影响未来IT安全性的五种攻击手段

　　1、红色代码(2001)

　　2、尼姆达(2001)

　　3、Melissa(1999)和LoveLetter(2000)

　　4、分布式拒绝服务攻击(2000)

　　5、远程控制特洛伊木马后门(1998-2000)

　　二、未来的五种攻击手段

　　1、超级蠕虫

　　2、隐秘攻击(StealthierAttacks)

　　3、利用程序自动更新存在的缺陷

　　4、针对路由或DNS的攻击

　　5、同时发生计算机网络攻击和恐怖袭击

　　回顾在过去五年中因特网所遭受的一连串的攻击，虽然不乏传播速度惊人、受害面惊人，或穿透深度惊人等令人们措手不及的恶意攻击，但最后都还是被人们所一一战胜。但是在经历了这一次又一次的洗礼之后，我们的网络现在是不是变得坚不可摧了呢？这是一个很难回答的问题，尽管大家都希望网络是强壮的。

　　根据对两百多个读者的调查，我们选出了在过去五年里影响最广，破坏最强的五种恶意攻击，并且还预测了在今后的五年中可能影响最大的五种攻击手段。

　　需要说明的是，以下的选择和预测肯定是不能完全符合每个人的观点的，但笔者相信，我们的选择和预测结果应该还是很有代表性，和很有意义的。

　　一、五种影响最大的攻击

　　选择结果之所以如此，是因为它们中的每一种攻击的破坏力在当时都几乎撼动了大多数人对英特网的信心，从企业的CEO、CIO到系统管理员、网站管理员，甚至到家庭或公司的终端用户都几乎“谈网色变”。他们对电子商务的安全性空前地怀疑，即使在打开自己的电子邮件时也是忐忑不安，犹豫不决。总之，在当时他们所表现出来的恐慌简直令笔者感到震惊。

　　1、红色代码(2001)

　　2001年7月的某天，全球的IDS几乎同时报告遭到不名蠕虫攻击。信息安全组织和专业人士纷纷迅速行动起来，使用蜜罐(honeypots)技术从因特网上捕获数据包进行分析，最终发现这是一利用微软IIS缓冲溢出漏洞进行感染的变种蠕虫。其实这一安全漏洞早在一个月以前就已经被eEye Digital Security发现，微软也发布了相应的补丁程序，但是却很少有组织和企业的网络引起了足够的重视，下载并安装了该补丁。

　　在红色代码首次爆发的短短9个小时内，这一小小蠕虫以速不掩耳之势迅速感染了250,000台服务器，其速度和深入范围之广也迅速引起了全球媒体的注意。最初发现的红色代码蠕虫还只是篡改英文站点的主页，显示“Welcome to http：//www.worm.com! Hacked by Chinese!”等信息。但是随后的红色代码蠕虫便如同洪水般在互联网上泛滥，发动DoS(拒绝服务)攻击以及格式化目标系统硬盘，并会在每月20日～28日对白宫的WWW站点的IP地址发动DoS攻击，使白宫的WWW站点不得不全部更改自己的IP地址。之后，红色代码又不断的变种，其破坏力也更强，在红色代码II肆虐时，有近2万服务器/500万网站被感染。

　　红色代码就是凭着这样过硬的“本领”，在我们的1997至2002年网络攻击之最的民意调查中与Nimda以占选票44%的绝对优势位居榜首。

　　从红色代码的肆虐中网络用户可以得到以下启示：

　　只要注意及时更新补丁和修复程序，对于一般的蠕虫传播是完全可以避免的。因此作为系统管理员在平时应该多注意自己的系统和应用程序所出现的最新漏洞和修复程序，对于提供了修复程序和解决方案的应立即安装和实施。

　　在网络遭到攻击时，为进行进一步的分析，使用蜜罐是一种非常行之有效的方法。

　　红色代码猛攻白宫之所以被成功扼制，是因为ISP们及时将路由表中所有白宫的IP地址都清空了，在这一蠕虫代码企图阻塞网络之前，在因特网边界就已被丢弃。另外，白宫网站也立即更改了所有服务器的IP地址。

　　2、尼姆达(2001)

　　尼姆达(Nidma)是在9/11恐怖袭击后整整一个星期后出现的。笔者现在还清楚地记得因为美国的网络常常成为恐怖组织和对其怀有敌意的黑客的攻击目标。另外，地区之间的冲突和摩擦也会导致双方黑客互相实施攻击，当时传言是中国为了试探美国对网络恐怖袭击的快速反应能力而散布了尼姆达病毒，一些安全专家甚至喊出了“我们现在急需制定另一个‘曼哈顿计划’，以随时应对网络恐怖主义”的口号，由此可见尼姆达在当时给人们造成的恐慌。

尼姆达病毒是在早上9：08发现的，它明显地比红病毒更快、更具有摧毁功能，半小时之内就传遍了整个世界。随后在全球各地侵袭了830万部电脑，总共造成将近10亿美元的经济损失。

　　同“红色代码”一样，“尼姆达”也是通过网络对Windows操作系统进行感染的一种蠕虫型病毒。但是它与以前所有的网络蠕虫的最大不同之处在于，“尼姆达”通过多种不同的途径进行传播，而且感染多种Windows操作系统。“红色代码”只能够利用IIS的漏洞来感染系统，而“尼姆达”则利用了至少四种微软产品的漏洞来进行传播：

　　在 IIS 中的缺陷；

　　浏览器的JavaScript缺陷；

　　利用 Outlook 电子邮件客户端的一个安全缺陷乱发邮件；

　　利用硬盘共享的一个缺陷，将guest用户击活并非法提升为管理员。

　　在一个系统遭到感染后，Nimda又会立即寻找突破口，迅速感染周边的系统，并站用大部分的网络带宽。

　　从Nimda蠕虫病毒播发的全程和特点来看，网络用户又可以深刻地认识到：

　　对网络攻击事件的紧急响应能力以及和安全专家们建立良好的关系是非常重要的。

　　为阻断恶意蠕虫的传播，往往需要在和广域网的接口之间设置过滤器，或者干脆暂时断开和广域网的连接。

　　在电子邮件客户端和网络浏览器中禁止任意脚本的执行对网络安全性来说是很关键的。

　　3、Melissa(1999)和LoveLetter(2000)

　　在1999年3月爆发的Melissa 病毒和2000年5月爆发的LoveLetter 病毒因为它们能够迅速蔓延，并造成极大的危害也荣登了这次评选的五大宝座之一。Melissa是MicrosoftWord宏病毒，LoveLetter则是VBScript病毒，二者除了都是利用Outlook电子邮件附件进行传播外，另外恶意代码也都是利用Microsoft公司开发的Script语言缺陷进行攻击，因此二者非常相似。

　　用户一旦在Microsoft Outlook里打开这个邮件，系统就会自动复制恶意代码并向地址簿中的所有邮件地址发送带有病毒的邮件。很快，由于Outlook用户数目众多，其病毒又可以很容易地被复制，很快许多公司的邮件服务器就被洪水般的垃圾邮件塞满而中断了服务。一些公司在发现遭到攻击或可能遭到后立即将自己内部网络与因特网断开，在内部网将遭到蠕虫感染的机器清除或隔离，等病毒风暴过后才连接到internet上，因此才免受其危害。当时的各大防病毒厂商在病毒爆发后不久立即向他们的客户分发病毒签名文件，但是由于用户太多却要在同一时间下载和更新病毒库，使得要想及时更新签名文件变得非常困难，这无疑更加助长了病毒的肆虐。也正是因为这个原因使得Melissa和LoveLetter病毒所产生的危害仅次于红色代码和尼姆达。

　　Melissa 和 LoveLetter 的爆发可以说是信息安全的唤醒电话，它引起了当时人们对信息安全现状的深思，并无形中对信息安全的设施和人才队伍的发展起了很大的刺激作用：

　　Melissa 和 LoveLetter 刺激了企业和公司对网络安全的投资，尤其是对防病毒方面的投入；

　　许多公司对网络蠕虫病毒的紧急响应表现出来的无能刺激了专业的网络安全紧急响应小组的空前壮大。

　　4、分布式拒绝服务攻击(2000)

　　在新千年的到来之季，信息安全领域的人们都以为可以集体地长长地嘘一口气了，因为他们以为由于存在千年虫的问题，在信息网络安全领域中应该暂时还不会出现什么涟波。然后，一月之后却来了一场谁也意想不到的大洪水：在全球知名网站雅虎第一个宣告因为遭受分布式拒绝服务攻击而彻底崩溃后，紧接着Amazon.com、CNN、E*Trade、ZDNet、Buy.com、Excite和eBay等其它七大知名网站也几乎在同一时间彻底崩溃。这无疑又一次敲项了因特网的警钟。在这以前人们其实已经接触过来自数以百计的机器的flood攻击，但是像攻击雅虎这样如此大规模的攻击却从未目击过甚至想像过。

　　DDoS 的闪击般攻击使人们认识到英特网远比他们想象得更加脆弱，分布式地拒绝服务攻击产生的影响也远比他们原来想象中的要大得多。利用因特网上大量的机器进行DDoS、分布式扫描和分布式口令破解等，一个攻击者能够达到许多意想不到的强大效果。

从雅虎遭到强大的DDoS攻击中人们又获得了什么启示呢？

　　要阻止这种攻击关键是网络出口反欺骗过滤器的功能是否强大。也就是说如果你的Web服务器收到的数据包的源IP地址是伪造的话，你的边界路由器或防火墙必须能够识别出来并将其丢弃。

　　网络安全事件响应小组们认识到他们必须和他们的ISP共同去阻止数据包的flood攻击。如果失去ISP的支持，即使你的防火墙功能再强大，你网络出口的带宽仍旧可能被全部站用。唯一有效的也是最快速地方法就是和ISP联手一起来通过丢包等方法阻挡这一庞大的flood攻击。

　　不幸地，DDoS攻击即使在目前也仍旧是互联网面临的主要威胁，当然这主要是因为ISP在配合阻断DDoS攻击上速度太慢引起的，无疑使事件紧急响应的效果大打折扣。

　　5、远程控制特洛伊木马后门(1998-2000)

　　在1998年7月，黑客 Cult of the Dead Cow(cDc)推出的强大后门制造工具 Back Orifice(或称BO)使庞大的网络系统轻而易举地陷入了瘫痪之中。安装BO主要目的是：黑客通过网络远程入侵并控制受攻击的Win95系统，从而使受侵机器“言听计从”。BO以多功能、代码简洁而著称，并且由于BO操作简单，只要简单地点击鼠标即可，即使最不熟练的黑客也可以成功地引诱用户安装Back Orifice 。只要用户一安装了Back Orifice，黑客几乎就可以为所欲为了，像非法访问敏感信息，修改和删除数据，甚至改变系统配置。

　　如果仅仅从功能上讲，Back Orifice完全可以和市场上最流行的商业远程控制软件，像赛门铁克的pcanywhere、CA的ControlIT，和免费软件VNC等相媲美。因此，许多人干脆拿它来当作远程控制软件来进行合法的网络管理。

　　由于其简单易用和大肆地宣传，BO迅速被众多的初级黑客用来攻击系统。BO的成功后来也迅速地带动和产生了许多类似的远程控制工具，像 SubSeven、NetBus、Hack-a-Tack和Back Orifice 2000(BO2K)等。这些攻击工具和方法甚至一直保留到现在，作为黑客继续开发新的和更加强大的特洛伊木马后门，以避开检测，绕过个人防火墙和伪装自己的设计思想基础。

　　Back Orifice 和其它类似的木马后门工具使人们从根本上认识到了对用户进行一定的安全方面的培训，使他们不要随意运行不信任软件和广泛地配置防病毒软件的重要性。

　　当然以上列举的五点可能带有一定的偏见，例如也有很多用户另外还选择了下面的三种：

　　在2002年8月公布的在IE浏览器中签发CA证书时存在的安全漏洞；

　　在2002年2月发现的多个SNMP漏洞；

　　在2001年1月伪装成微软职员进行代码签名的漏洞。

　　虽然这些恶意的全球性的攻击给人们带来了数十亿美元的经济损失，但也在一定程度上给信息安全技术的发展在无形中起到了巨大的刺激和促进作用。从这些具体的攻击和排除，防范措施中，人们使网络信息安全策略得到了不断地完善和加强，为迎接新的信息安全挑战奠定了基础。