Internet的一小步使社会前进了一大步。然而Internet在消除时空阻隔的同时,也将安全威胁瞬间从地球这头传到地球那头,使网络节点上的无辜用户身不由己、倍受牵连。
2003年发生的几次安全事件,Slammer蠕虫、口令蠕虫和冲击波病毒传播速度之快、波及范围之广是人们始料未及的。然而除去这几次看得见、摸得着的重大安全事件,绝大多数用户对于Internet上每时每刻都在发生的扫描和攻击,还蒙在鼓里,浑然不觉自己的险境。
我们都曾读到过有关网络恐怖主义、信用卡信息被盗、网站被破坏等的相关报道。但是除了将几次宕机经历与恶性病毒挂上钩外,绝大多用户并没有把上不了网、登陆不了网站、浏览速度变慢、流量突然加大等现象与网络攻击联系在一起,事实上这些现象无一不是由安全事件所引发。
安全问题没有国界
Internet究竟有多危险?是谁在发起攻击?攻击的目的是什么?多数用户对此并不知晓。
不久前,美国《网络世界》与i-Trap Internet Security Services公司合作,从骨干网、企业网络边际以及企业内部防火墙三个层面对活动在Internet上的危险活动进行了调查取样,调查结果令人毛骨悚然,专家们发现:不仅网络上存在数量惊人的扫描活动,而且黑客试图进入网络的方法更是五花八门、无奇不有。更可怕的是,扫描和攻击来自全球各个角落,黑客们总是不分白天黑夜永不停歇地进行攻击, 一副不达目的不罢休的劲头。
在国外Internet状况如此,那么在国内Internet的安全状况又是如何?根据国家计算机网络与信息安全管理中心(CNCERT)发布的互联网安全事件分析报告,根据CNCERT对当前常见的攻击手段的监测,今年上半年,国内近七十万台主机先后受到来自境外的攻击,在前五个月,国内至少有150个网站的网页被恶意篡改,其中包括87个政府网站。许多主机被攻破后,或者被作为转发垃圾邮件的中继平台,或者被当成跳板去攻击其他服务器,其中不乏电信运营商的服务器。
另据国外报道称,约90%的网络攻击来自中国,使国内诸多主机蒙受了不白之冤,不过这也恰恰暴露出国内用户安全防范措施所存在的严重不足。由于国内用户缺乏安全意识,大部分服务器没有采取严格的安全加固措施,很容易被国外黑客攻击和利用,成为境外黑客的攻击工具。不久前,某运营商的服务器就曾替人受过,被中国互联网协会列入转发垃圾邮件的黑名单,令该运营商感到十分无辜。
威胁就在身边
也在不久前,安氏公司利用自己的入侵检测技术对某网站进行了一次长达十一天的安全监控,真实记录下了该网站遭受攻击和扫描的情况,可以帮助人们了解Internet的安全状况。调查发现,Internet的危险流量正在迅速增加;Internet上的大量可疑流量是黑客的扫描活动,用于寻找用来转发垃圾邮件的中继平台和用作跳板发动攻击的傀儡计算机;大多数攻击是从被害主机发出的自动化、脚本化的攻击。
通过采集架设在防火墙前的安氏入侵检测系统的报警数据,监控人员在十一天时间里共监测到该网站遭受了来自100多个IP地址的165000次端口扫描和攻击,平均每天15000次。这100多个攻击IP地址来自世界各地,包括美国、印度、韩国以及国内。同时,该网站还经受了拒绝服务(DoS/DDoS)、暴力密码猜测、远程缓存溢出等暴力攻击。监控人员发现,除了黑客发起的针对性很强的扫描和攻击外,该网站还遭受了大量试探性、无目标的扫描,其中有相当一部分来自于CodeRed、Nimda、Slammer等自动传播的蠕虫。调查还发现,一些黑客企图利用蠕虫的传播以达到控制网站服务器的目的。
黑客们的攻击主要集中在主机的80端口,在每天的子夜,针对80端口的攻击数量会明显增多。其中有一天,监控人员发现网络突然出现了大量异常数据包,在对防火墙、入侵检测系统、防病毒网关和主机监控系统进行检查后,监控人员发现:台湾的一个IP地址试图通过发送畸形的数据包来通过防火墙系统,继而该IP地址对网站的防火墙系统进行了多次非法扫描,试图攻破防火墙系统进入网站内部被保护的主机系统。入侵检测系统检测到这些入侵后,立即通知防火墙修改了过滤规则,有效阻止了这些入侵。“黑客”发现攻击并不奏效后,转而改用进行暴力攻击,企图获取网站管理员的用户名和密码进入主机。
监控人员发现,除了攻击运行在80端口上的Web网页传输服务外,黑客和蠕虫还试图攻击135、139和445端口上的网络服务,还有一攻击者瞄准了运行在3128端口上的Squid代理服务,企图扫描发现可用作转发垃圾邮件的中继服务器。此外,1433端口上也存在大量扫描活动,这主要是来自于正在寻找系统漏洞的Slammer蠕虫。
终端用户未能幸免
企业网络容易成为黑客和蠕虫的攻击目标,那么对于终端用户来说,情况是否会有所不同呢?9月26日至10月2日,网管员李小宏利用个人防火墙、个人IDS等监控软件记录下了两台主机被扫描的情况。一台主机通过专线直接与Internet相连;另一台主机接入局域网中,通过局域网与Internet相连。结果显示,终端用户也同样暴露在大量网络扫描之中。
通过专线与Internet相连的主机平均每10秒种就会被扫描一次,扫描主要来自Internet,这台主机还记录到了一次扫描激增,分析日志文件发现,这是9月28日专门感染QQ聊天工具的TrojanClicker.Linmm木马病毒发作所致。通过局域网与Internet相连的主机也不能幸免于被扫描,虽然这台主机被扫描的数量与第一台主机相比有所下降,但是结果并不是事先想像得那样没有扫描,日志文件显示,这台主机所受到的扫描均来自同一局域网中感染了木马程序和蠕虫病毒的其他主机。完成这次监测之后,李小宏惊出一身冷汗,因为所有这些扫描活动都是在他毫不知情的条件下悄悄进行的,但是却没有逃过监控软件的忠实记录。