攻击者常常采用以下五种基本攻击手段威胁网络安全。
1.网络报文嗅探
网络报文嗅探(sniffer)可以截获关键的系统信息。计算机网络使用序列化的通信模式,数据包一个接着一个地传,大数据包分割成较小的数据包,在数据包中封装着网络报文。许多网络通信协议使用明文分发网络报文,由于网络报文在网络传输过程中没有加密,其内容很容易被任何能够从网络上截获数据包的人所理解和处理。特别是像TCP/IP网络通信协议的规范和广泛公开,第三方很容易解释网络报文,开发报文嗅探器软件。报文嗅探过滤软件通过将网络适配器设置成混合模式,捕获所有通过局域网发送的网络报文。在这种模式下,网络适配器能将物理网线上传输的所有报文发送给应用程序处理。这样,报文嗅探器就可以给攻击者截获和提供网络上如用户账户名和密码等敏感信息,实现用户身份窃取,特别是当用户账户名和密码在多个应用中重复注册使用时就更加危险。一旦攻击者获得正确的账户信息,就可以使用此网络。报文嗅探过滤软件还可以为攻击者提供许多有用的网络系统信息,如网络中运行的服务、网络所具有的计算机数量,以及计算机相互访问的情况等,这些信息可以从网络报文中包含的信息中获得。此外,网络报文嗅探软件还能在网络报文中插入新的信息或改变已存在的信息,实现非法截取信息后延迟时间发送的中继攻击(Man-in-the-middle),攻击的结果常常是拒绝服务、干扰数据传输或插入信息到网络会话中。
2.密码攻击
密码攻击通过多种不同方法实现,包括蛮力攻击(Brute force attack)、特洛伊木马程序、IP欺骗和网络报文嗅探。尽管网络报文嗅探和IP欺骗可以截获用户账号和密码,但密码攻击通常指的是反复地试探、验证用户账号和密码的行为,这种反复试探称之为蛮力攻击。攻击者一旦成功,就拥有了同被攻破用户相同的资源访问权限。如果被攻破的用户有足够的特权,攻击者就可以为将来的访问创建一个后门。与网络报文嗅探和IP欺骗攻击一样,蛮力密码攻击也能获得可用于修改关键网络文件和服务账户的访问权。一个危及网络完整性的典型案例是攻击者对网络的路由表进行了修改,这样攻击者就可以实现所有的网络报文在传送到最终目的地前先路由给他。于是,攻击者就能够监视网络上的所有传输,实施中继攻击(man-in-the-middle)
3.IP欺骗
IP欺骗攻击一般发生在这种情况下:外部网络的攻击者假冒受信任的计算机,要么使用企业内部网所用IP地址范围内的地址,要么使用企业内部网信任的并允许进行特殊资源访问的外部IP地址。通常,IP欺骗攻击局限于把数据或命令注入到客户朋艮务应用之间或对等网络连接传送中已存在的数据流。为了实现双向通信,攻击者必须改变指向被欺骗IP地址的所有路由表,这样就可接收到所有送往到被欺骗IP地址的报文,并可像任何真实受信用户一样回复。另一种攻击的方式是不理睬应用传来的任何回复信息。IP欺骗不但可以截获用户账户和密码窃得访问权,还能够用于其他方面。例如攻击者假扮企业内部网的一个用户,使您的机构蒙受损失,如攻击者可以发送电子邮件给企业的商业伙伴,而看起来电子邮件是来源于您的机构。
4.拒绝服务攻击
拒绝服务攻击(Denial of Service)和其他大部分网络攻击不同,这种攻击不是以获得网络的控制权和信息的访问权为目的,而是为了使网络服务不能正常运行和提供。拒绝服务攻击的目的,是通过将网络、操作系统或应用程序的有限资源耗尽,使得它们不能够正常工作。当Web服务器或FTP服务器这些专门的网络应用服务遭到拒绝服务攻击时,攻击者能够获得并把持服务器支持的所有有用连接,而将服务器真正的用户有效地关在外面。拒绝访问攻击也能通过像TCP和ICMP这样的普通网络协议实现。大部分拒绝服务攻击是利用被攻击系统整体结构设计上的弱点,而不是利用软件的缺陷或安全漏洞;还有一些拒绝服务攻击通过采用大量发送无用的网络报文掀起网络风暴,或提供错误的网络资源状态信息报文使得网络的性能急速下降。
5.应用层攻击
应用层攻击最常见的方法是利用服务器上众所周知的软件缺陷进行攻击。通过利用这些缺陷,攻击者能够获得被攻破计算机的访问权,然后进一步获得在该计算机上运行应用程序所需账户的许可权。攻击者使用特殊的程序替代原来的程序实现特洛伊木马程序攻击。这些特殊程序可以提供原来程序提供的所用功能,但同时包括只有攻击者知晓的功能,如可以监视用户登录过程以获得用户账户和密码信息,可以捕获敏感信息传送给攻击者,可以修改应用程序功能,可以复制所有的电子邮件信息供攻击者阅读等。应用层攻击中的一种最为古老的方式,是那种对用户显示要求注册的屏幕或窗口,或使得用户相信是应用程序正常提示的特洛伊木马程序。该程序可以捕获用户键入的信息存储起来,然后设法传送给攻击者。应用层攻击使用的各种新方式往往是通过利用许多公开化的新技术:如HTML规范、Web浏览器的功能和HTTP协议等实现的。这些攻击通过网络传送有害的程序,如 JAVA applet和Active X控件等,并通过用户的浏览器调用这些特洛伊木马程序。
其他的攻击往往是这五种攻击手段结合的结果,如数据窃取(Data Interception)、数据流分析(Traffic Analysis)、非授权存取(Unauthorized Access)、错误路由(Misrouting)和敏感信息散发等。
