網絡攻擊

近年來，網絡攻擊事件頻發，互聯網上的木馬、蠕蟲、勒索軟件層出不窮，這對網絡安全乃至國家安全形成了嚴重的威脅。2017年維基解密公佈了美國中情局和美國國家安全局的新型網絡攻擊工具，其中包括了大量的遠程攻擊工具、漏洞、網絡攻擊平台以及相關攻擊説明的文檔。同時從部分博客、論壇和開源網站，普通的用户就可以輕鬆的獲得不同種類的網絡攻擊工具。互聯網的公開性，讓網絡攻擊者的攻擊成本大大降低。2017年5月，全球範圍內爆發了永恆之藍勒索病毒的攻擊事件，該病毒是通過Windows網絡共享協議進行攻擊並具有傳播和勒索功能的惡意代碼。經網絡安全專家證實，攻擊者正是通過改造了NSA泄露的網絡攻擊武器庫中“Eternal Blue”程序發起了此次網絡攻擊事件 ^[1]  。

網絡攻擊是利用網絡信息系統存在的漏洞和安全缺陷對系統和資源進行攻擊。網絡信息系統所面臨的威脅來自很多方面，而且會隨着時間的變化而變化。從宏觀上看，這些威脅可分為人為威脅和自然威脅。自然威脅來自與各種自然災害、惡劣的場地環境、電磁干擾、網絡設備的自然老化等。這些威脅是無目的的，但會對網絡通信系統造成損害，危及通信安全。而人為威脅是對網絡信息系統的人為攻擊，通過尋找系統的弱點，以非授權方式達到破壞、欺騙和竊取數據信息等目的。兩者相比，精心設計的人為攻擊威脅難防備、種類多、數量大。從對信息的破壞性上看，攻擊類型可以分為被動攻擊和主動攻擊。

主動攻擊會導致某些數據流的篡改和虛假數據流的產生。這類攻擊可分為篡改、偽造消息數據和終端（拒絕服務）。

（1）篡改消息

篡改消息是指一個合法消息的某些部分被改變、刪除，消息被延遲或改變順序，通常用以產生一個未授權的效果。如修改傳輸消息中的數據，將“允許甲執行操作”改為“允許乙執行操作”。

（2）偽造

偽造指的是某個實體（人或系統）發出含有其他實體身份信息的數據信息，假扮成其他實體，從而以欺騙方式獲取一些合法用户的權利和特權。

（3）拒絕服務

拒絕服務即常説的DoS（Deny of Service），會導致對通訊設備正常使用或管理被無條件地中斷。通常是對整個網絡實施破壞，以達到降低性能、終端服務的目的。這種攻擊也可能有一個特定的目標，如到某一特定目的地（如安全審計服務）的所有數據包都被阻止。

被動攻擊中攻擊者不對數據信息做任何修改，截取/竊聽是指在未經用户同意和認可的情況下攻擊者獲得了信息或相關數據。通常包括竊聽、流量分析、破解弱加密的數據流等攻擊方式。

（1）流量分析

流量分析攻擊方式適用於一些特殊場合，例如敏感信息都是保密的，攻擊者雖然從截獲的消息中無法的知道消息的真實內容，但攻擊者還能通過觀察這些數據報的模式，分析確定出通信雙方的位置、通信的次數及消息的長度，獲知相關的敏感信息，這種攻擊方式稱為流量分析。

（2）竊聽

竊聽是最常用的手段。應用最廣泛的局域網上的數據傳送是基於廣播方式進行的，這就使一台主機有可能收到本子網上傳送的所有信息。而計算機的網卡工作在雜收模式時，它就可以將網絡上傳送的所有信息傳送到上層，以供進一步分析。如果沒有采取加密措施，通過協議分析，可以完全掌握通信的全部內容，竊聽還可以用無限截獲方式得到信息，通過高靈敏接受裝置接收網絡站點輻射的電磁波或網絡連接設備輻射的電磁波，通過對電磁信號的分析恢復原數據信號從而獲得網絡信息。儘管有時數據信息不能通過電磁信號全部恢復，但可能得到極有價值的情報。

由於被動攻擊不會對被攻擊的信息做任何修改，留下痕跡很少，或者根本不留下痕跡，因而非常難以檢測，所以抗擊這類攻擊的重點在於預防，具體措施包括虛擬專用網VPN，採用加密技術保護信息以及使用交換式網絡設備等。被動攻擊不易被發現，因而常常是主動攻擊的前奏。

被動攻擊雖然難以檢測，但可採取措施有效地預防，而要有效地防止攻擊是十分困難的，開銷太大，抗擊主動攻擊的主要技術手段是檢測，以及從攻擊造成的破壞中及時地恢復。檢測同時還具有某種威懾效應，在一定程度上也能起到防止攻擊的作用。具體措施包括自動審計、入侵檢測和完整性恢復等。

從淺入深的分為以下幾個層次：

（1）簡單拒絕服務。

（2）本地用户獲得非授權讀權限。

（3）本地用户獲得非授權寫權限。

（4）遠程用户獲得非授權賬號信息。

（5）遠程用户獲得特權文件的讀權限。

（6）遠程用户獲得特權文件的寫權限。

（7）遠程用户擁有了系統管理員權限。

所謂口令入侵是指使用某些合法用户的賬號和口令登錄到目的主機，然後再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用户的賬號，然後再進行合法用户口令的破譯。獲得普通用户賬號的方法非常多，如

利用目標主機的Finger功能：當用Finger命令查詢時，主機系統會將保存的用户資料（如用户名、登錄時間等）顯示在終端或計算機上；

利用目標主機的X.500服務：有些主機沒有關閉X.500的目錄查詢服務，也給攻擊者提供了獲得信息的一條簡易途徑；

從電子郵件地址中收集：有些用户電子郵件地址常會透露其在目標主機上的賬號；

查看主機是否有習慣性的賬號：有經驗的用户都知道，非常多系統會使用一些習慣性的賬號，造成賬號的泄露。

放置特洛伊木馬程式能直接侵入用户的計算機並進行破壞，他常被偽裝成工具程式或遊戲等誘使用户打開帶有特洛伊木馬程式的郵件附件或從網上直接下載，一旦用户打開了這些郵件的附件或執行了這些程式之後，他們就會像古特洛伊人在敵人城外留下的藏滿士兵的木馬相同留在自己的計算機中，並在自己的計算機系統中隱藏一個能在Windows啓動時悄悄執行的程式。當你連接到因特網上時，這個程式就會通知攻擊者，來報告你的IP地址及預先設定的端口。攻擊者在收到這些信息後，再利用這個潛伏在其中的程式，就能任意地修改你的計算機的參數設定、複製文件、窺視你整個硬盤中的內容等，從而達到控制你的計算機的目的。

在網上用户能利用IE等瀏覽器進行各種各樣的WEB站點的訪問，如閲讀新聞組、諮詢產品價格、訂閲報紙、電子商務等。然而一般的用户恐怕不會想到有這些問題存在：正在訪問的網頁已被黑客篡改過，網頁上的信息是虛假的！例如黑客將用户要瀏覽的網頁的URL改寫為指向黑客自己的服務器，當用户瀏覽目標網頁的時候，實際上是向黑客服務器發出請求，那麼黑客就能達到欺騙的目的了。

一般Web欺騙使用兩種技術手段，即URL地址重寫技術和相關信關信息掩蓋技術。利用URL地址，使這些地址都指向攻擊者的Web服務器，即攻擊者能將自己的Web地址加在所有URL地址的前面。這樣，當用户和站點進行安全鏈接時，就會毫不防備地進入攻擊者的服務器，於是用户的所有信息便處於攻擊者的監視之中。但由於瀏覽器材一般均設有地址欄和狀態欄，當瀏覽器和某個站點邊接時，能在地址欄和狀態欄中獲得連接中的Web站點地址及其相關的傳輸信息，用户由此能發現問題，所以攻擊者往往在URL地址重寫的同時，利用相關信息排蓋技術，即一般用JavaScript程式來重寫地址樣和狀枋樣，以達到其排蓋欺騙的目的。

電子郵件是互聯網上運用得十分廣泛的一種通訊方式。攻擊者能使用一些郵件炸彈軟件或CGI程式向目的郵箱發送大量內容重複、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時，更有可能造成郵件系統對於正常的工作反映緩慢，甚至癱瘓。相對於其他的攻擊手段來説，這種攻擊方法具有簡單、見效快等好處。

攻擊者在突破一台主機後，往往以此主機作為根據地，攻擊其他主機（以隱蔽其入侵路徑，避免留下蛛絲馬跡）。他們能使用網絡監聽方法，嘗試攻破同一網絡內的其他主機；也能通過IP欺騙和主機信任關係，攻擊其他主機。

這類攻擊非常狡猾，但由於某些技術非常難掌控，如TCP/IP欺騙攻擊。攻擊者通過外部計算機偽裝成另一台合法機器來實現。他能磙壞兩台機器間通信鏈路上的數據，其偽裝的目的在於哄騙網絡中的其他機器誤將其攻擊者作為合法機器加以接受，誘使其他機器向他發送據或允許他修改數據。TCP/IP欺騙能發生TCP/IP系統的所有層次上，包括數據鏈路層、網絡層、運輸層及應用層均容易受到影響。如果底層受到損害，則應用層的所有協議都將處於危險之中。另外由於用户本身不直接和底層相互相交流，因而對底層的攻擊更具有欺騙性。

網絡監聽是主機的一種工作模式，在這種模式下，主機能接收到本網段在同一條物理通道上傳輸的所有信息，而不管這些信息的發送方和接收方是誰。因為系統在進行密碼校驗時，用户輸入的密碼需要從用户端傳送到服務器端，而攻擊者就能在兩端之間進行數據監聽。此時若兩台主機進行通信的信息沒有加密，只要使用某些網絡監聽工具（如NetXRay for 視窗系統95/98/NT、Sniffit for Linux、Solaries等）就可輕而易舉地截取包括口令和賬號在內的信息資料。雖然網絡監聽獲得的用户賬號和口令具有一定的侷限性，但監聽者往往能夠獲得其所在網段的所有用户賬號及口令。

利用黑客軟件攻擊是互連網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬，他們能非法地取得用户計算機的終極用户級權利，能對其進行完全的控制，除了能進行文件操作外，同時也能進行對方桌面抓圖、取得密碼等操作。這些黑客軟件分為服務器端和用户端，當黑客進行攻擊時，會使用用户端程式登陸上已安裝好服務器端程式的計算機，這些服務器端程式都比較小，一般會隨附帶於某些軟件上。有可能當用户下載了一個小遊戲並運行時，黑客軟件的服務器端就安裝完成了，而且大部分黑客軟件的重生能力比較強，給用户進行清除造成一定的麻煩。特別是一種TXT文件欺騙手法，表面看上去是個TXT文本文件，但實際上卻是個附帶黑客程式的可執行程式，另外有些程式也會偽裝成圖片和其他格式的文件。

許多系統都有這樣那樣的安全漏洞（Bugs）。其中一些是操作系統或應用軟件本身具有的。如緩衝區溢出攻擊。由於非常多系統在不檢查程式和緩衝之間變化的情況，就任意接受任意長度的數據輸入，把溢出的數據放在堆棧裏，系統還照常執行命令。這樣攻擊者只要發送超出緩衝區所能處理的長度的指令，系統便進入不穩定狀態。若攻擊者特別設置一串準備用作攻擊的字符，他甚至能訪問根目錄，從而擁有對整個網絡的絕對控制權。另一些是利用協議漏洞進行攻擊。如攻擊者利用POP3一定要在根目錄下運行的這一漏洞發動攻擊，破壞的根目錄，從而獲得終極用户的權限。又如，ICMP協議也經常被用於發動拒絕服務攻擊。他的具體手法就是向目的服務器發送大量的數據包，幾乎佔取該服務器所有的網絡寬帶，從而使其無法對正常的服務請求進行處理，而導致網站無法進入、網站響應速度大大降低或服務器癱瘓。常見的蠕蟲病毒或和其同類的病毒都能對服務器進行拒絕服務攻擊的進攻。他們的繁殖能力很強，一般通過Microsoft的Outlook軟件向眾多郵箱發出帶有病毒的郵件，而使郵件服務器無法承擔如此龐大的數據處理量而癱瘓。對於個人上網用户而言，也有可能遭到大量數據包的攻擊使其無法進行正常的網絡操作。

所謂端口掃描，就是利用Socket編程和目標主機的某些端口建立TCP連接、進行傳輸協議的驗證等，從而偵知目標主機的掃描端口是否是處於激活狀態、主機提供了哪些服務、提供的服務中是否含有某些缺陷等等。常用的掃描方式有：Connect掃描、Fragmentation掃描。

指外部攻擊者通過各種手段，從該子網以外的地方向該子網或者該子網內的系統發動攻擊。

指本單位的內部人員，通過所在的局域網，向本單位的其他系統發動攻擊，在本級上進行非法越權訪問。

指內部人員為了掩蓋攻擊者的身份，從本地獲取目標的一些必要信息後，攻擊過程從外部遠程發起，造成外部入侵的現象。

當計算機系統接入到網絡後，就要面臨網絡中的各種風險。所以系統是否足夠穩定，就成了抵禦網絡攻擊的關鍵。如果操作系統或者系統的應用軟件存在設計上的缺陷，或者有編寫錯誤，導致系統運行過程中存在邏輯缺陷，就容易出現缺陷被黑客利用的情況，導致系統落入到黑客的掌控中，並造成系統中的資料被黑客竊取。 ^[5] 

計算機的木馬是一種遠程控制軟件，可以偽裝成其他軟件入侵計算機，竊取計算機的信息，甚至獲得計算機的控制權。木馬的結構包括木馬和控制中心兩個部分，有些木馬程序為了避免被計算機識別，會專門增加跳板模塊，作為木馬和控制中心溝通的橋樑。計算機被木馬程序攻擊後，木馬就會利用跳板和控制中心聯繫，實現對計算機的遠程控制，或者監測計算機的運行狀態。 ^[5] 

網絡嗅探就是網絡監聽，該技術會利用計算機網絡共享技術捕獲數據，利用網絡共享通信通道完成數據監聽。由於IP/TCP協議的弊端，給了網絡嗅探機會，導致用户容易受到監聽。嗅探主要通過兩種途徑，一種會將監聽工具軟件植入網絡連接設備或者管理網絡的電腦。 ^[5] 

對於公用U盤等儲存介質，容易感染病毒並在電腦之間傳播，在儲存病毒、木馬的U盤插入其他電腦後，就會導致該電腦受到木馬影響，可能會被不法人員遠程控制。如果插入重要的涉密計算機，就會導致秘密泄露，出現機密文件自動上傳的情況，竊密者也能有機會藉助系統漏洞，完成遠程的秘密竊取。 ^[5] 

DOS攻擊例如：WinNuke通過發送OOB漏洞導致系統藍屏；Bonk通過發送大量偽造的UDP數據包導致系統重啓；TearDrop通過發送重疊的IP碎片導致系統的TCP/IP棧崩潰；WinArp通過發特別數據包在對方機器上產生大量的窗口；Land通過發送大量偽造源IP的基於SYN的TCP請求導致系統重啓動；FluShot通過發送特定IP包導致系統凝固；Bloo通過發送大量的ICMP數據包導致系統變慢甚至凝固；PIMP通過IGMP漏洞導致系統藍屏甚至重新啓動；Jolt通過大量偽造的ICMP和UDP導致系統變得非常慢甚至重新啓動。

（1）BO2000（BackOrifice）：他是功能最全的TCP/IP構架的攻擊工具，能蒐集信息，執行系統命令，重新設置機器，重新定向網絡的客户端/服務器應用程式。BO2000支持多個網絡協議，他能利用TCP或UDP來傳送，還能用XOR加密算法或更高級的3DES加密算法加密。感染BO2000後機器就完全在別人的控制之下，黑客成了終極用户，你的所有操作都可由BO2000自帶的“秘密攝像機”錄製成“錄像帶”。

（2）“冰河”：冰河是個國產木馬程式，具有簡單的中文使用界面，且只有少數流行的反病毒、防火牆才能查出冰河的存在。冰河的功能比起國外的木馬程式來一點也不遜色。他能自動跟蹤目標機器的屏幕變化，能完全模擬鍵盤及鼠標輸入，即在使被控端屏幕變化和監視端產生同步的同時，被監視端的一切鍵盤及鼠標操作將反映在控端的屏幕。他能記錄各種口令信息，包括開機口令、屏保口令、各種共享資源口令及絕大多數在對話框中出現過的口令信息；他能獲取系統信息；他還能進行註冊表操作，包括對主鍵的瀏覽、增刪、複製、重命名和對鍵值的讀寫等所有註冊表操作。

（3）NetSpy：能運行於視窗系統95/98/NT/2000等多種平台上，他是個基於TCP/IP的簡單的文件傳送軟件，但實際上你能將他看作一個沒有權限控制的增強型FTP服務器。通過他，攻擊者能神不知鬼不覺地下載和上傳目標機器上的任意文件，並能執行一些特別的操作。

（4）Glacier：該程式能自動跟蹤目標計算機的屏幕變化、獲取目標計算機登錄口令及各種密碼類信息、獲取目標計算機系統信息、限制目標計算機系統功能、任意操作目標計算機文件及目錄、遠程關機、發送信息等多種監視功能。類似於BO2000。

（5）KeyboardGhost：視窗系統是個以消息循環（MessageLoop）為基礎的操作系統。系統的核心區保留了一定的字節作為鍵盤輸入的緩衝區，其數據結構形式是隊列。鍵盤幽靈正是通過直接訪問這一隊列，使鍵盤上輸入你的電子郵箱、代理的賬號、密碼Password（顯示在屏幕上的是星號）得以記錄，一切涉及以星號形式顯示出來的密碼窗口的所有符號都會被記錄下來，並在系統根目錄下生成一文件名為KG.DAT的隱含文件。

（6）ExeBind：這個程式能將指定的攻擊程式捆綁到所有一個廣為傳播的熱門軟件上，使宿主程式執行時，寄生程式也在後台被執行，且支持多重捆綁。實際上是通過多次分割文件，多次從父進程中調用子進程來實現的。

普通攻擊者都會利用別人的計算機隱藏他們真實的IP地址。老練的攻擊者還會利用800電話的無人轉接服務聯接ISP，然後再盜用他人的賬號上網。

攻擊者首先要尋找目標主機並分析目標主機。在Internet上能真正標識主機的是IP地址，域名是為了便於記憶主機的IP地址而另起的名字，只要利用域名和IP地址就能順利地找到目標主機。當然，知道了要攻擊目標的位置還是遠遠不夠的，還必須將主機的操作系統類型及其所提供服務等資料作個全方面的瞭解。此時，攻擊者們會使用一些掃描器工具，輕鬆獲取目標主機運行的是哪種操作系統的哪個版本，系統有哪些賬户，WWW、FTP、Telnet、SMTP等服務器程式是何種版本等資料，為入侵做好充分的準備。

攻擊者要想入侵一台主機，首先要該獲取主機的一個賬號和密碼，否則連登錄都無法進行。這樣常迫使他們先設法盜竊賬户文件，進行破解，從中獲取某用户的賬户和口令，再尋覓合適時機以此身份進入主機。當然，利用某些工具或系統漏洞登錄主機也是攻擊者常用的一種技法。

攻擊者們用FTP、Telnet等工具利用系統漏洞進入進入目標主機系統獲得控制權之後，就會做兩件事：清除記錄和留下後門。他會更改某些系統設置、在系統中置入特洛伊木馬或其他一些遠程操縱程式，以便日後能不被覺察地再次進入系統。大多數後門程式是預先編譯好的，只需要想辦法修改時間和權限就能使用了，甚至新文件的大小都和原文件一模相同。攻擊者一般會使用rep傳遞這些文件，以便不留下FTB記錄。清除日誌、刪除拷貝的文件等手段來隱藏自己的蹤跡之後，攻擊者就開始下一步的行動。

攻擊者找到攻擊目標後，會繼續下一步的攻擊，竊取網絡資源和特權。如：下載敏感信息；實施竊取賬號密碼、信用卡號等經濟偷竊；使網絡癱瘓。

在對網絡攻擊進行上述分析和識別的基礎上，我們應當認真制定有針對性的策略。明確安全對象，設置強有力的安全保障體系。有的放矢，在網絡中層層設防，發揮網絡的每層作用，使每一層都成為一道關卡，從而讓攻擊者無隙可鑽、無計可使。還必須做到未雨綢繆，預防為主，將重要的數據備份並時刻注意系統運行狀況。以下是針對眾多令人擔心的網絡安全問題，提出的幾點建議

（1）不要隨意打開來歷不明的電子郵件及文件，不要隨便運行不太瞭解的人給你的程式，比如“特洛伊”類黑客程式就需要騙你運行。

（2）儘量避免從Internet下載不知名的軟件、遊戲程式。即使從知名的網站下載的軟件也要及時用最新的病毒和木馬查殺軟件對軟件和系統進行掃描。

（3）密碼設置儘可能使用字母數字混排，單純的英文或數字非常容易窮舉。將常用的密碼設置不同，防止被人查出一個，連帶到重要密碼。重要密碼最佳經常更換。

（4）及時下載安裝系統補丁程式。

（5）不隨便運行黑客程式，不少這類程式運行時會發出你的個人信息。

（6）在支持HTML的BBS上，如發現提交警告，先看原始碼，非常可能是騙取密碼的陷阱。

使用防毒、防黑等防火牆軟件。防火牆是個用以阻止網絡中的黑客訪問某個機構網絡的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監視系統來隔離內部和外部網絡，以阻擋外部網絡的侵入。

設置代理服務器，隱藏自己IP地址。保護自己的IP地址是非常重要的。事實上，即便你的機器上被安裝了木馬程式，若沒有你的IP地址，攻擊者也是沒有辦法的，而保護IP地址的最佳方法就是設置代理服務器。代理服務器能起到外部網絡申請訪問內部網絡的中間轉接作用，其功能類似於一個數據轉發器，他主要控制哪些用户能訪問哪些服務類型。當外部網絡向內部網絡申請某種網絡服務時，代理服務器接受申請，然後他根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名範圍等來決定是否接受此項服務，如果接受，他就向內部網絡轉發這項請求。

將防毒、防黑當成日常例性工作，定時更新防毒組件，將防毒軟件保持在常駐狀態，以完全防毒；

由於黑客經常會針對特定的日期發動攻擊，計算機用户在此期間應特別提高警戒；

對於重要的個人資料做好嚴密的保護，並養成資料備份的習慣。

基於經驗術語的分類方法

基於攻擊術語的分類法是通過社會術語和技術術語對攻擊進行描述並分類的方法。Lcove按照該方法把攻擊分為了病毒、蠕蟲、DDoS、網絡欺騙等20餘類。但此種分類方法很難滿足完備性和互斥性，術語之間存在着較大的重複。

Jayaram等人從攻擊的實施方法將網絡攻擊劃分為物理攻擊、系統攻擊、惡意程序攻擊、權限攻擊和通信過程攻擊5類。此種分類方法只能宏觀的描述攻擊屬性的特點，對於攻擊的其他方面的特徵無從反映，不具有普適性。

基於多維屬性的分類方法，抽取攻擊過程中的多個屬性，來表示一個攻擊過程並對過程進行分類的方法。王昭等人提出了一種基於多維屬性的網絡攻擊分類方法，將攻擊過程中所涉及的技術手段、攻擊來源、攻擊入口、攻擊目標、攻擊行為、攻擊意圖、漏洞利用、適用平台、檢測設備、消耗時間、自動化程度、破壞程度、傳播能力和防禦能力14個方面。通過多維屬性的分類方法可以較好的克服基於術語和基於單一屬性的分類方法在普適性和可擴展性方面的缺點。

基於應用的分類方法，是針對特定類型的應用發起的攻擊進行分類的方法。Alvarez等人對Web應用的攻擊進行了分析並對攻擊進行了描述。Welch等人對無線網絡的攻擊進行了研究，從嗅探、中間人和重放攻擊等方面進行了描述。此種分類方法可針對特定類型應用對網絡攻擊進行描述，但普適性方面具有天然缺陷，不能適應多種應用場景。

基於攻擊過程的分類方法，是針對攻擊的過程中所適用到的技術方法並對其進行分類的一種方法。劉欣然等人提出了一種面向生命週期的網絡攻擊分類體系，從平台依賴性、漏洞相關性、攻擊作用點、攻擊結果、破壞強度和傳播性6個方面對網絡攻擊過程的不同階段進行了描述 ^[2]  。此種分類方法從攻擊過程的角度提取多維屬性，具有良好的普適性和可擴展性。

基於攻擊效果的分類方法，屏蔽了攻擊的過程，從攻擊對目標環境的效果方面進行分類，改方法具有很好的互斥性，但是對於攻擊分類的顆粒度不夠細緻。張森強等人提出了一種基於攻擊效能的網絡攻擊分類方法，通過該方法將網絡攻擊工具分為傳染類、控制類、搜索類和破解類。這種分類方法不具備很好的完備性，很難覆蓋所有的攻擊工具，如加殼工具、DDoS工具並不在上述四類中。

除了上面介紹的分類方法，國內外研究學者從自身的研究角度對網絡攻擊進行了分類。章麗娟等人提出了基於多試圖的攻擊分類體系，構建了攻擊試圖、防禦試圖和第三方試圖為主體結構攻擊分類體系。毛承品等人提出了基於網絡攻擊平台的攻擊分類方法，基於教學培訓和公安偵訊的網絡攻擊平台，使用維度的分類法，對網絡攻擊進行分類。Onik等人提出了一種基於序列問題的分類方法，通過who，where，how，what四個問題對網絡攻擊進行分類描述。

網絡攻擊技術和攻擊工具有了新的發展趨勢，使藉助Internet運行業務的機構面臨着前所未有的風險，本文將對網絡攻擊的新動向進行分析，使讀者能夠認識、評估，並減小這些風險。

Internet上的安全是相互依賴的。每個Internet系統遭受攻擊的可能性取決於連接到全球Internet上其他系統的安全狀態。由於攻擊技術的進步，一個攻擊者可以比較容易地利用分佈式系統，對一個受害者發動破壞性的攻擊。隨着部署自動化程度和攻擊工具管理技巧的提高，威脅將繼續增加。

攻擊工具開發者正在利用更先進的技術武裝攻擊工具。與以前相比，攻擊工具的特徵更難發現，更難利用特徵進行檢測。攻擊工具具有三個特點：反偵破，攻擊者採用隱蔽攻擊工具特性的技術，這使安全專家分析新攻擊工具和了解新攻擊行為所耗費的時間增多；動態行為，早期的攻擊工具是以單一確定的順序執行攻擊步驟，自動攻擊工具可以根據隨機選擇、預先定義的決策路徑或通過入侵者直接管理，來變化它們的模式和行為；攻擊工具的成熟性，與早期的攻擊工具不同，攻擊工具可以通過升級或更換工具的一部分迅速變化，發動迅速變化的攻擊，且在每一次攻擊中會出現多種不同形態的攻擊工具。此外，攻擊工具越來越普遍地被開發為可在多種操作系統平台上執行。許多常見攻擊工具使用IRC或HTTP（超文本傳輸協議）等協議，從入侵者那裏向受攻擊的計算機發送數據或命令，使得人們將攻擊特性與正常、合法的網絡傳輸流區別開變得越來越困難。

新發現的安全漏洞每年都要增加一倍，管理人員不斷用最新的補丁修補這些漏洞，而且每年都會發現安全漏洞的新類型。入侵者經常能夠在廠商修補這些漏洞前發現攻擊目標。

防火牆滲透率越來越高

防火牆是人們用來防範入侵者的主要保護措施。但是越來越多的攻擊技術可以繞過防火牆，例如，IPP（Internet打印協議）和WebDAV（基於Web的分佈式創作與翻譯）都可以被攻擊者利用來繞過防火牆。

攻擊工具的自動化水平不斷提高。自動攻擊一般涉及四個階段，在每個階段都出現了新變化。掃描可能的受害者。自1997年起，廣泛的掃描變見慣。掃描工具利用更先進的掃描模式來改善掃描效果和提高掃描速度。損害脆弱的系統。以前，安全漏洞只在廣泛的掃描完成後才被加以利用。而攻擊工具利用這些安全漏洞作為掃描活動的一部分，從而加快了攻擊的傳播速度。傳播攻擊。在2000年之前，攻擊工具需要人來發動新一輪攻擊。攻擊工具可以自己發動新一輪攻擊。像紅色代碼和尼姆達這類工具能夠自我傳播，在不到18個小時內就達到全球飽和點。攻擊工具的協調管理。隨着分佈式攻擊工具的出現，攻擊者可以管理和協調分佈在許多Internet系統上的大量已部署的攻擊工具。分佈式攻擊工具能夠更有效地發動拒絕服務攻擊，掃描潛在的受害者，危害存在安全隱患的系統。

基礎設施攻擊是大面積影響Internet關鍵組成部分的攻擊。由於用户越來越多地依賴Internet完成日常業務，基礎設施攻擊引起人們越來越大的擔心。基礎設施面臨分佈式拒絕服務攻擊、蠕蟲病毒、對Internet域名系統（DNS）的攻擊和對路由器攻擊或利用路由器的攻擊。

拒絕服務攻擊利用多個系統攻擊一個或多個受害系統，使受攻擊系統拒絕向其合法用户提供服務。攻擊工具的自動化程度使得一個攻擊者可以安裝他們的工具並控制幾萬個受損害的系統發動攻擊。入侵者經常搜索已知包含大量具有高速連接的易受攻擊系統的地址塊，電纜調制解調器、DSL和大學地址塊越來越成為計劃安裝攻擊工具的入侵者的目標。由於Internet是由有限而可消耗的資源組成，並且Internet的安全性是高度相互依賴的，因此拒絕服務攻擊十分有效。蠕蟲病毒是一種自我繁殖的惡意代碼。與需要用户做某種事才能繼續繁殖的病毒不同，蠕蟲病毒可以自我繁殖。再加上它們可以利用大量安全漏洞，會使大量的系統在幾個小時內受到攻擊。一些蠕蟲病毒包括內置的拒絕服務攻擊載荷或Web站點損毀載荷，另一些蠕蟲病毒則具有動態配置功能。但是，這些蠕蟲病毒的最大影響力是，由於它們傳播時生成海量的掃描傳輸流，它們的傳播實際上在Internet上生成了拒絕攻擊，造成大量間接的破壞（這樣的例子包括：DSL路由器癱瘓；並非掃描本身造成的而是掃描引發的基礎網絡管理（ARP）傳輸流激增造成的電纜調製解制器ISP網絡全面超載）。

據防務新聞網站2012年10月4日報道，一名軍方官員表示，美國需要發展網絡空間攻擊性武器，以保護國家免受網絡攻擊。

美國網絡司令部司令兼美國國家安全局局長基思·亞歷山大表示：“如果防禦僅僅是在盡力阻止攻擊，那麼這永遠不算成功。政府需要在攻擊發生之前將其扼殺，採取何種防禦措施部分歸因於攻擊手段。”

亞歷山大在美國商會舉辦的網絡安全峯會上表示，任何賽博攻擊行為都需要遵循其他軍事態勢中相似的交戰原則。

美國軍方已經開始研究包括攻擊型武器在內的各種網絡空間策略。DARPA則開始為網絡空間攻擊能力構建平台，並經呼籲學術界和工業界的專家參與。 ^[3] 

國家互聯網應急中心監測發現，2022年2月下旬以來，我國互聯網持續遭受境外網絡攻擊，境外組織通過攻擊控制我境內計算機，進而對俄羅斯、烏克蘭、白俄羅斯進行網絡攻擊。經分析，這些攻擊地址主要來自美國，僅來自紐約州的攻擊地址就有10餘個，攻擊流量峯值達36Gbps，87%的攻擊目標是俄羅斯，也有少量攻擊地址來自德國、荷蘭等國家。 ^[4] 

2022年12月6日消息，日本政府計劃將網絡防衞等內容加入安保相關文件。 ^[6]