2007年,网络安全界风起云涌,从技术更加精湛的网络注入到隐蔽性更强的钓鱼***,从频频被利用的系统漏洞到悄然运行的***工具,网络***者的手段也更加高明。

网络***的发展趋势

综合分析2007年网络***技术发展情况,其***趋势可以归纳如下:
发现安全漏洞越来越快,覆盖面越来越广
新发现的安全漏洞每年都要增加一倍之多,管理人员要不断用最新的补丁修补这些漏洞,而且每年都会发现安全漏洞的许多新类型。***者经常能够在厂商修补这些漏洞前发现***目标。

***工具越来越复杂
***工具开发者正在利用更先进的技术武装***工具。与以前相比,***工具的特征更难发现,更难利用特征进行检测。***工具具有以下特点:
◆ 反侦破和动态行为
***者采用隐蔽***工具特性的技术,这使安全专家分析新***工具和了解新***行为所耗费的时间增多;早期的***工具是以单一确定的顺序执行***步骤,今天的自动***工具可以根据随机选择、预先定义的决策路径或通过***者直接管理,来变化它们的模式和行为。
◆ ***工具的成熟性
与早期的***工具不同,目前***工具可以通过升级或更换工具的一部分迅速变化,发动迅速变化的***,且在每一次***中会出现多种不同形态的***工具。此外,***工具越来越普遍地被开发为可在多种操作系统平台上执行。

***自动化程度和***速度提高,杀伤力逐步提高
扫描可能的受害者、损害脆弱的系统。目前,扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。以前,安全漏洞只在广泛的扫描完成后才被加以利用。而现在***工具利用这些安全漏洞作为扫描活动的一部分,从而加快了***的传播速度。
传播***。在2000年之前,***工具需要人来发动新一轮***。目前,***工具可以自己发动新一轮***。像红色代码和尼姆达这类工具能够自我传播,在不到18个小时内就达到全球饱和点。
越来越不对称的威胁
Internet上的安全是相互依赖的。每个Internet系统遭受***的可能性取决于连接到全球Internet上其他系统的安全状态。
由于***技术的进步,一个***者可以比较容易地利用分布式系统,对一个受害者连续发动破坏性的***。随着部署自动化程度和***工具管理技巧的提高,威胁的不对称性将继续增加。

越来越高的防火墙***
防火墙是人们用来防范***者的主要保护措施。但是越来越多的***技术可以绕过防火墙,例如,Internet打印协议和WebDAV(基于Web的分布式创作与翻译)都可以被***者利用来绕过防火墙。

对基础设施将形成越来越大的威胁
基础设施***是大面积影响Internet关键组成部分的***。由于用户越来越多地依赖Internet完成日常业务,基础设施***引起人们越来越大的担心。
基础设施面临分布式拒绝服务***、蠕虫病毒、对Internet域名系统(DNS)的***和对路由器***或利用路由器的***。***工具的自动化程度使得一个***者可以安装他们的工具并控制几万个受损害的系统发动***。***者经常搜索已知包含大量具有高速连接的易受***系统的地址块,电缆调制解调器、DSL和大学地址块越来越成为计划安装***工具的***者的目标。
我们可以从***者的角度出发,将***的步骤可分为探测(Probe)、***(Exploit)和隐藏(Conceal)。同时,***技术据此可分为探测技术、***技术和隐藏技术三大类,并在每类中对各种不同的***技术进行细分。
探测技术和***测试平台的发展

探测是***在***开始前必需的情报收集工作,***者通过这个过程需要尽可能详细的了解***目标安全相关的方方面面信息,以便能够集中火力进行***。
探测又可以分为三个基本步骤:踩点、扫描和查点。
如果将服务器比作一个大楼,主机***信息收集及分析要做的工作就如在大楼中部署若干个摄像头,在大楼发生盗窃事件之后,对摄像头中的影像进行分析,进而为报案和“亡羊补牢”做准备。
第一步:踩点。是指***者结合各种工具和技巧,以正常合法的途径对***目标进行窥探,对其安全情况建立完整的剖析图。
在这个步骤中,主要收集的信息包括:各种联系信息,包括名字、邮件地址和电话号码、传真号;IP地址范围;DNS服务器;邮件服务器。
对于一般用户来说,如果能够利用互联网中提供的大量信息来源,就能逐渐缩小范围,从而锁定所需了解的目标。
几种实用的流行方式有:通过网页搜寻和链接搜索、利用互联网域名注册机构进行Whois查询、利用Traceroute获取网络拓扑结构信息等。
第二步:扫描。是***者获取活动主机、开放服务、操作系统、安全漏洞等关键信息的重要技术。
扫描技术包括Ping扫描(确定哪些主机正在活动)、端口扫描(确定有哪些开放服务)、操作系统辨识(确定目标主机的操作系统类型)和安全漏洞扫描(获得目标上存在着哪些可利用的安全漏洞)。
Ping扫射可以帮助我们判断哪些系统是存活的。而通过端口扫描可以同目标系统的某个端口来建立连接,从而确定系统目前提供什么样的服务或者哪些端口正处于侦听状态。
著名的扫描工具包括nmap、netcat等,知名的安全漏洞扫描工具包括开源的nessus及一些商业漏洞扫描产品如ISS的Scanner系列产品。
另外,在网络环境下,网络扫描技术则是指检测目标系统是否同互联网连接、所提供的网络服务类型等。
通过网络扫描获得的信息有:被扫描系统所运行的TCP/UDP服务;系统体系结构;通过互联网可以访问的IP地址范围;操作系统类型等。
第三步:查点。是***者常采用的从目标系统中抽取有效账号或导出资源名的技术。
通常这种信息是通过主动同目标系统建立连接来获得的,因此这种查询在本质上要比踩点和端口扫描更具有***效果。查点技术通常和操作系统有关,所收集的信息包括用户名和组名信息、系统类型信息、路由表信息和SNMP信息等。
综观本年度比较热门的***事件,可以看到,在寻找***目标的过程中,以下手段明显加强:
(1)通过视频文件寻找“肉鸡”。在今年,这种方法大有星火燎原之势,***者首先要配置***,然后制作视频***,如RM***、WMV***等,然后通过P2P软件、QQ发送、论坛等渠道进行传播,用户很难察觉。
(2)根据漏洞公告寻找“肉鸡”。现在,关于漏洞技术的网站专业性更强,经常会公布一些知名***发现的漏洞,从远程***、本地***到脚本***等,描述十分详细。在漏洞补丁没发布前,这些***说明可能会进一步加大网络安全威胁。
(3)利用社会心理学、社会工程学获取目标信息。比如,通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法,近年来已呈迅速上升甚至滥用的趋势