网络安全的重要性和迫切性

信息科技的迅速发展,Internet已成为全球重要的信息传播工具。据不完全统计,Internet现在遍及186个国家,容纳近60万个网络,提供了包括600个大型联网图书馆,400个联网的学术文献库,2000种网上杂志,900种网上新闻报纸,50多万个Web网站在内的多种服务,总共近100万个信息源为世界各地的网民提供大量信息资源交流和共享的空间。
作为一种战略资源,信息的应用也从原来的军事、科技、文化和商业渗透到当今社会的各个领域,在社会生产、生活中的作用日益显著。传播、共享和自增殖是信息的固有属性,与此同时,又要求信息的传播是可控的,共享是授权的,增殖是确认的。因此在任何情况下,信息的安全和可靠必须是保证的。Internet是一种开放和标准的面向所有用户的技术,其资源通过网络共享。资源共享和信息安全是一对矛盾. 自Internet问世以来,资源共享和信息安全一直作为一对矛盾体而存在着,计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出,各种计算机病毒和网上黑客(Hackers)对Internet的攻击越来越激烈,许多网站遭受破坏的事例不胜枚举。那么,黑客的攻击为什么屡屡得手呢?其主要有以下几个原因:
* 现有网络系统具有内在安全的脆弱性。
以下是Security Focus Bugtraq所追踪的各操作系统已知存在漏洞统计之比较
表A 列出截至2001年为止的已知漏洞。
 
表B列出2000年的漏洞
 
* 对网络的管理思想麻痹,没有重视黑客攻击所造成的严重后果,舍不得投入必要的人力、财力、物力来加强网络安全性。
* 没有采取正确的安全策略和安全机制。
* 缺乏先进的网络安全技术、工具、手段和产品。
* 缺乏先进的系统恢复、备份技术和工具。
鉴于上述原因,为了加强Internet信息安全保护,有必要针对目前黑客对Internet网站采取的攻击手段制定相应有效的防范措施。

我国信息化事业能否顺利发展,一个比较关键的因素便是网络、信息的安全问题,这已成为制约网络发展的首要因素。所以,重视和加快网络安全问题的研究和技术开发具有重要意义。
返回
网络安全热点技术和产品
1 防火墙
防火墙是建立在被保护网络与不可信网络之间的一道安全屏障,用于保护企业内部网络和资源。它在内部和外部两个网络之间建立一个安全控制点,对进、出内部网络的服务和访问进行控制和审计。
防火墙产品主要分为两大类:
包过滤防火墙(也称为网络层防火墙)在网络层提供较低级别的安全防护和控制。
应用级防火墙(也称为应用代理防火墙)在最高的应用层提供高级别的安全防护和控制。

2 隐患扫描
一个计算机网络安全漏洞有它多方面的属性,主要可以用以下几个方面来概括:漏洞可能造成的直接威胁、漏洞的成因、漏洞的严重性和漏洞被利用的方式。
漏洞检测和入侵检测系统是网络安全系统的一个重要组成部分,它不但可以实现复杂烦琐的信息系统安全管理,而且还可以从目标信息系统和网络资源中采集信息,分析来自网络外部和内部的入侵信号和网络系统中的漏洞,有时还能实时地对攻击做出反应。
漏洞检测就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。这种技术通常采用两种策略,即被动式策略和主动式策略。被动式策略是基于主机的检测,对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查;而主动式策略是基于网络的检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而发现其中的漏洞。漏洞检测的结果实际上就是系统安全性能的一个评估,它指出了哪些攻击是可能的,因此成为安全方案的一个重要组成部分。
入侵检测和漏洞检测系统是防火墙的重要补充,并能有效地结合其他网络安全产品的性能,对网络安全进行全方位的保护。
3入侵检测
网络监控与入侵检测系统将网络上传输的数据实时捕获下来,检查是否有黑客入侵和可疑活动的发生,一旦发现有黑客入侵,系统将做出实时响应和报警。
入侵检测模型可以分为两大类:
基于网络的入侵检测:通过实时监视网络上的数据流,来寻找具有网络攻击特征的活动。
基于主机的入侵检测:通过分析系统的审记数据,检查系统资源的使用情况以及启动的服务等来检测本机是否受到了攻击。
对已知攻击的检测:通过分析攻击的原理提取攻击特征,建立攻击特征库,使用模式匹配的方法,来识别攻击。
对未知攻击和可疑活动的检测:通过建立统计模型和智能分析模块,来发现新的攻击和可疑活动。
返回
黑客攻击
随着网络的日益发展,网络安全问题日益突出,以下是近几年比较重大的黑客攻击事件:
1991年,美国国会总审计署宣布在海湾战争期间,几个荷兰少年黑客侵入国防部的计算机,修改或复制了一些非保密的与战争相关的敏感情报,包括军事人员、运往海湾的军事装备和重要武器装备开发情况等。
1994年,格里菲斯空军基地和美国航空航天局的电脑网络受到两名黑客的攻击。同年,一名黑客用一个很容易得到的密码发现了英国女王、梅杰首相和其他几位军情五处高官的电话号码,并把这些号码公布在互联网上。
1995年,“世界头号电脑黑客”凯文·米特尼克被捕。他被指控闯入许多电脑网络,包括入侵北美空中防务体系、美国国防部,偷窃了2万个信用号卡和复制软件。同年,俄罗斯黑客列文在英国被捕。他被指控用笔记本电脑从纽约花旗银行非法转移至少370万美元到世界各地由他和他的同党控制的账户。
1993年底,中科院高能所就发现有“黑客”侵入现象,某用户的权限被升级为超级权限。当系统管理员跟踪时,被其报复。1994年,美国一位14岁的小孩通过互联网闯入中科院网络中心和清华的主机,并向我方系统管理员提出警告。1996年,高能所再次遭到“黑客”入侵,私自在高能所主机上建立了几十个帐户,经追踪发现是国内某拨号上网的用户。
进入1998年,黑客入侵活动日益猖獗,国内各大网络几乎都不同程度地遭到黑客的攻击,8月,印尼事件激起中国黑客集体入侵印尼网点,造成印尼多个网站瘫痪,但与此同时,中国的部分站点遭到印尼黑客的报复。10月,福建省图书馆主页被黑客替换。
1998年,美国防部宣称黑客向五角大楼网站发动了“有史以来最大规模、最系统性的攻击行动”,打入了许多政府非保密性的敏感电脑网络,查询并修改了工资报表和人员数据。不久,警方抓获了两名加州少年黑客。三个星期后,美国警方宣布以色列少年黑客“分析家”被抓获。同年,马萨诸塞州伍切斯特机场导航系统因一名少年黑客入侵而中断6小时。
1999年5月,美国参议院、白宫和美国陆军网络以及数十个政府网站都被黑客攻陷。同时,因北约导弹袭击中国驻南斯拉夫联盟使馆,中国黑客群体出击美国网站以示抗议。
2000年2月,在三天时间里,黑客使美国数家顶级互联网站——雅虎、亚马逊、电子港湾、CNN陷入瘫痪。黑客使用了一种称作“拒绝服务式”的攻击手段,即用大量无用信息阻塞网站的服务器,使其不能提供正常服务。同月,日本右翼分子举行集会,企图否认南京大屠杀暴行,引起中国黑客愤慨,中国黑客连番袭击日本网站。
2月8日——9日,中国最大网站新浪网招致黑客长达18小时的袭击,其电子邮箱完全陷入瘫痪。
2001年2月8日,中央企业工作委员会直属的高新技术企业集团武汉邮电科学研究研被黑,首页页头被加上“这里是信息产业部邮科院的网站,但已经被黑”的字样。由于武汉邮电科学研究院在我国光纤研究领域和在武汉市的地位,其网站被黑引起了社会的广泛关注,据称也引起了国家信息的注意。这是2001年国内第一次有影响的黑客事件。
2001年4月30日开始中美因撞机事件爆发的互联网黑客大战。中国官方首次出面证实,被攻击的中国网站中有12%是政府网站。 自4月30日开始的中美黑客大战至今,福建省已有不少官方网站受害。为此日前,福州市公安局计算机安全监察处提醒各大网站提高警惕。从4月30日晚开始,一场没有硝烟的“战争”在网络上展开,由中美撞机事件引发的中美网络黑客大战的战火,愈烧愈烈。双方已有超过700家政府及民间网站相继被“黑”。在“五一”假期期间,这个数字还在不断持续上升。其中,福建省的一些官方网站也在此列。包括福建外贸信息网在内的多家网站被黑,其中有许多是政府网站,有的网站甚至完全崩溃,造成重大损失。 
2001年,自“五一”长假以来,一场没有硝烟的黑客大战正在互联网上愈演愈烈。当人们从节日氛围走出时,却发现短短的数天时间内,国内已有逾千家网站被黑。其中近半数为政府(.gov)、教育(.edu)及科研(.ac)网站。
中国青年报两次被黑,11月3日,北京青年报网站遭到不明黑客袭击。网站被修改为黑色底色,并挂有巴西国旗。11月4日,北京青年报网站再次被黑客攻击。据称,黑客的两次攻击都是善意的,不知道这是北京青年报的自嘲还是黑客们真是善意的,总之,我们再一次发现我们网络的脆弱,不然不知道怎样解释两天的两次善意被黑。
2001年11月1日,国内网站新浪被一家美国黄色网站攻破,以致沾染“黄污”。网页维护单位已迅速将黄色网站屏蔽。新浪网站搜索引擎提供的100多条“留学生回流”相关新闻标题中,标题“中国留学生回流热”的链接被指向一家全英文的美国成人黄色网站,图片极为污秽,不堪入目。
2001年12月, 九运会期间信息系统运作获得圆满成功,抵御数十万次黑客攻击,创下全运会史上的五个第一。仅在开幕式当天,就出现了总数达35万次的三次袭击高峰,此后平均每天有3—5万次的攻击。网管发现,几乎世界各地都有黑客参与攻击,其中不乏一些“颇负盛名”的俄罗斯、美国黑客。由于采用了防火墙设备,并派人24小时监控,九运会网络安然无恙,黑客们只得无功而返。
1黑客攻击技术介绍
目前,黒客攻击技术细分下来共有九类,分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、利用病毒攻击、木马程序攻击、后门攻击、信息战。下面,我们将对这几种攻击类型逐一进行分析。
1.1 入侵系统类攻击
这种攻击手法千变万化,可是攻击者的最终目的都是为了获得主机系统的控制权,从而破坏主机和网络系统。这类攻击又分为:信息收集攻击、口令攻击、漏洞攻击
信息收集型攻击并不对目标本身造成危害,这类攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术攻击;体系结构探测攻击;利用信息服务攻击;假消息攻击;网络监听攻击等。黑客还会运用社会工程收集信息。
口令攻击是网上攻击最常用的方法,入侵者通过系统常用服务或对网络通信进行监听来搜集帐号,当找到主机上的有效帐号后,就采用字典穷举法进行攻击,或者他们通过各种方法获取password文件,然后用口令猜测程序破译用户帐号和密码。
利用系统管理策略或配置文件的漏洞,获得比合法权限更高的操作权,如:电子邮件DEBUG、Decode、Pipe、Wiz;FTP的CWD~root、Site Exec;IP碎片攻击、NFS猜测、NFS Mknod、NFS UID检查、Rlogin-froot检查等。
利用系统配置疏忽的入侵攻击,如:利用CGI脚本权限配置错误的入侵攻击;利用环境变量配置疏忽的入侵攻击;Setuid 漏洞入侵攻击。
协议漏洞攻击,如:FTP协议攻击;服务程序漏洞攻击,如wu-ftpd漏洞攻击、IIS漏洞攻击;CGI漏洞攻击等。
利用Web服务器的不合理配置,或CGI程序的漏洞进行攻击,达到获取脚本源码,非法执行程序,使WWW服务器崩溃等目的。如:对NT的IIS服务器的多种攻击,对许多免费CGI程序(如jj,wwwcounter等);对asp,java script程序漏洞的攻击等。
1.2 缓冲区溢出攻击
通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它的指令,如果这些指令是放在有root权限的内存中,那么一旦这些指令得到了运行,黑客就以root权限控制了系统,达到入侵的目的。缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能,使攻击者获得程序的控制权。
缓冲区溢出的一般攻击步骤为:在程序的地址空间里安排适当的代码(植入法或利用已存在的代码),然后,通过适当的地址初始化寄存器和存储器,让程序跳到黑客安排的地址空间中执行(如激活纪录、函数指针或长跳转缓冲区等)。
1.3欺骗类攻击
TCP/IP协议本身的一些缺陷可以被利用,使黑客可以对TCP/IP网络进行攻击,网络欺骗的技术主要有:HoneyPot和分布式HoneyPot、欺骗空间技术等。主要方式有:IP欺骗;ARP欺骗;DNS欺骗;Web欺骗;电子邮件欺骗;源路由欺骗(通过指定路由,以假冒身份与其它主机进行合法通信、或发送假报文,使受攻击主机出现错误动作;地址欺骗(包括伪造源地址和伪造中间站点)等。
以IP欺骗攻击为例说明如下,其的实施步骤为:选定目标主机——发现主机间的信任模式——使被信任主机葬失工作能力——TCP序列号的取样和预测——冒充被信任主机进入系统,并留下后门供以后使用。
1.4牐牐 拒绝服务攻击
1.4.1 拒绝服务攻击
通过网络,也可使正在使用的计算机出现无响应、死机的现象,这就是拒绝服务攻击,简称DoS(Denial of Service)。这种攻击行为通过发送一定数量一定序列的报文,使网络服务器中充斥了大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪、停止正常的网络服务。
常见的DoS工具有:同步洪流、WinNuke、死亡之PING、Echl攻击、ICMP/SMURF、Finger炸弹、Land攻击、Ping洪流、Rwhod、tearDrop、TARGA3、UDP攻击、OOB等。
1.4.2 分布式拒绝服务攻击
牱植际骄芫服务攻击采用了一种比较特别的体系结构,从许多分布的主机同时攻击一个目标,从而导致目标瘫痪,简称DDoS(Distributed Denial of Service)。攻击步骤如下:探测扫描大量主机以找到可以入侵的脆弱主机——入侵有安全漏洞的主机并获取控制权——在每台被入侵的主机上安装攻击程序(整个过程都是自动化的,在短时间内即可入侵数千台主机)——在控制了足够多的主机之后,从中选择一台作为管理机,安装攻击主程序——到指定逻辑状态后,该管理机指挥所有被控制机对目标发起攻击,造成目标机瘫痪。如:Trinoo、TFN、Stacheldraht、TFN2K、Blitznet、Fapi、Shaft、Trank攻击等。
1.5 对防火墙的攻击
一般来说,防火墙的抗攻击性很强,可是它也不是不可攻破的。其实,防火墙也是由软件和硬件组成的,在设计和实现上都不可避免地存在着缺陷。对防火墙的探测攻击技术有:Firewalking技术、Hping。
绕过防火墙认证的攻击手法有:地址欺骗和TCP序号协同攻击、IP分片攻击、Tcp/Ip会话劫持、协议隧道攻击、干扰攻击、利用FTP-pasv绕过防火墙认证的攻击。
直接攻击防火墙系统的常见手法有:CiscoPix防火墙的安全漏洞:CiscoPIX防火墙的拒绝服务漏洞、CISCOPIX防火墙FTP漏洞允许非法通过防火墙。
1.6 利用病毒攻击
病毒是黑客实施网络攻击的有效手段之一,它具有传染性、隐蔽性、寄生性、繁殖性、潜伏性、针对性、衍生性、不可预见性和破坏性等特性,而且在网络中其危害更加可怕,目前可通过网络进行传播的病毒已有数万种,可通过注入技术进行破坏和攻击。
计算机病毒攻击的传播途径有电子邮件、传统的软盘、光盘、BBS、WWW浏览、FTP文件下载、新闻组、点对点通信系统和无线通信系统等。
1.7牐犇韭沓绦蚬セ
特洛依木马是一种骗子程序,提供某些功能作为诱饵,背地里干一些鬼事,当目标计算机启动时,木马程序随之启动,然后在某一特定的端口监听,在通过监听端口收到命令后,木马程序根据命令在目标计算机上执行一些操作,如传送或删除文件,窃取口令,重新启动计算机等。常见的特洛伊木马程序有:BO、Netspy、Netbus等。
1.8牐 后门攻击
后门是指入侵者躲过日志,使自己重返被入侵系统的技术,后门种类很多,常见的有:调试后门、管理后门、恶意后门、Login后门、Telnet后门、rhosts +后门、服务后门、文件系统后门、内核后门、Boot后门、TCP Shell后门等。
1.9牐 信息战
信息战指利用现代信息手段,通过夺取信息优势来达到自己的军事目的,它既包括了攻击对方的认识和信念,也包括了利用信息优势在实际战斗中打败对方。包括:进攻性信息战(如:电子战进攻、计算机网络进攻、截获和利用敌方的信息、军事欺骗、进攻性心理战、物理摧毁、微处理芯片攻击、利用电磁辐射窃取信息、高功率微波武器等)和防御性信息战(如:电子战防卫、计算机通信和网络安全防护、反情报、防御性的军事欺骗及反欺骗、防御性心理战、防物理摧毁、防御性信息武器等)。
研究黒客攻击技术的目的在于针对性的防范,只有了解并掌握攻击技术,才能更好的防御攻击,这便如同日常战争一样,正所谓知己知彼方能百战不殆。所以,我们应重视网络攻击技术的研究与探讨。
2牐牶诳凸セ靼咐
下面我们将讨论几个在入侵站点旧事中常使用的技术。我们的意图是使大家了解这些方法从而更好地保护好自己的站点,但是它们也可以被用来攻击别的站点。只有在授权后才能使用,并且只能在指导人员的允许下使用。
敬请注意:没有经过授权的话,一定不要随便进行。无论是在自己的公司或是为了一个客户,都要在合法的指导下使用。
1.3.2.1牐牐 Unicode字符解码漏洞
RJ-iTopTM漏洞信息
漏洞名称 IIS存在的Unicode解析错误漏洞 漏洞编号 651
漏洞类别 CGI攻击测试 风险级别牐牳叻缦
漏洞描述牐 IIS 在Unicode字符解码的实现中存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令
解决方案牐 限制调用cmd的权限;Scripts、Msadc 目录删除;下载微软提供的补丁

F牐 查找漏洞
选择RJ-iTopTM网络隐患扫描仪CGI类别中的651号子选项可以查找目标机子是否存在Unicode字符解码漏洞。
F牐 漏洞分析
IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞,
导致用户可以远程通过IIS执行任意命令。当IIS打开文件时,如果该文件名包含unicode字符,它会对其进行解码,如果用户提供一些特殊的编码,将导致IIS错误的打开或者执行某些web根目录以外的文件。
F牐 攻击细节
攻击者可以利用这个漏洞来绕过IIS的路径检查,去执行或者打开任意的文件。(1) 如果系统包含某个可执行目录,就可能执行任意系统命令。下面的URL可能列出当前目录的内容://ip_addr/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
(2) 利用这个漏洞查看系统文件内容也是可能的:
//ip_addr /a.asp/..%c1%1c../..%c1%1c../winnt/win.ini
很多站点inetpub下的scripts目录删除了,但Program FilesCommon FilesSystem下的msadc还在(有msadcs.dll漏洞)。这时可以如下构造请求:
//ip/msadc/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:
F牐 解决方案
ü牐牐牐 简单解决方案:
(1)限制网络用户访问和调用cmd的权限。
  牐牐牐 (2)在Scripts、Msadc目录没必要使用的情况下,删除该文件夹或者改名。
  牐牐牐 (3)安装NT系统时不要使用默认WINNT路径,比方说,可以改名为lucky或者其他名字。
ü牐牐牐 最好的解决办法:
  最好的方法当然是下载微软提供的补丁了。可以从如下地址下载补丁:
  对于IIS 4.0到这里:
//www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp
  对于IIS 5.0到这里:
//www.microsoft.com/windows2000/downloads/critical/q269862/default.asp

1.3.2.2牐牐 IIS CGI文件名二次解码漏洞
RJ-iTopTM漏洞信息
漏洞名称 IIS CGI 文件名二次解码漏洞犅┒幢嗪牛 819
漏洞类别 CGI攻击测试 风险级别牐牳叻缦
漏洞描述牐 IIS在加载可执行CGI程序时在进行第二次解码时错误地将已经解码过的CGI文件名和CGI参数一起进行解码,攻击者可以绕过IIS对文件名所作的安全检查可以执行任意系统命令。
解决方案牐 Scripts、Msadc目录没必要使用的情况下,删除该文件夹或者改名。最好的方法当然是下载微软提 供的补丁了

F牐 查找漏洞
选择RJ-iTopTM网络隐患扫描仪CGI类别中的819号子选项可以查找目标机子是否存在Unicode字符解码漏洞。
F牐 漏洞分析
IIS在加载可执行CGI程序时,会进行两次解码。第一次解码是对CGI文件名进行http解码,然后判断此文件名是否为可执行文件,例如检查后缀名是否为".exe"或".com"等等。在文件名检查通过之后,IIS会再进行第二次解码。正常情况下,应该只对该CGI的参数进行解码,然而,IIS错误地将已经解码过的CGI文件名和CGI参数一起进行解码。这样,CGI文件名就被错误地解码了两次。 通过精心构造CGI文件名,攻击者可以绕过IIS对文件名所作的安全检查,例如对"../"或"./"的检查,在某些条件下,攻击者可以执行任意系统命令。例如,对于’’这个字符,正常编码后是%5c。这三个字符对应的编码为:
’%’ = %25
’5’ = %35
’c’ = %63
如果要对这三个字符再做一次编码,就可以有多种形式,例如:
%255c
%%35c
%%35%63
%25%35%63
...
因此,".."就可以表示成"..%255c"或"..%%35c"等等形式。
在经过第一次解码之后,变成"..%5c"。IIS会认为这是一个正常的字符串,不会违反安全规则检查。而在第二次被解码之后,就会变成".."。因此攻击者就可以使用".."来进行目录遍历,执行web目录之外的任意程序。
F牐 攻击细节
列出当前目录的内容:
//www.microsoft.com/Downloads/Release.asp?ReleaseID=29787
ü牐牐牐 Microsoft IIS 5.0:
//www.microsoft.com/Downloads/Release.asp?ReleaseID=29764牐