3、利用程序自动更新存在的缺陷

　　主流软件供应商,像Microsoft和Apple Computer等都允许用户通过Internet自动更新他们的软件。通过自动下载最新发布的修复程序和补丁，这些自动更新工具可以减少配置安全补丁所耽误的时间。

　　但是程序允许自动更新的这个特征却好比一把双刃剑，有有利的一面，也有不利的一面。攻击者能够通过威胁厂商Web站点的安全性，迫使用户请求被重定向到攻击者自己构建的机器上。然后，当用户尝试连接到厂商站点下载更新程序时，真正下载的程序却是攻击者的恶意程序。这样的话攻击者将能利用软件厂商的自动更新Web站点传播自己的恶意代码和蠕虫病毒。

　　在过去的六个月中，Apple 和 WinAmp 的Web站点自动更新功能都被黑客成功利用过，所幸的是发现及时(没有被报道)。Apple 和 WinAmp 后来虽然修复了网站的缓冲溢出缺陷，并使用了代码签名(Code Signing)技术，但基于以上问题的攻击流一直没有被彻底清除。

　　为了预防这种潜在的攻击威胁，需要严格控制和管理安装在你的内部网机器上的软件，禁止公司职员随意地安装任何与工作无关的应用软件。在这里，你可以使用软件管理工具来强迫执行，像 Microsoft 的 SMS，LANDesk SOFTware 的 LANDesk。这两个工具只要二者择其一，你就可以配置你的内部升级服务器，如通过在工具中对微软软件升级服务器相关选项进行配置，你可以具体选择哪个修复程序和补丁允许被安装。为保护你的网络，可使用sniffer测试所有的补丁，如发现网络流量不正常或发现开放了陌生的端口则需引起警觉。

　　4、针对路由或DNS的攻击

　　Internet主要由两大基本架构组成：路由器构成Internet的主干，DNS服务器将域名解析为IP地址。如果一个攻击者能成功地破坏主干路由器用来共享路由信息的边界网关协议（BGP），或者更改网络中的DNS服务器，将能使Internet陷入一片混乱。

　　攻击者通常会从头到脚，非常仔细地检查一些主流路由器和DNS服务器的服务程序代码，寻找一些能够使目标程序或设备彻底崩溃或者取得系统管理权限的缓冲溢出或其它安全缺陷。路由代码非常复杂，目前已经发现并已修复了许多重要的安全问题，但是仍旧可能存在许多更严重的问题，并且很可能被黑客发现和利用。DNS软件过去经常发生缓冲溢出这样的问题，在以后也肯定还可能发生类似的问题。如果攻击者发现了路由或DNS的安全漏洞，并对其进行大举攻击的话，大部分因特网将会迅速瘫痪。

　　为了防止遭到这种攻击，确保你的系统不会被作为攻击他人的跳板，应采取如下措施：

　　对公共路由器和外部DNS服务器进行安全加固。如果公司的DNS服务器是为安全敏感的机器提供服务，则应为DNS服务器配置防火墙和身份验证服务器。

　　确保DNS服务器安装了最新补丁，对DNS服务器严格监控。

　　如果你认为是由ISP的安全缺陷造成的威胁，确保你的事件紧急响应小组能够迅速和你的ISP取得联系，共同对付这种大规模的网络攻击。

　　5、同时发生计算机网络攻击和恐怖袭击

　　这可以说是一场双重噩梦：一场大规模的网络攻击使数百万的系统不能正常使用，紧接着，恐怖分子袭击了一个或者更多城市，例如一次类似9/11的恐怖爆炸事件或者一次生化袭击。在9/11恐怖袭击事件后，美国东部的几个海岸城市，电话通信被中断，惊恐万分的人们不得不通过E-MAIL去询问同事或亲人的安全。由于这次袭击，人们发现 Internet 是一种极好的传媒(还有电视传媒)。但是我们不妨假设一下，如果此时爆发超级蠕虫，BGP和DNS被遭到大举攻击，那么在我们最需要它的时候它也将离我们而去,可以想象将是一种什么样的糟糕场面。但是这又并不是不可能发生的。

　　我们要居安思危，为这种灾难的可能发生作好应急准备是相当困难的：

　　作好计算机的备份工作；

　　除给紧急响应小组配备无线电话外，还需配备全双工传呼设备；

　　要确保你的计算机紧急响应小组有应付恐怖袭击的能力；

　　要假想可能出现的恐怖袭击场面以进行适当的演习，以确保真正同时发生网络攻击和恐怖袭击时，他们能够迅速、完全地进入角色。

　　也许有人会认为我们这样做可能都是杞人忧天，但是，笔者有理由相信这样的事情在未来的5年中是完全有可能发生的，只不过所使用的攻击技术可能是我们在上面所列举出来的，可能是我们所没有预计到的。

--
原文链接: http://www.enet.com.cn/article/2006/0720/A20060720140199.shtml