1. 應(yīng)用層威脅介紹

2000年以前，當(dāng)我們談及網(wǎng)絡(luò)安全的時(shí)候，還主要指防火墻，因?yàn)槟菚r(shí)候的安全還主要以網(wǎng)絡(luò)層的訪問控制為主。的確，防火墻就像一個(gè)防盜門，給了我們基本的安全防護(hù)。但是，就像今天最好的防盜門也不能阻止“禽流感”病毒傳播一樣，防火墻也不能阻擋今天的網(wǎng)絡(luò)威脅的傳播。今天的網(wǎng)絡(luò)安全現(xiàn)狀和2000年以前相比，已經(jīng)發(fā)生了很大的改變，我們已經(jīng)進(jìn)入了一個(gè)“應(yīng)用層威脅”泛濫的時(shí)代。
今天，各種蠕蟲、間諜軟件、網(wǎng)絡(luò)釣魚等應(yīng)用層威脅和EMAIL、移動(dòng)代碼結(jié)合，形成復(fù)合型威脅，使威脅更加危險(xiǎn)和難以抵御。這些威脅直接攻擊企業(yè)核心服務(wù)器和應(yīng)用，給企業(yè)帶來了重大損失；攻擊終端用戶計(jì)算機(jī)，給用戶帶來信息風(fēng)險(xiǎn)甚至財(cái)產(chǎn)損失；對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行DoS/DDoS攻擊，造成基礎(chǔ)設(shè)施的癱瘓；更有甚者，像電驢、BT等P2P應(yīng)用和MSN、QQ等即時(shí)通信軟件的普及，企業(yè)寶貴帶寬資源被業(yè)務(wù)無關(guān)流量浪費(fèi)，形成巨大的資源損失。面對(duì)這些問題，傳統(tǒng)解決方案最大的問題是，防火墻工作在TCP/IP 3～4層上，根本就“看”不到這些威脅的存在，而IDS作為一個(gè)旁路設(shè)備，對(duì)這些威脅又“看而不阻”，因此我們需要一個(gè)全新的安全解決方案。
在解決問題之前，我們需要先了解一下應(yīng)用層威脅的形式和原理。所謂應(yīng)用層威脅，主要包括下面幾種形式：

因?yàn)槠南拗疲诒疚闹形覀冎攸c(diǎn)介紹一下蠕蟲、間諜軟件、帶寬濫用這三個(gè)典型的應(yīng)用層威脅。

1.1.   蠕蟲

蠕蟲的定義是指“通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自我復(fù)制的惡意程序，泛濫時(shí)可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓”。從本質(zhì)上講，蠕蟲和病毒的最大的區(qū)別在于蠕蟲是通過網(wǎng)絡(luò)進(jìn)行主動(dòng)傳播的，而病毒需要人的手工干預(yù)（如各種外部存儲(chǔ)介質(zhì)的讀寫）。但是時(shí)至今日，蠕蟲往往和病毒、木馬和DDoS等各種威脅結(jié)合起來，形成混合型蠕蟲。
蠕蟲有多種形式，包括系統(tǒng)漏洞型蠕蟲、群發(fā)郵件型蠕蟲、共享型蠕蟲、寄生型蠕蟲和混和型蠕蟲。其中最常見，變種最多的蠕蟲是群發(fā)郵件型蠕蟲，它是通過EMAIL進(jìn)行傳播的，著名的例子包括“求職信”、“網(wǎng)絡(luò)天空NetSky”、“雛鷹 BBeagle”等，2005年11月爆發(fā)的“Sober”蠕蟲，也是一個(gè)非常典型的群發(fā)郵件型蠕蟲。群發(fā)郵件型蠕蟲的防治主要從郵件病毒過濾和防垃圾郵件上入手。
下面我們重點(diǎn)談?wù)劇跋到y(tǒng)漏洞型蠕蟲”，系統(tǒng)漏洞型蠕蟲利用客戶機(jī)或者服務(wù)器的操作系統(tǒng)、應(yīng)用軟件的漏洞進(jìn)行傳播，成為目前最具有危險(xiǎn)性的蠕蟲。以沖擊波蠕蟲為例，它就是利用Microsoft RPC DCOM 緩沖區(qū)溢出漏洞進(jìn)行傳播的。系統(tǒng)漏洞型蠕蟲傳播快，范圍廣、危害大。例如2001年CodeRed的爆發(fā)給全球帶來了20億美金的損失，而SQL Slammer只在10分鐘內(nèi)就攻破了全球！下面是近5年來針對(duì)微軟操作系統(tǒng)漏洞的5個(gè)最著名的蠕蟲：
t      紅色代碼(CodeRed)：
MS01-033，微軟索引服務(wù)器緩沖區(qū)溢出漏洞，利用TCP 80傳播
t      SQL SLAMMER：
MS02-039，SQL服務(wù)器漏洞，利用UDP 1434進(jìn)行傳播
t      沖擊波(Blaster)
MS03-026，RPC DCOM服務(wù)漏洞，利用TCP 135 139等等進(jìn)行傳播
t      震蕩波(Sasser)：
MS04-011，LSASS本地安全認(rèn)證子系統(tǒng)服務(wù)漏洞，利用TCP 445等端口進(jìn)行傳播
t      Zobot
MS05-39，windows PnP服務(wù)漏洞，利用TCP 445端口進(jìn)行傳播
上述5個(gè)蠕蟲都是臭名昭著的蠕蟲，其中Zobot到2005年12月還在網(wǎng)絡(luò)上肆虐著它的余威。由于系統(tǒng)漏洞型蠕蟲都利用了軟件系統(tǒng)在設(shè)計(jì)上的缺陷，并且他們的傳播都利用現(xiàn)有的業(yè)務(wù)端口，因此傳統(tǒng)的防火墻對(duì)其幾乎是無能為力。實(shí)際上，系統(tǒng)漏洞是滋生蠕蟲的溫床，而網(wǎng)絡(luò)使得他們可以恣意妄為。