【文章內(nèi)容簡介】 T）與1995年開始對系統(tǒng)漏洞進行跟蹤以來，到2004年已有超過12，000個漏洞被報告，而且自1999年以來，每年的數(shù)量都翻翻，增長如此迅猛。在2010年，漏洞數(shù)量又創(chuàng)出了新的記錄，根據(jù)賽門鐵克發(fā)布的2010年度網(wǎng)絡(luò)安全報告顯示，2010年全年共計發(fā)現(xiàn)了6253個新的安全漏洞。圖 19952004安全漏洞報告情況統(tǒng)計如此多的漏洞，對IT部門意味著什么？安全小組必須采取行動獲得補丁程序、測試、最后將其部署在服務(wù)器上，為什么不直接給服務(wù)器打補丁呢？因為不能保證補丁對應(yīng)用系統(tǒng)沒有影響，為了以防萬一，必須對補丁程序進行測試和驗證，然后才允許將其投入生產(chǎn)系統(tǒng)。從補丁程序獲得、測試和驗證，再到最終的部署，完成這一系列任務(wù)需要多長時間？答案是，可能需要幾個小時到幾天，而在此期間攻擊可能已經(jīng)發(fā)生，損失已無法挽回。 拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊除了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議存在漏洞和缺陷，而可能遭受攻擊外，現(xiàn)在IT部門還會拒絕服務(wù)攻擊（DoS）和分布式拒絕服務(wù)攻擊（DDoS）的挑戰(zhàn)。DOS和DDOS攻擊可以被分為兩類：一種是利用網(wǎng)絡(luò)協(xié)議的固有缺陷或?qū)崿F(xiàn)上的弱點來進行攻擊，與漏洞攻擊相似。這類供給典型的例子如Teardrop、Land、KoD和Winnuke；對第一種DOS攻擊可以通過打補丁的方法來防御，但對付第二種攻擊就沒那么簡單了，另一類DOS和DDOS利用看似合理的海量服務(wù)請求來耗盡網(wǎng)絡(luò)和系統(tǒng)的資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。早期的DOS攻擊由單機發(fā)起，在攻擊目標的CPU速度不高、內(nèi)存有限、網(wǎng)絡(luò)帶寬窄的情況下效果是明顯的。隨著網(wǎng)絡(luò)和系統(tǒng)性能的大幅提高，CPU的主頻已達數(shù)G，服務(wù)器的內(nèi)存通常在2G以上，此外網(wǎng)絡(luò)的吞吐能力已達萬兆，單機發(fā)起的DoS攻擊好比孤狼斗猛虎，沒有什么威脅。狼的習性是群居，一只固然勢單力薄，但如果群起而攻之，恐怕猛虎也難抵擋，這就是分布式拒絕服務(wù)攻擊的原理。用一臺攻擊機來攻擊不再起作用的話，攻擊者使用10臺攻擊機、100臺呢共同發(fā)起攻擊呢？DDoS就是利用大量的傀儡機來發(fā)起攻擊，積少成多超過網(wǎng)絡(luò)和系統(tǒng)的能力的極限，最終擊潰高性能的網(wǎng)絡(luò)和系統(tǒng)。常見的DDOS攻擊方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。已發(fā)現(xiàn)的DOS攻擊程序有ICMP Smurf、UDP 反彈，而典型的DDOS攻擊程序有Zombie、TFN2K、Trinoo 和 Stacheldraht。DOS和DDOS攻擊會耗盡用戶寶貴的網(wǎng)絡(luò)和系統(tǒng)資源，使依賴計算機網(wǎng)絡(luò)的正常業(yè)務(wù)無法進行，嚴重損害企業(yè)的聲譽并造成極大的經(jīng)濟損失，使IT部門承受極大的壓力。 零時差攻擊零時差攻擊（Zeroday Attack）是指從系統(tǒng)漏洞、協(xié)議弱點被發(fā)現(xiàn)到黑客制造出針對該漏洞、弱點的惡意代碼并發(fā)起攻擊之間的時間差幾乎為零的攻擊。顯而易見，零時差攻擊對應(yīng)用系統(tǒng)和網(wǎng)絡(luò)的威脅和損害令人恐怖，這相當于在用戶沒有任何防備的情況下，黑客發(fā)起了閃電戰(zhàn)，可能在極短的時間內(nèi)摧毀關(guān)鍵的應(yīng)用系統(tǒng)及令網(wǎng)絡(luò)癱瘓。回顧歷史，可以發(fā)現(xiàn)從系統(tǒng)漏洞、協(xié)議弱點被發(fā)現(xiàn)到用戶遭受攻擊的時間正快速縮短，即零時差攻擊的可能性越來越大。2010年1月中旬，針對微軟的“Aurora”（極光）的零日漏洞開始大規(guī)模被利用。“極光”IE漏洞掛馬攻擊在國內(nèi)最早出現(xiàn)在1月17日晚間，初期規(guī)模并不大，18日全天也僅有220家網(wǎng)站，但隨著部分黑客論壇公開提供“極光木馬生成器”下載，針對該漏洞的掛馬網(wǎng)站數(shù)量在20日全天就超過了1萬家，掛馬網(wǎng)頁更是超過14萬個。而微軟在一個星期后，1月22日才發(fā)布了針對極光的安全公告，提供了解決辦法，但為時已晚。 間諜軟件間諜軟件（英文名稱為“spyware”）是一種來自互聯(lián)網(wǎng)的，能夠在用戶不知情的情況下偷偷進行非法安裝（安裝后很難找到其蹤影），并悄悄把截獲的一些機密信息發(fā)送給第三者的軟件。間諜軟件在安裝時什么都不顯示，運行時用戶也不知曉，刪除起來非常困難。由于間諜軟件隱藏在用戶計算機中、秘密監(jiān)視用戶活動，并已經(jīng)建立了一個進入個人電腦的通道，很容易對用戶電腦做后續(xù)的攻擊。間諜軟件能夠消耗計算能力，使計算機崩潰，并使用戶被淹沒在網(wǎng)絡(luò)廣告的汪洋大海中。它還能夠竊取密碼、信用卡號和其它機密數(shù)據(jù)。作為互聯(lián)網(wǎng)用戶，應(yīng)該對此保持警惕了。最新統(tǒng)計顯示，在過去的12個月中，全球感染間諜軟件的企業(yè)數(shù)量增長了近50%。在100人以上的企業(yè)中，有17%的企業(yè)網(wǎng)絡(luò)中藏有間諜軟件，如鍵盤跟蹤程序等。間諜軟件可分為兩類，一類是“廣告型間諜軟件”。與其他軟件一同安裝，或通過ActiveX控件安裝，用戶并不知道它的存在。記錄用戶的姓名、性別、年齡、密碼、域、電話號碼、郵件地址、VPN、Web瀏覽記錄、網(wǎng)上購物活動、硬件或軟件設(shè)置等信息。 這類間諜軟件還會改變目標系統(tǒng)的行為，諸如霸占IE首頁與改變搜尋網(wǎng)頁的設(shè)定，讓系統(tǒng)聯(lián)機到用戶根本不會去的廣告網(wǎng)站，以致計算機屏幕不停彈跳出各式廣告。而且軟件設(shè)置簡單，只要填寫自己的郵件地址和設(shè)置一下運行即可。另一類被稱為“監(jiān)視型間諜軟件”，它具有記錄鍵盤操作的鍵盤記錄器功能和屏幕捕獲功能，可以用來在后臺記錄下所有用戶的系統(tǒng)活動，比如網(wǎng)站訪問、程序運行、網(wǎng)絡(luò)聊天記錄、鍵盤輸入包括用戶名和密碼、桌面截屏快照等。主要被企業(yè)、私人偵探、司法機構(gòu)、間諜機構(gòu)等使用。間諜軟件的惡行不僅讓機密信息曝光，對產(chǎn)能亦造成負面沖擊，同時也拖累系統(tǒng)資源，諸如瓜分其它應(yīng)用軟件的頻寬與內(nèi)存，導致系統(tǒng)沒來由減速。 間諜軟件在未來將會變得更具威脅性，不僅可以竊取口令、信用卡號，而且還可以偷走各種類型的身份信息，用于一些更加險惡的目的，如捕捉和傳送Word和Excel文檔，竊取企業(yè)秘密等。如果間諜軟件打開通向用戶桌面系統(tǒng)的通道，那么用戶面臨的危險將是不可想象的。 協(xié)議異常和違規(guī)檢測在一切正常的情況下，兩個系統(tǒng)間該如何進行某種數(shù)據(jù)交換，協(xié)議都對其進行了定義。由于某些服務(wù)器不能有效處理異常流量，許多攻擊會通過違反應(yīng)用層協(xié)議，使黑客得以進行拒絕服務(wù)（DoS）攻擊，或者獲得對服務(wù)器的根本訪問權(quán)限。通過執(zhí)行協(xié)議RFC或標準，我們可以阻止這種攻擊。除處理違反協(xié)議的情況外，這種機制還可截獲命令中的非法參數(shù)，阻止許多緩沖溢出攻擊的發(fā)生。比如根據(jù)RFC 2821，在一個正常的SMTP連接過程中，只有在客戶端至少發(fā)送過一個“RCPT TO”請求命令之后，客戶端發(fā)送“DATA”請求命令才是合法的。 偵測和掃描刺探是利用各種手段嘗式取得目標系統(tǒng)的敏感信息的行為，這些敏感信息包括系統(tǒng)安全狀況、系統(tǒng)狀態(tài)、服務(wù)信息、數(shù)據(jù)資料等；采用工具對系統(tǒng)進行規(guī)?；?、自動化的刺探工作稱為掃描。其工具稱為掃描器。 掃描器最初是提供給管理員的一些極具威力的網(wǎng)絡(luò)工具，利用它，網(wǎng)管員可以獲得當前系統(tǒng)信息和安全狀況。正是因為掃描器能有效的獲取系統(tǒng)信息，因此也成為黑客最喜歡的工具。黑客利用掃描器的自動化和規(guī)?；奶匦?，只要簡單的幾步操作，即可搜集到目標信息。 Web入侵隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，許多政府和企業(yè)的關(guān)鍵業(yè)務(wù)活動越來越多地依賴于WEB應(yīng)用，在向客戶提供通過瀏覽器訪問企業(yè)信息功能的同時，企業(yè)所面臨的風險在不斷增加。主要表現(xiàn)在兩個層面：一是隨著Web應(yīng)用程序的增多，這些Web應(yīng)用程序所帶來的安全漏洞越來越多；二是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，被用來進行攻擊的黑客工具越來越多、黑客活動越