2007年4月 - 查皮博客@blogbus

2007年04月29日

NAT地址转换概念分析与应用设置技巧 - [软件学院]

随着Internet的迅速发展，连接Internet的主机数量飞速增长，IP地址短缺与Internet发展的矛盾日益严重。那么，如何有效解决目前IP地址短缺的问题呢？人们提出了许多解决的方案，NAT（Network Address Translation 网络地址转换）技术提供了一种完全将内部网络和Internet网隔离的方法，让内部网络中的计算机通过少数几个甚至一个IP（已申请的一个公网IP）访问Internet资源，从而节省了IP地址，并得到广泛的应用。
    NAT简介及发展的需要
　　NAT的功能就是指在一个网络内部根据需要，不需要经过申请而可以自定义的合法的IP地址。在网络内部，各计算机间通过内部的IP地址进行通讯，而当内部的计算机要与外部Internet网络进行通讯时，具有NAT功能的设备负责将其内部的IP地址转换为合法的IP（经过申请的IP）地址进行通信。

图1、NAT工作原理图
　　由于最初设计Internet的时候只考虑到政府、军事、教育等方面的应用而没有考虑到如今互联网会商业化和民用化等大型规模发展，因而Internet使用的Ipv4协议中IP地址的长度选择了32位。中国互联网络信息中心(CNNIC)最新报告显示，现在通用的IPv4只能提供43亿个地址，根据全球互联网的发展速度，有限的IPv4地址将在2010年前后消耗殆尽。然而即将出现的IPv6被视作为解决Internet不断发展的长期解决方案。
　　
　　但是IPv6产业的发展和应用需要经历确定技术标准、试验、探讨应用模式、大规模部署、试用、普及应用等六个阶段，而目前全球IPv6网络仅处于试验阶段。为了解决全球互联网地址枯竭的这种潜在危机，NAT在这期间可以作为一个比较完善的临时过度和补充，可以说是IPv4地址短缺的“福音”。
　　
　　从理论上来讲，借助NAT技术可以实现利用一个合法的IP地址连接几百台、甚至几百万台内部网络地址主机。可以有效的减少IP地址的使用，节省大量的IP地址资源，缓解IPv4地址的不足问题，有利IPv6的发展。
NAT技术的应用
    NAT包括有静态NAT、动态地址NAT和端口多路复用地址转换三种技术类型。静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址；动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，选择相应的NAT技术类型。
　　由1994年NAT技术问世以来，NAT技术很快在企业LAN领域得到广泛应用。目前，NAT技术主要用于连接和安全方面。目前企业内部网络用户数量大，而能申请的合法的全球唯一IP地址有限。NAT能够有效的解决企业IP地址短缺问题，利用NAT技术能够实现多个用户共同使用一个合法的IP地址连接互联网。而另一种需要出于安全方面来考虑，在一定程度上防范网络攻击的发生。企业期望隐藏LAN内部网络结构，NAT可以将内部LAN与外部Internet隔离，使外部网络用户无法了解通过NAT设置的内部IP地址。
　　
　　NAT技术在企业中都采取两种技术类型结合应用，比较好的还是和端口复用地址转换。结合起来的技术如：端口复用地址转换、TCP/UDP端口NAT映射、静态地址转换+端口复用地址转换、动态地址转换+端口复用地址转换。
    如果ISP提供的合法IP地址数量较多，当然可以采用静态地址转换+端口复用动态地址转换技术得以完美实现。然而，如果只获得1个合法IP地址，虽然可以采用端口复用地址转换技术，实现整个网络的Internet接入。但是，由于服务器也采用动态端口，Internet中的计算机将无法访问到网络内部的服务器。有没有好的解决问题的方案呢？当然，这就是TCP/UDP端口NAT映射。既然只有一个可用的合法IP地址，当然采用端口复用方式来实现NAT。不过，由于同时有要求网络内部的服务器要被Internet访问到，因此必须采用PAT创建TCP/UDP端口的NAT映射。
　　
　　我们知道，不同应用程序使用TCP/UDP端口是不同的，例如，WEB服务器使用80、    FTP服务使用21、SMTP服务使用25、POP3服务使用110等。由于每种应用服务器都有自己默认的端口，所以这种NAT方式下，网络内部每种应用服务器成为Internet中的主机，例如，只能有一台WEB服务器、一台E-mail服务、一台FTP服务器。尽管可以采用改变默认端口的方式创建多台应用服务器，但这种服务器在访问时比较困难，要求用户必须先了解某种服务采用的新TCP端口。因此，可以将不同的TCP端口绑定至不同的内部IP地址，从而只使用一个IP地址，即可在允许内部所有服务器被Internet访问的同时，实现内部所有主机对Internet的访问。
　　
　　根据企业的网络环境利用TCP/UDP端口映射的应用，如企业网络采用1000Mbps光纤接入Internet。路由器选用拥有2个10/100/1000Mbps自适应端口的Cisco2821。内部网络使用的IP地址段为192.168.1.1～192.168.1.254（根据内部网络规模而定），局域网端口Ethernet 0 的IP地址为192.168.1.1，子网掩码为255.255.255.0。网络分配的合法IP地址范围为202.99.16.128～202.99.160.135，子网掩码为255.255.255.248，连接ISP的端口Ethernet 1的IP地址为211.82.220.129，子网掩码为255.255.255.252，可用于转换IP地址为211.82.220.130。可以配置相同类型的多个服务器，如多个WEB服务器，多个E-mail服务器等。
    具体配置文件如下：
　　Interface fastethernet 0/0
　　 Ip address 192.168.100.1 255.255.255.0
　　!—－定义本地端口IP地址
　　 Ip nat inside
　　!—－定义为本地端口
　　Interface fastethernet 0/1
　　 Ip address 202.99.160.129 255.255.255.252
　　!—－定义广域网端口IP地址
　　 Ip nat outside
　　!—－定义为广域网端口
　　Access-list 1 permit 192.168.100.0 0.0.0.255
　　!—－定义本地访问列表
　　Ip nat pool multiip 202.99.160.130 202.99.160.134 netmask 255.255.255.248
　　!—－定义multiip地址池的IP范围
　　Ip nat inside source list 1 mullitip overload
　　Ip nat inside source static tcp 192.168.1.11 80 202.99.16.130 80
　　Ip nat inside source static tcp 192.168.1.12 80 202.99.16.131 80
　　Ip nat inside source static tcp 192.168.1.13 80 202.99.16.132 80
　　!—－将80端口映射为192.168.1.11～13的80端口（WEB1-3）
　　Ip nat inside source static tcp 192.168.1.14 21 202.99.16.130 21
　　Ip nat inside source static tcp 192.168.1.15 21 202.99.16.131 21
　　!—－将21端口映射为192.168.1.14～15的21端口（FTP1-2）
　　Ip nat inside source static tcp 192.168.1.16 25 202.99.16.133 25
　　Ip nat inside source static tcp 192.168.1.16 110 202.99.16.133 110
　　Ip nat inside source static tcp 192.168.1.17 25 202.99.16.134 25
　　Ip nat inside source static tcp 192.168.1.17 110 202.99.16.134 110
　　!—－将25和110端口映射为192.168.1.16～17的25和110端口（mail1-2）
　　
　　在企业中因根据具体的网络环境与条件选择相应的组合方式。在许多FTP网站考虑到服务器性能和Internet连接带宽的占用问题，都限制同一IP地址的多个进程访问。该选择动态地址转换+端口复用地址转换。在很多时候，服务器即为企业内部客户提供网络服务，同时又要为Internet中的用户提供访问服务，选择静态地址转换+端口复用地址转换是一种比较好的方案。当ISP只提供一个合法IP地址，网络又没有特殊需要，使用端口复用地址转换技术，既能节省了IP地址的同时，又可有效的保护网络内部计算机。
    除了在连接和隐藏方面的应用，NAT设备能实现负载平衡。DNS系列服务器群中多个IP地址公用一个域名，由于IP客户端会缓冲DNS/IP地址解析，从而使其后续申请延迟达到同一个IP地址，在一定程度上减弱了DNS系列服务器的作用。而基于NAT的负载平衡方案，可以有效的避免这类问题。NAT设备是把需要负载的平衡的多个IP地址翻译成一个公用的IP地址，每个TCP连接被NAT送到一个IP地址，使后续的TCP连接被NAT送到下一个IP地址来实现真正的负载平衡。除此之外，NAT技术能够在用户更改ISP时避免了对内部网络进行重新编址，同时减少用户网络接入的费用等问题。
NAT技术潜在的管理和安全的威胁
　　在NAT应用中，从外网表面上看来是直接与NAT设备通信。当内部网络的数据包被发送到NAT设备的IP地址上，NAT设备将目的数据包头地址由自己的一个合法IP地址变成真正的目的主机的内部网络地址。理论上实现起来没有问题，但是实际中存在一些缺陷。然而NAT对多个专用网络的合并和组合时，NAT系统不支持多层嵌套，从网络管理方面加大了难度。
　　许多Internet协议和应用依赖于真正的端到端网络，数据包要求在没有修改情况下从源地址发往目的地址。像IP安全架构不能跨NAT设备使用，由于IP源地址发出的数据包采用了数字签名，如果改变源地址数字签名就会失效。在数据加密和数字签名上存在着安全隐患。NAT技术能够隐藏内部网络，但是攻击者获得对NAT设备的控制，并认为是内部连接的请求而被允许，它可以任意授权身份对网络进行访问，这时候网络将变得非常脆弱。
　　NAT设备的放置位置也是影响内部网络安全的一个问题。由于NAT会改变信源和信宿地址，如NAT设备和防火墙的位置，放在防火墙保护的一侧，防火墙将不得不负责NAT设备的安全规则，同时对内部的信源或信宿地址也不能确定。如果放在防火墙的另一侧，外部网络攻击者有可能伪装成内部的合法授权用户对网络的访问或攻击。在使用IP安全协议的虚拟专用网中对NAT设备的放置位置也是一个考验，如果放在虚拟专用网的保护一侧，NAT需要改动IP报头的地址，然而IP安全协议中的报头源地址是不能改变的，改变了将不能确定源报头的出处，失去了IP安全协议中的安全机制。NAT技术的管理与网络的安全是密切相关的，由于NAT设备小的疏忽而造成网络安全威胁。
    总结
　　NAT技术无可否认是在IPv4地址资源的短缺时候起到了缓解作用；在减少用户申请ISP服务的花费和提供比较完善的负载平衡功能等方面带来了不少好处。但是在IPv4地址在以后几年将会枯竭，NAT技术不能改变IP地址空间不足的本质。然而在安全机制上也潜在着威胁，在配置和管理上也是一个挑战。如果要从根本上解决IP地址资源的问题，IPv6才是最根本之路。在IPv4转换到IPv6的过程中，NAT技术确实是一个不错的选择，相对其他的方案优势也非常明显。

Tag：NAT 地址转换设置技巧

chapi 发表于22时49分07秒 | 阅读全文 | 评论 0 | 编辑 | 分享
2007年04月29日

实例比较　详细了解加密狗的加密原理 - [安全资讯]

实例比较　详细了解加密狗的加密原理

作者：lvvl　来源：赛迪网安全社

在当今中国市场上最主要的加密锁品牌有：

1、美国彩虹公司（也是最早做硬件加密的公司）的国产品牌“加密狗”、美国品牌“圣天诺软件加密锁”；

2、阿拉丁的“HASP”系列加密锁；

3、德国威博公司的“WBU－KEY”加密锁；

4、深思洛克的“深思加密锁”；

5、蓝宇风公司的“金盾加密锁”；

6、飞天公司的“ROCKEY”加密锁等几个主要品牌。

以上加密锁品牌的工作原理都是大同小异：被保护的软件－－加密锁之间形成一一对映的关系，被保护的软件在运行的过程当中不断通过其API函数向加密锁发指令来判断加密锁是否存在于，软件离开保护锁不能运行。

但是从其发展历程来看，以美国RAINBOW公司的产品生产研发的历程作一个简单的介绍：

1、从最早由美国RAINBOW公司生产的第一代硬件保护锁，只是通过一个简单查询函数来验证并口的硬件保护锁是否存在，存在则程序继续运行，不再则软件终止运行，来完成并保护软件开发商的利益；

2、接着依然是美国RAINBOW公司对自己的第一代的产品进行了改进而形成了第二代的加密锁产品，并且美国RAINBOW公司为其第二代产品取名为：SENTINEL　PRO，其与第一代的产品相比较最大的改变在于加密锁硬件里头的运算芯片由RAINBOW公司写入了一个固定的“加密算法”，但这个算法是单一的固定的。以上两种产品对于软件开发商来说有一个相当大的风险，那就是其必需相信RAINBOW公司不会把买给他们的加密锁买给别的个人，如果RAINBOW把相同的产品出售给别人的话，别人拿到这个加密锁就能使用开发商的软件。

3、通过软件开发商对这个问题的重视，RAINBOW公司针对这种情开发出了第三代的加密产品：SENTINEL　SUPERPRO，这种产品彻底解决了软件开发商的后顾之忧。这种产品其运算芯片中内置了28种算法，共分为56个单元，每两个单元可以单独保护一个应用程序，故用RAINBOW公司的说法其一把锁可以保护28个应用程序；且这种加密锁的每个算法单元所采用的算法因子是由软件开发商自己设定的，当其写入加密锁后对于外界来说就相当于一个暗箱，是任何人也读不出来的。

4、但随着解密者的技术的不断提高，RAINBOW中国公司研发出了第四代的产品－智能狗，与现今的差不多所有品牌的加密锁相比较，这种狗有了一个质的飞跃：其通过在开发过程中把一段代码加密后写入加密狗，当程序运行时再把加密狗里的代码在加密狗里自行运行，程序调用其运算结果来完成软件的加密，如此就从理论上杜绝了软件被破解的可能。

现在市面上的加密狗的工作原理不外乎RAINBOW的这两种形式：

1、程序发命令查询－－加密狗运算后相应程序；

2、把源代码放入加密狗内部执行（现在还只有RAINBOW公司一家有此功能的加密狗）。

Tag：加密狗加密原理

chapi 发表于22时44分53秒 | 阅读全文 | 评论 0 | 编辑 | 分享
2007年04月29日

系统漏洞多元化　呈“均衡”态势发展 - [安全资讯]

系统漏洞多元化　呈“均衡”态势发展

作者：lvvl　来源：赛迪网安全社区

四月份，各种操作系统的漏洞似乎达到了顶峰。从调查的结果看，在某些平台或应用中减少的漏洞，正在新的地方迅速蔓延——漏洞在达到“均衡”的基础上，甚至还有所增长。

“苹果”上的“孔洞”

根据美国马里兰州Bethesda市安全培训与研究机构SANS Institute的报道，Mac OS X中发现的漏洞数量快速增长，这种苹果电脑公司的操作系统不久可能同Windows系统一样容易遭到恶意攻击。

目前来看，虽然Mac OS X仍比Windows安全，因为其相对较小的安装基础对于恶意黑客的吸引力不如Windows系统大。但是，据最新季度SANS Top 20 Internet安全漏洞名单显示，Mac操作系统中发现的漏洞数量“毁坏”了其作为一种替代Windows安全操作系统的声誉。

SANS的经理Ed Skodis说：“当用户使用他们闪亮的银色苹果机上网冲浪时，常常有一种完全无虑感觉。不过这可能是个错误，因为现在有很多人在研究Mac OS存在的安全漏洞。”

加州Redwood Shores市安全服务提供商Qualys公司安全漏洞管理试验室经理Amol Sarwate说，2005年，在Mac OS X中发现了差不多52种安全漏洞；而今年到目前为止又发现了17种新增漏洞。

Sarwate说，2006年报告的安全漏洞数量是2004年的两倍多，2004年发现了24种漏洞。Sarwate说，从2006年初到2007年四月份，在所有发现的新增漏洞中，至少三分之一被认为是危急级别的漏洞。在过去几个月中，苹果的Safari Web浏览器用户还遇到了第一次零日攻击，这令很多用户措手不及。

Skodis说，苹果越来越大的市场份额，以及该公司最近做出的开发基于Intel芯片系统的决定，吸引了越来越多的黑客组织对其系统的注意。Skodis说，基于同样的道理，苹果最近推出的使基于Intel的Mac可运行Windows XP 的Boot Camp，这无疑也增加了它的风险程度。事实上，虽然Windows XP运行在Mac硬盘上的一个独立的分区中，但出现能够跨越硬盘两个分区的恶意代码只是时间问题。对黑客来说，做到这点不会很困难。

系统漏洞“均衡”发展

Sarwate说，同时期内IIS、邮件服务和NetBIOS 等Windows服务中发现的安全漏洞数量似乎大幅减少。但这种减少被包括Windows Metafile漏洞（WMF）和IE漏洞在内的客户端漏洞大幅增加所抵消。

3Com公司TippingPoint部安全硬件经理Rohit Dhamankar说，事实上，IE中几种零日漏洞的出现——包括目前还未修补的一个漏洞——使Windows用户面临严重的安全风险。

事实上，作为SANS Top 20报告的编辑，Dhamanker表示，微软客户系统中的零日漏洞越来越多地被用在用户的系统上安装广告软件、间谍软件和其他类型的恶意代码。因此，他说现在可能到了将IE改名为“Internet Exploiter”（Internet漏洞利用器）的时候了，因为用户在使用IE时被人利用的可能性是那么的大。

SANS的研究报告还显示，虽然Firefox仍是比IE更安全的Web浏览器，但它并不是灵丹妙药。据SANS说，过去半年中，除了另外几种危急级安全漏洞之外，Firefox和Mozilla的用户不得不修补11种可被恶意网页利用来运行代码的安全漏洞。

SANS的报告还发现，允许直接访问数据库、数据仓库和备份数据（尤其是来自Oracle公司的软件）的安全漏洞数量在增加。SANS发现基于文件的攻击在不断增加，特别是那些利用媒体和图像文件（如WMF）的攻击。

这份报告说：“此外，我们还看到利用处理媒体文件的程序，如Apple QuickTime/iTunes、Windows Media Player、RealNetworks RealPlayer、Macromedia Flash Player和Nullsoft Winamp中的漏洞攻击数量在激增。”

Tag：系统漏洞

chapi 发表于22时42分58秒 | 阅读全文 | 评论 0 | 编辑 | 分享
2007年04月29日

保护接入节点与骨干节点　防范黑客攻击 - [安全资讯]

近一段时期以来，“黑客”已经成为网络上最热门的一个词语。“熊猫”刚走，“灰鸽子”又来。我们看到，随着网络的普及和带宽资费的松动，国内的“黑客”部落，已经从最初的炫耀技术，慢慢向“职业化”发展。

早期的“黑客”，主要利用操作系统或者软件的漏洞，入侵一些 WEB 服务等，窜改页面的内容，比如在主页写上“您的主页被 XXX 攻克” 的字样，以炫耀自己的技术。他们追求的只是“肉鸡”的占领，而尽量不破坏影响用户的正常服务，更不会以此来要挟获取利益。

而现在，黑客们已经不满足于炫耀，而是更加的务实。他们现在开始利用网络来窃取银行秘码，股票交易秘码，和一些游戏的帐户，其最终目的已经不是炫耀，而是直接利用网络来赚钱，来换取现金。一些更高级的黑客们，会利用已经占领的大量“肉机”，在一些人的利益的诱惑下，向一些网站， ISP 游戏提供商或者网吧运营商发动 DDOS 拒绝服务攻击，造成网络拥挤，正常的经营被迫关闭，这些黑客也因此会可以获得高额报酬。由于这类活动已经超越的法律的界限，因此一些人才提出“做黑客要低调”，以逃避公安的追查。在网络经历的几年的低谷期后，逐渐开始欣欣向荣的今天，这些“黑客”也要趁着这股东风，在网上兴风作浪，赚取不义之财。

对比以前，目前黑客进行的活动更加具有破坏力，已经严重影响了人们的正常的经济活动秩序。如果不尽早对利用网络犯罪这个毒瘤加以重视，研究并采取必要的措施，将严重阻碍国内信息化网络的建设，甚至破坏国内的经济发展和社会的和谐。

一些公安机关，运营商和网络安全厂商已经意识到网络攻击问题的严重性，今年 1 月由三方参加的在北京举办的防护网络黑客 DDOS 的高层研讨会上，就提出许多有建设性的意见。

目前，黑客进行网络破坏活动主要是两类途径：

一、利用邮件，网络下载，聊天等工具分发和传播后门程序

用户从不名网站的链接下载一些程序中，有时就会有黑客设计的陷阱，用户运行这些程序后，后门程序也一同种植在机器中，这些木马程序会获取用户的超级管理员权限，监视和记录用户的所有操作动作，包括通过键盘敲入的任何指令，盗用用户的一些特殊帐户，密码，然后自动发给黑客。另外，黑客还会通过木马程序开放某些特殊端口，供黑客控制主机和继续进一步入侵时使用，此时，这台主机就成为黑客的“肉鸡”。同时，利用一些操作系统的漏洞，一些高级的木马程序有时还会像病毒一样试图连接局域网内的其他程序，进行复制和传播，入侵内网的其他主机。

二、黑客利用占领的“肉机”

黑客利用占领的“肉机”向一些网站，交易平台，游戏，网吧等一些经营性服务器发起 DDOS 拒绝服务攻击，利用同一时间的海量数据阻塞网络链路，使正常服务无法连接和访问。这种类型的攻击，以不仅仅是炫耀技术，而更多是有很多直接获利的目的，他们或者是恶意商业竞争的对手花钱雇佣的（据报道，现在黑客市场的价格是租用每个“肉鸡”的价格，仅需要几角钱 / 每星期），或者因此达到敲诈或者报复的目的。

DoS 攻击

通常而言， DoS 的网络数据包同样是利用 TCP/IP 协议在 Internet 传输。这些数据包本身一般是无害的，但是如果数据包异常过多，就会造成网络设备或者服务器过载，迅速消耗了系统资源，造成服务拒绝，这就是 DoS 攻击的基本工作原理。

DoS 攻击之所以难于防护，其关键之处就在于非法流量和合法流量相互混杂，防护过程中无法有效的检测到 DoS 攻击。加之许多 DoS 攻击都采用了伪造源地址 IP 的技术，从而成功的躲避了基于统计模式工具的识别。

具体 DOS 攻击实现有如下几种方法：

1、SYN FLOOD

利用服务器的连接缓冲区，设置特殊的 TCP 包头，向服务器端不断地发送大量只有 SYN 标志的 TCP 连接请求。当服务器接收的时候，认为是没有建立起来的连接请求，于是这些请求建立会话，排到缓冲区队列中。如果发送的 SYN 请求超过了服务器能容纳的限度，缓冲区队列占满，那么服务器就不再接收新的请求了，因此其他合法用户的连接都会被拒绝掉。

2、IP 欺骗 DOS 攻击

这种攻击利用 RST 位来实现。假设现在有一个合法用户 (1.1.1.1) 已经同服务器建立了正常的连接，攻击者构造攻击的 TCP 数据，伪装自己的 IP 为 1.1.1.1 ，并向服务器发送一个带有 RST 位的 TCP 数据段。服务器接收到这样的数据后，会认为从 1.1.1.1 发送的连接有错误，从而清空缓冲区中建立好的连接。这时，如果合法用户 1.1.1.1 再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。攻击者伪造大量的 IP 地址，向目标主机发送 RST 数据，从而使服务器不对合法用户服务。

3、带宽 DOS 攻击（ UDP Flood ， ICMP Flood ）

这类攻击完全利用连接带宽足够大，持续向目标服务器发送大量请求，如 UDP 的包， ICMP 的 ping 包，来消耗服务器的缓冲区，或者仅消耗服务器的连接带宽，从而达到网络拥塞，使服务器不能正常提供服务。

DDOS 攻击

单一的 DoS 攻击一般是采用一对一方式的，“分布式拒绝服务攻击”（ Distributed Denial of Service ，简称 DDoS ）是建立在传统的 DoS 攻击基础之上一类攻击方式。当计算机与网络的处理能力加大了，用一台攻击机来攻击不再能起作用的话，攻击者就使用 10 台甚至 100 台攻击机同时攻击。这就是 DDos 。 DDoS 就是利用更多的傀儡机“肉鸡”来同时发起进攻，更大规模的来进攻受害者，破坏力更强。

现在，高速广泛连接的网络给大家带来了方便，但同时也为 DDoS 攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以 G 为级别的，大城市之间更可以达到 2.5G 的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了，攻击也更加隐蔽。

当主机服务器被 DDoS 攻击时，通常会有如下现象：

• 被攻击主机上有大量等待的 TCP 连接

• 网络中充斥着大量的无用的数据包，源地址一般为伪造的

• 高流量无用数据造成网络拥塞，使受害主机无法正常和外界通讯

• 反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求

• 系统服务器 CPU 利用率极高，处理速度缓慢，甚至宕机

如何应对 DDOS 攻击

从以上的分析可以看出，黑客的攻击方式已经越来越简单，门槛越来越低，因此，这次攻击事件越来越频繁，造成的破坏力也越来越严重。

首先，要加强每个网络用户的安全意识，安装杀毒软件，安装软件或者硬件防火墙，不从不名网站下载软件，不访问一些不名网站，不打开不名邮件，尽量避免木马的种植。

其次，要求国家立法单位，对网络犯罪进行立法，对传播病毒，木马，和进行黑客攻击的行为进行定性，并有法可依，保障国家信息高速网络平台的安全，为国内信息化建设保驾护航。

再次，我们的运营商有义务在网络平台升级和建设的过程中，有效在各个节点抵御黑客恶意攻击的行为，以净化我们的网络。不光仅仅是只加强可以看到效益的终端平台，如 IDC 机房的抗 DDOS 防护，而是应该在网络的各个节点都加强防护，特别是在接入端进行 DDOS 防护和源地址检测，使得黑客的主机或者占领的“肉鸡”，无法拉起大量带宽，有效记录各种用户（特别是网吧用户）的网络行为，建立电子档案，以协助公安部门对网络犯罪进行调查，为指证犯罪提供证据。

对我们的一些网络运营平台用户，如经营性网站，门户网站，网上交易平台，网络游戏提供商，网吧， VOIP 提供商等，也要加强网络出口的防护，发现和举证攻击行为，做好日志记录，并利用硬件防护设备，最大程度的减少黑客攻击的危害，保障经营性平台的正常运行。

对我们企事业单位的网络，虽不象经营性的网络，成为黑客攻击的重点目标，但也可能存在“误伤”的现象，如与某个网吧共在一个运营商的路由器下，或者黑客得到的 IP 地址不准确，目前这类网络事件也不少。因此，在新的网络的设计中，防护 DDOS ，也应该成为企业网络安全防护的重点，同时，在企业网络的规划中，如何防止自己内部的主机和服务器避免成为黑客的“肉鸡”，也是企业在新形势下防护的一个重点课题，要求我们的企业网络要真正做到：

(1)对内部主机的有效防护，避免成为黑客的“肉鸡”；

(2)当内部主机成为“肉鸡”后能很快发现，并在很快的时间内杀掉控制程序；

(3)“肉鸡”攻击和传播时迅速报警，切断其攻击和传播途径，同时，不影响出口带宽和内部其他主机网络的正常使用。

因此，在防护 DDOS 和黑客攻击的问题上，要求我们的公安机关，运营商和网络安全厂商，和网络的用户，在意识到网络攻击问题的严重性前提下，多方配合，共同加强我们的网络平台安全性的建设性，净化我们的网络，不给黑客以生存的攻击，保障我们十几年来信息网络平台建设的成果，为我国的经济建设提供坚固安全的网络信息化平台。

在网络安全厂商方面，对于专用的抗 DDOS 设备，许多厂商也参与进来，研制了许多新型设备，目前大多数还是集中在解决IDC机房的主机防护上。

其实，通过上述的研究，我们知道，要彻底根除 DDOS 和黑客攻击，攻击源头，接入节点和一些骨干节点才是防护的重点，在这个层次上做的比较好的厂商不是很多，举个例子，大唐龙创公司，大唐龙创公司在接入节点DDOS 防护上有很好的解决方案。扩充了其 DDOS 防护的产品线，为运营商提供“接入节点”的黑客攻击防护，在防护接入带宽的同时，使得黑客和黑客的占领的“肉鸡”无法施展效力，无处藏身，从源头上解决目前黑客 DDOS 攻击猖獗的问题。

Tag：保护节点防范黑客攻击

chapi 发表于22时40分49秒 | 阅读全文 | 评论 0 | 编辑 | 分享
2007年04月29日

具体分析查看动态光标漏洞的流行现状 - [安全资讯]

具体分析查看动态光标漏洞的流行现状

作者：加糖苦咖啡　来源：赛迪网安全社区

ANI 0day漏洞是四月份的热门话题，直到微软MS07-017提前发布，热度才渐渐冷却下来。这里对最近4月中旬10来天该漏洞的利用情况，以及恶意ANI文件的感染率做了一个简单统计，结果如下：

1、MS07-017成为国内网站挂马第二流行的漏洞，但和“挂马王”MS06-014仍有不小的差距。

可以看到，挂马网站使用MS07-017漏洞的比例大体在10% - 20%，使用MS06-014的比例在80%左右。二者的比例之和约占97% - 98%。MS07-017成功的从MS06-014那里抢来了不少百分比，稳坐常用挂马漏洞的第二把交椅。

2、恶意ANI文件感染率

利用MS07-017漏洞的恶意ANI文件感染率是一个快速上升的趋势，短短10天时间，就拥有了超过4%的感染率，即每25台染毒计算机中就有1台检测出恶意ANI文件。

从上面的统计结果来看，ANI漏洞并没有随着它的媒体曝光率下降而真的淡出，这个严重漏洞对众多网民的威胁才刚刚开始。别的不多说了，再说一句绝对不是废话的废话：没打补丁的快打补丁去吧。

都是投票系统惹的祸　小心上面的木马

作者：加糖苦咖啡　来源：赛迪网安全社区

翻最近收到的网站被黑报告，发现因为用了“心情网络投票系统”被挂恶意脚本的还真不少。

其中，hxxp://d.thec.cn/knell/js.js的作者，应该算是代表。这位仁兄似乎只靠黑投票系统来挂马，而且对政府网站比较偏爱，下面是一些被他挂的网址：

hxxp://cbf.qhagri.gov.cn/vote/votedy.asp

hxxp://jly.cq.gov.cn/admin/vote/votedy.asp

hxxp://www.cqta.gov.cn/admin/vote/votedy.asp

hxxp://www.jdz.gov.cn/vote/votedy.asp

hxxp://www.lndca.gov.cn/vote/votedy.asp

hxxp://www.ytepb.gov.cn/toupiao/votedy.asp

hxxp://cdb.teda.gov.cn/ballot/votedy.asp

hxxp://www.jnrsj.gov.cn:8080/wsdc/votedy.asp

hxxp://www.fm1033.cn/dgct_amht/amht_vote/votedy.asp

hxxp://vote.zgys.org/votedy.asp

hxxp://it.inhe.net/toupiao/index.htm

[已清除]hxxp://www.sdny.gov.cn/vote/votedy.asp

[已清除]hxxp://www.ytwm.com/default.shtml

[已清除]hxxp://www.nccate.com/vote/votedy.asp

就目前收集到的报告看，hxxp://d.thec.cn/knell下还有几个恶意网页，会下载执行

hxxp://www.rzguanhai.com/ddos.exe

hxxp://www.rzguanhai.com/server.exe

hxxp://www.tscbs.com/images/down.exe

ddos.exe已经失效了，其余2个还在。虚拟机里抓了下包，似乎都是鸽子。控制端分别是：

abc74231.3322.org:8181

202.102.135.87:8181

都是山东的IP，后者的域名目前是shm.com.cn——一个正规的烟台新闻网站，有点意思。

Tag：光标漏洞挂马

chapi 发表于22时34分50秒 | 阅读全文 | 评论 0 | 编辑 | 分享