【文章內(nèi)容簡(jiǎn)介】 T）與1995年開(kāi)始對(duì)系統(tǒng)漏洞進(jìn)行跟蹤以來(lái)，到2004年已有超過(guò)12，000個(gè)漏洞被報(bào)告，而且自1999年以來(lái)，每年的數(shù)量都翻翻，增長(zhǎng)如此迅猛。在2010年，漏洞數(shù)量又創(chuàng)出了新的記錄，根據(jù)賽門(mén)鐵克發(fā)布的2010年度網(wǎng)絡(luò)安全報(bào)告顯示，2010年全年共計(jì)發(fā)現(xiàn)了6253個(gè)新的安全漏洞。圖 19952004安全漏洞報(bào)告情況統(tǒng)計(jì)如此多的漏洞，對(duì)IT部門(mén)意味著什么？安全小組必須采取行動(dòng)獲得補(bǔ)丁程序、測(cè)試、最后將其部署在服務(wù)器上，為什么不直接給服務(wù)器打補(bǔ)丁呢？因?yàn)椴荒鼙ＷC補(bǔ)丁對(duì)應(yīng)用系統(tǒng)沒(méi)有影響，為了以防萬(wàn)一，必須對(duì)補(bǔ)丁程序進(jìn)行測(cè)試和驗(yàn)證，然后才允許將其投入生產(chǎn)系統(tǒng)。從補(bǔ)丁程序獲得、測(cè)試和驗(yàn)證，再到最終的部署，完成這一系列任務(wù)需要多長(zhǎng)時(shí)間？答案是，可能需要幾個(gè)小時(shí)到幾天，而在此期間攻擊可能已經(jīng)發(fā)生，損失已無(wú)法挽回。 拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊除了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議存在漏洞和缺陷，而可能遭受攻擊外，現(xiàn)在IT部門(mén)還會(huì)拒絕服務(wù)攻擊（DoS）和分布式拒絕服務(wù)攻擊（DDoS）的挑戰(zhàn)。DOS和DDOS攻擊可以被分為兩類(lèi)：一種是利用網(wǎng)絡(luò)協(xié)議的固有缺陷或?qū)崿F(xiàn)上的弱點(diǎn)來(lái)進(jìn)行攻擊，與漏洞攻擊相似。這類(lèi)供給典型的例子如Teardrop、Land、KoD和Winnuke；對(duì)第一種DOS攻擊可以通過(guò)打補(bǔ)丁的方法來(lái)防御，但對(duì)付第二種攻擊就沒(méi)那么簡(jiǎn)單了，另一類(lèi)DOS和DDOS利用看似合理的海量服務(wù)請(qǐng)求來(lái)耗盡網(wǎng)絡(luò)和系統(tǒng)的資源，從而使合法用戶(hù)無(wú)法得到服務(wù)的響應(yīng)。早期的DOS攻擊由單機(jī)發(fā)起，在攻擊目標(biāo)的CPU速度不高、內(nèi)存有限、網(wǎng)絡(luò)帶寬窄的情況下效果是明顯的。隨著網(wǎng)絡(luò)和系統(tǒng)性能的大幅提高，CPU的主頻已達(dá)數(shù)G，服務(wù)器的內(nèi)存通常在2G以上，此外網(wǎng)絡(luò)的吞吐能力已達(dá)萬(wàn)兆，單機(jī)發(fā)起的DoS攻擊好比孤狼斗猛虎，沒(méi)有什么威脅。狼的習(xí)性是群居，一只固然勢(shì)單力薄，但如果群起而攻之，恐怕猛虎也難抵擋，這就是分布式拒絕服務(wù)攻擊的原理。用一臺(tái)攻擊機(jī)來(lái)攻擊不再起作用的話(huà)，攻擊者使用10臺(tái)攻擊機(jī)、100臺(tái)呢共同發(fā)起攻擊呢？DDoS就是利用大量的傀儡機(jī)來(lái)發(fā)起攻擊，積少成多超過(guò)網(wǎng)絡(luò)和系統(tǒng)的能力的極限，最終擊潰高性能的網(wǎng)絡(luò)和系統(tǒng)。常見(jiàn)的DDOS攻擊方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。已發(fā)現(xiàn)的DOS攻擊程序有ICMP Smurf、UDP 反彈，而典型的DDOS攻擊程序有Zombie、TFN2K、Trinoo 和 Stacheldraht。DOS和DDOS攻擊會(huì)耗盡用戶(hù)寶貴的網(wǎng)絡(luò)和系統(tǒng)資源，使依賴(lài)計(jì)算機(jī)網(wǎng)絡(luò)的正常業(yè)務(wù)無(wú)法進(jìn)行，嚴(yán)重?fù)p害企業(yè)的聲譽(yù)并造成極大的經(jīng)濟(jì)損失，使IT部門(mén)承受極大的壓力。 零時(shí)差攻擊零時(shí)差攻擊（Zeroday Attack）是指從系統(tǒng)漏洞、協(xié)議弱點(diǎn)被發(fā)現(xiàn)到黑客制造出針對(duì)該漏洞、弱點(diǎn)的惡意代碼并發(fā)起攻擊之間的時(shí)間差幾乎為零的攻擊。顯而易見(jiàn)，零時(shí)差攻擊對(duì)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)的威脅和損害令人恐怖，這相當(dāng)于在用戶(hù)沒(méi)有任何防備的情況下，黑客發(fā)起了閃電戰(zhàn)，可能在極短的時(shí)間內(nèi)摧毀關(guān)鍵的應(yīng)用系統(tǒng)及令網(wǎng)絡(luò)癱瘓。回顧歷史，可以發(fā)現(xiàn)從系統(tǒng)漏洞、協(xié)議弱點(diǎn)被發(fā)現(xiàn)到用戶(hù)遭受攻擊的時(shí)間正快速縮短，即零時(shí)差攻擊的可能性越來(lái)越大。2010年1月中旬，針對(duì)微軟的“Aurora”（極光）的零日漏洞開(kāi)始大規(guī)模被利用?！皹O光”IE漏洞掛馬攻擊在國(guó)內(nèi)最早出現(xiàn)在1月17日晚間，初期規(guī)模并不大，18日全天也僅有220家網(wǎng)站，但隨著部分黑客論壇公開(kāi)提供“極光木馬生成器”下載，針對(duì)該漏洞的掛馬網(wǎng)站數(shù)量在20日全天就超過(guò)了1萬(wàn)家，掛馬網(wǎng)頁(yè)更是超過(guò)14萬(wàn)個(gè)。而微軟在一個(gè)星期后，1月22日才發(fā)布了針對(duì)極光的安全公告，提供了解決辦法，但為時(shí)已晚。 間諜軟件間諜軟件（英文名稱(chēng)為“spyware”）是一種來(lái)自互聯(lián)網(wǎng)的，能夠在用戶(hù)不知情的情況下偷偷進(jìn)行非法安裝（安裝后很難找到其蹤影），并悄悄把截獲的一些機(jī)密信息發(fā)送給第三者的軟件。間諜軟件在安裝時(shí)什么都不顯示，運(yùn)行時(shí)用戶(hù)也不知曉，刪除起來(lái)非常困難。由于間諜軟件隱藏在用戶(hù)計(jì)算機(jī)中、秘密監(jiān)視用戶(hù)活動(dòng)，并已經(jīng)建立了一個(gè)進(jìn)入個(gè)人電腦的通道，很容易對(duì)用戶(hù)電腦做后續(xù)的攻擊。間諜軟件能夠消耗計(jì)算能力，使計(jì)算機(jī)崩潰，并使用戶(hù)被淹沒(méi)在網(wǎng)絡(luò)廣告的汪洋大海中。它還能夠竊取密碼、信用卡號(hào)和其它機(jī)密數(shù)據(jù)。作為互聯(lián)網(wǎng)用戶(hù)，應(yīng)該對(duì)此保持警惕了。最新統(tǒng)計(jì)顯示，在過(guò)去的12個(gè)月中，全球感染間諜軟件的企業(yè)數(shù)量增長(zhǎng)了近50%。在100人以上的企業(yè)中，有17%的企業(yè)網(wǎng)絡(luò)中藏有間諜軟件，如鍵盤(pán)跟蹤程序等。間諜軟件可分為兩類(lèi)，一類(lèi)是“廣告型間諜軟件”。與其他軟件一同安裝，或通過(guò)ActiveX控件安裝，用戶(hù)并不知道它的存在。記錄用戶(hù)的姓名、性別、年齡、密碼、域、電話(huà)號(hào)碼、郵件地址、VPN、Web瀏覽記錄、網(wǎng)上購(gòu)物活動(dòng)、硬件或軟件設(shè)置等信息。 這類(lèi)間諜軟件還會(huì)改變目標(biāo)系統(tǒng)的行為，諸如霸占IE首頁(yè)與改變搜尋網(wǎng)頁(yè)的設(shè)定，讓系統(tǒng)聯(lián)機(jī)到用戶(hù)根本不會(huì)去的廣告網(wǎng)站，以致計(jì)算機(jī)屏幕不停彈跳出各式廣告。而且軟件設(shè)置簡(jiǎn)單，只要填寫(xiě)自己的郵件地址和設(shè)置一下運(yùn)行即可。另一類(lèi)被稱(chēng)為“監(jiān)視型間諜軟件”，它具有記錄鍵盤(pán)操作的鍵盤(pán)記錄器功能和屏幕捕獲功能，可以用來(lái)在后臺(tái)記錄下所有用戶(hù)的系統(tǒng)活動(dòng)，比如網(wǎng)站訪(fǎng)問(wèn)、程序運(yùn)行、網(wǎng)絡(luò)聊天記錄、鍵盤(pán)輸入包括用戶(hù)名和密碼、桌面截屏快照等。主要被企業(yè)、私人偵探、司法機(jī)構(gòu)、間諜機(jī)構(gòu)等使用。間諜軟件的惡行不僅讓機(jī)密信息曝光，對(duì)產(chǎn)能亦造成負(fù)面沖擊，同時(shí)也拖累系統(tǒng)資源，諸如瓜分其它應(yīng)用軟件的頻寬與內(nèi)存，導(dǎo)致系統(tǒng)沒(méi)來(lái)由減速。 間諜軟件在未來(lái)將會(huì)變得更具威脅性，不僅可以竊取口令、信用卡號(hào)，而且還可以偷走各種類(lèi)型的身份信息，用于一些更加險(xiǎn)惡的目的，如捕捉和傳送Word和Excel文檔，竊取企業(yè)秘密等。如果間諜軟件打開(kāi)通向用戶(hù)桌面系統(tǒng)的通道，那么用戶(hù)面臨的危險(xiǎn)將是不可想象的。 協(xié)議異常和違規(guī)檢測(cè)在一切正常的情況下，兩個(gè)系統(tǒng)間該如何進(jìn)行某種數(shù)據(jù)交換，協(xié)議都對(duì)其進(jìn)行了定義。由于某些服務(wù)器不能有效處理異常流量，許多攻擊會(huì)通過(guò)違反應(yīng)用層協(xié)議，使黑客得以進(jìn)行拒絕服務(wù)（DoS）攻擊，或者獲得對(duì)服務(wù)器的根本訪(fǎng)問(wèn)權(quán)限。通過(guò)執(zhí)行協(xié)議RFC或標(biāo)準(zhǔn)，我們可以阻止這種攻擊。除處理違反協(xié)議的情況外，這種機(jī)制還可截獲命令中的非法參數(shù)，阻止許多緩沖溢出攻擊的發(fā)生。比如根據(jù)RFC 2821，在一個(gè)正常的SMTP連接過(guò)程中，只有在客戶(hù)端至少發(fā)送過(guò)一個(gè)“RCPT TO”請(qǐng)求命令之后，客戶(hù)端發(fā)送“DATA”請(qǐng)求命令才是合法的。 偵測(cè)和掃描刺探是利用各種手段嘗式取得目標(biāo)系統(tǒng)的敏感信息的行為，這些敏感信息包括系統(tǒng)安全狀況、系統(tǒng)狀態(tài)、服務(wù)信息、數(shù)據(jù)資料等；采用工具對(duì)系統(tǒng)進(jìn)行規(guī)模化、自動(dòng)化的刺探工作稱(chēng)為掃描。其工具稱(chēng)為掃描器。 掃描器最初是提供給管理員的一些極具威力的網(wǎng)絡(luò)工具，利用它，網(wǎng)管員可以獲得當(dāng)前系統(tǒng)信息和安全狀況。正是因?yàn)閽呙杵髂苡行У墨@取系統(tǒng)信息，因此也成為黑客最喜歡的工具。黑客利用掃描器的自動(dòng)化和規(guī)?；奶匦?，只要簡(jiǎn)單的幾步操作，即可搜集到目標(biāo)信息。 Web入侵隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，許多政府和企業(yè)的關(guān)鍵業(yè)務(wù)活動(dòng)越來(lái)越多地依賴(lài)于WEB應(yīng)用，在向客戶(hù)提供通過(guò)瀏覽器訪(fǎng)問(wèn)企業(yè)信息功能的同時(shí)，企業(yè)所面臨的風(fēng)險(xiǎn)在不斷增加。主要表現(xiàn)在兩個(gè)層面：一是隨著Web應(yīng)用程序的增多，這些Web應(yīng)用程序所帶來(lái)的安全漏洞越來(lái)越多；二是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，被用來(lái)進(jìn)行攻擊的黑客工具越來(lái)越多、黑客活動(dòng)越