按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
在这俩天的攻击中,受损的主要是商业网站即以〃〃作后缀的网站。政府〃。gov〃和机构〃〃相对较少,教育部门〃。edu〃并未触及。
〃中国红客〃自发反击今天发动〃大冲锋〃
来自美国的消息称,随着中国〃五四〃青年节的到来,中国黑客的攻击将会达到高峰。与此同时,美国黑客威胁要进行反击,他们也在进行组织,七八个美国黑客团体组成了一个叫〃中国计划〃的联盟。
5月5日
〃白宫网站再遭黑客袭击被迫关闭两个多小时
白宫网站的新闻负责人吉米说:〃大量数据的同时涌入,堵塞了白宫与其互联网服务提供商(ISP)的连接通道。〃白宫网站同时接到了大量要求服务的请求,以至于合法用户无法登录该网站。
〃中国红客〃昨天对美国网站发起大冲锋。昨晚10时左右,美国白宫网站受到攻击。一位名叫勇的〃中国红客联盟〃成员告诉记者,大约有八万人参与了此次网络反击。(我对此表示极大的怀疑)
实际上,中美两国政府都不会擅自支持和默许此类网络攻击行为,因为这样的行为既不利于中美两国关系的发展,又不符合两国的国家利益,而且还严重违反相关条约和法规。网络上的这些攻击行为,从某种意义上也是一种战争,战争永远都不是不受限制或超越限制的,任何战争和进攻行动都受政治和法律的约束。所以,每一位公民都应该自觉地在法律的约束下行动,超越了这种行动就应该接受法律的制裁。
这次黑客大战,中美两国的网站都不同程度受到攻击。国内网站被〃黑〃的数目尚难以统计,但不争的事实是,国内不少网站在黑客的攻击面前不堪一击,而且被〃黑〃以后长时间得不到恢复。事实上,这次事件的最大意义可能是显示了国内网站普遍对自己的网站的安全不够重视。如果国内的各个网站的网络管理员平时注意网络安全建设的话,及时去下载补丁,并进行一些必要的安全设置,完全可以不用在这次网络大战中成为〃炮灰〃。
所以加强网络安全(现在很多病毒是通过HTML、ASP或者PHP传播的,源头在因特网服务提供商这里),特别是网站的安全,包括能否在邮件服务器端进行病毒/木马程序的扫描从而在因特网的主干上防止病毒/黑客的入侵成为摆在我们面前最重要的任务。
而在这次所谓的“中美黑客大战”中,新闻媒体和一些别有用心的厂商起到了很坏的作用,新闻媒体报道的专业性很成问题,拒绝服务攻击(DOS)和DOS操作系统都分不清,还有很多非常荒谬的虚假新闻层出不穷,比如说利用“死亡之Ping”(ping of death)修改对方的网站,打死我也不相信。还有就是过大的渲染了这次攻击事件的意义和技术水平,从技术上来说,这次黑客攻击没有提出什么新的技术,攻击手法非常简单和原始,攻击的目标也不明确,很多刚学了几天网络的小孩子都以黑客自居,从网上找到一些工具的使用方法就可以出黑客大全之类的宝典,这样对于真正安全技术水平的提高没有任何意义。
还有一些厂商为了自己的目的,宣传国外的产品里面有多少多少的漏洞,自己的产品就没有漏洞了,而实际上,国外安全产品的技术远远领先于国内,他们的漏洞只会比我们的少而不会比我们的多,这种有意识的误导对于实实在在的提高我们自己安全产品的技术水平是没有任何意义的。
DOS和DDOS攻击
拒绝服务攻击(Deny of Service)攻击的基本目标是阻止受攻击者访问特定的资源。DoS攻击的明显企图就是阻止合法用户使用网络服务。DoS是最常见的网络攻击之一,也是很多更加复杂的大型攻击的一部分。… 拒绝服务攻击有多种方式,可以针对多种服务,基本分为2种。
1。 消耗计算机或网络中匮乏的、有限的或不可再生的资源,这是最常见的一种。
2。 破坏或改变计算机或网络中配置信息。
拒绝服务攻击最常见的就是攻击者通过产生大量导向受害网络的包,消耗该网络所有的可用带宽。典型的攻击包是ICMP echo包,当然也可以是其他类型的包。例如在〃smurf〃攻击中,攻击者从远端节点向某网络的广播地址发送ICMP echo请求包,网络上所有节点响应这一请求,产生大量包,使得网络阻塞或瘫痪。在攻击中,攻击者通常采用假冒源地址的方式,使得被假冒者也成为受害者。又如,在一种UDP 端口DoS攻击中,攻击者通过伪造的UDP包,在两台机器的两种UDP服务之间建立连接,例如在chargen服务和echo服务端口之间建立连接,两者均产生到对方的大量输出,消耗节点间的网络带宽,最终导致提供服务的机器所在的网络拒绝服务。
除了网络带宽,攻击者还可以消耗其他的网络资源。如针对网络连接,阻止受害主机或网络和其他网络进行通信。TCP SYN 洪流就是这样一种攻击方式,攻击者与受害节点建立连接,但是不最终完成。由于受害节点需要保持数据结构用于等待完成这些半连接,结果导致合法的连接因为缺乏数据结构资源而无法正常建立连接。在这种攻击中,攻击者消耗的是核心数据结构,而不是网络带宽。这意味着攻击者可以通过一个慢的网络,如拨号网络来攻击一个高速网络上的机器,这是一种典型的〃非对称攻击〃。另外还有很多系统中保持进程信息的数据结构,如进程描述符、进程表项和进程时隙等,都是有限的。攻击者可以写一个简单的程序或脚本,通过不断地自我复制,来消耗这些资源,占用CPU时间。攻击者也可能消耗受害节点的磁盘空间,如发送大量的E…mail信息,或产生大量需要日志的错误信息。总之,任何允许向磁盘上写信息的机制,如果没有对所写数据的数量限制,都可被用来实施DoS攻击。
此外,攻击者通过破坏或改变配置信息,如改变网络路由信息、改变Windows NT的注册表信息等;也可以阻止计算机或网络的使用;甚至通过破坏计算机或网络中的物理组件导致服务拒绝。
分布式拒绝服务攻击(Distributed Deny of Service)是一种更加高级的拒绝服务攻击技术, 分布式拒绝服务攻击的理论和技术可能性很早就为网络界所认识,而最近分布式拒绝服务开始被攻击者采用并有泛滥趋势。在分布式拒绝服务攻击中,攻击者利用成百上千个被〃控制〃节点向受害节点发动大规模的协同攻击,如同时泛洪(flood)受害节点。由于攻击来自很多节点,使得受害程度更加严重,涉及范围更广,也更难发现攻击者。在这类攻击工具中比较有名的有Trin00、TFN(Tribe Flood Network)、TFN2k以及stacheldraht(德文铁丝网的意思)等。1999年6月,Trin00最先被发现用来进行网络攻击。1999年8月,焦点转向TFN。TFN据称是Mixter在分析Trin00时编写的,TFN后来升级到TFN2k。1999年9月底,类似TFN的称为stacheldraht的攻击出现在欧洲和美国网络上。分布攻击系统基于Server/Client模型体系。典型的分布攻击系统中,一般由一个攻击者控制一个或几个Master ; 再由其控制大量分布的Daemon,Daemon 直接向受害节点泛洪包或实施其他攻击。
第五章 不为人知的幕后——透过技术的迷雾
第一节 防病毒卡的兴起与衰落
防病毒卡是非常具有中国特色的一种反病毒技术,国外的病毒和反病毒技术远远领先于我国,但是国外一直没有出现一个真正的防病毒卡市场,反病毒技术一直是以软件的形式存在的。而与国外相反,我国计算机反病毒技术的研究和发展,是从研制防病毒卡开始的。防病毒卡的核心实际上是一个软件,只不过将其固化在ROM中。它的出发点是想以不变应万变,通过动态驻留内存来监视计算机的运行情况,根据总结出来的病毒行为规则和经验来判断是否有病毒活动,通过截获中断控制权规则和经验来判定是否有病毒活动,并可以截获中断控制权来使内存中的病毒瘫痪,使其失去传染别的文件和破坏信息资料的能力,这就是防病毒卡〃带毒运行〃功能的基本原理。
1990年4月,国内最早一块防病毒卡由深圳〃华星〃公司推出,1991年瑞星也推出了自己的防病毒卡,随后还有北京华能、南京新创以及广州优益等几家比较知名的公司加入了这个市场,由于在90年代中期,人们对于电脑软件的认识还存在一定的误区,总觉得没有实实在在拿在手里的东西心里就不踏实,这种心理造成了对防病毒卡的盲目崇拜,也引发了大量单位踊跃的购买防病毒卡,使得防病毒卡的研究和销售在1993-1994年达到了顶峰。
防病毒卡主要的不足是与正常软件特别是国产的软件有不兼容的现象,误报、漏报病毒现象时有发生,降低了计算机运行速度,升级困难等。从防病毒技术上说是不成熟的,病毒发展的速度远远超过了防病毒卡的发展速度,病毒感染和破坏所使用的技术手段越来越高,企图以一种一成不变的技术对付病毒是不可能的。
防病毒卡的动态监测技术、病毒行为规则的研究,对于发现计算机病毒起了很大的作用,这些技术是防病毒卡的精华。但是作为一个产品,只有这部分技术是远远不够的,在电脑病毒使用了多态、加密等技术手段之后,操作系统本身也开始快速的升级和更新,防病毒卡对于病毒的进步和操作系统的更新变得无能为力,所以防病毒卡也就逐步走到了它的尽头。现在看来,防病毒卡只能适用于简单的DOS环境,而且运行的应用软件也比较简单。当1994年“目录2代”(DIRII)病毒出现的时候,防病毒卡对于这种感染硬盘上大量扇区,需要采用非常复杂的算法才能清除的病毒无能为力,从客观上宣告了防病毒卡时代的结束。
防病毒卡的衰落也使得防病毒卡时代的老大—瑞星公司走入低谷,江民公司依靠KV300获得了杀毒市场的统治地位。直到1998年以后,瑞星公司通过瑞星杀毒软件进行二次创业,才重新回到市场的前列。
第二节 查病毒——万物之源
考察一个杀毒软件的质量,最重要的一个特性,也就是杀毒软件最基本的技术指标是能够检测到的病毒的数量,但是在这一问题上,用户可以说是没有任何知情权的,你不可能拥有如此多的病毒样本对杀毒软件进行指标的测量。核心、引擎、智能扫描、启发式算法,在这样一个简单的问题上,笼罩了如此多的迷雾,那么,什么是真实的反病毒技术呢。
原始文件比较法
所有的杀毒软件要解决的第一个任务一定是如何发现一个文件是否被病毒感染。对于个人用户来说,有一个最简单的办法,就是找到一个确信没有病毒的文件,和你电脑上的文件进行比较,如果发生了改变(可能是大小的变化,也可能是文件内容的变化),在一般情况下,可以断定这个文件被病毒感染了。
在视窗操作系统下面有一个简单的命令可以完成这项工作,打开一个DOS窗口(在视窗9x环境下,选择开始菜单的MS…DOS方式,在视窗 NT和视窗 2000/XP环境下,选择开始菜单 -》 附件 …》 命令提示符),然后输入 〃FC '文件名1' '文件名2'〃,你立刻可以看到比较的结果。
另外,这种方法还可以用来识别一些反病毒软件使用的一些小伎俩,如果你发现在你的电脑上有几个文件