攻击服务器的成本：从数据泄露到声誉受损 (攻击服务器的攻击方式)

在當今數字化的世界中，伺服器對於企業的運作至關重要。伺服器存儲著敏感的數據，例如客戶信息、財務記錄和業務機密。因此，伺服器容易受到攻擊，這些攻擊會對企業造成毀滅性的後果。

攻擊伺服器的攻擊方式

攻擊伺服器的攻擊方式有很多種，包括：

• 網絡釣魚攻擊：網絡釣魚攻擊通過電子郵件或短信傳送惡意軟件連結或附件，誘騙用戶輸入其登錄憑證。
• 分布式阻斷服務 (DDoS) 攻擊： DDoS 攻擊通過向伺服器發送大量流量來淹沒伺服器，使其無法為合法用戶提供服務。
• 中間人 (MitM) 攻擊： MitM 攻擊使攻擊者可以攔截客戶端和伺服器之間的通信，並竊取敏感信息或更改數據。
• 零時差攻擊： 零時差攻擊利用軟件中的漏洞，在補丁發布之前發動攻擊。
• 勒索軟件攻擊： 勒索軟件攻擊加密伺服器上的文件，然後要求受害者支付贖金以解密文件。

攻擊伺服器的成本

攻擊伺服器會對企業造成嚴重的財務和聲譽損失，包括：

• 數據外洩：伺服器攻擊可能會導致敏感數據（例如客戶信息、財務記錄和業務機密）被盜或洩露。
• 業務中斷：伺服器攻擊可以導致企業的正常業務運作中斷，從而造成收入損失、生產力下降和客戶流失。
• 聲譽受損：伺服器攻擊可能會損害企業的聲譽，因為會讓客戶和合作夥伴對其數據安全性的信心降低。
• 法規遵從罰款：伺服器攻擊可能會導致企業違反數據保護法規，例如《通用數據保護條例 (GDPR)》，並可能面臨巨額罰款。
• 訴訟費用：伺服器攻擊可能會導致受害者或股東提出訴訟，進一步增加企業的財務損失。

防止伺服器攻擊的措施

企業可以採取多項措施來防止伺服器攻擊，包括：

• 維護軟體更新：定期安裝軟體更新可修復可能被攻擊者利用的漏洞。
• 使用強密碼：所有系統都應使用強密碼來防止未經授權的訪問。
• 啟用防火牆：防火牆可以阻止未經授權的使用者存取伺服器。
• 部署入侵偵測系統 (IDS)：IDS 可以監控網路流量並檢測可疑活動。
• 定期備份數據：定期備份數據可確保在發生攻擊時數據不會丟失。
• 員工培訓：員工應接受關於網路安全最佳實務的培訓，以防止網絡釣魚和社會工程攻擊。
• 與安全專家合作：與安全專家合作可以提供額外的保護層，並幫助企業及時應對攻擊。

結論

攻擊伺服器會對企業造成毀滅性的後果。通過了解伺服器的攻擊方式以及採取適當的預防措施，企業可以保護自己免受攻擊，並最大限度地降低風險。

---

什么是DDOS攻击

DDOS是英文Distributed Denial of Service的缩写，意即“分布式拒绝服务”，那么什么又是拒绝服务（Denial of Service）呢？可以这么理解，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。

也就是说拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。

虽然同样是拒绝服务攻击，但是DDOS和DOS还是有所不同，DDOS的攻击策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水式攻击”，常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务，常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。

就这两种拒绝服务攻击而言，危害较大的主要是DDOS攻击，原因是很难防范，至于DOS攻击，通过给主机服务器打补丁或安装防火墙软件就可以很好地防范，后文会详细介绍怎么对付DDOS攻击。

参考资料：

劫持你家路由器路由器如何劫持

劫持你家路由器-路由器如何劫持执行摘要DNS劫持危害严重，会给用户带来糟糕的网络访问体验，也有可能威胁到用户的数据乃至财产安全。

在2020年，我们通过绿盟威胁捕获系统捕获到两起DNS劫持事件，本文将对其进行分析，并将重点放在正在发生的第二起事件上。

攻击者进行DNS劫持的流程为：首先对暴露在互联网上的存在未授权DNS修改漏洞的路由器进行攻击，将其DNS服务器地址改为攻击者的恶意DNS服务器；之后，当用户访问攻击者劫持的域名时，会访问到钓鱼网站，页面中会诱导用户输入账号密码、银行卡号等敏感信息；最后，攻击者利用收集到的敏感信息获利。

本文的关键发现如下：2020年至今，我们共捕获到2起DNS劫持事件。

第一起攻击主要集中在5月24日，攻击源只有1个，第二起攻击在8月18日首次被我们捕获到，截至笔者行文，该攻击还在进行中。

在第一起劫持事件中，攻击源在短时间内进行了全球范围的攻击，目标端口是80和8080，共使用了4类远程DNS修改（RemoteDNSChange）漏洞。

在第二起劫持事件中，攻击者从8月18日起持续进行全球范围的攻击，目标端口是80、81、82、8080和8182，攻击者仅利用了一种攻击方式，但是，我们在Exploit-DB中共发现18条相关的漏洞信息，涉及多个厂商的路由器。

第二起攻击的攻击源有27个，77.8%的攻击源位于荷兰，其余攻击源位于美国。

这些IP均来自同一ASN（AS），所属ISP为DIGITALOCEAN-ASN。

绿盟威胁情报中心的数据显示，85.2%的IP有IDC标签。

发生DNS劫持后，路由器的首选DNS服务器会被篡改为149.56.152.185。

我们对Alexa排名前1万的域名解析数据进行了分析，发现攻击者的攻击目标主要为电子邮箱、银行和通用的娱乐、电商、支付平台类网站。

采集的个人信息包括电子邮箱账户、支票账户、网络银行账号、银行卡号和相关银行卡信息及其密码等。

攻击者劫持的大部分域名为巴西的域名，并且我们发现了用葡萄牙语编写的代码，因此，我们判断攻击者的攻击目标以巴西为主，并且攻击者很有可能是巴西人。

我们利用绿盟威胁情报中心的资产数据对潜在受影响的设备分布情况进行了评估。

我们发现真正暴露在巴西的主要是Beetel公司的BCM这一型号的路由器，但其暴露数量也仅为361台。

假定不存在未被识别出的设备，那么本次DNS劫持事件对巴西的影响有限。

但是由于攻击者的扫描是全球范围的，其他国家的设备的DNS也存在被篡改的可能。

不过即便被篡改，根据我们对劫持目标的分析，其他国家受影响的用户的数据泄露的可能性也比较小。

由于厂商设备型号众多，未被披露的型号同样可能存在相同的漏洞。

从厂商角度来看，TP-LINK、ASUS和D-Link路由器的全球暴露数量均超过百万，而在巴西，这三个厂商的设备也有一定的暴露面。

针对DNS劫持的防护，我们建议，在网页出现异常时提高警惕，为系统指定DNS服务器，及时将路由器固件升级为最新版本等。

1.简介1.1什么是DNS劫持DNS，即DomainNameSystem（域名系统）[1]，是一种将域名解析为计算机能够识别的网络地址（IP地址）的系统，是Internet的重要组成部分。

DNS劫持指DNS服务器的拥有者（或攻击者）恶意将某域名指向错误的IP。

1.2DNS劫持的危害DNS劫持危害主要有以下五点：（1）无法访问某些域名，表现为连接超时等。

（2）访问某些域名时跳转到其他网站，如访问Google却跳转到网络页面。

（3）当访问到错误的域名时，跳转到广告页面。

（4）访问某些域名时，页面增加了广告信息。

主要针对静态网页。

（5）劫持到模仿真实网站做成的假网站，从而窃取用户名、密码甚至银行卡卡号、密码等恶意行为。

很多情况下难辨真伪。

前四点会为用户带来糟糕的体验，以及为DNS拥有者带来一笔不菲的收入。

而最后一点直接威胁到用户的数据乃至财产安全，是非常严重的。

1.3DNS劫持是如何发生的DNS劫持的发生，主要有两种可能：（1）ISP（网络服务提供商）提供的DNS出现问题，或是趋于利益，或是遭到攻击。

（2）设备（路由器、用户设备等）的DNS相关设置被恶意篡改。

劫持威胁分析2.1攻击趋势分析我们对DNS劫持相关日志进行了分析，如图2.1所示，2020年至今，我们共捕获到2起DNS劫持行为。

第一起攻击主要集中在5月24日，攻击源只有1个，第二起攻击在8月18日首次被我们捕获到，截至笔者行文，该攻击还在进行中。

本章也将主要对第二起攻击进行分析。

图2.1DNS劫持攻击趋势分析2.2攻击手法2.2.1第一起DNS劫持事件在第一起劫持事件中，攻击源只有一个，在短时间内进行了全球范围的攻击，目标端口是80和8080，共使用了4类远程DNS修改（RemoteDNSChange）漏洞。

漏洞1：攻击手法：GET/?dnsprimary=111.90.159.53&dnsSecondary=8.8.8.8&dnsDynamic=0&dnsRefresh=1目标端口：80、8080目标设备：我们在Exploit-DB中共发现18条相关的记录[①]，涉及多个厂商的路由器，包括D-Link、UTstarcom、Beetel、iBallBaton、Tenda、Pirelli、Exper、ASUS、COMTREND、PLANET、inteno、TP-LINK、ShuttleTech等。

漏洞2：攻击手法：GET/Forms/dns_1?Enable_DNSFollowing=1&dnsprimary=111.90.159.53&dnsSecondary=8.8.8.8目标端口：80、8080目标设备：D-LinkDSL-2640R（EDB-ID）、DSL-2740R（EDB-ID）。

漏洞3：攻击手法：GET/?action=apply&service=0&enbl=0&dnsprimary=111.90.159.53&dnsSecondary=8.8.8.8&dnsDynamic=0&dnsRefresh=1&dns6Type=DHCP目标端口：80、8080目标设备：D-LinkDSL-2640B（EDB-ID）。

漏洞4：攻击手法：GET/goform/AdvSetDns?GO=wan_&reboottag=&DSEN=1&DNSEN=on&DS1=111.90.159.53&DS2=8.8.8.8。

107.23.99.48位于美国弗吉尼亚州阿什本，运营商。

表2.1和表2.2分别是149.56.152.185和149.56.79.215的端口开放情况。

表2.1149.56.152.185端口开放情况表2.2149.56.79.215端口开放情况2.5DNS劫持目标分析攻击目标主要为巴西电子邮箱类、银行类，还有和财产相关的通用娱乐电商支付平台类。

采集的个人信息包括电子邮箱账户、支票账户、网络银行账号、银行卡号和相关银行卡信息及其密码等。

另外，还有CPF码（巴西纳税人标识）以及持卡人姓名等，是巴西纳税人的重要信息。

可见攻击者目标明确，对财产方面感兴趣。

另外我们注意到[3]，有攻击者在2019年3月，也对类似的域名进行过劫持。

所有的假页面有一些共同点：一是HTML结构简单，几乎无CSS，而用整页图片替代；二是采用PHP生成网页，还有少量JavaScript文件用于检测输入信息的合法性；三是仅有登陆功能可用，其余大部分超链接无法使用或者链接到404页面；四是均为，Outlook邮箱打开后显示葡萄牙语登录页面。

随意输入邮箱和密码后跳转到，并提示找不到服务器IP。

猜测攻击者希望跳转到真实页面，但未实现。

b)，Outlook邮箱同上。

c)，MSN门户显示为Outlock邮箱登陆页面，同上。

d)，Terra邮箱（巴西）主页所有链接打开后均为404，可以输入用户名和密码，输入后点击登录仍跳回主页。

e)，Bradesco银行（巴西）打开主页仅有顶部可用，要求输入机构编号和用户支票账号，点击ok后跳转到404页面。

（猜测是攻击者尚未配置完毕）f)，CAIXA银行（巴西）图2.3CAIXA银行的真实页面（上）和攻击者伪造页面（下）图2.3是巴西CAIXA银行的真实页面和攻击者伪造页面，虽然看起来很像，但后者仅有登陆功能。

访问被劫持页面，主页仅有一个登陆按钮，其余为单纯图片，点击无反应。

点进去后要求输入用户名，并选择个人、法人或政府。

用户名要求10至20位。

随意输入即可进入到下一级。

要求输入网络银行密码。

页面弹窗提示用网页的虚拟键盘录入，但实际上仅能通过键盘录入。

这应该是攻击者尚未完善。

随意输入进入下一级。

称当前计算机需要登记后才能访问，阅读后进入下一级。

要求输入CPF码（巴西纳税人码）、银行卡号、计算机昵称。

这里CPF有合法性检查，我们编造了一个合法的CPF，成功进入下一级。

值得一提的是，此处检查CPF合法性的JavaScript，使用葡萄牙语编写的，猜测攻击者为巴西人可能性较大。

选择计算机登记时间：永久、1至365天、仅此一次，选择后进入下一级。

显示计算机成功登记。

进入下一级。

要求输入数字密码。

限制六位，随意输入进入下一级。

确认数字密码，限制六位，无需与上次相同，提示成功，然后显示为一片空白。

g)，Santander银行（巴西）图2.4Santander银行的真实页面（上）和攻击者伪造页面（下）图2.4是巴西Santander银行的真实页面和攻击者伪造页面，后者仅有登陆功能。

其主页提供两种登陆方式：CPF码或机构编号、用户支票账号。

CPF码有合法性检查，编造了合法的CPF后要求输入登陆密码，随意输入后要求输入电话号码、CVV码、6位或8位超级数字密码（姑且这样翻译吧，实在看不懂葡萄牙语）、4位数字密码。

随意输入后要求输入密码卡，包含50个4位数和卡号。

随意输入后要求输入卡号和签发日期，日期有合法性检查。

随后显示成功信息。

随意输入机构编号、用户支票账号后跳转到登陆页面，要求输入用户名和密码。

随意输入后进入下一级，显示先前输入的支票账号，要求输入支票密码、设备序列号和令牌（这应该是一种安全验证设备）。

满足位数限制，随意输入后显示成功开通网上银行。

h)，Santander银行（巴西）同上。

i)，Itau银行（巴西）所采集信息基本与上银行网站同，不做赘述。

j)，巴西银行所采集信息基本与上银行网站同，不做赘述。

k)，花旗银行404NotFound。

猜测是攻击者尚未配置完毕。

l)，Netflix视频网站图2.5攻击者伪造的Netflix页面图2.5是攻击者伪造的Netflix页面，要求填写银行卡信息，打开主页后只有登录按钮可用，其余跳转到404页面。

这里在一段时间内发现两种情况：点击登录后提示可免费获取一个月会员，要求输入邮箱和密码。

随意输入后进入下一级，要求输入银行卡信息，包含名、姓、CPF、卡号、签发日期、CVV码。

随意输入后提示成功。

点击登录后要求输入邮箱和密码，提示用户被暂停，需要验证账户，要求输入银行卡信息，包含名、姓、CPF、卡号、签发日期、CVV码。

随意输入后提示成功。

m),Americanas电商平台（巴西）图2.6Americanas电商平台的真实页面（上）和攻击者伪造页面（下）图2.6是Americanas电商平台的真实页面和攻击者伪造页面，两者区别明显。

点击登录，要求输入用户名（邮箱）和Americanas密码。

提示可以兑换优惠券，要求输入银行卡号、签发日期、持卡人姓名、CVV码。

随意输入后显示优惠券码。

无论如何操作总显示同一优惠券码。

n)，PayPal支付平台图2.7攻击者伪造的PayPal页面图2.7是攻击者伪造的PayPal页面，主页显示英文界面，点击登录，要求输入邮箱、密码、全名、生日、国家、住址、城市、邮编、银行卡号、签发日期、CVV码、密码。

2.6潜在受影响设备暴露情况分析通过Exploit-DB，我们可以获取存在远程DNS修改漏洞的设备厂商和型号，因此，本节将从这两个角度对潜在受影响的设备进行评估，数据来自绿盟威胁情报中心。

由于劫持目标与巴西有关，除分析全球受影响情况外，我们也对巴西的受影响设备的分布情况进行了分析。

图2.8是潜在受影响的设备型号的分布情况，在我们可识别的设备中，真正暴露在巴西的主要是Beetel公司的BCM这一型号的路由器，但其暴露数量也仅为361台。

从这个角度来看，假定不存在未被识别出的设备，那么本次DNS劫持事件对巴西的影响有限。

但是由于攻击者的扫描是全球范围的，其他国家的设备的DNS也存在被篡改的可能，不过即便被篡改，根据我们对劫持目标的分析，其他国家受影响的用户的数据泄露的可能性也比较小。

图2.8潜在受影响设备暴露情况（设备厂商-型号）图2.9是潜在受影响的设备厂商的分布情况，之所以从这个角度来考虑，是因为Exploit-DB的数据仅为互联网上披露出来的数据，但一个厂商设备型号众多，未必会被全面进行测试，未被披露的型号同样可能存在相同的漏洞。

从图2.9可以看出，TP-LINK、ASUS和D-Link路由器的全球暴露数量均超过百万，而在巴西，这三个厂商的设备也有一定的暴露面。

但是这些设备有多少的DNS可被篡改，我们就没有进行验证了。

图2.9潜在受影响设备暴露情况（设备厂商）3.小结本文首先对DNS劫持的成因和危害进行了介绍，之后介绍了今年我们捕获到的两起DNS劫持事件。

针对DNS劫持的防护，我们有如下建议：当发现网页出现异常时，如加载速度慢、显示异常、功能缺失、要求录入个人信息等，立即停止访问，更换网络环境或手动配置DNS后再试。

尽量使用/alexa-static/[3]PayPal,Netflix,Gmail,andUberusersamongtargetsinnewwaveofDNShijackingattacks,/company/blog/paypal-netflix-gmail-and-uber-users-among-targets-new-wave-dns-hijacking-attacks[4]世界各地DNS服务器地址大全,/关于格物实验室格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。

致力于以场景为导向，智能设备为中心的漏洞挖掘、研究与安全分析，关注物联网资产、漏洞、威胁分析。

目前已发布多篇研究报告，包括《物联网安全白皮书》、《物联网安全年报2017》、《物联网安全年报2018》、《物联网安全年报2019》、《国内物联网资产的暴露情况分析》、《智能设备安全分析手册》等。

与产品团队联合推出绿盟物联网安全风控平台，定位运营商行业物联网卡的风险管控；推出固件安全检测平台，以便快速发现设备中可能存在的漏洞，以避免因弱口令、溢出等漏洞引起设备控制权限的泄露。

关于伏影实验室伏影实验室专注于安全威胁与监测技术研究。

研究目标包括僵尸网络威胁，DDoS对抗，WEB对抗，流行服务系统脆弱利用威胁、身份认证威胁，数字资产威胁，黑色产业威胁及新兴威胁。

通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑。

绿盟威胁捕获系统网络安全发展至今特别是随着威胁情报的兴起和虚拟化技术的不断发展，欺骗技术也越来越受到各方的关注。

欺骗技术就是威胁捕获系统关键技术之一。

它的高保真、高质量、鲜活性等特征，使之成为研究敌人的重要手段，同时实时捕获一手威胁时间不再具有滞后性，非常适合威胁情报的时效性需求。

绿盟于2017年中旬运营了一套威胁捕获系统，发展至今已逐步成熟，感知节点遍布世界五大洲，覆盖了20多个国家，覆盖常见服务、IOT服务，工控服务等。

形成了以全端口模拟为基础，智能交互服务为辅的混合型感知架构，每天从互联网中捕获大量的鲜活威胁情报，实时感知威胁。

[①]我们在Exploit-DB中对关键词“DNSchange”进行检索，并对结果进行了分类整理。

什么是黑客攻击？有哪些形式？

什么是黑客攻击？随着互联网的快速发展，黑客攻击已经成为一种普遍存在的安全威胁。

那么，什么是黑客攻击呢？黑客攻击是指黑客通过各种手段侵入计算机系统或网络，以获取、窃取、破坏或篡改数据的行为。

黑客攻击可能涉及窃取个人信息、财务信息，或者是破坏企业或政府的计算机系统。

黑客攻击有很多种形式，包括病毒攻击、恶意软件攻击、网络钓鱼攻击、拒绝服务攻击等等。

这些攻击方式都涉及某些漏洞或弱点，黑客利用这些漏洞或弱点入侵系统或网络，并获取所需的信息。

黑客攻击的危害不容小觑。

被黑客攻击后，受害者可能面临泄露个人隐私、财务损失、声誉受损等问题。

企业或政府机构被黑客攻击后，可能会导致业务中断、损失巨大或国家安全受到威胁。

为了防范黑客攻击，我们需要注意以下几点：1.加强密码保护。

使用复杂的密码，勿将密码泄露给他人。

2.定期更新软件版本。

软件漏洞是黑客攻击的主要入口。

3.不轻信邮件、短信中的链接。

可能是网络钓鱼攻击。

4.使用防病毒软件。

能有效发现和清除病毒。

5.定期备份数据。

攻击后，及时恢复备份数据可以减少损失。

黑客攻击是一个不断进化的威胁。

我们需要不断提高自己的安全意识，采取各种措施来保护自己和企业的信息安全，尽可能减少黑客的攻击。