，攻击目标直指西门子公司的工业控制系统，对设备进行破坏，后果严重，造成了伊朗核电站推迟发电。APT在当前也普遍存在于网络攻击中，它并非炒作，而是真正具有实力的攻击类型，其主要对情报、军事以及经济等有针对性的攻击，并且它能在目标系统中潜伏很长一段时间而不被发现。攻击者为了能诱发APT攻击，往往会大量搜集关于攻击目标的资料，并进行详细的分析。此外，攻击者对于各类安全与网络技术都非常熟悉，可谓网络“高才生”。APT攻击可以潜伏着不被人察觉，然后忽然发起攻击，因为它能完全将自己融入被攻击的系统里，因此很难被检测出来。

1.2安全漏洞攻击

不言而喻，当前计算机技术确实得到了飞跃式的发展，但是我们必须看清的现实是：大部分的网络系统都存在各式各样的安全漏洞，有些是应用软件本身自带的，而有些则是操作系统引起的。由于大部分系统在未检查缓冲与程序之间的变化情况就随意接受了任意长度的数据，然后把溢出的数据放在了堆栈里，而系统却依然要照常执行相关的命令。这样的话攻击者肆意发送超出了缓冲区能处理的长度指令，便能造成系统的不稳定甚至瘫痪。此外，有一些还能利用协议漏洞进行网络攻击，从而获取一些超级用户的特权等。比如Struts2框架攻击事件，其最早出现在2010年7月14日，当时发现了一种严重命令的执行漏洞，而黑客则利用了Struts2“命令执行漏洞”，从而获取网站服务器的相关特权，诸如ROOT权限、执行命令等，从而篡改网页或窃取重要数据。

1.3用户缺乏安全意识

从目前来看，大部分的应用服务系统在安全通信及访问控制等方面的考虑都比较少，并且系统若出现了设置错误，极易造成不必要的损失。假如在一个设计足够安全的网络中，面临的最大安全隐患往往是人为因素所造成的安全漏洞。网络管理员及使用者都或多或少拥有相应的权限，他们可能利用这些权限进行网络安全的破坏。比如“拖库”攻击，这个词语本来属于数据库领域的专有术语，一般指的是数据库中进行数据的导出。黑客如果通过非正常的手段侵入网站，便能窃取网站内的数据库，并能全盘下载资源信息。若泄漏了个人的邮箱、游戏、微博、网购账号和密码等，则可能对个人财产造成一定的损失与影响；若窃取的是公司或企业或国家的机密资料，那就非同小可了。APT在对网站服务器进行攻击的时候主要包括：弱口令攻击、远程桌面攻击、漏洞攻击以及管理疏忽攻击等。

2.网络安全防范策略探析

网络安全越来越被人们所重视，从目前来看，主要的网络安全防范策略有以下几个方面：

2.1合理安装杀毒软件，配置防火墙，及时修补漏洞

总的来说，首要的便是为电脑配置一套正版的杀毒软件，每周要做好电脑的全面扫描、杀毒工作，便于及时发现并清除潜藏的病毒。但是，实际生活中，大部分用户为了省钱和图个方便，都不愿意花钱购买正版杀毒软件，这正中了网络攻击的下怀。比如在修补Struts2攻击事件引起的漏洞时，应该查看相关的服务器或网站是否被入侵，是否存在后门文件等，确保最大限度控制风险与损失。从目前来看，Struts2“命令执行漏洞”影响了很多网站，危害巨大，因此诸如360等大型网站已经安装了检测平台并及时更新了漏洞库，同时还及时向存在漏洞的网站发送了警示邮件等，还建议使用Struts2框架的用户及时做好升级工作，定期做好相关的安检，确保随时掌控网络安全。

2.2个人防范意识应提高

对于个人计算机的安全防护工作而言，最重要的还是要用户自己高度重视，加强安全培训，漏洞往往是在人身上挖掘的，意识胜过杀毒软件。养成良好的安全操作习惯，切勿随意打开不明电子邮件或文件，不要随意运行陌生人给予的程序，自己的私人密码尽量设置复杂一些（包括数字、字母及符号等），还要设置不同的常用密码，避免一个被查出而牵连其余重要密码（最好经常更换重要密码）。此外，还应该及时下载漏洞补丁进行电脑的补丁修复。这里着重介绍一下关于“拖库”攻击的解决办法（主要对个人用户而言）：用户要对自己的网站密码采取分级管理，若各种系统使用密码皆为同一个，那么其坏处是不言而喻的，因此，我们应该养成对不同的应用设置不同密码的习惯；要保证密码的安全性非常强，大部分网站都提供了强度检查功能，我们应该很好的利用它。

2.3控制好入网访问的安全

入网访问的安全设置将为网络访问提供首层安全控制，也就是说它可以控制并选择哪些或什么用户可以登陆系统并获取网络资源，同时也能控制某些用户入网时间及在哪台工作站入网。用户的入网访问的安全控制一般有三个设置部分：1）用户名的识别及验证；2）用户口令的识别及验证；3）用户帐号缺省的限制检查。这三个部分环环相扣，不管是哪一个部分未被通过，那么此用户便无法进入网络。因此，能够很好的控制非法侵入对网络造成的危害。

2.4隐藏IP地址

IP地址属于网络上分配给计算机或网络设备的32位数字标识，在Internet上，每台计算机所拥有的IP地址都应该是唯一的。然而，一些黑客往往利用其超高的技术窥探用户的逐级信息，其目的在于获取主机中的IP地址。用户将IP地址进行隐藏，那么黑客便不容易探测出主机中的IP地址。主要的方法是利用服务器，用户一旦使用了服务器，那么黑客探测到的便是服务器的IP地址而不是用户本身的IP地址，这便实现了隐藏IP地址的目的，从而保障了用户的上网安全。

2.5虚拟局域网技术的应用

虚拟局域网技术的应用，能够较好地从链路层进行网络安全的保障。虚拟网络技术指的是通过交换设备在网络的物理拓扑结构基础进行逻辑网络的构建，它可以依据用户的逻辑设定将与之互联的一个局域网划分成不同的虚拟子网，而划分的依据则是设备的连接端口或用户节点的MAC地址等。此项技术对于安全性要求较高的虚拟局域网的端口实施MAC帧过滤，即使黑客攻破了其中一个虚拟子网，也不会影响整个网络的信息。此外，在虚拟局域网技术的应用中不得不谈一下关于APT攻击的防范，这就需要对整个网络进行不断的监控，并进行相关的网络情报分析，但这会涉及到大量的机构化或非机构化数据，所以当前对于网络情报的分析主要只有大型的机构才有条件实现。比如针对“匿名者”的恶意攻击而言，我们可以针对其攻击行为进行相应的调研分析，探索出奇特征，提前做好防御工作。因此，这就需要借助于一些高科技的计算方式，如云计算，来进行大量情报数据的分析，争取早日发现APT的攻击行迹，从而及早防御与出击。

2.6使用先进的入侵检测系统

入侵检测主要是利用网络封包或者信息的收集，进行一些可能入侵的行为的提前检测，并能在入侵行为真正入侵并造成危害之前就及时做出警报，通知相关技术专员或管理员进行相应的处理。入侵检测系统一般根据信息的来源收集方式不同而进行划分，总的来说可以分成基于主机的检测系统与基于网络的检测系统，当然细分的话即包括：主机型入侵检测系统、网络型入侵检测系统以及混和入侵检测系统。但不管运用何种检测系统，都应该按照相关的规范要求进行操作，确保检测系统的使用正确，同时也要保证检测的准确性。