了解网络攻击对网站运行的影响

任务1　了解网络攻击对网站运行的影响

任务介绍

随着Internet的广泛应用，公司形象网站、各大门户网站、电子商务网站等如雨后春笋般层出不穷，遍及全球的上网人数呈指数上涨。与此相伴的是，网络经济的利益驱动使黑客攻击越来越频繁，影响也越来越大。本任务主要是通过对国际知名网站遭遇盗窃篡改的典型案例分析强化学生对网站安全运行重要性的认识。

任务分析

2010年8月2日—2010年8月8日，国家计算机网络应急技术处理协调中心发布网络安全信息与动态周报显示：

互联网网络安全态势整体评价为优。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。依据CNCERT抽样监测结果和国家信息安全漏洞共享平台（CNVD）发布的数据，境内被木马控制的主机IP地址数目约为6.4万个，同种类木马感染量与前一周环比下降16%（注1）；境内被僵尸网络控制的主机IP地址数目为6 478个，环比下降40%；境内被篡改政府网站数量为72个，环比下降31%；新增信息安全漏洞30个，环比下降49%，其中高危漏洞3个，比上周增加2个。

注1：此周期调整了木马监测范围，总数变更为64种木马。为保证数据的可比性，仍取近两周相同种类木马的监测数据做环比分析。

根据CNCERT监测数据（注2），本周境内被篡改政府网站数量为72个，较上周有所下降，

截至8月9日12时仍未恢复的被篡改政府部门网站如下表1.1所示。

表1.1　网站被盗窃篡改情况统计

注2：CNCERT监测的政府网站是指英文域名以“.gov.cn”结尾的网站，但不排除个别非政府部门也使用“.gov.cn”的情况。

中国反网络病毒联盟（ANVA）整理发布的活跃恶意代码如表1.2所示。其中，利用应用软件及操作系统漏洞进行传播的恶意代码仍占较高比例，与播放器相关的恶意代码活跃程度有所增强。ANVA 提醒互联网用户一方面要加强系统漏洞的修补加固，另一方面要加装安全防护软件。此外，不要轻易打开网络上来源不明的图片、音乐、视频等文件。

表1.2　活跃恶意代码

续表

任务实施

通过案例分析，明显看出黑客攻击是网络安全的最大威胁。因为形形色色的网站都暴露在Internet这个公共网络平台上，网站安全随时受到遭遇黑客攻击的威胁。网站的安全因素包括设备的安全、数据库系统的安全、操作系统平台的安全、Web应用程序的安全、网络传输过程的安全等。要想提高网站运行安全稳定，必须主动做好安全防范措施。网站的安全性问题主要表现在：接触安全问题之前，必须首先掌握必要的术语。

（1）脆弱性。脆弱性是系统的一个特征，它可能会使应用系统不完全按照预想方式运行，是系统运行状况欠佳的特征。

（2）威胁。威胁即指破环系统安全的可能性。

（3）利用。利用即利用脆弱性的方法。

综合上述，为脆弱性导致了威胁，利用则实现了威胁，简而言之，就是攻击。

一、硬件设备安全的脆弱性

网络硬件主要包括网络互联设备，如：交换机、路由器、网关等。现在仅考虑针对硬件设备进行一些安全方面的配置，比如交换机的VLAN，路由器的ACL配置等，却忽视了设备本身在工作中存在的脆弱性。

（一）交换机脆弱性分析

交换机在OSI 数据链路层MAC子层工作，它可连接到单独的结点或整个网段的单个端口，在它们之间交换数据，并为每个端口到端口之间提供全部的局域网介质带宽。

（1） 从设备自身看，首先是交换机在系统安装、启动和灾难恢复时一般处于不安全状态，有一定的脆弱性；其次，还存在物理威胁，一些外在因素的影响可能破坏交换机。

（2） 从外在因素看，入侵者利用交换机软件或协议的脆弱性进行攻击，比如IP欺骗，TCP连接功能被欺骗、截取、操纵，UDP易受IP源路由和拒绝服务的攻击等，同时也亦存在访问权滥用或后门等问题。

（二）路由器脆弱性分析

路由器工作在OSI 模型的网络层，它可用来连接具有相同网络通信结构的网络，也可连接不同结构的网络。它为数据包提供最佳路径，并实现子网隔离和抑制广播风暴。

（1） 从设备自身看，路由器相当于网络层的中继器。路由器不能真正实现即插即用，需要很多配置。配置文件一般包括路由器接口地址、登录密码、路由表接口状态、ARP表、日志信息等。这些信息如果被攻击者获得，后果不堪设想。攻击者可将路由器作为平台，对其他站点扫描、侦察、攻击，甚至修改路由配置等。

（2） 从外在因素看，路由器是在网络层实现多个网络互联的设备，如想得到路由器的访问控制权，任何人都可通过路由器对其他服务器发起拒绝服务攻击，而路由器不会自动生成警报通知用户所受到的攻击。且路由器的访问密码极不安全，可以通过SNIFFER探测，也可在专属公司网页上查寻。

（三）网关脆弱性分析

网关又叫做协议转换器，用来连接专用网络和公共网络的路由器。网关是将不同协议集的协议进行翻译、转换，是最复杂的网络互联设备，用于连接网络层之上执行不同高层协议的网络，构成异构的互联网，通常工作在OSI模型的第4层和更高层。

（1） 从设备自身看，网关是软件和硬件结合的网络互联设备，是最复杂的网络互联设备，不同的网关用于不同的场合，其软件和硬件自身也存在脆弱性。

（2） 从外在因素看，网关是针对特定的网络互联环境而设计的，不存在通用网关。有时制造商会留下可获得敏感信息的后门。

二、数据库管理系统安全的脆弱性

（1） 数据库管理系统主要通过用户的登录验证、用户权限、数据使用权限以及审计功能提供安全性能。由于黑客常常通过探访工具强行登录和越权使用数据库的数据，给用户带来巨大的损失。对数据进行加密固然可以提高安全性，但加密又会与数据库管理系统的功能发生冲突或影响数据库的运行效率，故不常用。

（2） 使用“服务器—浏览器”结构的网络应用程序因由应用程序直接对数据库进行操作，应用程序的某些缺陷有可能威胁到数据库的安全。因而，使用“数据库—服务器—浏览器”三层结构的应用程序通过标准工具对数据库进行操作，可加强其安全性。数据库的安全等级应与操作系统安全等级相适应，否则缺口会首先从最薄弱的环节打开。

（3） 系统管理员对系统和数据库的绝对控制权也是安全的一个突出问题。因为系统管理员有权查阅和删改任何敏感数据，系统对他的权力没有任何约束。故而，应实行系统管理员、安全员、审计员三权分立的互相制约机制。同时，该机制须得到操作系统和数据库管理系统的支持方能生效。

三、操作系统安全的脆弱性

（1） 操作系统为了系统集成和系统扩张的需要，采用支持动态连接的系统结构。系统的服务和I/O操作都可用打补丁方式进行动态连接。由于黑客熟知打补丁方法，便形成病毒滋生的营养缸。

（2） 操作系统的进程可以创建，且这种进程可在远程网络节点上创建和激活，更为严重的是被创建的进程还继承了再创建进程的权力。这样，黑客在远程把间谍补丁打在一个合法用户特别是超级用户的身上，就能逃脱系统作业与进程监视程序的眼睛。

（3） 操作系统为维护方便而预留的免口令入口和各种隐蔽通道，也便于黑客进出。

（4） 操作系统提供的具有与系统核心层同等权力的daemon软件和远程过程调用RPC服务、网络文件系统NFS服务，以及Debug、Wizard等工具，也给黑客提供了翻云覆雨的机会。

四、Web应用安全的脆弱性

对Web的攻击有很多种，其中一部分可使用ASP.net代码进行防范，但其他攻击方式仍可以产生破坏，如直接攻击服务器。攻击，即利用Web系统的脆弱性以实现一定的威胁。攻击的结果多样，如：

其一，未经授权的访问——用户获取了更多权限，从而将应用程序用于其他途径，如获取网站的管理员密码，散布政治言论等。

其二，代码执行——在目标系统上运行恶意代码，且导致其他威胁，如木马。

其三，拒绝服务——合法用户被禁止访问应用程序。

其四，信息失窃——机密的信息被盗取。

其五，破坏信息——信息遭到修改。如站点被涂改、发布攻击性消息和政治言论。

常见的脆弱性及其利用、威胁方式主要有缓冲压溢出、脚本注入和跨站脚本攻击。

（一）缓冲区溢出

缓冲区溢出是迄今为止Web应用中最常被利用的脆弱性。

当应用程序的外部输入未经检查即被插入内存时，便存在缓冲区溢出的脆弱性。如插入长度超过内存为此分配的空间长度，输入就会溢出并占据内存的其他地方，甚至运行恶意代码。

对缓冲区溢出的利用，就是把附加的数据写到内存缓冲区的其他地方，导致程序崩溃。如果附加数据设计巧妙，甚至还可以重写函数的返回地址。如此，程序就会按照攻击者的意愿执行。

在C++中，这个问题很常见，因为C++可直接操作内存地址，进行很底层的操作。在.net中也有这个问题，因为.net基于托管代码之上，即.net代码并非直接操作内存，而是在中间隔了一层CLR。由于托管代码的执行要靠CLR作为边界检查，所以CLR中的任何脆弱性都将转变为应用程序的脆弱性。如有黑客知道CLR的问题，则托管代码也会产生问题。

（二）脚本注入和跨站脚本攻击

无论何时，用户都要存有“用户都是恶意的”心理，即不能信任用户的随意输入，在用户输入时一定要检验。假如对用户的输入没有严格管理，就会在程序中引入脚本注入的脆弱性。该脆弱性允许用户将自己的脚本注入数据中，如在用户留言中，用户插入<script>alert（‘error’）；</script>，那么留言的页面就会弹出提示。

跨站脚本的攻击一般表现为一个在URL参数中带有客户端的脚本，用来盗取用户的cookie信息等，具体为：

（1） SQL注入。SQL注入即通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，主要是恶意用户在程序的数据库中执行精心设计的SQL语句。其对网络安全威胁很大，甚至能获取服务器管理员的权限。

（2） 分布式拒绝服务。分布式拒绝服务也称为DDoS（Distribute Denial of Service）。DDoS攻击是用大量的计算机攻击一个系统。很多计算机联合起来就可发送很多虚假请求，致使被攻击的系统超负荷，而丧失向其他用户提供服务的能力。

蓄意攻击者为发动DDoS，就须获取足够多的机器。恶意用户设计在别人电脑上注入木马和病毒，获取机器控制权，“借”别人的电脑发送攻击。这种被控制的电脑就成为了“僵尸”。

DDoS攻击主要攻击服务器，且攻击方式防不胜防。因为很多防护软件和防火墙不能区分请求的正确与虚假。

（3） 人的问题。很多情况下被利用的脆弱性并非技术上的脆弱性，而是人的脆弱性。假如用户没有安全意识，便极易受骗为攻击者打开系统。欺骗方式多种多样，常见的是用E-mail诱使用户执行某些程序，另外还有蠕虫。

（4） 蛮力攻击。如不采取一定的措施防止用户无休止的尝试连接应用程序，就容易受到不计其数的猜测密码口令的攻击，即蛮力攻击。

攻击的方式是设计一个程序，用它向目标应用发送很多请求以测试不同的密码口令。

需要注意的是，在考虑安全问题时，人们常常把程序比作一个城堡，在城堡周围建造城墙且严格盘查各个通道。但即使如此，对那些已进入城堡的用户也无计可施。

五、计算机网络安全的脆弱性

互联网的体系结构和TCP/IP协议在创建之时并未充分考虑安全需要，故存在许多安全漏洞和根本性缺陷，给攻击者留下可乘之机。计算机网络安全的脆弱性主要表现在：

（1） 易遭窃听和欺骗。数据包在互联网传输时，要经过很多节点的重发，而局域网内通常采用的以太网或令牌网技术都是广播类型的。这样，窃听者便可轻易得到用户的数据包。如用户数据包没有强有力的加密措施，就等于把信息拱手送给窃听者。比较陈旧的DNS服务软件易受虚假的IP地址信息欺骗。另一种IP地址欺骗方式是在阻塞受害的某台主机后再用受害者的IP地址在网络上行骗。

（2） 脆弱的TCP/IP服务。基于TCP/IP协议的服务很多，最常用的有WWW、FTP、E-mail，此外还有TFTP、NFS、Finger等，都存在各种各样的安全问题。WWW服务所使用的CGI程序、Java Applet小程序和SSI都有可能成为黑客得力工具。FTP的匿名服务造成系统资源的极大浪费。TFTP则完全没有安全性，常被用来窃取口令文件。E-mail的安全漏洞曾导致蠕虫在互联网蔓延。E-mail的电子炸弹和附件经常携带病毒，严重威胁互联网安全。至于X Windows服务、基于RPC的NFS服务、BSD UNIX的“r”族服务如rlogin、rsh、rexec等，如在配置防火墙时忘记关闭它们在互联网的使用，则用户的内部网络就会裸露在黑客面前。

（3） 配置的错误和疏忽。网络系统本身的复杂性导致防火墙的配置相当复杂。在更好的辅助工具出现之前，缺乏训练的网络管理员很有可能发生配置错误，给黑客造成可乘之机。系统配置的过于宽容，或因对服务的安全性缺乏了解而未限制、禁止这些不安全服务，或对某些节点的访问要求给予太多权力，都会给计算机网络安全带来危害。

知识拓展

一、网络概念简述

（一）OSI模型

网络发展中一个重要里程碑是ISO（Internet Standard Organization，国际标准组织）对OSI（Open System Interconnect，开放系统互联）七层网络模型的定义。它不但成为以前与后续的各种网络技术评判、分析的依据，也成为网络协议设计和统一的参考模型。

OSI七层模型称为开放式系统互联参考模型（如图1.1所示），是一种框架性设计方法，OSI七层模型通过七个层次化的结构模型使不同系统、不同网络之间实现可靠的通信，帮助不同类型的主机实现数据传输。

图1.1　OSI参考模型

网络七层的划分使网络不同功能模块（不同层次）分担起不同职责，带来如下好处：

（1）减轻问题复杂程度，一旦网络发生故障，可迅速定位故障所处层次，便于查找纠错。

（2）在各层分别定义标准接口，使具备相同对等层的不同网络设备实现互操作，各层之间则相对独立，一种高层协议可放在多种低层协议上运行。

（3）能有效刺激网络技术革新。因为每次更新都可在小范围内进行，不需对整个网络动大手术。

（4）便于研究和教学。（二）SNIFFER嗅探器

Sniffer Pro是一款一流的便携式网管和应用故障诊断分析软件，不管在有线网络还是在无线网络中，都能给予网络管理人员实时网络监视、数据包捕获及故障诊断分析能力。基于便携式软件的解决方案具备最高的性价比，且能让用户获得强大的网管和应用故障诊断功能。其主要应用环境为：网络流量分析、网络故障诊断；应用流量分析及故障诊断（已上线或将要上线的应用）；网络病毒流量、异常流量检测；无线网络分析、非法接入设备检查；网络安全检查、网络行为审计。

（三）SQL注入

这是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。比如，前期很多影视网站泄露VIP会员密码大多是通过Web表单递交查询字符而暴出，因这类表单极易遭受SQL注入式攻击。

当应用程序使用输入内容构造动态SQL语句以访问数据库时，会发生SQL注入攻击。如果代码使用存储过程，而这些存储过程作为包含未筛选的用户输入字符串传递，也会发生SQL注入，导致攻击者使用应用程序登录到数据库执行命令。如果应用程序使用特权过高的账户连接到数据库，此问题会更加严重。在某些表单中，用户输入的内容直接用来构造（或影响）动态SQL命令，或作为存储过程的输入参数，这些表单极易受到SQL注入的攻击。这是由于许多网站程序在编写时没有对用户输入的合法性进行判断，或程序本身的变量处理不当埋下了安全隐患。此种情况下，用户只要提交一段数据库查询代码，再根据程序返回即会获得一些敏感信息或控制整个服务器——SQL注入。

（四）DDoS服务攻击

全名是Distribution Denial of Service（分布式拒绝服务攻击），很多DoS攻击源同时攻击某台服务器即为DDoS攻击。其攻击方式有多种，最基本的攻击是利用合理服务请求占用过多服务资源，使服务器无法处理合法用户的指令。

DDoS攻击手段是在传统DoS攻击基础上产生的一类攻击方式。单一DoS攻击通常采用一对一方式，当被攻击目标CPU速度低、内存小或网带不宽时，攻击效果明显。随着计算机与网络技术发展、计算机处理能力迅速增长、内存大大增加，致使DoS攻击难度加大。例如，攻击软件每秒钟可发送3 000个攻击包，但用户的主机与网络带宽每秒钟可处理10 000个攻击包，则DoS攻击未达目的。

于是，分布式的拒绝服务攻击手段（DDoS）应运而生，就是用更多的傀儡机发起进攻，以更大的规模进攻受害者。

高速广泛连接的网络给社会带来巨大方便的同时也为DDoS攻击创造了极为有利的条件。低速网络时代黑客占领攻击用的傀儡机时，优先考虑离目标网络距离近的机器，因为经过路由器的跳数少、效果好。而现在电信骨干节点间的连接均以G为级别，大城市间更可达到2.5G连接，这使攻击可从更远的地方或其他城市发起，攻击者的傀儡机可以分布在更大范围，选择更为灵活。遭受DDoS攻击会发生以下现象：

（1）被攻击的主机上有大量等待的TCP连接。

（2）网络中充斥大量无用的数据包，源地址为假。

（3）制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通信。

（4） 利用受害主机提供的服务或传输协议上的缺陷，反复高速发出特定的服务请求，使受害主机无法及时处理所有正常请求。

（5）严重时会造成系统死机。

（五）TCP/IP协议

TCP/IP 协议即传输控制协议/网际协议（Transmission Control Protocol / Internet Protocol），供已连接因特网的计算机进行通信的通信协议。该协议定义了电子设备（比如计算机）如何连入因特网，以及数据如何在它们之间传输的标准，也是互联网中基本通信语言或协议。在私网中被用作通信协议。当直接网络连接时，计算机应提供一个TCP/IP程序副本，此时接收所发送信息的计算机也应有一个TCP/IP程序的副本。

相对于OSI（七层协议）参考模型，TCP/IP协议的功能实现如表1.3所示。

表1.3　TCP/IP与OSI模型各层实现功能的对照表

数据链路层包括硬件接口和协议。ARP，RARP两个协议主要用来建立送到物理层的信息和接收从物理层传来的信息。

网络层中的协议主要有IP，ICMP，IGMP等，它包含了IP协议模块，是所有基于TCP/IP协议网络的核心。在网络层中，IP模块完成大部分功能。ICMP和IGMP及其他支持IP的协议帮助IP完成特定的任务，如传输差错控制信息以及主机/路由器之间的控制电文等。网络层掌管着网络中主机间的信息传输。

传输层上的主要协议是TCP和UDP。正如网络层控制着主机之间的数据传递，传输层控制那些将要进入网络层的数据。两个协议就是它管理这些数据的两种方式：TCP是一个基于连接的协议；UDP则是面向无连接服务的管理方式的协议。

应用层位于协议栈的顶端，主要任务是应用。常用的协议功能如下：

Telnet，提供远程登录（终端仿真）服务。

FTP，提供应用级的文件传输服务，即远程文件访问等服务。

SMTP，电子邮件协议。

TFTP，提供小而简单的文件传输服务，从某个角度说是对FTP的一种替换（在文件特别小并且仅有传输需求的时候）。

SNMP，简单网络管理协议。

DNS，域名解析服务，即如何将域名映射成IP地址的协议。

HTTP，超文本传输协议，依靠这个协议可在网上看到图片、动画、音频等。

二、网站的安全防范技术

由于电子商务网站完全开放的Internet网络运行，当客户在计算机系统存放、传输和处理大量支付信息、订货信息、谈判信息、商业机密文件的同时，网络黑客、入侵者、计算机病毒也遍布于网上窃取、篡改和破坏商务信息。为确保电子商务活动的健康发展和正常进行，除应加大对黑客和计算机犯罪的打击力度，还应加强电子商务网站的自身安全防护。

企业在架设电子商务网站时，应对安全措施给予高度重视。

（一）电子商务网站的安全要求

从网站内部看，网站计算机硬件、通信设备的可靠性，操作系统、网络协议、数据库系统等自身的安全漏洞，都会影响网站安全运行。从网站外部看，网络黑客、入侵者、计算机病毒也是危害电子商务网站安全的重要因素。电子商务网站的安全包括三方面要求：

（1）网站硬件的安全要求网站的计算机硬件、附属通信设备及网站传输线路稳定可靠，只有经过授权的用户才能使用和访问。

（2）网站软件的安全是指网站软件不被非法篡改、不受计算机病毒的侵害，网站数据信息不被非法复制、破坏和丢失。

（3）网站传输信息的安全是指能确定客户真实身份，确保信息在传输过程中不被他人窃取、篡改或偷看。

（二）电子商务网站的安全措施

（1）防火墙技术。这是一个由硬件设备或软件、或软硬件组合而成，在内部网与外部网之间构造的保护屏障。所有内部网和外部网之间的连接都必须经过此保护层，并由它进行检查和连接。只有被授权的通信才能通过防火墙，使内部网络与外部网络在一定意义下隔离，防止非法入侵、非法使用系统资源、执行安全管制措施。

防火墙分为两类：一是包过滤防火墙，它对数据包进行分析、选择，依据系统内事先设定的过滤逻辑确定是否允许该数据包通过；二是代理防火墙，它能将网络通信链路分为两段，使内部网与Internet不直接通信，而用代理服务器作为数据中转站，只有可信赖的数据才方可通过。

两种防火墙利弊互见：包过滤器只能结合源地址、目标地址和端口号发挥作用，若攻击者攻破包过滤防火墙，整个网络就会公开；代理防火墙比包过滤器慢，当网站访问量增大时会影响上网速度；代理防火墙在设立和维护规则时比较复杂，有时会导致错误配置和安全漏洞。

由于两种防火墙各有优缺点，故应组合使用。目前最新的防火墙产品集成了代理和包过滤技术，提供了管理数据段和实现高吞吐速度的解决方案。这些混合型设备在安全要求比吞吐速度有更高要求时，能实行代理验证服务；在需要高速时，能灵活采用包过滤规则作为保护方法。

（2）入侵检测系统。防火墙是一种隔离控制技术，一旦入侵者进入了系统，便不受任何阻挡。它不能主动检测和分析网络内外的危险行为，捕捉侵入罪证。而入侵检测系统能监视和跟踪系统、事件、安全记录和系统日志，以及网络的数据包，识别任何无益活动，更能预先检测入侵者攻击，利用报警与防护系统报警、阻断攻击。入侵检测系统采用的技术有特征检测和异常检测两种。

特征检测。假设入侵者活动用一种模式表示，特征检测的目标是检测主体活动是否符合这些模式。它能检查出原有的入侵方法，但对新的入侵方法尚无能为力。其难点是，设计出的模式既能表现“入侵”现象又不影响正常活动的问题没有解决。

异常检测。假设入侵者活动异于正常主体活动。根据该理念建立主体正常活动的“活动简档”，将当前主体活动状况与“活动简档”相比较，当违反其统计规律时，即判断该活动属“入侵”行为。异常检测的难题在于如何建立“活动简档”及如何设计统计算法，不把正常操作作为“入侵”或忽略真正“入侵”行为。

（3）网络漏洞扫描器。这是一个漏洞和风险评估工具，用于发现、发掘和报告安全隐患和可能被黑客利用的网络安全漏洞，分为内部扫描和外部扫描。

内部扫描。漏洞扫描器以root身份登录目标主机，记录系统配置的各项主要参数，将之与安全配置标准库进行比较和匹配，凡不满足者即视为漏洞。

外部扫描。通过远程检测目标主机TCP/IP不同端口的服务，记录目标给予的回答，搜集到很多目标主机信息，例如：是否能用匿名登录、是否有可写的FTP目录、是否能用TELNET等。然后与漏洞扫描系统提供的漏洞库进行匹配，满足匹配条件则视为漏洞；也可通过模拟黑客进攻手法，对目标主机系统进行攻击性的安全漏洞扫描。如果模拟攻击成功，则视为漏洞存在。

（4）防病毒系统。由于病毒在网络中存储、传播、感染的途径多、速度快、方式各异，对网站危害大，应采用全方位防病毒产品，实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略，构建全面的防病毒体系。常用防病毒技术有：

反病毒扫描。通过分析病毒代码找出能成为病毒结构线索的惟一特征。病毒扫描软件可搜索这些特征或其他能表示有某种病毒存在的代码段。

完整性检查。通过识别文件与系统的改变发现病毒。但完整性检查程序只有当病毒正发作时才起作用，而网站可能在完整性检查程序开始前已感染病毒，从而避开检查。

行为封锁。行为封锁可防止病毒破坏。这种技术可在病毒发作时阻止它。一旦反常情况发生，行为封锁软件即会检测出并警告用户。

（5）启用安全认证系统。企业电子商务网站除须保持网站本身硬件与软件安全，还包括保持传输信息安全，使这些重要信息在传输过程中免遭他人窃取、偷看或修改。安全认证系统的作用是，对重要信息采用密码技术加密，接收方收到密文后再行解密、还原。目前电子商务中普遍采用SSL安全协议。该协议主要提供以下服务：

其一，认证用户和服务器，使它们能确信数据将被发送到正确的客户机和服务器上。

其二，加密数据以隐藏被传送数据。

其三，维护数据完整性，确保数据在传输过程中不被改变。

企业电子商务网站的设计人员需在认真进行安全分析、风险评估、商业需求分析和网站运行效率分析的基础上，制定整体安全解决方案。主要把握：为保证整体安全解决方案的效率，各安全产品间应实现联动机制。当漏洞扫描器发觉安全问题，即通知系统管理员，及时采取补漏措施；当入侵检测系统检测到攻击行为时，即利用防火墙实时阻断；当防病毒系统发现新病毒时，亦能及时更新入侵检测系统的病毒攻击库，提高入侵检测系统检测效率。由于安全产品和服务器、安全产品与安全产品之间都需进行必要的数据通信，为保证通信的保密性和完整性，可采用安全认证手段。只有各种安全产品实现联动，网络安全才有保障。

三、网站被入侵的原因

为什么这么多网站深受其害？网站安全问题原因何在？目前网站安全的威胁主要有：

（1） 服务器系统漏洞。利用服务器系统漏洞是网站遭受攻击的常见方式。网站基于计算机网络，而计算机运行少不了操作系统。操作系统漏洞会直接影响网站安全，一个小小的系统漏洞可致系统瘫痪，比如缓冲区溢出漏洞、IIS漏洞、第三方软件漏洞等。

（2） 网站程序设计缺陷。网站设计重在关注业务功能、正常情况下满足用户应用及实现业务需求，很少考虑网站应用开发过程中存在的漏洞。大多数网站设计开发者、网站维护人员对网站攻防技术了解甚少；正常使用过程中，即便存在安全漏洞，使用者也难以察觉。

网站源程序代码的安全也对整个网站安全举足轻重。若代码漏洞危害严重，攻击者极易获得系统最高权限，掌控整个网站。因代码编写不严谨引发的漏洞很多，其攻击方法示意图包括：① 注入漏洞攻击；② 上传漏洞攻击；③ CGI漏洞攻击；④ XSS攻击；⑤ 构造入侵；⑥ 社会工程学；⑦ 管理疏忽。（如图1.2所示）

图1.2　最流行攻击方法示意图

（3） 安全意识薄弱。即使安装了防火墙、IDS、IPS、防毒墙等基于网络的安全产品后，通过SSL加密，网络、服务器、网站依然存在安全问题。因为，基于应用层的攻击如SQL注入、跨站脚本、构造入侵等特征不惟一的网站攻击，就会通过80端口进行，且攻击者通过GET、POST等正常方式提交，达到攻击效果。而基于特征匹配技术防御攻击，又不能精确阻断攻击，防火墙无法拦截。SSL加密，仅为网站发送和接受的信息经过加密处理，无法保障存储在网站的信息安全。管理人员安全意识不足、默认配置不当、使用弱口令密码等行为也会引发风险。

防火墙等安全产品是可以拦截基于网络的攻击（如DDoS、端口扫描等），限制不必对外开放的端口，方便集中管理、分划网络拓扑。

四、网站被黑客攻击如何处理

网站一旦遭受攻击，可参考以下提示操作：

（1） 确认被攻击范围。网站被篡改，可能是网站权限即Webshell被攻击，也可能是攻击者通过Webshell提权获取到服务器权限，甚至已经渗透到内网。故应通过日志等迹象判断、确认被攻击范围。

（2） 备份日志。即IIS、apache、FTP、Windows/Linux/Unix等日志。若部分日志已被黑客清除，可通过日志恢复等方法，尽量找到更多日志。如损失较大，应即刻报警。办案人员通过日志寻找入侵者行踪，找到黑客攻击方法，寻找漏洞所在。

（3） 清除后门程序。黑客为长期占据系统，会安装各种后门程序如asp、aspx、php、jsp、cgi、py等脚本木马；若黑客已获取服务器权限，就应检查基于系统的后门如Rootkit、反弹远程控制木马，检查黑客是否替换程序、克隆管理员账号等。

（4） 修复漏洞。清除后门后还须找到漏洞所在，从根本上解决安全问题。这个过程涉及开发，故难度最大，需经验丰富的安全人员解决。

（5） 更改原有配置。修复漏洞后，需更改以前的配置文件，如网站后台密码、数据库连接密码；如果是ACCESS、ASA等格式数据库还需变更路径或文件名，以防止黑客通过以前记录信息再次入侵，同时更改Administrator、Root等管理员密码。

五、网站防范黑客攻击的措施

（1） 渗透性测试。这是指安全人员经授权模拟黑客攻击，寻找网络、服务器、网站的脆弱点和漏洞，并给予相应的安全解决方案。企业如有条件可聘请安全人员进行渗透性测试，或聘请专业安全人员维护。

（2） 加强安全意识。在利用层层安全设备保护网站、网站源码通过专业安全审计的同时，切记强化安全意识，严格设计并保管好网站后台密码与FTP口令。

任务总结

本任务以大量案例说明在网络世界，黑客可通过网站漏洞控制网站权限，进而在Webshell中提权并获取服务器权限，甚或以该服务器为跳板，通过溢出、嗅探、暴力破解、社会工程学等手段控制整个内部网络，遍历网络资源，导致泄密、核心数据破坏等安全事件不断发生。通过学习，学生应对此有所了解，从而强化网络安全意识。

任务评价

一、评价方法

本任务采用学生自我评价、小组评价和教师评价的方法，对学习目标进行检验。学生本人首先对自己的调研情况进行自查，找出成绩分析不足；小组根据每位同学所做的工作和对调查报告结论的贡献给出综合评价；最后教师针对每个小组的调研报告结合每一位同学给出评价结论，指出改进和努力的方向。

二、评价指标