2020年4月深信服vpn服務(wù)器安全事件2020-04-07

Darkhotel（APT-C-06）使用二進制漏洞攻擊了深信服的數(shù)百臺vpn服務(wù)器。

為寧鄉(xiāng)等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)，及寧鄉(xiāng)網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為成都網(wǎng)站建設(shè)、網(wǎng)站建設(shè)、寧鄉(xiāng)網(wǎng)站設(shè)計，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達到每一位用戶的要求，就會得到認可，從而選擇與我們長期合作。這樣，我們也可以走得更遠！

13臺根服務(wù)器均不在中國，一旦發(fā)生緊急情況，網(wǎng)絡(luò)會癱瘓嗎？

需要從兩個方面去回答這個問題，一個是有國外網(wǎng)絡(luò)訪問需求的用戶，一個是僅限于國內(nèi)網(wǎng)絡(luò)訪問需求的用戶。一旦發(fā)生緊急情況，導致根域名服務(wù)器中斷，真正能夠產(chǎn)生影響的僅是具有國外網(wǎng)絡(luò)訪問的用戶，國內(nèi)網(wǎng)絡(luò)訪問用戶幾乎不會受到任何影響。為什么會有兩種截然不同的結(jié)果呢？主要與域名服務(wù)器的工作原理有關(guān)。

域名服務(wù)器采取的是逐級查詢的工作方式，用戶具有網(wǎng)絡(luò)訪問需求之后，會先查詢當?shù)氐挠蛎?wù)答辯器。這邊會產(chǎn)生兩種結(jié)果，如果能夠查詢到訪問目標信息，則直接返回相關(guān)路徑信息；若無法查詢到訪問目標信息，則會向上級域名服務(wù)器進顫唯行查詢，如此不斷查詢直到發(fā)現(xiàn)訪問目標信息。

理解了原理就很好解釋這個問題了，國內(nèi)網(wǎng)絡(luò)訪問需求根本不需要用到根域名服務(wù)器，本地域名服務(wù)器便能夠解決，只有國外網(wǎng)絡(luò)訪問用戶才會受到影響。國內(nèi)已經(jīng)建立多處根域名鏡像服務(wù)器，雖無權(quán)限修改根域名服務(wù)器中的信息，但是卻保存了一模一樣所有的信息，只要海外主干光纜線路不中斷，依然能夠通過根域名鏡像服務(wù)器中查詢到相關(guān)信息的路徑。

畢竟上面只是理論上的分析，現(xiàn)實情況會發(fā)生什么事情都未能可知。對此俄羅斯專門做了模擬實驗，主動切斷了國內(nèi)與根域名服務(wù)器之間的聯(lián)系，從而來推斷緊急情況出現(xiàn)時會受到的影響。實驗結(jié)果正如推斷，國內(nèi)網(wǎng)絡(luò)并未受到較大的影響。

雖說影響不大，但是主動權(quán)畢竟沒有掌握在自己手中，未來依然會存在受制于人的情況。13臺根域名服務(wù)器指的是ipv6域名服務(wù)器，為了扭轉(zhuǎn)這種局面，我國推出了“雪人計劃”，主導了ipv6根域名服務(wù)器的搭建茄舉培工作。相信ipv6普及之時，將會徹底扭轉(zhuǎn)這種被動的局面。

根服務(wù)器主要作用于DNS服務(wù)，用于ⅰP地址的分配與管理。理論上網(wǎng)絡(luò)癱瘓即DNS停止服務(wù)，ⅰP地址不能分配使用，且無法進行域名識別，指的就是所有根服務(wù)器停止工作；但凡有一臺根服務(wù)器正常工作都不叫網(wǎng)絡(luò)癱瘓，只能稱其為故障，因為在擁堵的狀態(tài)下，域名解析與ⅰP地址的分配管理不正常。

但實際上網(wǎng)絡(luò)癱瘓與根服務(wù)器正常與否沒有直接關(guān)系，只與用戶的網(wǎng)絡(luò)服務(wù)商有著直接的關(guān)系。每個網(wǎng)絡(luò)服務(wù)商都有自已的DNS服務(wù)器，只要它正常，即使根服務(wù)器不正常也不影響該服務(wù)商的用戶使用網(wǎng)絡(luò)。從這個意義上來說根服務(wù)器狀態(tài)如何與用戶的使用沒有直接關(guān)系。只是在根服務(wù)器故障期間，故障區(qū)域的DNS服務(wù)受限，無故障區(qū)域可正常使用。

這里就會涉及到一個網(wǎng)絡(luò)概念:網(wǎng)絡(luò)分互聯(lián)網(wǎng)，城域網(wǎng)，局域網(wǎng)。上世紀九十年代初普及網(wǎng)絡(luò)時用戶可申報163互聯(lián)網(wǎng)，或者169城域網(wǎng)。163的用戶可全球聯(lián)網(wǎng)，那時通稱因特網(wǎng)；169的用戶只能在所在城市聯(lián)網(wǎng)，實際就是城域網(wǎng)，類似于后來的廣電網(wǎng)。

局域網(wǎng)那就好理解了，學校的每個機房就是一個局域網(wǎng)，數(shù)個機房并在一起也是局域網(wǎng)(這和距離有關(guān))，只要局域網(wǎng)的服務(wù)器可以聯(lián)上互聯(lián)網(wǎng)，局域網(wǎng)中的所有計算機在局域網(wǎng)服務(wù)器的允許下都可以上互聯(lián)網(wǎng)。因此，在根服務(wù)器癱瘓后，每個用戶不會受到直接影響；用戶受到直接影響的只能是服務(wù)商的服務(wù)故障；即使根服務(wù)器真的癱瘓了，服務(wù)商也會讓用戶在不受限的區(qū)域中繼續(xù)使用。

這就要說到國內(nèi)互聯(lián)網(wǎng)的組網(wǎng)模式了，國內(nèi)互聯(lián)網(wǎng)就是先把國內(nèi)的各個企業(yè)政府用戶都組建成一個網(wǎng)絡(luò)，相當于一個大型的局域網(wǎng)。然后再留一個接口和其他地區(qū)的局域網(wǎng)進行相互連接，本質(zhì)上說現(xiàn)在的網(wǎng)絡(luò)都是局域網(wǎng)，只不過把這個局域網(wǎng)放大到各個國家，這就成了互聯(lián)網(wǎng)。然后只要說你訪問的是國內(nèi)的網(wǎng)站，那你不用擔心，哪怕他把跟服務(wù)器關(guān)了，你也不會受到其他影響。其實最主要的還是說從國內(nèi)訪問國外網(wǎng)絡(luò)的數(shù)據(jù)安全。

然后只要說你訪問的是國內(nèi)的網(wǎng)站，那你不用擔心，哪怕他把根服務(wù)器關(guān)了，你也不會受到其他影響。其實最主要的還是說從國內(nèi)訪問國外網(wǎng)絡(luò)的數(shù)據(jù)安全。

中國己經(jīng)有了自已的根服務(wù)器，有了自己的北斗定位，有了華為的五機，沒有國際互聯(lián)網(wǎng)，中國的網(wǎng)絡(luò)不受影響，缺的是系統(tǒng)和心片，早在十幾年前中國開始布局，推出雪人計劃，就是要打造不受制于美國的互聯(lián)網(wǎng)安全。

服務(wù)器安全應(yīng)該注意哪些方面

技術(shù)在近年來獲得前所未有的增長。云技術(shù)如今已被運用到銀行、學校、政府以及大量的商業(yè)組織。但是云計算也并非萬能的，和其他IT部署架構(gòu)一樣存在某些難以彌補的缺陷。例如公有云典型代表：服務(wù)器，用戶數(shù)據(jù)存儲在云計算基礎(chǔ)平臺的存儲系統(tǒng)中，但敏感的信息和應(yīng)用程序同樣面臨著網(wǎng)絡(luò)攻擊和黑客入侵的威脅。以下就是壹基比小喻要講的服務(wù)器面臨的九大安全威脅。

哪些因素會對服務(wù)器安全有危害？

一、數(shù)據(jù)漏洞

云環(huán)境搏扮物面臨著許多和傳統(tǒng)企業(yè)網(wǎng)絡(luò)缺侍相同的安全威脅，但由于極大量的數(shù)據(jù)被儲存在服務(wù)器上，服務(wù)器供應(yīng)商則很可能成為盜取數(shù)據(jù)的目標。供應(yīng)商通常會部署安全控件來保護其環(huán)境，但最終還需要企業(yè)自己來負責保護云中的數(shù)據(jù)。公司可能會面臨：訴訟、犯罪指控、調(diào)查和商業(yè)損失。

二、密碼和證書

數(shù)據(jù)漏洞和其他攻擊通常來源于不嚴格的認證、較弱的口令和密鑰或者證書管理。企業(yè)應(yīng)當權(quán)衡集中身份的便利性和使儲存地點變成攻擊者首要目標的風險性。使用服務(wù)器，建議采用多種形式的認證，例如：一次性密碼、手機認證和智能卡保護。

三、界面和API的入侵

IT團隊使用界面和API來管理和與服務(wù)器互動，包括云的供應(yīng)、管理、編制和監(jiān)管。API和界面是系統(tǒng)中最暴露在外的一部分，因為它們通?？梢酝ㄟ^開放的互聯(lián)網(wǎng)進入。服務(wù)器供應(yīng)商，應(yīng)做好安全方面的編碼檢查和嚴格的進入檢測。運用API安全成分，例如：認證、進入控制和活動監(jiān)管。

四、已開發(fā)的系統(tǒng)的脆弱性

企業(yè)和其他企業(yè)之間共享經(jīng)驗、數(shù)據(jù)庫和其他一些資源，形成了新的攻擊對象。幸運的是，對系統(tǒng)脆弱性的攻擊可以通過使用“基本IT過程”來減輕。盡快添加補丁——進行緊急補丁的變化控制過程保證了補救措施可以被正確記錄，并被技術(shù)團隊復查。容易被攻擊的目標：可開發(fā)的bug和系統(tǒng)脆弱性。

五、賬戶劫持

釣魚網(wǎng)站、詐騙和軟件開發(fā)仍舊在肆虐，服務(wù)器又使威脅上升了新的層次，因為攻擊者一旦成功**、操控業(yè)務(wù)以及篡改數(shù)據(jù)，將造成嚴重后果。因此所有云服務(wù)器的管理賬戶，甚至是基液服務(wù)賬戶，都應(yīng)該形成嚴格監(jiān)管，這樣每一筆交易都可以追蹤到一個所有者。關(guān)鍵點在于保護賬戶綁定的安全認證不被竊取。有效的攻擊載體：釣魚網(wǎng)站、詐騙、軟件開發(fā)。

六、居心叵測的內(nèi)部人員

內(nèi)部人員的威脅來自諸多方面：現(xiàn)任或前員工、系統(tǒng)管理者、承包商或者是商業(yè)伙伴。惡意的來源十分廣泛，包括竊取數(shù)據(jù)和報復。單一的依靠服務(wù)器供應(yīng)商來保證安全的系統(tǒng)，例如加密，是最為危險的。有效的日志、監(jiān)管和審查管理者的活動十分重要。企業(yè)必須最小化暴露在外的訪問：加密過程和密鑰、最小化訪問。

七、APT病毒

APT通過滲透服務(wù)器中的系統(tǒng)來建立立足點，然后在很長的一段時間內(nèi)悄悄地竊取數(shù)據(jù)和知識產(chǎn)權(quán)。IT部門必須及時了解最新的高級攻擊，針對服務(wù)器部署相關(guān)保護策略（ID:ydotpub）。此外，經(jīng)常地強化通知程序來警示用戶，可以減少被APT的迷惑使之進入。進入的常見方式：魚叉式網(wǎng)絡(luò)釣魚、直接攻擊、USB驅(qū)動。

八、永久性的數(shù)據(jù)丟失

關(guān)于供應(yīng)商出錯導致的永久性數(shù)據(jù)丟失的報告已經(jīng)鮮少出現(xiàn)。但居心叵測的黑客仍會采用永久刪除云數(shù)據(jù)的方式來傷害企業(yè)和云數(shù)據(jù)中心。遵循政策中通常規(guī)定了企必須保留多久的審計記錄及其他文件。丟失這些數(shù)據(jù)會導致嚴重的監(jiān)管后果。建議云服務(wù)器供應(yīng)商分散數(shù)據(jù)和應(yīng)用程序來加強保護：每日備份、線下儲存。

九、共享引發(fā)潛在危機

共享技術(shù)的脆弱性為服務(wù)器帶來了很大的威脅。服務(wù)器供應(yīng)商共享基礎(chǔ)設(shè)施、平臺以及應(yīng)用程序，如果脆弱性出現(xiàn)在任何一層內(nèi)，就會影響所有。如果一個整體的部分被損壞——例如管理程序、共享的平臺部分或者應(yīng)用程序——就會將整個環(huán)境暴露在潛在的威脅和漏洞下