论文部分内容阅读
MyDoom的出现,把病毒传播手段带入一个复杂境界,它昭示着防范未来新病毒,单靠纯粹的反病毒技术是远远不够的,还需要借助其他安全技术,比如反垃圾邮件技术。
经历MyDoom
今年春节来得格外的早,许多企业直到2 月2 日才正常上班。正当养精蓄锐后的人们返回工作岗位准备大干一番时,一颗埋藏在1月27日的定时炸弹爆炸了。它就是MyDoom ——造成邮件服务器拥塞、邮件系统服务中断的罪魁祸首。
我遇到的问题
我所在的企业也在劫难逃。我是一家报社的编辑,差一点儿,我做的版面都要开天窗了。因为我无法收到发给我的约稿,没稿子怎么按时出报纸呀?幸亏作者在北京,叫个快递就OK了。如果在外地,我是一点儿招儿也没有。不仅是我,很多同事都遇到了同样的问题,更神奇的是,有五六位同事打开收件箱没有一封新邮件。这个灾难持续了4 个小时,才恢复正常。但之前一段时间内的邮件早已丧失殆尽。为了找回丢掉的信件(真怕有什么至关重要的信件),我怀着侥幸心理找了网管,希望他给我些实在的建议。
我们的网络是怎样惨遭破害的
年龄不大的他此时已满面“沧桑”。对于我的问题,他怪异地咧了咧嘴,没好气儿地吐出一句:“没可能”。这种态度惹得我很不高兴,不满神情立刻显现出来。他也觉得有失礼仪,忙补就着说:“咱们的邮件系统染上了MyDoom 病毒,它是一种专攻邮件系统的病毒,只要你点击或运行带病毒的附件,它就会以你信箱中含有的众多电子邮件地址为目标,并伪造邮件源地址,向外发送大量带有病毒附件的电子邮件。我们的邮件服务器安装了Norton邮件服务器防毒产品,我们员工的邮箱没有一封染毒并向外发送。可是,由于我们与外界的广泛联系,外界有许多染毒的邮箱被MyDoom利用,从中搜索出我们员工的邮件地址,向内部网发出海量般有毒垃圾邮件,导致每秒邮件并发连接数成百上千,使得邮件服务器无力处理,超出一定时限后邮件被退回或丢掉。你刚才说找回发给你的邮件,这怎么可能呢?发给你的邮件根本没有进入邮件服务器,所以也就谈不上找回来。”
如何恢复邮件系统正常运行
听了这话,我浑身发紧,担心MyDoom 的再次进攻,便问网管:“咱们用的解决办法非常有效吗?我是说,再有类似的病毒,它能扛得住吗?”从网管游离的眼神里,我看到了迷茫。不过,网管的回话透出些许自信,“应该说,是有效的。防范MyDoom,我们采用了增设一台SMTP 邮件转发服务器的方案。”
事实上,这是一个控制邮件并发连接数的方案。本公司邮件服务系统瘫痪因并发连接数过大引起,所以,从减少并发连接数入手,可以有效解决拥塞问题。
具体方法是我们在邮件服务器前另外配置一台独立的SMTP 虚拟服务器,它可以接收来自Internet 的邮件,并充当邮件服务器和来自Internet的入站连接之间的隔离层。凡是外部进来的邮件必须通过SMTP转发,才可到达真正的邮件服务器上。在配置SMTP虚拟服务器时,我们设定外来邮件并发连接数不得超过50,超过者被送入等待队列予以等待。邮件服务器处理完一个邮件,SMTP就放行一个,接受处理。这样,在邮件服务器端避免了邮件拥塞。本公司邮件系统因此而恢复正常。
网管的疏漏
但是,这个方案也存有疏漏:由于限制了邮件并发连接数,等待处理的邮件极易因等待超时而被系统退回或干脆丢掉,而且很可能被退回或丢掉的恰恰是有用信件。
“克星”出现了
不仅仅是防毒
无论怎样,MyDoom 病毒风波渐渐平息,然而它留给人们的思考却是意味深长。MyDoom 不是一个单纯靠单一防毒产品就可以防范住的。我们的邮件服务器早就部署了邮件服务器防毒方案,但针对邮件服务器攻击的病毒并没有被它抵挡住,主要原因,MyDoom不仅是病毒,它还是垃圾邮件。用户早期购买的邮件服务器防毒方案一般不带有防范垃圾邮件的功能,即便具备,功能也相对简单,所包括的内容过滤技术不够先进,而且相当一部分过滤技术根本不支持对并发连接数的限定。所以,当愈演愈烈的邮件病毒爆发时,通常表现是心有余而力不足。
好在,经历了MyDoom,我们的网管已经认识到这一点,在部署了SMTP虚拟服务器应急方案之后,他开始紧锣密鼓地探寻更完善的解决方案。最后他认为, 防范像MyDoom 的邮件病毒,更好办法是运用内容过滤(必须带并发连接数控制功能)与防毒、防火墙相结合的技术。一方面通过内容过滤技术可以将垃圾邮件屏蔽掉。内容过滤技术可以在带毒垃圾邮件进入邮件服务器前就将其滤掉。另一方面,这些病毒通常具有黑客攻击行为(开后门),一旦它们进入网络,就会在主机上留下可以上载并执行任意代码的后门(比如MyDoom的后门地址在TCP 3127 到3198 范围间)。这时,需要防火墙的配合,将可能打开后门的地址关闭。当然,邮件服务器本身必须要配置好邮件防毒方案,以结合上述2种技术将新型病毒“干掉”。
据网管透露,他已经向公司老板提出采购内容过滤工具的安全建议(我们的网络系统已经配置了防火墙和邮件防毒产品),老板非常重视,估计能够获准。
出于妥当考虑,我回到座位,给自己熟悉的安全厂商拨了几个电话,想验证一下网管做法的安全性。厂商们一致反映,这是个不错的解决思路。只是,略显粗糙。内容过滤技术被应用于邮件服务系统中,无疑会增加服务器负载。另外,不是所有的内容过滤工具都支持网管所需的并发连接数控制功能。
反毒战场3 斗士
其实,在防毒技术领域,已经涌现了不少更全面更无缝的解决方案,就是将内容过滤技术集成到邮件服务器防毒方案或网关防毒方案中。
早在上个世纪,当美丽莎首次爆发时,一些安全厂商就看出端倪,纷纷在随后(也就是21 世纪初)推出在邮件服务器版添加防范垃圾邮件的内容过滤技术的解决方案,当然,与真正第三方提供的防范垃圾邮件独立产品比,其过滤功能要简单得多,效能也低些。进入2003年以来,垃圾邮件问题日益严重,病毒作案手段也花样翻新,主要目的就是消耗系统资源,使应用服务中断。
途径则集中在利用系统漏洞入侵和邮件传播2 个方面。这时,安全厂商借助列表、启发式扫描引擎、黑白名单等多种技术,将集成在企业级邮件服务器版中的内容过滤功能和性能进一步提升。还有厂商把内容过滤功能独立出来,作为一个插件,配合邮件服务器防毒产品使用。
为了全面保护邮件服务器,降低其工作负担,安全厂商又提出一个新的设想——将病毒在到达邮件服务器之前处理掉。于是基于网关的邮件服务器防毒方案应运而生。它可以在网关处(未达邮件服务器前)先将病毒、垃圾邮件过滤掉,再到服务器端进行细致过滤。像MyDoom这样的病毒,如果用户采用了这种解决方案,它会在网关处先将它作为垃圾邮件给阻拦掉。根本不会再到达服务器端,形成拥塞。
目前我了解到的相关解决方案有趋势科技深度集成SPS 的IMSS、Symantec AntiVirus Gateway Solution、卡巴斯基的反病毒MS Exchange Server 5.5/2000 版以及瑞星公司推广的无毒邮件中间件方案。
趋势科技深度集成SPS(垃圾邮件防范方案)的IMSS是2003 年11 月首推新品,是位于网关的垃圾邮件及病毒过滤器。单从反垃圾邮件的角度看,因为集成SPS,可以通过与所建立的垃圾邮件黑名单数据库进行对比,拦阻垃圾邮件;利用启发式扫描引擎,根据邮件的多特征(如内容、标头和格式等)判断所收的邮件是否为垃圾邮件;提供更高级的匹配敏感程度的过滤规则;根据4种等级(“只做标记”、“隔离邮件”和“直接删除”等),设定弹性过滤规则,以规避误判风险;支持黑白名单和多操作系统平台。如果是带毒的垃圾邮件,它将同时启动防毒功能,实时过滤邮件病毒附件和垃圾邮件。特别需要指出,它对海量邮件病毒具有很强的控制能力,不仅能够控制SMTP服务器之间会话时产生的并发连接数,还可以控制单一邮件对内部用户的发送数目。所以,MyDoom在它面前将无计可施。该方案的优势在于支持大流量邮件传输,几乎不影响网络性能。并支持所有邮件应用系统,以及集中管理平台(TMCM)控管。Symantec AntiVirus Gateway Solution 能够在最短的网络反映时间内提供可伸缩、高性能的内容过滤功能。Symantec AntiVirus Gateway Solution 包括 Symantec AntiVirus for SMTP Gateways 和Symantec Web Security两项方案。前者是基于SMTP网关、为邮件系统提供多层安全防范功能。它使用多层技术的组合(如反垃圾邮件启发式技术、多种实时黑名单(RBL)、定制的黑名单和白名单)扫描附件中的病毒,并有效阻挡垃圾邮件,并可根据常见的邮件特征(如主题、附件名称、扩展名和最大邮件大小),阻挡不受欢迎的其他内容。后者则因拥有病毒防护和Web过滤技术,而用于保护Web数据流 (HTTP和FTP) 的安全。
该方案因运行于邮件服务进程前,在病毒邮件未达到服务器时即被滤掉, 所以可用于处理类似 MyDoom 一样的病毒。
瑞星公司的无毒邮箱中间件
以瑞星查杀毒引擎作为内核,提供统一一致的外部接口供外部程序调用,它位于OS 和邮件服务器之间,能在邮件病毒到达邮件服务器前检测和清除它们,有效保护邮件服务器免受邮件病毒的侵扰。除Windows外,它支持各种主流 Unix 和Linux 平台,可随病毒变化而智能更新。由于它面向软件开发商和系统集成商,需要经过简单的二次开发,普通企业用户用起来略有难度。
邮件防毒中间件产品属于支撑软件,是介于操作系统或硬件平台与邮件服务系统之间的一种软件。它工作在邮件服务的底层,可以即时分析请求的邮件流量,如果发现是病毒,便可直接将之过滤,由于邮件防毒中间件是面对病毒的,因此无须进行多次判断即可判定是否为病毒并进行相应的处理,从而从根本解决病毒问题。
当我了解到这些信息以后,赶忙向网管做了最新报告,网管听了也欣喜若狂。忙着去询价,去报批。不知结果如何。
MyDoom 反思
MyDoom 侵袭的都是安全意识薄弱的企业。据本编观察,在所结识的企业用户中,有50%的企业并未染上MyDoom。归根结底,还是对安全认识程度低的问题。
另一方面,因安全花钱,往往是出了问题以后,才变得顺理成章。如果没有灾难发生,企业往往不会拨款。上述企业老板之所以点头批钱,不就是因为被MyDoom 大大伤害后产生了觉悟吗?据某国内著名IT巨头研发中心技术经理反映,他们使用了Symantec网关产品也没遭遇MyDoom。
应该说,MyDoom造成的危害还不是很大,只是暂时中断了业务,恢复也不是件太麻烦的事儿。如果哪天冒出来了个威力四慑的恶魔,足以毁掉一个企业时,无论如何重视安全,都将悔之晚矣。
MyDoom 事件给大家再次敲响警钟:未来病毒将更加依赖邮件传播方式,反击新病毒不仅需要依靠防毒解决方案,还要结合反垃圾邮件等其他安全技术。
经历MyDoom
今年春节来得格外的早,许多企业直到2 月2 日才正常上班。正当养精蓄锐后的人们返回工作岗位准备大干一番时,一颗埋藏在1月27日的定时炸弹爆炸了。它就是MyDoom ——造成邮件服务器拥塞、邮件系统服务中断的罪魁祸首。
我遇到的问题
我所在的企业也在劫难逃。我是一家报社的编辑,差一点儿,我做的版面都要开天窗了。因为我无法收到发给我的约稿,没稿子怎么按时出报纸呀?幸亏作者在北京,叫个快递就OK了。如果在外地,我是一点儿招儿也没有。不仅是我,很多同事都遇到了同样的问题,更神奇的是,有五六位同事打开收件箱没有一封新邮件。这个灾难持续了4 个小时,才恢复正常。但之前一段时间内的邮件早已丧失殆尽。为了找回丢掉的信件(真怕有什么至关重要的信件),我怀着侥幸心理找了网管,希望他给我些实在的建议。
我们的网络是怎样惨遭破害的
年龄不大的他此时已满面“沧桑”。对于我的问题,他怪异地咧了咧嘴,没好气儿地吐出一句:“没可能”。这种态度惹得我很不高兴,不满神情立刻显现出来。他也觉得有失礼仪,忙补就着说:“咱们的邮件系统染上了MyDoom 病毒,它是一种专攻邮件系统的病毒,只要你点击或运行带病毒的附件,它就会以你信箱中含有的众多电子邮件地址为目标,并伪造邮件源地址,向外发送大量带有病毒附件的电子邮件。我们的邮件服务器安装了Norton邮件服务器防毒产品,我们员工的邮箱没有一封染毒并向外发送。可是,由于我们与外界的广泛联系,外界有许多染毒的邮箱被MyDoom利用,从中搜索出我们员工的邮件地址,向内部网发出海量般有毒垃圾邮件,导致每秒邮件并发连接数成百上千,使得邮件服务器无力处理,超出一定时限后邮件被退回或丢掉。你刚才说找回发给你的邮件,这怎么可能呢?发给你的邮件根本没有进入邮件服务器,所以也就谈不上找回来。”
如何恢复邮件系统正常运行
听了这话,我浑身发紧,担心MyDoom 的再次进攻,便问网管:“咱们用的解决办法非常有效吗?我是说,再有类似的病毒,它能扛得住吗?”从网管游离的眼神里,我看到了迷茫。不过,网管的回话透出些许自信,“应该说,是有效的。防范MyDoom,我们采用了增设一台SMTP 邮件转发服务器的方案。”
事实上,这是一个控制邮件并发连接数的方案。本公司邮件服务系统瘫痪因并发连接数过大引起,所以,从减少并发连接数入手,可以有效解决拥塞问题。
具体方法是我们在邮件服务器前另外配置一台独立的SMTP 虚拟服务器,它可以接收来自Internet 的邮件,并充当邮件服务器和来自Internet的入站连接之间的隔离层。凡是外部进来的邮件必须通过SMTP转发,才可到达真正的邮件服务器上。在配置SMTP虚拟服务器时,我们设定外来邮件并发连接数不得超过50,超过者被送入等待队列予以等待。邮件服务器处理完一个邮件,SMTP就放行一个,接受处理。这样,在邮件服务器端避免了邮件拥塞。本公司邮件系统因此而恢复正常。
网管的疏漏
但是,这个方案也存有疏漏:由于限制了邮件并发连接数,等待处理的邮件极易因等待超时而被系统退回或干脆丢掉,而且很可能被退回或丢掉的恰恰是有用信件。
“克星”出现了
不仅仅是防毒
无论怎样,MyDoom 病毒风波渐渐平息,然而它留给人们的思考却是意味深长。MyDoom 不是一个单纯靠单一防毒产品就可以防范住的。我们的邮件服务器早就部署了邮件服务器防毒方案,但针对邮件服务器攻击的病毒并没有被它抵挡住,主要原因,MyDoom不仅是病毒,它还是垃圾邮件。用户早期购买的邮件服务器防毒方案一般不带有防范垃圾邮件的功能,即便具备,功能也相对简单,所包括的内容过滤技术不够先进,而且相当一部分过滤技术根本不支持对并发连接数的限定。所以,当愈演愈烈的邮件病毒爆发时,通常表现是心有余而力不足。
好在,经历了MyDoom,我们的网管已经认识到这一点,在部署了SMTP虚拟服务器应急方案之后,他开始紧锣密鼓地探寻更完善的解决方案。最后他认为, 防范像MyDoom 的邮件病毒,更好办法是运用内容过滤(必须带并发连接数控制功能)与防毒、防火墙相结合的技术。一方面通过内容过滤技术可以将垃圾邮件屏蔽掉。内容过滤技术可以在带毒垃圾邮件进入邮件服务器前就将其滤掉。另一方面,这些病毒通常具有黑客攻击行为(开后门),一旦它们进入网络,就会在主机上留下可以上载并执行任意代码的后门(比如MyDoom的后门地址在TCP 3127 到3198 范围间)。这时,需要防火墙的配合,将可能打开后门的地址关闭。当然,邮件服务器本身必须要配置好邮件防毒方案,以结合上述2种技术将新型病毒“干掉”。
据网管透露,他已经向公司老板提出采购内容过滤工具的安全建议(我们的网络系统已经配置了防火墙和邮件防毒产品),老板非常重视,估计能够获准。
出于妥当考虑,我回到座位,给自己熟悉的安全厂商拨了几个电话,想验证一下网管做法的安全性。厂商们一致反映,这是个不错的解决思路。只是,略显粗糙。内容过滤技术被应用于邮件服务系统中,无疑会增加服务器负载。另外,不是所有的内容过滤工具都支持网管所需的并发连接数控制功能。
反毒战场3 斗士
其实,在防毒技术领域,已经涌现了不少更全面更无缝的解决方案,就是将内容过滤技术集成到邮件服务器防毒方案或网关防毒方案中。
早在上个世纪,当美丽莎首次爆发时,一些安全厂商就看出端倪,纷纷在随后(也就是21 世纪初)推出在邮件服务器版添加防范垃圾邮件的内容过滤技术的解决方案,当然,与真正第三方提供的防范垃圾邮件独立产品比,其过滤功能要简单得多,效能也低些。进入2003年以来,垃圾邮件问题日益严重,病毒作案手段也花样翻新,主要目的就是消耗系统资源,使应用服务中断。
途径则集中在利用系统漏洞入侵和邮件传播2 个方面。这时,安全厂商借助列表、启发式扫描引擎、黑白名单等多种技术,将集成在企业级邮件服务器版中的内容过滤功能和性能进一步提升。还有厂商把内容过滤功能独立出来,作为一个插件,配合邮件服务器防毒产品使用。
为了全面保护邮件服务器,降低其工作负担,安全厂商又提出一个新的设想——将病毒在到达邮件服务器之前处理掉。于是基于网关的邮件服务器防毒方案应运而生。它可以在网关处(未达邮件服务器前)先将病毒、垃圾邮件过滤掉,再到服务器端进行细致过滤。像MyDoom这样的病毒,如果用户采用了这种解决方案,它会在网关处先将它作为垃圾邮件给阻拦掉。根本不会再到达服务器端,形成拥塞。
目前我了解到的相关解决方案有趋势科技深度集成SPS 的IMSS、Symantec AntiVirus Gateway Solution、卡巴斯基的反病毒MS Exchange Server 5.5/2000 版以及瑞星公司推广的无毒邮件中间件方案。
趋势科技深度集成SPS(垃圾邮件防范方案)的IMSS是2003 年11 月首推新品,是位于网关的垃圾邮件及病毒过滤器。单从反垃圾邮件的角度看,因为集成SPS,可以通过与所建立的垃圾邮件黑名单数据库进行对比,拦阻垃圾邮件;利用启发式扫描引擎,根据邮件的多特征(如内容、标头和格式等)判断所收的邮件是否为垃圾邮件;提供更高级的匹配敏感程度的过滤规则;根据4种等级(“只做标记”、“隔离邮件”和“直接删除”等),设定弹性过滤规则,以规避误判风险;支持黑白名单和多操作系统平台。如果是带毒的垃圾邮件,它将同时启动防毒功能,实时过滤邮件病毒附件和垃圾邮件。特别需要指出,它对海量邮件病毒具有很强的控制能力,不仅能够控制SMTP服务器之间会话时产生的并发连接数,还可以控制单一邮件对内部用户的发送数目。所以,MyDoom在它面前将无计可施。该方案的优势在于支持大流量邮件传输,几乎不影响网络性能。并支持所有邮件应用系统,以及集中管理平台(TMCM)控管。Symantec AntiVirus Gateway Solution 能够在最短的网络反映时间内提供可伸缩、高性能的内容过滤功能。Symantec AntiVirus Gateway Solution 包括 Symantec AntiVirus for SMTP Gateways 和Symantec Web Security两项方案。前者是基于SMTP网关、为邮件系统提供多层安全防范功能。它使用多层技术的组合(如反垃圾邮件启发式技术、多种实时黑名单(RBL)、定制的黑名单和白名单)扫描附件中的病毒,并有效阻挡垃圾邮件,并可根据常见的邮件特征(如主题、附件名称、扩展名和最大邮件大小),阻挡不受欢迎的其他内容。后者则因拥有病毒防护和Web过滤技术,而用于保护Web数据流 (HTTP和FTP) 的安全。
该方案因运行于邮件服务进程前,在病毒邮件未达到服务器时即被滤掉, 所以可用于处理类似 MyDoom 一样的病毒。
瑞星公司的无毒邮箱中间件
以瑞星查杀毒引擎作为内核,提供统一一致的外部接口供外部程序调用,它位于OS 和邮件服务器之间,能在邮件病毒到达邮件服务器前检测和清除它们,有效保护邮件服务器免受邮件病毒的侵扰。除Windows外,它支持各种主流 Unix 和Linux 平台,可随病毒变化而智能更新。由于它面向软件开发商和系统集成商,需要经过简单的二次开发,普通企业用户用起来略有难度。
邮件防毒中间件产品属于支撑软件,是介于操作系统或硬件平台与邮件服务系统之间的一种软件。它工作在邮件服务的底层,可以即时分析请求的邮件流量,如果发现是病毒,便可直接将之过滤,由于邮件防毒中间件是面对病毒的,因此无须进行多次判断即可判定是否为病毒并进行相应的处理,从而从根本解决病毒问题。
当我了解到这些信息以后,赶忙向网管做了最新报告,网管听了也欣喜若狂。忙着去询价,去报批。不知结果如何。
MyDoom 反思
MyDoom 侵袭的都是安全意识薄弱的企业。据本编观察,在所结识的企业用户中,有50%的企业并未染上MyDoom。归根结底,还是对安全认识程度低的问题。
另一方面,因安全花钱,往往是出了问题以后,才变得顺理成章。如果没有灾难发生,企业往往不会拨款。上述企业老板之所以点头批钱,不就是因为被MyDoom 大大伤害后产生了觉悟吗?据某国内著名IT巨头研发中心技术经理反映,他们使用了Symantec网关产品也没遭遇MyDoom。
应该说,MyDoom造成的危害还不是很大,只是暂时中断了业务,恢复也不是件太麻烦的事儿。如果哪天冒出来了个威力四慑的恶魔,足以毁掉一个企业时,无论如何重视安全,都将悔之晚矣。
MyDoom 事件给大家再次敲响警钟:未来病毒将更加依赖邮件传播方式,反击新病毒不仅需要依靠防毒解决方案,还要结合反垃圾邮件等其他安全技术。