【IT168 编者按】《2006年度中国网络安全分析报告》（简称《报告》）是中国民间组织——黑客联盟，针对中国互联网安全现状发布的分析报告。该报告从全球网络及中国网络安全简析、国内网络安全现状、国内计算机病毒现状、国内黑客攻击事件分析、国内网络安全产品以及、网络安全服务等方面，就目前信息安全状况进行了详尽分析和解读。从中我们可以看出，生产的安全与稳定，风险的控制与防范，是CIO目前最关注的问题。

    此次刊登的是《报告》的第四部分——国内黑客攻击事件分析篇。全篇的主要结论是：

与05年同期相比，06年网络攻击事件要高出一倍之多；
黑客攻击频发，经济损失巨大；
黑客入侵手法翻新，Web应用正成为最大的安全盲点；
07年黑客攻击水平会发展到惊人的程度之上。
    《2006年度中国网络安全分析报告》第一部分：全球警报 互联网安全保障迫在眉睫
    《2006年度中国网络安全分析报告》第二部分：网络有真实的危害 缺少应有的惩罚
    《2006年度中国网络安全分析报告》第三部分：系统漏洞频出现 偏逢病毒肆虐不休

    1、与05年同期相比，06年网络攻击事件要高出一倍之多

    截止到2006年12月25日，据不完全统计，中国网络发生的网络攻击事件中，脚本入侵比例为53%，拒绝服务攻击比例为26%，漏洞利用比例为13%，暴力猜解比例为8%，社会工程学比例为5%，其他方法为1%。但与05年同期相比，2006年度网络攻击事件要高出一倍之多。

    据2005年CNCERT/CC的网络安全总结报告统计，当年共收到国内外通过应急热线、网站、电子邮件等报告的网络安全事件12万多件。

    在2005年的网络攻击事件中，脚本入侵比例为47%，拒绝服务攻击比例为26%，漏洞利用比例为13%，暴力猜解比例为8%，社会工程学比例为5%，其他方法为1%。

 
2005年网站入侵技术比例

    06年全年，国内有多个网络安全站点、组织也难逃厄运。被篡改的网站多为政府、学校、信息综合门户、知名企业等影响力高、受众面广的网站，且不论黑客攻击的动机，仅在后果上，这些网站可谓遭遇了不同程度的尴尬。在众多被篡改的网站中，政府网站成了重灾区。在中国计算机网络安全应急年会上，国家计算机网络应急技术处理协调中心副总工程师杜跃进博士谈到，“根据本中心统计，网页篡改去年在大陆发生13000多次，其中六分之一攻击对象是政府网站，对电子政务构成严重威胁”。频频发生的攻击能否给政府网站网络安全敲响一次“警钟”。

    据不完全统计，自2006年1月1日起，截止2006年12月25日，中国网站被篡改的数量达25820个。其中政府类网站有3661个；企业类网站为11828个（其中博客运营类被黑数量达到1683个）；教育\培训类被黑网站数量达到2216个，其中：中、职专及中小学网站占百分之73.5%（1628个），大学网站的二级网站占18.0%（398个），培训类机构127个，大学一级域名站点为63个。

 2、黑客攻击频发 经济损失巨大

    2006年5月27日，某市的区政府服务器被入侵植入香港汇丰银行的假冒网站。2006年4月,国外多家媒体以“中国的银行网站被利用作Phishing”为题，报道了中国某银行网站被植入假冒Paypal网站的事件。2006年6月19日,D市某区政府网站邮件服务器被入侵并植入电子港湾(eBay)的假冒网站。

    在2006年上半年，中国网络攻击事件明显较之2005年偏低，而在下半年，尤其是在九月份，中国网络安全事件明显偏多，尤为严重：

    2006年9月12日，著名搜索引擎百度遭受有史以来最大规模的不明身份黑客攻击，导致百度搜索服务在全国各地出现了近30分钟的故障。

    2006年9月21日，某域名服务商“新网”域名解析服务器发生故障，造成超过30%在其注册的网站无法访问长达20小时，新网官方确认此次断网事件是黑客所为。此事件为称为中国互联网的“9·21事件”。

    2006年9月22号，2006中国（广州）国际黑客防范技术高峰论坛暨展览会官方站（www.hacker-halted.cn）又告失守。国内一黑客组织在其主页上留下戏弄性的祝辞，充满着蔑视及鄙夷。

 
国际黑客防范技术高峰论坛被黑页面

    2006年9月29日，域名服务商“万网”的URL转发服务器遭受大量的黑客攻击，导致通过万网设置的URL转发目前无法正常浏览。

    仅仅是九月，黑客攻击事件造成的中国互联网经济损失超过300万人民币，众多网络服务提供商及企业损失占78%。

    从技术角度上来讲，百度被攻击以及新网和万网遭受的攻击同属于拒绝服务攻击。银行及政府类网站被攻击多属于脚本入侵。黑客的入侵手法已经呈现多样化及多元化的特点。

   3、黑客入侵手法翻新，Web应用正成为最大的安全盲点

    根据新近公布的一份现实威胁分析报告，Web应用正成为最大的安全盲点。

    Fortify Software公司进行了6个多月的搜集汇编才得出此报告，所用数据来源于其应用防御系统（Application Defense）的用户，报告指出，与已确定的攻击（如病毒、网络攻击、公共缺陷公布、垃圾邮件或网络钓鱼企图等）相比，有关Web应用问题的数据还很缺乏。

    在Fortify给出的各类应用攻击列表中，排在最前面的是各种自动“机器人攻击（bots storms）”，这类攻击通常占针对Web应用的所有攻击的50%至70%。

    这些攻击能随机搜索已知或未知的缺陷，而不需要人工干预，导致其越来越流行。

    有些类型的攻击数量较少，但更加危险，如跨站脚本攻击、SQL注入（SQL Injection），以及溢出漏洞（标准缓冲区溢出）。

    企业必须认识到自己的各种应用的风险，并采取必要的手段来避免危险的安全攻击。有许多调查研究论及了病毒、网络攻击、公共缺陷公布、垃圾邮件和网络钓鱼企图，但很少关注位于防火墙和传统网络安全范畴之外的基于Web的应用。

    简单来说，目前黑客攻击所用到的技术一般有以下几类：

    SQL注入
    网络钓鱼
    跨站攻击
    溢出漏洞
    拒绝服务攻击
    社会工程学
    3.1、SQL注入

    3.1.1、什么是SQL注入

    随着B/S模式应用开发的发展，使得使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。攻击者可以通过互联网的输入区域，利用某些特殊构造的SQL语句插入SQL的特殊字符和指令，提交一段数据库查询代码（一般是在浏览器地址栏进行，通过正常的www端口访问），操纵执行后端的DBMS查询并获得本不为用户所知数据的技术，也就是SQL Injection（SQL注入）。

    SQL注入是从正常的WWW端口通过对页面请求访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙很少会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。

    SQL注入的手法相当灵活，可以根据具体情况进行分析，构造巧妙的SQL语句，从而获取想要的数据。

    程序存在SQL注入，追其原因，是因为代码或者编码的不完善。但说到底，是程序员的惰性。代码的不完善，往往是因为在程序编写的过程中，没有考虑到代码的健壮性及安全性的结果，就国内现状来看，大多数网站使用的脚本语言，用ASP+Access或SQLServer的占70%以上，PHP+MySQL占20%，其他的不足10%，并且因为开发者水平的参差不齐,代码编写的过程考虑不够周全，程序代码的安全性值得怀疑，而程序脚本被注入也成为必然。

    当然，程序运行环境的先天缺陷也是人为的，这种现象无法完全杜绝避免。从攻击者的角度来看，使用SQL注入能够避免绝大多数防火墙的防御，不留攻击痕迹，攻击手法多种多样，因此才会导致SQL注入攻击手段的兴起。

    3.1.2、SQL注入的原理及分类

    SQL-Injection的原理

    SQL是一种用于关系数据库的结构化查询语言。它分为许多种，但大多数都松散地基于美国国家标准化组织最新的标准SQL-92。SQL语言可以修改数据库结构和操作数据库内容。当一个攻击者能够通过往查询中插入一系列的SQL操作数据写入到应用程序中去，并对数据库实施了查询，这时就已经构成了SQL-Injection。

    SQL-Injection的分类

    由于SQL-injection攻击出要发生在B/S结构的应用程序上，而这些程序大部分都属于互联网的web站点，在这种情况下SQL-Injection同样需要遵循HTTP协议，形成了两种分类： POST方式注入和GET方式注入

    3.1.3、SQL-Injection的攻击方法

    常规注入方法 SQL注入攻击本身就是一个常规性的攻击，它可以允许一些不法用户检索你的数据，改变服务器的设置，或者在你不小心的时候黑掉你的服务器。

    旁注 顾名思义就是从旁注入，也就是利用主机上面的一个虚拟站点进行渗透 ，此类手法多出现与虚拟主机站点。

    盲注 通过构造特殊的SQL语句，在没有返回错误信息的情况下进行注入。

    跨站注入 攻击者利用程序对用户输入过滤及判断的不足，写入或插入可以显示在页面上对其他用户造成影响的代码。跨站注入的高级攻击就属于这种攻击。

    3.1.4、SQL注入的危害

    SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户，从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序，对网站的正常运营和访问该网站的网友都带来巨大危害。

    3.1.5、SQL注入漏洞的风险

    由于SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。它能够直接在数据库中添加具有管理员权限的用户，从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序，对网站和访问该网站的网友都带来巨大危害。

    无论你有多强壮的防火墙规则设置或者非常勤于补漏的修补机制，如果你的网络应用程序开发者没有遵循安全代码进行开发，攻击者将通过80端口进入你的系统。

    例如，如果一个网站的数据库系统为SQL Server 2000数据库，同时没有在数据库的权限设置上做好安全限制，将导致严重的后果。SQL注入意味着数据库也会被攻破，入侵者得到当前数据库权限的同时，也获得了整个数据库服务器的管理权限，入侵者可通过数据库管理权限得到系统权限，并为所欲为。

    再者，很多网站的管理后台都可经由公网直接访问到后台管理登录页面，并且可通过暴力猜解等方式对后台管理账户进行猜解。对于任何一个网站的后台管理登录页，安全的做法应该是限制访问。尤其是对于政府及银行网络来说，更不应该将后台管理页面放置到公网上任由访问，这样的话安全系数会大大减少，遭受攻击的机会却大大增加了。

3.2、网络钓鱼

    网络钓鱼(Phishing)一词，是“Fishing”和“Phone”的综合体，由于黑客始祖起初是以电话作案，所以用“Ph”来取代“F”，创造了”Phishing”，Phishing 发音与 Fishing相同。 “网络钓鱼”就其本身来说，称不上是一种独立的攻击手段，更多的只是诈骗方法，就像现实社会中的一些诈骗一样。

    攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，诱骗访问者提供一些个人信息，如信用卡号、账户用和口令、社保编号等内容（通常主要是那些和财务，账号有关的信息，以获取不正当利益），受骗者往往会泄露自己的财务数据。

    诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌，因此来说，网络钓鱼的受害者往往也都是那些和电子商务有关的服务商和使用者。

    3.2.1、网络钓鱼工作原理

    现在网络钓鱼的技术手段越来越复杂，比如隐藏在图片中的恶意代码、键盘记录程序，当然还有和合法网站外观完全一样的虚假网站，这些虚假网站甚至连浏览器下方的锁形安全标记都能显示出来。网络钓鱼的手段越来越狡猾，这里首先介绍一下网络钓鱼的工作流程。通常有五个阶段：

网络钓鱼的工作原理

    3.2.2、“网络钓鱼”的主要手法

    a、发送电子邮件，以虚假信息引诱用户中圈套

    诈骗分子以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码，或是以各 种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。

    例如今年2月份发现的一种骗取美邦银行(Smith Barney)用户的账号和密码的“网络钓鱼”电子邮件，该邮件利用了IE的图片映射地址欺骗漏洞，并精心设计脚本程序，用一个显示假地址的 弹出窗口遮挡住了IE浏览器的地址栏，使用户无法看到此网站的真实地址。当用户使用未打补丁的Outlook打开此邮件时，状态栏显示的链接是虚假的。

    当用户点击链接时，实际连接的是钓鱼网站http://**.41.155.60:87/s。该网站页面酷似Smith Barney银行网站的登陆界面，而用户一旦输入了自己的账号密码，这些信息就会被黑客窃取。

    b、建立假冒网上银行、网上证券网站，骗取用户账号密码实施盗窃

    犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入账号密码等信息，进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本，即利用合法网站服务器程序上的漏洞，在站点 的某些网页中插入恶意html代码，屏蔽住一些可以用来辨别网站真假的重要信息，利用cookies窃取用户信息。

    如曾互联网上出现过的某假冒银行网站，网址为http://www.1cbc.com.cn/，而真正银行网站是http://www.icbc.com.cn/，犯罪分子利用数字1和字母i非常相近的特点企图蒙蔽粗心的用户。

    又如2004年7月发现的某假公司网站(网址为http://www.1enovo.com/)，而真正网站为 http://www.lenovo.com/，诈骗者利用了小写字母l和数字1很相近的障眼法。诈骗者通过QQ散布“XX集 团和XX公司联合赠送QQ币”的虚假消息，引诱用户访问。

    c、利用虚假的电子商务进行诈骗

    此类犯罪活动往往是建立电子商务网站，或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息，犯罪分子在收到受害人的购物汇款后就销声匿迹。如2003年，罪犯佘某建立“奇特器材网”网站，发布出售间谍器材、黑客工具等虚假信息，诱骗顾主将购货款汇入其用虚假身份在多个银行开立的账户，然后转移钱款的案件。

    除少数不法分子自己建立电子商务网站外，大部分人采用在知名电子商务网站上，如“易趣”、“淘宝”、“阿里巴巴”等，发布虚假信息，以所谓“超低价”、“免税”、“走私货”、“慈善义卖”的名义出售各种产品，或以次充好，以走私货充行货，很多人在低价的诱惑下上当受骗。网上交易多是异地交易，通常需要汇款。不法分子一般要求消费者先付部分款，再以各种理由诱骗消费者付余款或者其他各种名目的款项，得到钱款或被识破时，就立即切断与消费者的联系。

    d、利用木马和黑客技术等手段窃取用户信息后实施盗窃活动

    木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户账号和密码，并发送给指定邮箱，用户资金将受到严重威胁。

    如去年网上出现的盗取某银行个人网上银行账号和密码的木马Troj_HidWebmon及其变种，它甚至可以盗取用户数字证书。又如去年出现的木马“证券大盗”，它可以通过屏幕快照将用户的网页登录界面保存为图片，并发送给指定邮箱。黑客通过对照图片中鼠标的点击位置，就很有可能破译出用户的账号和密码，从而突破软键盘密码保护技术，严重威胁股民网上证券交易安全。

    e、利用用户弱口令等漏洞破解、猜测用户账号和密码

    不法分子利用部分用户贪图方便设置弱口令的漏洞，对银行卡密码进行破解。如2004年10月，三名犯罪分子从网上搜寻某银行储蓄卡卡号，然后登陆该银行网上银行网站，尝试破解弱口令，并屡屡得手。

    实际上，不法分子在实施网络诈骗的犯罪活动过程中，经常采取以上几种手法交织、配合进行，还有的通过手机短信、QQ、msn进行各种各 样的“网络钓鱼”不法活动。

   3.3、跨站攻击

    XSS又叫CSS(Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入Web里面的html代码会被执行，从而达到攻击者的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人经常忽略其危害性。

    就攻击者而言，可以把XSS攻击分成两类，一类是来自内部的攻击，主要指的是利用程序自身的漏洞，构造跨站语句，如:DVBBS的showerror.asp存在的跨站漏洞。另一类则是来自外部的攻击，主要指的攻击者构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当攻击者要渗透一个站点，攻击者构造一个有跨站漏洞的网页，然后构造跨站语句，通过结合其它技术，如社会工程学等，欺骗目标服务器的管理员打开。

    传统的跨站利用方式一般都是攻击者先构造一个跨站网页，然后在另一空间里放一个收集cookie的页面，接着结合其它技术让用户打开跨站页面以盗取用户的cookie，以便进一步的攻击。这种方式太过于落后，比较成熟的方法是通过跨站构造一个表单，表单的内容则为利用程序的备份功能或者加管理员等功能得到一个高权限。

    当发动CSS攻击或检测一个网站漏洞的时候, 攻击者可能首先使简单的HTML标签如(粗体),(斜体)或(下划线)，或者他可能尝试简单的script标签如。因为大多数出版物和网络传播的检测网站是否有css漏洞都拿这个作为例子。这些尝试都可以很简单的被检测出来。

    然而，高明点的攻击者可能用它的hex值替换整个字符串。这样