为什么你的网站处于危险中

我不信

对于互联网的标签行——“网站建好了，人们自然会来”——我愿意加上一句“试着侵入网站、攻击网站、滥用网站、破坏网站或者盗用网站。”

　　黑客们拥有的资源和时间甚至比最大的机构都要多，而且他们不受办公室**、财政预算等常规的组织约束，而专业安全人员常常要面对这些约束。事实上，为了达到目的，黑客们可以组织起令人羡慕的在线合作，分享各种信息。本文可以帮助你了解黑帽（black hat）组织的工具、策略和动机，这样你就能更好地了解你的网站受到哪些威胁，了解网站赖以运行的系统，以及保护系统的重要性。

　　统计资料让你晚上也无法入睡
　　2004年9月，《今日美国》进行了一次为期两周的测试，期间黑客试图闯入6台联网计算机305，922次。毫不夸张地说，计算机刚连到网络，攻击就开始了，两台计算机平均每小时遭受300多次攻击，其中一台装有Windows XP Service Pack 1，但未安装防火墙；另一台是Apple Macintosh。一台小型企业服务器（Windows Small Business Server）平均每小时遭受60次攻击。测试中，两台Windows操作系统的计算机都遭到破坏。

　　这些数据显示黑客组织异常活跃。任何联网计算机都处于危险中，连接web服务器的计算机尤为危险。相比其他类型的网站，电子商务网站更容易成为攻击的目标。不过如果你的网站被盯上，攻击只是迟早的事。

　　Script kiddies与有组织犯罪
　　大多数的攻击都是自发而随意的，因为黑客并不会在意攻击的什么系统。攻击某个网站的多个远程系统很有可能无意中成为共犯，而网站的系统管理员根本不知道系统感染了木马病毒（Trojan）。根据赛门铁克（Symantec）公布的《互联网安全威胁报告》，超过40％的针对互联网计算机的蠕虫攻击，其源IP地址来自于《财富》100强公司控制的计算机！

　　这些攻击背后人通常称为script kiddies，这是个贬义用语，并不能反映他们所造成的破坏情况。许多script kiddies缺乏技术竞争力。他们只是利用单个工具随意监控大量系统，然后攻击其中最薄弱的系统，就能造成严重的后果。这些攻击的高峰期与学校日历紧密相关，说明攻击背后有很多是青少年。

　　大多数情况下，script kiddies使用的技术与以获取经济利益为主要目标的犯罪分子使用的技术相同。通常，当这些攻击由犯罪组织供给资金时，其目的就在于欺骗或者窃取网上财产，而不是造成破坏。

　　攻击背后的策略、工具和动机
　　Script kiddies的目的在于尽可能使用最简单的方法获得计算机的控制权。Script kiddies随意选择目标，也不关注造成的破坏，这使他们成为网站非常危险的攻击者，而且长久寄居在联网系统中。

　　网站攻击中使用的策略十分简单：建立能够被扫描的IP地址数据库（正在运行并可连接的系统），扫描并找出具有特定漏洞的地址，攻击这些地址。一旦script kiddies找出系统漏洞获得控制权，第一步通常是掩盖其踪迹。他们希望确保系统主人无法检测到病毒入侵。Script kiddies会先检查是否有遭发现的危险，然后清除日志文件，替换或者修改各种关键文件。

　　Script kiddies使用的工具简单易用，几乎不需要交互作用，而且随处可得。建立IP地址数据库时需要使用工具。一些工具会随意选择扫描哪个IP网络，另一些则会针对指定域名及其子域实行区域转换。扫描结果通常会存档或与其它黑客共享，以备日后攻击新的漏洞所用，这样就不用建立新的数据库。

　　明确数据库中哪个系统正在运行具有漏洞的操作系统后（利用Fyodor’s nmap等工具），入侵者就能很容易设定目标予以攻击。 新漏洞公布几天内，探测漏洞的工具就会出现。

　　正如攻击有自动运行的脚本，掩盖入侵者在系统中的行迹也有自动运行的工具，如lrk4。这样的工具通常称为rootkits。

　　入侵者一旦得到安全隐藏，往往会两者选其一：要不利用该系统扫描或者攻击其它系统，要不就攻击该系统。通常，它们会使用sniffer安静地监控系统，一段时间后再回来看看有没有获得密码、银行信息等有价值的数据。Script kiddies攻击网站最常见的后果就是网站被涂改。这些攻击的动机可能纯粹是恶意破坏——出于积怨或者**目的。其他Script kiddies可能是为了寻找挑战的乐趣，或者为了与别的黑客组织竞争，创造攻击最高级网站的记录。罪犯的动机单纯，只是想要进行欺骗、盗窃或者勒索。一些计算机业内人士坚持认为黑客（hackers）不同于骇客（crackers），因为黑客的动机并非恶意。但是对系统操作者而言，这仅仅是语义上的区别。

　　网站的风险与威胁
　　网站攻击分为两大类。影响网站的可访问性及可靠性的威胁可归为“拒绝服务（DoS）事件”。其他威胁则针对网站的内容和数据，侵入者试图剽窃、篡改、删除网页内容或者在网页上留下痕迹。这类事件最普遍，称为“骇客（cracking）事件”。两种威胁各有典例——分布式拒绝服务（DDoS）和蠕虫（worms）。

　　分布式拒绝服务（DDoS）
　　DDoS攻击是一个用户控制上百甚至上千的受感染系统，使这些系统进行远程协作攻击受害者或受害群。受感染的系统越多，DDoS攻击就越强烈。要防御和确定这类攻击源极为困难。蠕虫（worms）通常用于发起DDoS攻击。

　　Windows攻击中的蠕虫
　　现在大多数系统受感染似乎都是由于蠕虫活动。蠕虫可以执行自动检测，找出并攻击具有漏洞的系统，而且呈指数式地自我复制。

　　蠕虫攻击最危险的形式是IRCbot——bot为robot的简称。Bot是一种网络蠕虫，它的载荷不停地在后台运行，这样就可以通过IRC渠道后门访问受感染的计算机。 Bot能启动IRC客户端程序，将其连接到IRC专用服务器， 而这个服务器很有可能通过shell account 建立，且使用窃取的信用卡付帐；然后bot会等待下一步指令，接受攻击者的远程控制。攻击者可以通过联合多个bot病毒建立所谓的“僵尸网络（botnet）”。即使“僵尸网络（botnet）”相对很小，充分发挥它的力量也能很容易就发起有效的DDoS攻击。

　　W32/Agobot-RJ是最为知名的bot病毒之一。Agobot有500多种变型，一部分原因在于可以通过GNU通用公共许可证获得其源代码，这是黑客合作的又一个范。同时，近期的蠕虫还集合恶意代码作者的能力快速更新bot网络，趁机发起新的攻击。

　　哪些资源需要保护？
　　介绍了网站运行中的敌人和威胁后，我们来简要看看需要保护的四种关键资源。

　　Web服务器
　　显而易见，这是应该首先保护的资源。不过，很多时候服务器并没有放置在安全的地点。如果谁都能实地接触并破坏服务器，那么将注意力集中在技术安全措施上就没什么意义了。路由器、网络电缆、防火墙等所有服务器的附属设备都需要得到像服务器一样的保护。

　　服务
　　要理解和保护服务器中运行的任何服务。每一项服务都意味着增加了开放端口和潜在漏洞。有可能的话，Web服务器应该设为单功能服务器。 任何情况下，运行Microsoft IIS的服务器都不能同时作为网络的域控制器，因为域控制器掌管着整个Windows 网络域的账户安全。

　　内容
　　网站内容上传时不能危及服务器的安全。记住，网站的内容才是许多攻击者真正追求的东西。通常，不注意网站内容的安全性，就相当于许多安全措施都是白费功夫。

　　内部用户
　　通常，安全策略应该着重注意网络边界。然而，你预见通过台式机进行的攻击数目不断增加，使得客户端系统的安全越来越重要。攻击者会不断检测客户端软件代码的漏洞，企图找出新的角度攻击互联网系统。向社会工程(Social Engineering)攻击发展，采用像网络钓鱼软件（phishing）和间谍软件（spyware）的攻击策略呈不断增长的趋势，员工的安全意识也应该随之不断加强。