第五十一章：黑客檔案（4）數十…_獄警日記(連載)-愛下電子書

第五十一章：黑客檔案（4）數十…

承受黑客攻擊的不僅僅是銀行，更多的企業和單位同樣受到各種各樣的黑客攻擊，這時也許你會想到為什麼防火牆、Ids/Ips等安全防護設備都沒有了神威?本文子明將講述他的親身經歷，為51cTo廣大企業用戶答疑解惑。

嘟嘟的手機鈴聲，驚擾了我午夜的酣睡，迷迷糊糊中隱約的聽到電話中急切的聲音：「我們政府網站遭受黑客攻擊了」，聽到這裡我頓時睡意全無，細心的聆聽電話那頭的情況陳述……。

掌握大致情況后，迅爬上網路打開受攻擊的站點，原來的頁面已經被改得面目全非了。在網頁的屏上是一個來回走動的大螃蟹，下面附著一條標語：「老子橫行江湖數年，偶而路過，只因最近十分煩躁，特拿此站練手」。

解決受攻擊站點實例

這種情況只有去查伺服器記錄，半個小時后，我到了該政府的伺服器機房。做的第一件事就是把伺服器訪問日誌下載到自己的筆記本上，(因為習慣，對誰的機器都不放心，只相信自己的)，經過仔細分析日誌，現有人在主站的上傳了一個私人論壇。根據經驗判斷，這個論壇程序是罪魁禍。於是經過調查，現論壇是負責維護該站的小李私自放上去的，這個論壇是免費的動網論壇，小李只是做了簡單的修改，便把程序上傳到伺服器。在業內很多人都知道動網=洞網，從日誌的分析來看，入侵者就是利用某安全組織剛剛公布的動網上傳漏洞，獲得了主伺服器的控制權。隨後刪除了論壇程序，還原備份頁面，至此恢復了網站的原貌。從踏入機房到恢復站點，只有5分種。

企業網路信息安全面臨不解的困惑

此事件引起了政府相關部門領導的高度重視，第二天，他們領導奇怪的問我：我們每年都花幾十萬的政府採購，更是把網路安全放在了第一位，我們配備的有防火牆，Ips，Ids，為什麼這麼堅固的城牆就不管用呢，早知道如此，就不去買這些設備了。這個問題也許是很多企業都面臨的困惑。

解惑一：缺乏技術培訓，好刀使不到刃上

其實防火牆、Ids、Ips等硬體防護設備針對某些入侵手段有著很好的效果，只是企業部署后，沒有揮真正的作用。如上面的實例中，我曾檢查過防火牆的配置，現好多設置都是默認狀態，竟然連登6用戶名和密碼都是出廠默認值。這可以說明網路管理人員缺乏相應技能培訓，才會造成很多設備無用武之地的尷尬局面，就好象廚子用青龍偃月刀切菜一樣，同樣一把刀，放在廚子手裡只能切菜，而放在關羽手裡則能過五關斬六將。所以，有了好設備不等於有了安全，需要把設備進行合理的配置才能揮它們應有的性能。很多企業顯然把這些技術工作交給了集成商和廠家來完成。從資金投入角度考慮，這樣的做法非常適合中小企業。但政府的中心機構和大型企業不缺的就是資金，想要實現網路信息安全，這些大型企業就一定要有自己的運行維護力量，只有自己的東西自己管才能真正的確保第一道安全防線。

解惑二：沒有安全意識，安全將無從談起

從上面的實例中，我們不難看出，企業員工的安全意識決定了企業網路安全的健壯性。這一點對網路管理人員來說，尤其重要。作為單位的網路管理者如果小李懂得起碼的安全常識，就不會把免費的論壇放到伺服器上;如果小李了解安全的重要性，也不會去下載這樣的程序，起碼不會在企業網路內下載。這些都是員工缺乏安全意識的表現。

再舉個實例：某集團也曾打來求助電話，他們的企業網路頻繁的掉線，幾乎處於癱瘓狀態。我在檢查了設備信息和配置后，現一台華為交換機，全部都是死包，憑藉經驗初步判斷應該是遭到了蠕蟲攻擊，但這還需要事實來證明。捕獲數據包后，經過分析，確定就是蠕蟲病毒惹的禍。而查找毒源卻遇到了麻煩，根據數據包的分析，很快能判斷出毒源機器的Ip與mac地址，但問管理人員這是哪台機器時，他們沒有一個人知道的。這就只能從交換機處下手，但讓我鬱悶的事情又來了，由於機房管理混亂，防靜電地板上的煙頭隨處可見，很多交換機上都沒有網線標籤，布線也極亂無比，為了排查這台機器，我們3個人用筆一個一個記錄，花了整整2個小時才把問題機找到。在這個問題機上現了大量的病毒，還有很多**片。

無論政府還是企業都應該有相應的安全管理制度和規範，這些是指導員工行為的重要準則。如果該政府相關部門規定不允許下載任何程序，或是只限網路管理人員下載，那政府站點的小李下載帶有安全隱患程序的情況就不會出現;如果規範機房的管理和使用，那我也不會在集團公司浪費2個小時整理線纜，如果規範的操作流程守則，如果有規範的網路安全制度，如果……，有這些如果也會黑客入侵攻擊增加相當大的難度。這也印證了不知道誰說的那句古話：安全是三分技術，七分管理。

解惑三：如何規範配置網路安全設備，制定合理的安全策略

1、要規範防火牆的安全策略，如增加防火牆的規則匹配，有些防火牆屬於嵌入式開的設備，這就需要熟練使用1inux命令和dos命令，還有一些防火牆需要按自身情況具體配置，如cisco的pIx防火牆，h3c的senetbsp;2、然後最好能在網路中計劃分出v1an和絕對獨立的安全域，即使有病毒蔓延，也不至於感染整個網路。

3、對於工作站，要啟用組策略，並且在系統裡面把自動播放給完全禁用，根據目前流行的蠕蟲攻擊和移動存儲設備感染來看，多數都是自動訪問存儲設備的時造成了間接感染。刪除guest帳號，定期更改密碼等基本安全維護策略。最好能綁定工作站的mac地址和ip地址，具體落實到一機一人，達到規範使用計算機的目的。

4、把個人移動存儲設備與企業辦公用存儲設備分開使用。人手一個，專人專用，定期殺毒。

其實從國內信息安全的整體情況看，企業和政府依然存在很大的安全隱患，就是買了再好的網路安全設備，沒有人調試和配置，那也是形同虛設，網路管理不規範，員工的安全意識不夠高，都可能造成嚴重的惡果。

個人建議：

1、針對政府，制定規範的安全管理制度。上班期間禁止使用任何p2p軟體下載任何程序與電影;為了方便網路管理，最好劃分合理的VLan，在交換機上做相應的管理策略;對防火牆進行優化管理，登6密碼每星期都要更換。

2、針對企業，制定規範的安全管理制度，做好網路管理人員的培訓工作，盡量提高員工安全意識。企業郵箱要重點防護，因為更多的內部泄密和網路攻擊的重要突破口就是利用企業郵箱來進行攻擊，欺騙管理人員，達到滲透的目的。8o%的網路攻擊是在內部生的。

毫無疑問，電子郵件是當今世界上使用最頻繁的商務通信工具，據可靠統計顯示，目前全球每天的電子郵件送量已過5oo億條，預計到2oo8年該數字將增長一倍。

在不斷公布的漏洞通報中，郵件系統的漏洞該算最普遍的一項。

黑客常常利用電子郵件系統的漏洞，結合簡單的工具就能達到攻擊目的。

電子郵件究竟有哪些潛在的風險?黑客在郵件上到底都做了哪些手腳?

一同走進黑客的全程攻擊，了解電子郵件正在面臨的威脅和挑戰……

電子郵件的持續升溫使之成為那些企圖進行破壞的人所日益關注的目標。如今，黑客和病毒撰寫者不斷開新的和有創造性的方法，以期戰勝安全系統中的改進措施。

出自郵件系統的漏洞

典型的互聯網通信協議――Tcp和udp，其開放性常常引來黑客的攻擊。而Ip地址的脆弱性，也給黑客的偽造提供了可能，從而泄露遠程伺服器的資源信息。

很多電子郵件網關，如果電子郵件地址不存在，系統則回復件人，並通知他們這些電子郵件地址無效。黑客利用電子郵件系統的這種內在「禮貌性」來訪問有效地址，並添加到其合法地址資料庫中。

防火牆只控制基於網路的連接，通常不對通過標準電子郵件埠(25埠)的通信進行詳細審查。

黑客如何動攻擊

一旦企業選擇了某一郵件伺服器，它基本上就會一直使用該品牌，因為主要的伺服器平台之間不具互操作性。以下分別概述了黑客圈中一些廣為人知的漏洞，並闡釋了黑客利用這些安全漏洞的方式。

一、Imap和pop漏洞

密碼脆弱是這些協議的常見弱點。各種Imap和pop服務還容易受到如緩衝區溢出等類型的攻擊。

看看黑客是如何攻擊電子郵件系統的(2)

二、拒絕服務(dos)攻擊

1.死亡之ping――送一個無效數據片段，該片段始於包結尾之前，但止於包結尾之後。

2.同步攻擊――極快地送Tnet包(它會啟動連接)，使受攻擊的機器耗盡系統資源，進而中斷合法連接。

3.循環――送一個帶有完全相同的源/目的地址/埠的偽造syn包，使系統陷入一個試圖完成Tnetbsp;三、系統配置漏洞

企業系統配置中的漏洞可以分為以下幾類:

1.默認配置――大多數系統在交付給客戶時都設置了易於使用的默認配置，被黑客盜用變得輕鬆。

2.空的/默認根密碼――許多機器都配置了空的或默認的根/管理員密碼，並且其數量多得驚人。

3.漏洞創建――幾乎所有