從1988年開始，位于美國(guó)卡內(nèi)基梅隆大學(xué)的CERT CC(計(jì)算機(jī)緊急響應(yīng)小組協(xié)調(diào)中心)就開始調(diào)查入侵者的活動(dòng)。CERT CC給出一些關(guān)于最新入侵者攻擊方式的趨勢(shì)。

趨勢(shì)一：攻擊過(guò)程的自動(dòng)化與攻擊工具的快速更新

攻擊工具的自動(dòng)化程度繼續(xù)不斷增強(qiáng)。自動(dòng)化攻擊涉及到的四個(gè)階段都發(fā)生了變化。

1.掃描潛在的受害者。從1997年起開始出現(xiàn)大量的掃描活動(dòng)。目前，新的掃描工具利用更先進(jìn)的掃描技術(shù)，變得更加有威力，并且提高了速度。

2.入侵具有漏洞的系統(tǒng)。以前，對(duì)具有漏洞的系統(tǒng)的攻擊是發(fā)生在大范圍的掃描之后的。現(xiàn)在，攻擊工具已經(jīng)將對(duì)漏洞的入侵設(shè)計(jì)成為掃描活動(dòng)的一部分，這樣大大加快了入侵的速度。

3.攻擊擴(kuò)散。2000年之前，攻擊工具需要一個(gè)人來(lái)發(fā)起其余的攻擊過(guò)程。現(xiàn)在，攻擊工具能夠自動(dòng)發(fā)起新的攻擊過(guò)程。例如紅色代碼和Nimda病毒這些工具就在18個(gè)小時(shí)之內(nèi)傳遍了全球。

4.攻擊工具的協(xié)同管理。自從1999年起，隨著分布式攻擊工具的產(chǎn)生，攻擊者能夠?qū)Υ罅糠植荚贗nternet之上的攻擊工具發(fā)起攻擊。現(xiàn)在，攻擊者能夠更加有效地發(fā)起一個(gè)分布式拒絕服務(wù)攻擊。協(xié)同功能利用了大量大眾化的協(xié)議如IRC(Internet Relay Chat)、IR(Instant Message)等的功能。

趨勢(shì)二：攻擊工具的不斷復(fù)雜化

攻擊工具的編寫者采用了比以前更加先進(jìn)的技術(shù)。攻擊工具的特征碼越來(lái)越難以通過(guò)分析來(lái)發(fā)現(xiàn)，并且越來(lái)越難以通過(guò)基于特征碼的檢測(cè)系統(tǒng)發(fā)現(xiàn)，例如防病毒軟件和入侵檢測(cè)系統(tǒng)。當(dāng)今攻擊工具的三個(gè)重要特點(diǎn)是反檢測(cè)功能，動(dòng)態(tài)行為特點(diǎn)以及攻擊工具的模塊化。

1.反檢測(cè)。攻擊者采用了能夠隱藏攻擊工具的技術(shù)。這使得安全專家想要通過(guò)各種分析方法來(lái)判斷新的攻擊的過(guò)程變得更加困難和耗時(shí)。

2.動(dòng)態(tài)行為。以前的攻擊工具按照預(yù)定的單一步驟發(fā)起進(jìn)攻?，F(xiàn)在的自動(dòng)攻擊工具能夠按照不同的方法更改它們的特征，如隨機(jī)選擇、預(yù)定的決策路徑或者通過(guò)入侵者直接的控制。

3.攻擊工具的模塊化。和以前攻擊工具僅僅實(shí)現(xiàn)一種攻擊相比，新的攻擊工具能夠通過(guò)升級(jí)或者對(duì)部分模塊的替換完成快速更改。而且，攻擊工具能夠在越來(lái)越多的平臺(tái)上運(yùn)行。例如，許多攻擊工具采用了標(biāo)準(zhǔn)的協(xié)議如IRC和HTTP進(jìn)行數(shù)據(jù)和命令的傳輸，這樣，想要從正常的網(wǎng)絡(luò)流量中分析出攻擊特征就更加困難了。

趨勢(shì)三：漏洞發(fā)現(xiàn)得更快

每一年報(bào)告給CERT/CC的漏洞數(shù)量都成倍增長(zhǎng)。CERT/CC公布的漏洞數(shù)據(jù)2000年為1090個(gè)，2001年為2437個(gè)，2002年已經(jīng)增加至4129個(gè)，就是說(shuō)每天都有十幾個(gè)新的漏洞被發(fā)現(xiàn)?？梢韵胂螅瑢?duì)于管理員來(lái)說(shuō)想要跟上補(bǔ)丁的步伐是很困難的。而且，入侵者往往能夠在軟件廠商修補(bǔ)這些漏洞之前首先發(fā)現(xiàn)這些漏洞。隨著發(fā)現(xiàn)漏洞的工具的自動(dòng)化趨勢(shì)，留給用戶打補(bǔ)丁的時(shí)間越來(lái)越短。尤其是緩沖區(qū)溢出類型的漏洞，其危害性非常大而又無(wú)處不在，是計(jì)算機(jī)安全的最大的威脅。在CERT和其它國(guó)際性網(wǎng)絡(luò)安全機(jī)構(gòu)的調(diào)查中，這種類型的漏洞是對(duì)服務(wù)器造成后果最嚴(yán)重的。

趨勢(shì)四：滲透防火墻

我們常常依賴防火墻提供一個(gè)安全的主要邊界保護(hù)。但是情況是：

* 已經(jīng)存在一些繞過(guò)典型防火墻配置的技術(shù)，如IPP(the Internet Printing Protocol)和WebDAV(Web-based Distributed Authoring and Versioning)

* 一些標(biāo)榜是“防火墻適用”的協(xié)議實(shí)際上設(shè)計(jì)為能夠繞過(guò)典型防火墻的配置。

特定特征的“移動(dòng)代碼”(如ActiveX控件，Java和JavaScript)使得保護(hù)存在漏洞的系統(tǒng)以及發(fā)現(xiàn)惡意的軟件更加困難。

另外，隨著Internet網(wǎng)絡(luò)上計(jì)算機(jī)的不斷增長(zhǎng)，所有計(jì)算機(jī)之間存在很強(qiáng)的依存性。一旦某些計(jì)算機(jī)遭到了入侵，它就有可能成為入侵者的棲息地和跳板，作為進(jìn)一步攻擊的工具。對(duì)于網(wǎng)絡(luò)基礎(chǔ)架構(gòu)如DNS系統(tǒng)、路由器的攻擊也越來(lái)越成為嚴(yán)重的安全威脅。

采用主動(dòng)防御措施應(yīng)對(duì)新一代網(wǎng)絡(luò)攻擊

“紅色代碼”蠕蟲病毒在因特網(wǎng)上傳播的最初九小時(shí)內(nèi)就感染了超過(guò)250，000個(gè)計(jì)算機(jī)系統(tǒng)。該感染導(dǎo)致的代價(jià)以每天2億美元飛速增長(zhǎng)，最終損失高達(dá)26億美元。“紅色代碼”，“紅色代碼II”，及“尼姆達(dá)”、“求職信”快速傳播的威脅顯示出現(xiàn)有的網(wǎng)絡(luò)防御的嚴(yán)重的局限性。市場(chǎng)上大多數(shù)的入侵檢測(cè)系統(tǒng)是簡(jiǎn)單的，對(duì)網(wǎng)絡(luò)中新出現(xiàn)的、未知的、通常稱做“瞬時(shí)攻擊：Zero-day Attack”的威脅沒有足夠防御手段。

黑客的“機(jī)會(huì)之窗”

目前大多數(shù)的入侵檢測(cè)系統(tǒng)是有局限性的，因?yàn)樗鼈兪褂锰卣鞔a去進(jìn)行辨別是否存在攻擊行為。這些系統(tǒng)采用這種方式對(duì)特定的攻擊模式進(jìn)行監(jiān)視。它們基于貯存在其數(shù)據(jù)庫(kù)里的識(shí)別信息：類似于防病毒軟件檢查已知病毒的方式。這意味著這些系統(tǒng)只能檢測(cè)他們已經(jīng)編入識(shí)別程序的特定的攻擊。因?yàn)椤八矔r(shí)攻擊”是新出現(xiàn)的，尚未被廣泛認(rèn)識(shí)，所以在新的特征碼被開發(fā)出來(lái)，并且進(jìn)行安裝和配置等這些過(guò)程之前，它們就能繞過(guò)這些安全系統(tǒng)。實(shí)際上，僅僅需要對(duì)已知的攻擊方式進(jìn)行稍微的修改，這些系統(tǒng)就不會(huì)認(rèn)識(shí)這些攻擊方式了，從而給入侵者提供了避開基于特征碼的防御系統(tǒng)的手段。

從新的攻擊的發(fā)動(dòng)到開發(fā)新的特征碼的這段時(shí)間，是一個(gè)危險(xiǎn)的“機(jī)會(huì)之窗”，許多的網(wǎng)絡(luò)會(huì)被攻破。這時(shí)候許多快速的入侵工具會(huì)被設(shè)計(jì)開發(fā)出來(lái)，網(wǎng)絡(luò)很容易受到攻擊。下圖舉例說(shuō)明了為什么大多數(shù)的安全產(chǎn)品在該時(shí)期內(nèi)實(shí)際上是無(wú)效的。CERT組織研制的這個(gè)圖表說(shuō)明了一個(gè)網(wǎng)絡(luò)攻擊的典型的生命周期。該曲線的波峰就在攻擊的首次襲擊之后，這是大多數(shù)安全產(chǎn)品最終開始提供保護(hù)的時(shí)候。然而“瞬時(shí)攻擊”是那些最老練的黑客在最早期階段重點(diǎn)展開的。

同時(shí)，現(xiàn)在那些快速進(jìn)行的攻擊利用了廣泛使用的計(jì)算機(jī)軟件中的安全漏洞來(lái)造成分布更廣的破壞。僅僅使用幾行代碼，他們就能編寫一個(gè)蠕蟲滲透到計(jì)算機(jī)網(wǎng)絡(luò)中，通過(guò)共享賬號(hào)克隆自己，然后開始攻擊你的同伴和用戶的網(wǎng)絡(luò)。使用這種方式，在廠商開發(fā)出特征碼并將其分發(fā)到用戶的這段時(shí)間內(nèi)，“尼姆達(dá)蠕蟲”僅僅在美國(guó)就傳播到了超過(guò)100,000的網(wǎng)絡(luò)站點(diǎn)。這些分發(fā)機(jī)制使“瞬間攻擊”像SirCam和Love Bug兩種病毒分別席卷了230萬(wàn)和4000萬(wàn)的計(jì)算機(jī)，而不需要多少人為干預(yù)。其中有些攻擊甚至還通過(guò)安裝一個(gè)后門來(lái)為以后的破壞建立基礎(chǔ)，該后門允許對(duì)手、黑客和其他未獲授權(quán)的用戶訪問(wèn)一個(gè)組織重要的數(shù)據(jù)和網(wǎng)絡(luò)資源。