預測未來的五種攻擊手段

申請免費試用、咨詢電話：400-8352-114

1、紅色代碼(2001)

2.尼姆達(2001)

3.Melissa(1999) 和 LoveLetter(2000)

4.分布式拒絕服務攻擊(2000)

5.遠程控制特洛伊木馬后門(1998-2000)

二、未來的五種攻擊手段

1.超級蠕蟲

2. 隱秘攻擊(Stealthier Attacks)

3. 利用程序自動更新存在的缺陷

4. 針對路由或DNS的攻擊

5. 同時發(fā)生計算機網絡攻擊和恐怖襲擊

回顧在過去五年中因特網所遭受的一連串的攻擊，雖然不乏傳播速度驚人、受害面驚人，或穿透深度驚人等令人們措手不及的惡意攻擊，但最后都還是被人們所一一戰(zhàn)勝。但是在經歷了這一次又一次的洗禮之后，我們的網絡現(xiàn)在是不是變得堅不可摧了呢? 這是一個很難回答的問題，盡管大家都希望網絡是強壯的。

根據(jù)對兩百多個讀者的調查, 我們選出了在過去五年里影響最廣，破壞最強的五種惡意攻擊，并且還預測了在今后的五年中可能影響最大的五種攻擊手段。

需要說明的是，以下的選擇和預測肯定是不能完全符合每個人的觀點的，但筆者相信，我們的選擇和預測結果應該還是很有代表性，和很有意義的。

一、五種影響最大的攻擊

選擇結果之所以如此，是因為它們中的每一種攻擊的破壞力在當時都幾乎撼動了大多數(shù)人對英特網的信心,從企業(yè)的CEO、CIO到系統(tǒng)管理員、網站管理員，甚至到家庭或公司的終端用戶都幾乎"談網色變"。他們對電子商務的安全性空前地懷疑，即使在打開自己的電子郵件時也是忐忑不安，猶豫不決?？傊?，在當時他們所表現(xiàn)出來的恐慌簡直令筆者感到震驚。

1、紅色代碼(2001)

    2001年7月的某天，全球的IDS幾乎同時報告遭到不名蠕蟲攻擊。信息安全組織和專業(yè)人士紛紛迅速行動起來，使用蜜罐(honeypots)技術從因特網上捕獲數(shù)據(jù)包進行分析，最終發(fā)現(xiàn)這是一利用微軟IIS緩沖溢出漏洞進行感染的變種蠕蟲。其實這一安全漏洞早在一個月以前就已經被eEye Digital Security發(fā)現(xiàn)，微軟也發(fā)布了相應的補丁程序，但是卻很少有組織和企業(yè)的網絡引起了足夠的重視，下載并安裝了該補丁。

    在紅色代碼首次爆發(fā)的短短9個小時內，這一小小蠕蟲以速不掩耳之勢迅速感染了250,000臺服務器，其速度和深入范圍之廣也迅速引起了全球媒體的注意。最初發(fā)現(xiàn)的紅色代碼蠕蟲還只是篡改英文站點的主頁，顯示“Welcome to http://www.worm.com! Hacked by Chinese!”等信息。但是隨后的紅色代碼蠕蟲便如同洪水般在互聯(lián)網上泛濫，發(fā)動DoS（拒絕服務）攻擊以及格式化目標系統(tǒng)硬盤，并會在每月20日～28日對白宮的WWW站點的IP地址發(fā)動DoS攻擊，使白宮的WWW站點不得不全部更改自己的IP地址。之后，紅色代碼又不斷的變種，其破壞力也更強，在紅色代碼II肆虐時，有近2萬服務器/500萬網站被感染。

紅色代碼就是憑著這樣過硬的"本領"，在我們的1997至2002年網絡攻擊之最的民意調查中與Nimda以占選票 44%的絕對優(yōu)勢位居榜首。

從紅色代碼的肆虐中網絡用戶可以得到以下啟示:

只要注意及時更新補丁和修復程序，對于一般的蠕蟲傳播是完全可以避免的。因此作為系統(tǒng)管理員在平時應該多注意自己的系統(tǒng)和應用程序所出現(xiàn)的最新漏洞和修復程序，對于提供了修復程序和解決方案的應立即安裝和實施。

在網絡遭到攻擊時，為進行進一步的分析，使用蜜罐是一種非常行之有效的方法。

紅色代碼猛攻白宮之所以被成功扼制，是因為ISP們及時將路由表中所有白宮的IP地址都清空了，在這一蠕蟲代碼企圖阻塞網絡之前，在因特網邊界就已被丟棄。另外，白宮網站也立即更改了所有服務器的IP地址。

2.尼姆達(2001)

尼姆達（Nidma）是在 9/11 恐怖襲擊后整整一個星期后出現(xiàn)的。筆者現(xiàn)在還清楚地記得因為美國的網絡常常成為恐怖組織和對其懷有敵意的黑客的攻擊目標。另外，地區(qū)之間的沖突和摩擦也會導致雙方黑客互相實施攻擊，當時傳言是中國為了試探美國對網絡恐怖襲擊的快速反應能力而散布了尼姆達病毒，一些安全專家甚至喊出了“我們現(xiàn)在急需制定另一個‘曼哈頓計劃’，以隨時應對網絡恐怖主義”的口號，由此可見尼姆達在當時給人們造成的恐慌。

尼姆達病毒是在早上9：08發(fā)現(xiàn)的，它明顯地比紅病毒更快、更具有摧毀功能，半小時之內就傳遍了整個世界。隨后在全球各地侵襲了830萬部電腦，總共造成將近10億美元的經濟損失。

同"紅色代碼"一樣，"尼姆達"也是通過網絡對Windows操作系統(tǒng)進行感染的一種蠕蟲型病毒。但是它與以前所有的網絡蠕蟲的最大不同之處在于，"尼姆達"通過多種不同的途徑進行傳播，而且感染多種Windows操作系統(tǒng)。"。"紅色代碼"只能夠利用IIS的漏洞來感染系統(tǒng)，而"尼姆達"則利用了至少四種微軟產品的漏洞來進行傳播:

在 IIS 中的缺陷；

瀏覽器的JavaScript缺陷；

利用 Outlook 電子郵件客戶端的一個安全缺陷亂發(fā)郵件；

利用硬盤共享的一個缺陷，將guest用戶擊活并非法提升為管理員。

在一個系統(tǒng)遭到感染后，Nimda又會立即尋找突破口，迅速感染周邊的系統(tǒng)，并站用大部分的網絡帶寬。

從Nimda蠕蟲病毒播發(fā)的全程和特點來看，網絡用戶又可以深刻地認識到：

對網絡攻擊事件的緊急響應能力以及和安全專家們建立良好的關系是非常重要的。

為阻斷惡意蠕蟲的傳播，往往需要在和廣域網的接口之間設置過濾器，或者干脆暫時斷開和廣域網的連接。

在電子郵件客戶端和網絡瀏覽器中禁止任意腳本的執(zhí)行對網絡安全性來說是很關鍵的。

3.Melissa(1999) 和 LoveLetter(2000)

在1999年3月爆發(fā)的Melissa 病毒和2000年5月爆發(fā)的LoveLetter 病毒因為它們能夠迅速蔓延，并造成極大的危害也榮登了這次評選的五大寶座之一。Melissa是MicrosoftWord宏病毒，LoveLetter則是VBScript病毒，二者除了都是利用Outlook電子郵件附件進行傳播外，另外惡意代碼也都是利用Microsoft公司開發(fā)的Script語言缺陷進行攻擊，因此二者非常相似。

用戶一旦在Microsoft Outlook里打開這個郵件，系統(tǒng)就會自動復制惡意代碼并向地址簿中的所有郵件地址發(fā)送帶有病毒的郵件。很快，由于Outlook用戶數(shù)目眾多，其病毒又可以很容易地被復制，很快許多公司的郵件服務器就被洪水般的垃圾郵件塞滿而中斷了服務。一些公司在發(fā)現(xiàn)遭到攻擊或可能遭到后立即將自己內部網絡與因特網斷開，在內部網將遭到蠕蟲感染的機器清除或隔離，等病毒風暴過后才連接到internet上，因此才免受其危害。當時的各大防病毒廠商在病毒爆發(fā)后不久立即向他們的客戶分發(fā)病毒簽名文件，但是由于用戶太多卻要在同一時間下載和更新病毒庫，使得要想及時更新簽名文件變得非常困難，這無疑更加助長了病毒的肆虐。也正是因為這個原因使得Melissa和LoveLetter病毒所產生的危害僅次于紅色代碼和尼姆達。

Melissa 和 LoveLetter 的爆發(fā)可以說是信息安全的喚醒電話，它引起了當時人們對信息安全現(xiàn)狀的深思，并無形中對信息安全的設施和人才隊伍的發(fā)展起了很大的刺激作用:

Melissa 和 LoveLetter 刺激了企業(yè)和公司對網絡安全的投資，尤其是對防病毒方面的投入；

許多公司對網絡蠕蟲病毒的緊急響應表現(xiàn)出來的無能刺激了專業(yè)的網絡安全緊急響應小組的空前壯大。

4.分布式拒絕服務攻擊(2000)

在新千年的到來之季，信息安全領域的人們都以為可以集體地長長地噓一口氣了，因為他們以為由于存在千年蟲的問題，在信息網絡安全領域中應該暫時還不會出現(xiàn)什么漣波。然后, 一月之后卻來了一場誰也意想不到的大洪水：在全球知名網站雅虎第一個宣告因為遭受分布式拒絕服務攻擊而徹底崩潰后, 緊接著Amazon.com, CNN, E*Trade, ZDNet, Buy.com, Excite 和 eBay 等其它七大知名網站也幾乎在同一時間徹底崩潰。這無疑又一次敲項了因特網的警鐘。在這以前人們其實已經接觸過來自數(shù)以百計的機器的flood攻擊，但是像攻擊雅虎這樣如此大規(guī)模的攻擊卻從未目擊過甚至想像過。

DDoS 的閃擊般攻擊使人們認識到英特網遠比他們想象得更加脆弱，分布式地拒絕服務攻擊產生的影響也遠比他們原來想象中的要大得多。利用因特網上大量的機器進行DDoS ,分布式掃描和分布式口令破解等，一個攻擊者能夠達到許多意想不到的強大效果。

    從雅虎遭到強大的DDoS攻擊中人們又獲得了什么啟示呢?

    要阻止這種攻擊關鍵是網絡出口反欺騙過濾器的功能是否強大。也就是說如果你的Web服務器收到的數(shù)據(jù)包的源IP地址是偽造的話,你的邊界路由器或防火墻必須能夠識別出來并將其丟棄。

    網絡安全事件響應小組們認識到他們必須和他們的ISP共同去阻止數(shù)據(jù)包的flood攻擊。如果失去ISP的支持，即使你的防火墻功能再強大，你網絡出口的帶寬仍舊可能被全部站用。唯一有效的也是最快速地方法就是和ISP聯(lián)手一起來通過丟包等方法阻擋這一龐大的flood攻擊。

    不幸地，DDoS攻擊即使在目前也仍舊是互聯(lián)網面臨的主要威脅,當然這主要是因為ISP在配合阻斷DDoS攻擊上速度太慢引起的，無疑使事件緊急響應的效果大打折扣。

5.遠程控制特洛伊木馬后門(1998-2000)

    在1998年7月，黑客 Cult of the Dead Cow（cDc）推出的強大后門制造工具 Back Orifice（或稱BO）使龐大的網絡系統(tǒng)輕而易舉地陷入了癱瘓之中。安裝BO主要目的是：黑客通過網絡遠程入侵并控制受攻擊的Win95系統(tǒng)，從而使受侵機器“言聽計從”。BO以多功能、代碼簡潔而著稱，并且由于BO操作簡單，只要簡單地點擊鼠標即可，即使最不熟練的黑客也可以成功地引誘用戶安裝Back Orifice 。只要用戶一安裝了Back Orifice，黑客幾乎就可以為所欲為了，像非法訪問敏感信息，修改和刪除數(shù)據(jù)，甚至改變系統(tǒng)配置。

如果僅僅從功能上講，Back Orifice完全可以和市場上最流行的商業(yè)遠程控制軟件，像賽門鐵克的pcanywhere,CA的ControlIT, 和免費軟件VNC等相媲美。因此，許多人干脆拿它來當作遠程控制軟件來進行合法的網絡管理。

由于其簡單易用和大肆地宣傳，BO迅速被眾多的初級黑客用來攻擊系統(tǒng)。BO的成功后來也迅速地帶動和產生了許多類似的遠程控制工具，像 SubSeven, NetBus, Hack-a-Tack 和 Back Orifice 2000 (BO2K)等。這些攻擊工具和方法甚至一直保留到現(xiàn)在，作為黑客繼續(xù)開發(fā)新的和更加強大的特洛伊木馬后門，以避開檢測，繞過個人防火墻和偽裝自己的設計思想基礎。

Back Orifice 和其它類似的木馬后門工具使人們從根本上認識到了對用戶進行一定的安全方面的培訓，使他們不要隨意運行不信任軟件和廣泛地配置防病毒軟件的重要性。

當然以上列舉的五點可能帶有一定的偏見，例如也有很多用戶另外還選擇了下面的三種:

在2002年8月公布的在IE瀏覽器中簽發(fā)CA證書時存在的安全漏洞；

在2002年2月發(fā)現(xiàn)的多個SNMP漏洞；

在2001年1月偽裝成微軟職員進行代碼簽名的漏洞。

雖然這些惡意的全球性的攻擊給人們帶來了數(shù)十億美元的經濟損失,但也在一定程度上給信息安全技術的發(fā)展在無形中起到了巨大的刺激和促進作用。從這些具體的攻擊和排除，防范措施中，人們使網絡信息安全策略得到了不斷地完善和加強, 為迎接新的信息安全挑戰(zhàn)奠定了基礎。

來源：信息安全