企業(yè)網(wǎng)站常見攻擊及其應對策略桂友武，桂友超（湖南工學院，湖南 衡陽 421000）摘 要：企業(yè)網(wǎng)站會經(jīng)常受到黑客的攻擊，主要討論常見的腳本漏洞、旁注、緩沖區(qū)溢出、分布式拒絕服務(wù)、解碼攻擊等五種攻擊方式

企業(yè)網(wǎng)站常見攻擊及其應對策略

桂友武，桂友超

（湖南工學院，湖南 衡陽 421000）

摘 要：企業(yè)網(wǎng)站會經(jīng)常受到黑客的攻擊，主要討論常見的腳本漏洞、旁注、緩沖區(qū)溢出、分布式拒絕服務(wù)、解碼攻擊等五種攻擊方式及其應對策略。

關(guān)鍵詞：腳本漏洞攻擊；旁注攻擊；緩沖區(qū)溢出攻擊；分布式拒絕服務(wù)

Enterprise Website Common Attack and Should to the Strategy

GUI You-wu, GUI You-chao

(Hunan Institute of Technology ,Hengyang, Hunan 421000, China)

Abstract: The enterprise website can come under hacker's attack frequently. This article main discuss common Script Loophole Attack, Attack from Margent, Buffer Overflow Attack, DDoS, Decryption Attack and so on five forms of defensive action and should to the strategy.Key words: Script Loophole Attack;Attack from Margent; Buffer Overflow Attack;DDoS

隨著Internet 的發(fā)展，越來越多的企業(yè)開展了電子商務(wù)。但企業(yè)在享受電子商務(wù)帶來的快捷便利的同時，也常常被非法訪問入侵所困擾，黑客利用計算機系統(tǒng)或網(wǎng)絡(luò)漏洞成功攻擊企業(yè)網(wǎng)站的事件屢有發(fā)生。目前，黑客對企業(yè)網(wǎng)站的攻擊方法主要有腳本漏洞、旁注、緩沖區(qū)溢出、分布式拒絕服務(wù)、解碼攻擊等，只有了解企業(yè)網(wǎng)站的各種攻擊方法、特征及產(chǎn)生的后果，對癥下藥加以防范，才能確保企業(yè)網(wǎng)站的安全。

面友好，解決了網(wǎng)站內(nèi)容管理復雜、維護難的問題，但它的源代碼很容易在網(wǎng)上找到，讓黑客攻擊網(wǎng)站輕而易舉。

應對策略是：不同的編程語言有不同的安全性要求，以A S P 為例，按照如下方法處理，編寫嚴密的代碼，建立輸入字符過濾的檢查機制；凡涉及用戶名與口令的程序均封裝在服務(wù)器端，盡量少在A S P 文件里出現(xiàn)；涉及與數(shù)據(jù)庫連接的用戶名與口令給予最小的權(quán)限，在理想狀態(tài)下只給它以執(zhí)行存儲過程的權(quán)限，不直接給予該用戶修改、插入、刪除記錄的權(quán)限；出現(xiàn)次數(shù)多的用戶名與口令寫在一個位置比較隱蔽的包含文件中；過濾用戶輸入內(nèi)容以防S Q L 注入攻擊；保護好網(wǎng)站的數(shù)據(jù)庫，不把數(shù)據(jù)庫名寫在程序中，且用不規(guī)則的、非常規(guī)的名字給數(shù)據(jù)庫文件命名，并把它放在幾層目錄下。

1腳本漏洞攻擊

這是針對企業(yè)網(wǎng)站使用最多的一種的攻擊手段。企業(yè)網(wǎng)站存在的腳本漏洞讓黑客越來越猖狂、越來越低齡化和傻瓜化?！霸诰W(wǎng)上下載一個工具就可以黑站”，這就是腳本漏洞的特點。腳本漏洞的主要成因是編程程序員的素質(zhì)。由于編寫網(wǎng)頁程序這個行業(yè)的入門門檻不高，程序員的水平及經(jīng)驗參差不齊，一部分程序員在編寫ASP 或PHP 等程序代碼時，對字符的過濾不嚴密，對注入漏洞不了解，或者某個參數(shù)忘記檢查，沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，使應用程序存在安全隱患，導致腳本漏洞。存在腳本漏洞的網(wǎng)站黑客可通過提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這是腳本漏洞中最普遍的一種攻擊-S Q L 注入攻擊。企業(yè)網(wǎng)站尤其是中小企業(yè)網(wǎng)站，大多委托網(wǎng)站制作公司開發(fā)，代碼千篇一律，甚至一些網(wǎng)站采用了現(xiàn)成的整站及內(nèi)容管理系統(tǒng)，比如動易、動網(wǎng)等，這些網(wǎng)站管理系統(tǒng)雖然功能強大、界

2 旁注攻擊

旁注是黑客對中小企業(yè)網(wǎng)站典型攻擊手段之一。旁注又分為域名旁注和I P 旁注。域名旁注攻擊通過一個域名綁定的IP 查詢這個IP 上面解析了多少個域名，由此查出同一個服務(wù)器所掛的全部網(wǎng)站，黑客只要滲透同一服務(wù)器中安全性能最差的網(wǎng)站，再通過提權(quán)或配置不當?shù)确绞饺肭帜繕司W(wǎng)站。中小企業(yè)網(wǎng)站限于資金和人員的缺乏，大多將自己的網(wǎng)站進行了托管，每年只需交納幾百元空間費便可放在一個虛擬主機上面，而一個虛擬主機通常有多個企業(yè)網(wǎng)站。黑客若要對某個企業(yè)網(wǎng)站進行攻擊，只需通過目標網(wǎng)站服務(wù)器上的其他網(wǎng)站拿下服務(wù)器的權(quán)限，或者在其

他網(wǎng)站目錄里上傳一個腳本木馬便可對目標網(wǎng)站進行操作。旁注的工具在網(wǎng)上非常容易得到，例如比較著名的domain(明小子) 旁注工具，只需要將可能是放置在虛擬主機上的網(wǎng)站的網(wǎng)址輸入進去，工具將自動化分析，找到虛擬主機上的其他存在漏洞的網(wǎng)站，然后得到主機的控制權(quán)，對該虛擬主機下的網(wǎng)站一并進行攻擊。

應對策略是：若企業(yè)自身沒有能力購買服務(wù)器，一定要選擇信譽度好、保護措施完善的虛擬主機空間提供商放置網(wǎng)站內(nèi)容。黑客之所以能“旁注”是因為I I S 對于遠程的普通用戶訪問設(shè)置了一個專用的“IUSR 機器名”的賬號，IIS用“IUSR 機器名”的賬號來管理所有網(wǎng)站訪問權(quán)限，若給每個網(wǎng)站分別設(shè)置一個單獨的I I S 控制賬號，IIS控制賬號的權(quán)限設(shè)為GUESTS 組，這樣即使黑客通過服務(wù)器的一個網(wǎng)站拿到權(quán)限，也只是這個網(wǎng)站的權(quán)限，服務(wù)器其他網(wǎng)站沒有權(quán)限可以訪問。另外，可使用域名綁定方法，先將域名的A 記錄綁到一個無用的I P 上，再在下面把同一個域名綁到正確的I P 上，這樣黑客使用W H O I S 查詢就會去查詢那個無用I P 上的信息，得不到所期望的結(jié)果。

3 緩沖區(qū)溢出攻擊

緩沖區(qū)溢出攻擊利用了目標程序的緩沖區(qū)溢出漏洞，通過操作目標程序堆棧并暴力改寫其返回地址，從而獲得目標控制權(quán)。它的原理是向一個有限空間的緩沖區(qū)中拷貝過長的字符串，這帶來兩種后果，一是過長的字符串覆蓋了相鄰的存儲單元而造成程序癱瘓，甚至造成宕機、系統(tǒng)或進程重啟等；二是可讓黑客運行惡意代碼，執(zhí)行任意指令，甚至獲得超級權(quán)限等。緩沖區(qū)溢出是一種非常普遍、非常危險的漏洞，在各種操作系統(tǒng)、應用軟件中廣泛存在。在2006年集中爆發(fā)的W i n d o w s 操作系統(tǒng)的溢出漏洞，被一些黑客利用并制作出溢出工具，這些工具廣泛傳播，讓許多企業(yè)網(wǎng)站成為這些工具的試驗品。2007年，一些常用軟件都相繼受到緩沖區(qū)溢出攻擊，如即時聊天軟件Q Q 出現(xiàn)溢出漏洞、著名殺毒軟件卡巴斯基致命的畸形參數(shù)漏洞、瑞星注冊表修復工具溢出、解壓縮軟件 Winrar 文件名溢出、Flash播放器Flv 文件解析溢出漏洞、字處理軟件Word 畸形數(shù)據(jù)結(jié)構(gòu)溢出漏洞，讓人眼花絳亂，更不用說企業(yè)網(wǎng)站。緩沖區(qū)溢出作為一種非常危險的手段，需要了解它的基本原理，防患于未然。

應對策略是：對于緩沖區(qū)溢出的防范，惟一真正有效的辦法是對來自用戶的輸入數(shù)據(jù)做全面細致的檢查，查看其中是否存在常見的函數(shù)調(diào)用失誤。同時，啟用堆棧執(zhí)行

保護機制。在編寫代碼時注意數(shù)組邊界檢查、指針完整性檢查。對Windows Server 2003、Linux等操作系統(tǒng)平臺把緩沖區(qū)設(shè)置為不可執(zhí)行，亦可阻止攻擊者植入攻擊代碼，大大降低各種緩沖區(qū)溢出攻擊手段的成功機會。

4拒絕服務(wù)(DoS)和分布式拒絕服務(wù)(DDoS)攻擊

DoS 是指一個用戶占據(jù)了大量的共享資源，使系統(tǒng)沒有剩余的資源給其他用戶的一種攻擊方式。DoS的攻擊方式有很多種。最基本的D o S 攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，致使服務(wù)超載，無法響應其他的請求，從而無法為合法用戶提供服務(wù)。Do S 造成的后果是消耗帶寬、侵占資源，甚至使系統(tǒng)和應用崩潰。由于DoS 攻擊本身需要相當大的帶寬，而以個人為主的黑客很難享用。為了克服這個缺點，黑客開發(fā)了分布式拒絕服務(wù)攻擊（DDoS)。DDoS是在傳統(tǒng)的DoS 攻擊基礎(chǔ)上產(chǎn)生的攻擊方式，是攻擊者利用己經(jīng)侵入并控制的傀儡機，對目標發(fā)起攻擊。攻擊者控制的傀儡機數(shù)量可能達到數(shù)百臺甚至更多。在網(wǎng)絡(luò)帶寬力量對比懸殊的情況下，目標主機很快就會失去反應，無法提供對外服務(wù)。因此，它的攻擊傷害比一對一的拒絕服務(wù)攻擊要強大得多，也難防范得多。 一般而言，遭受DDoS 攻擊時的特征有：

(1)受害主機上有大量等待的TCP 連接；

(2)網(wǎng)絡(luò)上充斥著大量的垃圾數(shù)據(jù)包，源地址為假；(3)制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機無法正常與外界通信；

(4)利用受害主機提供的服務(wù)或傳輸協(xié)議上的缺陷，反復高速地發(fā)出特定的服務(wù)請求，使受害主機無法正常處理合法用戶的正常請求；

(5)造成系統(tǒng)死機。

Internet 的連通性和開放性，使得攻擊者幾乎擁有取之不盡的攻擊資源。DDoS攻擊對于企業(yè)網(wǎng)站的殺傷力是非常巨大的，最后的結(jié)果往往是導致網(wǎng)站完全癱瘓，帶寬被耗盡，系統(tǒng)無法對用戶做出響應，嚴重影響正常業(yè)務(wù)的開展。

應對策略是：對付DDoS 攻擊的首要防線就是預防攻擊的產(chǎn)生。安裝反病毒和反木馬軟件，并及時升級，及時更新軟件補丁彌補已知安全漏洞；設(shè)計安全的網(wǎng)絡(luò)協(xié)議，如只有客戶身份通過認證后，才分配系統(tǒng)資源等方法來進行攻擊前的預防。同時，在網(wǎng)絡(luò)上設(shè)立過濾器或偵測器，在信息到達網(wǎng)站服務(wù)器之前阻擋信息。過濾器會偵察可疑的訪問行動。如果可疑訪問經(jīng)常出現(xiàn)，過濾器就會接受指

示，阻擋相應的信息，讓服務(wù)器的對外連接保持暢通。防火墻也是目前阻擋DDoS 的常用設(shè)備。防火墻作為訪問控制設(shè)備，通過設(shè)計訪問策略，能夠?qū)DoS 起到一定防范作用。

除了以上提到的五種企業(yè)網(wǎng)站攻擊方式，此外還有網(wǎng)頁篡改攻擊、病毒攻擊、網(wǎng)絡(luò)監(jiān)聽攻擊、提高權(quán)限攻擊、偽裝攻擊、解碼攻擊、網(wǎng)絡(luò)嗅探攻擊等，在此不再一一細述?？傊S著I n t e r n e t 和計算機技術(shù)的不斷發(fā)展，黑客攻擊的手段也在不斷翻新，各種新的攻擊技術(shù)層出不窮。對于每一種攻擊技術(shù)，企業(yè)都應當有安全應對策略，及時跟蹤國際最新安全技術(shù)，掌握新的安全應對措施，及時堵塞安全漏洞，不讓黑客有機可乘。只有這樣，才能確保企業(yè)網(wǎng)站的安全。

5 解碼攻擊

在網(wǎng)絡(luò)中，密碼是用戶身份驗證的一種方式，各種弱口令會帶來許多重大的安全隱患，比如系統(tǒng)弱口令、網(wǎng)站弱口令、MSSQL弱口令、FTP弱口令等。通常，許多企業(yè)網(wǎng)站中所設(shè)的管理員密碼非常簡單，雖然易記卻給攻擊者提供了方便，而且在多處需要密碼保護的地方使用同一密碼，長時間不更換，這更增加了危險性。密碼破解也是黑客攻擊的一種常見方式，黑客往往采用自己生成的字典對各種密碼進行暴力破解，破解軟件有x-scan、hscan等。系統(tǒng)弱口令分為管理員權(quán)限和普通權(quán)限，一旦黑客取得管理員權(quán)限的密碼將對企業(yè)對網(wǎng)站構(gòu)成極大威脅。

應對策略是：針對企業(yè)網(wǎng)站管理員設(shè)置密碼簡單、重復的情況，建議使用大寫字母和小寫字母、標點和數(shù)字的集合，在不同賬號里使用不同的密碼并有規(guī)律地更換密碼；密碼至少要6個字符，密碼字符數(shù)越多，就越難被查出；不要使用可輕易獲得的關(guān)于個人的信息，如電話號碼、出生年月、手機號碼、居住處的城市名字或是單位名作為密碼；如果密碼很多，難以記憶的話，可以使用密碼存儲軟件，或是使用加密方式來進行另一種方式的儲存。

參考文獻：

[1] 連一峰, 王航．網(wǎng)絡(luò)攻擊原理與技術(shù)[M ]．北京:科學出版社,2004.

[2] 許治坤．網(wǎng)絡(luò)滲透技術(shù)[M]．北京:電子工業(yè)出版社,2005. [3] 莫尉, 王國秋．緩沖區(qū)溢出漏洞攻擊的分析研究[J]．計算機與現(xiàn)代化, 2007,(04).

[4] 蔣濤．緩沖區(qū)溢出原理及防護[J ]．計算機安全, 2005,(06).

[5] 溫懷玉．旁注入侵與網(wǎng)站安全[J]．滬州職業(yè)技術(shù)學院學報,2006,(04).

作者簡介：桂友武(1967-)，男，湖南工學院計算機系教師，工程師職稱，研究方向：電子商務(wù)、軟件工程。收稿日期：2009-02-12