|
<FONT size=4>一. 可怕的“45分钟定律”<BR><BR>早些时候,网络上公布了一份专家报告称:在当前这个病毒、蠕虫和黑客出没的网络上,一台刚安装好Win2000/XP等主流操作系统的计算机从连接网络到被感染病毒或被入侵的最长时间为45分钟,而实际上,如果考虑到所处网段和黑客扫描的活跃状态,这个时间也许会更短。<BR><BR>许多网民都看过这份报告,依K网络获得经济收入的美术设计师小江也不例外,他是属于SOHO一族的,为一些公司制作LOGO、效果图,所有的交互都在网络上进行,久而久之,小江开始变得非常依赖网络,他的所有工具都从网络上获得,除非真的无处可寻,否则他绝对不会去软件市场购买光盘,如果操作系统的安装可以通过网络进行,他恨不得抽屉里一张光盘都没有。他始终认为,既然网络这么便利,又何必把资金浪费在软件版本更新不及时的用光盘做载体的软件上呢?<BR><BR>这天小江比较烦,因为他的电脑昨天被表弟玩出问题了,小江虽然在电脑美术方面有过人之处,但是系统维护方面却一窍不通,在他的胡乱摆弄后,系统彻底罢工,这下只能重装系统了。<BR><BR>因为这次小江已经知道了“45分钟定律”,所以安装好驱动程序后,他立即连接上网络,来到Windows Update网站下载补丁,可是补丁还没打完,机器就出现异常了:突然间的一次蓝屏重启后,每次进系统都在1分钟倒计时后重启,很明显是被感染XX波蠕虫了。小江欲哭无泪,他还没来得及打补丁呢,怎么预防网络上的漏洞蠕虫?不上网就不会被感染,可是那样怎么打补丁?<BR><IMG src="http://drm.btbbt.com/softpic/20051001021448792.PNG" border=0><BR>(图1.先补丁还是先连网?)<BR><BR>网络在给人们提供便利的时候,还带来了严重的危机。也许,面对这个高科技时代里“先补丁还是先连网”的问题,困惑的不仅仅是小江……<BR><BR>我们都知道,就目前的网络环境而言,能避免被“黑”一下的方法只有用多个防御措施把自己武装起来,而刚安装好的系统之所以会被轻易入侵,是因为这样的系统什么防御措施都没有,完全是对外界开放的,无怪乎病毒和入侵者能轻易进来。45分钟,已经属于很长的时间了。<BR><BR>既然刚安装的系统如此不堪一击,那么岂不是所有新装的系统都不能轻易上网?其实这个问题比“先有蛋还是先有鸡”更好解决。首先要清楚,无论是什么样的病毒和黑客,他们能入侵的途径只有一个,就是系统与网络之间的窗口——网络端口。每个网络端口都是由特定的应用程序控制的,系统漏洞往往都是因为这些程序代码出了疏忽的地方,例如无法正确处理带有恶意指令的网络数据包,当系统接收处理这些数据后,就会出现例外错误,如果被影响的程序属于系统运行必备组件,那么计算机轻则死机,重则被黑客入侵,这就是远程入侵的实质,它们必须通过端口进行。<BR><BR>既然端口是个敏感地带,那么,如果我们在安装系统后设法阻止端口的外部访问,让外部数据包无法顺利连接计算机,这样不就可以免疫最初的网络攻击了吗?而网络防火墙就是一种能阻止端口访问的程序。(图2.设置防火墙规则)<BR><BR><IMG src="http://drm.btbbt.com/softpic/20051001021449394.PNG" border=0><BR>(图2.设置防火墙规则)<BR><BR>所以,打破“45分钟定律”的方法就是:<BR><BR>1. 在不连接网络的情况下安装好系统和驱动程序;<BR>2. 安装网络防火墙,记得配置规则为“禁止任何人连接端口”或与之类似的规则;<BR>3. 连接网络,去Windows Update打完所有补丁;<BR>4. 安装防病毒软件;<BR>5. 视用户个人能力,设置系统服务和管理规则等加强措施。<BR><BR>经过这5步最初设置,计算机防御病毒和入侵的能力将会大大提高。毕竟,这样已经是一个好的开头,只要以后再多加防范,病毒和黑客就没那么容易动你的计算机了。<BR><BR>二. “傀儡网络”离你有多远?<BR><BR>现在才开始上网的用户是幸福的,因为他们不必经历几年前那些用户必须经历的慢如蜗牛的拨号网络,我至今都还记得当初在2001年时听闻一个在上海的网友可以直接在线聆听MP3后,口水淌了一地的情景,这在当今网络环境的人听来简直不可思议,可是经历那个时代的人都清楚,当时的下载速度能达到9KB/s是件多么自豪的事情——可是放到现在来看待呢?不会抱怨网络慢的都不属于正常人。<BR><BR>正因为现在的个人网络速度越来越快了,于是一种新的攻击体系也开始浮出水面,这就是“傀儡网络”(Zombie Net,或称“僵尸网络”),这种入侵早期仅用于服务器,入侵者们也是千方百计要在受害者的计算机里“下马”,即种植一个木马服务端。看到这里你也许会说,这不就是现在最滥用的木马手段吗,何必旧事重提?如果你有此想法,那你一定没有理解“Zombie”的含义。在“傀儡网络”的领域里,入侵者并不是对你机器上的数据感兴趣,而是为了方便它们能够以你的身份去完成某些事情罢了。在这种情况下,植入你机器的后门不会做出破坏你机器的事情,因为正如寄生虫和宿主的关系一样,如果宿主死亡,寄生虫还K什么活下去?“傀儡网络”正是依赖被害人计算机的寄生虫,因此它不会随便做出破坏行为让宿主发现异常,否则幕后黑手还凭什么来控制整个“傀儡网络”的运作?<BR><BR>细心的读者会从我的描述中看出一个很熟悉的攻击体系结构,那就是拒绝服务攻击DDoS的控制模型:攻击者控制网络上大量被种植了DDoS服务端的计算机对目标发起垃圾数据攻击。实际上,早期的“傀儡网络”就是为了实现这个任务而运作的,它需要大量高带宽高数据吞吐量的网络节点设备才能发动高流量的数据洪水,在以前大家普遍使用Win98系统来拨号上网的时候,这点数据吞吐量和系统的稳定性并不能满足“傀儡网络”的需求,于是当时这种体系仅仅限于在服务器系统之间感染传播,因此没有造成大规模危害。<BR><BR><IMG src="http://drm.btbbt.com/softpic/20051001021449618.PNG" border=0><BR>(图3.早期的傀儡网络模型)<BR><BR>时过境迁,如今个人计算机的网络速度最少都能达到512kbps的流量,于是新的一轮“傀儡网络”攻击拉开了序幕,要知道入侵个人计算机往往要比入侵服务器容易得多!虽然个人计算机网络速度相对于服务器而言还是太慢了点,可是黑客如果入侵控制数十台1Mbps的个人计算机形成一个“傀儡网络”,其攻击强度不会低于他拼了老命才得手的一台10Mbps的网络服务器。衡量一下两边的利弊,你认为他会选择入侵谁?于是在这个高带宽的网络时代里,个人用户也会被“傀儡网络”的黑手触到了。而且由于个人用户的系统环境相对于服务器系统环境所带的防御检测工具更少,于是这个攻击体系的寿命将会相对的延长。如果要追寻利用个人计算机做“傀儡网络”的不足,可能仅仅因为个人计算机相对服务器而言的不稳定性质致使它不能24小时待命而已,但是别忘记网络服务器和个人计算机之间的比例差异。设想一下,如果当初搞瘫整个世界网络的并不是专门针对SQL服务器的SQL蠕虫,而是RPC DCOM或者LSASS蠕虫,恐怕没有一台根域名服务器能幸免了吧,这种由上亿台个人计算机组成的“傀儡网络”将会比服务器形成的“傀儡网络”攻击遭受的损失更大。<BR><BR><IMG src="http://drm.btbbt.com/softpic/20051001021449530.PNG" border=0><BR>(图4.现在的傀儡网络模型)<BR><BR>而且“傀儡网络”能实现的攻击还不仅仅限于DDoS,入侵者能通过更改傀儡服务器端来实现其他功能,例如“跳板攻击”、“多级代理”等,前者可以借刀杀人,后者可以隐藏真正的入侵者。<BR><BR>要检测计算机是否感染了“傀儡网络”是一件需要耐心的事,因为它们通常不会让你的系统看起来有什么不妥,除了在“傀儡网络”发动DDoS攻击时由于带宽和性能消耗而表现出的系统响应缓慢、网络速度突降以外再没任何不良反应,没有网络攻防经验的一般用户根本不会想到自己的计算机正在被别人用来做破坏工具,而且因为无法预知“傀儡网络”什么时候发动攻击,更增加了检测难度。但是由于木马也需要和控制端进行数据交互,因此需要开放端口监听连接,除非感染的是反弹类型的木马,否则通常可以用端口检测程序配合进程名称判断程序是否值得怀疑,但是有一些傀儡木马被设定为在指定时间自动对固定目标发动攻击,这样的木马由于不需要控制,根本连端口都不用开,例如当时攻击微软网站的SCO蠕虫,遇到这样的木马,平时是无害的,可是过了爆发那一天以后,如果“傀儡网络”的作者加入了逻辑炸弹,让木马连同宿主一起销毁,那就不是闹着玩的了,所以这类木马隐藏的危机要比随时能控制的木马更大,若清除不及时,可能会带来恶性后果。<BR><BR><IMG src="http://drm.btbbt.com/softpic/20051001021449581.PNG" border=0><BR>(图5.傀儡网络服务端不易被察觉)<BR><BR>通常,如果用户不是那么粗心的使用者,那么要发现“傀儡网络”也不算难事,因为一般的“傀儡网络”也属于木马类型,无论隐藏得多深,都要有数据通讯的,用端口查看工具就能发现本地监听的端口,直接清理掉即可;如果是反弹型的“傀儡网络”,虽然表面上不开端口,可是别忘了它也要接收控制端指令的,而一般作者的习惯都是让木马在启动或者检测到网络可用后马上自动连接事先设定的IP读取指令,因此它更容易暴露自己,对于一般用户来说,最简单的检测方法是在开机后打开嗅探工具,然后再连接网络,记录此时的数据连接,如果重复几次连接都发现本机自动发出对某个固定地址的连接请求的数据,就要怀疑是否感染反弹木马了,再配合防火墙的“应用程序网络状态”功能,很快就能把“傀儡网络”揪出来</FONT> |
|
快捷导航
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
IP卡
狗仔卡
粤ICP备05068573号