您的位置:行业新闻
专家谈网络防护:公司内网需尽量限制U盘使用
出处: 腾讯科技 发布时间:2009-04-16
腾讯科技讯 4月16日消息,反病毒专家白远方在2009腾讯安全技术峰会上表示,企业和网络运营商有必要考虑一些安全保障策略降低风险。
他指出,企业应选择有实力的安全运营商,必须选择拥有大带宽、双线的IDC,避免僵尸网络的带宽耗尽攻击。
另外,公司内网自己应该有一些安全管理方法,比如说尽量避免使用盗版的操作系统,尽量避免使用弱密码,同时公司内网尽量限制使用U盘和移动硬盘的使用,他认为U盘和移动硬盘容易导致病毒反复爆发。
反病毒专家白远方(腾讯科技配图)
2009腾讯安全技术峰会4月16日在深圳麒麟山庄国际会议厅举行。腾讯科技做现场直播。
以下是反病毒专家白远方演讲实录:
白远方:大家好,今天给大家带来的议题是“亡灵巫师的魔法大军:大规模僵尸网络”。这次更多是侧重于安全防护方面的。
这里有一个目录,僵尸网络是如何被组建的、僵尸网络如何保护自己、僵尸网络的潜在危害,还有对于网络商、运营商非常关注的近年针对商业网络大规模的DDOS攻击案例,还有大规模DDOS攻击与防护策略。
什么是僵尸网络?僵尸网络的英文名是botnet。形象一点的说法就好像欧洲中世纪的神话,是亡灵控制的一只僵尸军队,僵尸的数量非常惊人,僵尸都没有自己的思想,被亡灵控制起来。可以在网络中收集控制者想要的敏感信息,也可以使用插件来引导用户浏览网站,或者发送大量的广告垃圾邮件。
僵尸网络最早出来的时候是在十年前,最开始是在西方一些国家,通过聊天频道,这种僵尸网络有一个最大的特点用IRC服务器控制,导致他的控制灵活程度非常差,反应迟钝。新型的僵尸网络,尤其是国内和国外新出来的僵尸网络一般情况下都倾向于使用C/S,WEB脚本,还有P2P的,他希望能够通过“肉鸡”来分担一部分。
僵尸网络是如何被组建的。黑客如何把网络上有潜在漏洞的计算机集中在他的手上。主要的传播方式有三种,一种是内置蠕虫机制的传播方式,第二种是黑站挂马,第三种是钓鱼。
早期的僵尸网络,尤其是西方的IRC是通过蠕虫机制的传播方式,跟蠕虫病毒类似。MS08-067,这些都到四了僵尸网络的大大扩散。另外一种是匿名邮件,如MX逆命快递群发,有一些僵尸网络也是通过这种匿名邮件和挂马方式。在06年以后随着大规模安全意识的提高,可用漏洞数量少,网民安全意识强,各大邮件服务器对每个账号发送邮件的数量都有限制。所以在现在这种网络情况下,蠕虫机制的传播方式是极少数的,大规模的垃圾邮件很难发出来,所以这种方式也有优势。
“黑站挂马”,顾名思义,就是找一些访问量比较大的网站,采用各种脚本手段,取消网站的全新,修改首页,在页面使用挂马,访问这个网站的人就可能成为僵尸。现在不是很容易实施,很多时候花了很多天的时间去研究,拿下这个权限,如果你在比较明显的地方挂木马的话,通常在几小时之内就会被发现,这样木马和漏洞就会被同时清理掉。缺点是可靠性和持久性比较差。
钓鱼,在很少出现高威漏洞或者在层次比较低的仍然有强大的优势,钓鱼有很多种,比如网页钓鱼、P2P钓鱼和邮件钓鱼。我这里的图片就是典型的例子(图),它建立一个标题和内容看起来非常吸引人的网站。它看起来内容非常吸引人,也引诱用户浏览的点击,在这些网页中间夹杂一些脚本。P2P钓鱼是黑客可以在迅雷这种网站中发大量的资源引诱用户下载。大量的带毒垃圾文件,用标题和内容欺骗用户。举一个典型的例子,前段时间在中国非常流行的机器狗磁铁机,有很多技术人员分析过,它的背后是大量的垃圾网站站长与黑客组成共同体。为什么这么说?
大量的垃圾网站站长制造出大量的垃圾文件,充斥着大量的色情文件和吸引网民的眼球的内容,网站站长的数量是几百上千的,他们有几十甚至上百的这样的网站,总数高达十几万的网站在搜索引擎上占据了大量的面积,又使用户点击。
黑客和这些垃圾网站站长合作或者采取分成的方式,在这些垃圾网站上放了一些木马,这种方法的优点在于数以千计加起来的流量很高不比大的网站访问量低,而且它非常稳定,而且这些网站都是垃圾站站长自愿做出来和黑客合作的。
下面简单讲一下僵尸网络如何保护自己。它的麻烦在于随着网络的扩大,僵尸网络控制者一般是采用各种手段减少自己被杀的可能。也可能采取一些对抗式的保护,比如关闭杀毒软件等方式。
现在比较流行的免杀方法,主要有修改特征,加壳加花这两种。加壳加花是比较简单的修改方法,但并不一定适用于很多商业软件,比如一些强的杀毒软件比如卡巴斯基,加壳的他都杀。至于特征消除这种方法是比较通用的方法。一般情况它是通过定位工具定位,比如在代码上,如果在数据段可能是一些敏感的字符串被查杀,如果是导入表上可能是一些导入函数被查杀。如果自己没有原代码的话就可以考虑手工切换,以及字符串大小写变换等。但是总体来说,没有原代码的情况下还是比较困难的。
对抗性不再是简单的被动的,它采用更加复杂的手段,AV终结者的作者之前肯定做过杀毒软件的相关工作,其中它的特征库中间包括Windows清理助手等所有的内部防火墙。特征库还可以包括文件特征和内涵特征。
僵尸网络的潜在危害。它可以调动所有的力量在网络中可以搜索敏感信息,僵尸网络信息吸附,也可以发动大规模的DDOS攻击与防护策略,发送大量的垃圾邮件。
僵尸网络信息吸附。成千上万或者十万以上的用户各种各样的计算机,其背后蕴含着大量的信息潜在来源,控制者可以设置自动搜索信息的搜索匹配信息,比如在所有用户最近打开的文件中间搜索比较感兴趣的关键字,如果找到的话就发送到指定的地方。
当事人可能在无聊的时候不小心点击了某个标题,这个时候已经有木马潜伏在他的计算机,发现某些带有自拍字样的就被发送到黑客信箱中,再过一段时间之后当时者就发现自己的自拍找钱就被放在网上了。除了娱乐以外,僵尸网络在浩瀚的信息网中搜索到商人感兴趣的信息以及国家公共安全方面的信息。僵尸网络也可以搜索受控制机上的邮件列表,从而获得大量的邮件地址,利用这些地址进行垃圾邮件发送。
大规模DDOS攻击与防护策略。由于僵尸网络的数量相当庞大,传统SYN洪水,在2000年的时候使用十几台普通的上网电脑或者笔记本电脑,就可以打垮一些大型网站。但是现在已经不适用了。SYN攻击手段起不到原来的流量放大的作用。现在带宽阻塞效果还不如其他专门带宽阻塞效果。现在主要的攻击手段依然可以分为两类,第一类是带宽耗尽攻击,第二类是资源耗尽攻击。带宽耗尽攻击的发动者他需要整个IDC机房所用到的全部带宽。
通常来说这意味着几十倍到上百倍的流量,比较高的IDC机房的流量防护能量都在二、三十级及以上。这种情况下,持续不断发送大量数据,可以阻截网速会变得非常缓慢。带宽耗尽数据属于杀敌一千自损八百的情况,但是在机房带宽比较低的情况下依然有杀伤能力。
UDP Flood,这种非常古老的手段到现在依然不过时。但是它的要求是技术门槛非常高,要求攻击者拥有非常庞大的网络,它要对抗的是整个机房。但是资源耗尽攻击和带宽耗尽工具是相反的,它是耗尽CPU时间等。因此资源耗尽工具方法是以小博大。
所以它必须要尽量地相似于正常用户访问数据,以便穿越硬件防火墙,如果被硬件防火墙拦截的话,将不会对目标网站有任何影响,这时候如果不能穿透防火墙的话,资源耗尽工具将降级为带宽耗尽工具,还不如专业带宽耗尽工具效率高。在这方面硬件防火墙有很多反制措施,如果每一个IP同时向服务器发起20个链接,如果在机房没有遭到攻击的情况下,可以全部封锁。限制并发连接频率,每一个连接十次,连接断开又连接,这是非常高的危险。还有一些次要的限制连接的流量大小。
如果在这些方面超过硬件防火墙限制的话,硬件防火墙就会把这些IP加入黑名单,一个小时到三个小时之内就不能用了。这种防御攻击的方法如果能够成功运用的话它的效果还是非常明显的。资源耗尽攻击方攻击太猛的话会被防火墙封杀,但是如果攻击太弱的话又达不到效果,所以需要找到平衡点。脚本攻击还类似于之前使用代理服务器。
目前有些机房采用一些高端的硬件防火墙,如果僵尸程序无法解密的话会被它直接加入黑名单。还有TCP,通过大量的傀儡机器连接再断开。再介绍一种比较新型的攻击方式:TCP Crazy Dog,尽可能地保持连接状态尽可能长的时间,这样会显著降低连接的频繁程度,使得自己看起来更像是一个合法的网民。
作为企业和网络运营商,有必要考虑一些安全保障策略降低风险。主要是两方面,一方面是选择有实力的安全运营商,大型网络运营商的服务器,必须选择拥有大带宽、双线的IDC,避免僵尸网络的带宽耗尽攻击。同时也需要IDC有专业的硬件防护工具,基于服务器本身的软件防护设备和软件防火墙大部分被认为不是太可靠。
另外,公司内网自己应该有一些安全管理方法,比如说尽量避免使用盗版的操作系统,容易被各种病毒入侵,造成资料丢失,还有就是尽量避免使用弱密码。另外就是公司内网尽量限制使用U盘和移动硬盘的使用,如果内网中不限制U盘和移动硬盘的话容易病毒反复爆发。
