【连载】2016年中国网络空间安全年报（四）

2016年中国网络空间安全年报

1.5. 网站安全管理问题深度分析案例

本章节重点选取站点管理中其中较为典型的三类问题，如基础备案信息、钓鱼站点、僵尸站点等进行分析，分析说明当前站点安全问题中，除了由于技术类问题导致的安全隐患还存在大量管理类隐患，已经或即将引发安全事件。

1.5.1. ICP备案与whois注册单位不一致

根据风暴中心监测分析，部分站点ICP备案与whois信息不一致是网站存在的管理乱象之一。典型案例如如某站点st*.gov.cn，通过对此域名进行ICP备案查询，发现该站点的备案单位为石台县某单位：

▲ 图 1‑11 某站点 ICP备案查询

而通过对其whois信息匹配，显示该站点的联系人为汕头市某单位：

▲ 图 1‑12 某站点whois信息查询

根据风暴中心监测，国内政务行业中已出现多例网站备案信息与whois信息不一致的状况，此类现象将会使得网站的管理出现混乱，对政府的公信力有着十分严重的影响，建议此类站点及时做好整改，规范网站备案与注册信息，以便更好地服务群众。

1.5.2. 钓鱼网站具有盈利与政治影响目的

钓鱼网站的内容与原站点接近一致，常常仿冒盈利性站点，如仿冒电子商务类、金融类站点进行钓鱼诈骗。根据2016年风暴中心监测发现，国内含有大量的钓鱼网站，多为仿冒淘宝天猫、京东等大型购物商城页面，由此误导网民点击钓鱼链接购买商品，不知情的用户会输入用户名密码、银行卡密码等，继而损失大量钱财。

▲ 图 1-13 钓鱼网站截图取证示例

近年来，也发现了仿冒电子政务站点的网站，如成都市城乡房产管理局曾发布消息称有社会网站仿冒其门户网站，建立了一个名为“四川省住房保障和房地产管理局”的网站（网址：http://www.scfgj-gov.cn/），而其单位真实地址为http://www.cdfgj.gov.cn/Default.aspx。该网站整体复制、仿冒了其门户网站的栏目名称、网站布局、风格和内容，具有迷惑性和误导性。除此之外，四川省地税局站点、多省份的住房保障与房管部门的官方网站均曾被仿冒，仿冒手法均十分相似。这类问题要求网站建设管理部门加强对自身站点在互联网中的仿冒情况、钓鱼情况的监测，及时发现及时处理，以防用户上当受骗造成损失。

1.5.3. 大量网站无人维护成为僵尸站点

僵尸站点是由于长期无人维护、无人管理的原因，造成只开放了域名与WEB服务，页面只显示服务器默认的页面，没有运营实质性内容的情况。

根据风暴中心2016年度监测，全国重要行业中共有4505个站点为僵尸站点，典型的如“3g.hjbhlxx.*.gov.cn”、“data.mobile.meitu.com.*.edu.cn”等二级域名。有不少的僵尸网站中开放大量的高危端口，严重危及服务器的安全，一旦被黑客控制，很有可能危及其它相关联的服务器安全，应该立即关停。

▲ 图 1-14 服务器显示默认页面示例

2. 互联网应用遭受攻击情况分析

本次互联网应用攻击分析数据来源于安恒风暴中心玄武盾，玄武盾为海量用户提供云防护服务，包括DDOS防护、WEB攻击防护、篡改防护等，在服务过程中，积累了大量的攻击数据，共收集了来自124个国家的攻击数据，以及中国34个省份、自治区、直辖市、特别行政区的攻击数据。

本年度分析国外的攻击主要来源是美国、日本、马来西亚，11月份攻击量相对其他月份较高，这与第三次世界互联网大会的召开有着必然的联系。

2.1. 主流攻击行为与特点分析

2.1.1. 扫描与针对性攻击的行为较为严重

▲ 图 2-1 攻击类型TOP10

根据玄武盾防护的多个网站结果显示，缺失报头为主要攻击类型，这类攻击并不严重，主要是由于用户使用网站时候返回的报文不规范导致，尤其是user-agent缺失最为多。排行第二为文件限制，主要是上传文件的时候文件名或文件内容不规范，并且有可能存在黑客上传后门脚本的风险；扫描工具占比第三，黑客或脚本小子通常使用扫描器对目标服务器进行探测和踩点，以获取对实施攻击有价值的漏洞和信息，为下一步实施攻击做好准备，达到事半功倍的效果，另外目前很多政府网站也面临公安部、网信办的检测，防御扫描器成为攻防对抗中最基本也是最重要的一个环节。

SQL注入攻击可是当前的主流攻击之一，SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。SQL注入的危害非常大，可以导致用户服务器被攻陷，且漏洞利用难度低，网络上有很多工具可以利用，这类攻击之所以这么多，很多是由黑客使用工具进行枚举，对网站相关URL进行批量SQL注入尝试所导致。

协议违规主要是指不符合HTTP协议框架的攻击访问方式，如异常的请求方法、不同字段的合规性、特殊字符、重点字段的缺失、HTTP方法控制、超长报文造成的溢出攻击以及对高危文件的访问等。

跨站脚本攻击，恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。该漏洞也是危害极高的漏洞之一，它可以盗取用有价值的信息进一步的操作，这类漏洞也是攻击者最喜欢攻击的一类漏洞。

协议违规-恶意USER-AGENT，该类攻击是黑客利用自动化工具对网站进行猜解和遍历。

2.1.2. 重大活动期间出现密集攻击

根据安恒风暴中心防护日志显示，攻击的时空分布与一些重要会议，事件相关联，在G20杭州峰会与第三届世界互联网大会这些时间段，网站受到的攻击量明显增高，8月份的攻击量明显大约7月份，8月18号的时候攻击量巨大，风暴中心紧急分析，并且人工进行了干预，而后的几天，攻击数量也是一直保持上升的趋势。

▲ 图 2-2 G20前50天攻击趋势

根据风暴中心大数据分析统计显示，黑客的攻击峰值出现在凌晨的0点到4点，由于这段时间大部分网站管理员都已休息，因此正是黑客猖獗的时刻。

2.1.3. 安全厂商与黑客团队成为攻击主要来源

在受攻击类型TOP 10里面，扫描行为是由于大量安全厂家对网站进行安全评估，导致扫描攻击数据量比较大。SQL注入则属于危害性很高的攻击，黑客使用该攻击手段对网站进行攻击，主要有以下几点原因：利益、政治因素、炫耀技术，其中又以利益为主要因素，根据数据显示，某些IP攻击的站点非常多，那么说明是蓄意的网络攻击，很有可能是黑客团队的IP，存在被人雇佣的情况，或者是某些商业利益的驱使。

2.2. 境外攻击源多来自美国

本次采样分析的攻击源数量为374,367个IP，均为玄武盾有效监测并拦截的IP，样本包含境内IP与境外IP，且此次采样的均为受玄武盾防护的重要行业的网站攻击源IP，由此可见，来自外界的攻击源数量大，安全形势十分严峻。

本次对境外攻击源着重进行分析。美国位居榜首，占了73.54%，其中有部分是国内黑客，使用了V**或者购买国外服务器等手段进行了真实IP的隐藏。

▲ 图 2-3 境外攻击来源分布

未完待续