一、五种影响最大的攻击. 1
1、红色代码(2001) 1
2.尼姆达(2001) 2
3.Melissa(1999) 和 LoveLetter(2000) 2
4.分布式拒绝服务攻击(2000) 3
5.远程控制特洛伊木马后门(1998-2000) 3
n 回顾在过去五年中因特网所遭受的一连串的攻击,虽然不乏传播速度惊人、受害面惊
人,或穿透深度惊人等令人们措手不及的恶意攻击,但最后都还是被人们所一一战胜。但
是在经历了这一次又一次的洗礼之后,我们的网络现在是不是变得坚不可摧了呢 这是一
个很难回答的问题,尽管大家都希望网络是强壮的。
n 根据对两百多个读者的调查, 我们选出了在过去五年里影响最广,破坏最强的五种恶
意攻击,并且还预测了在今后的五年中可能影响最大的五种攻击手段。
n 需要说明的是,以下的选择和预测肯定是不能完全符合每个人的观点的,但笔者相信
,我们的选择和预测结果应该还是很有代表性,和很有意义的。
一、五种影响最大的攻击 选择结果之所以如此,是因为它们中的每一种攻击的破坏力在当时都几乎撼动了大多数人
对英特网的信心,从企业的CEO、CIO到系统管理员、网站管理员,甚至到家庭或公司的终
端用户都几乎"谈网色变"。他们对电子商务的安全性空前地怀疑,即使在打开自己的电
子邮件时也是忐忑不安,犹豫不决。总之,在当时他们所表现出来的恐慌简直令笔者感到
震惊。
1、红色代码(2001) 2001年7月的某天,全球的IDS几乎同时报告遭到不名蠕虫攻击。信息安全组织和专业人
士纷纷迅速行动起来,使用蜜罐(honeypots)技术从因特网上捕获数据包进行分析,最终
发现这是一利用微软IIS缓冲溢出漏洞进行感染的变种蠕虫。其实这一安全漏洞早在一个
月以前就已经被eEye Digital Security发现,微软也发布了相应的补丁程序,但是却
很少有组织和企业的网络引起了足够的重视,下载并安装了该补丁。
在红色代码首次爆发的短短9个小时内,这一小小蠕虫以速不掩耳之势迅速感染了
250,000台服务器,其速度和深入范围之广也迅速引起了全球媒体的注意。最初发现的红
色代码蠕虫还只是篡改英文站点的主页,显示“Welcome to http://www.worm.com!
Hacked by Chinese!”等信息。但是随后的红色代码蠕虫便如同洪水般在互联网上泛滥
,发动DoS(拒绝服务)攻击以及格式化目标系统硬盘,并会在每月20日~28日对白宫的
WWW站点的IP地址发动DoS攻击,使白宫的WWW站点不得不全部更改自己的IP地址。之后,
红色代码又不断的变种,其破坏力也更强,在红色代码II肆虐时,有近2万服务器/500万
网站被感染。
红色代码就是凭着这样过硬的"本领",在我们的1997至2002年网络攻击之最的民意调查
中与Nimda以占选票 44%的绝对优势位居榜首( 见图 1 和 2)。
从红色代码的肆虐中网络用户可以得到以下启示:
只要注意及时更新补丁和修复程序,对于一般的蠕虫传播是完全可以避免的。因此作为
系统管理员在平时应该多注意自己的系统和应用程序所出现的最新漏洞和修复程序,对于
提供了修复程序和解决方案的应立即安装和实施。
在网络遭到攻击时,为进行进一步的分析,使用蜜罐是一种非常行之有效的方法。
红色代码猛攻白宫之所以被成功扼制,是因为ISP们及时将路由表中所有白宫的IP地址
都清空了,在这一蠕虫代码企图阻塞网络之前,在因特网边界就已被丢弃。另外,白宫网
站也立即更改了所有服务器的IP地址。
2.尼姆达(2001) 尼姆达(Nidma)是在 9/11 恐怖袭击后整整一个星期后出现的。笔者现在还清楚地记得
因为美国的网络常常成为恐怖组织和对其怀有敌意的黑客的攻击目标。另外,地区之间的
冲突和摩擦也会导致双方黑客互相实施攻击,当时传言是中国为了试探美国对网络恐怖袭
击的快速反应能力而散布了尼姆达病毒,一些安全专家甚至喊出了“我们现在急需制定另
一个‘曼哈顿计划’,以随时应对网络恐怖主义”的口号,由此可见尼姆达在当时给人们
造成的恐慌。
尼姆达病毒是在早上9:08发现的,它明显地比红病毒更快、更具有摧毁功能,半小时之
内就传遍了整个世界。随后在全球各地侵袭了830万部电脑,总共造成将近10亿美元的经
济损失。
同"红色代码"一样,"尼姆达"也是通过网络对Windows操作系统进行感染的一种蠕虫型病
毒。但是它与以前所有的网络蠕虫的最大不同之处在于,"尼姆达"通过多种不同的途径
进行传播,而且感染多种Windows操作系统。"。"红色代码"只能够利用IIS的漏洞来感染
系统,而"尼姆达"则利用了至少四种微软产品的漏洞来进行传播:
在 IIS 中的缺陷;
浏览器的javascript缺陷;
利用 Outlook 电子邮件客户端的一个安全缺陷乱发邮件;
利用硬盘共享的一个缺陷,将guest用户击活并非法提升为管理员。
在一个系统遭到感染后,Nimda又会立即寻找突破口,迅速感染周边的系统,并站用大部
分的网络带宽。
从Nimda蠕虫病毒播发的全程和特点来看,网络用户又可以深刻地认识到:
对网络攻击事件的紧急响应能力以及和安全专家们建立良好的关系是非常重要的。
为阻断恶意蠕虫的传播,往往需要在和广域网的接口之间设置过滤器,或者干脆暂时断
开和广域网的连接。
在电子邮件客户端和网络浏览器中禁止任意脚本的执行对网络安全性来说是很关键的。
3.Melissa(1999) 和 LoveLetter(2000) 在1999年3月爆发的Melissa 病毒和2000年5月爆发的LoveLetter 病毒因为它们能够迅
速蔓延,并造成极大的危害也荣登了这次评选的五大宝座之一。Melissa是
MicrosoftWord宏病毒,LoveLetter则是VBScript病毒,二者除了都是利用Outlook电子
邮件附件进行传播外,另外恶意代码也都是利用Microsoft公司开发的Script语言缺陷进
行攻击,因此二者非常相似。
用户一旦在Microsoft Outlook里打开这个邮件,系统就会自动复制恶意代码并向地址簿
中的所有邮件地址发送带有病毒的邮件。很快,由于Outlook用户数目众多,其病毒又可
以很容易地被复制,很快许多公司的邮件服务器就被洪水般的垃圾邮件塞满而中断了服务
。一些公司在发现遭到攻击或可能遭到后立即将自己内部网络与因特网断开,在内部网将
遭到蠕虫感染的机器清除或隔离,等病毒风暴过后才连接到internet上,因此才免受其
危害。当时的各大防病毒厂商在病毒爆发后不久立即向他们的客户分发病毒签名文件,但
是由于用户太多却要在同一时间下载和更新病毒库,使得要想及时更新签名文件变得非常
困难,这无疑更加助长了病毒的肆虐。也正是因为这个原因使得Melissa和LoveLetter病
毒所产生的危害仅次于红色代码和尼姆达。
Melissa 和 LoveLetter 的爆发可以说是信息安全的唤醒电话,它引起了当时人们对信
息安全现状的深思,并无形中对信息安全的设施和人才队伍的发展起了很大的刺激作用:
Melissa 和 LoveLetter 刺激了企业和公司对网络安全的投资,尤其是对防病毒方面
的投入;
许多公司对网络蠕虫病毒的紧急响应表现出来的无能刺激了专业的网络安全紧急响应小
组的空前壮大。
4.分布式拒绝服务攻击(2000) 在新千年的到来之季,信息安全领域的人们都以为可以集体地长长地嘘一口气了,因为他
们以为由于存在千年虫的问题,在信息网络安全领域中应该暂时还不会出现什么涟波。然
后, 一月之后却来了一场谁也意想不到的大洪水:在全球知名网站雅虎第一个宣告因为
遭受分布式拒绝服务攻击而彻底崩溃后, 紧接着Amazon.com, CNN, E*Trade, ZDNet,
Buy.com, Excite 和 eBay 等其它七大知名网站也几乎在同一时间彻底崩溃。这无疑又
一次敲项了因特网的警钟。在这以前人们其实已经接触过来自数以百计的机器的flood攻
击,但是像攻击雅虎这样如此大规模的攻击却从未目击过甚至想像过。
DDoS 的闪击般攻击使人们认识到英特网远比他们想象得更加脆弱,分布式地拒绝服务攻
击产生的影响也远比他们原来想象中的要大得多。利用因特网上大量的机器进行DDoS ,
分布式扫描和分布式口令破解等,一个攻击者能够达到许多意想不到的强大效果。
从雅虎遭到强大的DDoS攻击中人们又获得了什么启示呢?
要阻止这种攻击关键是网络出口反欺骗过滤器的功能是否强大。也就是说如果你的Web
服务器收到的数据包的源IP地址是伪造的话,你的边界路由器或防火墙必须能够识别出来
并将其丢弃。
网络安全事件响应小组们认识到他们必须和他们的ISP共同去阻止数据包的flood攻击。
如果失去ISP的支持,即使你的防火墙功能再强大,你网络出口的带宽仍旧可能被全部站
用。唯一有效的也是最快速地方法就是和ISP联手一起来通过丢包等方法阻挡这一庞大的
flood攻击。
不幸地,DDoS攻击即使在目前也仍旧是互联网面临的主要威胁,当然这主要是因为ISP在
配合阻断DDoS攻击上速度太慢引起的,无疑使事件紧急响应的效果大打折扣。
5.远程控制特洛伊木马后门(1998-2000) 在1998年7月,黑客 Cult of the Dead Cow(cDc)推出的强大后门制造工具 Back
Orifice(或称BO)使庞大的网络系统轻而易举地陷入了瘫痪之中。安装BO主要目的是:
黑客通过网络远程入侵并控制受攻击的Win95系统,从而使受侵机器“言听计从”。BO以
多功能、代码简洁而著称,并且由于BO操作简单,只要简单地点击鼠标即可,即使最不
熟练的黑客也可以成功地引诱用户安装Back Orifice 。只要用户一安装了Back
Orifice,黑客几乎就可以为所欲为了,像非法访问敏感信息,修改和删除数据,甚至改
变系统配置。
如果仅仅从功能上讲,Back Orifice完全可以和市场上最流行的商业远程控制软件,像
赛门铁克的pcanywhere,CA的ControlIT, 和免费软件VNC等相媲美。因此,许多人干脆
拿它来当作远程控制软件来进行合法的网络管理。
由于其简单易用和大肆地宣传,BO迅速被众多的初级黑客用来攻击系统。BO的成功后来
也迅速地带动和产生了许多类似的远程控制工具,像 SubSeven, NetBus, Hack-a-Tack
和 Back Orifice 2000 (BO2K)等。这些攻击工具和方法甚至一直保留到现在,作为黑
客继续开发新的和更加强大的特洛伊木马后门,以避开检测,绕过个人防火墙和伪装自己
的设计思想基础。
Back Orifice 和其它类似的木马后门工具使人们从根本上认识到了对用户进行一定的安
全方面的培训,使他们不要随意运行不信任软件和广泛地配置防病毒软件的重要性。
当然以上列举的五点可能带有一定的偏见,例如也有很多用户另外还选择了下面的三种:
在2002年8月公布的在IE浏览器中签发CA证书时存在的安全漏洞;
在2002年2月发现的多个SNMP漏洞;
在2001年1月伪装成微软职员进行代码签名的漏洞。
虽然这些恶意的全球性的攻击给人们带来了数十亿美元的经济损失,但也在一定程度上给
信息安全技术的发展在无形中起到了巨大的刺激和促进作用。从这些具体的攻击和排除,
防范措施中,人们使网络信息安全策略得到了不断地完善和加强, 为迎接新的信息安全
挑战奠定了基础。