主题：【原创】网络安全的故事（一） -- 代码ABC

这个帖子讲什么确实让我感到有点为难，倒不是有什么敏感技术的问题。网络上的黑客教程比我这个丰富多了。为难的原因是题目起得不好。在发生安全事件的时候，管理员的第一责任是保护自己的系统，切断攻击来源。而不是追踪黑客并把他/她干掉，因此像电影中双方比赛敲键盘，最后把对方机器烧掉的事情，在现实中是不会发生的。因此想把一个专业的技术问题讲成“故事”，基本上是给自己找不痛快。

管理员对付黑客的手段不是键盘，而是日志和备份。有人反对，不是还有防火墙；还有入侵检测系统；还有入侵保护系统；还有……是的，这些的确是有力的手段，但是这些东西都有一个大家很熟悉的免责条款——本产品的能阻止黑客的攻击，但是不保证所有黑客的攻击都能阻止，并且也不保证被阻止的都是黑客的攻击。所以倒霉的事情总有可能发生，为减少这些倒霉事可能带来的损失，备份是必要的。备份还可以对付其他意外事件，如火灾、水灾、地震、恐怖袭击（某安全教材摘录），总之备份是系统的第二条命，管理员的穿越工具，谁说这不是有力手段呢？

那么日志呢？日志是一切呈堂证据，管理员通过审核日志可以发现攻击事件，进一步发掘则可以了解黑客的操作手法，进而发现系统的漏洞，亡羊补牢。不过，在日志中发现攻击事实的时候，管理员总感觉被人当面扇了一巴掌。本人在2002年底就被人扇过一次，日志显示当时系统的来宾帐号（Guest）被升级为管理员帐号，同时在眼皮底下看着某人用这个账号登录服务器留下木马。为找出人家是怎么办到的，恢复系统后打开所有日志记录和网络监控，等了差不多48小时，当黑客第二次攻击时从记录下的攻击过程发现是微软SQL Server的漏洞，检查微软的安全公告牌，显示差不多半年前已经有一个对应的补丁。于是满怀羞愧地打上补丁。一个月后这世界上其他SQL Server管理员有大半都给扇了个满天星斗，那天一个利用SQL Server这个漏洞的蠕虫几乎将大半互联网给整趴下了。

回想起来，这算一件比较幸运的事情，第一有人提前了一个多月在我这里动了手脚，第二此人嚣张地在我面前演示了第二次，第三，也是最重要的，此人的攻击再日志中留下了明显的痕迹，所以同样是半吊子的我可以比较轻易地在日志中发现问题。不幸的是，当蠕虫大爆发的时候由于网络瘫痪，在外边看来我们的服务器还是和断了没什么区别。

对于黑客来说，渗透不是最难的事情，最难的是不留下痕迹。使用肉鸡就是其中一个重要手段（后面还要提到）。在手工审核日志的系统中，由于人工处理能力有个极限，更重要的人是有惰性的，所以这个问题不难解决。其次打开太多的日志记录会影响系统的性能，管理员的日志记录也不会太细。事实上，上述事件中我日常的日志只记录比较明显的安全事件，所以在第一次攻击后，我只知道被攻击了，并不清楚攻击的方式以及漏洞在哪。必须增加日志记录的细节，以及网络实时监控才了解攻击模式。因此一个简单的方法就可以骗过大多数管理员，就是使用大量虚假的攻击记录麻痹管理员，或饱和掉系统的日志记录，然后再实施真正的攻击。此乃三十六计中混水摸鱼和趁火打劫两计的网络版。

那么有没有自动分析日志，自动发现其中异常，自动报警并且能自动处理的设备呢？

答案是——有的。这就是入侵检测系统（IDS）和入侵保护系统（IPS），这些设备就像24小时在线的管理员，它们分析所有的网络通信，所有的系统操作，所有的用户操作，从中发现异常模式，并实时地进行处理，比如报警或切断攻击连接。事实上它们是专用的日志处理机器，其日志记录的细节要比一般的管理员打开的日志要更精细。当然这些设备价格非常昂贵，以至于大多数老板觉得还是找个半吊子的管理员更为合算。

所以，大家现在应该明白日志和备份才是保证网络安全的两大武器，像IDS和IPS不过是日志的升级版罢了。

嗯，这次租个吉祥物？