中國電信股份有限公司江蘇分公司操作維護(hù)中心 楊飛
電信網(wǎng)絡(luò)面臨的安全形勢(shì)分析
中國電信股份有限公司江蘇分公司操作維護(hù)中心 楊飛
摘要:分析了電信網(wǎng)絡(luò)新出現(xiàn)的安全問題,NTP(網(wǎng)絡(luò)時(shí)間協(xié)議)新型攻擊的特點(diǎn)是攻擊流量龐大,用戶比較容易忽視,蠕蟲和木馬危害影響范圍較廣,手機(jī)病毒和木馬頻繁出現(xiàn)。提出了應(yīng)對(duì)措施。
關(guān)鍵詞:網(wǎng)絡(luò)安全;網(wǎng)絡(luò)攻擊;應(yīng)對(duì)措施
2014年,隨著互聯(lián)網(wǎng)各類終端的多樣性增加,上網(wǎng)用戶除了傳統(tǒng)的PC(個(gè)人計(jì)算機(jī)),增加了OTT(over the top,網(wǎng)絡(luò)業(yè)務(wù))盒子、智能手機(jī)、Pad等多種上網(wǎng)方式。用戶上網(wǎng)方式豐富的同時(shí),網(wǎng)絡(luò)安全問題出現(xiàn)了新的變化,目前用戶選擇寬帶、手機(jī)上網(wǎng)時(shí),更多考慮價(jià)格和速度因素,其實(shí)安全因素也應(yīng)該成為一個(gè)重要的考量指標(biāo),只有在安全的網(wǎng)絡(luò)環(huán)境下,用戶使用和速度才是有意義的。現(xiàn)對(duì)電信網(wǎng)絡(luò)新出現(xiàn)的安全問題進(jìn)行分析。
2014年1月以來,出現(xiàn)以NTP(網(wǎng)絡(luò)時(shí)間協(xié)議)攻擊為代表的新型UDP(用戶數(shù)據(jù)包協(xié)議)放大攻擊。NTP攻擊的特點(diǎn)是攻擊流量龐大,用戶比較容易忽視。NTP的作用是通過網(wǎng)絡(luò)使計(jì)算機(jī)之間的時(shí)間同步。目前觀察到NTP的攻擊放大比能夠達(dá)到600倍,即1 Mb/s的請(qǐng)求,可以產(chǎn)生600 Mb/s的攻擊流量。
省內(nèi)存在NTP漏洞的用戶有大學(xué)、企業(yè)、云計(jì)算虛擬化較多的單位。根據(jù)目前CERT(計(jì)算機(jī)安全應(yīng)急響應(yīng)小組)的數(shù)據(jù),互聯(lián)網(wǎng)上開放UDP 123端口(NTP服務(wù))的服務(wù)器約有80萬臺(tái)。其中,頻繁被請(qǐng)求的服務(wù)器約為1 800臺(tái),在監(jiān)測(cè)發(fā)現(xiàn)的被請(qǐng)求次數(shù)最多的前50個(gè)NTP服務(wù)器中,IP地址主要位于美國(56%)和中國(26%)。
互聯(lián)網(wǎng)上的自動(dòng)化掃描和攻擊呈現(xiàn)普遍、頻繁的態(tài)勢(shì),主要目的是建立僵尸網(wǎng)絡(luò)和盜取特定用戶信息,受害的大部分是個(gè)人用戶和管理松懈的企業(yè)主機(jī)。
從處理情況看,大部分用戶對(duì)自己的主機(jī)被種植木馬一無所知,用戶范圍覆蓋了政府、銀行、企業(yè)等各類機(jī)構(gòu)。
與此同時(shí),全省連續(xù)查獲了仿冒著名銀行的釣魚網(wǎng)站事件,處理了仿冒卡塔爾銀行、美國大通銀行、法國Visa組織等事件。
在處理過程中,發(fā)現(xiàn)是黑客入侵了正常的網(wǎng)頁,主要由于正常經(jīng)營(yíng)的企業(yè)Web頁面存在漏洞,包括文件類型和寫入權(quán)限異常。導(dǎo)致黑客將釣魚網(wǎng)站的鏈接嵌入正常的Web頁面中。
連續(xù)出現(xiàn)多起偽造國外金融類機(jī)構(gòu)的事件,也說明黑客組織盯上了江蘇網(wǎng)內(nèi)的主機(jī),頻繁利用有漏洞的Web頁面放置釣魚網(wǎng)站。
從最近2個(gè)月(2014年2~3月)監(jiān)控的情況分析,已有較大量的手機(jī)在上網(wǎng)訪問時(shí)被監(jiān)測(cè)出存在被掛馬的情況。
相對(duì)于普通PC機(jī),用戶對(duì)手機(jī)的應(yīng)用更加頻繁,但安全意識(shí)會(huì)更薄弱。因?yàn)楹芏嗍謾C(jī)用戶還意識(shí)不到安卓、蘋果系統(tǒng)的手機(jī)其實(shí)就是一個(gè)小電腦,而手機(jī)的安全控制和電腦相比更薄弱。比如電腦上的個(gè)人銀行賬戶可以使用U盾等第三方工具加密,而手機(jī)主要依靠軟件、短信等方式進(jìn)行驗(yàn)證。手機(jī)上各類自動(dòng)推送、獲取的信息更加頻繁,用戶中招的幾率大于電腦。
微軟宣布Windows XP的支持將在2014年4月8日結(jié)束,不再提供更新和補(bǔ)丁文件。由于大量的XP用戶不會(huì)升級(jí)到Windows 7等系統(tǒng),這些XP用戶未來可能會(huì)成為黑客爭(zhēng)相利用的對(duì)象。
用戶家用路由器成為攻擊的熱點(diǎn),如X-link多個(gè)型號(hào)的路由器被曝存在后門漏洞,黑客可以完全控制路由器,監(jiān)控所有接入該無線網(wǎng)絡(luò)的電腦、智能手機(jī)、Pad等設(shè)備的上網(wǎng)流量,從而竊取用戶的重要賬號(hào)密碼、植入木馬病毒等。
1)積極響應(yīng)、加強(qiáng)溝通。
加強(qiáng)和省通信管理局、各類安全組織、安全公司的溝通和響應(yīng),因?yàn)楝F(xiàn)有大部分安全預(yù)警、漏洞發(fā)布的信息來源于以上機(jī)構(gòu)和組織,而省內(nèi)的有效發(fā)現(xiàn)和處理,提供完整的反饋,可以加強(qiáng)這樣的正循環(huán)。
2)針對(duì)重點(diǎn)問題延伸排查。
舉一反三,安全問題一般是共性問題,與傳染性疾病類似,在控制好的地方,發(fā)生率就低,危害就小,恢復(fù)就快速。所以運(yùn)營(yíng)商之間加強(qiáng)溝通和交互,是推動(dòng)問題解決的有效途徑。
3)加強(qiáng)針對(duì)用戶的宣傳和安全知識(shí)普及。
安全問題不只是運(yùn)營(yíng)商和相關(guān)管理部門的工作,需要用戶積極參與和配合,平時(shí)需要加強(qiáng)宣傳和普及,對(duì)涉及用戶最重要的網(wǎng)銀、網(wǎng)上購物、個(gè)人隱私等安全問題進(jìn)行宣傳和普及,提高用戶對(duì)安全問題的關(guān)注、知曉和重視程度。◆