零日攻擊的原理與防范方法 2010-09-14 15:27:39  www.  來(lái)源：黑客基地
一、什么是零日攻擊 要理解零日攻擊，就得先來(lái)了解零日漏洞。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，現(xiàn)在我們使用的操作系統(tǒng)和應(yīng)用程序，每一千行代碼中就有可能存在四至五個(gè)編碼漏洞。由于系統(tǒng)和應(yīng)用程序的開(kāi)發(fā)商不可能對(duì)所 ...
    一、什么是零日攻擊

    要理解零日攻擊，就得先來(lái)了解零日漏洞。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，現(xiàn)在我們使用的操作系統(tǒng)和應(yīng)用程序，每一千行代碼中就有可能存在四至五個(gè)編碼漏洞。由于系統(tǒng)和應(yīng)用程序的開(kāi)發(fā)商不可能對(duì)所有的代碼進(jìn)行嚴(yán)格的檢查，一般都是在系統(tǒng)和應(yīng)用程序發(fā)行后，不斷地進(jìn)行后期測(cè)試才會(huì)發(fā)現(xiàn)不斷發(fā)現(xiàn)這些漏洞，然后才會(huì)開(kāi)發(fā)相應(yīng)的漏洞補(bǔ)丁來(lái)修補(bǔ)這些漏洞，這就是我們經(jīng)常說(shuō)的系統(tǒng)補(bǔ)丁更新。但是，當(dāng)系統(tǒng)或應(yīng)用程序發(fā)行后，一些技術(shù)高超的黑客也會(huì)對(duì)它們進(jìn)行反匯編，然后通過(guò)閱讀代碼，來(lái)找到編碼中的漏洞。而由黑客找到的漏洞，他們并不會(huì)對(duì)外公布，最多也只是在其熟悉的內(nèi)部流傳。然后黑客就會(huì)自己編寫此漏洞的利用腳本，對(duì)系統(tǒng)或應(yīng)用程序發(fā)動(dòng)攻擊。通常，從系統(tǒng)或應(yīng)用程序新漏洞的發(fā)現(xiàn)到利用，不會(huì)超過(guò)24小時(shí)，由此就形像地把這種攻擊稱為零日攻擊，將被利用的新漏洞稱為零日漏洞。

    通常，黑客實(shí)施一次零日攻擊會(huì)按如下的流程來(lái)進(jìn)行：

    黑客發(fā)現(xiàn)漏洞——編寫漏洞利用腳本——尋找目標(biāo)發(fā)動(dòng)攻擊——進(jìn)入目標(biāo)網(wǎng)絡(luò)或系統(tǒng)——安裝后門控制系統(tǒng)或得到網(wǎng)絡(luò)中機(jī)密數(shù)據(jù)——清除攻擊痕跡

    但是，并不是所有的黑客都會(huì)按這樣的流程來(lái)進(jìn)行零日攻擊的，他們可能在進(jìn)入系統(tǒng)或控制系統(tǒng)后，會(huì)對(duì)系統(tǒng)所在網(wǎng)絡(luò)中的其它目標(biāo)發(fā)動(dòng)新的攻擊，以得到更多的數(shù)據(jù)；或者將被攻入的系統(tǒng)作為攻擊其它網(wǎng)絡(luò)目標(biāo)的跳板。

    目前，所有的操作系統(tǒng)，包括Windows、類Linux、FreeBSD和UNIX，以及所有的網(wǎng)絡(luò)應(yīng)用程序，包括IIS、FTP、IE和SMTP等等都存在零日漏洞，也就存在被零日攻擊的風(fēng)險(xiǎn)。正是由于零日攻擊影響的范圍非常廣泛，而且，由于操作系統(tǒng)或應(yīng)用程序在編碼過(guò)程中不可能做到百分之百的沒(méi)有錯(cuò)誤，因此，零日攻擊的風(fēng)險(xiǎn)會(huì)在以后相當(dāng)長(zhǎng)的一段時(shí)間來(lái)都會(huì)存在，因而現(xiàn)在我們就必需了解可以通過(guò)什么樣的方法來(lái)解決零日攻擊帶來(lái)的安全風(fēng)險(xiǎn)。

    二、為什么零日攻擊這么危險(xiǎn)現(xiàn)在，存在的網(wǎng)絡(luò)攻擊有許多種，但為什么大家偏偏對(duì)零日攻擊問(wèn)題都感到非常的棘手呢？這主要是存在下列所示的兩個(gè)原因：

    原因一：零日漏洞是由攻擊者自己發(fā)現(xiàn)的，并且不會(huì)公布，而存在零日漏洞的系統(tǒng)或應(yīng)用程序的開(kāi)發(fā)商卻并不一定知道這個(gè)新的漏洞，因此也就不會(huì)開(kāi)發(fā)相應(yīng)的漏洞補(bǔ)丁包來(lái)修補(bǔ)它。其實(shí)，就算開(kāi)發(fā)商與攻擊者同時(shí)發(fā)現(xiàn)了這個(gè)漏洞，但是，開(kāi)發(fā)商發(fā)布漏洞補(bǔ)丁必需經(jīng)過(guò)開(kāi)發(fā)——測(cè)試——發(fā)布這三個(gè)階段，速度再快也需要幾天時(shí)間。而攻擊者在發(fā)現(xiàn)零日漏洞后，會(huì)立即編寫相應(yīng)的漏洞利用腳本來(lái)攻擊所有存在此漏洞的目標(biāo)系統(tǒng)。在時(shí)間上，漏洞補(bǔ)丁發(fā)布速度就不可能趕上攻擊者對(duì)此漏洞的利用速度。

    原因二：現(xiàn)在大多數(shù)網(wǎng)絡(luò)用戶使用的安全防范設(shè)備，如防火墻，UTM網(wǎng)關(guān)，以及入侵檢測(cè)防御系統(tǒng)（IDS/IPS），主要還是利用網(wǎng)絡(luò)攻擊行為的攻擊特征來(lái)檢測(cè)惡意的網(wǎng)絡(luò)流量。而由攻擊者編寫的零日漏洞利用腳本，由于在網(wǎng)絡(luò)上是第一次使用，安全設(shè)備開(kāi)發(fā)商就不可能知道這種零日攻擊行為的攻擊特征，因而這些安全防范設(shè)備的攻擊特征庫(kù)中也就不會(huì)存在這種攻擊特征，安全設(shè)備也就不會(huì)檢測(cè)到這種零日攻擊行為了。

    其實(shí)，就算現(xiàn)在那些宣布具有主動(dòng)防御功能的安全設(shè)備，由于目前的主動(dòng)防御技術(shù)還不太完善，都存在漏報(bào)和誤報(bào)的可能，并且，攻擊者在編寫攻擊腳本時(shí)，還會(huì)通過(guò)一些手段來(lái)逃避這些安全設(shè)備的檢測(cè)，因此，主動(dòng)防御設(shè)備也不可能做到百分之百地完全防御零日攻擊行為。

    正是由于存在上述這兩個(gè)因素，而且由于目前所有的操作系統(tǒng)和應(yīng)用程序都會(huì)存在零日漏洞，發(fā)現(xiàn)它們只是早晚的問(wèn)題，才使得零日攻擊每次都會(huì)攻擊成功，并且每次都會(huì)造成非常廣泛的影響，因而零日攻擊已經(jīng)是目前不折不扣的最棘手的網(wǎng)安全威脅之一。

    防范零日攻擊的建議

    現(xiàn)在，我們已經(jīng)了解了零日攻擊的攻擊原理，也了解了零日攻擊會(huì)給我們帶來(lái)的安全風(fēng)險(xiǎn)，并且知道了它非常難于對(duì)付。但是，我們不能就此放任零日攻擊的胡作非為，我們應(yīng)該使用一些相應(yīng)的安全手段，來(lái)減少被零日攻擊析機(jī)率，或者就算我們不能防范零日攻擊，但我們至少可以通過(guò)相應(yīng)的方法來(lái)降低它所帶來(lái)的影響。

    實(shí)際上，雖然目前不能完全防范零日攻擊，但是，使用下面所示的這些安全防范手段，還是能減少我們的網(wǎng)絡(luò)和系統(tǒng)被零日攻擊的機(jī)率，降低零日攻擊造成的損失到最低水平的。

    1、安裝實(shí)時(shí)監(jiān)控和主動(dòng)防御設(shè)備

    要防范零日攻擊，降低其帶來(lái)的影響，最好的方法就是在零日攻擊活動(dòng)開(kāi)始進(jìn)行時(shí)，就及時(shí)發(fā)現(xiàn)并阻止它。及時(shí)發(fā)現(xiàn)零日攻擊活動(dòng)最好的方式就是安裝系統(tǒng)或網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控軟件，例如SysAid和Nagios，以及入侵防御系統(tǒng)（IPS）等主動(dòng)防御設(shè)備，來(lái)實(shí)時(shí)檢測(cè)和發(fā)現(xiàn)零日攻擊行為。

    雖然這些設(shè)備不可能做到百分之百的將零日攻擊行為全部檢測(cè)到，但是，通過(guò)主動(dòng)防御設(shè)備對(duì)網(wǎng)絡(luò)操作行為和網(wǎng)絡(luò)連接狀況進(jìn)行實(shí)時(shí)監(jiān)控，還是可以及時(shí)發(fā)現(xiàn)和阻擋相當(dāng)一部分的零日攻擊行為的。

    主機(jī)型主動(dòng)防御軟件(如Tiny Firewall Pro防火墻及360安全衛(wèi)士)，會(huì)對(duì)系統(tǒng)中的所有操作行為，例如運(yùn)行某個(gè)軟件，安裝文件，對(duì)Windows注冊(cè)表進(jìn)行操作，以及使用軟件連接互聯(lián)網(wǎng)，都會(huì)被其實(shí)時(shí)監(jiān)控到，并且會(huì)提示用戶是否允許這些操作的進(jìn)行。這樣就給我們一個(gè)阻止零日攻擊的機(jī)會(huì)，在它還沒(méi)有造成影響之前就阻它繼續(xù)進(jìn)行，也就會(huì)降低其造成的影響。基于網(wǎng)絡(luò)的主動(dòng)防御設(shè)備就會(huì)對(duì)整個(gè)網(wǎng)絡(luò)中的活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)控，并會(huì)對(duì)一些異常的流量進(jìn)行警報(bào)和主動(dòng)防御，如Strata Guard。通過(guò)這些設(shè)備的警報(bào)，我們就可以采取相應(yīng)的方法來(lái)阻止零日攻擊的繼續(xù)進(jìn)行。

    就如在上面我提到過(guò)的一樣，主動(dòng)防御設(shè)備有時(shí)會(huì)對(duì)真正的網(wǎng)絡(luò)攻擊產(chǎn)生漏報(bào)，也會(huì)對(duì)正常的網(wǎng)絡(luò)流量產(chǎn)生誤報(bào)，因此，我們?cè)谑褂弥鲃?dòng)防御設(shè)備的同進(jìn)，還應(yīng)當(dāng)使用其它的安全防范手段來(lái)填補(bǔ)它的不足。

    2、實(shí)施網(wǎng)絡(luò)邊界防范實(shí)施網(wǎng)絡(luò)邊界防范主要是針對(duì)企業(yè)或機(jī)構(gòu)中的內(nèi)部局域網(wǎng)來(lái)說(shuō)的，某個(gè)網(wǎng)絡(luò)的邊界都是針對(duì)其實(shí)際的內(nèi)部網(wǎng)絡(luò)而言的。

    目前主要的網(wǎng)絡(luò)邊界防范方法包括下面這些內(nèi)容：

    （1）、在網(wǎng)絡(luò)邊界處安裝行為分析設(shè)備，它在監(jiān)控網(wǎng)絡(luò)操作行為的同時(shí)，還能**網(wǎng)絡(luò)流量的大小，這樣就能檢測(cè)到不正常的網(wǎng)絡(luò)操作行為，以及防止拒絕服務(wù)攻擊（DoS）；

    （2）、在局域網(wǎng)內(nèi)部安裝狀態(tài)包檢測(cè)防火墻；

    （3）、嚴(yán)格**無(wú)線設(shè)備的網(wǎng)絡(luò)接入方式；

    （4）、加強(qiáng)移動(dòng)存儲(chǔ)設(shè)備的網(wǎng)絡(luò)訪問(wèn)；

    （5）、應(yīng)用網(wǎng)絡(luò)訪問(wèn)控制（NAC）；

    （6）、加強(qiáng)員工權(quán)限管理和文件訪問(wèn)許可制度。

    3、加固終端系統(tǒng)

    計(jì)算機(jī)終端通常是整個(gè)網(wǎng)絡(luò)環(huán)節(jié)中最薄弱的環(huán)節(jié)，對(duì)系統(tǒng)進(jìn)行安全加固是一個(gè)減少系統(tǒng)被零日攻擊的一個(gè)不錯(cuò)的方法。通常，我們可以通過(guò)下列的方式來(lái)加固系統(tǒng)：

    （1）、建立良好的系統(tǒng)或應(yīng)用程序補(bǔ)丁更新計(jì)劃；

    （2）、停用系統(tǒng)中不需要的服務(wù)和應(yīng)用程序，關(guān)閉不使用的端口；

    （3）、**在瀏覽器中對(duì)JAVA和ActiveX等腳本的使用；

    （4）、培訓(xùn)用戶的網(wǎng)絡(luò)操作行為，不要輕易打開(kāi)電子郵件中的附件，點(diǎn)擊電子郵件中的超級(jí)鏈接，以及點(diǎn)擊其中的圖片；

    （5）、安裝第三方安全軟件（如基于主機(jī)的入侵防御系統(tǒng)（IPS））來(lái)加強(qiáng)系統(tǒng)安全；

    4、加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全

    加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全，能降低網(wǎng)絡(luò)被零日攻擊后造成影響的范圍和嚴(yán)重程度。我們可以使用下列的方式來(lái)加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全：

    （1）、在同一網(wǎng)段中使用虛擬局域網(wǎng)（VLAN）技術(shù)將一些重要的網(wǎng)絡(luò)設(shè)備隔離，防止零日攻擊對(duì)整個(gè)網(wǎng)段的影響；

    （2）、將面向互聯(lián)網(wǎng)的網(wǎng)絡(luò)服務(wù)器放到一個(gè)單獨(dú)的非軍事化區(qū)域（DMZ），將它們與內(nèi)部系統(tǒng)隔離，減少由于公網(wǎng)服務(wù)器被零日攻擊后造成對(duì)內(nèi)部網(wǎng)絡(luò)的影響；

    （3）、在網(wǎng)絡(luò)服務(wù)器上應(yīng)用虛擬化技術(shù)來(lái)提供冗余系統(tǒng)，減少由于服務(wù)器系統(tǒng)被零日攻擊后造成的非正常停機(jī)時(shí)間，降低其造成的損失。

    5、建立一個(gè)良好的網(wǎng)絡(luò)攻擊事件響應(yīng)計(jì)劃，加強(qiáng)對(duì)各類事件的快速處理能力，這樣能迅速阻止零日攻擊的繼續(xù)實(shí)施，將攻擊影響的范圍和造成的損失控制在一定的水平之內(nèi)。

    上述給出的這些應(yīng)對(duì)零日攻擊的方法，雖然不能絕對(duì)防止零日攻擊活動(dòng)的發(fā)生，但是，靈活地使用它們，還是能大大減少系統(tǒng)和網(wǎng)絡(luò)被零日攻擊的機(jī)率，以及當(dāng)系統(tǒng)或網(wǎng)絡(luò)被零日攻擊后將其造成的損失控制在一定的范圍之內(nèi)。

本篇文章來(lái)源于 黑基網(wǎng)-中國(guó)最大的網(wǎng)絡(luò)安全站點(diǎn) 原文鏈接：http://www./tech/2010-09-14/61203.html