2.2 90%攻击来源于10%安全防护的偏失

对于网络安全维护者所做的各种安全防护措施，总的来说，攻击者入侵一个大中型网络，其途径有以下几种（图2-1）。

● 利用系统或应用软件漏洞溢出打开缺口。

● 利用防火墙或路由器等网络设备漏洞打开缺口。

● 拒绝服务类攻击。

● 利用木马欺骗入侵内部网络。

● 利用Web应用入侵内部网络。

图2-1 大中型网络攻击来源统计图

其中，前两种手法相对来说成功率比较低。这是因为目前网络安全管理人员都比较偏重于升级对外服务器的系统补丁，加强入侵检测系统、硬件防毒墙、防火墙等网络安全设备的防护等级。因此，试图寻找网络对外网关服务器的系统漏洞进行溢出攻击，或者利用硬件网络设备的漏洞入侵内网攻击，几乎是不太可能的，除非是利用一些0Day漏洞，但这类攻击占所有攻击类型中的比例不到5%。

针对大中型网络的拒绝式服务攻击比例也不是很高，占5%左右。这是因为进行拒绝服务攻击时，必须调用大量的肉鸡，这会占用非常大的带宽，进行流量式拒绝服务攻击。而许多大中型网络在网关处都安装了防火墙，并采取了相应的防范措施，阻止了此类攻击。所以拒绝式服务攻击的危害性非常大，但是其成功率却不是很高。

事实上，90%以上的攻击是来自于木马欺骗入侵与利用网站Web应用漏洞进行入侵的。

由于杀毒软件注定无法查杀所有的木马，而木马又能随机修改自身的特征，让杀毒软件无法识别查杀。同时，木马可以通过网页、邮件、聊天软件等各种方式入侵进入大中型网络内网之中，无阻碍地对整个网络进行攻击。因此，针对大中型网络的各种木马攻击极为频繁。

各种大中型公司、企业、教育部门、政府机构等网站，通常为对外提供 Web 网站或其他一些Web应用服务。通过Web应用漏洞入侵网络，是所有针对大中型网络入侵事件中所占比例最大的，这是缘于 Web 网站及应用的漏洞多样性与难以弥补所造成的。同时，也与网络安全维护管理人员的安全工作偏失有关系。

大约 90%以上的安全防护工作都是针对网关、网站服务器等各种主机系统进行的，偏重于对入侵检测系统、硬件防毒墙、防火墙等网络安全设备的应用与维护，以及抵御拒绝服务类攻击。然而针对这些目标进行的网络攻击仅仅只占不到10%的概率。也就是说，目前许多网络安全维护方案与措施中，有90%以上的工作针对了攻击比例仅为10%的目标进行，然而90%以上的攻击来源却仅有不到10%的应对防护（图2-2）！

图2-2 网络安全防护投入的偏失

因此，在本书中将重点对占 90%攻击来源的各种入侵攻击手段及其防御进行详细介绍，而对在日常工作中大部分网络安全维护与管理人员都熟悉的安全防护将省略不讲。其目的是使网络安全维护工作者和管理人员的工作重点真正放在应对90%的攻击之上。