计算机网络是一个由诸多计算机和通信链路组成的复杂系统。计算机和通信链路都包括众多的软件和硬件。计算机硬件包括CPU(运算器、控制器)、内存储器、输入输出设备(键盘、鼠标、显示器、打印机等)、外存储器(硬盘、光盘);计算机软件包括操作系统(Windows、UNIX等)、数据库管理系统、应用软件(网络型、单机型)和网络协议;通信链路硬件有电缆、光纤、无线电等通信媒介和路由器、集线器等节点设备;通信链路软件主要是安装在各节点设备中的网络协议。
这些硬件、软件构成的网络系统,以及进行的网络行动,均十分复杂。从网络攻防角度看,我们可以以因特网中分处于不同局域网的两台计算机的信息交流活动,简单说明网络的结构和网络活动过程(基于IPV4 协议)。
我们可以把一台网络计算机看成一家对信息进行加工处理的工厂。其中,计算机的防火墙是工厂的大门,计算机开机密码和网络登录密码是大门的锁钥,内存储器是处理信息的车间,CPU是车间内加工处理信息的机器,外存储器是存放信息的仓库。这栋大楼有四级楼梯,分别是 TCPIIP 通信协议的应用层、运输层、网际层、链路层。以上就是这家信息工厂的“硬件”。
计算机操作系统是工厂的经理,负责管理工厂运作。各种应用程序是工厂工人,从事特定的信息处理活动。工人分为三类:一类是维护工厂正常运作的行政人员(如电源控制、声音控制程序等);另一类是从事网络信息交流活动的网络应用程序(如电子邮件、WWW等),四层楼梯(TCP/P通信协议)专门为这些工人开了许多特殊通道(端口),让他们可以比较方便地进出工厂大门。还有一类是只负责工厂内处理信息的单机应用程序(如WORD、记事本)。这些就是工厂的“软件”。
这个工厂(计算机)通过信道(有线、无线链路)与其他的工厂(计算机)联结,开展信息交流活动。通道的大小就是网络的带宽。
这里设想两台计算机之间进行信息交流,也就是两家“工厂”进行信息货物流通。
计算机A(工厂A)与计算机B(工厂B)进行信息交流,计算机A的用户先得打开计算机(进入工厂A),呼唤工厂A的经理(操作系统),经理将必要的行政人员(电源、声音、图像等程序)召到车间以维护车间正常运作,将相关工人(如电子邮件程序)调到车间(内存),工人在经理的指挥控制下用信息处理机器(CPU)创造信息产品(写邮件),信息通过特殊小门(邮件是25号端口),经四级楼梯(网络协议)转变成通用信息格式。此时,信息还要附上对方地址等内容。
通用信息出大门,过通道到达工厂B(计算机B)的大门。经计算机B防火墙的核实,准许其进入计算机B的内部,经过4层楼梯(网络协议)的逆向操作,将通用信息转变为对应职员(电子邮件程序)可识别的信息。计算机B用户打开电子邮件,就可以读取信息内容(电子邮件的内容)。
网络攻击,就是遵循网络信息交流的过程,采取特殊的攻击程序指令,偷偷进入敌计算机内,获得对敌信息系统(经理)的全部或部分指挥控制权,大肆破坏敌计算机系统,或窃取有关信息。从实现的过程上看,网络攻击可分为黑客攻击和病毒攻击两大类。
(一)黑客攻击。所谓黑客攻击,就是攻击者运用攻击程序,直接控制敌计算机系统,如小偷登堂入室般大肆破坏。其基本过程是:链接目标机、收集目标机状态信息、侵入目标机、实施破坏和窃取。
第一步,链接目标机。即小偷要有到达大楼的路径。当攻击机与目标机已有线路相连时,利用现有线路进行链接;当攻击机与目标机物理隔绝时,需要通过有线搭链或无线注链的方式进行链接。现实中,军队的计算机网络一般与因特网是物理隔离的。要实施军事网络攻击,就必须想方设法与目标机进行有线或无线的链接。
第二步,收集目标机信息。即小偷要先摸清大楼的安防设施情况。主要是利用网络命令(如Ping、net)、专用扫描工具程序(如NetScanTools)和嗅探器程序(如Sniffer Pro)获取目标机的各种信息,包括目标机的是否开机、大门(防火墙)开设、小门(端口)开放、经理(操作系统)和职员(应用程序)类型、通道宽度、工作场所(内存)大小、仓库(外存)类型库容等状态信息,以及是否存在可用于偷偷进入“大楼”的缺点(漏洞)。
第三步,侵入目标机。即小偷潜入大楼的过程。主要是通过强行破解“大楼”大门(密码)的方法(如字典攻击程序),或利用大楼开放的小门(可能是用户自行开放,也可能是木马打开的端口)直接与目标机建立连接;利用目标机系统的漏洞(缺点)或预先留下的后门(程序开发者在职员身上故意留下的网络通信缺点),偷偷摸摸地与目标机建立连接,进入目标网络(计算机)系统内部。
第四步,破坏行动。一是在获取目标机信息之后,可直接利用网络协议(楼梯)的各种漏洞实施拒绝服务攻击,使目标机无法进行网络活动。就好比,小偷在潜入大楼之前,先用杂物把大门堵了,让公司无法运作。二是侵入目标机之后,直接对文件进行删除、篡改和替换,还可施放和种植计算机病毒(如逻辑炸弹、木马)以备后续的入侵和破坏;如直接复制窃取权限范围内的各类数据信息。也就像小偷进入公司后,在公司内部为所欲为地进行破坏和偷窃。
(二)病毒攻击。病毒攻击。即将具有破坏功能的病毒程序注入目标机的破坏和窃取活动。其基本过程是:注入目标机--实施破坏和窃取。
第一步,注入目标机。通过平时的磁盘交叉感染、硬件预植、邮件传递、网页下载和蠕虫的网络扩散等方式将计算机病毒注入目标机。
第二步,破坏行动。病毒通过攻击系统数据区(硬盘主引导扇区、B00T扇区、FAT文件目录区)、删改文件和格式化磁盘,直接破坏数据信息;通过占用内存,挤占磁盘空间扰乱I/0设备正常工作,破坏CMOS设置,从而抢占系统资源;通过修改BIOS、显示器的参数使CPU、显卡、内存等硬件超负荷工作而过热烧坏。或者利用木马窃取数据信息。
(三)信号控制与智力高下。我们都知道,数字技术与计算机技术相伴相生。从信息处理的角度看,数字技术是以二值逻辑代数(逻辑常量0和1分别代表事物矛盾双方的符号有“与”“或”“非”三种基本运算法则)为基本理论,将各种图文声像信息和行为动作(指令)分别转换为多个0、1数字的不同组合,形成数字信息;以电路的高电位、低电位分别表示 0、1,借助于电子设备,将数字信息转变为高低电位组合而成的数字信号;把数字信号输入集成电路(遵循二值逻辑代数而创造的逻辑门电路)进行处理,得出相应的信息结果,并通过示波器等设备呈现出来,变成人类可直接识别的图文声像信息。
计算机技术是建立在数字技术基础之上,其数字信息可相对区分为指令信息和数据信息。数据信息包括图、文、声、像等数字信息;指令信息是对计算机调用、运算、传输、存储数据等动作的控制信息,程序就是多个指令信息。计算机通过程序(指令)的执行来完成数据信息处理的任务。具体过程是:程序员使用高级语言(如C语、BASC语言)编写成的程序和数据通过输入设备输入电脑。
CPU控制器(最初按操作系统的指令运作)控制输入设备(编译器和汇编器)将程序和数据转变为机器能够识别的机器语言程序和数据信号,并调入内存储器,使之处于运动状态,称为进程(即随时待命的数字信号)。控制器将进程内的程序指令信号以电位脉冲的形式逐条调入自身,并将控制权交给了程序指令(即将操作系统给的指令替换为程序指令)。程序指令指挥控制器从内存中调入数据进入运算器进行处理,并将处理结果的数字信号返回内存。控制器指挥内存和输出设备,将处理后的数字信息通过输出设备(打印机、显示器)显示出来。
如果控制系统的最初指令,或正常的程序指令有缺陷,或有病毒程序沾染了正常程序,
进入了CPU控制器,并获得了对控制器的控制权,即控制了电信号的运算变化,那么计算机的正常运作就会被打乱。而要获得对控制器的控制,黑客就必须了解掌握操作系统的运行规则协议,找到正规程序的缺陷,利用规则和缺陷编写可以篡夺控制器控制权的病毒程序。病毒程序能否成功夺取控制器的控制权,关键在于编写程序的程序号智力水平。
因此,对网络攻击而言,信号控制是本质,程序质量是基础,智力高下是关键。
——摘录自《变局·谋节——新制胜之道》
