小区宽带，暗藏着危险

以小区为单位的宽带(FTTX+LAN)接入方式正逐渐成为各大ISP争相瓜分的“蛋糕”，从技术上讲它是最具潜力的宽带接入方式，但是从目前的应用来看，在安全方面已经暴露了很多弊端。 
　　危险重重
　　2003年出现的“冲击波”蠕虫带来的危害至今犹存(如图)，135端口的访问量一直居高不下。由于小区宽带内部是以局域网技术为基础的网络，因此只要有一位用户的电脑感染了“冲击波”病毒，那小区宽带中的感染数量将以几何级数增长：有的小区宽带由于流量过大造成整个网络瘫痪；有的小区宽带则是数百台计算机集体“蓝屏”。

　　小资料
　　“冲击波”蠕虫利用Windows RPC DCOM MS03-26(RPC服务注释：Microsoft Windows的RPC服务为系统核心服务，很多应用层服务与该服务都有依赖关系，其中最为常见的则是文件资源共享。为攻击传播途径。该蠕虫主要感染Windows 2000/XP操作系统，但由于它的蠕虫溢出代码偏移量的非通用性及针对性因素，因此会造成攻击失败后系统不稳定现象的发生。比如：Windows 2000操作系统复制粘贴键失效，Windows XP操作系统自动重启等等……

　　其实就算在正常的情况下，小区宽带中也是危机四伏：账号被盗取；文件被莫名其妙地删除或修改；重要文件被窃；所有上网记录被偷看等。而且黑客在攻击小区宽带时，一般是在用户的对外网通讯中追查小区的服务器地址，然后进行攻击、入侵以影响用户的正常上网；还有的攻击方式是使用网页上暗藏的恶意代码，在小区内某用户的电脑上直接构建攻击的代理平台。

　　小资料
　　2003年年初，北京依莲轩小区的宽带网络连续三天遭受黑客袭击，致使大量用户无法正常上网。

　　从种种迹象均可看到小区宽带已经成为病毒和黑客练手的箭靶，为什么会这样？其实造成这种现象的原因是多方面的：有接入技术本身的缺陷，也有人为的因素。

　　ISP在建设小区宽带时，在IP地址分配方式上一般有两种：DHCP自动分配和手动设置。目前的小区宽带中多以DHCP方式为主，可是很多ISP根本就没有考虑其中的安全隐患：处于正常的交换机环境下是无法进行网络嗅探的，但是LAN中如果存在恶意破坏者或者想练练手的“黑客”，那么他们只须把自己的机器伪装成DHCP服务器，并且把计算机设定成为网关(把真正的小区宽带的网关作为本机的网关)就能嗅探到所有用户的数据。

　　可能有人会问，手动设置IP地址的方式应该安全些吧？我们知道在普通交换机情况下都是无法进行嗅探的，因为数据包都被发送给指定的端口。但如果使用ARP进行欺骗，那么即使是使用交换机的网络也可以进行嗅探。打个比方：小区用户正在和某用户交换文件资料，传着传着……你的数据有可能跑到恶意攻击者的硬盘上去了。

　　很多ISP在建设小区宽带时为了缩减经费，干脆就直接使用HUB。在这样的网络环境下安全更是无法保证。虽然不少ISP在小区宽带中采用了IP+MAC绑定方式，并自以为这种方式很实用，但是稍有电脑常识的人都知道该如何去更改MAC地址。何况现在还有部分小区宽带没有对MAC地址进行绑定。

　　接入商该怎么做
　　作为ISP还是应该合理地使用IDS(入侵检测)，积极地监测网络，对入侵与攻击做到及时防范。一旦有病毒爆发的迹象，IDS还能够自动识别并中断该部分网络与主网络间的连接，这样既能够阻止病毒的蔓延，还可以减少清除病毒时的复杂程度。同时ISP应尽量避免使用HUB，从基础设备上给入侵者设置一些障碍。

　　在用户认证方面，则应该尽量使用加密通道，千万不要把网络安全信任关系单独建立在IP或MAC基础上，理想的关系应该建立在IP+MAC上。并且应该通过交换机来划分VLAN，防止局域网内的交叉感染。

　　小资料
　　北京一个小区宽带网中加装了IDS后，攻击量从以往的4000多次下降到了30多次。

　　个人用户如何办
　　小区宽带的用户量很多，指望ISP逐一为每个用户安装补丁、查杀病毒不太现实。大家应该自己动手，防患于未然：首先要及时为自己的系统更新补丁，并且选择性能优异的防病毒产品；然后可以使用Windows自带的IPSEC建立安全策略，只允许受信任的DHCP服务器分配IP地址；最后禁止一些有潜在危险的端口访问。如：135、139等。可能很多用户对IPSEC还没有足够的认识，其实打开Windows 2000/XP/2003操作系统中自带的ICF(Internet Connection Firewall)一样可以提高操作系统的安全性。

　　很多小区宽带的用户在安装操作系统时非常随意，看见什么最新就装什么。这对于普通用户来说既浪费资源又没有任何意义，反而会让一些恶意攻击者通过从网络上下载的黑客程序或者系统的漏洞，轻而易举地控制住你的计算机。大家对于操作系统的选择，还是应该做到“够用就行”。