保卫本土网站关注网络安全——十房网专题—

	网站首页 \| 房产资讯 \| 新房 \| 二手房 \| 社区 \| 十房研究

十房网遭遇黑客攻击探究危机之下生存之道

在网络日益发达的今天，利用网络犯罪的现象也屡见不鲜。 2010年7月3日下午四点，十房网执行经理李伟在“十堰站长交流会”活动中，就之前十房网被黑客恶意攻击事件发表了自己的看法...[详细]

十房网简介

十堰市房地产专业门户网站（十房网www.10fang.com）创办于2003年，是十堰市第一个房地产综合服务营销平台和房产家居资讯最全的网络...[详细]

事件回放

时间	进展
2010年6月20日22:10	登陆困难、无法连接服务器，已经影响到万网安全
2010年6月21日	网站已经彻底无法打开
2010年6月22日	网站技术部人员排查，发现10fang.com的域名被黑客攻击
2010年6月23日	与万网电话沟通无果，十房网执行经理奔赴北京
2010年6月24日	十房网暂时更改域名,可以访问
2010年6月25日	暂时域名再次被攻击，到十堰市公安局网监支队报案
2010年6月26日	返回十堰，多方联系解决办法
2010年6月27日	网站服务器遭受黑客攻击，电信将IP查封
2010年6月28日	到武汉市网监处报案，在各媒体上发悬赏缉拿黑客公告
2010年6月29日	寻求解决办法，继续发布公告
2010年6月30日	将域名解析到国外，下午十房网可正常访问，发致谢公告

攻击背景

焦点一攻击事件发生于十房网七周年之际是巧合还是蓄意?

   2010年6月23日是邦尼房产咨询有限公司（十房网）创立七周年纪念日，为此十房网正推出一系列感恩回馈市民活动，专刊专题视频相继上线。
   但在6月21日发生的恶意攻击事件无疑一盆冷水浇灭了大家庆祝七周年的心情。
   这究竟是巧合还是有人蓄意而为？

焦点二千家房地产网站遭攻击十房网是个案还是被无辜牵连

	据金山安全实验室的统计数据显示,近千家与房地产相关的网站最近被挂马。黑客攻击成为近期房地产网站最大的不安全因素。黑客为何攻击房地产网站？这或许与民众关注的“高房价”焦点密切相关。据专家指出,近期随着房价成为公众关注的热点话
题, 大量与房地产相关的网站被挂马集团攻击。黑客攻击行为源自了对当前房产的焦躁情绪。因为不满,所以攻击,近年来类似的黑客攻击行为并不鲜见。十房网事件究竟是个案还是被无辜牵连？

十房网突发事件处理方法

1、第一时间奔赴网站域名、服务器所在地
2、果断报警，寻求社会各界更多帮助 3、在各大媒体及时发出公告，向网友致歉
4、十房网编辑工作从未停止，十房网工作人员每天坚守岗位，静待网站变化
5、网站恢复后及时发出声明，完成网站相关内容更新
6、竭尽全力挽回十房网声誉和人气

十房网遭受攻击事件反思

1、网络安全意识的缺乏
   1）对网络安全问题的疏忽
   2）工作人员对网络安全知识匮乏
   3）专业人才的缺乏

2、网站维权，相关法律并不健全
   1）十堰网站出现问题要去哪里解决，找谁解决
   2）十堰市公安局网监支队
   3）相关法律法规

1、分析黑客心理

　黑客为何攻击房地产网站？这或许与民众关注的“高房价”焦点密切相关。

　随着4月楼市新政出台，房地产相关话题已经深入到市民生活的方方面面，房地产是热点也是焦点。而黑客攻击行为或许正是源自对当前房产行业不满的焦躁情绪。

　因为不满,所以攻击,近年来类似的黑客攻击行为并不鲜见。如2010年上半年发生的央视官网被黑、陶然居企业网站被黑、湖南通信管理局网站被黑……黑客俨然把网站当成了发泄不满情绪的地方,它们的行为与那些以牟利为目的的攻击行为一样,对经济社会发展造成了较大危害。

2、分析黑客行为

　相信熟悉网络技术的朋友一定不难发现，十房网这次所遭受的正是如今最简单最流行，但杀伤力却很大的攻击手法： DDoS攻击，分布式拒绝服务攻击。

　下面，就从网络安全的角度来跟大家分享一下有关DDoS攻击的情况。

3、解读DoS攻击

　从2000年初Yahoo、亚马逊书店、eBay、CNN、Buy等在内的多个国际著名网站被“拒绝服务（简称DoS ）”风暴袭击，而国内网站被黑客攻击的事件也不断被媒体报道，一个新的名词成了目前网络界的焦点——Dos攻击。

　 DoS（拒绝服务）攻击是目前黑客常用的攻击手法，由于可以通过使用一些公开的软件进行攻击，它的发动较为简单，同时要防止这种攻击又非常困难。

　 DoS是简写，中文意思是拒绝服务攻击。这种攻击行动使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。

4、解读DDoS攻击方式与防范模式

　一般来说， Dos攻击是很难防御的，现有的防火墙对这种攻击手法通常有两种防范模式，“全切入模式”和“随机丢包模式”，但是这两种防范模式不能有效的阻止D o S（拒绝服务）攻击。

　 1)“拒绝服务”的攻击方式为：用户传送众多要求确认的信息到服务器，使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址，以至于当服务器试图回传时，却无法找到用户。服务器于是暂时等候，有时超过一分钟，然后再切断连接。

　服务器切断连接时，黑客再度传送新一批需要确认的信息，这个过程周而复始，最终导致服务器无法动弹，瘫痪在地，从而不能对别的正常请求提供服务。

　 2）DOS攻击可以分为SYN Flood、Windows OOB Attack、PING DOS Attack、IP Spoof等类型：

　　 SYN Flood ——是一种常见，而且有效的远程拒绝服务Denial of Service攻击方式，它通过一定的操作破坏TCP三次握手建立正常连接，占用并耗费系统资源，使得提供TCP服务的主机系统无法正常工作。

3）SYN Flood远程拒绝服务攻击具有以下特点:

　　 1 针对TCP/IP协议的薄弱环节进行攻击；
　　 2 发动攻击时，只要很少的数据流量就可以产生显著的效果；
　　 3 攻击来源无法定位；
　　 4 在服务端无法区分TCP连接请求是否合法。
　　 5 如何判断受到SYN Flood远程拒绝服务攻击：

4）简单步骤进行检查来判断系统是否正在遭受TCP SYN Flood攻击：

　　 1 服务端无法提供正常的TCP服务。连接请求被拒绝或超时；
　　 2 检查系统，发现有大量的SYN_RECV连接状态。

5）如何做到有效的防范：
——TCP Wrapper　
　　使用TCP Wrapper(只有unix-like系统支持该功能)可能在某些有限的场合下有用，比如服务端只处理有限来源IP的TCP连接请求，其它未指定来源的连接请求一概拒绝。这在一个需要面向公众提供服务的场合下是不适合的。而且攻击者可以通过IP伪装(IP Spoof)来直接攻击受TCP Wrapper保护的TCP服务，更甚者可以攻击者可以伪装成服务器本身的地址进行攻击。
——增加TCP Backlog容量　
　　增加TCP Backlog容量是一种治标不治本的做法。它一方面要占用更多的系统内存，另一方面延长了TCP处理缓存队列的时间。攻击者只要不停地的进行SYN Flood一样可以达到拒绝服务的目的。
——ISP接入　
　　所有的ISP在边界处理进入的主干网络的IP数据包时检测其来源地址是否合法，如果非指定来源IP地址范围，可以认为是IP Spoofing行为并将之丢弃。