从1988年开始,位于美国卡内基梅隆大学的CERT CC(计算机紧急响应小组协调中心)就开始调查入侵者的活动。CERT CC给出一些关于最新入侵者攻击方式的趋势。
说起网络攻击的趋势,其实是一场安全专家与入侵者之间持续的“军备竞赛”。自1988年CERT CC开始追踪这些活动以来,攻击者们的策略和工具就在不断进化,呈现出几个清晰且令人警惕的演变方向。
趋势一:攻击过程的自动化与攻击工具的快速更新
如今的攻击工具,其自动化程度已经今非昔比。整个攻击链条的四个关键阶段,几乎都在朝着“无人化”和“高速化”迈进。
1. 扫描潜在的受害者。 大规模扫描活动从1997年起就屡见不鲜,但今天的扫描工具更智能、速度更快,覆盖范围也更广,寻找漏洞的效率大幅提升。
2. 入侵具有漏洞的系统。 过去,扫描和入侵是两个分开的步骤。现在呢?攻击工具已经把入侵动作集成到了扫描过程里。这意味着什么?意味着一旦发现漏洞,攻击几乎可以瞬时发动,留给防御者的反应窗口期被急剧压缩。
3. 攻击扩散。 这可能是最显著的变化。本世纪初,攻击工具还需要人工指令来发动后续攻击。但现在,像“红色代码”和“尼姆达”这样的工具已经实现了全自动传播,它们能在短短18小时内席卷全球网络,这种扩散速度是传统手段难以想象的。
4. 攻击工具的协同管理。 自从1999年分布式攻击工具出现,攻击者就能远程操控分布在互联网各处的大量“僵尸”设备。如今,这种协同能力更是借助IRC、即时通讯等大众化协议变得愈发高效和隐秘,发起大规模分布式拒绝服务攻击变得轻而易举。
趋势二:攻击工具的不断复杂化
攻击工具的编写技术也在升级,变得越来越“聪明”。基于传统特征码的检测系统,比如某些防病毒软件和入侵检测系统,要发现它们已经越来越力不从心。究其原因,主要在于三大特点:
1. 反检测。 攻击者采用各种技术来隐藏工具本身,安全专家想要通过分析来识别新型攻击,过程更耗时、难度也更大。
2. 动态行为。 早期的工具攻击路径是固定的。现在的工具则像有了“脑子”,能通过随机选择、预设路径甚至攻击者远程操控等方式动态改变行为特征,让人捉摸不定。
3. 攻击工具的模块化。 这有点像“乐高积木”。新工具不再是单一功能的“死程序”,而采用模块化设计,可以通过快速替换或升级部分模块来改变攻击方式。更棘手的是,它们能跨越多平台运行,并大量使用IRC、HTTP等标准协议进行通信,将自己伪装在正常的网络流量之中,识别难度可想而知。
趋势三:漏洞发现得更快
漏洞,永远是安全战场上最脆弱的环节。数据显示,报告给CERT/CC的漏洞数量每年都在成倍增长:2000年是1090个,2001年跃升至2437个,到了2002年,这个数字已经猛增到4129个。算下来,平均每天都有十几个新漏洞被公布。
这对系统管理员意味着什么?意味着疲于奔命地打补丁几乎成了一场不可能赢的赛跑。更要命的是,攻击者往往能抢在软件厂商发布修补程序之前,率先发现并利用这些漏洞。随着漏洞发现工具也走向自动化,留给用户打补丁的“黄金时间”正在越来越短。其中,缓冲区溢出类漏洞因其广泛存在和巨大危害性,被公认是计算机安全最大的威胁之一,在CERT等机构的调查中,它造成的后果往往最为严重。
趋势四:渗透防火墙
很多人将防火墙视为网络安全的“铜墙铁壁”。但现实情况是,这堵墙可能并不像我们想象的那么密不透风。
一方面,已经出现了一些能够绕过典型防火墙配置的技术,例如IPP(互联网打印协议)和WebDA V(基于Web的分布式创作与版本控制)。另一方面,某些号称“防火墙适用”的协议,其设计本身就可能为绕过防火墙开了后门。
同时,像ActiveX控件、Ja va和Ja vaScript这类具有特定功能的“移动代码”,使得保护存在漏洞的系统、识别恶意软件变得更加复杂。此外,随着互联网上设备互联互通的依赖性不断增强,任何一台被攻破的计算机都可能成为攻击者的“跳板”和“堡垒”,用于发动更进一步的攻击。如今,对DNS系统、路由器等网络基础架构本身的攻击,也正构成越来越严重的安全威胁。
采用主动防御措施应对新一代网络攻击
“红色代码”蠕虫的破坏力至今令人印象深刻:它在互联网上爆发的最初九小时内,就感染了超过25万台计算机,造成的损失以每天2亿美元的速度飙升,最终累计损失高达26亿美元。“红色代码II”、“尼姆达”、“求职信”等病毒的快速传播,无情地暴露了传统网络防御体系的局限性。
市场上大多数入侵检测系统的工作原理相对简单,依赖于特征码进行比对识别——这就像杀毒软件查找已知病毒一样。这种方式对于新型的、未知的,尤其是所谓的“零日攻击”,防御能力极其有限。
黑客的“机会之窗”
这恰恰为黑客打开了一个危险的“机会之窗”。从一种新攻击手法出现,到安全厂商分析出其特征、更新特征库并部署到用户端,中间存在一个时间差。在这段时间里,基于特征码的防御系统实际上是形同虚设的。
攻击者只需对已知攻击方式稍作修改,就能轻松绕过这些防御。而许多快速传播的自动化攻击工具,正是专门为利用这个窗口期而设计的。在此期间,网络变得异常脆弱。下图清晰地展示了这种安全防御的滞后性:攻击生命周期的波峰(破坏最严重时)往往出现在攻击爆发初期,而这正是大多数安全产品刚刚开始提供保护的时候。然而,最狡猾的“零日攻击”恰恰瞄准了这个最早的阶段发动。
更要警惕的是,现代快速攻击往往利用广泛使用的软件漏洞,造成大范围破坏。只需几行代码,一个蠕虫就能渗透网络,自我复制,然后攻击相邻的系统。以“尼姆达”蠕虫为例,在安全厂商开发并分发特征码的滞后期内,仅在美国就感染了超过10万个站点。正是这种高效的自动化分发机制,让“瞬时攻击”能够以极少的干预造成巨大损失——SirCam和Love Bug病毒分别席卷了230万台和4000万台计算机便是明证。部分攻击甚至还会在系统中植入“后门”,为攻击者日后长驱直入、窃取重要数据和资源铺平道路。
