2011-09-19 09:22:28
本段部分内容摘自南方都市报的报道,2011年8月29日晚10时左右,广东某高校校园网遭到黑客攻击,正在上网的学生电脑全部自动关机,电脑重启后,系统用户多了两个“GWHackTeam”与“YouCanDoAnything”的用户,进入系统后,D盘多了一个GWHack.txt的文件。并提示“别担心,我们不会破坏你的电脑,这只是一次技术展示,如果你有想法和技术,也可以在新浪微博上发布一个话题,并@GWhack,参与讨论并展示你自己。”30日上午9时,“黑客”终于现身,新浪微博刊登了“黑客”“何某之”的道歉:“大家好,我是何某之,昨晚的事情给大家的电脑造成影响,我诚恳地向你们道歉,放在电脑里面的任何东西没有丢失,也希望大家能给我一个改过的机会,再次向大家道歉,对不起!”,这次的所谓友好“黑客”的事件,直接影响了上万个校园上网的用户,对小何的解释有学生表示“不相信”。
这么大规模黑客攻击的,一个“黑客”用一台电脑是如何在瞬间完成传播呢?该学生其实采用了地址欺骗的技术,利用交换机路由规则的不完善,大量模拟和扫描全校区的所有电脑,向外发送特殊的IP包,这种特殊的IP包透过三层交换机路由到全网,从而导致大范围用户受到攻击。这些数据包包含了可执行的代码,插入到每个学生都必装的软件:上网认证软件上,导致设备自动重启,并增加了管理员权限。
这是一起真实的无可争议的黑客行为,不管动机如何单纯,不管效果是否破坏, 不管当事人如何道歉。广大的学生、网络中心的老师、学校和厂家都是受害者,该学校网络中心的老师说得非常好:“学习IT行业就是要学会保护IT行业,发现漏洞,要学会补救,而不是伤害他。”学校将会对学生的安全信息教育,提升到遵纪守法的高度。
如何防范类似事件再次发生,安全策略是非常重要的,虽然是老生常谈,但一个都不能少,关键时期就起到非常重要的作用:
1、网络安全策略要完善,封堵该漏洞可以通过在三层交换机上配置ACL,限制同一网段内只能转发来自本网段的数据包,从而减少受影响的范围。
2、软件补丁和升级要经常做,没有不透风的墙,“黑客”与网络守护者,是“道高一尺,魔高一丈”的关系,需要不断加固城墙,这次网络攻击的目标就选择了该学校学生上网必装的认证客户端,这个版本已经用了很久,需要及时更新到更安全的版本。
3、内网准入控制和访问日志让黑客无可遁形,其实这次该学校的网络中心对来自内网的入侵定位非常清楚,很快就分析到来自哪个二层交换机端口进行扫描和发出攻击,就算该学生不出来道歉,访问日志已经出卖了他。所以我们有理由相信这是一个少不更事的“黑客”的一次无心之失,因为他根本就没想到如何隐身和跑路。
城市热点客户服务中心第一时间得到学校的通知,全力协助学校配置安全策略,定位攻击源,并提供了客户端升级的解决方案,最大限度协助了该学校渡过了这次“黑客事件”,客服中心积极协助该学校处理到30日凌晨,第二天派驻工程师到现场协助提升安全策略。
针对这次事件的网络安全问题,城市热点客户服务中心将主动联系全体客户,提供技术防范指导和升级方案,感谢全体客户对我们工作的配合和支持!
城市热点客户服务中心
2011年8月31日
中文
