拒绝服务攻击——拒绝服务攻击在今年上半年有抬头趋势，其中DNS和NTP放大攻击呈爆发趋势。在2014年2至3月期间，我们检测到教育网多起NTP放大攻击，涉及的攻击源包括各类NTP专用服务器以及一些开放了NTP服务的网络设备。NTP放大攻击利用了NTP服务的查询漏洞，能将攻击流量放大到一百倍，要想防范这类攻击，需要对NTP服务器重新配置，关闭不必要的查询功能。除NTP放大攻击外，在随后的4月开始，我们又检测到多起利用DNS服务的放大攻击。通过分析发现这类攻击主要利用了DNS服务器的递归查询功能来攻击。要防止自己的DNS被用来做放大攻击，只需在权威解析服务器上关闭递归查询功能或是在递归查询服务器上限制提供的递归查询服务的地址范围就可以了。需要特别说明的是，如果您的DNS服务器上既提供权威解析又提供递归查询服务的话，仅仅通过限制递归查询的服务范围是无法阻挡这类攻击的，因为虽然限制了递归查询的来源地址范围，由于权威解析无法限制抵制范围，攻击者依然可以利用DNS缓存里的数据发动攻击。这类提供双服务的DNS服务器要想杜绝放大攻击，需要安装其他的安全插件（具体什么插件取决于你所使用的DNS软件）来防范。我们建议是权威解析功能和递归查询功能最好分开。

　　上半年安全漏洞数据分析

　　2014年上半年新增安全漏洞3917个（数据来源CNVD漏洞库），与2013年上半年的3823个基本持平。

　　漏洞影响的对象分布如图2所示。

图2 2014 年上半年新增安全漏洞

　　从上述数据我们可以看出，上半年新增的漏洞有如下特征：

　　应用程序漏洞数量占了整个漏洞的数量的一大半。这里面包括各类应用程序、浏览器、办公软件等漏洞。上半年最值得关注的应用软件漏洞是OpenSSL的心脏滴血漏洞。

　　Web应用漏洞已超过操作系统漏洞成为数量第二多的类型，且百分比从去年上半年的百分之十七增长到了现在的百分之十九。上半年针对院校的专有系统（如：教务系统、财务系统、一卡通系统、招生系统、项目管理系统等）的漏洞曝出率继续呈增长趋势。这些专有系统通常都有较长的开发周期，在开发之初没有有效的控制安全风险导致存在各类安全隐患，之前由于这些系统都是在相对独立的环境中运行，使得风险没有被暴露出来，但随着学校各业务系统的融合及一体化，这些潜在的漏洞也被暴露在网络中，任何一个系统的漏洞都可能会影响到整个学校的业务流程。

　　网络设备的漏洞数量呈上升趋势，这也印证了前面所说的针对网络基础设备的攻击数量呈增多趋势 。由于网络设备是用户连接网络的出口，控制了网络设备实际上就相当于控制所有使用这个设备上网的用户。这里特别要提醒的就是那些即插即用的网络设备，如办公室里使用的小型路由器及个人使用的无线路由器，这些设备通常都使用统一的默认配置，很容易被人攻击利用。

　　下半年安全趋势展望

　　信息窃取会继续成为黑客攻击的主要目标，网站安全依然是各学校要面临的主要安全问题。针对学校专有系统的攻击可能会成为未来一段时间的热点，这些专有系统上用户信息将是黑客攻击窃取的目标。另一方面，对学校基础网络设备的渗透攻击会增多，相关的攻击可能导致更多的用户信息被窃取。而用户滥用无线设备也可能会带来更多信息泄露风险。

（作者单位为中国教育和科研计算机网应急响应组）