從1988年開始，位于美國卡內(nèi)基梅隆大學(xué)的CERT CC（計算機(jī)緊急響應(yīng)小組協(xié)調(diào)中心）就開始調(diào)查入侵者的活動。CERT CC給出一些關(guān)于最新入侵者攻擊方式的趨勢。

　　趨勢一：攻擊過程的自動化與攻擊工具的快速更新

　　攻擊工具的自動化程度繼續(xù)不斷增強(qiáng)。自動化攻擊涉及到的四個階段都發(fā)生了變化。

1． 掃描潛在的受害者。從1997年起開始出現(xiàn)大量的掃描活動。目前，新的掃描工具利用更先進(jìn)的掃描技術(shù)，變得更加有威力，并且提高了速度。

　　2． 入侵具有漏洞的系統(tǒng)。以前，對具有漏洞的系統(tǒng)的攻擊是發(fā)生在大范圍的掃描之后的。現(xiàn)在，攻擊工具已經(jīng)將對漏洞的入侵設(shè)計成為掃描活動的一部分，這樣大大加快了入侵的速度。

　　3． 攻擊擴(kuò)散。2000年之前，攻擊工具需要一個人來發(fā)起其余的攻擊過程。現(xiàn)在，攻擊工具能夠自動發(fā)起新的攻擊過程。例如紅色代碼和Nimda病毒這些工具就在18個小時之內(nèi)傳遍了全球。

　　4． 攻擊工具的協(xié)同管理。自從1999年起，隨著分布式攻擊工具的產(chǎn)生，攻擊者能夠?qū)Υ罅糠植荚贗nternet之上的攻擊工具發(fā)起攻擊。現(xiàn)在，攻擊者能夠更加有效地發(fā)起一個分布式拒絕服務(wù)攻擊。協(xié)同功能利用了大量大眾化的協(xié)議如IRC（Internet Relay Chat）、IR（Instant Message）等的功能。

　　趨勢二：攻擊工具的不斷復(fù)雜化

　　攻擊工具的編寫者采用了比以前更加先進(jìn)的技術(shù)。攻擊工具的特征碼越來越難以通過分析來發(fā)現(xiàn)，并且越來越難以通過基于特征碼的檢測系統(tǒng)發(fā)現(xiàn)，例如防病毒軟件和入侵檢測系統(tǒng)。當(dāng)今攻擊工具的三個重要特點是反檢測功能，動態(tài)行為特點以及攻擊工具的模塊化。

　　1． 反檢測。攻擊者采用了能夠隱藏攻擊工具的技術(shù)。這使得安全專家想要通過各種分析方法來判斷新的攻擊的過程變得更加困難和耗時。

　　2． 動態(tài)行為。以前的攻擊工具按照預(yù)定的單一步驟發(fā)起進(jìn)攻?，F(xiàn)在的自動攻擊工具能夠按照不同的方法更改它們的特征，如隨機(jī)選擇、預(yù)定的決策路徑或者通過入侵者直接的控制。

　　3． 攻擊工具的模塊化。和以前攻擊工具僅僅實現(xiàn)一種攻擊相比，新的攻擊工具能夠通過升級或者對部分模塊的替換完成快速更改。而且，攻擊工具能夠在越來越多的平臺上運行。例如，許多攻擊工具采用了標(biāo)準(zhǔn)的協(xié)議如IRC和HTTP進(jìn)行數(shù)據(jù)和命令的傳輸，這樣，想要從正常的網(wǎng)絡(luò)流量中分析出攻擊特征就更加困難了。

　　趨勢三：漏洞發(fā)現(xiàn)得更快

　　每一年報告給CERT/CC的漏洞數(shù)量都成倍增長。CERT/CC公布的漏洞數(shù)據(jù)2000年為1090個，2001年為2437個，2002年已經(jīng)增加至4129個，就是說每天都有十幾個新的漏洞被發(fā)現(xiàn)。可以想象，對于管理員來說想要跟上補丁的步伐是很困難的。而且，入侵者往往能夠在軟件廠商修補這些漏洞之前首先發(fā)現(xiàn)這些漏洞。隨著發(fā)現(xiàn)漏洞的工具的自動化趨勢，留給用戶打補丁的時間越來越短。尤其是緩沖區(qū)溢出類型的漏洞，其危害性非常大而又無處不在，是計算機(jī)安全的最大的威脅。在CERT和其它國際性網(wǎng)絡(luò)安全機(jī)構(gòu)的調(diào)查中，這種類型的漏洞是對服務(wù)器造成后果最嚴(yán)重的。

　　趨勢四：滲透防火墻

　　我們常常依賴防火墻提供一個安全的主要邊界保護(hù)。但是情況是：

　　* 已經(jīng)存在一些繞過典型防火墻配置的技術(shù)，如IPP（the Internet Printing Protocol）和WebDAV（Web-based Distributed Authoring and Versioning）

　　* 一些標(biāo)榜是"防火墻適用"的協(xié)議實際上設(shè)計為能夠繞過典型防火墻的配置。

　　特定特征的"移動代碼"（如ActiveX控件，Java和JavaScript）使得保護(hù)存在漏洞的系統(tǒng)以及發(fā)現(xiàn)惡意的軟件更加困難。

　　另外，隨著Internet網(wǎng)絡(luò)上計算機(jī)的不斷增長，所有計算機(jī)之間存在很強(qiáng)的依存性。一旦某些計算機(jī)遭到了入侵，它就有可能成為入侵者的棲息地和跳板，作為進(jìn)一步攻擊的工具。對于網(wǎng)絡(luò)基礎(chǔ)架構(gòu)如DNS系統(tǒng)、路由器的攻擊也越來越成為嚴(yán)重的安全威脅。

　　采用主動防御措施應(yīng)對新一代網(wǎng)絡(luò)攻擊

　　"紅色代碼"蠕蟲病毒在因特網(wǎng)上傳播的最初九小時內(nèi)就感染了超過250，000個計算機(jī)系統(tǒng)。該感染導(dǎo)致的代價以每天2億美元飛速增長，最終損失高達(dá)26億美元。"紅色代碼"，"紅色代碼II"，及"尼姆達(dá)"、"求職信"快速傳播的威脅顯示出現(xiàn)有的網(wǎng)絡(luò)防御的嚴(yán)重的局限性。市場上大多數(shù)的入侵檢測系統(tǒng)是簡單的，對網(wǎng)絡(luò)中新出現(xiàn)的、未知的、通常稱做"瞬時攻擊：Zero-day Attack"的威脅沒有足夠防御手段。

　　黑客的"機(jī)會之窗"

　　目前大多數(shù)的入侵檢測系統(tǒng)是有局限性的，因為它們使用特征碼去進(jìn)行辨別是否存在攻擊行為。這些系統(tǒng)采用這種方式對特定的攻擊模式進(jìn)行監(jiān)視。它們基于貯存在其數(shù)據(jù)庫里的識別信息：類似于防病毒軟件檢查已知病毒的方式。這意味著這些系統(tǒng)只能檢測他們已經(jīng)編入識別程序的特定的攻擊。因為"瞬時攻擊"是新出現(xiàn)的，尚未被廣泛認(rèn)識，所以在新的特征碼被開發(fā)出來，并且進(jìn)行安裝和配置等這些過程之前，它們就能繞過這些安全系統(tǒng)。實際上，僅僅需要對已知的攻擊方式進(jìn)行稍微的修改，這些系統(tǒng)就不會認(rèn)識這些攻擊方式了，從而給入侵者提供了避開基于特征碼的防御系統(tǒng)的手段。

　　從新的攻擊的發(fā)動到開發(fā)新的特征碼的這段時間，是一個危險的"機(jī)會之窗"，許多的網(wǎng)絡(luò)會被攻破。這時候許多快速的入侵工具會被設(shè)計開發(fā)出來，網(wǎng)絡(luò)很容易受到攻擊。下圖舉例說明了為什么大多數(shù)的安全產(chǎn)品在該時期內(nèi)實際上是無效的。CERT組織研制的這個圖表說明了一個網(wǎng)絡(luò)攻擊的典型的生命周期。該曲線的波峰就在攻擊的首次襲擊之后，這是大多數(shù)安全產(chǎn)品最終開始提供保護(hù)的時候。然而"瞬時攻擊"是那些最老練的黑客在最早期階段重點展開的。

　　同時，現(xiàn)在那些快速進(jìn)行的攻擊利用了廣泛使用的計算機(jī)軟件中的安全漏洞來造成分布更廣的破壞。僅僅使用幾行代碼，他們就能編寫一個蠕蟲滲透到計算機(jī)網(wǎng)絡(luò)中，通過共享賬號克隆自己，然后開始攻擊你的同伴和用戶的網(wǎng)絡(luò)。使用這種方式，在廠商開發(fā)出特征碼并將其分發(fā)到用戶的這段時間內(nèi)，"尼姆達(dá)蠕蟲"僅僅在美國就傳播到了超過100,000的網(wǎng)絡(luò)站點。這些分發(fā)機(jī)制使"瞬間攻擊"像SirCam和Love Bug兩種病毒分別席卷了230萬和4000萬的計算機(jī)，而不需要多少人為干預(yù)。其中有些攻擊甚至還通過安裝一個后門來為以后的破壞建立基礎(chǔ)，該后門允許對手、黑客和其他未獲授權(quán)的用戶訪問一個組織重要的數(shù)據(jù)和網(wǎng)絡(luò)資源。

最新評論