第七章网络信息对抗及其相关技术第一节国内外信息对抗理论与技术研究现状及发展趋势信息对抗理论与技术主要包括:黑客防范体系,信息伪装理论与技术,信息分析与监控,入侵检测原理与技术,反击方法,应急响应系统,计算机病毒,人工免疫系统在反病毒和抗入侵系统中的应用等。由于在广泛应用的国际互联网上,黑客入侵事件不断发生,不良信息大量传播,网络安全监控管理理论和机制的研究受到重视。黑客入侵手段的研究分析,系统脆弱性检测技术,入侵报警技术,信息内容分级标识机制,智能化信息内容分析等研究成果已经成为众多安全工具软件的组成部分。大量的安全事件和研究成果揭示出系统中存在许多设计缺陷,存在情报机构有意埋伏的安全陷阱的可能。例如在CPU芯片中,在发达国家现有技术条件下,可以植入无线发射接收功能;在操作系统、数据库管理系统或应用程序中能够预先安置从事情报收集、受控激发破坏程序。通过这些功能,可以接收特殊病毒、接收来自网络或空间的指令来触发CPU的自杀功能、搜集和发送敏感信息;通过特殊指令在加密操作中将部分明文隐藏在网络协议层中传输等。而且,通过唯一识别CPU个体的序列号,可以主动、准确地识别、跟踪或攻击一个使用该芯片的计算机系统,根据预先设定收集敏感信息或进行定向破坏。1988年著名的“Internet蠕虫事件”和计算机系统Y2k问题足以让人们高度重视信息系统的安全。最近攻击者利用分布式拒绝服务方法攻击大型网站,导致网络服务瘫痪,更是令人震惊。由于信息系统安全的独特性,人们已将其用于军事对抗领域。计算机病毒和网络黑客攻击技术必将成为新一代的军事武器。信息对抗技术的发展将会改变以往的竞争形式,包括战争。ShaneD.Deichmen在他的论文“信息战”中写道:“信息战环境中的关键部分是参与者不需要拥有超级能力。任何势力(甚至不必考虑国家状态)拥有适当技术就可以破坏脆弱的C2级网络并拒绝关键信息服务。相对Mahanian的‘信息控制’战略而言(该战略试图控制信息领域的每个部分),美国军方更现实的战略方法是采用‘信息拒绝’中的一种(特别是对真实信息访问的拒绝)。”RAND的专家认为“信息战没有前线,潜在的战场是一切联网系统可以访问的地方,比如,油气管线、电力网、电话交换网。总体来说,美国本土不再是能提供逃避外部攻击的避难所。”该领域正在发展阶段,理论和技术都很不成熟,也比较零散。但它的确是一个研究热点。目前看到的成果主要是一些产品(比如IDS、防范软件、杀病毒软件等),攻击程序和黑客攻击成功的事件。当前在该领域最引人瞩目的问题是网络攻击,美国在网络攻击方面处于国际领先地位,有多个官方和民间组织在做攻击方法的研究。其中联邦调查局的下属组织NIPC维护了一个黑客攻击方法的数据库,列入国家机密,不对外提供服务。该组织每两周公布一次最新的黑客活动报道及其攻击手段与源码。美国最著名的研究黑客攻击方法的组织有:CIAC(计算机事故咨询功能组),CERT(计算机紧急响应小组)和COAST(计算机操作、审计和安全技术组)。他们跟踪研究最新的网络攻击手段,对外及时发布信息,并提供安全咨询。此外,国际上每年举行一次FIRST(安全性事故与响应小组论坛)会议,探讨黑客攻击方法的最新进展。该领域的另一个比较热门的问题是入侵检测与防范。这方面的研究相对比较成熟,也形成了系列产品,典型代表是IDS产品。国内在这方面也做了很好的工作,并形成了相应的产品。信息对抗使得信息安全技术有了更大的用场,极大地刺激了信息安全的研究与发展。信息对抗的能力不仅体现了一个国家的综合实力,而且体现了一个国家信息安全实际应用的水平。为此,通过调研国际上在该领域的发展现状和趋势,结合我们自己的理解和观点,对信息对抗的定义、研究内容、研究目标等方面进行了描述和总结。第二节常用攻击方法及原理一、获取口令每个安全的操作系统都有自己的识别和验证(I&A)实体程序来保护系统安全,识别用于区分不同登录用户的身份,验证则是核对用户所声称的身份。在当前流行的操作系统上,识别和验证是通过核查对方提供的用户名和口令完成的。入侵者如能获得口令,便可以获得一个合法用户的权利,进入系统。作为安全策略的第一步,口令的安全非常重要。通常有三种方法获取口令:一是通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大。监听者在广播式局域网上能够获得所有同网段用户的账号和口令,对局域网安全威胁很大;二是在获得用户的账号后(可以通过电子邮件地址@前面的部分推测)利用一些专门软件强行破解用户口令。这种方法不受网段限制,但需要较长时间和一点儿运气;三是在获得一个服务器上的用户口令文件(如Shadow文件)后,用暴力破解程序破解用户口令。该方法的使用前提是已经成功获得了口令Shadow文件,此方法危害最大。它不需要像第二种方法那样一遍又一遍地尝试登录服务器,而是在本地将加密后的口令与Shadow文件中的口令相比较,就能非常容易地破获用户密码,尤其对那些安全意识不强的用户的弱口令。操作系统通常将口令文件加密存放在某个目录下。由于口令文件一般采用单向加密,入侵者即使得到口令文件,也无法从中解密出明文口令。因此入侵者通常不是去尝试解密口令,而是采用搜索口令空间的办法“猜”口令,即利用计算机的强计算能力,对口令的所有可能的字母组合进行连续试探,以找到正确的口令。口令空间往往极大。口令一般可由数字(10个)、标点(33个)和字母(26*2个)组成,如果口令由7个字母和1位数字或符号(按顺序)组成,其可能性就多达44万亿种。但由于很多用户的口令具有较强的规律性,攻击者可采用字典式攻击来减小搜索范围。很多用户常采用一个英语单词或自己的姓氏作为口令,以便自己记忆。攻击者只需运行一些程序,自动地从电脑字典中取出一个单词,作为用户的口令输入给远端的主机,申请进入系统,若口令错误,就依次取出下一个单词,进行下一个尝试,并一直循环下去,直到找到正确的口令,或字典的单词试完为止。词汇表越大,猜中口令的机会越高。为提高成功率,通常还加入了一些变换规则,如:大小写进行替换、将一个单词正向拼,再反向拼,组成一个新词、单词词首(尾)加一两位数字等等。这些简单的方法,在实际中有着很高的成功破解率。网络蠕虫(worm)就是使用这种方法成功地破解了许多网上用户的口令。由于系统中存在的漏洞,得到一份对方的加密口令文件有时是很容易的。在UNIX系统中,口令以加密形式存放在/etc/passwd或/etc/shadow文件中,正常情况下只有特权用户和操作系统的一些应用程序才有权访问它。但很多系统中的漏洞,使得非特权用户也可得到这些信息。比如在Solaris操作系统中的一个错误,可使任何用户获得该机的哈希口令文件:当一个网络应用程序被强制非正常结束时,程序会将内存的内容保存到当前目录下的core文件中,即使没有特权的用户也可以强制程序这样做。在这个core文件中包含有shadow文件中的哈希化口令值。Windows系统的情况和此类似。NT的口令文件保存在\\Winnt\system32\config目录中,名为SAM。当NT服务器正在运行时,它会锁定SAM。不过,如果管理员已经创建了一个紧急修复盘,SAM就会备份在\\Winnt\repair目录下,这个文件将命名为sam._。根据默认值这个备份是人人都可读取的。口令攻击程序有很多,用于攻击UNIX平台的有Crack、CrackerJack、PaceCrack95、Qcrack、JohntheRipper、Hades等等;用于攻击Windows平台的有10phtCrack2.0、ScanNT、NTCrack、PasswdNT等等。通常防御在线口令攻击的办法是通过配置操作系统来限制允许每个用户登录失败的次数,当到达次数限制时,该帐户将被锁定,直到系统管理员解开封锁。但这种方法却正中实施拒绝服务(denialofservice)攻击者下怀。这类入侵者会反复猜测系统中的用户账户,使它们都超过失败登录范围,最终锁住所有账户。口令攻击之所以能成功,主要是因为用户使用了规律性较强的口令,为防御口令攻击,用户应设计包括大写、小写、数字和特殊字符的8字节以上的长口令,增大入侵者猜测的难度,并且要定期更换口令。另一方面,要保证口令文件的存储安全。二、放置特洛伊木马程序特洛伊木马源自于希腊神话,在网络安全领域专指一种黑客程序,它可以直接侵入用户的电脑并进行破坏。它一般包括两个部分,控制端软件和被控端软件。被控端软件常被伪装成工具程序或者游戏等,诱使用户打开带有该软件的邮件附件或从网上直接下载。一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会在目标计算机系统中隐藏一个可以在系统启动时悄悄执行的程序。当用户连接到因特网上时,这个程序可以通知攻击者,报告用户的IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用事先潜伏在其中的程序,任意地修改用户的计算机的参数设定、复制文件、窥视用户整个硬盘中的内容等,从而达到控制用户的计算机的目的。不要轻易打开陌生的邮件、对下载软件认真核对文件的MD5值是应对此类攻击的稳妥办法。三、站点,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会怀疑:当前正在访问的网页已经被别人恶意篡改过,该网站是否是一个真实的合法网站!通常,攻击者会将用户要浏览的网页的URL改写为指向自己的服务器,或者申请一个与合法商务站点极为相似的域名。当用户浏览目标网页、输入个人账号和密码、执行购物操作时,实际上是在与伪站点进行交易。攻击者利用这类Web欺骗轻松获取了用户的保密信息。仔细分辨似是而非的页面信息、认真查看网站的电子证书是防范这类攻击时必须要注意的。四、电子邮件攻击电子邮件攻击主要表现为两种方式:一是电子邮件轰炸,或称邮件炸弹,是指用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计的垃圾邮件,致使受害人邮箱空间快速饱和,甚至还可能会给电子邮件服务器的正常运行带来影响,甚至使其宕机;二是电子邮件欺骗,攻击者诈称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其它木马程序(如伪装成系统补丁等)。邮箱安全一方面要求用户不轻易信任陌生邮件内容,另一方面需要邮件服务提供者加强邮件服务的管理,避免垃圾邮件。五、通过一个节点来攻击其他节点攻击者在突破一台主机后,往往会以此主机作为根据地,攻击其它主机。以此隐蔽其入侵路径,避免留下蛛丝马迹。他们可以利用网络监听方法,尝试攻破同一网络内的其它主机;也可以通过IP欺骗和主机信任关系,攻击其它主机。这类攻击很狡猾,但由于某些技术很难掌握和成功实施,因此较少被攻击者使用。六、网络监听网络监听就是捕获网络上的报文,对其内容、特点进行分析,非法获取重要信息的一种手段。能够实施监听的程序或设备被称为嗅探器(sniffer),它既是管理员监视网络的状态、数据流动情况及网上传输信息的管理工具,也是入侵者发动攻击的有力武器。网络监听是网卡的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。此时,如果两台主机进行通信的信息没有加密,只要使用某些网络监听工具,例如NetXrayforwindows95/98/nt,sniffitforlinux、solaries等就可以轻而易举地截取包括口令和账号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。监听可以在多种媒质、多种协议上进行。监听的位置不同,效果也不一样。最普遍的做法是在以太网中进行监听。在正常情况下,网络接口对收到的数据帧进行检查,如果数据帧中的目的物理地址是自己的物理地址,或是广播地址,则将数据帧送交上层协议软件处理,否则将该帧丢弃。但如果入侵者将一个计算机的网络接口设为杂收模式,则所有的数据帧都将被送交上层协议软件,此时该计算机就是一个嗅探器。