网络安全常见攻击方式与防护方法简介

内部资料 注意保密
2010XXTV 2010高考前北大、清华等122家高校网站被挂马 2010XX部物证鉴定中心 2010Baidu 2009瑞星 2009xx网网站 2009某省运营商网站 2009多个知名网站 2008清华 2008北大 2008家乐福 2008SOHU 2008XXTV
内部资料 注意保密
内部资料 注意保密
安全发展趋势带来的影响(2)
网站等应用层漏洞扫描器需求急速上升
建议尽快加大投资 OS的漏洞依据补丁、配置自身就易于发现与控 制，而网站等应用漏洞在不依赖工具前提下很 难发现与控制 利用必须开放的网站系统入侵有时成为唯一选 择
网站系统自身漏洞 WEB Server的漏洞 IE等浏览器漏洞
网站、DNS恰逢其时成为目标
访问流量大的网站进行挂马可以迅速传播 利用IE等浏览器的应用层的漏洞可以实现各种入侵目的 攻击互联网神经系统可以影响大范围的网络
内部资料 注意保密
09年Top10恶意代码之安全趋势
Trojan/Win32.OnLineGames(网站挂马、下载器下载、文件捆绑传播) Trojan/Win32.QQPass(网站挂马、下载器下载、文件捆绑传播) Backdoor/Win32.PcClient(网站挂马、下载器下载、文件捆绑传播) Trojan/HTML.Agent(网站挂马、下载器下载、文件捆绑传播) Trojan/Win32.Small[Downloader] (网站挂马、下载器下载、文件捆绑 传播) Worm/Win32.Otwycal(网站挂马、下载器下载、文件捆绑传播) Virus/Win32.Virut Vrus/Win32.sality Trojan/VBS.Agent(网站挂马、下载器下载、文件捆绑传播) Trojan/Win32.KillAV(网站挂马、下载器下载、文件捆绑传播)
系统不允许外部主动发起的连接 系统对源地址的限制导致难以发起网络连接
DNS 、网站等系统几乎成为最后不多的允许任意 主动连接的系统
业务系统网站、DNS等须对用户提供服务 80、53端口须允许用户主动连接
内部资料 注意保密
安全凹地形成的原因 - 2
黑色产业链地下经济成型带来的一些严格要求：
恶意代码与杀毒软件的斗争使得其生存周期大大受限 利益导向更加明确，要求恶意代码的传播能力必须要 很高 防火墙等的网络层防护致使系统漏洞难以被利用
业务安全与网站安全的融合
70000 60000
网站篡改是常见的， 1 网站篡改是常见的， 考虑到社会、政治影 考虑到社会、 响也是我们首先要考 虑进行防护的
50000
YouTube
40000
30000
20000
10000
0
2003
2004
2005
2006
2007
2008
2009
窃取用户的帐号、密码进行业 窃取用户的帐号、 务订购 利用移动的影响与网站流量进 行挂马
内部资料 注意保密
网站系统成为各种安全事件频发之地
网站篡改 窃取帐号 网站挂马 DoS攻击 入侵系统 网站钓鱼 暴力破解 …
内部资料 注意保密
中国移动业务提供方式网站化日益明显
网上营业厅 彩铃 彩信 位置服务 应用商城 IMS 飞信 各种新应用 …
内部资料 注意保密
业务安全与网站安全结合带来了挑战
2
4
Leabharlann Baidu
网站漏洞导致的业务安全问 题可能导致我们经济上的损 失或者社会影响 利用网站漏洞免费使用业务 、冒用他人名义等
利用网站漏洞获 取客户信息成为 日益关注的一个 重点
3
短信呼 死你
内部资料 注意保密
近年来发现的业务网站相关的安全问题
某省移动彩铃系统可以导致向用户充值 某重要面向全国用户的业务系统可以被篡改内容 多省移动多个系统可以被利用向用户发送骚扰短信 多省移动网上营业厅存在注入漏洞，可以篡改、获取客户 信息 某省重要系统存在注入漏洞，可能导致获取关于重要业务 的订单信息 多省重要系统存在的管理帐号暴力破解问题 某重要系统网站的验证码存在的安全问题 奥运、世博相关系统 10086.cn …
09年国内木马产业链收入超百亿， 09年国内木马产业链收入超百亿，绝大部分通过网站进行传播 年国内木马产业链收入超百亿 09年国内众多知名网站的安全漏洞被利用挂马，例如新浪、搜狐、 09年国内众多知名网站的安全漏洞被利用挂马，例如新浪、搜狐、阿里巴巴等 年国内众多知名网站的安全漏洞被利用挂马 09年世界反钓鱼组织统计中国钓鱼网站数量每月在世界排名一直位于第二到四名间 09年世界反钓鱼组织统计中国钓鱼网站数量每月在世界排名一直位于第二到四名间 09年519断网事件，导致江苏、安徽、广西、海南、甘肃、浙江等6 09年519断网事件，导致江苏、安徽、广西、海南、甘肃、浙江等6省大量电信用 断网事件 户无法上网 10年百度被黑事件 10年百度被黑事件 10年 10年6月AT&T网站漏洞致用户信息泄漏 AT&T网站漏洞致用户信息泄漏
网站的基本安全问题趋势分析
国内网站篡改事件发生的数量在2007年达到了顶峰， 国内网站篡改事件发生的数量在2007年达到了顶峰，2008 2007年达到了顶峰 年显著下降，2009年比2008年又有显著下降 原因是什么？ 年比2008年又有显著下降， 年显著下降，2009年比2008年又有显著下降，原因是什么？
09年6月伊朗“Twitter革命” 年 月伊朗 月伊朗“ 革命” 革命
大选后反对派将“ 中枪照发送到Facebook导致其全球疯狂转发，与政府进行网络封锁与突破 导致其全球疯狂转发， 大选后反对派将“妮达 ”中枪照发送到 导致其全球疯狂转发 对抗，利用 对抗，利用Twitter等消息传递 等消息传递 为此美国国务院要求Twitter推迟进行系统维护，Facebook/Youtube/Twitter美“E外交”重要部分 推迟进行系统维护， 外交” 为此美国国务院要求 推迟进行系统维护 美 外交
内部资料 注意保密
安全形势与背景
业务提供方式转变，网站导致业务安全
内部资料 注意保密
中国移动业务安全事件损失后果很严重
恶意人员假冒TMSI进行业务盗用
中国移动近 几年发生过 多起业务系 统安全问题 ，每次均造 成了较大的 社会影响和 经济损失
相关的恶意订购问题频出， WAP相关的恶意订购问题频出，SP利用MISC技术和业 务漏洞进行业务强行定制 克隆卡漫游国外， 克隆卡漫游国外，造成巨额欠费 利用虚假主叫进行诈骗引起广泛关注 重要业务系统可以被恶意人员利用向用户进行充值 恶意人员利用IP回拨等业务滥用方式套取利益 重要业务系统存在免费使用、 重要业务系统存在免费使用、不计日志等漏洞 重要业务系统可被利用可不停向用户发送骚扰短信 利用网络漏洞，免费进行语音业务、 利用网络漏洞，免费进行语音业务、发送垃圾短信 10086.cn 重大政治事件相关的一些系统
业务系统传统业务提供方式相对安全，安全问题 容易控制
业务系统相对封闭，接入相对简单，可控 每当业务安全问题发生时都将导致较大损失
业务提供方式网站化后，网站安全将会直接导致 业务安全；若网站安全程度低将会影响业务安全 水平 业务提供网站化后，带来了业务安全、网站安全 融合后的更大挑战
内部资料 注意保密
7月4日白宫、国土安全部、国家安全局、联邦贸易委员会、财政部、国防部、纽约证券交易所、纳 月 日白宫 国土安全部、国家安全局、联邦贸易委员会、财政部、国防部、纽约证券交易所、 日白宫、 斯达克、雅虎、 斯达克、雅虎、亚马逊等遭到大规模攻击 7月7日起韩国遭遇多轮大规模网络攻击，大部分政府网站、互联网门户、媒体网站瘫痪，约74个国 月 日起韩国遭遇多轮大规模网络攻击 大部分政府网站、互联网门户、媒体网站瘫痪， 日起韩国遭遇多轮大规模网络攻击， 个国 万肉鸡参与； 日零时开始自行格式化硬盘， 家16.6万肉鸡参与；在第三轮攻击尾声， “肉鸡” 10日零时开始自行格式化硬盘，自动删除所有痕 万肉鸡参与 在第三轮攻击尾声， 肉鸡” 日零时开始自行格式化硬盘 迹
VS.
部分 结论
网络层防护取得了显著效果 网站等应用层安全防护需要进行提高 网站等能从外网连接的系统逐渐成为安全凹地
内部资料 注意保密
安全凹地形成的原因 - 1
网络层的防护日益提高
防火墙已经成为各种系统的必选 补丁、安全配置成为基础性的工作
对各种系统从外部进行系统层的入侵已经变得非 常困难（前提：防火墙配置合理）
内部资料 注意保密
攻击与防护的变化
安全攻击 Symantec报告指出目前 报告指出目前 75%都是面向应用层的攻 都是面向应用层的攻 击，而其中业务系统特别 是网站系统是重要的目标 安全防护 当前大约75%的安全投资都 的安全投资都 当前大约 是面向网络层安全防护， 是面向网络层安全防护，企 业网络层安全防护系统逐步 建立
网站安全事件频发原因分析
网站系统缺乏防护手段，安全水平较低 网站系统代码实现不严谨，存在漏洞 利益驱动，近几年日益成熟的黑客地下产业链 政治原因，敌对势力出于各种目的 门槛很低，相关工具网上泛滥
内部资料 注意保密
门槛越来越低
一则新闻的启示
内部资料 注意保密
安全形势与背景
网络防护基本具备，安全凹地逐渐形成
近几年中国大陆网站篡改数量
70000
08、09年的网页篡改数 、 年的网页篡改数 量比07年有着显著下降 年有着显著下降， 量比 年有着显著下降， 但总量仍然巨大
60000
50000
40000
30000
20000
10000
0
内部资料 注意保密
2003
2004
2005
2006
2007
2008
2009
网络攻击在战争/经济 恐怖事件中频繁应用 网络攻击在战争 经济/恐怖事件中频繁应用 经济 网络安全上升为国家战略，各国纷纷成立网络战司令部 网络安全上升为国家战略， 运营商成为反恐、 运营商成为反恐、反黑重要力量
08年俄格冲突同时，俄对政府及新闻媒体等网站开展了攻击使其全部瘫痪，将总体 年俄格冲突同时，俄对政府及新闻媒体等网站开展了攻击使其全部瘫痪， 年俄格冲突同时 网站篡改为希特勒相关内容迫使其迁往美国， 网站篡改为希特勒相关内容迫使其迁往美国，开启真正意义上的网络战 09年美国/韩国 09年美国/韩国/土耳其等很多重要网站遭到攻击 年美国 韩国/土耳其等很多重要网站遭到攻击
内部资料 注意保密
09年11月Twitter网站被黑安全事件 年 月 网站被黑安全事件 09年5月Orange网站存在安全漏洞导致 年 月 网站存在安全漏洞导致24.5万客户信息泄漏 网站存在安全漏洞导致 万客户信息泄漏
安全事件频频发生，网络安全形势严峻-2
国际、国内黑色产业链逐渐形成， 国际、国内黑色产业链逐渐形成，各种安全攻击层出不穷 网络攻击更加注重获利， 网络攻击更加注重获利，趋利性日益突出
网络安全常见攻击方式与防护方 法简介
中国移动通信研究院 李祥军
大纲
安全形势与背景
DNS攻击与防护
网站安全问题及解决方法
总结
内部资料 注意保密
安全形势与背景
安全事件频频发生，网络安全形势严峻 网络防护基本具备，安全凹地逐渐形成 业务提供方式转变，网站导致业务安全
内部资料 注意保密
安全事件频频发生，网络安全形势严峻-1
内部资料 注意保密
大纲
安全形势与背景
DNS攻击与防护 攻击与防护
网站安全问题及解决方法
总结
内部资料 注意保密
国家相关单位高度重视（重大事件奥运会、国庆60周年） 网页篡改防护系统的逐渐成熟（2000年左右就开始出现相 关研究） 网页篡改防护系统的大量部署（08、09年部署国家相关单 位） 网页安全漏洞扫描器的大量部署，网页代码自身质量的提 高
内部资料 注意保密
中国移动的情况
曾经发生过严重的网页篡改事件，造成了很大的社会影响，06-08年 间几个省公司等门户网站被篡改 2010中国移动10086.cn被多次入侵，可获取系统及用户信息等 很多省公司门户网站、网上营业厅存在严重的漏洞，可能导致：
网页篡改 客户帐务数据篡改 客户信息泄露等严重问题
2009年国庆安全保障的一些数据
扫描了15个省公司的门户、营业厅系统 其中5个省公司发现注入漏洞 检测的省公司中都存在跨站漏洞 国庆安全评测时时 间紧、人手少、 间紧、人手少、网 络状况差， 络状况差，实际情 况会更加严重！！ 况会更加严重！！
内部资料 注意保密