網站安全檢測報告
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網站安全檢測報告范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網站安全檢測報告范文第1篇
一、聊天窗口中查看對方輸入狀態
MSN在很老的版本就具有在聊天窗口顯示好友輸入狀態的功能,這個功能可以讓你知曉對方是否正在輸入文字、發送信息。那么在QQ中如何實現這個功能呢?
在QQ2006正式版中增加了這個功能,在會話窗口內能顯示對方的輸入狀態,但是默認設置下,該功能是處于關閉狀態的,要開啟該功能,只需要打開QQ的“個人設置”,然后點擊“狀態顯示”項,這里勾選“顯示我的輸入狀態”選項即可啟用。圖1
啟用后,與好友聊天時,聊天窗口中將顯示對方“正在輸入”,并且在頭像處有一個小的寫字板,表示正在輸入。圖2
二、在線查殺盜號木馬
如今,各種盜號軟件多如牛毛,QQ號被盜的人數越來越多,為了確保QQ使用安全,騰訊建立了QQ安全中心,增加了在線查殺盜號木馬的功能,不借助其它殺毒軟件,我們就能初步檢測系統中是否有盜號軟件,具體操作如下:
在QQ2006正式版中,依次點擊“QQ菜單”“安全中心”“在線查殺木馬”,我們就直接打開“QQ醫生在線版”進行安全檢測,QQ在線安全檢查是針對當前QQ賬號被盜問題提供的免費在線安全檢查服務。該服務將能有效地掃描及清除盜取QQ密碼的木馬病毒。圖3
點擊“開始”,接下來需要下載“騰訊在線安全檢查控件”,安裝完畢之后,我們就可以檢查木馬了。接下來點擊“開始檢查”即可對當前系統進行檢測。掃描完畢后,會給出檢測報告,不但可以檢測是否有盜號木馬程序,還可以檢測并修復系統漏洞,檢測到系統漏洞后 ,只需要勾選相應漏洞,然后點擊“修復”即可安裝漏洞補丁。
三、強制軟鍵盤密碼輸入保護
從QQ2005 Beta3開始,QQ采用了國際先進的nProtect鍵盤加密保護技術,啟動QQ后,在QQ登錄的密碼框右側出現一把安全鎖,當敲擊鍵盤輸入密碼時,鍵盤加密保護系統會自動對鍵盤信息進行實時的加密。盡管如此,隨著盜號者手段的不斷升級,個別木馬病毒已經能夠破壞nProtect技術,致使QQ密碼輸入失去保護。當被破壞時,QQ安全鎖上將會出現一個“紅叉”,這時應當檢測系統中的木馬。但是如果你有緊急事情需要強行登錄,那么騰訊采用強制的臨時的軟鍵盤輸入方式,從而保障密碼輸入的安全性。圖4
提示:如果發生被破壞的情況,那么密碼中的前三個字符必須用軟鍵盤輸入,同時這里列出了所有計算機鍵盤上面的字符,使用Shift鍵可以在數字字符間切換,使用Caps Lock鍵可以在大小字母間切換,使用方法與計算機鍵盤操作類似。
四、舉報惡意網站
我們通常在QQ中直接給對方發網站鏈接,事實上,別人發來的鏈接有可能有不健康網站、有病毒網站和釣魚網站等,那么如何來解決這個問題呢?QQ采用了對鏈接傳播的保護和限制策略,用戶收到鏈接信息時,可以點擊“打開網址”來直接打開,如果懷疑接收到的鏈接是惡意網址,為避免該鏈接的繼續傳播,可以選擇“舉報”,從而最大程度地避免惡意網站。圖5圖6
此外,在菜單選項中的“安全中心”中,我們可以看到增加了“舉報惡意行為”一項,點擊打開后,會進入安全中心的相應界面,這里可以舉報惡意QQ賬號和舉報惡意網址。如果你發現惡意的QQ號,或者具有惡意代碼的網站,或者不健康的網站,都可以通過這里舉報,具體操作也比較簡單,這里不再具體介紹了。圖7
QQ好友分組是對全體用戶開放的一項功能,方便用戶管理自己的QQ好友。QQ好友分組上傳和下載是與之相關的貼心功能,這樣就算你用一臺新機器上QQ,QQ好友也能按設好的分組顯示。
上傳和下載QQ好友分組非常簡單,在好友面板的空白處單擊鼠標右鍵,然后在菜單上點擊上傳和下載就可以了。
但是需要注意的是,好友分組上傳后是覆蓋了服務器上原有的好友分組的,請確定你的操作符合你的意愿再進行上傳操作。
少數用戶由于重新安裝QQ后不能及時和服務器同步,導致分組沒有及時下載下來,請選擇下載好友分組,千萬不要進行上傳操作,這樣會導致你的分組被覆蓋。
使用QQ的過程中,你是不是經常受到一些垃圾信息的騷擾呢?進行簡單設置,你的QQ世界將變得清凈。
首先,如圖所示,在菜單設置個人設置的身份驗證和個人狀態下,有“防打擾”和“身份驗證”兩個項目,對照圖片中的樣子進行設置。因為某些惡意軟件是通過隨機尋找在線用戶來發送垃圾信息的。這樣的選擇可以把你排除在在線名單之外。
網站安全檢測報告范文第2篇
關鍵字:自動化、激烈、趨勢、先進、水平
中圖分類號:C29 文獻標識碼:A
特種設備是指涉及生命安全、危險性較大的鍋爐、壓力容器(含氣瓶,下同)、壓力管道、電梯、起重機械、客運索道、大型游樂設施和場(廠)內專用機動車輛。其中鍋爐、壓力容器(含氣瓶)、壓力管道為承壓類特種設備;電梯、起重機械、客運索道、大型游樂設施為機電類特種設備。為保障特種設備的安全運行,國家對各類特種設備,從生產、使用、檢驗檢測三個環節都有嚴格規定,實行的是全過程的監督。
據《2013-2017年中國特種設備檢驗檢測行業市場前瞻與投資戰略規劃分析報告》統計,截至2011年底,全國特種設備生產廠家已經達到545家,包括質檢部門所屬檢驗機構、行業檢驗機構及企業自檢機構,另外還有型式試驗機構、無損檢測機構、氣瓶檢驗機構等。但是,我國特種設備在科技信息化建設以及應用方面仍存在較多問題。如:特種設備計算機處理技術應用不全面,抗風險能力弱;基礎設施亟待改善,技術裝備不足,計算機普及較低,高新檢測裝備與技術匱乏;儀器設備綜合開發人員結構不合理,缺乏高素質管理與技術人才;信息化技術服務部門尚未真正建立起自我約束、激勵、發展機制等。因此,我國需進一步積極穩妥地推進特種設備的自動化管理水平,走提高技術、強化管理的道路。另外,隨著國家技術的進步以及資金的大力扶持,近年來越來越多的特種設備已經應用了計算機集成管理領域,致使競爭日趨激烈了。
隨著近些年對特種設備需求數量以及質量的要求不斷提高,我過特種設備科研人員發揮自身聰明智慧,研制出了一些信息化高、服務質量好的設備,安全信息化技術以及廣泛應用在了特種設備上面,信息化技術集成了計算機應用技術、現代網絡應用技術以及后期信息處理技術,特種設備信息化技術的應用,提高了動態監察性能以及快速檢測能力,便于特種設備檢測人員的動態監管,還做到了信息的共享。
一、特種設備安全監檢信息化現狀及發展目標
近幾年,國家安全監察部門為了更好的加強特種設備的管理,相關部門已經加大了信息化的監測力度,并為此建立了較為完整和成熟的國家基礎數據信息庫,實現了行政許可網上審批,建立了特種設備子網站,加大了政務信息公開的力度,各省級質量技術監督部門建立了特種設備省級基礎數據庫,基本實現了特種設備使用環節的動態監管,全面應用了特種設備安全監察管理系統軟件,提高了監察工作的有效性,特種設備信息化建設工作取得了明顯成就。但是,特種設備的信息化水平與當前信息化技術發展現狀和安全監察工作的實際需求相比仍有一定的差距,信息標準化工作、行業公共軟件開發、信息資源的真實性、完整性及持續維護機制尚未建立;經費渠道以及持續投入不足等問題依然未得到解決。這些因素已經嚴重影響了特種設備信息化發展的速度。
特種設備信息化建設的目的是為了加強全過程動態管理,實現特種設備相關單位和人員信息化監督管理水平,建立起較為完善的設備、單位、人員、共享和協同合作,努力構建系統的自動化、應用以及維護的全面化,技術傳遞與分享信息,做到資源共享,共同提高的目的。
二、特種設備安全監檢面臨的問題
隨著信息化建設的發展,我國在特種設備信息化方面也加大了重視力度,已經開發出了多種軟件,功能也是很強大。但是鑒于目前我國經濟發展現狀以及產業模式,這些信息管理軟件還存在著一些問題:
1、信息綜合換管理水平不高,涵蓋范圍比較窄。由于多種特種設備工作環境比較特殊,現場數據采集往往需要人工實地采集,然后再整理監測報告。以前的特種設備安全檢測信息系統只是側重于單一算法,功能比較簡單,還不能達到一機多能的狀態。
2、網絡化公共信息平臺建設與社會、檢驗機構之間信息互動、交流交換機制不健全。數據監測人員實地讀取數據,然后再回去把信息返給同行,同行對數據進行分析,如若發現數據不對,會安全監測人員重復實地讀數過程,這樣就浪費大量的人力以及時間。
3、信息化管理系統設計水平有待提高。由于多數特種設備安全監測人員對電腦不太熟悉,另外一些安全監測系統是由一些安全監測專家研發的,所以這樣的軟件在信息集成化方面不高,系統架構不科學,降低了軟件系統的靈活性以及快捷性、準確性。
三、特種設備領域信息系統自動化的應用分析
(一)四層架構模式的應用分析
根據特種設備應用現狀,系統架構不科學嚴重影響到了系統的使用效果,一種先進的系統架構模式-四層架構,能進一步提高信息化管理系統設計水平。四層架構分為界面層(UI)、業務功能層(BFL)、業務對象層(BOL)以及數據訪問層(DAO),在三層架構基礎上,業務邏輯層分成了業務功能層以及訪問層。
1、數據訪問層
數據訪問層是輸入數據庫里面的信息,系統可以提供一些數據訪問類,這樣的數據訪問類封裝了表以及視圖的增減、修改以及查詢功能。
2、業務對象層
業務對象層在具有一些界面層的功能的同時,也定義了一組業務對象類,封裝了整個系統界面應具備的模式,這樣特種設備監測人員就可以調用數據訪問層的數據,同時也可以通過數據的輸入豐富數據庫的容量。為便于系統使用,設計者將同一類數據放在同一個命名的空間內,比如公司、項目、機組、設備放在Enterprise空間內。
3、業務功能層
由于特種設備品種比較多,不同的特種設備要求不同的監測方式,為方便記憶以及監測,設計人員根據不同用戶界面需求,把業務對象層的類的各種方法按照不同的角色功能封裝到業務功能層的各角色功能的類里面,這樣就形成了業務功能層。
4、界面層
界面層可以通過數據輸入和輸出,達到人機交流的目的。
目前在系統架構形式上面分析,四層架構相對于三層架構具有顯著的優勢。在面向對象的封裝、繼承思想上,業務邏輯層利用了業務功能層。只有掌握了業務對象層的類和方法,界面編程人員才能調用業務對象層的類方法實現界面層的功能。為了界面層具有更好的延展性,界面層的編程人員一般只會編寫部分用戶角色功能相重合,但這部分功能不完整,不是針對于所有對象的界面。不同用戶的業務對象層功能不同,這樣界面編程人員可以針對于不同的客戶群有不同的編程。這樣可以避免編程人員對整個系統繁雜的業務對象層了解的需求,減小了編程勞動強度。
(二)基于IE的office在線編輯技術
特種設備安全性能檢測系統需求分析的任務是確定待開發的軟件按需要什么以及能為我們提供什么,其需求分析的任務包含確定系統需要實現什么哪些功能,這可以由客戶提出。為了實現功能快捷化,我們期待辦公軟件可以在網絡模式下直接操作。特種設備的安全監測報告可以通過網絡提交,在瀏覽器中查閱“word”格式的安全監測報告,發現不合格的地方可以在瀏覽器上面直接編輯更改并能夠保存在服務器里面。但是常用的一些瀏覽器不能支持這樣的操作,由于客戶想瀏覽某web網頁在瀏覽器的URL然后把運行結果以html的形式提交到申請機器的瀏覽器上面顯示,客戶就可以看見要瀏覽的網頁了。基于IE的office在線編輯技術,利用到了第三方空間-SOAOFFICE文檔控件,這樣就可以實現特種設備安裝監測信息管理的網上辦公。
SOAOFFICE文檔控件是一款瀏覽器插件,它可以使一些excel以及word文檔直接在瀏覽器界面上直接操作并且存儲,提高了工作效率,徹底解決了電子文檔無法在線編輯的問題。在對特種設備監測信息管理系統的工作流程以及用例進行分析后,可以使項目中瀏覽器分為“設備項目管理”、“設備檢測安排”,“審核檢測報告”、“匯總檢測報告”等界面,這樣就更加直觀和便捷,減少了操作環節計算機軟件系統在特種設備檢測方面提供了很多的便利,計算機應用技術在別的領域也創造了不可磨滅的貢獻,相信隨著科研人員的刻苦鉆研,更多的設備將會采用計算機智能擦控,這樣便會提升我國的生產制造技術水平,為企業升級以及經濟轉變產生較大的影響。
參考文獻:
【1】丁守寶,劉富君我國特種設備檢測技術的現狀與展望【J】中國計量學院學報,2004,12
【2】陸勤寶鋼特種設備計算機管理系統的研究與應用【J】工業安全與環保,2005,02
網站安全檢測報告范文第3篇
關鍵詞:信息安全;信息化建設;校園網
近十年來,我國的高校信息化建設步入了飛速發展階段,各類學校官網建設、教學資源的共享、教務系統的應用、校園一卡通等信息系統的建設,成了高校信息化的展示平臺和重點,信息系統在學校教務工作中占據了非常重要的地位.原本的大學信息化平臺只能提供普通的通知公告、學校形象展示等功能,隨著信息技術的發展,如今的大學信息化平臺發生了很大變化,匯集了學校網站宣傳、微信、微博賬號、師生互動溝通、教學教務系統、選課評教系統、教學資源共享等功能.這些系統和信息已經成為高校重要的業務展示和應用平臺.其中涉及的信息安全方面的問題日趨值得我們重視.
1高校信息安全現狀
一般的高校信息化建設主要經過以下幾個階段:網絡基礎設施建設、舊應用系統整合、新應用系統開發等.[1]在高校信息化建設發展的同時,整體安全狀況卻不容樂觀.高校網絡應用日趨增加,網絡系統越來越龐大,對外要能夠抵御各種黑客攻擊,負載均衡等問題,對內要解決規范網絡資源使用.信息化安全是當前高校信息業務應用發展需要關注的核心和重點,而高校信息安全需要解決以下安全內容:1)操作系統安全.2)網絡信息通信安全.3)網絡系統信息內容安全.中國高校網站安全情況極差,根據國內信息安全公司的報告,在2012年5月,國內截獲了61萬個遭黑客網頁掛馬的網址,其中教育教學類的網址就有18萬個以上.此外,根據《2013年中國高校網站安全檢測報告》,高校網站的安全性在全國各類網址中,體檢分數排名僅僅比倒數第一名多2分(見圖1).值得注意的是,各大學校的科研、教務網站上保存有大量的敏感數據和學生信息,如不加以重視安全保護,極易受到黑客的攻擊和竊取,由此引發的高校網站被篡改、被掛馬的安全事件頻繁出現,最終給高校帶來嚴重的形象及經濟損失.另外,高校網站在百度、搜狗等搜索引擎中是熱門關鍵詞,由于其安全性薄弱及多方面的利益驅使,是黑客攻擊并傳播病毒的優先選擇目標.信息安全隱患已經成為高校信息化建設過程中無法回避的問題,其嚴重威脅著高校信息化的推廣和使用,[2]威脅著公共安全的多個方面.
2高校信息安全面臨的挑戰
當前,各大高校都在加大信息化平臺的投入,對官網、教務管理系統進行建設,讓各類教學資源聯網共享,優化校內網絡資源等,這些高校信息化的建設是各大高校適應當前形勢發展需求而開展的,每個學校都有自己的實際情況和需求,業務開展初期沒有一個宏觀的規劃架構,各個系統之間互不連通,數據不能同步共享、更新,這些系統的功能特性、安全需求和等級、服務的群體、所面臨的風險各不相同.高校信息安全面臨的挑戰,主要有以下幾點:1)高校官網易受到攻擊:高校官網是學校重要對外交流窗口,瀏覽訪問量巨大,又因為高校網站多為各高校自主搭建,缺乏足夠的安全防范技術與措施,所以較容易引起網絡黑客的攻擊興趣,黑客利用網頁掛馬,分布式拒絕服務攻擊等方式對學校官網進行攻擊,輕則造成網站響應速度變慢,重則導致訪問者中毒,或者學校網站無法訪問等嚴重后果.圖2和圖3分別列出了中國高校網站安全漏洞分布情況和黑客攻擊高校網站技術手段分布情況.圖2中國高校網站安全漏洞分布情況Fig.2DistributionofsecurityvulnerabilitiesinChinesecolleges圖3黑客攻擊高校網站技術手段分布情況Fig.3Hackers'attackmethoddistribution2)高校敏感數據被入侵、篡改.高校信息中心的業務數據,包括“校園一卡通”、教務管理系統、圖書館借閱系統、精品課程資源庫等,由于保存有大量學生身份證、聯系電話、成績、銀行卡號、住址、學生飯卡資金等敏感信息,也成為網絡黑手攻擊的對象,黑客入侵修改學生成績、學歷,甚至修改畢業證信息等信息安全事件屢見不鮮.3)校園網的內部威脅.高校內部用戶上網帶來的威脅,包括機房、宿舍、辦公樓用戶等.由于信息技術發展速度較快,高校在信息安全教育方面沒有跟上技術發展的步伐,導致校園上網用戶對信息安全重視程度不夠,缺乏信息安全保護能力和意識,通過學校局域網或者機房感染計算機病毒的概率很高,使得各種計算機病毒在校園內迅速傳播,給學校內網帶來安全威脅.另外,有些學生對黑客盲目崇拜,在校內嘗試黑客攻擊技術,也造成了一些信息安全事故.4)技術人員方面的短缺.很多高校信息管理人員缺乏成熟的管理經驗,整體素質比較低,加上管理和制度上的欠缺,使得高校信息系統在運行過程中遇到入侵的概率大大增加.5)需要加大資金投入.越來越多的高校已經認識到校園信息化建設的重要性.但是,由于信息化建設的硬件投入需要較大資金,而很多高校存在資金缺口,導致安全設備硬件的缺乏,進而成為整個安全建設的短板.另外,信息化服務、信息化應用、人員培訓等方面也需要大量資金,這些問題不解決,將使得高校的信息化建設失去動力支持.
3解決方案
對于高校校園網的安全建設而言,主要考慮以下幾個方面:1)對整個高校的信息安全進行統一規劃,建立并實施體系化的信息保障標準,實現學校門戶部門公共服務網站教學資源等各類型網站的整合,簡化技術維護難度,確保網站的建設質量和安全防護能力.2)全方位的進行建設,在基礎層建設方面、網絡層建設方面、系統集成方面、管理應用方面,多角度多層面的設計和建設安全需求.3)對涉及敏感數據的區域進行重點保護,劃分重點區域,有利于集中管理.4)針對學校的業務需求,引入先進的安全硬件軟件等產品,緊跟安全領域的步伐.5)定期進行校園網絡體系化建設咨詢,風險評估,攻擊測試等活動,不斷提高安全防護能力.6)信息安全建設過程中要嚴格遵守國家等級保護要求,結合等級化的方法來設計.7)高校信息化建設與人員的素質息息相關,在加強信息化管理的過程中,需要對校園中使用網絡的人員進行安全教育和培訓,提高人員的安全意識,[3]形成人人關心信息安全工作,事事重視信息安全保護的工作氛圍.
4具體安全措施框架
根據高校自身系統的特點,結合等級保護相關技術要求和標準規范,筆者提出了以下解決方案(見圖4).該方案的安全措施框架是依據“防范優先,全面防御”的方針,以及“制度與技術結合”的原則,并結合等級保護基本要求進行設計,主要包括技術體系,管理體系以及安全監控體系三大方面,在核心應用系統方面使用入侵檢測系統、軟硬件防火墻、殺毒軟件定期查殺等常用信息防范措施,保障網絡業務在具有一定的安全防護能力下的正常開展.
4.1技術體系
4.1.1架構規劃
劃分重點保護區域、訪問控制、防DDOS攻擊,針對重點保護區域使用防火墻進行隔離,配置規范的訪問控制權限和策略,交叉使用多家安全廠商的產品,構建嚴密、專業的網絡安全保障體系.
4.1.2應用層面
對校內各Web應用進行入侵檢測,及時修補漏洞,利用防火墻對SQL注入、跨站腳本等通過應用層的入侵動作實時阻斷,并結合網頁防篡改子系統,真正達到“網頁防篡改”效果.
4.1.3數據層面
將校內重要的數據放置在重點保護區域,提升數據庫自身的安全指數與配置,對數據庫的訪問權限進行嚴格設定,最大限度地保證數據庫安全.同時,利用SAN、異地數據備份系統有效保護重要信息數據的健康度.
4.2管理體系
任何安全設施和安全產品都需要專業管理人員的審核、跟蹤和維護,在安全管理體系的設計中,引入安全經驗豐富和對等級保護管理要求理解清晰的專業公司,為高校量身定做符合實際的、可操作的安全管理體系.
4.3安全監控體系
4.3.1風險評估
評估和分析在網絡上存在的安全技術,分析業務運作和管理方面存在的安全缺陷,調查系統現有的安全控制措施,評價當前高校的業務安全風險承擔能力;聘請資深的安全專家對各種安全事件的日志、記錄實時監控與分析,發現各種潛在的危險,并提供及時的修補和防御措施建議.
4.3.2滲透測試
利用網絡安全掃描器、專用安全測試工具和專業的安全工程師的人工經驗對網絡中的核心服務器及重要的網絡設備進行非破壞性質的模擬黑客攻擊,提高防范意識與技術.
4.3.3應急響應
針對信息系統危機狀況的緊急響應設有預案,當信息系統發生意外的突發安全事件時,可以提供緊急的救援措施.通過以上方案的實施,學校業務系統得到安全保障,高校科研、教務、學籍等重要數據免受黑客入侵威脅.高校官網抗攻擊性得到加強,在遭受一般的網絡攻擊下能持續提供網絡服務,并檢測攻擊出處.規范校內用戶的上網行為,提高校內用戶的整體信息安全意識,提高了網絡利用率,減少了內部的網絡攻擊.另外能逐步完善安全制度并提升管理人員素質.因此該系統的建設能夠滿足當前高校網絡系統的要求.
5結語
當前高校網絡系統是一個不斷發展壯大的多功能復雜系統,在提供日常的教務管理、學校宣傳的同時,也面臨著越來越復雜的信息安全威脅,網絡技術不斷發展的同時,現有的系統自身的漏洞與弱點也會不斷被發現,信息安全風險日益突出,成為當前高職院校中信息化建設過程中必須面對與亟待解決的問題.信息化建設和發展對于高校未來的教育工作有著非常重要的現實意義,因此,需要加大資金投入,保證校園向著信息化方向發展,[4]以信息安全為出發點,將系統從項目立項開始就納入管理范疇,從而實現對高校信息系統的有效管理.[5]在高校信息化建設中實施信息安全保護建設工作有利于提高全校的信息系統安全建設水平,能不斷的同步建設各種信息安全設施,讓信息化建設與信息安全同步發展,能提供全面的并有針對性的信息系統安全建設,降低網絡系統建設成本,有利于優化信息安全資源配置,保護信息系統分類,確保高校信息平臺的安全運行.
作者:聶晶 單位:南寧職業技術學院
[參考文獻]
[1]于莉潔,王松盛,唐麗華,等.高校信息化建設中的信息安全問題研究[J].信息安全與技術,2016(3).
[2]趙歡,陳熙.高校信息安全體系的研究與實現[J].中國教育信息化,2013(13).
[3]譚博.高校信息化建設進程中信息安全問題成因及對策探析[J].信息與電腦:理論版,2016(11).
網站安全檢測報告范文第4篇
關鍵詞:攻擊;僵尸;網絡
中圖分類號:TP311 文獻標識碼:a DoI: 10.3969/j.issn.1003-6970.2012.02.016
Thoughts on the security defense against the network attack from one college waNG Qi(Network Information Center,Jiangsu Animal Husbandry&Veterinary College,Taizhou 225300 China)
【Abstract】In recent years, the Internet attacks increase in various ways, and their technical innovation is far more rapid developed
than that of the network defense technology. The kinds of Botnet attack data flow bring the network management greater challenges and higher demand. In this paper, we take a targeted attack for a university network for example, record the whole attack process, summarize its attacking principle, present the corresponding measures taken by colleges, and finally we concluded the attacking trend, therefore, we put forward some improvement countermeasures from the stand of user and operators to provide a more stable and high-quality network services.
【Key words】attack; botnet; network
0 引 言
僵尸網絡和DDOS攻擊是近年來黑客廣泛利用的攻擊跳板與手段,它們無意識的受控于網絡攻擊者,向指定目標發送大量的DOS數據包,不僅嚴重影響被攻擊者對互聯網的訪問與對外服務,還會嚴重沖擊互聯網絡提供商(ISP)網絡的正常運行。本文通過對對去年發生于江蘇某高校教育網線路的網絡攻擊事件進行分析,總結出當前網絡攻擊的新趨勢,并有針對性地從運行商、用戶角度提出應對思路,保證互聯網的安全。
1 攻擊事件背景
眾所周知,教育網以其獨特的edu域名而為高校所推崇,作為一個公益性質的實驗研究網絡,它扮演著國內幾乎所有高校的網站信息等各類對外應用服務網絡支持者的角色,是高校對外一個重要窗口。高校作為一個非商業盈利性單位,理論上應該不存在商業競爭為目的的惡意攻擊,但本次攻擊時間之長(14天)、攻擊手段變化之頻繁為20年內江蘇省高校界中很罕見的一次記錄。
2 攻擊過程
2011年6月,江蘇省某高校教育網線路遭受網絡攻擊,造成edu域名的web服務器、郵件服務器、DNS服務器等所有對外應用無法使用。
在6月1日開始,學院網絡中心發現系部服務器長時間無響應,因為所有二級院系網站新聞功能及軟件代碼部署都在該服務器上,所以求助電話很快就反饋過來。
2.1 TCP SYN泛洪攻擊
6月1日下午經過抓包分析,服務器受到攻擊,攻擊流量來自教育網線路。攻擊數據采用TCP SYN泛洪沖擊服務器,服務器CPU資源迅速被消耗完畢,進入死機狀態,所以無法響應正常訪問數據請求。技術人員在咨詢防火墻廠商后,調整了防火墻處理TCP SYN請求的模式,將TCP SYN網關模式調整為TCP SYN模式中繼模式。防火墻收到SYN請求包后,不向服務器轉發該請求,而是主動向請求方發送SYN/ACK包,在收到請求方的ACK確認包并判斷為正常訪問后,才將SYN請求包發送給服務器,完成會話建立。調整后可以基本過濾不可用的惡意連接發往服務器,同時服務器CPU內存高利用率的狀況得到緩解。
2.2 海量訪問攻擊
6月2日上午,攻擊者采用了海量訪問方式,在防火墻連接數監控中發現訪問源IP地址數呈現幾何級數增長。雖然每個IP都與服務器完成正常的三次握手協議,但同時遞交了相當多的無用查詢請求,查詢目標為一些并不存在的數據條目或者頁面。海量的訪問又造成了服務器CPU資源耗盡,無法提供對外服務,攻擊包抓包解析如圖1。
圖1 攻擊包解析
針對這種情況,技術人員采取防御策略是更換服務器硬件,將服務器代碼從臺式機遷移至刀片服務器陣列中,這樣使服務器的CPU與內存資源都得到了一定程度的提升。同時,還更改了新服務器IP地址,相應在DNS服務器中更換了域名記錄。但數小時后,攻擊立刻轉向至新更換的IP地址上,仍然造成了服務器失效宕機。當時邀請了天融信、山石網科防火墻廠商在現場協助解決,用不同的防火墻輪流切換使用,并在防火墻上額外加載了IPS入侵防御功能模塊,設置訪問控制粒度,設定了相對嚴格的IP訪問閥值。最后使用山石網科的M3150識別遏制該種攻擊效果較好,能降低服務器部分負載。山石防火墻的粒度控制和安全防護設置界面如圖2和3。
2.3 分布式泛洪攻擊
2011年6月4日,經過抓包分析,攻擊數據轉換為TCP 、UDP隨機端口方式,也就是分布式拒絕服務攻擊,并且把攻擊目標擴展到了國示范專題網站及校園門戶網站,但不以沖垮服務器為目的。這是一個很致命的問題,雖然防火墻的安全策略拒絕攻擊包涌入內網,但攻擊包堵塞了防火墻上游的數據帶寬。教育網在6月7日,6月8日分別將學院的線路帶寬從10Mbit/s緊急升級到35Mbit/s和100Mbit/s,但攻擊流量水漲船高。技術人員通過外網交換機統計端口查看瞬時數據后發現,在短短幾分鐘之內,帶寬就消耗殆盡。教育網清華維護中心在與學院溝通后暫時設置了路由黑洞,將210.29.233.0全網段屏蔽。雖然學院的線路帶寬利用率立即下降到正常值,但該網段的所有服務應用全部無法被外網訪問了,反而達到了駭客攻擊的目的。期間曾經嘗試部署金盾防御DDOS硬件設備在學院出口處防火墻設備前端,但效果不明顯。在溝通后,廠方工程師也認為該類型設備應部署在教育網的江蘇高校總出口處才能起到防御效果。同時教育網東南大學地網中心配置了一臺小型號的流量清洗設備來過濾學院的數據流,但因為地網中心至北京的互聯帶寬有限,為了防止骨干通道被攻擊數據堵塞,所以不能無限制放寬流量來支援受害院校,所以這樣部署后的效果是僅能維持江蘇教育網內用戶訪問受害學院,效果不理想。分布式拒絕服務攻擊數據包解析如圖4。
圖4 分布式DDOS攻擊包
2.4 查找攻擊源
當時學院按照流程報警,警方力量接入,并與教育網方面開會討論,布置任務,根據收集到的抓包文件,確認了一個真實攻擊僵尸IP地址是鎮江某IDC機房的一臺服務器,其他的IP地址歸屬地則是世界各地,可以確認為偽造或無法完成追蹤。當天警方到IDC機房將該服務器下線,并將硬盤數據進行備份,分析硬盤中的入侵痕跡順藤摸瓜尋找上游控制端,但未能發現進一步證據來查詢到上游控制端。
2.5 SYN-ACK反射攻擊
2011年6月10日下午,經過抓包解析,分布式拒絕服務攻擊數據消失了。但網絡中出現大量的SYN-ACK數據包,經過詳細研究查閱了部分資料后了解到,這是一種間接的反射攻擊。受控于上游控制端的大量僵尸機器向各類合法在線用戶 發送偽造的以學院IP地址為源地址的SYN請求包,合法用戶或服務器誤認為該數據由學院的IP地址發出請求訪問,根據三次握手原理于是便回復SYN-ACK包來響應請求,間接成了被利用的反射節點,反射攻擊的原理如圖5。一旦反射節點數量足夠多,同樣能消耗盡受害者的網絡帶寬。所幸這種攻擊的數據量已經不如先前的規模,未造成帶寬耗盡的情況。
圖5 反射攻擊示意圖
2.6 攻擊停止
2011年6月14日之后,針對教育網線路的網絡攻擊完全停止。在攻擊后的各方交流中,大家普遍對此次攻擊的目的性表示疑惑,因為未曾有相應的經濟或政治勒索,所以東南大學的龔教授認為此次攻擊是初級網絡駭客利用受控的僵尸網絡可能性較大。
3 防御方的經驗和體會
通過本次事件,作為受害方的學院技術人員,經過反思,也從中總結出一些受害方和運營商方面的可以借鑒的經驗教訓。
在用戶方面:
學院方面沒有使用智能DNS解析來實現不同運營商接入用戶從不同線路進行訪問,并且沒有異地服務器節點與部署多播源發現協議MSDP。因為該協議原理是當網絡設備接到對服務器的訪問請求,則檢查距離最近的服務器是否可用,如服務器不可用,選播機制將請求轉發給不同地理位置的下一個服務器來相應請求,同時能將DDOS帶來的攻擊數據自動分配到最接近攻擊源的服務器上[1]。經過資料查詢,這個方式是百度及谷歌等大型全球性網站進行流量分擔的一種策略。由于異地服務器部署的代價較大,受經費及技術力量所限,在短期內無法實現,但仍舊不失為一種優異的防御方式。
目前重要服務器仍舊是單發引擎,沒有配置本地負載均衡設備和多機容災。大部分服務器沒有后臺與前臺隔離,導致到服務后臺直接面向網絡攻擊,一旦收到大量的搜索頁面或者數據庫請求,則癱瘓無法正常工作。而有前臺與編輯后臺的機制則優勢明顯,即使前臺服務器癱瘓了,但后臺數據和編輯功能仍舊不受影響,能保護核心數據安全不受侵犯。
大部分的服務器未能部署反篡改軟件,有許多不安全的的服務或端口開啟著,如文件共享TCP135 139,有可上傳文件權限的FTP默認用戶存在。在內網用戶訪問服務器時,沒有內網防火墻來過濾數據包,只使用了一臺三層交換機進擴展ACL進行過濾,服務器代碼老化少有維護。鑒于本次事故,受害學院已經邀請測評中心對全域服務器做全方位的第三方安全檢測,并出具檢測報告并提出相應修復建議。
未注意網絡安全的木桶效應,去彌補最薄弱的環節―終端用戶。堡壘往往從內部攻破,保護未能從終端做起。眾所周知WINDOWS系統漏洞非常多,微軟要定期補丁來修復,所以很容易受到入侵。用戶計算機安全意識較差,無殺毒軟件使用的情況較多,所以造成僵尸機器橫行。在本次攻擊中抓包發現不少內網機器已經淪為被利用的僵尸機器,成為被利用的工具,所以要在用戶終端接入方面設置準入系統,強制性安裝殺毒軟件及反木馬軟件。目前主要網絡互聯節點及出口處未部署IDS或者IPS,沒有定期對比數據流變化報告或者安全分析。
防范社會行為學行為泄密,在外來人員較多的情況下,需要注意拓撲結構、數據組成、出口帶寬、部門結構、骨干網規模方面的信息保密。
在運營商方:
教育網方面缺乏相應的應對此類危害事故的緊急狀態機制,同時由于其自身的科研和公益性等特點,維護人員組成多為大學教授和研究生以及少量兼職工程師,所以服務響應與質量較大型運營商有一定的差距。
分配給最終用戶的帶寬過于狹小(10Mbit/s),一次小的攻擊往往就立竿見影起到破壞效果。
全網沒有部署反向路由追蹤功能,造成偽造的IP流量橫行。因為URPF全面部署后能阻斷虛假源IP的攻擊,能提供快速定位能力來杜絕偽造源IP地址的數據包在網絡中傳輸,從而阻斷部分黑客攻擊流量,并對攻擊的溯源有很大幫助[2]。
有限能力的流量清洗,僅能實現清洗處下游訪問正常,上游數據仍舊被堵塞。江蘇高校的出口上聯至北京清華維護中心的帶寬只有數Gbit/s,所以無法提供更多帶寬來支援被攻擊的學院。在參考過幾篇聯通電信技術人員的相關文檔論文后,我們也了解到大型運營商防御分布式攻擊的思路和原理:提供分布式的清洗中心,針對不同級別的城域網出口部署不同層次的防DDOS設備,可以根據用戶請求手動添加被攻擊IP進入BGP路由或由設備發現攻擊后自動添加路由方式,將有問題的流量引導進入防DDOS設備進行流量清洗后回灌到原有網絡中。不同的清洗中心可以互為備份增強清洗效果,如一個10GB清洗能力的中心,在相互交叉支持的情況下甚至可以1TB帶寬的用戶范圍的保護。下圖6是引用的清洗流程,源自北京聯通防DDOS攻擊服務介紹。
圖6 運營商流量清洗示意圖
4 反思與展望:
隨著網關服務器、交換機、防火墻、服務器硬件、操作系統軟件更新升級由TCP SYN發起的DDOS攻擊看似得到了緩解。但本次針對消耗帶寬方式的DDOS攻擊最后仍舊是不了了之,目前我們能做的似乎就僅此而已了。即使大型運行商,提供的解決方案或大致思路應該也是用ISP的帶寬資源、防御設備去消耗抵御僵尸網絡的流量,這也是一個減法問題,如果未來僵尸網絡的流量大于ISP能力極限的情況后如何應對,是一個值得研究的問題。
伴隨著電信聯通光城市計劃的推廣,現今寬帶用戶大規模提速,10M、20M甚至100M家庭入戶已經成為現實,企業千兆早已不是傳說。即使用于GB流速的出口帶寬,也禁不住越來越強勁的僵尸網絡攻擊,所以最后提出的問題已經逐步有了研究的現實基礎。正如業內著名的防御DDOS服務商Arbor Networks 公司首席解決方案專家Roland Dobbins在NANOG 的郵件中所說的:“DDoS 攻擊只是表象,真正的問題根源是僵尸網絡。”而僵尸網絡的問題,不是一時半會兒就能徹底解決的[3]。
參考文獻
[1] DDOS. 嘗試阻止DDOS攻擊[J].網絡與信息,2011,(04):53. DDOS . Try to stop DDOS Attack [J]. Network and Information,2011,(04):53.
