1、网页防篡改领域的孙武InforGuard 演绎网页防篡改之连环计(2006-09-29 10:19:56)转载分类:网络安全网上介绍网页防篡改相关技术的文章很多,而我以为单独谈论任何一种技术,都不过是逞匹夫之勇罢了。为什么这么说呢?如果列位不嫌我聒噪,我先简要介绍一下每一种技术。轮巡扫描技术,现已淘汰,不再介绍了。实时阻断技术,这种技术可以说是真正的“防”篡改技术。它有效的阻断大部分非法进程对文件和目录的“非读操作”,这些操作包括修改文件内容,重命名文件目录,在目录中新建或者删除文件等。为什么说大部分呢?因为这一技术是挂接在文件驱动层的,如果黑客程序太厉害,对文件目录的控制进程绕过了文件驱动层
2、,这一层就形同虚设了。但是它有一个最大的优点就是不需要另外的一台机器做备份机。事件触发技术,这是一种事后恢复技术。首先它需要一台备份机和它合作。它依赖于操作系统提供的接口,瞬间发现文件和目录的变化,(不用担心操作系统会漏掉某些变化,除非黑客忙了半天,文件和目录却没有发生任何变化!)然后及时还原。这种技术的优点是恢复及时!但是,前提是在(备份机和网站服务器之间的)网络情况一切正常的情况下。如果,网络异常断开,就要分三种情况进行讨论,第一种情况篡改行为属于新建和重命名,那么事件触发会及时删除,这种情况不依赖于网络;第二种情况篡改行为属于修改文件内容,那么事件触发会删除该文件,然后向备份机申请恢复,
3、但是因为网络不通,所以恢复失败;第三种情况,篡改行为属于删除,事件触发也会申请恢复,但是因为网络不通,所以恢复失败。综上,在任何情况下事件触发都能保证网站内不会滞留非法文件。核心内嵌技术,这也是一种事后恢复技术。也需要一台备份机和它合作。它在网站服务器里安插一个过滤器,截获用户请求,然后校验(通常是通过水印比对的方式)用户请求文件的合法性,如果校验失败,就进行文件恢复,同时返回给用户一个指定的页面。这种技术能够阻止非法网页公布于众。但是,如果指定的页面被篡改了呢?还有一点核心内嵌只对用户访问的文件进行检验,如果随便向网站中放几个病毒文件进去,核心内嵌只会视而不见。另外,如果水印库被篡改了,后果
4、更是麻烦至极。从人性化的角度来评价这几种技术:(下面我把备份机称为总部)实时阻断就像一个勇武的孤胆英雄,也许他不能歼灭所有黑客,但是对付一般的“小黑”,还是绰绰有余的。遗憾的是,万一遇到“大黑”,它就只能束手待毙了。事件触发应该是个火爆脾气的将军,做事雷厉风行。和总部联络正常的时候,防御得滴水不漏,但是一旦和总部失去联系,以他的火爆脾气,就只能简单的杀无赦,并且自认为已经报告过总部了,决不会再报告一次。要想恢复网站,需要总部自行解决。(如果您关注解决方案,请参考事件触发的贴身小秘书一文)。核心内嵌它绝不是个将军,只能算作谋事一类的,而且是个临时抱佛脚,很会逃避责任的谋事。它只在有人来访的时候才
5、关心一下所管的文件,发现不对,先高挂白旗,再做恢复工作。而且,他对“职责范围”理解独到就是网站内合法存在的文件而已,偷偷混进来的外来文件和目录和我毫无关系。虽然看起来他是个懒惰又爱逃避责任的家伙,但是,不可否认他还是有一点不错的,那就是和总部断线再联系上后,被篡改的文件还是可以被恢复的(只要有用户访问该文件)。经过我上面的分析,您该相信任何一种技术都不过是匹夫了吧?不过就个人感情来说我还是比较喜欢事件触发的。大概正因为如此,我才不是孙武吧!真正的将军是不该感情用事的,现在我们来看看 InforGuard 是怎么做的!InforGuard 没有完全依赖于某一种技术,首先它派实时阻断打前阵,直接和
6、敌人短兵相接;派事件触发居主阵,确保网站中绝对不会有非法文件;派核心内嵌补漏。为什么呢?为什么一定要这么做呢?核心内嵌不是就完全能够保证被篡改的文件不会公诸于世吗?这话不假,可是你会喜欢他那种金玉其外,败絮其内,粉饰太平的做法吗?你愿意冒着后院起火的危机把整个战场交给这样一个懒散的家伙吗?那么,事件触发呢?事件触发不是固若金汤吗?没错,可是那是网站服务器和备份机之间通讯正常的情况下。如果通讯不正常,虽然同样不会有被篡改的网页发布出去,但是,可能会难看的报出一堆“找不到文件错”,比起核心内嵌自定义的网页看起来还是难看了些!而且,通讯正常后,恢复那些被删除的文件,还要依赖于特别的方法。至于,实时阻
7、断,就不用我多做说明了吧?现在让我们来做一道简单的数学题,来看看到底三管齐下有何好处呢?假设黑客对网站文件进行篡改,那么首次访问该网页,会出现哪些情况呢?如果单独采用核心内嵌,举白旗的概率就是 100%。如果加上实时阻断,并且实时阻断失败的概率是 50%,那么举白旗的概率就变成 50%。如果再加上事件触发,在网络好的情况下举白旗的概率就是 0。因为事件触发在网络好的情况下的防御绝对是固若金汤的。如果网络不好,并且假定篡改事件的类型是删除,或者修改文件内容的概率是 50%(因为,新建和重命名不依赖与网络)那么举白旗的概率就变成实时阻断失败的概率*50%,就是50%*50%变成 25%。现在可以看出,三管齐下会得出以下结论,如果网络情况良好,举白旗的概率是 0,网络情况不好,举白旗的是 25%。每一种情况都比单独的核心内嵌技术 100%举白旗的概率要好得多。兵家作战首先考虑的就是 “道天地将法”,由上面可以看出 InforGuard 对“将”和“法”的运用绝对堪称精妙至极,我想孙武在世也不过如此吧?