编者按：打造一个坚固的、“百毒不侵”的系统是每个计算机用户的共同梦想。也是像微软这样的操作系统生产厂商的梦想和前进的目标。从Windows 诞生的那一天起，这个梦想正在一步步的走近。但是随着网络狂潮的来临，这个梦想似乎又开始渐行渐远……

　　Windows XP的系统稳定性已经有了很大的提升，但还是不可避免地遭到了大量的攻击，而这些攻击几乎都是借助了Windows XP与生俱来的系统漏洞问题。像这样借助漏洞攻击的情况比比皆是，不光是微软的操作系统，UNIX、Linux 、Solaris ……同样会因为漏洞问题，遭到莫名其妙的攻击。其他的应用软件也同样如此，Office、Foxmail 、OICQ等并不比Windows 更让人放心。但是，仅仅因为程序的漏洞，就能造成我们对某些恶意威胁束手无措吗？不是的，除了程序漏洞外，还有其他更多的因素都给恶意攻击者们留下了机会，包括系统管理员水平问题、用户使用计算机习惯的问题、网络环境问题、安全产品性能问题等多个方面。这些往往是真正的炸弹，而系统漏洞不过是个引线罢了。

　　系统漏洞是敞开的大门

　　据调查，目前有90% 以上的Windows2000/XP/2003 用户没有给系统漏洞打上补丁程序。随着一系列高度危险的攻击代码出现在网络上，这些用户正处于严重的安全威胁之中。漏洞使系统非常危险，它可以使攻击者或病毒很容易取得系统最高权限，然后 “想干什么就干什么”。利用从网上下载的公开代码对未打补丁的系统进行攻击，成功率可以达到80% ；稍作技术改进之后，攻击成功率接近百分之百。

　　最危险的还不是利用此漏洞进行的黑客攻击，而是利用此漏洞的病毒将会很快出现。去年肆虐的冲击波病毒最主要的表现形式就是让系统不断重新启动，而这只是病毒造成破坏的一个方面，如果当初它在其中加入破坏硬盘数据功能的话，那冲击波病毒造成的损失恐怕就会更大了。

　　目前已知的网络攻击方法就有数百种之多，比如利用系统的缓冲区漏洞取得系统控制权或进行拒绝服务攻击和蠕虫病毒攻击，对网络进行嗅探监听以获取各种账号和密码，口令破解攻击，IP地址欺骗等。大部分的攻击在正式开始之前，都要先进行网络系统弱点的探测。

　　一般来讲，一次成功的网络攻击行为有以下几个步骤构成：攻击者身份隐藏、目标系统信息收集、网络系统弱点探测、利用弱点实施攻击、成功后开辟后门和日志清除。在这个过程中，目标系统信息收集和网络系统弱点探测往往是同时进行的，可以借助已有的工具，但有时更需要根据已有信息进行分析和弱点挖掘。对黑客或攻击者而言，弱点探测对成功入侵起着非常重要的作用，对于网络管理员，更有必要掌握弱点探测的基本方法，了解己方系统的弱点并及时修补。

　　只安装了反病毒软件的用户要警惕起来了，因为目前的安全情况是：漏洞问题带来的危机越来越严重，单纯的反病毒产品对保障网络安全的作用正变得越来越小，网络更需要立体的保护。很多反病毒厂商都注意到了这一点，并把一部分工作放到了研究系统漏洞上来。

　　当前网络结构弱点多

　　TCP/IP协议簇作为Internet的核心协议，在设计之初并未考虑到安全问题，这使得它存在许多弱点。比如WWW 服务使用的HTTP协议、FTP 协议都是该协议簇中的应用层协议，都存在不少的漏洞。此外，它还存在以下弱点：IP数据包源地址可以改变，从而使攻击者隐藏自己真实IP地址；TCP 序列号空间有限，使得攻击者通过猜测序列号而劫持TCP 会话连接；TCP/IP在传输信息过程中未加密，易受监听。

　　除了网络传输协议外，网络基础硬件设施也存在弱点。路由器是网络的神经中枢，所有在网络之间传递的数据包都要经过路由器。若将受控主机的IP设为路由器的IP地址，引起IP地址冲突，就可以破坏路由器的正常工作。由于单个路由器处理能力有限，发送大量垃圾数据包可以导致其拒绝服务。有些路由器安全性较差，密码明文存放或只经过简单加密，使黑客可以直接控制路由器，网络上就有专门攻击Cisco 路由器的软件。

　　除了路由器，域名服务器(DNS )也是网络中的重要设备，它提供域名解析服务，负责主机名和IP地址间的相互转换。有些DNS 配置不当，使黑客很容易地控制域名服务器为其服务。DNS 通过客户/ 服务器方式提供域名解析服务，但用户很难判断所得到的回答信息是否真实有效。黑客可以构造虚假的应答信息，将用户导向其它网站，骗取用户的账号和密码。

　　正是基于网络结构的弱点，使得越来越多的病毒利用互联网的各个通道传播，新的恶性病毒也不再设计为加强传播而预留的潜伏期了，一般中招后都会立即发作。当一个新病毒出现后，可以在数小时内遍布全球。

　　用户应提高安全意识用户上网浏览所看到的网页，大部分都通过在网页上加载ActiveX 控件和JavaScripts 代码来增强网页吸引力，浏览器则可以从被浏览的网页中下载或运行相应的程序。一般情况下，这些程序能够安全地运行。但是在浏览器漏洞未修补时，就很容易遭到恶意代码的破坏，这些自动执行的程序，是恶意攻击者的最爱。

　　其实防止这类攻击的方法很简单，就是及时修补漏洞。一般可以使用Windows Update功能，有的杀毒软件也提供修补程序。另外，正确配置浏览器的安全选项也很重要，在ActiveX 控件出现时，浏览器会弹出消息框，询问用户是否准备接受该控件。用户在选择“是”之前一定要考虑清除，否则只能望屏幕兴叹了。对于Java程序，一般还是禁止的好。而选择中级安全设置基本可以保证安全地在网上冲浪。

　　电子邮件也是诱骗人们上当的主要手段，是新型病毒入侵的主要通道。因为目前的电子邮件几乎没有任何安全控制机制，而且许多人至今都会非常草率地打开电子邮件中的附件。有的病毒(如求职信病毒)可以利用Outlook 的漏洞自动打开附件，这就更加危险。目前比较好的防范手段就是使用邮件防火墙过滤邮件，有的防病毒软件有这样的功能，比如诺顿。

　　前几天的“MSN 病毒”的爆发又展示了病毒入侵的一条新的途径。该病毒采用了通过QQ和MSN 双传播的方式，因此传播感染速度非常快。病毒会通过QQ和MSN 发送大量的垃圾信息和“Funny.exe ”病毒文件，同时用病毒文件替换系统文件，造成某些用户重启机器之后无法正常开机，给用户带来了非常大的困扰。因此，用户在遇到QQ或MSN 用户传送过来的文件时，不要轻易打开。目前透过聊天工具QQ、ICQ 、 MSN 传播的病毒并不少，其中以木马程序为首，让用户大上其当。

　　不过对付这种病毒的方法其实也很简单，就是不明文件不要接受，不过做到这一点，还真的需要很强的安全意识才行。安全专家也建议：在使用网络资源时，应该保持警觉，不要轻信网友，草率点击相关链接，推荐在资源管理器的文件夹选择设置为查看所有文件，并且显示文件的扩展名，对可执行文件一定不要掉以轻心，因为谁也无法预计一个不知名的程序运行后的后果。即使用防毒软件检查过，也不要轻易执行。做到了以上几点，相信被病毒骚扰的次数会大大减少。

　　安全产品需强身键体

　　网络安全产品在很大程度上提高了网络系统的安全性，但不可否认这些安全产品中同样存在着弱点。比如防火墙需要人工配置，一旦配置不当，攻击者可以绕过或直接控制防火墙。防火墙无法阻止攻击者通过后门进行的攻击。防火墙的运行易受其它系统的影响，例如，攻击域名服务器，修改防火墙的域名和IP地址对应数据，干扰防火墙的运行。对于开放Web 服务的主机，可以利用CGI 程序来留置后门，防火墙对此就无能为力了。有些防火墙不检查高段端口，攻击者就可以开个高段shell 后门。

　　还有近段时间饱受质疑的入侵检测系统(IDS )，由于需要处理大量的数据包，使计算机资源开销大，所以容易受到拒绝服务攻击。由于 IDS 体系结构上的弱点，会使IDS 产生大量误报信息，干扰了系统管理员对攻击事件的分析。IDS 检测算法上也存在着弱点，许多IDS 只能检测已知的攻击，攻击者可以变换攻击的形式从而使IDS 失效。例如，IDS 通过检查数据包中是否含有/bin/sh 或大量的NOP 指令来判断是否在进行缓冲区溢出攻击，攻击者可以变换/bin/sh 的编码形式使之不同于IDS 中用于检测的相应编码，这样IDS 就不能发挥作用了。现在很多安全厂商都在推出入侵防御系统(IPS )产品，据称，这是解决IDS 误报问题的替代者。

　　系统管理员水平有待提高

　　大量攻击事件表明，一个网络系统被攻破，不是由于技术原因，而是因为管理上存在着弱点。例如，某个用户安全意识淡薄，他在访问一个重要网络系统时设置了一个弱口令，攻击者就可以通过口令猜测获得系统的一般访问权，然后利用本地漏洞获得系统控制权。所以就有必要对员工进行安全培训。网络信息安全防御体系是由多个部分构成的统一体，主要包括加密机制，访问控制和认证机制，防火墙和IDS 等安全产品，应急响应，数据备份和数据恢复，用户安全意识与素质，规章制度的执行。这就存在着一个管理与协调的任务，这个任务主要由网络管理员来负责。一位密码学专家说过，安全是一条锁链，这条锁链上任何一个弱点都可以破坏整个系统。此外，取得高级管理层的支持也非常重要。

　　目前的网络管理员有必要了解网络系统中存在的弱点，同时应该了解攻击者如何利用系统弱点进行攻击的。网络管理员可以对自己的系统进行弱点探测，也可以对自己的系统进行善意攻击以找到系统弱点，及时地予以修补。可以说，系统管理员的工作是一场和威胁攻击赛跑的工作，必须在威胁来临之前，早一步找到系统漏洞并修补好。不过遗憾的是，具有这种意识的系统管理员太少了，甚至很多公司都没有专门的人员管理网络，都是在系统出现问题后，再到外面请人来修复，有时候，这样做为时已晚。