前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网站安全检测报告范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
一、聊天窗口中查看对方输入状态
MSN在很老的版本就具有在聊天窗口显示好友输入状态的功能,这个功能可以让你知晓对方是否正在输入文字、发送信息。那么在QQ中如何实现这个功能呢?
在QQ2006正式版中增加了这个功能,在会话窗口内能显示对方的输入状态,但是默认设置下,该功能是处于关闭状态的,要开启该功能,只需要打开QQ的“个人设置”,然后点击“状态显示”项,这里勾选“显示我的输入状态”选项即可启用。图1
启用后,与好友聊天时,聊天窗口中将显示对方“正在输入”,并且在头像处有一个小的写字板,表示正在输入。图2
二、在线查杀盗号木马
如今,各种盗号软件多如牛毛,QQ号被盗的人数越来越多,为了确保QQ使用安全,腾讯建立了QQ安全中心,增加了在线查杀盗号木马的功能,不借助其它杀毒软件,我们就能初步检测系统中是否有盗号软件,具体操作如下:
在QQ2006正式版中,依次点击“QQ菜单”“安全中心”“在线查杀木马”,我们就直接打开“QQ医生在线版”进行安全检测,QQ在线安全检查是针对当前QQ账号被盗问题提供的免费在线安全检查服务。该服务将能有效地扫描及清除盗取QQ密码的木马病毒。图3
点击“开始”,接下来需要下载“腾讯在线安全检查控件”,安装完毕之后,我们就可以检查木马了。接下来点击“开始检查”即可对当前系统进行检测。扫描完毕后,会给出检测报告,不但可以检测是否有盗号木马程序,还可以检测并修复系统漏洞,检测到系统漏洞后 ,只需要勾选相应漏洞,然后点击“修复”即可安装漏洞补丁。
三、强制软键盘密码输入保护
从QQ2005 Beta3开始,QQ采用了国际先进的nProtect键盘加密保护技术,启动QQ后,在QQ登录的密码框右侧出现一把安全锁,当敲击键盘输入密码时,键盘加密保护系统会自动对键盘信息进行实时的加密。尽管如此,随着盗号者手段的不断升级,个别木马病毒已经能够破坏nProtect技术,致使QQ密码输入失去保护。当被破坏时,QQ安全锁上将会出现一个“红叉”,这时应当检测系统中的木马。但是如果你有紧急事情需要强行登录,那么腾讯采用强制的临时的软键盘输入方式,从而保障密码输入的安全性。图4
提示:如果发生被破坏的情况,那么密码中的前三个字符必须用软键盘输入,同时这里列出了所有计算机键盘上面的字符,使用Shift键可以在数字字符间切换,使用Caps Lock键可以在大小字母间切换,使用方法与计算机键盘操作类似。
四、举报恶意网站
我们通常在QQ中直接给对方发网站链接,事实上,别人发来的链接有可能有不健康网站、有病毒网站和钓鱼网站等,那么如何来解决这个问题呢?QQ采用了对链接传播的保护和限制策略,用户收到链接信息时,可以点击“打开网址”来直接打开,如果怀疑接收到的链接是恶意网址,为避免该链接的继续传播,可以选择“举报”,从而最大程度地避免恶意网站。图5图6
此外,在菜单选项中的“安全中心”中,我们可以看到增加了“举报恶意行为”一项,点击打开后,会进入安全中心的相应界面,这里可以举报恶意QQ账号和举报恶意网址。如果你发现恶意的QQ号,或者具有恶意代码的网站,或者不健康的网站,都可以通过这里举报,具体操作也比较简单,这里不再具体介绍了。图7
QQ好友分组是对全体用户开放的一项功能,方便用户管理自己的QQ好友。QQ好友分组上传和下载是与之相关的贴心功能,这样就算你用一台新机器上QQ,QQ好友也能按设好的分组显示。
上传和下载QQ好友分组非常简单,在好友面板的空白处单击鼠标右键,然后在菜单上点击上传和下载就可以了。
但是需要注意的是,好友分组上传后是覆盖了服务器上原有的好友分组的,请确定你的操作符合你的意愿再进行上传操作。
少数用户由于重新安装QQ后不能及时和服务器同步,导致分组没有及时下载下来,请选择下载好友分组,千万不要进行上传操作,这样会导致你的分组被覆盖。
使用QQ的过程中,你是不是经常受到一些垃圾信息的骚扰呢?进行简单设置,你的QQ世界将变得清净。
首先,如图所示,在菜单设置个人设置的身份验证和个人状态下,有“防打扰”和“身份验证”两个项目,对照图片中的样子进行设置。因为某些恶意软件是通过随机寻找在线用户来发送垃圾信息的。这样的选择可以把你排除在在线名单之外。
关键字:自动化、激烈、趋势、先进、水平
中图分类号:C29 文献标识码:A
特种设备是指涉及生命安全、危险性较大的锅炉、压力容器(含气瓶,下同)、压力管道、电梯、起重机械、客运索道、大型游乐设施和场(厂)内专用机动车辆。其中锅炉、压力容器(含气瓶)、压力管道为承压类特种设备;电梯、起重机械、客运索道、大型游乐设施为机电类特种设备。为保障特种设备的安全运行,国家对各类特种设备,从生产、使用、检验检测三个环节都有严格规定,实行的是全过程的监督。
据《2013-2017年中国特种设备检验检测行业市场前瞻与投资战略规划分析报告》统计,截至2011年底,全国特种设备生产厂家已经达到545家,包括质检部门所属检验机构、行业检验机构及企业自检机构,另外还有型式试验机构、无损检测机构、气瓶检验机构等。但是,我国特种设备在科技信息化建设以及应用方面仍存在较多问题。如:特种设备计算机处理技术应用不全面,抗风险能力弱;基础设施亟待改善,技术装备不足,计算机普及较低,高新检测装备与技术匮乏;仪器设备综合开发人员结构不合理,缺乏高素质管理与技术人才;信息化技术服务部门尚未真正建立起自我约束、激励、发展机制等。因此,我国需进一步积极稳妥地推进特种设备的自动化管理水平,走提高技术、强化管理的道路。另外,随着国家技术的进步以及资金的大力扶持,近年来越来越多的特种设备已经应用了计算机集成管理领域,致使竞争日趋激烈了。
随着近些年对特种设备需求数量以及质量的要求不断提高,我过特种设备科研人员发挥自身聪明智慧,研制出了一些信息化高、服务质量好的设备,安全信息化技术以及广泛应用在了特种设备上面,信息化技术集成了计算机应用技术、现代网络应用技术以及后期信息处理技术,特种设备信息化技术的应用,提高了动态监察性能以及快速检测能力,便于特种设备检测人员的动态监管,还做到了信息的共享。
一、特种设备安全监检信息化现状及发展目标
近几年,国家安全监察部门为了更好的加强特种设备的管理,相关部门已经加大了信息化的监测力度,并为此建立了较为完整和成熟的国家基础数据信息库,实现了行政许可网上审批,建立了特种设备子网站,加大了政务信息公开的力度,各省级质量技术监督部门建立了特种设备省级基础数据库,基本实现了特种设备使用环节的动态监管,全面应用了特种设备安全监察管理系统软件,提高了监察工作的有效性,特种设备信息化建设工作取得了明显成就。但是,特种设备的信息化水平与当前信息化技术发展现状和安全监察工作的实际需求相比仍有一定的差距,信息标准化工作、行业公共软件开发、信息资源的真实性、完整性及持续维护机制尚未建立;经费渠道以及持续投入不足等问题依然未得到解决。这些因素已经严重影响了特种设备信息化发展的速度。
特种设备信息化建设的目的是为了加强全过程动态管理,实现特种设备相关单位和人员信息化监督管理水平,建立起较为完善的设备、单位、人员、共享和协同合作,努力构建系统的自动化、应用以及维护的全面化,技术传递与分享信息,做到资源共享,共同提高的目的。
二、特种设备安全监检面临的问题
随着信息化建设的发展,我国在特种设备信息化方面也加大了重视力度,已经开发出了多种软件,功能也是很强大。但是鉴于目前我国经济发展现状以及产业模式,这些信息管理软件还存在着一些问题:
1、信息综合换管理水平不高,涵盖范围比较窄。由于多种特种设备工作环境比较特殊,现场数据采集往往需要人工实地采集,然后再整理监测报告。以前的特种设备安全检测信息系统只是侧重于单一算法,功能比较简单,还不能达到一机多能的状态。
2、网络化公共信息平台建设与社会、检验机构之间信息互动、交流交换机制不健全。数据监测人员实地读取数据,然后再回去把信息返给同行,同行对数据进行分析,如若发现数据不对,会安全监测人员重复实地读数过程,这样就浪费大量的人力以及时间。
3、信息化管理系统设计水平有待提高。由于多数特种设备安全监测人员对电脑不太熟悉,另外一些安全监测系统是由一些安全监测专家研发的,所以这样的软件在信息集成化方面不高,系统架构不科学,降低了软件系统的灵活性以及快捷性、准确性。
三、特种设备领域信息系统自动化的应用分析
(一)四层架构模式的应用分析
根据特种设备应用现状,系统架构不科学严重影响到了系统的使用效果,一种先进的系统架构模式-四层架构,能进一步提高信息化管理系统设计水平。四层架构分为界面层(UI)、业务功能层(BFL)、业务对象层(BOL)以及数据访问层(DAO),在三层架构基础上,业务逻辑层分成了业务功能层以及访问层。
1、数据访问层
数据访问层是输入数据库里面的信息,系统可以提供一些数据访问类,这样的数据访问类封装了表以及视图的增减、修改以及查询功能。
2、业务对象层
业务对象层在具有一些界面层的功能的同时,也定义了一组业务对象类,封装了整个系统界面应具备的模式,这样特种设备监测人员就可以调用数据访问层的数据,同时也可以通过数据的输入丰富数据库的容量。为便于系统使用,设计者将同一类数据放在同一个命名的空间内,比如公司、项目、机组、设备放在Enterprise空间内。
3、业务功能层
由于特种设备品种比较多,不同的特种设备要求不同的监测方式,为方便记忆以及监测,设计人员根据不同用户界面需求,把业务对象层的类的各种方法按照不同的角色功能封装到业务功能层的各角色功能的类里面,这样就形成了业务功能层。
4、界面层
界面层可以通过数据输入和输出,达到人机交流的目的。
目前在系统架构形式上面分析,四层架构相对于三层架构具有显著的优势。在面向对象的封装、继承思想上,业务逻辑层利用了业务功能层。只有掌握了业务对象层的类和方法,界面编程人员才能调用业务对象层的类方法实现界面层的功能。为了界面层具有更好的延展性,界面层的编程人员一般只会编写部分用户角色功能相重合,但这部分功能不完整,不是针对于所有对象的界面。不同用户的业务对象层功能不同,这样界面编程人员可以针对于不同的客户群有不同的编程。这样可以避免编程人员对整个系统繁杂的业务对象层了解的需求,减小了编程劳动强度。
(二)基于IE的office在线编辑技术
特种设备安全性能检测系统需求分析的任务是确定待开发的软件按需要什么以及能为我们提供什么,其需求分析的任务包含确定系统需要实现什么哪些功能,这可以由客户提出。为了实现功能快捷化,我们期待办公软件可以在网络模式下直接操作。特种设备的安全监测报告可以通过网络提交,在浏览器中查阅“word”格式的安全监测报告,发现不合格的地方可以在浏览器上面直接编辑更改并能够保存在服务器里面。但是常用的一些浏览器不能支持这样的操作,由于客户想浏览某web网页在浏览器的URL然后把运行结果以html的形式提交到申请机器的浏览器上面显示,客户就可以看见要浏览的网页了。基于IE的office在线编辑技术,利用到了第三方空间-SOAOFFICE文档控件,这样就可以实现特种设备安装监测信息管理的网上办公。
SOAOFFICE文档控件是一款浏览器插件,它可以使一些excel以及word文档直接在浏览器界面上直接操作并且存储,提高了工作效率,彻底解决了电子文档无法在线编辑的问题。在对特种设备监测信息管理系统的工作流程以及用例进行分析后,可以使项目中浏览器分为“设备项目管理”、“设备检测安排”,“审核检测报告”、“汇总检测报告”等界面,这样就更加直观和便捷,减少了操作环节计算机软件系统在特种设备检测方面提供了很多的便利,计算机应用技术在别的领域也创造了不可磨灭的贡献,相信随着科研人员的刻苦钻研,更多的设备将会采用计算机智能擦控,这样便会提升我国的生产制造技术水平,为企业升级以及经济转变产生较大的影响。
参考文献:
【1】丁守宝,刘富君我国特种设备检测技术的现状与展望【J】中国计量学院学报,2004,12
【2】陆勤宝钢特种设备计算机管理系统的研究与应用【J】工业安全与环保,2005,02
关键词:信息安全;信息化建设;校园网
近十年来,我国的高校信息化建设步入了飞速发展阶段,各类学校官网建设、教学资源的共享、教务系统的应用、校园一卡通等信息系统的建设,成了高校信息化的展示平台和重点,信息系统在学校教务工作中占据了非常重要的地位.原本的大学信息化平台只能提供普通的通知公告、学校形象展示等功能,随着信息技术的发展,如今的大学信息化平台发生了很大变化,汇集了学校网站宣传、微信、微博账号、师生互动沟通、教学教务系统、选课评教系统、教学资源共享等功能.这些系统和信息已经成为高校重要的业务展示和应用平台.其中涉及的信息安全方面的问题日趋值得我们重视.
1高校信息安全现状
一般的高校信息化建设主要经过以下几个阶段:网络基础设施建设、旧应用系统整合、新应用系统开发等.[1]在高校信息化建设发展的同时,整体安全状况却不容乐观.高校网络应用日趋增加,网络系统越来越庞大,对外要能够抵御各种黑客攻击,负载均衡等问题,对内要解决规范网络资源使用.信息化安全是当前高校信息业务应用发展需要关注的核心和重点,而高校信息安全需要解决以下安全内容:1)操作系统安全.2)网络信息通信安全.3)网络系统信息内容安全.中国高校网站安全情况极差,根据国内信息安全公司的报告,在2012年5月,国内截获了61万个遭黑客网页挂马的网址,其中教育教学类的网址就有18万个以上.此外,根据《2013年中国高校网站安全检测报告》,高校网站的安全性在全国各类网址中,体检分数排名仅仅比倒数第一名多2分(见图1).值得注意的是,各大学校的科研、教务网站上保存有大量的敏感数据和学生信息,如不加以重视安全保护,极易受到黑客的攻击和窃取,由此引发的高校网站被篡改、被挂马的安全事件频繁出现,最终给高校带来严重的形象及经济损失.另外,高校网站在百度、搜狗等搜索引擎中是热门关键词,由于其安全性薄弱及多方面的利益驱使,是黑客攻击并传播病毒的优先选择目标.信息安全隐患已经成为高校信息化建设过程中无法回避的问题,其严重威胁着高校信息化的推广和使用,[2]威胁着公共安全的多个方面.
2高校信息安全面临的挑战
当前,各大高校都在加大信息化平台的投入,对官网、教务管理系统进行建设,让各类教学资源联网共享,优化校内网络资源等,这些高校信息化的建设是各大高校适应当前形势发展需求而开展的,每个学校都有自己的实际情况和需求,业务开展初期没有一个宏观的规划架构,各个系统之间互不连通,数据不能同步共享、更新,这些系统的功能特性、安全需求和等级、服务的群体、所面临的风险各不相同.高校信息安全面临的挑战,主要有以下几点:1)高校官网易受到攻击:高校官网是学校重要对外交流窗口,浏览访问量巨大,又因为高校网站多为各高校自主搭建,缺乏足够的安全防范技术与措施,所以较容易引起网络黑客的攻击兴趣,黑客利用网页挂马,分布式拒绝服务攻击等方式对学校官网进行攻击,轻则造成网站响应速度变慢,重则导致访问者中毒,或者学校网站无法访问等严重后果.图2和图3分别列出了中国高校网站安全漏洞分布情况和黑客攻击高校网站技术手段分布情况.图2中国高校网站安全漏洞分布情况Fig.2DistributionofsecurityvulnerabilitiesinChinesecolleges图3黑客攻击高校网站技术手段分布情况Fig.3Hackers'attackmethoddistribution2)高校敏感数据被入侵、篡改.高校信息中心的业务数据,包括“校园一卡通”、教务管理系统、图书馆借阅系统、精品课程资源库等,由于保存有大量学生身份证、联系电话、成绩、银行卡号、住址、学生饭卡资金等敏感信息,也成为网络黑手攻击的对象,黑客入侵修改学生成绩、学历,甚至修改毕业证信息等信息安全事件屡见不鲜.3)校园网的内部威胁.高校内部用户上网带来的威胁,包括机房、宿舍、办公楼用户等.由于信息技术发展速度较快,高校在信息安全教育方面没有跟上技术发展的步伐,导致校园上网用户对信息安全重视程度不够,缺乏信息安全保护能力和意识,通过学校局域网或者机房感染计算机病毒的概率很高,使得各种计算机病毒在校园内迅速传播,给学校内网带来安全威胁.另外,有些学生对黑客盲目崇拜,在校内尝试黑客攻击技术,也造成了一些信息安全事故.4)技术人员方面的短缺.很多高校信息管理人员缺乏成熟的管理经验,整体素质比较低,加上管理和制度上的欠缺,使得高校信息系统在运行过程中遇到入侵的概率大大增加.5)需要加大资金投入.越来越多的高校已经认识到校园信息化建设的重要性.但是,由于信息化建设的硬件投入需要较大资金,而很多高校存在资金缺口,导致安全设备硬件的缺乏,进而成为整个安全建设的短板.另外,信息化服务、信息化应用、人员培训等方面也需要大量资金,这些问题不解决,将使得高校的信息化建设失去动力支持.
3解决方案
对于高校校园网的安全建设而言,主要考虑以下几个方面:1)对整个高校的信息安全进行统一规划,建立并实施体系化的信息保障标准,实现学校门户部门公共服务网站教学资源等各类型网站的整合,简化技术维护难度,确保网站的建设质量和安全防护能力.2)全方位的进行建设,在基础层建设方面、网络层建设方面、系统集成方面、管理应用方面,多角度多层面的设计和建设安全需求.3)对涉及敏感数据的区域进行重点保护,划分重点区域,有利于集中管理.4)针对学校的业务需求,引入先进的安全硬件软件等产品,紧跟安全领域的步伐.5)定期进行校园网络体系化建设咨询,风险评估,攻击测试等活动,不断提高安全防护能力.6)信息安全建设过程中要严格遵守国家等级保护要求,结合等级化的方法来设计.7)高校信息化建设与人员的素质息息相关,在加强信息化管理的过程中,需要对校园中使用网络的人员进行安全教育和培训,提高人员的安全意识,[3]形成人人关心信息安全工作,事事重视信息安全保护的工作氛围.
4具体安全措施框架
根据高校自身系统的特点,结合等级保护相关技术要求和标准规范,笔者提出了以下解决方案(见图4).该方案的安全措施框架是依据“防范优先,全面防御”的方针,以及“制度与技术结合”的原则,并结合等级保护基本要求进行设计,主要包括技术体系,管理体系以及安全监控体系三大方面,在核心应用系统方面使用入侵检测系统、软硬件防火墙、杀毒软件定期查杀等常用信息防范措施,保障网络业务在具有一定的安全防护能力下的正常开展.
4.1技术体系
4.1.1架构规划
划分重点保护区域、访问控制、防DDOS攻击,针对重点保护区域使用防火墙进行隔离,配置规范的访问控制权限和策略,交叉使用多家安全厂商的产品,构建严密、专业的网络安全保障体系.
4.1.2应用层面
对校内各Web应用进行入侵检测,及时修补漏洞,利用防火墙对SQL注入、跨站脚本等通过应用层的入侵动作实时阻断,并结合网页防篡改子系统,真正达到“网页防篡改”效果.
4.1.3数据层面
将校内重要的数据放置在重点保护区域,提升数据库自身的安全指数与配置,对数据库的访问权限进行严格设定,最大限度地保证数据库安全.同时,利用SAN、异地数据备份系统有效保护重要信息数据的健康度.
4.2管理体系
任何安全设施和安全产品都需要专业管理人员的审核、跟踪和维护,在安全管理体系的设计中,引入安全经验丰富和对等级保护管理要求理解清晰的专业公司,为高校量身定做符合实际的、可操作的安全管理体系.
4.3安全监控体系
4.3.1风险评估
评估和分析在网络上存在的安全技术,分析业务运作和管理方面存在的安全缺陷,调查系统现有的安全控制措施,评价当前高校的业务安全风险承担能力;聘请资深的安全专家对各种安全事件的日志、记录实时监控与分析,发现各种潜在的危险,并提供及时的修补和防御措施建议.
4.3.2渗透测试
利用网络安全扫描器、专用安全测试工具和专业的安全工程师的人工经验对网络中的核心服务器及重要的网络设备进行非破坏性质的模拟黑客攻击,提高防范意识与技术.
4.3.3应急响应
针对信息系统危机状况的紧急响应设有预案,当信息系统发生意外的突发安全事件时,可以提供紧急的救援措施.通过以上方案的实施,学校业务系统得到安全保障,高校科研、教务、学籍等重要数据免受黑客入侵威胁.高校官网抗攻击性得到加强,在遭受一般的网络攻击下能持续提供网络服务,并检测攻击出处.规范校内用户的上网行为,提高校内用户的整体信息安全意识,提高了网络利用率,减少了内部的网络攻击.另外能逐步完善安全制度并提升管理人员素质.因此该系统的建设能够满足当前高校网络系统的要求.
5结语
当前高校网络系统是一个不断发展壮大的多功能复杂系统,在提供日常的教务管理、学校宣传的同时,也面临着越来越复杂的信息安全威胁,网络技术不断发展的同时,现有的系统自身的漏洞与弱点也会不断被发现,信息安全风险日益突出,成为当前高职院校中信息化建设过程中必须面对与亟待解决的问题.信息化建设和发展对于高校未来的教育工作有着非常重要的现实意义,因此,需要加大资金投入,保证校园向着信息化方向发展,[4]以信息安全为出发点,将系统从项目立项开始就纳入管理范畴,从而实现对高校信息系统的有效管理.[5]在高校信息化建设中实施信息安全保护建设工作有利于提高全校的信息系统安全建设水平,能不断的同步建设各种信息安全设施,让信息化建设与信息安全同步发展,能提供全面的并有针对性的信息系统安全建设,降低网络系统建设成本,有利于优化信息安全资源配置,保护信息系统分类,确保高校信息平台的安全运行.
作者:聂晶 单位:南宁职业技术学院
[参考文献]
[1]于莉洁,王松盛,唐丽华,等.高校信息化建设中的信息安全问题研究[J].信息安全与技术,2016(3).
[2]赵欢,陈熙.高校信息安全体系的研究与实现[J].中国教育信息化,2013(13).
[3]谭博.高校信息化建设进程中信息安全问题成因及对策探析[J].信息与电脑:理论版,2016(11).
关键词:攻击;僵尸;网络
中图分类号:TP311 文献标识码:a DoI: 10.3969/j.issn.1003-6970.2012.02.016
Thoughts on the security defense against the network attack from one college waNG Qi(Network Information Center,Jiangsu Animal Husbandry&Veterinary College,Taizhou 225300 China)
【Abstract】In recent years, the Internet attacks increase in various ways, and their technical innovation is far more rapid developed
than that of the network defense technology. The kinds of Botnet attack data flow bring the network management greater challenges and higher demand. In this paper, we take a targeted attack for a university network for example, record the whole attack process, summarize its attacking principle, present the corresponding measures taken by colleges, and finally we concluded the attacking trend, therefore, we put forward some improvement countermeasures from the stand of user and operators to provide a more stable and high-quality network services.
【Key words】attack; botnet; network
0 引 言
僵尸网络和DDOS攻击是近年来黑客广泛利用的攻击跳板与手段,它们无意识的受控于网络攻击者,向指定目标发送大量的DOS数据包,不仅严重影响被攻击者对互联网的访问与对外服务,还会严重冲击互联网络提供商(ISP)网络的正常运行。本文通过对对去年发生于江苏某高校教育网线路的网络攻击事件进行分析,总结出当前网络攻击的新趋势,并有针对性地从运行商、用户角度提出应对思路,保证互联网的安全。
1 攻击事件背景
众所周知,教育网以其独特的edu域名而为高校所推崇,作为一个公益性质的实验研究网络,它扮演着国内几乎所有高校的网站信息等各类对外应用服务网络支持者的角色,是高校对外一个重要窗口。高校作为一个非商业盈利性单位,理论上应该不存在商业竞争为目的的恶意攻击,但本次攻击时间之长(14天)、攻击手段变化之频繁为20年内江苏省高校界中很罕见的一次记录。
2 攻击过程
2011年6月,江苏省某高校教育网线路遭受网络攻击,造成edu域名的web服务器、邮件服务器、DNS服务器等所有对外应用无法使用。
在6月1日开始,学院网络中心发现系部服务器长时间无响应,因为所有二级院系网站新闻功能及软件代码部署都在该服务器上,所以求助电话很快就反馈过来。
2.1 TCP SYN泛洪攻击
6月1日下午经过抓包分析,服务器受到攻击,攻击流量来自教育网线路。攻击数据采用TCP SYN泛洪冲击服务器,服务器CPU资源迅速被消耗完毕,进入死机状态,所以无法响应正常访问数据请求。技术人员在咨询防火墙厂商后,调整了防火墙处理TCP SYN请求的模式,将TCP SYN网关模式调整为TCP SYN模式中继模式。防火墙收到SYN请求包后,不向服务器转发该请求,而是主动向请求方发送SYN/ACK包,在收到请求方的ACK确认包并判断为正常访问后,才将SYN请求包发送给服务器,完成会话建立。调整后可以基本过滤不可用的恶意连接发往服务器,同时服务器CPU内存高利用率的状况得到缓解。
2.2 海量访问攻击
6月2日上午,攻击者采用了海量访问方式,在防火墙连接数监控中发现访问源IP地址数呈现几何级数增长。虽然每个IP都与服务器完成正常的三次握手协议,但同时递交了相当多的无用查询请求,查询目标为一些并不存在的数据条目或者页面。海量的访问又造成了服务器CPU资源耗尽,无法提供对外服务,攻击包抓包解析如图1。
图1 攻击包解析
针对这种情况,技术人员采取防御策略是更换服务器硬件,将服务器代码从台式机迁移至刀片服务器阵列中,这样使服务器的CPU与内存资源都得到了一定程度的提升。同时,还更改了新服务器IP地址,相应在DNS服务器中更换了域名记录。但数小时后,攻击立刻转向至新更换的IP地址上,仍然造成了服务器失效宕机。当时邀请了天融信、山石网科防火墙厂商在现场协助解决,用不同的防火墙轮流切换使用,并在防火墙上额外加载了IPS入侵防御功能模块,设置访问控制粒度,设定了相对严格的IP访问阀值。最后使用山石网科的M3150识别遏制该种攻击效果较好,能降低服务器部分负载。山石防火墙的粒度控制和安全防护设置界面如图2和3。
2.3 分布式泛洪攻击
2011年6月4日,经过抓包分析,攻击数据转换为TCP 、UDP随机端口方式,也就是分布式拒绝服务攻击,并且把攻击目标扩展到了国示范专题网站及校园门户网站,但不以冲垮服务器为目的。这是一个很致命的问题,虽然防火墙的安全策略拒绝攻击包涌入内网,但攻击包堵塞了防火墙上游的数据带宽。教育网在6月7日,6月8日分别将学院的线路带宽从10Mbit/s紧急升级到35Mbit/s和100Mbit/s,但攻击流量水涨船高。技术人员通过外网交换机统计端口查看瞬时数据后发现,在短短几分钟之内,带宽就消耗殆尽。教育网清华维护中心在与学院沟通后暂时设置了路由黑洞,将210.29.233.0全网段屏蔽。虽然学院的线路带宽利用率立即下降到正常值,但该网段的所有服务应用全部无法被外网访问了,反而达到了骇客攻击的目的。期间曾经尝试部署金盾防御DDOS硬件设备在学院出口处防火墙设备前端,但效果不明显。在沟通后,厂方工程师也认为该类型设备应部署在教育网的江苏高校总出口处才能起到防御效果。同时教育网东南大学地网中心配置了一台小型号的流量清洗设备来过滤学院的数据流,但因为地网中心至北京的互联带宽有限,为了防止骨干通道被攻击数据堵塞,所以不能无限制放宽流量来支援受害院校,所以这样部署后的效果是仅能维持江苏教育网内用户访问受害学院,效果不理想。分布式拒绝服务攻击数据包解析如图4。
图4 分布式DDOS攻击包
2.4 查找攻击源
当时学院按照流程报警,警方力量接入,并与教育网方面开会讨论,布置任务,根据收集到的抓包文件,确认了一个真实攻击僵尸IP地址是镇江某IDC机房的一台服务器,其他的IP地址归属地则是世界各地,可以确认为伪造或无法完成追踪。当天警方到IDC机房将该服务器下线,并将硬盘数据进行备份,分析硬盘中的入侵痕迹顺藤摸瓜寻找上游控制端,但未能发现进一步证据来查询到上游控制端。
2.5 SYN-ACK反射攻击
2011年6月10日下午,经过抓包解析,分布式拒绝服务攻击数据消失了。但网络中出现大量的SYN-ACK数据包,经过详细研究查阅了部分资料后了解到,这是一种间接的反射攻击。受控于上游控制端的大量僵尸机器向各类合法在线用户 发送伪造的以学院IP地址为源地址的SYN请求包,合法用户或服务器误认为该数据由学院的IP地址发出请求访问,根据三次握手原理于是便回复SYN-ACK包来响应请求,间接成了被利用的反射节点,反射攻击的原理如图5。一旦反射节点数量足够多,同样能消耗尽受害者的网络带宽。所幸这种攻击的数据量已经不如先前的规模,未造成带宽耗尽的情况。
图5 反射攻击示意图
2.6 攻击停止
2011年6月14日之后,针对教育网线路的网络攻击完全停止。在攻击后的各方交流中,大家普遍对此次攻击的目的性表示疑惑,因为未曾有相应的经济或政治勒索,所以东南大学的龚教授认为此次攻击是初级网络骇客利用受控的僵尸网络可能性较大。
3 防御方的经验和体会
通过本次事件,作为受害方的学院技术人员,经过反思,也从中总结出一些受害方和运营商方面的可以借鉴的经验教训。
在用户方面:
学院方面没有使用智能DNS解析来实现不同运营商接入用户从不同线路进行访问,并且没有异地服务器节点与部署多播源发现协议MSDP。因为该协议原理是当网络设备接到对服务器的访问请求,则检查距离最近的服务器是否可用,如服务器不可用,选播机制将请求转发给不同地理位置的下一个服务器来相应请求,同时能将DDOS带来的攻击数据自动分配到最接近攻击源的服务器上[1]。经过资料查询,这个方式是百度及谷歌等大型全球性网站进行流量分担的一种策略。由于异地服务器部署的代价较大,受经费及技术力量所限,在短期内无法实现,但仍旧不失为一种优异的防御方式。
目前重要服务器仍旧是单发引擎,没有配置本地负载均衡设备和多机容灾。大部分服务器没有后台与前台隔离,导致到服务后台直接面向网络攻击,一旦收到大量的搜索页面或者数据库请求,则瘫痪无法正常工作。而有前台与编辑后台的机制则优势明显,即使前台服务器瘫痪了,但后台数据和编辑功能仍旧不受影响,能保护核心数据安全不受侵犯。
大部分的服务器未能部署反篡改软件,有许多不安全的的服务或端口开启着,如文件共享TCP135 139,有可上传文件权限的FTP默认用户存在。在内网用户访问服务器时,没有内网防火墙来过滤数据包,只使用了一台三层交换机进扩展ACL进行过滤,服务器代码老化少有维护。鉴于本次事故,受害学院已经邀请测评中心对全域服务器做全方位的第三方安全检测,并出具检测报告并提出相应修复建议。
未注意网络安全的木桶效应,去弥补最薄弱的环节―终端用户。堡垒往往从内部攻破,保护未能从终端做起。众所周知WINDOWS系统漏洞非常多,微软要定期补丁来修复,所以很容易受到入侵。用户计算机安全意识较差,无杀毒软件使用的情况较多,所以造成僵尸机器横行。在本次攻击中抓包发现不少内网机器已经沦为被利用的僵尸机器,成为被利用的工具,所以要在用户终端接入方面设置准入系统,强制性安装杀毒软件及反木马软件。目前主要网络互联节点及出口处未部署IDS或者IPS,没有定期对比数据流变化报告或者安全分析。
防范社会行为学行为泄密,在外来人员较多的情况下,需要注意拓扑结构、数据组成、出口带宽、部门结构、骨干网规模方面的信息保密。
在运营商方:
教育网方面缺乏相应的应对此类危害事故的紧急状态机制,同时由于其自身的科研和公益性等特点,维护人员组成多为大学教授和研究生以及少量兼职工程师,所以服务响应与质量较大型运营商有一定的差距。
分配给最终用户的带宽过于狭小(10Mbit/s),一次小的攻击往往就立竿见影起到破坏效果。
全网没有部署反向路由追踪功能,造成伪造的IP流量横行。因为URPF全面部署后能阻断虚假源IP的攻击,能提供快速定位能力来杜绝伪造源IP地址的数据包在网络中传输,从而阻断部分黑客攻击流量,并对攻击的溯源有很大帮助[2]。
有限能力的流量清洗,仅能实现清洗处下游访问正常,上游数据仍旧被堵塞。江苏高校的出口上联至北京清华维护中心的带宽只有数Gbit/s,所以无法提供更多带宽来支援被攻击的学院。在参考过几篇联通电信技术人员的相关文档论文后,我们也了解到大型运营商防御分布式攻击的思路和原理:提供分布式的清洗中心,针对不同级别的城域网出口部署不同层次的防DDOS设备,可以根据用户请求手动添加被攻击IP进入BGP路由或由设备发现攻击后自动添加路由方式,将有问题的流量引导进入防DDOS设备进行流量清洗后回灌到原有网络中。不同的清洗中心可以互为备份增强清洗效果,如一个10GB清洗能力的中心,在相互交叉支持的情况下甚至可以1TB带宽的用户范围的保护。下图6是引用的清洗流程,源自北京联通防DDOS攻击服务介绍。
图6 运营商流量清洗示意图
4 反思与展望:
随着网关服务器、交换机、防火墙、服务器硬件、操作系统软件更新升级由TCP SYN发起的DDOS攻击看似得到了缓解。但本次针对消耗带宽方式的DDOS攻击最后仍旧是不了了之,目前我们能做的似乎就仅此而已了。即使大型运行商,提供的解决方案或大致思路应该也是用ISP的带宽资源、防御设备去消耗抵御僵尸网络的流量,这也是一个减法问题,如果未来僵尸网络的流量大于ISP能力极限的情况后如何应对,是一个值得研究的问题。
伴随着电信联通光城市计划的推广,现今宽带用户大规模提速,10M、20M甚至100M家庭入户已经成为现实,企业千兆早已不是传说。即使用于GB流速的出口带宽,也禁不住越来越强劲的僵尸网络攻击,所以最后提出的问题已经逐步有了研究的现实基础。正如业内著名的防御DDOS服务商Arbor Networks 公司首席解决方案专家Roland Dobbins在NANOG 的邮件中所说的:“DDoS 攻击只是表象,真正的问题根源是僵尸网络。”而僵尸网络的问题,不是一时半会儿就能彻底解决的[3]。
参考文献
[1] DDOS. 尝试阻止DDOS攻击[J].网络与信息,2011,(04):53. DDOS . Try to stop DDOS Attack [J]. Network and Information,2011,(04):53.