【正文】 第 12章 網(wǎng)絡(luò)安全發(fā)展與未來 張玉清 國家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 2 本章內(nèi)容安排 ? 網(wǎng)絡(luò)安全現(xiàn)狀與挑戰(zhàn) ? 網(wǎng)絡(luò)安全的發(fā)展趨勢 ? 網(wǎng)絡(luò)安全與法律法規(guī) ? 小結(jié) 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 3 網(wǎng)絡(luò)安全現(xiàn)狀與挑戰(zhàn) ? 網(wǎng)絡(luò)安全現(xiàn)狀 ? 網(wǎng)絡(luò)安全面臨的新挑戰(zhàn) 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 4 網(wǎng)絡(luò)安全現(xiàn)狀 ?過去的數(shù)年中，互聯(lián)網(wǎng)遭受了一波又一波的攻擊 ——傳播速度超快、影響范圍廣泛、造成損失巨大的惡意攻擊不斷出現(xiàn)。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 5 網(wǎng)絡(luò)安全現(xiàn)狀 (2) ?典型攻擊： ? Melissa(1999) 和 LoveLetter(2023) ? 紅色代碼 (2023) ? 尼姆達(dá) (2023) ? 熊貓燒香 (20232023) ? 分布式拒絕服務(wù)攻擊 (20232023) ? 遠(yuǎn)程控制特洛伊木馬后門 (19982023) 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 6 Melissa和 LoveLetter ? 1999年 3月爆發(fā)的 Melissa 病毒和 2023年5月爆發(fā)的 LoveLetter 病毒非常相似，都是利用 Outlook電子郵件附件迅速傳播。 ? Melissa是 MicrosoftWord宏病毒，LoveLetter則是 VBScript病毒，其惡意代碼都是利用 Microsoft公司開發(fā)的 Script語言缺陷進(jìn)行攻擊，因此二者非常相似。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 7 Melissa和 LoveLetter(2) ?用戶一旦在 Microsoft Outlook里打開這個(gè)郵件，系統(tǒng)就會自動復(fù)制惡意代碼并向地址簿中的所有郵件地址發(fā)送帶有病毒的郵件。 ?很快，由于 Outlook用戶數(shù)目眾多，其病毒又可以很容易地被復(fù)制，很快許多公司的郵件服務(wù)器就被洪水般的垃圾郵件塞滿而中斷了服務(wù)。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 8 Melissa和 LoveLetter(3) ? Melissa 和 LoveLetter 的爆發(fā)可以說是信息安全的喚醒電話，它引起了當(dāng)時(shí)人們對信息安全現(xiàn)狀的深思，并無形中對信息安全的設(shè)施和人才隊(duì)伍的發(fā)展起了很大的刺激作用 : ? Melissa 和 LoveLetter 刺激了企業(yè)和公司對網(wǎng)絡(luò)安全的投資，尤其是對防病毒方面的投入； ? 許多公司對網(wǎng)絡(luò)蠕蟲病毒的應(yīng)急響應(yīng)表現(xiàn)出的無能促使了專業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)小組的發(fā)展與壯大。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 9 紅色代碼 ? 2023年 7月的某天，全球的 IDS幾乎同時(shí)報(bào)告遭到未知蠕蟲攻擊。 ?信息安全組織和專業(yè)人士紛紛迅速行動起來，使用蜜罐 (honeypots)技術(shù)從因特網(wǎng)上捕獲數(shù)據(jù)包進(jìn)行分析，最終發(fā)現(xiàn)這是一利用微軟 IIS緩沖溢出漏洞進(jìn)行感染的變種蠕蟲。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 10 紅色代碼 (2) ?其實(shí)這一安全漏洞早在一個(gè)月以前就已經(jīng)被eEye Digital Security發(fā)現(xiàn)，微軟也發(fā)布了相應(yīng)的補(bǔ)丁程序，但是卻很少有組織和企業(yè)的網(wǎng)絡(luò)引起了足夠的重視，下載并安裝了該補(bǔ)丁。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 11 紅色代碼 (3) 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 12 紅色代碼 (4) 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 13 紅色代碼的啟示 ?只要注意及時(shí)更新補(bǔ)丁和修復(fù)程序，對于一般的蠕蟲傳播是完全可以避免的。 ?在網(wǎng)絡(luò)遭到攻擊時(shí)，為進(jìn)行進(jìn)一步的分析，使用蜜罐是一種非常行之有效的方法。 ?紅色代碼猛攻白宮之所以被成功扼制，是因?yàn)?ISP們及時(shí)將路由表中所有白宮的 IP地址都清空了，在這一蠕蟲代碼企圖阻塞網(wǎng)絡(luò)之前，在因特網(wǎng)邊界就已被丟棄。另外，白宮網(wǎng)站也立即更改了所有服務(wù)器的 IP地址。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 14 尼姆達(dá) ? 尼姆達(dá)（ Nidma）是在 恐怖襲擊后整整一個(gè)星期后出現(xiàn)的。地區(qū)之間的沖突和摩擦常會導(dǎo)致雙方黑客互相實(shí)施攻擊。 ? 當(dāng)時(shí)傳言尼姆達(dá)病毒的散布為了試探美國對網(wǎng)絡(luò)恐怖襲擊的快速反應(yīng)能力，一些安全專家甚至喊出了“ 我們現(xiàn)在急需制定另一個(gè) ‘ 曼哈頓計(jì)劃 ’ ，以隨時(shí)應(yīng)對網(wǎng)絡(luò)恐怖主義 ” 的口號，由此可見尼姆達(dá)在當(dāng)時(shí)給人們造成的恐慌。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 15 尼姆達(dá) (2) ?尼姆達(dá)病毒是在早上 9： 08發(fā)現(xiàn)的，它明顯地比紅碼病毒更快、更具有摧毀功能，半小時(shí)之內(nèi)就傳遍了整個(gè)世界。隨后在全球各地侵襲了 830萬部電腦，總共造成將近 10億美元的經(jīng)濟(jì)損失。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 16 尼姆達(dá) (3) ? 同 “ 紅色代碼 ” 一樣， “ 尼姆達(dá) ” 也是通過網(wǎng)絡(luò)對Windows操作系統(tǒng)進(jìn)行感染的一種蠕蟲型病毒。但是它與以前所有的網(wǎng)絡(luò)蠕蟲的最大不同之處在于， “ 尼姆達(dá) ” 通過多種不同的途徑進(jìn)行傳播，而且感染多種 Windows操作系統(tǒng)。 ? 紅色代碼 只能夠利用 IIS的漏洞來感染系統(tǒng)，而 尼姆達(dá) 則利用了至少四種微軟產(chǎn)品的漏洞來進(jìn)行傳播 : ? 在 IIS 中的缺陷 ? 瀏覽器的 JavaScript缺陷 ? 利用 Outlook 電子郵件客戶端的一個(gè)安全缺陷亂發(fā)郵件 ? 利用硬盤共享的一個(gè)缺陷，將 guest用戶擊活并非法提升為管理員。 ? 在一個(gè)系統(tǒng)遭到感染后， Nimda又會立即尋找突破口，迅速感染周邊的系統(tǒng)，并占用大部分的網(wǎng)絡(luò)帶寬。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 17 尼姆達(dá)的啟示 ?對網(wǎng)絡(luò)攻擊事件的緊急響應(yīng)能力以及和安全專家們建立良好的關(guān)系是非常重要的。 ?為阻斷惡意蠕蟲的傳播，往往需要在和廣域網(wǎng)的接口之間設(shè)置過濾器，或者干脆暫時(shí)斷開和廣域網(wǎng)的連接。 ?在電子郵件客戶端和網(wǎng)絡(luò)瀏覽器中禁止任意腳本的執(zhí)行對網(wǎng)絡(luò)安全性來說是很關(guān)鍵的。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 18 熊貓燒香 ? “熊貓燒香 ” 是一個(gè)由 Delphi工具編寫的蠕蟲，終止大量的反病毒軟件和防火墻軟件進(jìn)程。病毒會刪除擴(kuò)展名為 gho的文件，使用戶無法使用ghost軟件恢復(fù)操作系統(tǒng)。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 19 熊貓燒香 (2) ? “熊貓燒香 ” 病毒利用的傳播方式囊括了漏洞攻擊、感染文件、移動存儲介質(zhì)、局域網(wǎng)傳播、網(wǎng)頁瀏覽、社會工程學(xué)欺騙等。 ? 它能感染系統(tǒng)的 .exe、 .、 .pif、 .src、 .html、 .asp文件，添加病毒網(wǎng)址，導(dǎo)致用戶一打開這些網(wǎng)頁文件， IE就會自動連接到指定的病毒網(wǎng)址中下載病毒。 ? 在硬盤各個(gè)分區(qū)下生成文件 ，可以通過 U盤和移動硬盤等方式進(jìn)行傳播，并且利用 Windows系統(tǒng)的自動播放功能來運(yùn)行，搜索硬盤中的 .exe可執(zhí)行文件并感染，感染后的文件圖標(biāo)變成 “ 熊貓燒香 ” 圖案。 ? 它還能終止大量的反病毒軟件和防火墻軟件進(jìn)程。病毒會刪除擴(kuò)展名為 .gho的文件，使用戶的系統(tǒng)備份文件丟失。 ? 具有極強(qiáng)的變種能力，僅兩個(gè)多月的時(shí)間，變種就多達(dá) 70余種。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 20 分布式拒絕服務(wù)攻擊 ? 在新千年的到來之季，信息安全領(lǐng)域的人們都以為由于存在千年蟲的問題，在信息網(wǎng)絡(luò)安全領(lǐng)域中應(yīng)該暫時(shí)還不會出現(xiàn)什么漣波。 ? 然而， 一月之后卻來了一場誰也意想不到的洪潮：在全球知名網(wǎng)站雅虎第一個(gè)宣告因?yàn)樵馐芊植际骄芙^服務(wù)攻擊而徹底崩潰后， 緊接著， CNN， ZDNet， ， Excite 和 eBay 等其它七大知名網(wǎng)站也幾乎在同一時(shí)間徹底崩潰。這無疑又一次敲響了互聯(lián)網(wǎng)的警鐘。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 21 分布式拒絕服務(wù)攻擊 (2) ? DDoS 的閃擊攻擊使人們認(rèn)識到互聯(lián)網(wǎng)遠(yuǎn)比他們想象得更加脆弱，分布式拒絕服務(wù)攻擊產(chǎn)生的影響也遠(yuǎn)比他們原來想象中的要大得多。利用互聯(lián)網(wǎng)上大量的機(jī)器進(jìn)行 DDoS ，分布式掃描和分布式口令破解等，一個(gè)攻擊者能夠達(dá)到意想不到的強(qiáng)大效果。 ? DDoS攻擊從 2023年開始，就一直是互聯(lián)網(wǎng)安全的致命危害，就在 2023年，即使是有著上千臺服務(wù)器的百度在遭受 DDoS攻擊時(shí)也難逃一劫，致命服務(wù)停止半個(gè)小時(shí)。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 22 分布式拒絕服務(wù)攻擊的啟示 ? 從雅虎遭到強(qiáng)大的 DDoS攻擊中得到的啟示： ? 要阻止這種攻擊關(guān)鍵是網(wǎng)絡(luò)出口反欺騙過濾器的功能是否強(qiáng)大。也就是說如果你的 Web服務(wù)器收到的數(shù)據(jù)包的源 IP地址是偽造的話，你的邊界路由器或防火墻必須能夠識別出來并將其丟棄。 ? 網(wǎng)絡(luò)安全事件響應(yīng)小組們認(rèn)識到他們必須和他們的 ISP共同去阻止數(shù)據(jù)包的 flood攻擊。如果失去 ISP的支持，即使防火墻功能再強(qiáng)大，網(wǎng)絡(luò)出口的帶寬仍舊可能被全部占用。 ? 不幸地， DDoS攻擊即使在目前也仍舊是互聯(lián)網(wǎng)面臨的主要威脅，當(dāng)然這主要是因?yàn)?ISP在配合阻斷 DDoS攻擊上速度太慢引起的，無疑使事件應(yīng)急響應(yīng)的效果大打折扣。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 23 遠(yuǎn)程控制特洛伊木馬后門 ? 在 1998年 7月，黑客 Cult of the Dead Cow（ cDc）推出的強(qiáng)大后門制造工具 Back Orifice（或稱 BO）使龐大的網(wǎng)絡(luò)系統(tǒng)輕而易舉地陷入了癱瘓之中。安裝 BO主要目的是：黑客通過網(wǎng)絡(luò)遠(yuǎn)程入侵并控制受攻擊的 Win95系統(tǒng)，從而使受侵機(jī)器 “ 言聽計(jì)從 ” 。 ? 如果僅僅從功能上講， Back Orifice完全可以和市場上最流行的商業(yè)遠(yuǎn)程控制軟件相媲美。因此，許多人干脆拿它來當(dāng)作遠(yuǎn)程控制軟件來進(jìn)行合法的網(wǎng)絡(luò)管理。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 24 遠(yuǎn)程控制特洛伊木馬后門 (2) ? BO的成功后來也迅速地帶動和產(chǎn)生了許多類似的遠(yuǎn)程控制工具，像 SubSeven， NetBus， HackaTack 和 Back Orifice 2023 (BO2K)等。 ?木馬技術(shù)不發(fā)展，發(fā)生了眾多功能強(qiáng)大的軟件，灰鴿子就是其典型代表。 ?這些攻擊工具和方法甚至一直保留到現(xiàn)在，作為黑客繼續(xù)開發(fā)新的和更加強(qiáng)大的特洛伊木馬后門，以避開檢測，繞過個(gè)人防火墻和偽裝自己的設(shè)計(jì)思想基礎(chǔ)。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 25 “敲詐 ” 型木馬 ? 木馬從最初的僅僅獲取信息，轉(zhuǎn)變?yōu)閷ｉT以營利為目的。如盜取銀行賬號信息掠奪金錢、盜取網(wǎng)游賬號倒賣等。 ? 此外，還出現(xiàn)了一種新型功能的木馬 ——“敲詐 ”型木馬，它的主要特點(diǎn)是試圖隱藏用戶文檔，讓用戶誤以為文件丟失，木馬乘機(jī)以幫助用戶恢復(fù)數(shù)據(jù)的名義，要求用戶向指定的銀行賬戶內(nèi)匯入定額款項(xiàng)。國內(nèi)已出現(xiàn)不少這類專門對用戶進(jìn)行 “ 敲詐勒