I'n Blog 之萬象真藏

一、三種技術 
$H(JHe\C8 　　 
7btkNA\z* 　　1. 外掛輪詢技術 
+QBcJE 　　 
)rQeI>T 　　外掛輪詢技術是利用一個網頁檢測程序，以輪詢方式讀出要監控的網頁，與真實網頁相比較，來判斷網頁內容的完整性，對於被篡改的網頁進行報警和恢復。 
u^HQqF 　　 
d }5FL � 　　2. 核心內嵌技術 
IXBhvf^ 　　 
c�|`N65! 　　核心內嵌技術是將篡改檢測模塊內嵌在Web服務器軟件裡，它在每一個網頁流出時都進行完整性檢查，對於篡改網頁進行實時訪問阻斷，並予以報警和恢復。 
6|Vvz 　　 
Hnp>ug f 　　3. 事件觸發技術 
W- *$" U2F 　　 
-ETaA5y4 　　事件觸發技術是利用操作系統的文件系統接口，在網頁文件的被修改時進行合法性檢查，對於非法操作進行報警和恢復。 
~B;Xa;S 　　 
=,6%2#mx 　　二、形象性描述 
p/|_*F?_ 　　 
So�,wxF8k> 　　如果我們把Web服務器看成是一個安全性要求很強的大樓，每個目錄都是大樓的一個房間，每個文件都是房間裡的某個物品，則以上三種防篡改技術可以形象描述為： 
DWM?]S < 　　 
v^c6J:O 　　1. 外掛輪詢技術 
A.>dzwS 　　 
;/ l�A 　　大樓配備了一個保衛人員進行巡邏，他不停地在每個房間裡進行檢查，發現有可疑物品即進行報警。這種方式的顯著弱點是：當大樓裡有很多房間和很多物品時，他會忙不過來，畢竟巡邏一次要花費很長時間，這樣給可疑物品的存在和流出帶來很大機會。 
lE-\u={z1[ 　　 
kC6%7q" 　　2. 核心內嵌技術 
!`s*fke1Z 　　 
W7vq4kDq 　　大樓在出口處配備一個保衛人員，他對每一個流出的物品進行檢查，發現有可疑物品即阻止它的流出。這種方式的顯著弱點是：由於存在檢查手續，物品在流出時會耽誤時間；相應優點是，由於每個物品在流出時進行檢查，因此可疑物品沒有可乘之機。 
L'x+SCBEc 　　 
N8Q%:E 　　3. 事件觸發技術 
P\)F� [i} 　　 
VVyfU9 　 　大樓在正門進口處配備一個保衛人員，他對每一個進入的物品進行檢查，發現有可疑物品即進行報警。這種方式的顯著優點是：防範成本很低，但缺點是：通常大 樓結構都很複雜，物品除了從正門外還有許多非法渠道進入，並且還隨時不斷有新的門路被發現。另外，非法物品一旦混進了大樓，就再也沒有機會進行安全檢查 了。 
TAAk=[iQ 　　 
2%*it>T 　　三、技術評估 
Ls1(1XG 　　 
!v4ETz4/ 　　1. IGuard事件觸發技術和核心內嵌技術與其他網頁防篡改技術特性對照表： 
P.F�G~ 　　　　　　　　　 外掛輪詢技術 事件觸發技術 核心內嵌技術 
\h4h!Q){ 　　訪問篡改網頁　　 可能　　　　　　可能　　　　 不可能 
m9s.9]mSB 　　服務器負載　　　　中　　　　　　　低　　　　　 低 
a |/ \Na 　　帶寬佔用　　　　　中　　　　　　　無　　　　　 無 
Q8UAJ-H: 　　檢測時間　　　　　分鐘級　　　　　秒級　　　　 實時 
0n1r/bhf2 　　繞過檢測機制　　　不可能　　　　　可能　　　　 不可能 
3+D; 　　防範連續篡改攻擊　不能　　　　　　不能　　　　 能 
K tiPzxfaq 　　保護所有網頁　　　不能　　　　　　能　　　　　 能 
W[yECY 　　動態網頁腳本　　　不支持　　　　　支持　　　　 支持 
TiY1SSa 　　適用操作系統　　　所有　　　　　　受限　　　　 所有 
x9|#C 　　上傳時檢測　　　　不能　　　　　　受限　　　　 能 
OEa(|! 　　斷線時保護　　　　不能　　　　　　不能　　　　 能 
NR5*bQ 　　 
8gec#?% 　　2. 訪問被篡改網頁 
[Y6FOl6&l 　　 
X&Ov[ec_K 　　外掛輪詢技術：無法阻止公眾訪問到被篡改網頁，它只能在被篡改後一段時間發現和進行恢復，因此公眾有很大可能訪問到被篡改網頁。 
=I }hf/++ 　　 
CGG!Ny( 　　核心內嵌技術：守住Web網頁流出的最後一道關口，因此能夠完全杜絕被篡改的網頁被公眾訪問到，真正做到萬無一失。 
!v PmG[ 　　 
'D Gl-0p 　　事件觸發技術：將安全保障建立在「網頁不可能被隱秘地篡改」這種假設上，因此也沒有對網頁流出進行任何檢查，在一些情形下（具體情形見下文），公眾是有可能訪問到被篡改網頁的。 
7$Cs)0%Q 　　 
y}}TF<WkK6 　　3. Web服務器負載 
szgS'HO 　　 
6p$,VUx@M 　　外掛輪詢技術：由於從外部不斷地和獨立地掃瞄Web服務器文件，因此對Web服務器形成相當的負載，並且掃瞄頻度（亦即安全程度）和負載總是矛盾的。 
c?b12< 　　 
'dV3U 　　核心內嵌技術：篡改檢測模塊內嵌於Web服務器軟件裡，Web服務器軟件讀出網頁文件後，由篡改檢測模塊進行水印比對，因此要佔用一定CPU計算時間。但這個計算是在內存中進行的，比起Web服務器軟件從硬盤中讀取網頁文件的操作來，額外產生的負載是非常小的。 
vshu$Kf 　　 
^U4ltmbDIX 　　事件觸發技術：由於只在正常網頁發佈時進行安全檢查，因此對網頁訪問的影響幾乎為零，額外佔用的服務器負載也基本上為零。 
_1`@78da 　　 
u!&#1Z 　　4. 帶寬佔用 
Xev%@P[ 　　 
-v@s7&yt 　　外掛輪詢技術：從外部獨立檢測網頁，因此需要佔用訪問的網絡帶寬。 
xi/%)E/&- 　　 
\ujnmYlM� 　　核心內嵌技術和事件觸發技術：檢測都在服務器本機上進行，不佔用網絡帶寬。 
.7pxC\n 　　 
P^0uD|A0E 　　5. 繞過檢測機制 
Gocj^7t2 　　 
<[1;QuReWQ 　　外掛輪詢技術：由外部主機進行，不可能繞過檢測。 
~#g$~$Ls 　　 
　　核心內嵌技術：整合在Web服務器軟件裡的，對每一個網頁都進行篡改檢查，不可能有網頁繞過檢測機制。
6ER|} 事件觸發技術：並不能確保捕獲對文件的所有方式的修改（例如直接寫磁盤、直接寫內核驅動程序、利用操作系統漏洞等），非常容易被專業黑客很容易繞過；而且 一旦成功，它沒有任何手段來察覺和恢復。它的技術特點決定了它類似於防病毒工具（以黑防黑）而不是專門針對網站保護的系統。 
rhB-LX 　　 
U64Nkx|* 　　6. 連續篡改攻擊 
(!KCow a 　　 
wD;3s>_ODY 　　有意進行惡意攻擊的黑客可以利用其他技術的掃瞄間隔來進行連續的篡改攻擊，即在網頁被恢復後立即重新篡改網頁。 
)x]}3#/TTg 　　 
Io>Jv!s 　　外掛輪詢技術：由於重篡改過程可以利用程序自動和連續進行，並只針對一個重要網頁（例如網站首頁）進行，因此即使的掃瞄時間間隔設置得再小（例如1分鐘），也無法阻止篡改後的網頁被公眾訪問到。 
Hp`5?)7F 　　 
pja2~#N96 　　核心內嵌技術：在每次輸出網頁時都進行完整性檢查，如有變化則阻斷髮送。因此，無論連續攻擊多麼迅速和頻繁，都無法使公眾看到被篡改的網頁。 
0o<HX, 　　 
zHMi!F3 　　事件觸發技術：對Web服務器軟件沒有控制能力，它發現篡改後沒有辦法去協調Web服務器工作，對於大規模或精心策劃的攻擊是無能為力的。 
O:#V |E 　　 
HU*_UtV 　　7. 動態網頁腳本 
?H+,xk 　　 
FbfM#Kv 　　目前的網站越來越多地使用動態技術（例如：ASP、JSP、PHP）來輸出網頁。動態網頁由網頁腳本和內容組成：網頁腳本以文件形式存在於Web服務器上；網頁內容則取自於數據庫。 
Qfu\21d 　　 
K{_<ABPZlp 　　外掛輪詢技術：所監測到的動態網頁是網頁腳本和內容混合後的結果，而網頁內容是根據訪問情況時時在變化的，外掛輪詢技術又無法區分網頁腳本和內容，因此無法實現對動態網頁的防篡改保護。 
TG*X. 　　 
u$h j]]Qt 　　核心內嵌技術和事件觸發技術：可以直接從Web服務器上得到動態網頁腳本，不受變化的內容影響，因而能夠象靜態網頁一樣保護動態網頁腳本。 
$!&XfE /N 　　 
n. .#}Era 　　8. 斷線時保護 
]et\:<r 　　 
SLo<cNu 　　核心內嵌技術：即使在黑客中斷了Web服務器和備份網頁服務器連接的情況下，也可以阻止被篡改網頁的流出，最大程度達到保證效果。 
3{)) bA 　　 
　　事件觸發技術：如果黑客中斷了Web服務器和備份網頁服務器的連接，這個被篡改的網頁就沒法即時恢復，而與此同時，大量的公眾可能已經訪問到了這個網頁，造成嚴重後果。

資料來源 賽迪網技術社區 http://tech.ccidnet.com/