信息安全：過(guò)去五種影響最大的攻擊

1、紅色代碼(2001)

2.尼姆達(dá)(2001)

3.Melissa(1999) 和 LoveLetter(2000)

4.分布式拒絕服務(wù)攻擊(2000)

5.遠(yuǎn)程控制特洛伊木馬后門(mén)(1998-2000)

二、未來(lái)的五種攻擊手段.

1.超級(jí)蠕蟲(chóng)...

2. 隱秘攻擊(Stealthier Attacks)

3. 利用程序自動(dòng)更新存在的缺陷...

4. 針對(duì)路由或DNS的攻擊...

5. 同時(shí)發(fā)生計(jì)算機(jī)網(wǎng)絡(luò)攻擊和恐怖襲擊...

回顧在過(guò)去五年中因特網(wǎng)所遭受的一連串的攻擊，雖然不乏傳播速度驚人、受害面驚人，或穿透深度驚人等令人們措手不及的惡意攻擊，但最后都還是被人們所一一戰(zhàn)勝。但是在經(jīng)歷了這一次又一次的洗禮之后，我們的網(wǎng)絡(luò)現(xiàn)在是不是變得堅(jiān)不可摧了呢這是一個(gè)很難回答的問(wèn)題，盡管大家都希望網(wǎng)絡(luò)是強(qiáng)壯的。

根據(jù)對(duì)兩百多個(gè)讀者的調(diào)查, 我們選出了在過(guò)去五年里影響最廣，破壞最強(qiáng)的五種惡意攻擊，并且還預(yù)測(cè)了在今后的五年中可能影響最大的五種攻擊手段。

需要說(shuō)明的是，以下的選擇和預(yù)測(cè)肯定是不能完全符合每個(gè)人的觀點(diǎn)的，但筆者相信，我們的選擇和預(yù)測(cè)結(jié)果應(yīng)該還是很有代表性，和很有意義的。

一、五種影響最大的攻擊
選擇結(jié)果之所以如此，是因?yàn)樗鼈冎械拿恳环N攻擊的破壞力在當(dāng)時(shí)都幾乎撼動(dòng)了大多數(shù)人對(duì)英特網(wǎng)的信心,從企業(yè)的CEO、CIO到系統(tǒng)管理員、網(wǎng)站管理員，甚至到家庭或公司的終端用戶都幾乎"談網(wǎng)色變"。他們對(duì)電子商務(wù)的安全性空前地懷疑，即使在打開(kāi)自己的電子郵件時(shí)也是忐忑不安，猶豫不決?？傊诋?dāng)時(shí)他們所表現(xiàn)出來(lái)的恐慌簡(jiǎn)直令筆者感到震驚。

1、紅色代碼(2001)
2001年7月的某天，全球的IDS幾乎同時(shí)報(bào)告遭到不名蠕蟲(chóng)攻擊。信息安全組織和專(zhuān)業(yè)人士紛紛迅速行動(dòng)起來(lái)，使用蜜罐(honeypots)技術(shù)從因特網(wǎng)上捕獲數(shù)據(jù)包進(jìn)行分析，最終發(fā)現(xiàn)這是一利用微軟IIS緩沖溢出漏洞進(jìn)行感染的變種蠕蟲(chóng)。其實(shí)這一安全漏洞早在一個(gè)月以前就已經(jīng)被eEye Digital Security發(fā)現(xiàn)，微軟也發(fā)布了相應(yīng)的補(bǔ)丁程序，但是卻很少有組織和企業(yè)的網(wǎng)絡(luò)引起了足夠的重視，下載并安裝了該補(bǔ)丁。

在紅色代碼首次爆發(fā)的短短9個(gè)小時(shí)內(nèi)，這一小小蠕蟲(chóng)以速不掩耳之勢(shì)迅速感染了250,000臺(tái)服務(wù)器，其速度和深入范圍之廣也迅速引起了全球媒體的注意。最初發(fā)現(xiàn)的紅色代碼蠕蟲(chóng)還只是篡改英文站點(diǎn)的主頁(yè)，顯示"Welcome to http://www.worm.com! Hacked by Chinese!"等信息。但是隨后的紅色代碼蠕蟲(chóng)便如同洪水般在互聯(lián)網(wǎng)上泛濫，發(fā)動(dòng)DoS（拒絕服務(wù)）攻擊以及格式化目標(biāo)系統(tǒng)硬盤(pán)，并會(huì)在每月20日～28日對(duì)白宮的WWW站點(diǎn)的IP地址發(fā)動(dòng)DoS攻擊，使白宮的WWW站點(diǎn)不得不全部更改自己的IP地址。之后，紅色代碼又不斷的變種，其破壞力也更強(qiáng)，在紅色代碼II肆虐時(shí)，有近2萬(wàn)服務(wù)器/500萬(wàn)網(wǎng)站被感染。

紅色代碼就是憑著這樣過(guò)硬的"本領(lǐng)"，在我們的1997至2002年網(wǎng)絡(luò)攻擊之最的民意調(diào)查中與Nimda以占選票 44%的絕對(duì)優(yōu)勢(shì)位居榜首( 見(jiàn)圖 1 和 2)。

從紅色代碼的肆虐中網(wǎng)絡(luò)用戶可以得到以下啟示:

只要注意及時(shí)更新補(bǔ)丁和修復(fù)程序，對(duì)于一般的蠕蟲(chóng)傳播是完全可以避免的。因此作為系統(tǒng)管理員在平時(shí)應(yīng)該多注意自己的系統(tǒng)和應(yīng)用程序所出現(xiàn)的最新漏洞和修復(fù)程序，對(duì)于提供了修復(fù)程序和解決方案的應(yīng)立即安裝和實(shí)施。

在網(wǎng)絡(luò)遭到攻擊時(shí)，為進(jìn)行進(jìn)一步的分析，使用蜜罐是一種非常行之有效的方法。

紅色代碼猛攻白宮之所以被成功扼制，是因?yàn)镮SP們及時(shí)將路由表中所有白宮的IP地址都清空了，在這一蠕蟲(chóng)代碼企圖阻塞網(wǎng)絡(luò)之前，在因特網(wǎng)邊界就已被丟棄。另外，白宮網(wǎng)站也立即更改了所有服務(wù)器的IP地址。

2.尼姆達(dá)(2001)
尼姆達(dá)（Nidma）是在 9/11 恐怖襲擊后整整一個(gè)星期后出現(xiàn)的。筆者現(xiàn)在還清楚地記得因?yàn)槊绹?guó)的網(wǎng)絡(luò)常常成為恐怖組織和對(duì)其懷有敵意的黑客的攻擊目標(biāo)。另外，地區(qū)之間的沖突和摩擦也會(huì)導(dǎo)致雙方黑客互相實(shí)施攻擊，當(dāng)時(shí)傳言是中國(guó)為了試探美國(guó)對(duì)網(wǎng)絡(luò)恐怖襲擊的快速反應(yīng)能力而散布了尼姆達(dá)病毒，一些安全專(zhuān)家甚至喊出了"我們現(xiàn)在急需制定另一個(gè)'曼哈頓計(jì)劃'，以隨時(shí)應(yīng)對(duì)網(wǎng)絡(luò)恐怖主義"的口號(hào)，由此可見(jiàn)尼姆達(dá)在當(dāng)時(shí)給人們?cè)斐傻目只拧?

尼姆達(dá)病毒是在早上9：08發(fā)現(xiàn)的，它明顯地比紅病毒更快、更具有摧毀功能，半小時(shí)之內(nèi)就傳遍了整個(gè)世界。隨后在全球各地侵襲了830萬(wàn)部電腦，總共造成將近10億美元的經(jīng)濟(jì)損失。

同"紅色代碼"一樣，"尼姆達(dá)"也是通過(guò)網(wǎng)絡(luò)對(duì)Windows操作系統(tǒng)進(jìn)行感染的一種蠕蟲(chóng)型病毒。但是它與以前所有的網(wǎng)絡(luò)蠕蟲(chóng)的最大不同之處在于，"尼姆達(dá)"通過(guò)多種不同的途徑進(jìn)行傳播，而且感染多種Windows操作系統(tǒng)。"。"紅色代碼"只能夠利用IIS的漏洞來(lái)感染系統(tǒng)，而"尼姆達(dá)"則利用了至少四種微軟產(chǎn)品的漏洞來(lái)進(jìn)行傳播:

在 IIS 中的缺陷；

瀏覽器的JavaScript缺陷；

利用 Outlook 電子郵件客戶端的一個(gè)安全缺陷亂發(fā)郵件；

利用硬盤(pán)共享的一個(gè)缺陷，將guest用戶擊活并非法提升為管理員。

在一個(gè)系統(tǒng)遭到感染后，Nimda又會(huì)立即尋找突破口，迅速感染周邊的系統(tǒng)，并站用大部分的網(wǎng)絡(luò)帶寬。

從Nimda蠕蟲(chóng)病毒播發(fā)的全程和特點(diǎn)來(lái)看，網(wǎng)絡(luò)用戶又可以深刻地認(rèn)識(shí)到：

對(duì)網(wǎng)絡(luò)攻擊事件的緊急響應(yīng)能力以及和安全專(zhuān)家們建立良好的關(guān)系是非常重要的。

為阻斷惡意蠕蟲(chóng)的傳播，往往需要在和廣域網(wǎng)的接口之間設(shè)置過(guò)濾器，或者干脆暫時(shí)斷開(kāi)和廣域網(wǎng)的連接。

在電子郵件客戶端和網(wǎng)絡(luò)瀏覽器中禁止任意腳本的執(zhí)行對(duì)網(wǎng)絡(luò)安全性來(lái)說(shuō)是很關(guān)鍵的。

3.Melissa(1999) 和 LoveLetter(2000)
在1999年3月爆發(fā)的Melissa 病毒和2000年5月爆發(fā)的LoveLetter 病毒因?yàn)樗鼈兡軌蜓杆俾樱⒃斐蓸O大的危害也榮登了這次評(píng)選的五大寶座之一。Melissa是MicrosoftWord宏病毒，LoveLetter則是VBScript病毒，二者除了都是利用Outlook電子郵件附件進(jìn)行傳播外，另外惡意代碼也都是利用Microsoft公司開(kāi)發(fā)的Script語(yǔ)言缺陷進(jìn)行攻擊，因此二者非常相似。

用戶一旦在Microsoft Outlook里打開(kāi)這個(gè)郵件，系統(tǒng)就會(huì)自動(dòng)復(fù)制惡意代碼并向地址簿中的所有郵件地址發(fā)送帶有病毒的郵件。很快，由于Outlook用戶數(shù)目眾多，其病毒又可以很容易地被復(fù)制，很快許多公司的郵件服務(wù)器就被洪水般的垃圾郵件塞滿而中斷了服務(wù)。一些公司在發(fā)現(xiàn)遭到攻擊或可能遭到后立即將自己內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)斷開(kāi)，在內(nèi)部網(wǎng)將遭到蠕蟲(chóng)感染的機(jī)器清除或隔離，等病毒風(fēng)暴過(guò)后才連接到internet上，因此才免受其危害。當(dāng)時(shí)的各大防病毒廠商在病毒爆發(fā)后不久立即向他們的客戶分發(fā)病毒簽名文件，但是由于用戶太多卻要在同一時(shí)間下載和更新病毒庫(kù)，使得要想及時(shí)更新簽名文件變得非常困難，這無(wú)疑更加助長(zhǎng)了病毒的肆虐。也正是因?yàn)檫@個(gè)原因使得Melissa和LoveLetter病毒所產(chǎn)生的危害僅次于紅色代碼和尼姆達(dá)。

Melissa 和 LoveLetter 的爆發(fā)可以說(shuō)是信息安全的喚醒電話，它引起了當(dāng)時(shí)人們對(duì)信息安全現(xiàn)狀的深思，并無(wú)形中對(duì)信息安全的設(shè)施和人才隊(duì)伍的發(fā)展起了很大的刺激作用:

Melissa 和 LoveLetter 刺激了企業(yè)和公司對(duì)網(wǎng)絡(luò)安全的投資，尤其是對(duì)防病毒方面的投入；

許多公司對(duì)網(wǎng)絡(luò)蠕蟲(chóng)病毒的緊急響應(yīng)表現(xiàn)出來(lái)的無(wú)能刺激了專(zhuān)業(yè)的網(wǎng)絡(luò)安全緊急響應(yīng)小組的空前壯大。

4.分布式拒絕服務(wù)攻擊(2000)
在新千年的到來(lái)之季，信息安全領(lǐng)域的人們都以為可以集體地長(zhǎng)長(zhǎng)地噓一口氣了，因?yàn)樗麄円詾橛捎诖嬖谇晗x(chóng)的問(wèn)題，在信息網(wǎng)絡(luò)安全領(lǐng)域中應(yīng)該暫時(shí)還不會(huì)出現(xiàn)什么漣波。然后, 一月之后卻來(lái)了一場(chǎng)誰(shuí)也意想不到的大洪水：在全球知名網(wǎng)站雅虎第一個(gè)宣告因?yàn)樵馐芊植际骄芙^服務(wù)攻擊而徹底崩潰后, 緊接著Amazon.com, CNN, E*Trade, ZDNet, Buy.com, Excite 和 eBay 等其它七大知名網(wǎng)站也幾乎在同一時(shí)間徹底崩潰。這無(wú)疑又一次敲項(xiàng)了因特網(wǎng)的警鐘。在這以前人們其實(shí)已經(jīng)接觸過(guò)來(lái)自數(shù)以百計(jì)的機(jī)器的flood攻擊，但是像攻擊雅虎這樣如此大規(guī)模的攻擊卻從未目擊過(guò)甚至想像過(guò)。

DDoS 的閃擊般攻擊使人們認(rèn)識(shí)到英特網(wǎng)遠(yuǎn)比他們想象得更加脆弱，分布式地拒絕服務(wù)攻擊產(chǎn)生的影響也遠(yuǎn)比他們?cè)瓉?lái)想象中的要大得多。利用因特網(wǎng)上大量的機(jī)器進(jìn)行DDoS ,分布式掃描和分布式口令破解等，一個(gè)攻擊者能夠達(dá)到許多意想不到的強(qiáng)大效果。

從雅虎遭到強(qiáng)大的DDoS攻擊中人們又獲得了什么啟示呢?

要阻止這種攻擊關(guān)鍵是網(wǎng)絡(luò)出口反欺騙過(guò)濾器的功能是否強(qiáng)大。也就是說(shuō)如果你的Web服務(wù)器收到的數(shù)據(jù)包的源IP地址是偽造的話,你的邊界路由器或防火墻必須能夠識(shí)別出來(lái)并將其丟棄。

網(wǎng)絡(luò)安全事件響應(yīng)小組們認(rèn)識(shí)到他們必須和他們的ISP共同去阻止數(shù)據(jù)包的flood攻擊。如果失去ISP的支持，即使你的防火墻功能再?gòu)?qiáng)大，你網(wǎng)絡(luò)出口的帶寬仍舊可能被全部站用。唯一有效的也是最快速地方法就是和ISP聯(lián)手一起來(lái)通過(guò)丟包等方法阻擋這一龐大的flood攻擊。

不幸地，DDoS攻擊即使在目前也仍舊是互聯(lián)網(wǎng)面臨的主要威脅,當(dāng)然這主要是因?yàn)镮SP在配合阻斷DDoS攻擊上速度太慢引起的，無(wú)疑使事件緊急響應(yīng)的效果大打折扣。

5.遠(yuǎn)程控制特洛伊木馬后門(mén)(1998-2000)
在1998年7月，黑客 Cult of the Dead Cow（cDc）推出的強(qiáng)大后門(mén)制造工具 Back Orifice（或稱(chēng)BO）使龐大的網(wǎng)絡(luò)系統(tǒng)輕而易舉地陷入了癱瘓之中。安裝BO主要目的是：黑客通過(guò)網(wǎng)絡(luò)遠(yuǎn)程入侵并控制受攻擊的Win95系統(tǒng)，從而使受侵機(jī)器"言聽(tīng)計(jì)從"。BO以多功能、代碼簡(jiǎn)潔而著稱(chēng)，并且由于BO操作簡(jiǎn)單，只要簡(jiǎn)單地點(diǎn)擊鼠標(biāo)即可，即使最不熟練的黑客也可以成功地引誘用戶安裝Back Orifice 。只要用戶一安裝了Back Orifice，黑客幾乎就可以為所欲為了，像非法訪問(wèn)敏感信息，修改和刪除數(shù)據(jù)，甚至改變系統(tǒng)配置。

如果僅僅從功能上講，Back Orifice完全可以和市場(chǎng)上最流行的商業(yè)遠(yuǎn)程控制軟件，像賽門(mén)鐵克的pcanywhere,CA的ControlIT, 和免費(fèi)軟件VNC等相媲美。因此，許多人干脆拿它來(lái)當(dāng)作遠(yuǎn)程控制軟件來(lái)進(jìn)行合法的網(wǎng)絡(luò)管理。

由于其簡(jiǎn)單易用和大肆地宣傳，BO迅速被眾多的初級(jí)黑客用來(lái)攻擊系統(tǒng)。BO的成功后來(lái)也迅速地帶動(dòng)和產(chǎn)生了許多類(lèi)似的遠(yuǎn)程控制工具，像 SubSeven, NetBus, Hack-a-Tack 和 Back Orifice 2000 (BO2K)等。這些攻擊工具和方法甚至一直保留到現(xiàn)在，作為黑客繼續(xù)開(kāi)發(fā)新的和更加強(qiáng)大的特洛伊木馬后門(mén)，以避開(kāi)檢測(cè)，繞過(guò)個(gè)人防火墻和偽裝自己的設(shè)計(jì)思想基礎(chǔ)。

Back Orifice 和其它類(lèi)似的木馬后門(mén)工具使人們從根本上認(rèn)識(shí)到了對(duì)用戶進(jìn)行一定的安全方面的培訓(xùn)，使他們不要隨意運(yùn)行不信任軟件和廣泛地配置防病毒軟件的重要性。

當(dāng)然以上列舉的五點(diǎn)可能帶有一定的偏見(jiàn)，例如也有很多用戶另外還選擇了下面的三種:

在2002年8月公布的在IE瀏覽器中簽發(fā)CA證書(shū)時(shí)存在的安全漏洞；

在2002年2月發(fā)現(xiàn)的多個(gè)SNMP漏洞；

在2001年1月偽裝成微軟職員進(jìn)行代碼簽名的漏洞。

雖然這些惡意的全球性的攻擊給人們帶來(lái)了數(shù)十億美元的經(jīng)濟(jì)損失,但也在一定程度上給信息安全技術(shù)的發(fā)展在無(wú)形中起到了巨大的刺激和促進(jìn)作用。從這些具體的攻擊和排除，防范措施中，人們使網(wǎng)絡(luò)信息安全策略得到了不斷地完善和加強(qiáng), 為迎接新的信息安全挑戰(zhàn)奠定了基礎(chǔ)。

來(lái)源：CISMAG