互联网成黑客秀场中国成全球最大受害者

 全球最大的网络安全公司美国Symantec公司2008年发表报告，网络攻击源的数量美国居世界第一位，占世界总量的25%；位于美国的僵尸控制服务器数量居世界首位，占世界总量的33%，这个数字远超出世界上任何一个其他国家。据美国网络安全企业---赛门铁克公司日前发布的报告指出，美国是全球网络黑客的大本营，而中国则是网络黑客攻击的最大受害者。

　　在互联网黑客的攻击行为中，中国在2009年下半年，全球平均每天有6.4万台电脑受"蝇蛆网络"影响，而其中有26%的电脑在中国，这一比例高于其他国家。据报道，中国被植入僵尸程序的计算机数量居世界首位，占世界总量的13%。国家互联网应急中心2009年下半年监测数据表明，中国境内每月有1800余万个主机IP受感染，占全球感染总量的30%，是全球"重灾区"，居各国感染比例第一位。"这说明中国也是最大的网络攻击受害国"

　　"特洛伊木马"

　　特洛伊木马是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。一般而言，大多数特洛伊木马都模仿一些正规的远程控制软件的功能，如Symantec的pcAnywhere，但特洛伊木马也有一些明显的特点，例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，上当的用户要么从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附件。

　　据媒体21日报道，这份每半年发布一次的全球网络安全威胁报告透露，黑客们通常采用"特洛伊木马"的手段侵入他人电脑，在合法用户不知情的情况下，盗用别人的信息，从中获取经济利益。在2006年下半年的黑客袭击案件中，"特洛伊木马"软件侵入案件占了45%。

　　垃圾邮件

　　垃圾邮件（spam）现在还没有一个非常严格的定义。一般来说，凡是未经用户许可就强行发送到用户的邮箱中的任何电子邮件。调查显示，垃圾邮件占全球电子邮件总量的比例在2006年下半年升至59%，比2006年上半年增加了5个百分点，其中多数垃圾邮件产生自美国。

　　"网络钓鱼"

　　网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号ID、ATMPIN 码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。除了垃圾邮件外，美国还成为"网络钓鱼"诈骗最猖獗的地方。采用这一方法的黑客常引诱用户进入一个看似合法的网站，然后****其提供的个人金融密码或其他秘密信息。

　　"蝇蛆网络"

　　所谓"蝇蛆网络"，是指网络黑客利用程序入侵并控制许多其他电脑，这些被控制的电脑组成所谓的"蝇蛆网络"，它们可远程控制电脑并发送垃圾邮件。

　　美国是"蝇蛆网络"组织者最活跃的地区。而在受网络黑客攻击的国家中，中国是最大的受害国。2006年下半年，全球平均每天有6.4万台电脑受"蝇蛆网络"影响，而其中有26%的电脑在中国，这一比例高于其他国家。

　　网络不应是黑客的秀场

　　1月23日的新华社发表文章，分析了我国"互联网安全形势十分严峻"的原因，提及网民缺乏网络安全防范意识，和各种操作系统及应用程序的漏洞不断出现，使我国极易成为黑客攻击利用的首选目标。保证互联网的安全运行，是中国上自政府、下至百姓的义务和权利。而黑客作为网络安全的破坏者，无论在哪儿都应受到封堵和打击。在此，工信部表示：中国愿意就打击黑客攻击与各国合作。

　　ACL的安全屏蔽能力

　　在网络中，ACL不但可以让网络管理者用来制定网络策略，对个别用户或特定的数据流进行允许或者拒绝的控制，也可以用来加强网络的安全屏蔽。从简单的Ping to Death攻击、TCP Sync攻击，一直到更多样化更复杂的黑客攻击，ACL都可以起到一定的屏蔽作用。ACL有标准ACL及扩展ACL（Extended ACL）两种，不论边缘是边缘交换机还是三层交换机，最好都具备支持标准ACL及扩展ACL的能力，才能将网络的安全屏蔽及策略执行能力分散到网络的边缘。

　　跟速率限制一样，网络设备不但应该能执行完整的ACL功能，包括进站及出站，同时也必须强调由硬件处理的能力。如此，才能在启动ACL的不会影响到二层或三层交换设备线速转发数据包的能力。

　　策略路由支持能力

　　一般路由不管是透过RIP、OSPF、BGP，还是MPLS标记协议，多是由目的地址来决定路由路径，因此无法对网络流量进行有效分流，或是对网络流量制定策略。然而，策略路由能力在现今多样化的网络环境中有时是必要的功能之一。简单举例来说，在大型网络运营商（NSP）的环境中，不同的用户需要被连接到不同的 Internet 运营商（ISP）中；或者在校园网中，作为教学研究的用户必须被连接到高速的网络出口，而宿舍网络的用户则通常被导引到较低速的出口，如此分流才不致影响到校园网的科研性能，同时经由适当的分流，高速/低速出口均能分配到相应的流量，从而使得带宽的应用得到有效分配。想要达到这种分流的效果，一般路由是无法做到的，唯有透过策略路由（PBR），将源地址进行分类，并且制定其下一跳出口的IP地址才能达成，而这也是策略路由有别于一般路由之处：基于源地址信息执行路由选径，而不基于目的地址信息执行路由选径。策略路由能做的不仅是依用户的类别进行路由选径及分流，更进一步，它也可以做到依业务的类别来指定路由或分流。其具体做法就是在进行分类时，不只看第三层的IP地址，更进一步看第四层的IP端口号，不同的业务导引到不同的路由。比如对所有端口号80的 HTTP数据流进行分类，并将其导引到特定的四层Web边缘交换机或缓存服务器上，从而透过Web缓存机制，使得用户的Web响应时间得到大幅度提升，而且网络出口的重复流量也得到大幅度缓解。以上的例子都只是策略路由的部分功能而已，实际上它的功能远超过这些，策略路由因为可以直接在网络下端设备指定，再透过中间设备的一般路由，到达指定的上端设备出口，因此，它并不多是在中间的汇聚设备上启动，更多时候为了更有效地分流效果，策略路由将在接入设备上启动。跟ACL一样，在需要策略路由的网络设备上，不但要有完整而多样化的策略路由支持功能，同时必须强调有硬件处理能力，才能在启动的仍然享有三层交换线速转发的能力。

　　网络流量统计与监控能力

　　流量统计与监控在网络建设中已经成为重要的一环。一个很简单的思路就是，如果你无法看到网络的整体流量，又如何能够管理整个网络？如果我们在提供高效能带宽的也能充分掌握网络的流量信息，便可随时调节网络的资源与策略，使得网络运行顺畅，也使得网络故障的排除变得简单而快速。所以在网络中，再提供一套完整的、覆盖全网的、实时的网络监控系统，就像是在纵横交错的高速公路网上处处加装监视摄像头一般，让交管人员采取有效的分流手段，同时也可透过完整的统计资料，对路由进行扩容及规划提供重要的参考。

　　流量监控与统计在过去因为受限于既有技术，多数只能以SNMP、RMON、RMON v2等技术实现部分功能，而且对网络的带宽占用或网络设备的资源开销造成相当程度的影响，所以通常无法覆盖全网，无法实时监控，无法在百兆、千兆甚至万兆端口等高速网络上执行，这些都使得全网的监控与统计无法达到令人满意的表现。

　　最近又有NetFlow及sFlow（RFC3176）基于流的流量监控与统计技术，出现在比较高端的网络设备上，包括骨干、边缘、二层设备、三层设备。这两种技术基本上提供比较完整的流量信息，不过两者之间依然有所区别：NetFlow更扩及IPX及AppleTalk，同时提供更多的信息，包括VLAN统计、MAC地址统计、BGP共同体统计等信息，因此从统计及计费的角度来看，NetFlow可以提供更令人信服的资料，但相对的开销及成本也高；从统计及监控的角度来看，sFlow提供更多的信息，对于流量分布的分析、流量的未来趋势、异常流量的监测、故障的发现与排除都可以在相对较低的开销及成本下，通过硬件芯片以线速方式达成，sFlow因此可以直接内建在边缘的二层或三层交换设备上提供覆盖全网、实时网络监控的功能。对整体网络而言，这实在是相当吸引人的增值功能。同前面所说的功能一样，sFlow流量统计与监控功能也必须是硬件处理，才能不影响到网络设备既有的二层或三层交换线速性能。

　　在组网的设计理念上，不管是采用集中式的折叠式骨干，从而强调采用透通的二层交换设备作为边缘接入设备；或者是采用分散式骨干，从而强调采用智能的三层交换设备作为边缘接入设备，其智能都不应仅限于交换或路由能力的考虑，或是只强调线速交换或线速路由的能力，毕竟这一部分已经是业界的标准，几乎所有厂家的二层交换，三层路由设备都可以达到。随着宽带网络、宽带业务、多媒体应用的发展，用户更应该关心的是端对端的网络智能，以及硬件芯片的集成能力。如果在边缘设备（不论是二层交换或三层路由交换设备）上，都极大程度地将服务质量（QoS）、速率限制（Rating Limiting）、访问控制列表（ACL）、策略路由（PBR）及流量监控（sFlow）集成到硬件芯片上，使得这些智能不会影响到基本二层、三层的线速转发性能，那么端到端的智能网络才能得以大规模开展，从而使得整个网络不仅拥有全局的连接能力（Connectivity），也同时拥有全局的网络智能（Control）。有了这样的概念，在众多的边缘交换设备上，用户才可以对不同的产品有更清楚的定位与选择。