1、第第12章章 网络安全发展与未来网络安全发展与未来张玉清张玉清国家计算机网络入侵防范中心国家计算机网络入侵防范中心2022-12-16网络攻击与防范技术2本章内容安排本章内容安排o 12.1 网络安全现状与挑战网络安全现状与挑战o 12.2 网络安全的发展趋势网络安全的发展趋势 o 12.3 网络安全与法律法规网络安全与法律法规o 12.4 小结小结 2022-12-16网络攻击与防范技术312.1 网络安全现状与挑战网络安全现状与挑战o 12.1.1 网络安全现状网络安全现状o 12.1.2 网络安全面临的新挑战网络安全面临的新挑战 2022-12-16网络攻击与防范技术412.1.1 网络
2、安全现状网络安全现状o 过去的数年中,互联网遭受了一波又一波的过去的数年中,互联网遭受了一波又一波的攻击攻击传播速度超快、影响范围广泛、造传播速度超快、影响范围广泛、造成损失巨大的恶意攻击不断出现。成损失巨大的恶意攻击不断出现。2022-12-16网络攻击与防范技术5网络安全现状网络安全现状(2)o 典型攻击:典型攻击:n Melissa(1999)和 LoveLetter(2000)n 红色代码(2001)n 尼姆达(2001)n 熊猫烧香(2006-2007)n 分布式拒绝服务攻击(2000-2007)n 远程控制特洛伊木马后门(1998-2007)2022-12-16网络攻击与防范技术6
3、Melissa和和LoveLettero 1999年年3月爆发的月爆发的Melissa 病毒和病毒和2000年年5月爆发的月爆发的LoveLetter 病毒非常相似,都是病毒非常相似,都是利用利用Outlook电子邮件附件迅速传播。电子邮件附件迅速传播。o Melissa是是MicrosoftWord宏病毒,宏病毒,LoveLetter则是则是VBScript病毒,其恶意代病毒,其恶意代码都是利用码都是利用Microsoft公司开发的公司开发的Script语语言缺陷进行攻击,因此二者非常相似。言缺陷进行攻击,因此二者非常相似。2022-12-16网络攻击与防范技术7Melissa和和LoveL
4、etter(2)o 用户一旦在用户一旦在Microsoft Outlook里打开这里打开这个邮件,系统就会自动复制恶意代码并向地个邮件,系统就会自动复制恶意代码并向地址簿中的所有邮件地址发送带有病毒的邮件。址簿中的所有邮件地址发送带有病毒的邮件。o 很快,由于很快,由于Outlook用户数目众多,其病用户数目众多,其病毒又可以很容易地被复制,很快许多公司的毒又可以很容易地被复制,很快许多公司的邮件服务器就被洪水般的垃圾邮件塞满而中邮件服务器就被洪水般的垃圾邮件塞满而中断了服务。断了服务。2022-12-16网络攻击与防范技术8Melissa和和LoveLetter(3)o Melissa 和和
5、 LoveLetter 的爆发可以说是信息的爆发可以说是信息安全的唤醒电话,它引起了当时人们对信息安全安全的唤醒电话,它引起了当时人们对信息安全现状的深思,并无形中对信息安全的设施和人才现状的深思,并无形中对信息安全的设施和人才队伍的发展起了很大的刺激作用队伍的发展起了很大的刺激作用:nMelissa 和 LoveLetter 刺激了企业和公司对网络安全的投资,尤其是对防病毒方面的投入;n许多公司对网络蠕虫病毒的应急响应表现出的无能促使了专业网络安全应急响应小组的发展与壮大。2022-12-16网络攻击与防范技术9红色代码红色代码o 2001年年7月的某天,全球的月的某天,全球的IDS几乎同时
6、几乎同时报告遭到未知蠕虫攻击。报告遭到未知蠕虫攻击。o 信息安全组织和专业人士纷纷迅速行动起来,信息安全组织和专业人士纷纷迅速行动起来,使用蜜罐使用蜜罐(honeypots)技术从因特网上捕技术从因特网上捕获数据包进行分析,最终发现这是一利用微获数据包进行分析,最终发现这是一利用微软软IIS缓冲溢出漏洞进行感染的变种蠕虫。缓冲溢出漏洞进行感染的变种蠕虫。2022-12-16网络攻击与防范技术10红色代码红色代码(2)o 其实这一安全漏洞早在一个月以前就已经被其实这一安全漏洞早在一个月以前就已经被eEye Digital Security发现,微软也发发现,微软也发布了相应的补丁程序,但是却很少
7、有组织和布了相应的补丁程序,但是却很少有组织和企业的网络引起了足够的重视,下载并安装企业的网络引起了足够的重视,下载并安装了该补丁。了该补丁。2022-12-16网络攻击与防范技术11红色代码红色代码(3)2022-12-16网络攻击与防范技术12红色代码红色代码(4)2022-12-16网络攻击与防范技术13红色代码的启示红色代码的启示o 只要注意及时更新补丁和修复程序,对于一只要注意及时更新补丁和修复程序,对于一般的蠕虫传播是完全可以避免的。般的蠕虫传播是完全可以避免的。o 在网络遭到攻击时,为进行进一步的分析,在网络遭到攻击时,为进行进一步的分析,使用蜜罐是一种非常行之有效的方法。使用蜜
8、罐是一种非常行之有效的方法。o 红色代码猛攻白宫之所以被成功扼制,是因红色代码猛攻白宫之所以被成功扼制,是因为为ISP们及时将路由表中所有白宫的们及时将路由表中所有白宫的IP地地址都清空了,在这一蠕虫代码企图阻塞网络址都清空了,在这一蠕虫代码企图阻塞网络之前,在因特网边界就已被丢弃。另外,白之前,在因特网边界就已被丢弃。另外,白宫网站也立即更改了所有服务器的宫网站也立即更改了所有服务器的IP地址。地址。2022-12-16网络攻击与防范技术14尼姆达尼姆达o 尼姆达(尼姆达(Nidma)是在)是在 9.11 恐怖袭击后整整一恐怖袭击后整整一个星期后出现的。地区之间的冲突和摩擦常会导致个星期后出
9、现的。地区之间的冲突和摩擦常会导致双方黑客互相实施攻击。双方黑客互相实施攻击。o 当时传言尼姆达病毒的散布为了试探美国对网络恐当时传言尼姆达病毒的散布为了试探美国对网络恐怖袭击的快速反应能力,一些安全专家甚至喊出了怖袭击的快速反应能力,一些安全专家甚至喊出了“我们现在急需制定另一个我们现在急需制定另一个曼哈顿计划曼哈顿计划,以随,以随时应对网络恐怖主义时应对网络恐怖主义”的口号,由此可见尼姆达在的口号,由此可见尼姆达在当时给人们造成的恐慌。当时给人们造成的恐慌。2022-12-16网络攻击与防范技术15尼姆达尼姆达(2)o 尼姆达病毒是在早上尼姆达病毒是在早上9:08发现的,它明显发现的,它明
10、显地比红码病毒更快、更具有摧毁功能,半小地比红码病毒更快、更具有摧毁功能,半小时之内就传遍了整个世界。随后在全球各地时之内就传遍了整个世界。随后在全球各地侵袭了侵袭了830万部电脑,总共造成将近万部电脑,总共造成将近10亿亿美元的经济损失。美元的经济损失。2022-12-16网络攻击与防范技术16尼姆达尼姆达(3)o 同同“红色代码红色代码”一样,一样,“尼姆达尼姆达”也是通过网络对也是通过网络对Windows操作系统进行感染的一种蠕虫型病毒。但是它与操作系统进行感染的一种蠕虫型病毒。但是它与以前所有的网络蠕虫的最大不同之处在于,以前所有的网络蠕虫的最大不同之处在于,“尼姆达尼姆达”通过通过多
11、种不同的途径进行传播,而且感染多种多种不同的途径进行传播,而且感染多种Windows操作系操作系统。统。o 红色代码红色代码只能够利用只能够利用IIS的漏洞来感染系统,而的漏洞来感染系统,而尼姆达尼姆达则利用了至少四种微软产品的漏洞来进行传播则利用了至少四种微软产品的漏洞来进行传播:n在 IIS 中的缺陷n浏览器的JavaScript缺陷n利用 Outlook 电子邮件客户端的一个安全缺陷乱发邮件n利用硬盘共享的一个缺陷,将guest用户击活并非法提升为管理员。o 在一个系统遭到感染后,在一个系统遭到感染后,Nimda又会立即寻找突破口,迅又会立即寻找突破口,迅速感染周边的系统,并占用大部分的
12、网络带宽。速感染周边的系统,并占用大部分的网络带宽。2022-12-16网络攻击与防范技术17尼姆达的启示尼姆达的启示o 对网络攻击事件的紧急响应能力以及和安全对网络攻击事件的紧急响应能力以及和安全专家们建立良好的关系是非常重要的。专家们建立良好的关系是非常重要的。o 为阻断恶意蠕虫的传播,往往需要在和广域为阻断恶意蠕虫的传播,往往需要在和广域网的接口之间设置过滤器,或者干脆暂时断网的接口之间设置过滤器,或者干脆暂时断开和广域网的连接。开和广域网的连接。o 在电子邮件客户端和网络浏览器中禁止任意在电子邮件客户端和网络浏览器中禁止任意脚本的执行对网络安全性来说是很关键的。脚本的执行对网络安全性来
13、说是很关键的。2022-12-16网络攻击与防范技术18熊猫烧香熊猫烧香o“熊猫烧香熊猫烧香”是一个是一个由由Delphi工具编写工具编写的蠕虫,终止大量的的蠕虫,终止大量的反病毒软件和防火墙反病毒软件和防火墙软件进程。病毒会删软件进程。病毒会删除扩展名为除扩展名为gho的文的文件,使用户无法使用件,使用户无法使用ghost软件恢复操作软件恢复操作系统。系统。2022-12-16网络攻击与防范技术19熊猫烧香熊猫烧香(2)o“熊猫烧香熊猫烧香”病毒利用的传播方式囊括了漏洞攻击、感染文件、病毒利用的传播方式囊括了漏洞攻击、感染文件、移动存储介质、局域网传播、网页浏览、社会工程学欺骗等。移动存储介
14、质、局域网传播、网页浏览、社会工程学欺骗等。o 它能感染系统的它能感染系统的.exe、.com、.pif、.src、.html、.asp文文件,添加病毒网址,导致用户一打开这些网页文件,件,添加病毒网址,导致用户一打开这些网页文件,IE就会自就会自动连接到指定的病毒网址中下载病毒。动连接到指定的病毒网址中下载病毒。o 在硬盘各个分区下生成文件在硬盘各个分区下生成文件autorun.inf和和setup.exe,可,可以通过以通过U盘和移动硬盘等方式进行传播,并且利用盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的系统的自动播放功能来运行,搜索硬盘中的.e
15、xe可执行文件可执行文件并感染,感染后的文件图标变成并感染,感染后的文件图标变成“熊猫烧香熊猫烧香”图案。图案。o 它还能终止大量的反病毒软件和防火墙软件进程。病毒会删除它还能终止大量的反病毒软件和防火墙软件进程。病毒会删除扩展名为扩展名为.gho的文件,使用户的系统备份文件丢失。的文件,使用户的系统备份文件丢失。o 具有极强的变种能力,仅两个多月的时间,变种就多达具有极强的变种能力,仅两个多月的时间,变种就多达70余余种。种。2022-12-16网络攻击与防范技术20分布式拒绝服务攻击分布式拒绝服务攻击o 在新千年的到来之季,信息安全领域的人们都以为在新千年的到来之季,信息安全领域的人们都以
16、为由于存在千年虫的问题,在信息网络安全领域中应由于存在千年虫的问题,在信息网络安全领域中应该暂时还不会出现什么涟波。该暂时还不会出现什么涟波。o 然而,然而,一月之后却来了一场谁也意想不到的洪潮:一月之后却来了一场谁也意想不到的洪潮:在全球知名网站雅虎第一个宣告因为遭受分布式拒在全球知名网站雅虎第一个宣告因为遭受分布式拒绝服务攻击而彻底崩溃后,绝服务攻击而彻底崩溃后,紧接着紧接着A,CNN,ZDNet,B,Excite 和和 eBay 等其它七大知名网站也几乎在等其它七大知名网站也几乎在同一时间彻底崩溃。这无疑又一次敲响了互联网的同一时间彻底崩溃。这无疑又一次敲响了互联网的警钟。警钟。2022
17、-12-16网络攻击与防范技术21分布式拒绝服务攻击分布式拒绝服务攻击(2)o DDoS 的闪击攻击使人们认识到互联网远比他们的闪击攻击使人们认识到互联网远比他们想象得更加脆弱,分布式拒绝服务攻击产生的影响想象得更加脆弱,分布式拒绝服务攻击产生的影响也远比他们原来想象中的要大得多。利用互联网上也远比他们原来想象中的要大得多。利用互联网上大量的机器进行大量的机器进行DDoS,分布式扫描和分布式口,分布式扫描和分布式口令破解等,一个攻击者能够达到意想不到的强大效令破解等,一个攻击者能够达到意想不到的强大效果。果。o DDoS攻击从攻击从2000年开始,就一直是互联网安全年开始,就一直是互联网安全的
18、致命危害,就在的致命危害,就在2006年,即使是有着上千台服年,即使是有着上千台服务器的百度在遭受务器的百度在遭受DDoS攻击时也难逃一劫,致命攻击时也难逃一劫,致命服务停止半个小时。服务停止半个小时。2022-12-16网络攻击与防范技术22分布式拒绝服务攻击的启示分布式拒绝服务攻击的启示o 从雅虎遭到强大的从雅虎遭到强大的DDoS攻击中得到的启示:攻击中得到的启示:n要阻止这种攻击关键是网络出口反欺骗过滤器的功能是否强大。也就是说如果你的Web服务器收到的数据包的源IP地址是伪造的话,你的边界路由器或防火墙必须能够识别出来并将其丢弃。n网络安全事件响应小组们认识到他们必须和他们的ISP共同
19、去阻止数据包的flood攻击。如果失去ISP的支持,即使防火墙功能再强大,网络出口的带宽仍旧可能被全部占用。n不幸地,DDoS攻击即使在目前也仍旧是互联网面临的主要威胁,当然这主要是因为ISP在配合阻断DDoS攻击上速度太慢引起的,无疑使事件应急响应的效果大打折扣。2022-12-16网络攻击与防范技术23远程控制特洛伊木马后门远程控制特洛伊木马后门o 在在1998年年7月,黑客月,黑客 Cult of the Dead Cow(cDc)推出的强大后门制造工具)推出的强大后门制造工具 Back Orifice(或称(或称BO)使庞大的网络系统轻而易举地陷入了)使庞大的网络系统轻而易举地陷入了瘫
20、痪之中。安装瘫痪之中。安装BO主要目的是:黑客通过网络远主要目的是:黑客通过网络远程入侵并控制受攻击的程入侵并控制受攻击的Win95系统,从而使受侵系统,从而使受侵机器机器“言听计从言听计从”。o 如果仅仅从功能上讲,如果仅仅从功能上讲,Back Orifice完全可以和完全可以和市场上最流行的商业远程控制软件相媲美。因此,市场上最流行的商业远程控制软件相媲美。因此,许多人干脆拿它来当作远程控制软件来进行合法的许多人干脆拿它来当作远程控制软件来进行合法的网络管理。网络管理。2022-12-16网络攻击与防范技术24远程控制特洛伊木马后门远程控制特洛伊木马后门(2)o BO的成功后来也迅速地带动
21、和产生了许多的成功后来也迅速地带动和产生了许多类似的远程控制工具,像类似的远程控制工具,像 SubSeven,NetBus,Hack-a-Tack 和和 Back Orifice 2000(BO2K)等。等。o 木马技术不发展,发生了众多功能强大的软木马技术不发展,发生了众多功能强大的软件,灰鸽子就是其典型代表。件,灰鸽子就是其典型代表。o 这些攻击工具和方法甚至一直保留到现在,这些攻击工具和方法甚至一直保留到现在,作为黑客继续开发新的和更加强大的特洛伊作为黑客继续开发新的和更加强大的特洛伊木马后门,以避开检测,绕过个人防火墙和木马后门,以避开检测,绕过个人防火墙和伪装自己的设计思想基础。伪装
22、自己的设计思想基础。2022-12-16网络攻击与防范技术25“敲诈敲诈”型木马型木马o 木马从最初的仅仅获取信息,转变为专门以营利为木马从最初的仅仅获取信息,转变为专门以营利为目的。如盗取银行账号信息掠夺金钱、盗取网游账目的。如盗取银行账号信息掠夺金钱、盗取网游账号倒卖等。号倒卖等。o 此外,还出现了一种新型功能的木马此外,还出现了一种新型功能的木马“敲诈敲诈”型木马,它的主要特点是试图隐藏用户文档,让用型木马,它的主要特点是试图隐藏用户文档,让用户误以为文件丢失,木马乘机以帮助用户恢复数据户误以为文件丢失,木马乘机以帮助用户恢复数据的名义,要求用户向指定的银行账户内汇入定额款的名义,要求用
23、户向指定的银行账户内汇入定额款项。国内已出现不少这类专门对用户进行项。国内已出现不少这类专门对用户进行“敲诈勒敲诈勒索索”的木马。的木马。2022-12-16网络攻击与防范技术2612.1.2 网络安全面临的新挑战网络安全面临的新挑战o 针对网络安全的挑战更是层出不穷,下面针对网络安全的挑战更是层出不穷,下面列出了目前网络安全面临的几大问题:列出了目前网络安全面临的几大问题:n 更多网络犯罪直接以经济利益为目的 n 拒绝服务攻击泛滥 n 垃圾邮件与反垃圾邮件之间的斗争愈演愈烈 n 恶意软件横行,web攻击频发 n 对非PC设备(例如手机)的威胁增加 2022-12-16网络攻击与防范技术27更
24、多网络犯罪直接以经济利益为目的更多网络犯罪直接以经济利益为目的o 最吸引国人眼球的应该是腾讯,最吸引国人眼球的应该是腾讯,2004年两次年两次QQ大规模无法使用,尤其是此后影影绰绰的勒索传大规模无法使用,尤其是此后影影绰绰的勒索传言,有人惊呼:中国网络恐怖主义诞生了。言,有人惊呼:中国网络恐怖主义诞生了。o 传言毕竟只是传言,相比之下,一群巴西网络银传言毕竟只是传言,相比之下,一群巴西网络银行骇客的落网或许更能让你真切感受到网络犯罪行骇客的落网或许更能让你真切感受到网络犯罪离你多近,仅仅一年多的时间,他们从银行中窃离你多近,仅仅一年多的时间,他们从银行中窃取了大约取了大约2758万美元万美元o
25、 依稀能看见商业间谍、军事间谍或者是一群仅仅依稀能看见商业间谍、军事间谍或者是一群仅仅为了金钱彻夜不眠地进行攻击攻击再攻击的人为了金钱彻夜不眠地进行攻击攻击再攻击的人们们勿庸置疑,这些事实仅仅是冰山一角。技勿庸置疑,这些事实仅仅是冰山一角。技术进步加上道德感的缺失,黑客们开始看清自己术进步加上道德感的缺失,黑客们开始看清自己要的东西。要的东西。2022-12-16网络攻击与防范技术28更多网络犯罪直接以经济利益为目的更多网络犯罪直接以经济利益为目的o 经济利益毫无疑问已经成为病毒和木马制造者经济利益毫无疑问已经成为病毒和木马制造者最大的驱动力。病毒制造者已经不再是以炫耀最大的驱动力。病毒制造者
26、已经不再是以炫耀自己的技术为目的,也不再是单打独斗,而是自己的技术为目的,也不再是单打独斗,而是结成了团伙,制造、传播、盗窃信息、第三方结成了团伙,制造、传播、盗窃信息、第三方平台销赃、洗钱,分工明确,形成了一整条黑平台销赃、洗钱,分工明确,形成了一整条黑色产业链。色产业链。2022-12-16网络攻击与防范技术29令全国网民闻令全国网民闻“猫猫”色变的熊猫烧香病毒色变的熊猫烧香病毒 2022-12-16网络攻击与防范技术30熊猫烧香背后的巨大利润熊猫烧香背后的巨大利润o 据湖北省公安厅介绍,李俊以自己出售和由他人代卖的据湖北省公安厅介绍,李俊以自己出售和由他人代卖的方式,每次要价方式,每次要
27、价5001000元不等,将该病毒销售给元不等,将该病毒销售给120余人,非法获利余人,非法获利10万余元。万余元。o 经病毒购买者进一步传播,该病毒的各种变种在网上大经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播,通过入侵可盗取证券、银行、信用卡的账号,面积传播,通过入侵可盗取证券、银行、信用卡的账号,其非法所得通过购买网络货币,完成其非法所得通过购买网络货币,完成“漂白漂白”的洗钱过的洗钱过程;而通过病毒盗取的游戏账号、虚拟钱币,则通过中程;而通过病毒盗取的游戏账号、虚拟钱币,则通过中间批发商直接变现,再进入传统销售渠道。另一部分非间批发商直接变现,再进入传统销售渠道。另一部分非法
28、收入则是通过入侵网站,勒索网站收取佣金。法收入则是通过入侵网站,勒索网站收取佣金。o 据湖北省公安厅估算,被据湖北省公安厅估算,被“熊猫烧香熊猫烧香”病毒控制的病毒控制的“网网络僵尸络僵尸”数以百万计,按其访问流量付费的网站,一年数以百万计,按其访问流量付费的网站,一年下来可为整个下来可为整个“烧香烧香”入侵之后一整套入侵之后一整套“推广推广”网络累网络累计获利数千万元。计获利数千万元。2022-12-16网络攻击与防范技术31职业黑客的网络时代职业黑客的网络时代o“300元,两天之内破解一个电子邮箱;元,两天之内破解一个电子邮箱;1000元,攻击一次或一个服务器元,攻击一次或一个服务器”o
29、这个价钱是一个职业黑客开出的价钱。随着网络这个价钱是一个职业黑客开出的价钱。随着网络技术不断进步、网络经济的繁荣,黑客这一概念,技术不断进步、网络经济的繁荣,黑客这一概念,已开始从原先的对于不断追求网络技术的人群转已开始从原先的对于不断追求网络技术的人群转变成了以提供相应服务,获得经济利益的职业人变成了以提供相应服务,获得经济利益的职业人群。群。2022-12-16网络攻击与防范技术32拒绝服务攻击泛滥拒绝服务攻击泛滥o 我们所看到的拒绝服务已经不仅仅是一台或几台机我们所看到的拒绝服务已经不仅仅是一台或几台机器发起的了,攻击者们控制成百上千的僵尸电脑器发起的了,攻击者们控制成百上千的僵尸电脑(
30、Zombie),甚至由蠕虫来进行传播和攻击。,甚至由蠕虫来进行传播和攻击。DoS凭借它的便捷有效,吸引了大量热衷者,互凭借它的便捷有效,吸引了大量热衷者,互联网上因此充斥这类垃圾流量。联网上因此充斥这类垃圾流量。o 除了常规的拒绝服务攻击、除了常规的拒绝服务攻击、DoS讹诈之外,我们讹诈之外,我们面临的各种有意无意的面临的各种有意无意的DoS越来越多,例如,邮越来越多,例如,邮件蠕虫发送邮件,产生的大量件蠕虫发送邮件,产生的大量DNS查询报文,对查询报文,对DNS服务器产生事实上的服务器产生事实上的DoS等等,事件日渐频等等,事件日渐频发。发。2022-12-16网络攻击与防范技术33垃圾邮件
31、与反垃圾邮件之间的斗争愈演愈烈垃圾邮件与反垃圾邮件之间的斗争愈演愈烈o 网络服务商和邮件运营商们纷纷提出了自己的技术方案:网络服务商和邮件运营商们纷纷提出了自己的技术方案:雅虎的雅虎的“DomainKeys”,它利用公,它利用公/私钥加密技术为私钥加密技术为每个电子邮件地址生成一个唯一的签名,实现对邮件发每个电子邮件地址生成一个唯一的签名,实现对邮件发送者的身份验证;微软的送者的身份验证;微软的“电子邮票电子邮票”有偿发送邮件方有偿发送邮件方案;而案;而AOL正在试验一种名为正在试验一种名为“Sender permitted From”(SPF)的新电子邮件协议,禁止通过修改域)的新电子邮件协
32、议,禁止通过修改域名系统(名系统(DNS)伪造电子邮件地址;等等)伪造电子邮件地址;等等o 但垃圾邮件发送者并不是坐以待毙,而是主动出击,继但垃圾邮件发送者并不是坐以待毙,而是主动出击,继续他们没完没了的续他们没完没了的“发送事业发送事业”。2022-12-16网络攻击与防范技术34垃圾邮件与反垃圾邮件之间的斗争愈演愈烈垃圾邮件与反垃圾邮件之间的斗争愈演愈烈(2)o 道高一尺,魔高一丈,世界永远在此消彼长中道高一尺,魔高一丈,世界永远在此消彼长中发展。发展。2008年,垃圾邮件事件依然在以惊人年,垃圾邮件事件依然在以惊人的速度增长,垃圾邮件厂商与反垃圾邮件厂商的速度增长,垃圾邮件厂商与反垃圾邮
33、件厂商究竟是一起赚钱,或者能拼出个高下,尚无从究竟是一起赚钱,或者能拼出个高下,尚无从得知,斗争依然热闹非凡。得知,斗争依然热闹非凡。2022-12-16网络攻击与防范技术35恶意代码横行,恶意代码横行,web攻击频发攻击频发o MYDOOM/Netsky/Bagle/震荡波震荡波/SCO炸弹炸弹/QQ尾巴尾巴/MSN射手等一系列新病毒和蠕虫的出现,射手等一系列新病毒和蠕虫的出现,造成了巨大的经济损失。而且病毒和蠕虫的多样化明显,造成了巨大的经济损失。而且病毒和蠕虫的多样化明显,甚至蠕虫编写组织开始相互对抗,频繁推出新版本。甚至蠕虫编写组织开始相互对抗,频繁推出新版本。o 根据调查,平均每台家
34、用根据调查,平均每台家用PC有有28个间谍软件,它们已个间谍软件,它们已经被更多的公司及个人利用,其目的也从初期简单收户经被更多的公司及个人利用,其目的也从初期简单收户信息演化为可能收集密码、帐号等资料。信息演化为可能收集密码、帐号等资料。o 至于至于web攻击,各大政府的门户网站成为别有用心的攻击,各大政府的门户网站成为别有用心的攻击者的首选目标,攻击者的首选目标,2008年政府网站被篡改的事件比年政府网站被篡改的事件比例大幅增加。而网络钓鱼方面,且不谈多年受其困扰的例大幅增加。而网络钓鱼方面,且不谈多年受其困扰的ebay,只看网络钓客以,只看网络钓客以“假网站假网站”试钓中国银行、中试钓中
35、国银行、中国工商银行的用户,就可以想像其猖獗程度了。国工商银行的用户,就可以想像其猖獗程度了。2022-12-16网络攻击与防范技术36对非对非PC设备(如手机)的威胁增加设备(如手机)的威胁增加o 手机的手机的PC化为手机病毒的制造和传播准备了基础,化为手机病毒的制造和传播准备了基础,智能手机的加速普及又将降低手机病毒在传播过程智能手机的加速普及又将降低手机病毒在传播过程中因为手机制式的不同而形成的障碍,中因为手机制式的不同而形成的障碍,3G的到来的到来终将引爆无线互联网,包括手机病毒在内的手机安终将引爆无线互联网,包括手机病毒在内的手机安全问题将日益凸现。全问题将日益凸现。o 目前,手机病
36、毒已经具有了计算机病毒的许多特点,目前,手机病毒已经具有了计算机病毒的许多特点,而通过蓝牙等无线技术,手机病毒可以同时以手机而通过蓝牙等无线技术,手机病毒可以同时以手机网络和计算机网络为传播平台,其传播范围大大增网络和计算机网络为传播平台,其传播范围大大增加。手机漏洞挖掘技术的发展,也将促进这一领域加。手机漏洞挖掘技术的发展,也将促进这一领域内手机病毒的大量滋生。显然,手机等这类移动终内手机病毒的大量滋生。显然,手机等这类移动终端的安全问题,正面临着严峻的考验。端的安全问题,正面临着严峻的考验。2022-12-16网络攻击与防范技术37对非对非PC设备(如手机)的威胁增加设备(如手机)的威胁增
37、加o 自自2000年西班牙出现第一例手机病毒以来,到目年西班牙出现第一例手机病毒以来,到目前为止,总共超过前为止,总共超过200种手机病毒,并以每周新出种手机病毒,并以每周新出现现2-3款手机病毒的速度增长。款手机病毒的速度增长。2007年年3月出现月出现了一款运行为了一款运行为Symbian S60平台的平台的“熊猫烧香熊猫烧香”手机版病毒。手机版病毒。o 流氓软件也转战手机平台,一条基于以流氓软件为流氓软件也转战手机平台,一条基于以流氓软件为载体,基于智能手机平台服务的黑色产业链正在形载体,基于智能手机平台服务的黑色产业链正在形成。成。o 2002年,年,xfocus研究人员对手机的漏洞进
38、行过研究人员对手机的漏洞进行过研究,但手机病毒从没有这两年距离我们这样近过,研究,但手机病毒从没有这两年距离我们这样近过,手机蠕虫的大规模传播又成为了我们的心腹之患。手机蠕虫的大规模传播又成为了我们的心腹之患。2022-12-16网络攻击与防范技术3812.2 网络安全的发展趋势网络安全的发展趋势o 12.2.1 网络攻击的发展趋势网络攻击的发展趋势o 12.2.2 防御技术的发展趋势防御技术的发展趋势o 12.2.3 动态安全防御体系动态安全防御体系o 12.2.4 加强安全意识与技能培训加强安全意识与技能培训o 12.2.5 标准化进程标准化进程2022-12-16网络攻击与防范技术391
39、2.2.1 网络攻击的发展网络攻击的发展o 通过对大量网络攻击事件的分析和归纳得出,通过对大量网络攻击事件的分析和归纳得出,网络攻击技术正在朝以下几个方面迅速发展:网络攻击技术正在朝以下几个方面迅速发展:n 趋势1:网络攻击阶段自动化n 趋势2:网络攻击工具智能化n 趋势3:漏洞发现、利用速度愈来愈快n 趋势4:防火墙等的渗透率愈来愈高n 趋势5:安全威胁的不对称性在增加n 趋势6:对网络基础设施产生的破坏力越来越强 2022-12-16网络攻击与防范技术40趋势趋势1:网络攻击阶段自动化:网络攻击阶段自动化o自动化攻击一般涉及四个阶段:自动化攻击一般涉及四个阶段:n扫描阶段:攻击者采用各种新
40、出现的扫描技术(隐蔽扫描、智能扫描、指纹识别等),使得攻击者能够利用更先进的扫描模式来改善扫描效果,提高扫描速度。n渗透控制阶段:先进的隐蔽远程植入方式,如基于数字水印远程植入方式、基于DLL和远程线程插入的植入技术,能够成功的躲避防病毒软件的检测将受控端程序植入到目的主机中。n传播攻击阶段:以前依靠人工启动攻击软件工具发起的攻击,现在发展到由攻击工具本身只能发起新的攻击。n攻击工具协调管理阶段:随着分布式攻击工具的出现,攻击者可以容易地控制和协调分布在Internet上的大量已部署的攻击工具。2022-12-16网络攻击与防范技术41趋势趋势2:网络攻击工具智能化:网络攻击工具智能化o 目前
41、攻击工具的开发者正在利用更先进的思想和技术来武目前攻击工具的开发者正在利用更先进的思想和技术来武装攻击工具,攻击工具的特征比以前更难发现。相当的工装攻击工具,攻击工具的特征比以前更难发现。相当的工具已经具备了反侦破、智能动态行为、攻击工具变异等特具已经具备了反侦破、智能动态行为、攻击工具变异等特点。点。n反侦破是指攻击者越来越多地采用具有隐蔽攻击工具特性的技术,使得网络管理人员和网络安全专家需要耗费更多的时间分析新出现的攻击工具和了解新的攻击行为;n智能动态行为是指现在的攻击工具能根据环境自适应地选择或预先定义决定策略路径来变化对它们的模式和行为。并不像早期的攻击工具那样,仅仅以单一确定的顺序
42、执行攻击步骤;n攻击工具变异是指攻击工具已经发展到可以通过升级或更换工具的一部分迅速变化自身,进而发动迅速变化的攻击,且在每一次攻击中会出现多种不同形态的攻击工具。2022-12-16网络攻击与防范技术42趋势趋势3:漏洞发现、利用速度愈来愈快:漏洞发现、利用速度愈来愈快o 安全漏洞是危害网络安全的最主要因素,安全漏洞安全漏洞是危害网络安全的最主要因素,安全漏洞在所有的操作系统和应用软件都是普遍存在的,特在所有的操作系统和应用软件都是普遍存在的,特别是软件系统的各种漏洞。别是软件系统的各种漏洞。o 安全漏洞并没有厂商和操作系统平台的区别,即并安全漏洞并没有厂商和操作系统平台的区别,即并非人们印
43、象中那样:非人们印象中那样:UNIX系统更安全一些。新发系统更安全一些。新发现的各种系统与网络安全漏洞每年都要增加一倍,现的各种系统与网络安全漏洞每年都要增加一倍,每年都会发现安全漏洞的新类型,这些漏洞在补丁每年都会发现安全漏洞的新类型,这些漏洞在补丁未开发出来之前很难防御攻击者的破坏。未开发出来之前很难防御攻击者的破坏。o 网络安全管理员需要不断用最新的补丁修补相应漏网络安全管理员需要不断用最新的补丁修补相应漏洞。攻击者经常能够抢在厂商修补漏洞前,发现这洞。攻击者经常能够抢在厂商修补漏洞前,发现这些未修补漏洞同时发起攻击。些未修补漏洞同时发起攻击。2022-12-16网络攻击与防范技术43趋
44、势趋势4:防火墙等的渗透率愈来愈高:防火墙等的渗透率愈来愈高o 配置防火墙目前仍然是企业和个人防范网络入侵者配置防火墙目前仍然是企业和个人防范网络入侵者的主要防护措施。但是,一直以来,黑客都在研究的主要防护措施。但是,一直以来,黑客都在研究攻击防火墙的技术和手段。攻击的手法和技术越来攻击防火墙的技术和手段。攻击的手法和技术越来越只能化和多样化。越只能化和多样化。o 从黑客攻击防火墙的过程看,大概可以分为两类:从黑客攻击防火墙的过程看,大概可以分为两类:n第一类攻击防火墙的方法是探测在目标网络上安全的是何种防火墙系统,并且找出此防火墙系统允许哪些服务开放防火墙的探测攻击;n第二类攻击防火墙的方法
45、是采取地址欺骗,TCP序列号攻击等手法绕过防火墙的认证机制,达到攻击防火墙和内部网络的目的。2022-12-16网络攻击与防范技术44趋势趋势5:安全威胁的不对称性在增加:安全威胁的不对称性在增加o Internet上的安全是相互依赖的。每个上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全系统遭受攻击的可能性取决于连接到全球球Internet上其他系统的安全状态。上其他系统的安全状态。o 由于攻击技术水平的进步,一个攻击者可以比较容由于攻击技术水平的进步,一个攻击者可以比较容易地利用那些不安全系统,对一个受害者发动破坏易地利用那些不安全系统,对一个受害者发动破坏性的
46、攻击。性的攻击。o 随着部署自动化程度和攻击工具管理技巧的提高,随着部署自动化程度和攻击工具管理技巧的提高,威胁的不对称性将继续增加。威胁的不对称性将继续增加。2022-12-16网络攻击与防范技术45趋势趋势6:对网络基础设施的破坏力越来越大:对网络基础设施的破坏力越来越大 o 由于用户越来越多地依赖计算机网络提供各由于用户越来越多地依赖计算机网络提供各种服务,完成日常相关业务,黑客攻击网络种服务,完成日常相关业务,黑客攻击网络基础设施造成的破坏影响越来越大。基础设施造成的破坏影响越来越大。o 黑客对网络基础设施的攻击,主要手段有分黑客对网络基础设施的攻击,主要手段有分布式拒绝服务攻击、蠕虫
47、病毒攻击、对布式拒绝服务攻击、蠕虫病毒攻击、对Internet域名系统域名系统DNS的攻击和对路由器的攻击和对路由器的攻击。的攻击。2022-12-16网络攻击与防范技术4612.2.2 防御技术的发展趋势防御技术的发展趋势o 病毒防御技术发展趋势病毒防御技术发展趋势o 反垃圾邮件发展趋势反垃圾邮件发展趋势 o 防火墙技术发展趋势防火墙技术发展趋势 o 反间谍技术的应用尝试与发展反间谍技术的应用尝试与发展 o IDS技术的发展趋势技术的发展趋势 2022-12-16网络攻击与防范技术47病毒防御技术发展趋势病毒防御技术发展趋势o 对于企业来说,面临的最大问题是基于签名对于企业来说,面临的最大问
48、题是基于签名的识别技术不能有效防御新病毒。的识别技术不能有效防御新病毒。o 企业要想有效地制止攻击,行为识别是首选企业要想有效地制止攻击,行为识别是首选的解决方案。的解决方案。2022-12-16网络攻击与防范技术48病毒防御技术发展趋势病毒防御技术发展趋势(2)o 综合采用行为识别和特征识别技术,可非综合采用行为识别和特征识别技术,可非常高效的实现对计算机病毒、蠕虫、木马常高效的实现对计算机病毒、蠕虫、木马等恶意攻击行为的主动防御,能较好地解等恶意攻击行为的主动防御,能较好地解决现有产品或系统以被动防御为主、识别决现有产品或系统以被动防御为主、识别未知攻击行为能力弱的缺陷。未知攻击行为能力弱
49、的缺陷。o 基于行为的反防毒保护并不依靠一对一的基于行为的反防毒保护并不依靠一对一的签名校对来实现恶性代码的识别,而是通签名校对来实现恶性代码的识别,而是通过检查病毒及蠕虫的共有特征发现可能的过检查病毒及蠕虫的共有特征发现可能的恶性软件。恶性软件。2022-12-16网络攻击与防范技术49病毒防御技术发展趋势病毒防御技术发展趋势(3)o 采用这一技术的优势在于:该技术可识别采用这一技术的优势在于:该技术可识别未知的病毒,以抵御未知的病毒,以抵御“零日零日”攻击。攻击。o 可以说由签名识别技术转移到行为识别技可以说由签名识别技术转移到行为识别技术,是大势所趋。但是,目前的事实是,术,是大势所趋。
50、但是,目前的事实是,行为识别技术暂时还没有走向商业化。行为识别技术暂时还没有走向商业化。2022-12-16网络攻击与防范技术50反垃圾邮件发展趋势反垃圾邮件发展趋势o 国内外主要的反垃圾邮件系统,普遍采用的国内外主要的反垃圾邮件系统,普遍采用的是关键字内容过滤技术,采取是关键字内容过滤技术,采取“截获样本,截获样本,解析特征,生成规则,规则下发,内容过滤解析特征,生成规则,规则下发,内容过滤”这种类似传统杀病毒系统的原理。这种类似传统杀病毒系统的原理。o 这种技术存在着许多难以克服的问题。这种技术存在着许多难以克服的问题。2022-12-16网络攻击与防范技术51传统反垃圾邮件难以克服的问题
