网友来稿：直击国内网站抵御美国黑客攻击实录
罗宴京　2001-05-07 21:35:29

　　
　　警惕,美黑客已使用变种攻击

　　“五一”假期的广州处处人山人海，彩旗飘飘，洋溢着欢快的气氛。过惯了繁忙都市生活的广州人个个脸上有着一丝悠闲的气息。然而，就在这轻松的日子里，记者却见证了一场充满高科技与智慧并不轻松的激烈决斗。

　　5月2号晚9点左右，记者接到了一个紧急报料电话，原来是广州某高校网站正受到美国黑客的攻击。记者火速赶赴现场，在该校的网管中心，几个网管人员正瞪大着眼睛望着电脑屏幕，身旁的蓝盾防火墙不断地闪烁着红色的光芒,不时地发出急促的警报声。蓝盾防火墙的反扫描功能立即启动，从这个不速之客的IP地址来看，应该是境外的黑客。此时，黑客见有人反扫描他，立即抽身而退。就在大家松一口气的时候，网管中心的吴主任告诉大家，战斗还没结束呢。大家忙问为什么，吴主任说，据他与黑客打过交道的经验来推测，这个黑客还会回来的。因为作为一个黑客，都拥有极高的电脑技术，他们往往都很自负，越是难做的事就越要做，越难攻击的网站越要攻下来，不断地挑战更高的阶段，以证明自己的实力和提高技术。所以，达不到目的，他们是不会善罢甘休的。估计这个黑客暂时撤离是想要迷惑大家，降低大家的警惕性，从这一策略判断，这个黑客是个真正的高手。

　　果然，第二天晚上10点左右，防火墙警报再次响起。吴主任指示，这次故意关闭反扫描功能，采取静观其变的战略。黑客扫了几次，见没有动静，开始发出TCP SYN请求。TCP SYN请求是一种较为常见的攻击手段，黑客向攻击目标发出大量的TCP SYN请求，使目标机器的TCP队列中充满了未建立的连接请求，从而导致服务不能正常运作，是一种常用但又相当危险的攻击方式。由于是第一次的请求，防火墙经检测暂无危害后，接受了他的请求。过了一会，黑客不断地发出了大量的请求，此时，蓝盾防火墙警报再次响起，自动检测了这些请求是否来自同一个IP地址，并忽略掉这些请求，同时记录该IP，发出系统警告，随即黑客马上撤回请求。吴说，他应该很快回来，他以为我们这边没有管理人员，不会象昨天那样有耐性了。

　　很快，黑客变换了另一个IP地址，采取了另一种SYN攻击手段。这种攻击方式最大特点是IP地址由随机数自动生成，用黑客的行内话来说叫“痛苦模式”，它伪造大量的IP地址，然后每个IP都不断地发出请求，以期达到服务无法运作。但这种攻击对于蓝盾防火墙来说算是小儿科了，黑客根本不能得逞,马上不断地变换了几十种DOS（Denial-Of-Service）攻击手法，只可惜直到凌晨四点多都一无所获。


　　这个黑客是屡战屡败，屡败屡战。5月4日使出了目前美国新型变种战术。最近，美国的黑客对传统的攻击方式进行了改型。原来，传统防火墙对SYN攻击一般用检查源IP地址的合法性，缩短SYN请求等待时间，进行随机丢包和SYN队列请求不信任代理，达到有效防御，而黑客们也深知这个道理。变种攻击则采用源IP全部来源于合法的IP库，然后每一个源IP都一次性发出6个请求， 同时有4台傀儡机协同作战发出特殊信息迷惑防火墙，这样使许多防火墙上当，但逃不过蓝盾防火墙的智能分析模块。只可惜这个黑客找错了对象，对付变种攻击正是蓝盾防火墙的强项，最终只能夹着尾巴灰溜溜地逃走。据悉，珠江三角洲某地级市政府安装了某防火墙但仍被黑了，就是给这种变种攻击战术破的。

　　事后，记者通过吴主任的介绍，拜访了广东天海威公司的技术总经理柯宗贵。据了解,最近黑客活动频繁，水平较高的黑客已开始大量使用变种攻击。从该公司在全国安装的1000多台蓝盾防火墙的日志程序统计，近期黑客攻击的变种战术已达30多种。日前，我国多个政府网站就是被此种方式导致系统崩溃的。蓝盾防火墙的智能防御功能采用模糊数学模型，能在3秒钟内将其分析出来，并及时发出警告，有效地抵御黑客的入侵。目前，1000多家安装了蓝盾防火墙的网站在“五一”期间曾多次击退了美国黑客的变种攻击。