趨勢(shì)一:漏洞發(fā)現(xiàn)得更快
每一年報(bào)告給CERT/CC的漏洞數(shù)量都成倍增長(zhǎng)�����。CERT/CC公布的漏洞數(shù)據(jù)2000年為1090個(gè)���,2001年為2437個(gè),2002年已經(jīng)增加至4129個(gè)�,就是說(shuō)網(wǎng)站建設(shè)每天都有十幾個(gè)新的漏洞被發(fā)現(xiàn)?����?梢韵胂螅瑢?duì)于管理員來(lái)說(shuō)想要跟上補(bǔ)丁的步伐是很困難的�����。而且�����,入侵者往往能夠在軟件廠商修補(bǔ)這些漏洞之前首先發(fā)現(xiàn)這些漏洞�。隨著發(fā)現(xiàn)漏洞的工具的自動(dòng)化趨勢(shì),留給用戶打補(bǔ)丁的時(shí)間越來(lái)越短���。尤其是緩沖區(qū)溢出類型的漏洞���,其危害性非常大而又無(wú)處不在,是計(jì)算機(jī)安全的最大的威脅�。在CERT和其它國(guó)際性網(wǎng)絡(luò)安全機(jī)構(gòu)的調(diào)查中,這種類型的漏洞是對(duì)服務(wù)器造成后果最嚴(yán)重的�����。
趨勢(shì)二:攻擊工具的不斷復(fù)雜化
攻擊工具的編寫者采用了比以前更加先進(jìn)的技術(shù)�����。攻擊工具的特征碼越來(lái)越難以通過分析來(lái)發(fā)現(xiàn)���,并且越來(lái)越難以通過基于特征碼的檢測(cè)系統(tǒng)發(fā)現(xiàn)�����,例如防病毒軟件和入侵檢測(cè)系統(tǒng)�。當(dāng)今攻擊工具的三個(gè)重要特點(diǎn)是反檢測(cè)功能���,動(dòng)態(tài)行為特點(diǎn)以及攻擊工具的模塊化���。
1.反檢測(cè)。攻擊者采用了能夠隱藏攻擊工具的技術(shù)�。這使得安全專家想要通過各種分析方法來(lái)判斷新的攻擊的過程變得更加困難和耗時(shí)。
2.動(dòng)態(tài)行為�。以前的攻擊工具按照預(yù)定的單一步驟發(fā)起進(jìn)攻。現(xiàn)在的自動(dòng)攻擊工具能夠按照不同的方法更改它們的特征�����,如隨機(jī)選擇�����、預(yù)定的決策路徑或者通過入侵者直接的控制。
3.攻擊工具的模塊化�。和以前攻擊工具僅僅實(shí)現(xiàn)一種攻擊相比,新的攻擊工具能夠通過升級(jí)或者對(duì)部分模塊的替換完成快速更改���。而且�,攻擊工具能夠在越來(lái)越多的平臺(tái)上運(yùn)行���。例如�����,許多攻擊工具采用了標(biāo)準(zhǔn)的協(xié)議如IRC和HTTP進(jìn)行數(shù)據(jù)和命令的傳輸���,這樣,想要從正常的網(wǎng)絡(luò)流量中分析出攻擊特征就更加困難了���。
趨勢(shì)三:攻擊過程的自動(dòng)化與攻擊工具的快速更新
攻擊工具的自動(dòng)化程度繼續(xù)不斷增強(qiáng)�����。自動(dòng)化攻擊涉及到的四個(gè)階段都發(fā)生了變化���。
1.掃描潛在的受害者。從1997年起開始出現(xiàn)大量的掃描活動(dòng)�����。目前�����,新的掃描工具利用更先進(jìn)的掃描技術(shù)�����,變得更加有威力���,并且提高了速度���。
2.入侵具有漏洞的系統(tǒng)。以前���,對(duì)具有漏洞的系統(tǒng)的攻擊是發(fā)生在大范圍的掃描之后的?��,F(xiàn)在,攻擊工具已經(jīng)將對(duì)漏洞的入侵設(shè)計(jì)成為掃描活動(dòng)的一部分,這樣大大加快了入侵的速度�����。
3.攻擊擴(kuò)散�����。2000年之前�,攻擊工具需要一個(gè)人來(lái)發(fā)起其余的攻擊過程。現(xiàn)在�,攻擊工具能夠自動(dòng)發(fā)起新的攻擊過程。例如紅色代碼和Nimda病毒這些工具就在18個(gè)小時(shí)之內(nèi)傳遍了全球�����。
4.攻擊工具的協(xié)同管理�����。自從1999年起���,隨著分布式攻擊工具的產(chǎn)生���,攻擊者能夠?qū)Υ罅糠植荚贗nternet之上的攻擊工具發(fā)起攻擊?��,F(xiàn)在,攻擊者能夠更加有效地發(fā)起一個(gè)分布式拒絕服務(wù)攻擊�。協(xié)同功能利用了大量大眾化的協(xié)議如IRC(Internet Relay Chat)�����、IR(Instant Message)等的功能���。
