“图兰军”攻击事件的威胁分析

近日，一个名为"图兰军"(Turan Ordusu")的土耳其反华黑客组织成员在某黑客论坛上发帖号召土耳其黑客针对我国境内网站发起攻击，攻击后将在全球范围宣传攻击成果。不久后，“图兰军”又宣布了攻击延后。

虽然只是乌龙事件，不过也提醒了我们，虎视眈眈的攻击者是必须面对和防范的。作为网络安全的防御者，有必要对每一次过往安全事件进行分析，并中取得警示。

一、攻击事件分析

此次事件中，根据“图兰军”提供的部分攻击工具和攻击用的服务器，可以看出，其主要采取两种攻击方式：

一是Web安全方面：通过SQL注入、弱口令等方式获取后台管理权限，进而登录管理后台插入存储型的跨站代码导致跳转至黑客制作的挑衅页面；

二是DDoS方面：集中对“gov.cn”域名进行DDoS攻击，瘫痪相关服务。

分析完攻击方式，我们还要关注的就是如何防御，怎么防御。

二、Web安全防御

下文将逐项分析，当Web应用开放互联网访问服务时，所需注意的事项：

（一）网络安全方面

Web服务器一般需要将部分服务暴露在互联网上，而其它服务则进行隔离。一般可通过部署防火墙将相关服务器部署在隔离区（Demilitarized zone，DMZ），如图所示：

防火墙示意图

1. 通过防火墙将内网、DMZ区、互联网进行隔离。
2. 在防火墙上严格限制对外开放的端口，原则上只允许对外开放443端口，且不允许服务器主动访问外部，即

# 192.168.1.0/24为DMZ区的ip，只允许外部访问DMZ的443端口
permit tcp 443 source any destination 192.168.1.0/24 
# 拒绝所有其它进出流量
deny any any 

3. 特别注意：严禁将FTP、MySQL、Redis等相关应用对互联网开放

（二）系统安全方面

常规的系统、服务器、目录权限加固方法主要有：

1. 检查网站管理员的密码是否使用弱口令；
2. 修改默认的网站管理后台路径，如admin/，manager/，system/等目录修改为难以猜测的目录路径；
3. 做好网站访问日志的留存；
4. 定期对自身网站进行安全漏洞扫描；
5. 区分匿名用户、正常用户和管理用户，不同用户只允许访问不同的数据和功能。

另外，我们也可以通过部署主机型入侵检测系统强化系统安全防护，有效的检测到难以发现的安全问题，如：后门，反弹shell，恶意操作，主机组件安全漏洞，系统用户管理安全问题，主机基线安全风险等。

（三）业务安全方面

业务安全方面主要措施如下

1.处理用户访问：

通常情况下，用户分为几种类型，如匿名用户、正常用户和管理用户,不同用户只允许访问指定的数据和功能。在处理用户访问的过程中，大多数Web应用都会使用三层相互关联的安全机制，分别是身份验证、会话管理和访问控制，这三种机制相互依赖，因此任何一个部分存在缺陷都可能使Web应用遭受攻击。

现在绝大部分Web应用还是使用传统的身份验证模型，即要求用户输入用户名和密码，这种模型看似简单，但是在实现的过程中，还是经常存在缺陷，比如攻击者可以恶意猜测用户密码，或者利用逻辑漏洞等。因此，为了确保安全，还需要增加一些安全机制，如：限制用户重复登录的次数，增加短信验证码等功能。

身份验证之后的任务就是管理用户会话，而Cookie机制是实现用户会话管理最常规的方法，因此会话管理的有效性基本上取决于Cookie的安全性。可以通过给Cookie设置httponly属性，来限制客户端JavaScript直接访问cookie，从而杜绝利用跨站脚本攻击实现Cookie劫持。当然，还有其他的机制用于实现会话管理，比如重复提交证书等等，其原理基本上都是一样的，要确保Cookie或者证书这些信息的私密性。

除了身份验证和会话管理，处理用户访问最后一步就是要实施正确的访问控制机制，而典型的访问控制机制要求都较为复杂，因此容易存在大量的安全漏洞，使得攻击者能够获得未授权访问，这就要求安防人员对每一项功能进行严格的访问控制测试。

2.处理用户输入

Web安全最基本一个假设就是所有用户的输入都不可信。大量针对Web应用的不同攻击都与提交错误的数据有关，攻击者可以专门设计这类输入，引各种各样的攻击行为。一般处理用户输入的方法主要包括3种:

• 一是拒绝已知的不良输入(黑名单)
• 二是接收已知的正常输入(白名单)
• 三是净化，将数据中可能存在的恶意内容彻底删除掉或者进行适当的编码和转义。黑名单最常见的就是，过滤包含各种特殊符号的数据，比如引号、注释符号或者其他字符；白名单只允许特定的数据通过，比如就只能接收数值型的数据。对于黑名单这种方式，用户可以通过调整输入来绕过过滤，因此并不是完全安全的，相比较而言，白名单的方式更加可靠。

但很多情况下，用户必须输入具有特殊含义的数据，就不能简简单单通过黑名单和白名单的原则了，可以使用净化的方式，对特殊的字符进行转义，保证它们是安全的，然后在输出的过程中在转义回来。

3. 处理攻击行为

在处理完用户访问和用户输入之后，Web安全是不是万无一失了呢？显然不是，再好的安全机制都有可能存在漏洞，从而遭受到攻击者蓄意攻击。因此，还必须设计一套完整的机制来处理这些意想不到的攻击行为，这里面主要包括维护日志，发出警报，修复漏洞等一系列措施。

4. 部署Web安全设备

一是部署网页应用防火墙WAF，WAF代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。WAF工作在应用层，因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。

二是部署网页防篡改系统，网页防篡改系统在政府网站应用上最为常见，它能够保护网站代码文件不被篡改，是得到一致认可的有效手段。

三、DDoS攻击防御方式

分布式拒绝服务攻击DDoS，是指黑客通过控制大量的肉鸡或服务器，对目标发送海量合法的请求，从而占用目标的网络资源或计算资源，使正常用户无法访问，造成服务瘫痪。

DDoS攻击本质上利用的是合法的访问请求，所以实施攻击轻而易举，而防守攻击则头痛不已。目前来说，应对DDoS的方法主要是三板斧：

头板斧：小流量封锁

业内一般在本地会部署一些简单的抗DDoS设备（ADS设备），对流量进行分析，检测到DDoS攻击后立刻通过防火墙进行阻断，或通过路由黑洞、路由协议转发等方式进行流量封锁。当然，小流量封锁的方式在攻击流量超过出口带宽时，就不再有效了。

二板斧：大流量清洗

大流量清洗主要依托运营商服务，借助运营商的能力进行带宽扩容或数据清洗，一般是由运营商根据netflow抽样检测到网络中的DDoS攻击行为，进行清洗。

三板斧：CDN分流

内容分发服务（CDN）是指通过在网络各处放置节点服务器，让用户能够就近访问网站服务。在出现DDoS攻击时，我们可以将所有静态站迁移到CDN去，进一步稀释攻击流量。

结论语

为全面的识别信息安全威胁，我们往往需要建立威胁情报库。可以通过采取识别威胁、分析威胁、提出对策的方式，分解过往历史安全事件，提炼全面、可靠的威胁点，进而输入并完善我们的威胁情报库，为应对类似事件提供基本参考和遵循。