下载掌阅APP,畅读海量书库
立即打开
1.1节曾经提到,自从NSFNet问世以来,网络安全威胁一直如影随形。同时,随着网络技术的发展和人们对各类网络应用依赖的加深,网络安全威胁也在同步发生变化。
在过去一段时间里,威胁事件发生变化的趋势包括(但不限于)下述几种。
为了对网络安全威胁进行分析,微软公司在2017年曾经把安全威胁分为6大类,合称为“STRIDE威胁模型”(STRIDE Threat Model)。
STRIDE中定义的6种安全威胁分别为身份欺骗、篡改数据、抵赖、信息泄露、拒绝服务和提权。本节会结合微软公司提供的思路,对几种常见的威胁类型进行介绍和延伸。
按照微软公司的说法, 身份欺骗的最好例子就是非法访问并使用合法用户的认证信息,比如用户名和密码 。通过冒用用户名和密码,被登录的设备就会为攻击者赋予合法用户的一切权限。
获取合法用户认证信息的方法有很多,其中社会工程学是很常见的手段。
社会工程学是指通过周围的人来获取信息或者得到想要的结果。这也就是说,社会工程学采用的不是攻击计算机、网络系统软硬件的技术手段,它的目标是那些有权限使用目标系统的人,攻击的手段也是利用社会场合在人身上寻找漏洞。
延伸阅读: 在很多对黑客的印象停留在影视作品层面的人看来,黑客都是一些精通计算机和网络技术,同时身材臃肿,整日与垃圾食品为伴,基本丧失社会交际能力的“技术宅”。但实际情况是,高明的黑客往往不仅是技术天才,而且也是社交领域的顶尖高手。他们不仅可以摇身一变衣冠楚楚,而且拥有惊人的心理素质,更懂得察言观色并且善于利用人们的弱点和性格缺陷。有“世界头号黑客”之称且大名见诸于《侠盗猎车手》《杀出重围》等游戏的凯文·米特尼克就是社会工程学的高手。被他入侵过计算机系统的机构包括诺基亚、摩托罗拉、SUN、Novell、FBI、五角大楼、克里姆林宫等。对米特尼克传奇经历感兴趣的读者,可以购买他本人“金盆洗手”之后写作的几本图书,包括《反入侵的艺术》《反欺骗的艺术》和《线上幽灵》。对于准备进入网络安全行业的人来说,不熟悉黑客的社会工程学手段,让黑客在自己身上(而不是自己设计的系统中)发现了漏洞,打通了关节,这无疑是非常失败的。
社会工程学的手段如下所述。
图1-3中已经展示了篡改数据有可能带来的破坏。在CIA三元组中,保障数据完整性也是为了防止数据遭到攻击者的篡改。
1.1节曾经提到,网络安全的原则包含“抗抵赖性”。抵赖作为一种安全威胁,是指攻击者不承认自己曾经在网络中进行过任何非法的操作,从而从一次攻击行为中全身而退。因此,为了针对非法行为发起司法起诉、防御系统遭到进一步的入侵等,一个网络系统中应该拥有相应的机制来保证可以跟踪这样的行为,证明用户执行了某项操作。签收快递就是这样的行为,它通过底单的签名,快递公司可以证明接收方已经收到了快递的物品,让接收到物品的人无法抵赖。
信息泄露是指信息被原本无权浏览信息的人员所浏览。如果泄露的信息与用户的登录信息有关,那么信息泄露也可能造成前面介绍过的身份欺骗。所以,信息泄露这种威胁既有可能通过技术手段(比如发起中间人攻击等)来发起,也有可能通过非技术手段(比如社会工程学)来发起。
顾名思义,拒绝服务(DoS)攻击的目的就是让被攻击的对象无法正常提供访问,从而达到破坏网络和系统可用性的目的。这种攻击方式可以:
为了大量消耗目标系统的资源,攻击者常常需要入侵大量系统(称为僵尸设备)并且同时发起DoS攻击。这种入侵大量系统并且同时发起攻击的攻击方式称为分布式拒绝服务(DDoS)攻击,攻击的方式如图1-4所示。
延伸阅读: 乍看之下,很多人会认为DoS攻击的目标只是一台服务器或者最多一个网络,只会暂时给一个小范围的群体造成损失,实际情况真的如此吗?2016年10月21日,美国域名服务器(DNS)管理运营商Dyn遭到了DDoS攻击,一时间,美国东海岸的大量网站无法正常访问,其中包括大名鼎鼎的Twitter、Netflix、亚马逊、爱彼迎、PayPal等。显然,这是因为受攻击的对象是执行域名地址转换的运营商。DNS是一种历史颇为悠久的运营商服务,但随着云计算时代的到来,终端轻量化和服务云化成为未来的一种趋势,当大量服务被搬到云端并通过互联网提供时,只要针对提供某些服务的云数据中心运营商发起拒绝服务攻击,就有可能会给全球范围内的海量客户带来损失。
1.1节曾经提到了一种指导方针,称为最低权限原则,即在一切情况下,网络中只应该给用户分配必要程度上的最低权限。在一些网络中,具有最低权限的用户可能会突破系统的防御,获得更高的权限,让自己有能力对整个系统构成破坏。这就是提权。
微软的STRIDE模型致力于概括所有的安全威胁。不过,为了帮助读者在开始学习的阶段,了解更多与网络攻击有关的术语,下面介绍一些常见的网络攻击。
网络攻击的方式林林总总,但其中很多攻击方式可以划分为同一个大类,比如欺骗攻击、中间人攻击、拒绝服务攻击、溢出攻击、侦查/扫描攻击等。既然是攻击的分类,因此这些术语只是概述了发起攻击所采用的逻辑,而没有提到采用的技术、工具和手段,因为每一类攻击(比如欺骗攻击、中间人攻击等)都有很多不同的实现手段。
鉴于拒绝服务(DoS)攻击在本节和1.1节中都已经进行了介绍,这里不再赘述。下面简单介绍另外几种类型的攻击。
欺骗攻击强调伪装。如果STRIDE模型中的身份欺骗强调伪装用户身份,从而达到欺骗认证系统的目的,那么网络中还有更多的欺骗类型会对流量中携带的信息进行伪装,让这些流量看起来像是由另一个(不是发起攻击的)系统发起的。
即使不考虑前面介绍的身份欺骗,欺骗攻击还包括其他很多类型,比如:
由上面的信息可以看到,欺骗攻击可以细分为很多不同的攻击方式。事实上,就连DHCP欺骗也可以继续划分为伪装成DHCP服务器的欺骗攻击和伪装成DHCP客户端的欺骗攻击。比如,攻击者可以把自己伪装成DHCP服务器,向请求IP地址的DHCP客户端发布误导信息,让客户端把流量发送给攻击者,再由攻击者转发给网关,从而形成中间人攻击。再比如,攻击者也可以把自己伪装成大量的DHCP客户端,反复向DHCP服务器请求IP地址,耗竭DHCP服务器上的可用IP地址,让新的DHCP客户端无法获取到可用IP地址,从而形成拒绝服务攻击。因此,欺骗攻击往往并不是最终目的,只是构成其他攻击的一种手段,常常需要与其他类型的攻击结合起来产生攻击效果。
中间人攻击是一个笼统的概念,是指攻击发起者把自己的设备插入到设备通信的路径之中,从而非法获取接收方和发送方之间的通信信息,如图1-6所示。
图1-6 中间人攻击
在图1-6中,攻击者向局域网中的主机发布了错误的IP-MAC映射信息,让主机A和主机B把发送给对方的信息都发送给自己。
中间人攻击往往包含针对某些网络协议的攻击,比如ARP、DNS、IP路由协议,还有前面提到的DHCP等,它的目的都是为了将流量误导到攻击者的设备,从而把攻击者自己插入到发送方和接收方的通信路径当中。
显然,任何系统的缓冲区容量都是有限的,如果不断向缓冲区注入信息,就会导致缓冲区被占满,接下来就会出现信息覆盖、系统崩溃、系统非正常运行等现象。因此,攻击者可以采取不断向设备发送垃圾信息的方法去占用目标设备的缓冲区,以达到攻击目的。
比如,交换机在接收到一个数据帧时,会查找CAM表(也就是MAC地址表)中的条目,如果其MAC地址在表中有记录,交换机就会把这个数据帧从对应的端口中转发出去;如果其MAC地址没有记录在表中,交换机就会把这个数据帧通过除了接收到该数据帧的那个端口之外的所有在同一个VLAN中的端口广播出去。
通过利用交换机的工作特点,攻击者可以发起欺骗攻击,向交换机发送大量伪装成不同源MAC地址的数据帧,让这些伪造的MAC地址条目占满交换机的CAM表,造成溢出攻击。这样一来,这个VLAN中的其他主机发送的数据帧都会从(相同VLAN的)所有端口广播出去,攻击者也就可以接收到其他主机发送的单播数据帧了。这种攻击也称为CAM表泛洪攻击。关于这种攻击方式,将在2.2节进一步介绍。
侦查攻击是扫描攻击的近义词。顾名思义,这类攻击方式就是对目标设备、目标网络进行侦查,了解对方的相关信息,为进一步发起攻击做好准备。各类侦查攻击和扫描攻击,都需要借助一系列工具来实现。
侦查攻击包括:
对于漏洞扫描工具,合法用户也可以用它来查看自己网络中可能存在的漏洞,并及时修复,以免被攻击者利用。
1.2节介绍了大量与安全威胁有关的内容,包括网络安全威胁在过去这些年的发展变化、微软定义的STRIDE模型,以及一些攻击手段的大类。当然,本节介绍的安全威胁只是网络安全威胁的冰山一角。通过本节的学习,读者也应该了解到,成功的安全攻击往往是一出“连环计”:攻击者需要联合利用大量技术和非技术手段来实现,其中一些攻击手段只是后续手段的铺垫。这意味着安全攻击的分类并不重要,重要的是在面对这些俄罗斯套娃式的攻击时,安全防御措施必须拥有足够的纵深,因此,这些措施必须符合1.1节中介绍的网络安全设计指导方针。
1.1节和1.2节概括了信息与网络安全的普遍概念、原理和原则、安全威胁的模型和分类。在1.3节,将会介绍一些具体的安全威胁缓解手段。