2.2 90%攻擊來源于10%安全防護的偏失

對于網絡安全維護者所做的各種安全防護措施，總的來說，攻擊者入侵一個大中型網絡，其途徑有以下幾種（圖2-1）。

● 利用系統或應用軟件漏洞溢出打開缺口。

● 利用防火墻或路由器等網絡設備漏洞打開缺口。

● 拒絕服務類攻擊。

● 利用木馬欺騙入侵內部網絡。

● 利用Web應用入侵內部網絡。

其中，前兩種手法相對來說成功率比較低。這是因為目前網絡安全管理人員都比較偏重于升級對外服務器的系統補丁，加強入侵檢測系統、硬件防毒墻、防火墻等網絡安全設備的防護等級。因此，試圖尋找網絡對外網關服務器的系統漏洞進行溢出攻擊，或者利用硬件網絡設備的漏洞入侵內網攻擊，幾乎是不太可能的，除非是利用一些0Day漏洞，但這類攻擊占所有攻擊類型中的比例不到5%。

針對大中型網絡的拒絕式服務攻擊比例也不是很高，占5%左右。這是因為進行拒絕服務攻擊時，必須調用大量的肉雞，這會占用非常大的帶寬，進行流量式拒絕服務攻擊。而許多大中型網絡在網關處都安裝了防火墻，并采取了相應的防范措施，阻止了此類攻擊。所以拒絕式服務攻擊的危害性非常大，但是其成功率卻不是很高。

事實上，90%以上的攻擊是來自于木馬欺騙入侵與利用網站Web應用漏洞進行入侵的。

由于殺毒軟件注定無法查殺所有的木馬，而木馬又能隨機修改自身的特征，讓殺毒軟件無法識別查殺。同時，木馬可以通過網頁、郵件、聊天軟件等各種方式入侵進入大中型網絡內網之中，無阻礙地對整個網絡進行攻擊。因此，針對大中型網絡的各種木馬攻擊極為頻繁。

各種大中型公司、企業、教育部門、政府機構等網站，通常為對外提供 Web 網站或其他一些Web應用服務。通過Web應用漏洞入侵網絡，是所有針對大中型網絡入侵事件中所占比例最大的，這是緣于 Web 網站及應用的漏洞多樣性與難以彌補所造成的。同時，也與網絡安全維護管理人員的安全工作偏失有關系。

大約 90%以上的安全防護工作都是針對網關、網站服務器等各種主機系統進行的，偏重于對入侵檢測系統、硬件防毒墻、防火墻等網絡安全設備的應用與維護，以及抵御拒絕服務類攻擊。然而針對這些目標進行的網絡攻擊僅僅只占不到10%的概率。也就是說，目前許多網絡安全維護方案與措施中，有90%以上的工作針對了攻擊比例僅為10%的目標進行，然而90%以上的攻擊來源卻僅有不到10%的應對防護（圖2-2）！

因此，在本書中將重點對占 90%攻擊來源的各種入侵攻擊手段及其防御進行詳細介紹，而對在日常工作中大部分網絡安全維護與管理人員都熟悉的安全防護將省略不講。其目的是使網絡安全維護工作者和管理人員的工作重點真正放在應對90%的攻擊之上。