1、基于零日漏洞攻击的原理与防范:信息技术的快速开展,计算机网络的普及和应用,计算机平安变得越来越重要。基于商业目的,黑客采取多种网络攻击方式,对网络平安形成很大威胁。零日攻击是利用零日漏洞,迅速对系统或应用程序发动的网络攻击,这种攻击防御难度较大。该文通过对零日漏洞攻击原理的分析,提出一些零日攻击的防范措施。关键词:零日漏洞;零日攻击;网络平安中图分类号:TP393文献标识码:A文章编号:1009-3044(2023)33-9394-02Principles Based on the Zero-day Attacks and PreventionLI Dai(Computer Departmen
2、t of Wuhan University of Technology, Wuhan 430070, China)Abstract: Because of the rapid development of information technology, the popularization and application of computer networks, computer security has become increasingly important. For commercial purposes, hackers adopt a variety of network att
3、acks, which becoming a great threat to network security. Zero-day attacks is the use of zero-day holes to quickly launch applications on the system or the network attacks that make the defense more difficult. In this paper, through the analysis of the principles of zero-day attacks, the writer gives
4、 some useful suggestions on the preventive measures.Key words: zero-day holes; zero-day attacks; network security随着网络技术的不断更新,网络平安问题日益严峻。无时不在的零日攻击已成为企业信息平安面临的紧迫而严峻的挑战。利用用户薄弱的平安防护意识,零日攻击对操作系统、应用软件中某些未被开发商知晓或未及时修补的漏洞发起攻击往往极具破坏力。零日攻击正成为多数企业的灾难,如今那些受利益驱动的攻击者们正不断制造出各种专用且复杂的恶意软件,企图在特定应用软件未修复那些未经发布的漏洞前利用这些漏
5、洞。面对与日俱增的零日威胁,目前不管系统、网络厂商还是平安厂商,都在大声疾呼即时更新的重要性。目前许多企业之所以未能即时完成系统或软硬件设备漏洞的修补工作,最主要的原因在于没有时间开掘漏洞所在,未对漏洞做进一步的评估与诊断,且无法对所有或端点装置进行修补更新等。另外还有一个更重要的原因,即无法对修补程序进行相容性测试,其结果也最为严重,常常造成系统不稳甚至当机的情况。也正因为如此,用户必须认真检视现有的更新程序管理机制,了解零日攻击的原理,提高零日攻擊的防范意识。1 零日漏洞攻击的原理零日漏洞是指被发现后立即被恶意利用的平安漏洞,包括Windows系统、Office组件和相关的制图、视频软件、
6、甚至包括平安软件等,这种攻击利用某些厂商缺少防范意识、不能及时更新版本或缺少修复补丁,快速利用漏洞,侵入用户系统,从而实现数据破坏和信息窃取。零日漏洞常常被在某一产品或协议中找到平安漏洞的黑客所发现。一旦它们被发现,零日漏洞攻击就会迅速传播,特别是通过嵌入到网页中或直接通过经过“加壳的程序包,伪装成所谓的“美女图片、“激情视频诱使用户运行,从而运行相关窃听、破坏程序。在零日漏洞一旦大规模爆发的情况下,被攻击的数量就会直线上升,很难有效遏制,同时对于家庭用户、企业用户来说,也将面临着巨大的灾难。目前,所有的操作系统,包括Windows、类Linux、FreeBSD和UNIX,以及所有的网络应用程
7、序,包括IIS、FTP、IE和SMTP等等都存在零日漏洞,也就存在被零日攻击的风险。正是由于零日攻击影响的范围非常广泛,而且,由于操作系统或应用程序在编码过程中不可能做到百分之百的没有错误,因此,零日攻击的风险会在以后相当长的一段时间来都会存在,因而现在我们就必需了解可以通过什么样的方法来解决零日攻击带来的平安风险。2 零日漏洞攻击的威胁黑客善于在发现平安漏洞不久后利用它们。而在此之前,一个新的平安漏洞从被发现到被利用,一般需要几个月甚至更长的时间。但最近,发现与利用之间的间隔已经减少到了数天,甚至缺乏一天(零日)。甚至通常在上午发现漏洞后,下午就会出现利用进行攻击的事件。零日漏洞是由攻击者自
8、己发现的,并且不会公布,而存在零日漏洞的系统或应用程序的开发商却并不一定知道这个新的漏洞,因此也就不会开发相应的漏洞补丁包来修补它。其实,就算开发商与攻击者同时发现了这个漏洞,但是,开发商发布漏洞补丁必需经过开发测试发布这三个阶段,速度再快也需要几天时间。而攻击者在发现零日漏洞后,会立即编写相应的漏洞利用脚本来攻击所有存在此漏洞的目标系统。在时间上,漏洞补丁发布速度就不可能赶上攻击者对此漏洞的利用速度。利用漏洞的攻击被设计为迅速传播,感染数量越来越多的系统。攻击由之前被动式的、传播缓慢的文件和宏病毒演化为利用几天或几小时传播的更加主动的、自我传播的电子邮件蠕虫混合威胁。今天,最新出现的Warh
9、ol和Flash威胁传播起来只需要几分钟。人们掌握的平安漏洞知识越来越多,就有越来越多的漏洞被发现和利用。因此,“零日漏洞攻击成为多数企业的灾难。一般的企业使用的平安防范设备,如防火墙,UTM网关,以及入侵检测防御系统(IDS/IPS),主要还是利用网络攻击行为的攻击特征来检测恶意的网络流量。而由攻击者编写的零日漏洞利用脚本,由于在网络上是第一次使用,平安设备开发商就不可能知道这种零日攻击行为的攻击特征,因而这些平安防范设备的攻击特征库中也就不会存在这种攻击特征,平安设备也就不会检测到这种零日攻击行为了。就算现在那些宣布具有主动防御功能的平安设备,由于目前的主动防御技术还不太完善,都存在漏报和
10、误报的可能,并且,攻击者在编写攻击脚本时,还会通过一些手段来逃避这些平安设备的检测,因此,主动防御设备也不可能做到百分之百地完全防御零日攻击行为。由于目前所有的操作系统和应用程序都会存在零日漏洞,发现它们只是早晚的问题,才使得零日攻击每次都会攻击成功,并且每次都会造成非常广泛的影响,因而零日攻击已经是目前不折不扣的最棘手的网络平安威胁之一。3 零日漏洞攻击的防范现在,我们已经了解了零日攻击的攻击原理,也了解了零日攻击会给我们带来的平安风险,并且知道了它很难对付。虽然目前不能完全防范零日攻击,但是,使用一些平安防范手段,还是能减少我们的网络和系统被零日攻击的机率,降低零日攻击造成的损失到最低水平
11、的。3.1 修复漏洞虽然“零日漏洞造成的影响非常恶劣,但也并非无法进行防范,只要我们开启Windows系统的实时更新,及时下载相关漏洞补丁,可以有效防止黑客通过系统漏洞植入后门程序。 3.2 安装实时监控和主动防御设备要防范零日攻击,降低其带来的影响,最好的方法就是在零日攻击活动开始进行时,就及时发现并阻止它。及时发现零日攻击活动最好的方式就是安装系统或网络实时监控软件,虽然这些设备不可能做到百分之百的将零日攻击行为全部检测到,但是,通过主动防御设备对网络操作行为和网络连接状况进行实时监控,还是可以及时发现和阻挡相当一局部的零日攻击行为的。主动防御设备有时会对真正的网络攻击产生漏报,也会对正常
12、的网络流量产生误报,因此,我们在使用主动防御设备的同时,还应当使用其它的平安防范手段来填补它的缺乏。3.3 实施网络边界防范实施网络边界防范主要是针对企业或机构中的内部局域网来说的,某个网络的边界都是针对其实际的内部网络而言的。目前主要的网络边界防范方法包括下面这些内容:1) 在网络边界处安装行为分析设备,它在监控网络操作行为的同时,还能限制网络流量的大小,这样就能检测到不正常的网络操作行为,以及防止拒绝效劳攻击(DoS);2) 在局域网内部安装状态包检测防火墙;3) 严格限制无线设备的网络接入方式;4) 加强移动存储设备的网络访问;5) 应用网络访问控制(NAC);6) 加强员工权限管理和文
13、件访问许可制度。3.4 加固终端系统计算机终端通常是整个网络环节中最薄弱的环节,对系统进行平安加固是一个减少系统被零日攻击的一个不错的方法。通常,我们可以通过以下的方式来加固系统:1) 建立良好的系统或应用程序补丁更新方案;2) 停用系统中不需要的效劳和应用程序,关闭不使用的端口;3) 限制在浏览器中对JAVA和ActiveX等脚本的使用;4) 培訓用户的网络操作行为,不要轻易翻开电子邮件中的附件,点击电子邮件中的超级链接,以及点击其中的图片;5) 安装第三方平安软件(如基于主机的入侵防御系统(IPS)来加强系统平安;3.5 加强网络根底设施的平安加强网络根底设施的平安,能降低网络被零日攻击后
14、造成影响的范围和严重程度。我们可以使用以下的方式来加强网络根底设施的平安:1) 在同一网段中使用虚拟局域网(VLAN)技术将一些重要的网络设备隔离,防止零日攻击对整个网段的影响;2) 将面向互联网的网络效劳器放到一个单独的非军事化区域(DMZ),将它们与内部系统隔离,减少由于公网效劳器被零日攻击后造成对内部网络的影响;3) 在网络效劳器上应用虚拟化技术来提供冗余系统,减少由于效劳器系统被零日攻击后造成的非正常停机时间,降低其造成的损失。3.6 建立一个良好的网络攻击事件响应方案加强对各类事件的快速处理能力,这样能迅速阻止零日攻击的继续实施,将攻击影响的范围和造成的损失控制在一定的水平之内。上述
15、给出的这些应对零日攻击的方法,虽然不能绝对防止零日攻击活动的发生,但是,灵活地使用它们,还是能大大减少系统和网络被零日攻击的机率,以及当系统或网络被零日攻击后将其造成的损失控制在一定的范围之内。4 结束语我们已经对零日攻击有了一个比拟全面的了解,也掌握了一些应对零日攻击的方法。但实际上,真正能解决零日攻击问题的方法是尽量减少系统和应用程序在编写过程中造成的编码错误,以及在系统和应用程序发布之前进行严格的前期测试,并且在后期对它们进行持续不断的平安检测。但是,对于一些动那么上百万行代码的操作系统或应用程序来说,完全消除代码中的错误是一个不可能完成的任务,尤其是多人协作开发的软件更是如此。因此,零日攻击在今后相当长的一段时间内仍然会存在,我们应当提高防范意识,来减少被零日攻击的机率,以及降低零日攻击带来的损失。参考文献:1 陈绪乾,杨渫尘.浅析网络平安及防范技术J.山东水利职业学院院刊,2023.6.2 许兴权.网络平安技术问题研究J.知识与技术,2023,(20).2 曲鼎.名为补丁无事,实有零日之忧J.计算机平安,2022,5.
