9月，黑客出没的次数突然多了起来

    张丽潘佼佼

    近5万个中国网站的站长，在9月21日下午5点遭遇了同样的困境，他们忽然发现自己的网络域名无法解析并且登录不了。因没有任何官方的解释信息，网络传言纷纷而起。之后网站接到大量的投诉电话，愤怒的客户开始指责网站甚至要求退钱。

    这是中国用户数最多的域名注册公司新网遭受猛烈的黑客攻击后出现的场景。直到次日中午，新网才恢复其80客户网站的正常访问，他们被黑了20个小时。

    具有讽刺意味的是，当天，2006中国互联网大会在北京开幕。然而，这种由黑客策成的黑色幽默不是第一次，也不是最后一次。

    就在新网还没有回过神的时候，9月22日上午，黑客在一个网站上留言黑客在这里，你在哪里这个网站正是2006年11月份将举办的中国国际黑客防范技术高峰论坛的官方网站。届时，来自全球500名信息安全技术专家将讨论各国信息安全政策和黑客防范技术。

    9月23日晚上，旗下的sk2品牌被查出含有重金属元素的宝洁中国网站被黑客攻破，黑客在网站留下的信息表明，其目的是只针对sk2，并要求sk2停业整顿。黑客同时指出该公司对国人极不负责，建议反省。

    2006年9月份的网络江湖风起云涌，大型网站似乎成了黑客们喜爱的练习场。9月11日，中国移动的网站被黑。12日，门户网站百度遭遇大规模的黑客攻击，导致服务器瘫痪半小时。

    为什么黑了你的网站

    在业内人士看来，网站被黑早已不是新闻。你不知道每天中国有多少网站被黑掉，又有多少网站被挂马，只不过是没有人揭露，或是受害网站抢救及时，而现在恰恰这几个网站的时间都很临近，都是大站，所以就暴露出来了。影子鹰安全网络站长kaen说。

    这位在1998年初识网络随着中国互联网的发展而成长起来的知名黑客在谈到新网被黑时，很肯定地说：新网肯定是被ddos了。

    所谓ddos，就是攻击者事先入侵了大量的计算机，并在这些计算机群上植入了ddos的攻击程序，最后结合这些被入侵的计算机的网络传输力量发动攻击，这样的攻击不仅增加了攻击的力度，而且更难于防范。

    在另一位著名黑客小皮的眼中，ddos是最简单而有效的攻击方式。因为被控制的计算机群产生的源地址为伪造的或随机的网络数据流，所以增加了追查的难度。

    而kaen更将ddos比作了黑客武林中的一种神功：拥有ddos软件的人，第一次玩的时候都有点虚荣心，就好像学会了一种神功，这神功是天下无敌的，那他就要去试试，那多有成就感。

    除了2006全国互联网大会在9月21日召开外，新网似乎并没有理由撞到黑客的枪口上。所以外界纷纷猜测是否为行业之间竞争造成的结果，更有人直指新网最大的对手万网。

    但小皮不同意这种观点：sp商之间一般不会互相攻击，因为ddos这种攻击方式本身会占用大量攻击者本身的带宽，双方互相进行攻击本身没有意义。在我看来，更有可能是生产防ddos的厂商，他们可以通过这种方式逼迫网站购买自己的产品。说到底，就是为了利益。

    新网为超过60万家的企业客户提供域名注册虚拟主机企业邮件等服务，它的带宽要求相应较大。倘若是防ddos的厂商所为，那么它们的产品必须应该拥有相当带宽的保护能力。

    现在的中国黑客界和5年前完全不同了。中国的黑客已经越来越职业化了，越来越金钱化了。kaen如是说。

    当问及有没有企业为攻击他人雇佣黑客时，他的回答是：有，很多。

    我黑了，我撤了

    前些时间，我认识的一个朋友，控制了腾讯二十多台服务器，将10000多个号都弄成自已用了，结果就被抓了。kaen说。

    中国维护互联网安全的决定明确规定：为了保障互联网的运行安全，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：侵入国家事务国防建设尖端科学技术领域的计算机信息系统；故意制作传播计算机病毒等破坏性程序，攻击计算机系统及通信网络，致使计算机系统及通信网络遭受损害。

    尽管如此，kaen的朋友是不多的被抓的黑客之一。虽然有受到刑事责任追究的危险，但每天黑客攻击网站的节目仍旧上演。

    这种情况与追查攻击源头的困难性有很大关系。黑客通常不会用自己的计算机发起攻击。他们通过侵入一台电脑，再以这台电脑为跳板侵入其他电脑。经过多层跳板再实施攻击。追查要逆流而上，这需要调用各方人马，如公安部门的网络监管系统服务商，查找服务器路由器等上的大量ip地址，工作量非常庞大。更何况，除了利用网站本身数据库存在的漏洞进入服务器修改页面内容，或者用ddos攻击计算机外，真正的黑客高手往往雁过而不留声，进入系统修改了程序之后被攻击者还不能发觉。

    随着中国互联网的日益成熟，近两年，中国的网络安全意识比从前增强。一些低级漏洞如frontpage扩展漏洞等已经近于消失，同时，中国虚拟主机服务商也加强了对权限的划分和安全的把握。

    现在漏洞会越来越难找，如果补丁打全了，漏洞可能很长时间不被发现。小皮说：如果公安机关介入的话，虽然成本很高，但是都可以查到攻击源头。

    攻击者可以通过反弹技术使我们对ddos攻击更难以防御利用反弹服务器反弹ddos的洪水包，也就是说，通过发送大量的欺骗请求数据包来源地址为victi，受害服务器，或目标服务器给ter上大量的服务器群，而这些服务器群收到请求后将发送大量的应答包给victi。结果是原来用于攻击的洪水数据流被大量的服务器所稀释，并最终在受害者处汇集为洪水，使受害者更难以隔离攻击洪水流，并且更难以用traceback跟踪技术去找到洪水流的来源。

    在分布式dos攻击ddos中，攻击者事先入侵了大量服务器，并在这些服务器上植入了ddos攻击程序，然后结合这些被入侵的服务器的网络传输力量发动攻击。利用大量的服务器发动攻击不仅增加了攻击的力度，而且更难于防范。

    一个主机，主服务器aster，作用是发送控制消息给事先入侵并已植入ddos程序的从服务器群slave，控制从服务器群发起对目标服务器的攻击。从服务器群将产生高容量的源地址为伪造的或随机的网络数据流，并把这些数据流发送给目标服务器。因为数据流的源地址是伪造的，增加了追查的难度。

    利用成百上千的从服务器不仅可以另追查的难度加大因为难以识别大量不同的来源，需要查询大量的路由器，而且极大的阻碍了当成功追查后所需采取的行动因为这要与大量的网络管理员联系，安装大量的网络过滤器。

    而今考虑周密的攻击者可以通过利用反弹服务器reflector，更好的组织他们的攻击。反弹服务器是指，当收到一个请求数据报后就会产生一个回应数据报的主机。例如，所有的eb服务器，dns服务器，及路由器都是反弹服务器，因为他们会对syn报文或其他tcp报文回应synacks或rst报文，以及对一些ip报文回应icp数据报超时或目的地不可达消息的数据报。而攻击者可以利用这些回应的数据报对目标服务器发动ddos攻击。

    攻击者首先锁定大量的可以做为反弹服务器的服务器群，比如说100万台这并不是件很难的工作，因为在ter上光是eb服务器就不止这么多的，更何况还有更多其他的机器可以作为反弹服务器。然后攻击者们集中事先搞定的从服务器群，向已锁定的反弹服务器群发送大量的欺骗请求数据包来源地址为victi，受害服务器或目标服务器。反弹服务器将向受害服务器发送回应数据报。结果是：到达受害服务器的洪水数据报不是几百个，几千个的来源，而是上百万个来源，来源如此分散的洪水流量将堵塞任何其他的企图对受害服务器的连接。

    显示了利用反弹进行ddos攻击的结构。注意到，受害服务器不需要追查攻击的来源，因为所有攻击数据报的源ip都是真实的，都是反弹服务器群的ip。而另一方面，反弹服务器的管理人员则难以追查到从服务器的位置，因为他所收到的数据报都是伪造的源ip为受害服务器的ip。

    原则上，我们可以在反弹服务器上利用追踪技术来发现从服务器的的位置。但是，反弹服务器上发送数据报的流量远小于从服务器发送的流量。每一个从服务器可以把它发送的网络流量分散到所有或者一大部分反弹服务器。例如：如果这里有nr个反弹服务器，ns个从服务器，每个从服务器发送的网络流量为f，那么每一个反弹服务器将产生的网络流量为

    而nr远大于ns。所以，服务器根据网络流量来自动检测是否是ddos攻击源的这种机制将不起作用。

    值得注意的是，不象以往ddos攻击，利用反弹技术，攻击者不需要把服务器做为网络流量的放大器发送比攻击者发送的更大容量的网络数据。他们甚至可以使洪水流量变弱，最终才在目标服务器回合为大容量的洪水。这样的机制让攻击者可以利用不同网络结构机制的服务器作为反弹服务器，使其更容易找到足够数量的反弹服务器，用以发起攻击。

    我们的分析显示，有三种特别具威胁性的反弹服务器是：dns服务器gnutella服务器和基于tcpip的服务器特别是eb服务器，基于tcp的实现将遭受可预测初始序列号的威胁。