【正文】 而 AOL正在試驗一種名為 “ Sender permitted From”（ SPF）的新電子郵件協(xié)議，禁止通過修改域名系統(tǒng)（ DNS）偽造電子郵件地址；等等 …… ? 但垃圾郵件發(fā)送者并不是坐以待斃，而是主動出擊，繼續(xù)他們沒完沒了的 “ 發(fā)送事業(yè) ” 。隨著網(wǎng)絡(luò)技術(shù)不斷進(jìn)步、網(wǎng)絡(luò)經(jīng)濟(jì)的繁榮，黑客這一概念，已開始從原先的對于不斷追求網(wǎng)絡(luò)技術(shù)的人群轉(zhuǎn)變成了以提供相應(yīng)服務(wù)，獲得經(jīng)濟(jì)利益的職業(yè)人群。 ? 經(jīng)病毒購買者進(jìn)一步傳播，該病毒的各種變種在網(wǎng)上大面積傳播，通過入侵可盜取證券、銀行、信用卡的賬號，其非法所得通過購買網(wǎng)絡(luò)貨幣，完成 “ 漂白 ” 的洗錢過程；而通過病毒盜取的游戲賬號、虛擬錢幣，則通過中間批發(fā)商直接變現(xiàn)，再進(jìn)入傳統(tǒng)銷售渠道。技術(shù)進(jìn)步加上道德感的缺失，黑客們開始看清自己要的東西。 ? 此外，還出現(xiàn)了一種新型功能的木馬 ——“敲詐 ”型木馬，它的主要特點是試圖隱藏用戶文檔，讓用戶誤以為文件丟失，木馬乘機(jī)以幫助用戶恢復(fù)數(shù)據(jù)的名義，要求用戶向指定的銀行賬戶內(nèi)匯入定額款項。 ?木馬技術(shù)不發(fā)展，發(fā)生了眾多功能強(qiáng)大的軟件，灰鴿子就是其典型代表。安裝 BO主要目的是：黑客通過網(wǎng)絡(luò)遠(yuǎn)程入侵并控制受攻擊的 Win95系統(tǒng)，從而使受侵機(jī)器 “ 言聽計從 ” 。 ? 網(wǎng)絡(luò)安全事件響應(yīng)小組們認(rèn)識到他們必須和他們的 ISP共同去阻止數(shù)據(jù)包的 flood攻擊。利用互聯(lián)網(wǎng)上大量的機(jī)器進(jìn)行 DDoS ，分布式掃描和分布式口令破解等，一個攻擊者能夠達(dá)到意想不到的強(qiáng)大效果。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 20 分布式拒絕服務(wù)攻擊 ? 在新千年的到來之季，信息安全領(lǐng)域的人們都以為由于存在千年蟲的問題，在信息網(wǎng)絡(luò)安全領(lǐng)域中應(yīng)該暫時還不會出現(xiàn)什么漣波。 ? 在硬盤各個分區(qū)下生成文件 ，可以通過 U盤和移動硬盤等方式進(jìn)行傳播，并且利用 Windows系統(tǒng)的自動播放功能來運(yùn)行，搜索硬盤中的 .exe可執(zhí)行文件并感染，感染后的文件圖標(biāo)變成 “ 熊貓燒香 ” 圖案。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 18 熊貓燒香 ? “熊貓燒香 ” 是一個由 Delphi工具編寫的蠕蟲，終止大量的反病毒軟件和防火墻軟件進(jìn)程。 ? 在一個系統(tǒng)遭到感染后， Nimda又會立即尋找突破口，迅速感染周邊的系統(tǒng)，并占用大部分的網(wǎng)絡(luò)帶寬。隨后在全球各地侵襲了 830萬部電腦，總共造成將近 10億美元的經(jīng)濟(jì)損失。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 14 尼姆達(dá) ? 尼姆達(dá)（ Nidma）是在 恐怖襲擊后整整一個星期后出現(xiàn)的。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 11 紅色代碼 (3) 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 12 紅色代碼 (4) 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 13 紅色代碼的啟示 ?只要注意及時更新補(bǔ)丁和修復(fù)程序，對于一般的蠕蟲傳播是完全可以避免的。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 8 Melissa和 LoveLetter(3) ? Melissa 和 LoveLetter 的爆發(fā)可以說是信息安全的喚醒電話，它引起了當(dāng)時人們對信息安全現(xiàn)狀的深思，并無形中對信息安全的設(shè)施和人才隊伍的發(fā)展起了很大的刺激作用 : ? Melissa 和 LoveLetter 刺激了企業(yè)和公司對網(wǎng)絡(luò)安全的投資，尤其是對防病毒方面的投入； ? 許多公司對網(wǎng)絡(luò)蠕蟲病毒的應(yīng)急響應(yīng)表現(xiàn)出的無能促使了專業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)小組的發(fā)展與壯大。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 5 網(wǎng)絡(luò)安全現(xiàn)狀 (2) ?典型攻擊： ? Melissa(1999) 和 LoveLetter(2023) ? 紅色代碼 (2023) ? 尼姆達(dá) (2023) ? 熊貓燒香 (20232023) ? 分布式拒絕服務(wù)攻擊 (20232023) ? 遠(yuǎn)程控制特洛伊木馬后門 (19982023) 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 6 Melissa和 LoveLetter ? 1999年 3月爆發(fā)的 Melissa 病毒和 2023年5月爆發(fā)的 LoveLetter 病毒非常相似，都是利用 Outlook電子郵件附件迅速傳播。 ? Melissa是 MicrosoftWord宏病毒，LoveLetter則是 VBScript病毒，其惡意代碼都是利用 Microsoft公司開發(fā)的 Script語言缺陷進(jìn)行攻擊，因此二者非常相似。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 9 紅色代碼 ? 2023年 7月的某天，全球的 IDS幾乎同時報告遭到未知蠕蟲攻擊。 ?在網(wǎng)絡(luò)遭到攻擊時，為進(jìn)行進(jìn)一步的分析，使用蜜罐是一種非常行之有效的方法。地區(qū)之間的沖突和摩擦常會導(dǎo)致雙方黑客互相實施攻擊。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 16 尼姆達(dá) (3) ? 同 “ 紅色代碼 ” 一樣， “ 尼姆達(dá) ” 也是通過網(wǎng)絡(luò)對Windows操作系統(tǒng)進(jìn)行感染的一種蠕蟲型病毒。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 17 尼姆達(dá)的啟示 ?對網(wǎng)絡(luò)攻擊事件的緊急響應(yīng)能力以及和安全專家們建立良好的關(guān)系是非常重要的。病毒會刪除擴(kuò)展名為 gho的文件，使用戶無法使用ghost軟件恢復(fù)操作系統(tǒng)。 ? 它還能終止大量的反病毒軟件和防火墻軟件進(jìn)程。 ? 然而， 一月之后卻來了一場誰也意想不到的洪潮：在全球知名網(wǎng)站雅虎第一個宣告因為遭受分布式拒絕服務(wù)攻擊而徹底崩潰后， 緊接著， CNN， ZDNet， ， Excite 和 eBay 等其它七大知名網(wǎng)站也幾乎在同一時間徹底崩潰。 ? DDoS攻擊從 2023年開始，就一直是互聯(lián)網(wǎng)安全的致命危害，就在 2023年，即使是有著上千臺服務(wù)器的百度在遭受 DDoS攻擊時也難逃一劫，致命服務(wù)停止半個小時。如果失去 ISP的支持，即使防火墻功能再強(qiáng)大，網(wǎng)絡(luò)出口的帶寬仍舊可能被全部占用。 ? 如果僅僅從功能上講， Back Orifice完全可以和市場上最流行的商業(yè)遠(yuǎn)程控制軟件相媲美。 ?這些攻擊工具和方法甚至一直保留到現(xiàn)在，作為黑客繼續(xù)開發(fā)新的和更加強(qiáng)大的特洛伊木馬后門，以避開檢測，繞過個人防火墻和偽裝自己的設(shè)計思想基礎(chǔ)。國內(nèi)已出現(xiàn)不少這類專門對用戶進(jìn)行 “ 敲詐勒索 ” 的木馬。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 28 更多網(wǎng)絡(luò)犯罪直接以經(jīng)濟(jì)利益為目的 ? 經(jīng)濟(jì)利益毫無疑問已經(jīng)成為病毒和木馬制造者最大的驅(qū)動力。另一部分非法收入則是通過入侵網(wǎng)站，勒索網(wǎng)站收取傭金。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 32 拒絕服務(wù)攻擊泛濫 ? 我們所看到的拒絕服務(wù)已經(jīng)不僅僅是一臺或幾臺機(jī)器發(fā)起的了，攻擊者們控制成百上千的僵尸電腦(Zombie)，甚至由蠕蟲來進(jìn)行傳播和攻擊。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 34 垃圾郵件與反垃圾郵件之間的斗爭愈演愈烈 (2) ?道高一尺，魔高一丈，世界永遠(yuǎn)在此消彼長中發(fā)展。 ? 根據(jù)調(diào)查，平均每臺家用 PC有 28個間諜軟件，它們已經(jīng)被更多的公司及個人利用，其目的也從初期簡單收戶信息演化為可能收集密碼、帳號等資料。 ? 目前，手機(jī)病毒已經(jīng)具有了計算機(jī)病毒的許多特點，而通過藍(lán)牙等無線技術(shù)，手機(jī)病毒可以同時以手機(jī)網(wǎng)絡(luò)和計算機(jī)網(wǎng)絡(luò)為傳播平臺，其傳播范圍大大增加。 2023年 3月出現(xiàn)了一款運(yùn)行為 Symbian S60平臺的 “ 熊貓燒香 ”手機(jī)版病毒。 ? 滲透控制階段 ：先進(jìn)的隱蔽遠(yuǎn)程植入方式，如基于數(shù)字水印遠(yuǎn)程植入方式、基于 DLL和遠(yuǎn)程線程插入的植入技術(shù)，能夠成功的躲避防病毒軟件的檢測將受控端程序植入到目的主機(jī)中。相當(dāng)?shù)墓ぞ咭呀?jīng)具備了反偵破、智能動態(tài)行為、攻擊工具變異等特點。 ? 安全漏洞并沒有廠商和操作系統(tǒng)平臺的區(qū)別，即并非人們印象中那樣： UNIX系統(tǒng)更安全一些。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 43 趨勢 4：防火墻等的滲透率愈來愈高 ? 配置防火墻目前仍然是企業(yè)和個人防范網(wǎng)絡(luò)入侵者的主要防護(hù)措施。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 44 趨勢 5：安全威脅的不對稱性在增加 ? Inter上的安全是相互依賴的。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 45 趨勢 6：對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的破壞力越來越大 ?由于用戶越來越多地依賴計算機(jī)網(wǎng)絡(luò)提供各種服務(wù)，完成日常相關(guān)業(yè)務(wù)，黑客攻擊網(wǎng)絡(luò)基礎(chǔ)設(shè)施造成的破壞影響越來越大。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 48 病毒防御技術(shù)發(fā)展趨勢 (2) ?綜合采用行為識別和特征識別技術(shù)，可非常高效的實現(xiàn)對計算機(jī)病毒、蠕蟲、木馬等惡意攻擊行為的主動防御，能較好地解決現(xiàn)有產(chǎn)品或系統(tǒng)以被動防御為主、識別未知攻擊行為能力弱的缺陷。但是，目前的事實是，行為識別技術(shù)暫時還沒有走向商業(yè)化。 ? 必須比對完所有的關(guān)鍵字規(guī)則，一封信才能被確信不是垃圾郵件，導(dǎo)致效率低下、資源消耗大、網(wǎng)關(guān)系統(tǒng)不穩(wěn)定，尤其是在遭受巨量郵件攻擊時，可能導(dǎo)致系統(tǒng)崩潰 。 ? 要想從根本上解決反垃圾郵件的技術(shù)難題，就要采用主動型垃圾郵件行為模式識別的技術(shù)，這樣才能做到主動的郵件攻擊行為防御、主動的垃圾郵件阻斷，從而最大程度地提高垃圾郵件識別率、攔截率，降低資源消耗，真正達(dá)到電信級的網(wǎng)關(guān)處理速度。 ? 此外，采用垃圾郵件行為模式識別模型識別垃圾郵件，也可以從另一方面給垃圾郵件攻擊者以壓力，迫使發(fā)送者必須按照一定的規(guī)范發(fā)送郵件。 ? 作為 NP技術(shù)的主要目標(biāo)客戶群，通信廠商們的態(tài)度正由熱捧回歸冷靜，而在網(wǎng)絡(luò)安全設(shè)備特別是硬件防火墻市場上， NP的應(yīng)用卻正呈現(xiàn)出一片欣欣向榮的景象。目前很多廠商使用CPU+特定業(yè)務(wù) ASIC來實現(xiàn)高速處理，這是比較常見的方式。 ? 新一代 NP直接支持 C語言和標(biāo)準(zhǔn)協(xié)議棧，性能高達(dá) 10G，是期望中的業(yè)務(wù)網(wǎng)關(guān)處理芯片。 ? 隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，高層協(xié)議得到越來越多的應(yīng)用，互聯(lián)網(wǎng)也從多種協(xié)議并駕齊驅(qū)發(fā)展成少數(shù)應(yīng)用協(xié)議成為主流。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 61 防火墻深度檢測 (2) ?深度檢測可以檢測報文中的內(nèi)容信息，從而實現(xiàn) URL過濾、 FTP命令過濾、網(wǎng)頁中ActiveX控件過濾等功能，達(dá)到控制應(yīng)用內(nèi)容的目的。而對服務(wù)器，采取暴露端口的形式。 ? 而另一方面，隨著協(xié)議和接口的統(tǒng)一，防火墻也可以取代路由器或者交換機(jī)的位置。 ? 向安全的新領(lǐng)域 — 業(yè)務(wù)安全 (而不是網(wǎng)絡(luò)安全 )進(jìn)軍。 ? 為了減少重復(fù)處理，降低維護(hù)工作，提高防火墻的防護(hù)范圍，直接在防火墻上集成 VPN功能是非常有效的方法。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 67 反間諜技術(shù)的應(yīng)用嘗試與發(fā)展 ? 與其他網(wǎng)絡(luò)安全產(chǎn)品相比，反間諜軟件可謂后起之秀。 ? 但是，很多合法的廣告軟件實現(xiàn)的也是類似的功能。 2023/2/25 網(wǎng)絡(luò)攻擊與防范技術(shù) 69 反間諜技術(shù)的應(yīng)用嘗試與發(fā)展 (3) ? 一款好的反間諜軟件工具，要給用戶提供實時的保護(hù)。