网络钓鱼揭秘:钓鱼者的典型攻击手段(下)

　端口重新定向

　　这是第二种攻击方法。据称，2005年1月11日，一个攻击者利用Redhat Linux 7.3系统的安全漏洞成功地进入了一个蜜罐。

　　研究人员称，这个攻击事件有点不同寻常。攻击者突破了服务器之后并没有直接上载钓鱼的内容。取而代之的是攻击者在蜜罐中安装并且配置了一个端口重新定向服务。这个端口重新定向服务旨在把发送到蜜罐网络服务器的HTTP请求以透明的方式重新路由到另外一台远程服务器，使人们很难跟踪内容来源的位置。

　　研究人员说，攻击者随后在蜜罐服务器中下载和安装一个名为“redir”的端口重新定向工具软件。这个工具软件旨在透明地把进入蜜罐服务器的TCP连接发送到一个远程主机。攻击者设置这个软件，以便把所有通过TCP 80端口进入蜜罐服务器的通信重新定向到在中国的一台远程网络服务器的TCP 80端口。

　　蜜网

　　这是第三种钓鱼攻击方法。在2004年9月至2005年1月期间，德国蜜网计划部署了一系列没有使用补丁的基于Windows操作系统的蜜罐，以观察蜜网的活动情况。在此期间，发生了100多起单独的蜜网活动。

　　研究人员表示，他们捕获的某些版本的蜜罐软件能够远程启动在被攻破的服务器中的SOCKS代理。

　　研究报告则称，如果访问这个蜜网的攻击者能够启动远程蜜罐服务器中的SOCKS代理功能，这台服务器就能够被用来发送大量的垃圾电子邮件。如果一个蜜网包含大量的被攻破的主机，攻击者就可以非常容易地从毫不察觉的家庭电脑用户拥有的大量的IP地址发送大量的电子邮件。

　　资源丰富的蜜网的拥有者利用蜜网从事犯罪活动也许不会使人们感到意外。现在是租用蜜网的时候了。蜜网的经营者将向客户出售具有SOCKS v4功能的服务器IP地址和端口的列表。有很多文件证明，有人把蜜网出售给垃圾邮件制造者作为转发垃圾邮件的工具。

　　底线

　　在挑选了上述这些攻击方法之后，研究人员做出结论称，钓鱼攻击能够很快地发生。从首次入侵服务器到在网络上建起钓鱼网站只需要非常短的时间。这就使网络钓鱼很难跟踪和预防。这篇研究报告显示，许多钓鱼攻击都是同时采取多种手段、组织得非常复杂并且经常联合采用上面介绍的手段。

　　IT管理员应该做什么？

　　Watson指出，黑客经常扫描大量的IP地址，寻找可以攻击的有漏洞的主机。这种扫描活动是不分青红皂白的。漏洞最多的服务器将首先被黑客找到。因此，网络管理员要采取最佳的安全做法并且修复系统的安全漏洞，使用防火墙并且执行严格的身份识别措施，或者封锁不必要的进入服务器的连接。

　　蜜网研究人员Clune赞同这个观点，并且对IT管理员提出如下建议：

　　提高警惕。钓鱼网站从建立到开始活动是很快的。这些人预计这种钓鱼网站存在时间很短，因此，需要建立很多这类网站。钓鱼网站虽然存在的时间短，但是，在被发现之前造成的损失是很大的，特别是在周末。

　　对简单的事情也要加小心。阻止直接发出的简单邮件传输协议进入你所有的机器以及进入服务器的HTTP/HTTPS请求等简单的事情使你的服务器不容易被黑客利用，从而使黑客转向其它容易利用的服务器。通过你的网关强制执行简单邮件传输协议并且同时运行查找垃圾邮件的软件可能会完全阻止你的服务器发送垃圾电子邮件。从信誉的角度说，这是一种很好的方法。