企业网站常见攻击及其应对策略

企业网站常见攻击及其应对策略桂友武，桂友超（湖南工学院，湖南 衡阳 421000）摘 要：企业网站会经常受到黑客的攻击，主要讨论常见的脚本漏洞、旁注、缓冲区溢出、分布式拒绝服务、解码攻击等五种攻击方式

企业网站常见攻击及其应对策略

桂友武，桂友超

（湖南工学院，湖南 衡阳 421000）

摘 要：企业网站会经常受到黑客的攻击，主要讨论常见的脚本漏洞、旁注、缓冲区溢出、分布式拒绝服务、解码攻击等五种攻击方式及其应对策略。

关键词：脚本漏洞攻击；旁注攻击；缓冲区溢出攻击；分布式拒绝服务

Enterprise Website Common Attack and Should to the Strategy

GUI You-wu, GUI You-chao

(Hunan Institute of Technology ,Hengyang, Hunan 421000, China)

Abstract: The enterprise website can come under hacker's attack frequently. This article main discuss common Script Loophole Attack, Attack from Margent, Buffer Overflow Attack, DDoS, Decryption Attack and so on five forms of defensive action and should to the strategy.Key words: Script Loophole Attack;Attack from Margent; Buffer Overflow Attack;DDoS

随着Internet 的发展，越来越多的企业开展了电子商务。但企业在享受电子商务带来的快捷便利的同时，也常常被非法访问入侵所困扰，黑客利用计算机系统或网络漏洞成功攻击企业网站的事件屡有发生。目前，黑客对企业网站的攻击方法主要有脚本漏洞、旁注、缓冲区溢出、分布式拒绝服务、解码攻击等，只有了解企业网站的各种攻击方法、特征及产生的后果，对症下药加以防范，才能确保企业网站的安全。

面友好，解决了网站内容管理复杂、维护难的问题，但它的源代码很容易在网上找到，让黑客攻击网站轻而易举。

应对策略是：不同的编程语言有不同的安全性要求，以A S P 为例，按照如下方法处理，编写严密的代码，建立输入字符过滤的检查机制；凡涉及用户名与口令的程序均封装在服务器端，尽量少在A S P 文件里出现；涉及与数据库连接的用户名与口令给予最小的权限，在理想状态下只给它以执行存储过程的权限，不直接给予该用户修改、插入、删除记录的权限；出现次数多的用户名与口令写在一个位置比较隐蔽的包含文件中；过滤用户输入内容以防S Q L 注入攻击；保护好网站的数据库，不把数据库名写在程序中，且用不规则的、非常规的名字给数据库文件命名，并把它放在几层目录下。

1脚本漏洞攻击

这是针对企业网站使用最多的一种的攻击手段。企业网站存在的脚本漏洞让黑客越来越猖狂、越来越低龄化和傻瓜化。“在网上下载一个工具就可以黑站”，这就是脚本漏洞的特点。脚本漏洞的主要成因是编程程序员的素质。由于编写网页程序这个行业的入门门槛不高，程序员的水平及经验参差不齐，一部分程序员在编写ASP 或PHP 等程序代码时，对字符的过滤不严密，对注入漏洞不了解，或者某个参数忘记检查，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患，导致脚本漏洞。存在脚本漏洞的网站黑客可通过提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这是脚本漏洞中最普遍的一种攻击-S Q L 注入攻击。企业网站尤其是中小企业网站，大多委托网站制作公司开发，代码千篇一律，甚至一些网站采用了现成的整站及内容管理系统，比如动易、动网等，这些网站管理系统虽然功能强大、界

2 旁注攻击

旁注是黑客对中小企业网站典型攻击手段之一。旁注又分为域名旁注和I P 旁注。域名旁注攻击通过一个域名绑定的IP 查询这个IP 上面解析了多少个域名，由此查出同一个服务器所挂的全部网站，黑客只要渗透同一服务器中安全性能最差的网站，再通过提权或配置不当等方式入侵目标网站。中小企业网站限于资金和人员的缺乏，大多将自己的网站进行了托管，每年只需交纳几百元空间费便可放在一个虚拟主机上面，而一个虚拟主机通常有多个企业网站。黑客若要对某个企业网站进行攻击，只需通过目标网站服务器上的其他网站拿下服务器的权限，或者在其

他网站目录里上传一个脚本木马便可对目标网站进行操作。旁注的工具在网上非常容易得到，例如比较著名的domain(明小子) 旁注工具，只需要将可能是放置在虚拟主机上的网站的网址输入进去，工具将自动化分析，找到虚拟主机上的其他存在漏洞的网站，然后得到主机的控制权，对该虚拟主机下的网站一并进行攻击。

应对策略是：若企业自身没有能力购买服务器，一定要选择信誉度好、保护措施完善的虚拟主机空间提供商放置网站内容。黑客之所以能“旁注”是因为I I S 对于远程的普通用户访问设置了一个专用的“IUSR 机器名”的账号，IIS用“IUSR 机器名”的账号来管理所有网站访问权限，若给每个网站分别设置一个单独的I I S 控制账号，IIS控制账号的权限设为GUESTS 组，这样即使黑客通过服务器的一个网站拿到权限，也只是这个网站的权限，服务器其他网站没有权限可以访问。另外，可使用域名绑定方法，先将域名的A 记录绑到一个无用的I P 上，再在下面把同一个域名绑到正确的I P 上，这样黑客使用W H O I S 查询就会去查询那个无用I P 上的信息，得不到所期望的结果。

3 缓冲区溢出攻击

缓冲区溢出攻击利用了目标程序的缓冲区溢出漏洞，通过操作目标程序堆栈并暴力改写其返回地址，从而获得目标控制权。它的原理是向一个有限空间的缓冲区中拷贝过长的字符串，这带来两种后果，一是过长的字符串覆盖了相邻的存储单元而造成程序瘫痪，甚至造成宕机、系统或进程重启等；二是可让黑客运行恶意代码，执行任意指令，甚至获得超级权限等。缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。在2006年集中爆发的W i n d o w s 操作系统的溢出漏洞，被一些黑客利用并制作出溢出工具，这些工具广泛传播，让许多企业网站成为这些工具的试验品。2007年，一些常用软件都相继受到缓冲区溢出攻击，如即时聊天软件Q Q 出现溢出漏洞、著名杀毒软件卡巴斯基致命的畸形参数漏洞、瑞星注册表修复工具溢出、解压缩软件 Winrar 文件名溢出、Flash播放器Flv 文件解析溢出漏洞、字处理软件Word 畸形数据结构溢出漏洞，让人眼花绦乱，更不用说企业网站。缓冲区溢出作为一种非常危险的手段，需要了解它的基本原理，防患于未然。

应对策略是：对于缓冲区溢出的防范，惟一真正有效的办法是对来自用户的输入数据做全面细致的检查，查看其中是否存在常见的函数调用失误。同时，启用堆栈执行

保护机制。在编写代码时注意数组边界检查、指针完整性检查。对Windows Server 2003、Linux等操作系统平台把缓冲区设置为不可执行，亦可阻止攻击者植入攻击代码，大大降低各种缓冲区溢出攻击手段的成功机会。

4拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击

DoS 是指一个用户占据了大量的共享资源，使系统没有剩余的资源给其他用户的一种攻击方式。DoS的攻击方式有很多种。最基本的D o S 攻击就是利用合理的服务请求来占用过多的服务资源，致使服务超载，无法响应其他的请求，从而无法为合法用户提供服务。Do S 造成的后果是消耗带宽、侵占资源，甚至使系统和应用崩溃。由于DoS 攻击本身需要相当大的带宽，而以个人为主的黑客很难享用。为了克服这个缺点，黑客开发了分布式拒绝服务攻击（DDoS)。DDoS是在传统的DoS 攻击基础上产生的攻击方式，是攻击者利用己经侵入并控制的傀儡机，对目标发起攻击。攻击者控制的傀儡机数量可能达到数百台甚至更多。在网络带宽力量对比悬殊的情况下，目标主机很快就会失去反应，无法提供对外服务。因此，它的攻击伤害比一对一的拒绝服务攻击要强大得多，也难防范得多。 一般而言，遭受DDoS 攻击时的特征有：

(1)受害主机上有大量等待的TCP 连接；

(2)网络上充斥着大量的垃圾数据包，源地址为假；(3)制造高流量无用数据，造成网络拥塞，使受害主机无法正常与外界通信；

(4)利用受害主机提供的服务或传输协议上的缺陷，反复高速地发出特定的服务请求，使受害主机无法正常处理合法用户的正常请求；

(5)造成系统死机。

Internet 的连通性和开放性，使得攻击者几乎拥有取之不尽的攻击资源。DDoS攻击对于企业网站的杀伤力是非常巨大的，最后的结果往往是导致网站完全瘫痪，带宽被耗尽，系统无法对用户做出响应，严重影响正常业务的开展。

应对策略是：对付DDoS 攻击的首要防线就是预防攻击的产生。安装反病毒和反木马软件，并及时升级，及时更新软件补丁弥补已知安全漏洞；设计安全的网络协议，如只有客户身份通过认证后，才分配系统资源等方法来进行攻击前的预防。同时，在网络上设立过滤器或侦测器，在信息到达网站服务器之前阻挡信息。过滤器会侦察可疑的访问行动。如果可疑访问经常出现，过滤器就会接受指

示，阻挡相应的信息，让服务器的对外连接保持畅通。防火墙也是目前阻挡DDoS 的常用设备。防火墙作为访问控制设备，通过设计访问策略，能够对DDoS 起到一定防范作用。

除了以上提到的五种企业网站攻击方式，此外还有网页篡改攻击、病毒攻击、网络监听攻击、提高权限攻击、伪装攻击、解码攻击、网络嗅探攻击等，在此不再一一细述。总之，随着I n t e r n e t 和计算机技术的不断发展，黑客攻击的手段也在不断翻新，各种新的攻击技术层出不穷。对于每一种攻击技术，企业都应当有安全应对策略，及时跟踪国际最新安全技术，掌握新的安全应对措施，及时堵塞安全漏洞，不让黑客有机可乘。只有这样，才能确保企业网站的安全。

5 解码攻击

在网络中，密码是用户身份验证的一种方式，各种弱口令会带来许多重大的安全隐患，比如系统弱口令、网站弱口令、MSSQL弱口令、FTP弱口令等。通常，许多企业网站中所设的管理员密码非常简单，虽然易记却给攻击者提供了方便，而且在多处需要密码保护的地方使用同一密码，长时间不更换，这更增加了危险性。密码破解也是黑客攻击的一种常见方式，黑客往往采用自己生成的字典对各种密码进行暴力破解，破解软件有x-scan、hscan等。系统弱口令分为管理员权限和普通权限，一旦黑客取得管理员权限的密码将对企业对网站构成极大威胁。

应对策略是：针对企业网站管理员设置密码简单、重复的情况，建议使用大写字母和小写字母、标点和数字的集合，在不同账号里使用不同的密码并有规律地更换密码；密码至少要6个字符，密码字符数越多，就越难被查出；不要使用可轻易获得的关于个人的信息，如电话号码、出生年月、手机号码、居住处的城市名字或是单位名作为密码；如果密码很多，难以记忆的话，可以使用密码存储软件，或是使用加密方式来进行另一种方式的储存。

参考文献：

[1] 连一峰, 王航．网络攻击原理与技术[M ]．北京:科学出版社,2004.

[2] 许治坤．网络渗透技术[M]．北京:电子工业出版社,2005. [3] 莫尉, 王国秋．缓冲区溢出漏洞攻击的分析研究[J]．计算机与现代化, 2007,(04).

[4] 蒋涛．缓冲区溢出原理及防护[J ]．计算机安全, 2005,(06).

[5] 温怀玉．旁注入侵与网站安全[J]．沪州职业技术学院学报,2006,(04).

作者简介：桂友武(1967-)，男，湖南工学院计算机系教师，工程师职称，研究方向：电子商务、软件工程。收稿日期：2009-02-12