网络攻击与网络防御技术研究分析

杨振 1 王舰 2 李兴文 2

1.航天工程大学 北京 怀柔 101400 2. 63650部队 新疆 乌鲁木齐 841700

摘要：随着互联网技术快速发展，网络规模快速扩容，网络安全威胁越来越严重，网络攻击的手段越越多。网络攻击发生在计算机网络物理层、链路层、网络层、传输层、应用层的各个层级，给网络信息系统带来巨大安全威胁，本文分析总结了当前常见的网络攻击手段及网络防御技术，为网络信息安全防御提供了一定参考。

关键词：网络攻击；网络防御；技术分析

当前网络安全形势异常严峻，网络安全事件频发，数据泄露、安全漏洞、勒索病毒等网络安全威胁日益突出。根据2020年国家互联网应急中心（CNCERT）发布的报告统计显示，CNCERT/CC协助处置各类网络安全事件约10.3万起；捕获恶意程序样本4200万个；捕获勒索病毒软件78.1万余个，较2019年增长6.8%；新增网络安全漏洞20704个，同比增长27.9%^[1]，网络攻击事件无时无刻都在发生。从攻击的类别来看，网络攻击发生在计算机网络的各个层级；从攻击特点来看，又可以分为主动攻击与被动攻击。

1. 网络攻击类别

网络攻击（Cyber Attacks，又称赛博攻击）是指针对计算机设备、设施、网络、系统、数据的任何类型的进攻行为，包括篡改、破坏、窃取、植入恶意代码，以及非授权访问等各种行为^[2]。

当前，有许多网络攻击行为，它们发生在计算机网络五层协议的各个层级：

物理层是由传输介质与通信设备组织，主要是计算机硬件设备，所以常见的网络攻击手段有线路监听、设备破坏等。

链路层是将物理层的数据经过改进后传输到网络层，链路层经过差错检测、差错控制和流量控制等方法后，将有差错的物理链路改进为无差错的数据链路，向网络层提供高质量的数据传输服务，其常见的攻击行为有MAC泛洪、MAC欺骗、ARP欺骗；

网络层是介于传输层和链路层之间，主要是把数据从源端经过若干个中间节点传送到目的端，网络层协议有IP/ARP/ICMP/IGMP，发生在网络层的攻击主要有IP欺骗、Smurf攻击、ICMP攻击、地址扫描等。

传输层是网络根据互联网传输协议（TCP/UDP协议）为两个主机进程之间的通信提供服务，所以传输层的网络攻击主要是利用传输协议的开放性进行攻击，主要有TCP拒绝服务、TCP欺骗、端口扫描、UDP拒绝服务等。

应用层是网络应用程序和应用层协议（HTTP/FTP/SMTP等）存留的地方，所以对应用层的攻击主要是病毒、恶意代码等执行程序以及利用应用层协议进行的攻击，通过自动运行、复制恶意代码软件实现对应用层的攻击，常见的有恶意代码、WEB应用攻击、漏洞、缓冲区溢出攻击等。

2. 主动攻击与被动攻击

根据攻击行为特点，可以把网络攻击行为划分为主动攻击和被动攻击两类。

2.1主动攻击

动攻击就是主动对某些数据流进行篡改和发布虚假数据流。这类攻击可分为数据篡改、伪造消息数据和终端冒用。

1.恶意代码：这是计算机网络面临的最常见的主动攻击行为，是指一些带有破坏性目的的软件代码，常见的有病毒、木马和勒索软件等。

2.破译口令：指用户在未经系统授权的情况下，尝试破解用户口令、提升用户访问权限、入侵服务器篡改数据等网络攻击行为。

3.DoS（DoSS）攻击^[3]：兴趣包泛洪攻击、缓存污染攻击，攻击者通过向服务器发送大量错误连接请求，来阻止合法用户访问服务器，达到瘫痪服务器的目的，这是一种非常常见的网络攻击行为。

4.Web攻击：未经授权的管理者或用户试图对网站进行篡改或破坏的行为，目的是使系统允许攻击者登录，即使攻击者没有权限，常见的有跨站脚本和SQL注入。

5.身份冒用：攻击者通过监视合法用户与服务器之间的认证会话，通过修改数据、虚拟IP、MAC地址、身份ID等方法，达到冒用合法用户与服务器之间进行会话的目的。

6.内部攻击：主要是某些内部人员滥用权限，访问窃取未经授权的数据，如斯诺登事件。

7.DNS投毒：通过破坏DNS服务器，引导用户登录某些恶意网站，如钓鱼网站。

2.2被动攻击

被动攻击是指攻击者不对数据进行任何修改，而是在未经用户授权或用户不知道的情况下对用户数据信息进行截取、窃听，常见的有侦听、破解弱加密数据流、流量分析等。

1.侦听：是最常用的窃听手段。特别是在无线通信领域，信道开放，攻击者能够截获到接收者和发送者之间所有的通信数据，如果数据没有加密，则攻击者可以轻松获取通信内容。在有线通信链路上，局域网数据传输是基于广播方式进行的，如果攻击者接入到局域网当中，则也可以接收到局域网上的所有通信数据。同时，攻击者还可以通过高灵敏的电磁频谱接收设备，侦听服务器、终端、通信线路等网络设备发出的电磁波，通过对电磁信号的分析获取有价值的信息。

2.流量分析：攻击者无需了解截获信息数据的真实内容，仅通过发送信息的模式、流量，分析出信息收发的位置、频次、大小等关键信息。比如对一些军事目标网络进行流量分析，可得出部队位置有无变化，对通信频次有无异常分析，可以判断近期有无军事行动。

3. 网络防御技术

从不同技术角度分析，当前网络安全防御技术大致可划分为三类^[4]。

第一类是侧重于信息安全防护，集中在网络本身的加固防护上，主要的防护手段有数据加解密技术、数据鉴别技术、访问控制技术、防火墙技术等，它们在确保网络系统正常访问虚拟专网通道、用户合法身份认证和管理用户权限以及数据信息加密方面有一定的防护作用。

第二类是以各种检测系统为代表的各种网络安全防御技术，主要包括入侵检测、流量分析、数据鉴别、漏洞扫描、日志审计等，这些安全防护技术采用模式匹配、特征扫描、数据综合分析等技术手段对网络进行动态的监测与联动报警，试图实时或及时地感知网络攻击行为，并根据攻击特征进行实时的网络安全防御，其侧重于对已知特征信息的网络攻击行为进行防护。

第三类是以主动设置网络“陷阱”进行诱骗攻击为主的各种网络安全技术，主要以蜜网和蜜罐技术为代表。基本方法是在攻击者对网络系统实施攻击和破坏之前，防御方主动设置一些漏洞、布置一些容易被攻击，且不易察觉的态势监测感知空间，引诱正在寻找攻击目标的攻击者进入，然后在态势监测感知空间，对攻击者实施的各种攻击行为进行监测分析，从而获取破解攻击行动、实现攻击回溯、反制攻击行动所需的各种信息。

4. 结束语

本文总结分析了当前互联网面临的主要安全威胁及防护技术，为计算机网络安全防护建设提供了一定借鉴。网络技术本身所带有的开放性和安全缺陷是不会随着安全防护技术的提高而消失，网络空间攻防斗争只会越来越激烈，并且随着时间推移，业务需求的增长，网络需求与安全防护之间的矛盾会越来越突出。从最近几年发生的网络安全事件分析，网络攻击已经由传统的独狼式黑客攻击逐渐演变为国家间有组织、有目的的系统性攻击。2016年11月国家发布了《中华人民共和国网络安全法》，网络安全提升到国家安全战略层面，为网络安全防护提供了法律依据，未来网络安全防护必将受到越来越多的重视。

参考文献：

1. 李湘宁等．2020年中国互联网网络安全报告．北京:人民邮电出版社，2021．06:16-33．

2. 网络安全之TCP、IP协议栈常见安全风险及防范办法，https://blog.csdn.net/flat0809/article/details/2020-4-21.

3. 郭连城．网络安全防御技术研究．信息通信，2018（11）．

4. 罗智慧．网络安全流量分析关键技术研究．网络安全技术与应用，2020（1）．