主题：【原创】网络安全的故事（一） -- 代码ABC

没有人感兴趣的系统就是最安全的系统。那段时间被安全组的人烦得恨不得跟他们说把系统的网线统统拔掉然后锁进铁柜里面就最安全了，可惜这不现实。

其实绝对安全的系统是没有的，但有目的地针对特定的风险做出有效的防护措施，并定期备份扫描才是效率最高的。牺牲系统的可用性甚至是可管理性去追求高安全并不可取。

这个帖子讲什么确实让我感到有点为难，倒不是有什么敏感技术的问题。网络上的黑客教程比我这个丰富多了。为难的原因是题目起得不好。在发生安全事件的时候，管理员的第一责任是保护自己的系统，切断攻击来源。而不是追踪黑客并把他/她干掉，因此像电影中双方比赛敲键盘，最后把对方机器烧掉的事情，在现实中是不会发生的。因此想把一个专业的技术问题讲成“故事”，基本上是给自己找不痛快。

管理员对付黑客的手段不是键盘，而是日志和备份。有人反对，不是还有防火墙；还有入侵检测系统；还有入侵保护系统；还有……是的，这些的确是有力的手段，但是这些东西都有一个大家很熟悉的免责条款——本产品的能阻止黑客的攻击，但是不保证所有黑客的攻击都能阻止，并且也不保证被阻止的都是黑客的攻击。所以倒霉的事情总有可能发生，为减少这些倒霉事可能带来的损失，备份是必要的。备份还可以对付其他意外事件，如火灾、水灾、地震、恐怖袭击（某安全教材摘录），总之备份是系统的第二条命，管理员的穿越工具，谁说这不是有力手段呢？

那么日志呢？日志是一切呈堂证据，管理员通过审核日志可以发现攻击事件，进一步发掘则可以了解黑客的操作手法，进而发现系统的漏洞，亡羊补牢。不过，在日志中发现攻击事实的时候，管理员总感觉被人当面扇了一巴掌。本人在2002年底就被人扇过一次，日志显示当时系统的来宾帐号（Guest）被升级为管理员帐号，同时在眼皮底下看着某人用这个账号登录服务器留下木马。为找出人家是怎么办到的，恢复系统后打开所有日志记录和网络监控，等了差不多48小时，当黑客第二次攻击时从记录下的攻击过程发现是微软SQL Server的漏洞，检查微软的安全公告牌，显示差不多半年前已经有一个对应的补丁。于是满怀羞愧地打上补丁。一个月后这世界上其他SQL Server管理员有大半都给扇了个满天星斗，那天一个利用SQL Server这个漏洞的蠕虫几乎将大半互联网给整趴下了。

回想起来，这算一件比较幸运的事情，第一有人提前了一个多月在我这里动了手脚，第二此人嚣张地在我面前演示了第二次，第三，也是最重要的，此人的攻击再日志中留下了明显的痕迹，所以同样是半吊子的我可以比较轻易地在日志中发现问题。不幸的是，当蠕虫大爆发的时候由于网络瘫痪，在外边看来我们的服务器还是和断了没什么区别。

对于黑客来说，渗透不是最难的事情，最难的是不留下痕迹。使用肉鸡就是其中一个重要手段（后面还要提到）。在手工审核日志的系统中，由于人工处理能力有个极限，更重要的人是有惰性的，所以这个问题不难解决。其次打开太多的日志记录会影响系统的性能，管理员的日志记录也不会太细。事实上，上述事件中我日常的日志只记录比较明显的安全事件，所以在第一次攻击后，我只知道被攻击了，并不清楚攻击的方式以及漏洞在哪。必须增加日志记录的细节，以及网络实时监控才了解攻击模式。因此一个简单的方法就可以骗过大多数管理员，就是使用大量虚假的攻击记录麻痹管理员，或饱和掉系统的日志记录，然后再实施真正的攻击。此乃三十六计中混水摸鱼和趁火打劫两计的网络版。

那么有没有自动分析日志，自动发现其中异常，自动报警并且能自动处理的设备呢？

答案是——有的。这就是入侵检测系统（IDS）和入侵保护系统（IPS），这些设备就像24小时在线的管理员，它们分析所有的网络通信，所有的系统操作，所有的用户操作，从中发现异常模式，并实时地进行处理，比如报警或切断攻击连接。事实上它们是专用的日志处理机器，其日志记录的细节要比一般的管理员打开的日志要更精细。当然这些设备价格非常昂贵，以至于大多数老板觉得还是找个半吊子的管理员更为合算。

所以，大家现在应该明白日志和备份才是保证网络安全的两大武器，像IDS和IPS不过是日志的升级版罢了。

嗯，这次租个吉祥物？