黑客攻击方式的四种最新趋势

自卡内基梅隆大学的CERT CC（计算机紧急响应小组协调中心）自1988年开始调查入侵者活动以来，一直在密切关注入侵方式的演变。他们揭示了一系列关于入侵攻击方式的趋势，这些趋势揭示了攻击者技术的快速发展和不断变化的攻击策略。

我们看到攻击过程的自动化和攻击工具的快速更新成为显著的趋势。攻击工具的自动化程度不断提高，涉及四个阶段的变化：扫描潜在受害者、入侵具有漏洞的系统、攻击扩散以及攻击工具的协同管理。新的扫描工具利用更先进的扫描技术，提高了速度和威力。攻击工具已经将对漏洞的入侵设计为扫描活动的一部分，大大加快了入侵速度。攻击工具能够自动发起新的攻击过程，例如红色代码和Nimda病毒这些工具在极短的时间内传遍全球。攻击者还能利用分布式攻击工具协同功能，利用大众化的协议如IRC、IR等发起分布式拒绝服务攻击。这些趋势显示出入侵者的手段越来越狡猾和迅速。

攻击工具的复杂性不断提高。攻击工具的编写者采用了比以前更加先进的技术。这些工具的特征码越来越难以通过分析来发现，并且越来越难以通过基于特征码的检测系统来识别。攻击工具的反检测功能使得安全专家想要通过各种分析方法来判断新的攻击过程变得更加困难和耗时。动态行为让攻击工具能够根据不同的方法更改特征，如随机选择、预定的决策路径或通过入侵者直接控制。攻击工具的模块化使得攻击者能够通过升级或替换部分模块快速更改攻击方式，并在越来越多的平台上运行。这些特性使得安全专家的工作变得更加困难。

第三个趋势是漏洞的发现速度越来越快。每年报告给CERT/CC的漏洞数量都在成倍增长。入侵者往往能在软件厂商修补这些漏洞之前发现它们。缓冲溢出类型的漏洞尤其严重，它是计算机安全的主要威胁。这类漏洞的影响范围广且危害巨大，是服务器面临的最严重的风险之一。

防火墙的渗透问题日益突出。尽管我们常常依赖防火墙提供主要边界保护，但现在已经存在一些绕过典型防火墙配置的技术，如IPP和WebDAV等协议。一些标榜“防火墙适用”的协议实际上设计为能绕过典型防火墙的配置。特定特征的移动代码（如ActiveX控件、Java和JavaScript）使得保护存在漏洞的系统以及发现恶意的软件更加困难。这表明我们需要在网络防御方面采取更积极主动的措施。

随着网络上计算机的不断增长，计算机之间的依存性越来越强。一旦某些计算机遭到入侵，它们就可能成为进一步攻击的工具。网络基础架构如DNS系统、路由器的攻击也越来越成为严重的安全威胁。我们需要采用主动防御措施来应对新一代网络攻击的挑战。现有的网络防御手段存在严重的局限性，无法有效应对新出现的未知威胁，如“红色代码”等瞬时攻击。我们需要加强网络安全意识，提高网络防御能力，以应对黑客不断变化的攻击策略和技术手段。在网络安全领域中，现行的防护系统工作原理与防病毒软件类似，通过数据库内的识别信息来检测已知的攻击模式。它们的工作原理如同检查病毒的杀毒软件，时刻警觉着已知的威胁。对于那些全新的攻击模式，比如“瞬时攻击”，这些系统却往往束手无策。由于这些新型攻击手段尚未被普遍认知，其特性尚未被编入识别程序之中，因此在新的特征码开发、安装和配置的过程中，它们就能够轻易地绕过安全防线。

实际上，入侵者只需对已知的攻击手段稍作修改，就能让这些系统失去警惕，因为这些系统无法识别那些稍作改变的攻击模式。这就为入侵者提供了避开基于特征码的防御系统的有效手段。

从新型攻击爆发到新的特征码开发完成，这段时间构成了一个危险的“窗口期”。在这个时期，网络面临着极大的威胁。为了应对这一时期的高危状况，各种快速入侵工具纷纷涌现，网络的安全防线很容易被突破。CERT组织制作的图表清晰地描绘了一个网络攻击的典型生命周期。在攻击发生后的曲线波峰时期，大多数安全产品才开始发挥作用。而“瞬时攻击”正是黑客们在这个早期阶段重点施展的手段。

现代快速攻击利用广泛使用的计算机软件中的安全漏洞，造成了更加广泛的破坏。入侵者只需几行代码，就能编写一个蠕虫程序，渗透进计算机网络。这些蠕虫通过共享账号进行克隆，开始攻击用户的同伴和网络。例如，“尼姆达蠕虫”在厂商开发出特征码并分发给用户的短时间内，就传播到了超过100,000个网络站点。这些分发机制使得“瞬间攻击”像SirCam和Love Bug等病毒一样，能够迅速席卷数百万计算机，而不需要过多的人工干预。

更为严重的是，这些攻击中有些还会在安装后门程序上下功夫。这些后门程序允许对手、黑客和其他未获授权的用户潜入网络内部，轻松访问组织的重要数据和网络资源。这些后门程序的安装为未来的破坏活动打下了基础，使得网络安全的防线更加脆弱。在这个信息化高速发展的时代，我们需要更加高效、智能的防御手段来应对这些不断进化的网络攻击。