绿盟WEB应用防火墙产品白皮书
? 2013 绿盟科技
■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,并受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
■商标信息
绿盟科技、NSFOCUS是绿盟科技的商标。
目录
一. 前言 (1)
二. 来自WEB的安全挑战 (2)
2.1WEB安全概况 (2)
2.1.1 WEB安全事件 (2)
2.1.2 业界“异口同声” (2)
2.1.3 国内WEB安全热点 (3)
三. 新兴WEB应用防火墙技术 (4)
四. 绿盟WEB应用安全交付解决方案 (5)
4.1概述 (5)
4.2二维防护体系 (5)
4.3双向在线清洗 (6)
4.3.1 OWASP Top 10 (7)
4.3.2 智能应用层DDoS攻击防护 (8)
4.3.3 绿盟安全研究中心 (8)
4.4WEB应用交付 (8)
4.5人性化O&M系统 (9)
4.6典型应用 (10)
4.6.1 网页篡改在线防护 (10)
4.6.2 网页挂马在线防护 (11)
4.6.3 敏感信息泄漏防护 (11)
4.6.4 合规 (11)
五. 结论 (12)
附录A攻击分析 (13)
A.1攻击手段 (13)
A.1.1SQL注入 (13)
A.1.2跨站脚本 (14)
A.1.3CSRF (14)
A.2攻击时机 (14)
A.3攻击动机 (15)
插图索引
图 4.1 NSFOCUS WAF二维防护体系 (6)
图 4.2 NSFOCUS WAF典型部署 (7)
图 4.3 NSFOCUS WAF系统监控 (9)
图 4.4 NSFOCUS WAF安全报表 (10)
一. 前言
随着机构的计算及业务资源逐渐向其数据中心高度集中,WEB成为一种普适平台,越来越多地承载了各类机构的核心业务,如电子政务、电子商务、运营商的增值业务等。
来自Gartner的数据表明,当前网络上75%的攻击是针对WEB应用的。这些攻击可能导致网站遭受声誉损失、经济损失甚至政治影响。各类网站客户已逐渐意识到WEB安全问题的重要性,但传统安全设备(防火墙/IPS)解决WEB应用安全问题存在局限性,而整改网站代码需要付出较高代价从而变得较难实现。同时,很多关系国计民生的重要网站,面临监管机构安全合规的要求。
对于机构的IT决策者来说,面临的最大挑战在于如何缓解针对WEB业务的各类安全威胁,高效保障WEB应用的可用性和可靠性、优化业务资源和提高应用系统敏捷性。
本文内容将主要包含如下部分:
◆来自WEB的安全挑战
◆新兴WEB应用防火墙技术
◆绿盟WEB应用安全交付解决方案
此外,为了更好地了解当前WEB应用面临的安全挑战,附录A将从攻击三要素角度进行攻击分析,供有兴趣的读者阅读。
二. 来自WEB的安全挑战
2.1 WEB安全概况
2.1.1 WEB安全事件
WEB的开放性带来丰富资源、高效率、新工作方式的同时,传统网络边界正逐渐消失,机构的重要资产暴露在越来越多的威胁中。现今WEB安全问题对人们来说已屡见不鲜,以下是收录于国际安全组织WASC1WHID2项目中的几起最新安全事件:
1. 2009年5月26日,法国移动运营商Orange France提供照片管理的网站频道被曝
存在SQL注入漏洞,黑客利用此漏洞获取到245,000条用户记录(包括E-mail、姓
名及明文方式的密码)。
2. 2009年1月26日,土耳其黑客采用SQL注入攻击,篡改了美国军方两台重要服务
器的网页。
3. 2009年1月26日,印度驻西班牙使馆网站被挂马(通过iFrame攻击植入恶意代码)。
对去年网络世界(Network World)的报导,人们也记忆犹新。“2008年5月13日,在中国大陆、香港及台湾地区有数万个网站遭遇新一轮SQL注入攻击,并引发大规模挂马。在过去的4个月中,之前已有3次大规模攻击,受害者包括某知名防病毒软件厂商网站、欧洲某政府网站和某国际机构网站在内的多家互联网网站,感染页面数最多超过10,000页面/天。”
2.1.2 业界“异口同声”
包括IBM3、Websense4、Sophos5、MessageLabs6, Cisco7, APWG8, MITRE9, Symantec10、Trend Micro11、SecureWorks12、ScanSafe13以及IC314在内的安全厂商及安全机构,其公布的数据安全报告均表明:WEB应用安全已成为当前首要安全问题。
1Web Application Security Consortium, https://www.doczj.com/doc/9a1006810.html,/
2The Web Hacking Incidents Database, https://www.doczj.com/doc/9a1006810.html,/whid
3X-Force? 2008 Mid-Year Trend Statistics, https://www.doczj.com/doc/9a1006810.html,/services/us/iss/xforce/midyearreport/
4Websense security Labs? State of Internet Security Q3 – Q4, 2008,
https://www.doczj.com/doc/9a1006810.html,/content/Assets/WSL_ReportQ3Q4FNL.PDF
5Security Threat report: 2009, https://www.doczj.com/doc/9a1006810.html,/pressoffice/news/articles/2008/12/threat-report-podcast.html 6MessageLabs Intelligence: 2008 Annual Security Report,
https://www.doczj.com/doc/9a1006810.html,/mlireport/MLIReport_Annual_2008_FINAL.pdf
而来自WhiteHat Security15、Accunetix16以及WASC17的报告,则更为关注定制化的WEB应用安全漏洞。报告引用OWASP Top 1018中的安全漏洞-SQL注入以及跨站脚本(XSS)为日前最主要的问题,且认为此类问题较难通过补丁修补提供安全防护。
2.1.3 国内WEB安全热点
来自《中国互联网网络安全报告(2008 年上半年)》19数据显示:网页篡改事件特别是我国大陆地区政府网页被篡改事件呈现大幅增长趋势。2008 年上半年,中国大陆被篡改网站总数达到35113 个,同比增加了23.7%。2008 年1 月至6 月期间,中国大陆政府网站被篡改数量基本保持平稳,各月累计达2242个,同比增加了41%。
近期各类媒体(如新浪)对网页篡改问题也进行了曝光,从侧面表明日前国内对该问题的关注度。
2008年4月Google的数据20表明:在过去10个月中,Google通过对互联网上几十亿URL进行抓取分析,发现有300多万个恶意URL。其中,中国的恶意站点占到了总数的67%。
7Cisco 2008 Annual Security Report, https://www.doczj.com/doc/9a1006810.html,/en/US/prod/vpndevc/annual_security_report.html
8APWG Phishing Activity Trends Report - Q2/2008, https://www.doczj.com/doc/9a1006810.html,/
9MITRE Vulnerability Type Distributions in CVE, https://www.doczj.com/doc/9a1006810.html,/docs/vuln-trends/index.html
10Symantec Internet Security Threat Report Trends for July–December 07,
https://www.doczj.com/doc/9a1006810.html,/business/theme.jsp?themeid=threatreport
11June 2008 | Trend Micro Threat Roundup and Forecast—1H 2008,
https://www.doczj.com/doc/9a1006810.html,/us/threats/enterprise/security-library/threat-reports/
12SecureWorks, https://www.doczj.com/doc/9a1006810.html,/media/press_releases/20081204-retail/
13ScanSafe September 2008 / 3Q08 Global Threat Report,
https://www.doczj.com/doc/9a1006810.html,/journal/2008/10/21/3q08-bigger-badder-threats.html
14Web Site Attack Preventative Measures, https://www.doczj.com/doc/9a1006810.html,/media/2008/081215.aspx
15Sixth Quarterly Website Security Statistics Report,
https://www.doczj.com/doc/9a1006810.html,/home/news/08presssarchives/NR_120908stats.html
16Accunetix, https://www.doczj.com/doc/9a1006810.html,/news/security-audit-results.htm
17Web Application Security Consortium (WASC) Statistics Project 2007,
https://www.doczj.com/doc/9a1006810.html,/home/news/08presssarchives/NR_120908stats.html
18https://www.doczj.com/doc/9a1006810.html,/index.php/Top_10_2007
19https://www.doczj.com/doc/9a1006810.html,/articles/docs/common/2009050424134.shtml
20All Your iFRAMEs Point to Us, Google Technical Report provos-2008a
三. 新兴WEB应用防火墙技术
WEB应用安全问题本质上源于软件质量问题。但WEB应用相较传统的软件,具有其独特性。WEB应用往往是某个机构所独有的应用,对其存在的漏洞,已知的通用漏洞签名缺乏有效性;需要频繁地变更以满足业务目标,从而使得很难维持有序的开发周期;需要全面考虑客户端与服务端的复杂交互场景,而往往很多开发者没有很好地理解业务流程;人们通常认为WEB开发比较简单,缺乏经验的开发者也可以胜任。
针对WEB应用安全,理想情况下应该在软件开发生命周期遵循安全编码原则,并在各阶段采取相应的安全措施。然而,多数网站的实际情况是:大量早期开发的WEB应用,由于历史原因,都存在不同程度的安全问题。对于这些已上线、正提供生产的WEB应用,由于其定制化特点决定了没有通用补丁可用,而整改代码因代价过大变得较难施行或者需要较长的整改周期。
针对上述现状,专业的WEB安全防护工具是一种合理的选择。传统的安全设备,如防火墙、IPS,作为整体安全策略中不可缺少的重要模块,局限于自身的产品定位和防护深度,不能有效地提供针对WEB应用攻击完善的防御能力。针对WEB应用攻击,必须采用专门的机制,对其进行有效检测、防护。
WEB应用防火墙(以下简称WAF)正是这类专业工具,提供了一种安全运维控制手段:基于对HTTP/HTTPS流量的双向分析,为WEB应用提供实时的防护。与传统防火墙/IPS设备相比较,WAF最显著的技术差异性体现在:
1. 对HTTP有本质的理解:能完整地解析HTTP,包括报文头部、参数及载荷。支持各
种HTTP 编码(如chunked encoding);提供严格的HTTP协议验证;提供HTML
限制;支持各类字符集编码;具备response过滤能力。
2. 提供应用层规则:WEB应用通常是定制化的,传统的针对已知漏洞的规则往往不够
有效。WAF提供专用的应用层规则,且具备检测变形攻击的能力,如检测SSL加密
流量中混杂的攻击。
3. 提供正向安全模型(白名单模型):仅允许已知有效的输入通过,为WEB应用提供
了一个外部的输入验证机制,安全性更为可靠。
4. 提供会话防护机制:HTTP协议最大的弊端在于缺乏一个可靠的会话管理机制。WAF
为此进行有效补充,防护基于会话的攻击类型,如cookie篡改及会话劫持攻击。
并非对WEB服务器提供保护的“盒子”都是WAF。在选择WAF产品时,建议参考以下步骤:
1. 结合业务需求明确安全策略目标,从而定义清楚WAF产品必须具备的控制能力。
2. 评估每一家厂商WAF产品可以覆盖的风险类型。
3. 测试产品功能、性能及可伸缩性。
4. 评估厂商的技术支持能力。
5. 评估内部维护团队是否具备维护、管理WAF产品的必需技能。
6. 权衡安全、产出以及总成本。“成本”不仅仅意味着购买安全产品/服务产生的直接
支出,还需要考虑是否影响组织的正常业务、是否给维护人员带来较大的管理开销。
四. 绿盟WEB应用安全交付解决方案
4.1 概述
绿盟WEB应用防火墙(又称绿盟WEB应用防护系统,以下简称NSFOCUS WAF)产品针对各类机构的WEB业务系统,提供WEB安全和WEB应用交付融合的解决方案,确保WEB业务在安全和性能两方面的收益最大化:
1. 缓解HTTP及HTTPS应用下各类安全威胁,如SQL注入、XSS、跨站伪造(CSRF)、
cookie篡改以及应用层DDoS等,有效应对网页篡改、网页挂马、敏感信息泄露等
安全问题,充分保障WEB应用的高可用性和可靠性。
2. WEB应用交付方面,降低服务响应时间、显著改善终端用户体验,优化业务资源和
提高应用系统敏捷性,提高数据中心的效率和服务器的投资回报率(ROI) 。
4.2 二维防护体系
NSFOCUS WAF具有二维的防护体系:
1. 纵向提供纵深防御:通过建立协议层次、信息流向等纵向结构层次,构筑多种有效
防御措施。
2. 横向:协助满足合规要求;缓解各层安全威胁(包括网络层、WEB基础架构及WEB
应用层);降低服务响应时间、显著改善终端用户体验,优化业务资源和提高应用
系统敏捷性。
图 4.1 NSFOCUS WAF二维防护体系
4.3 双向在线清洗
NSFOCUS WAF支持完全代理方式,作为WEB客户端和服务器端的中间人,避免WEB 服务器直接暴露于互联网上,监控HTTP/HTTPS双向流量,对其中的恶意内容进行在线清洗。
图 4.2 NSFOCUS WAF典型部署
4.3.1 OWASP Top 10
超越传统IPS设备基于静态规则的防护机制,NSFOCUS WAF有效结合了静态规则与基于用户行为识别的动态防御机制,应对OWASP Top10中的WEB应用安全问题21,对恶意应用流量进行双向清洗,保护网站免于以下攻击/损失:
21关于防护细节,参见技术白皮书《绿盟WAF解读OWASP Top 10》。
攻击/损失OWASP十大漏洞
?网络钓鱼?隐私侵犯?身份窃取?经济损失?名誉损失?A1, A4, A7, A10
?A2, A4, A6, A7, A10
?A3, A4, A7, A8, A9, A10?A4, A5, A7, A10
?A1 … A10
4.3.2 智能应用层DDoS攻击防护
NSFOCUS WAF应用了自主研发的抗拒绝服务攻击算法,可防护各类带宽及资源耗尽型拒绝服务攻击,如对SYN Flood这种常见攻击行为能够有效识别,并实时对攻击流量进行阻断,确保了WEB业务的可用性及连续性。基于动态防护机制,NSFOCUS WAF可有效识别用户行为模式,对HTTP Flood攻击进行实时检测、防护。
4.3.3 绿盟安全研究中心
安全攻防是一个动态过程,安全产品面对的是充满“智慧”的对手。绿盟科技拥有专门的安全研究机构,能够及时跟踪、发现互联网上新出现的WEB应用攻击类型,并将研究成果具体应用于NSFOCUS WAF产品规则库和防护算法的更新,帮助客户对抗最新攻击。
4.4 WEB应用交付
NSFOCUS WAF同时提供SSL加速及卸载、WEB caching及压缩等功能。
1. 通过应用加速,有效补偿由于传统安全设备检测、过滤处理引入的时延,优化服务
器侧业务资源,改善最终用户体验。
2. 整合基础架构,降低维护的复杂性,节约基本建设费用及后期维护成本。简化及统
一策略管理,极大提高效率。
3. 加速加密流量。
4.5 人性化O&M系统
NSFOCUS WAF从设计之初,就充分考虑了网站安全运维人员对安全工具“低管理开销、运维价值显性化”的需求,提供了丰富的监控功能以及多维度、多粒度的统计报表,充分确保安全运维工作的有效(有效果和有效率的)。
NSFOCUS WAF提供安全事件、访问情况、设备负载以及安全缓存监控,满足传统网络管理需求,协助安全运维人员了解当前或历史的网站运行情况以及安全状态,确保紧急情况下对安全事件能迅速定位。
图 4.3 NSFOCUS WAF系统监控
NSFOCUS WAF提供了多维度/多粒度的统计报表,包括基于告警分类/时段/区域统计的安全报表、基于访问时段/区域/业务类型的访问统计报表、流量趋势报表以及各类安全防护日志(网络层访问控制/URL ACL/DDoS防护日志/WEB安全日志/ARP防护日志/WEB访问日志)。
图 4.4 NSFOCUS WAF安全报表
4.6 典型应用
4.6.1 网页篡改在线防护
按照网页篡改事件发生的时序,NSFOCUS WAF提供事中防护以及事后补偿的在线防护解决方案。事中,实时过滤HTTP请求中混杂的网页篡改攻击流量(如SQL注入、XSS等)。事后,自动监控网站所有需保护页面的完整性,检测到网页被篡改,第一时间对管理员进行短信告警,对外仍显示篡改前的正常页面,用户可正常访问网站。
4.6.2 网页挂马在线防护
网页挂马为一种相对比较隐蔽的网页篡改方式,本质上这种方式也破坏了网页的完整性。网页挂马攻击目标为各类网站的最终用户,网站作为传播网页木马的“傀儡帮凶”,严重影响网站的公信度。
当用户请求访问某一个页面时,NSFOCUS WAF会对服务器侧响应的网页内容进行在线检测,判断是否被植入恶意代码,并对恶意代码进行自动过滤。
4.6.3 敏感信息泄漏防护
NSFOCUS WAF可以识别并更正WEB应用错误的业务流程,识别并防护敏感数据泄漏,满足合规与审计要求,具体如下:
1. 可自定义非法敏感关键字,对其进行自动过滤,防止非法内容发布为公众浏览。
2. WEB站点可能包含一些不在正常网站数据目录树内的URL链接,比如一些网站拥
有者不想被公开访问的目录、网站的WEB管理界面入口及以前曾经公开过但后来被
隐藏的链接。WAF提供细粒度的URL ACL,防止对这些链接的非授权访问。
3. 网站隐身:过滤服务器侧出错信息,如错误类型、出现错误脚本的绝对路径、网页
主目录的绝对路径、出现错误的SQL语句及参数、软件的版本、系统的配置信息等,避免这些敏感信息为攻击者利用、提升入侵的概率。
4.对数据泄密具备监管能力。能过滤服务器侧响应内容中含有的敏感信息,如身份证
号、信用卡号等。
4.6.4 合规
如前文所述,多数网站面临的实际情况为:大量早期开发的WEB应用,由于历史原因,都存在不同程度的安全问题。对于这些已上线、正提供生产的WEB应用,由于其定制化特点决定了没有通用补丁可用,而整改代码因代价过大变得较难施行或者需要较长的整改周期。多数关系国计民生的重要网站,同时还面临监管机构的合规要求。
NSFOCUS WAF提供的Web应用安全解决方案切实可行,在客户修补补丁或整改代码较为困难时,提供虚拟补丁功能,应对各类WEB应用安全挑战,协助客户满足安全合规要求。
五. 结论
随着WEB应用的丰富,各类攻击工具不断的普遍和强大,互联网上的安全隐患越来越多。随着客户核心业务系统对网络依赖程度的增加,WEB应用攻击事件数量将会持续增长,损失严重程度也会剧增。因此,政府、企业等各类组织都必须有所对策以保护其投资、利润和核心业务。
为了弥补目前安全设备,如防火墙/IPS对WEB应用攻击防护能力的不足,我们需要一种新的安全工具用于保护重要信息系统不受WEB应用攻击的影响。这种工具不仅仅能够检测目前复杂的WEB应用攻击,而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。这类工具相对于目前常见的安全产品,必须具备更细粒度的攻击检测和分析机制。
NSFOCUS WAF提供了业界领先的WEB应用攻击防护能力,保证WEB应用的连续性和高可用性。同时,针对当前的热点问题,如SQL注入攻击、网页篡改、网页挂马、敏感信息泄漏等,NSFOCUS WAF提供最佳安全-成本平衡点,有效降低安全风险。
附录A攻击分析
一个恶意的攻击者必须具备MOM22三要素,即攻击手段(Method)、时机(Opportunity)以及攻击动机(Motive)。理论上,能够成功遏制其中某一个要素,攻击就不会发生。控制攻击时机或者影响攻击者的动机,通常非常困难。从安全防护的角度来说,人们应该考虑如何遏制攻击手段,尽管这也不是一件容易的事情。为了更好地了解当前WEB应用面临的安全挑战,以下将对攻击三要素进行简单分析。
A.1攻击手段
安全威胁的技术根源在于安全漏洞的存在。安全漏洞可能是TCP/IP协议设计之初未考虑安全因素、系统以及WEB应用程序自身的缺陷,也可能是配置错误导致。
Symantec全球互联网安全威胁2008年下半年趋势分析报告显示,2008年监测到的所有漏洞中,WEB应用漏洞占63%,相较2007年的53%呈上升趋势。下文将简要介绍SQL注入、XSS及CSRF这三类WEB应用安全漏洞。SQL注入、XSS以及CSRF同为OWASP Top 10中的安全漏洞。相对来说,SQL注入及XSS更广为人知,而人们对CSRF关注较少。实际上,CSRF也是一类被广为利用的WEB应用安全漏洞。2007年年底,Gmail被曝存在一个CSRF漏洞23。当某Gmail用户访问一个恶意站点时,该恶意站点将向Gmail发出HTTP 请求,而Gmail将此请求处理为自己与该用户之间正进行的会话的一部分。2007年11月,某WEB攻击者利用此漏洞,将一个Email过滤器注入到David Airey的Gmail账户中24。过滤器将David Airey的所有邮件均转发给了攻击者,攻击者从中获取到很多敏感信息。
A.1.1SQL注入
SQL注入的成因在于对用户提交CGI参数数据未做充分检查过滤,用户提交的数据可能会被用来构造访问后台数据库的SQL指令。如果这些数据过滤不严格就有可能被插入恶意的
22Cha rles P. Pfleeger, and Shari Lawrence Pfleeger, Security in Computing, Prentice Hall, the 3rd edition, 2003, pp. 8-9.
23Petko D. Petkov. Google Gmail e-mail hijack technique, September 2007.
https://www.doczj.com/doc/9a1006810.html,/blog/google-gmail-e-mail-hijack-technique/.
24David Airey. Google’s Gmail security failure leaves my business sabotaged, December 2007. http://www. https://www.doczj.com/doc/9a1006810.html,/google-gmail-security-hijack/.
SQL代码,从而非授权操作后台的数据库,导致敏感信息泄露、破坏数据库内容和结构、甚至利用数据库本身的扩展功能控制服务器操作系统。利用SQL注入漏洞可以构成对WEB服务器的直接攻击,还可能用于网页挂马。
A.1.2跨站脚本
XSS这类漏洞是由于动态网页的WEB应用对用户提交请求参数未做充分的检查过滤,允许用户在提交的数据中掺入HTML代码(最主要的是“>”、“<”),然后未加编码地输出到第三方用户的浏览器,这些攻击者恶意提交代码会被受害用户的浏览器解释执行。攻击者可以利用XSS漏洞借助存在漏洞的WEB网站转发攻击其他浏览相关网页的用户,窃取用户浏览会话中诸如用户名和口令(可能包含在Cookie里)的敏感信息、通过插入挂马代码对用户执行挂马攻击。XSS漏洞的特点在于对存在漏洞的网站本身并不构成威胁,但会使网站成为攻击者攻击第三方的媒介。
A.1.3CSRF
CSRF即跨站请求伪造,从成因上与XSS漏洞完全相同,不同之处在于利用的层次上,CSRF是对XSS漏洞更高级的利用,利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话,攻击者可以与运行于用户浏览器中的脚本代码交互,使攻击者以受攻击浏览器用户的权限执行恶意操作。比如一个论坛应用存在XSS漏洞,攻击者在论坛发言中设置恶意代码,论坛管理员访问恶意发言以后他的当前访问论坛的会话受到劫持,攻击者可以利用当前管理员高权限的会话执行一些普通用户无法完成的管理功能,比如把某个用户加到管理员组、利用论坛的备份功能获得WebShell等等。
A.2攻击时机
目前,我们正逐渐感知来自终端业务的融合,应用服务提供商(ASP)与网络服务提供商(NSP的融合,以及传统电信网与IP网的融合。融合带来了新的商业模式和业务增长点,用户可以“随时、随地”访问互联网。WEB应用发展至今,除了面向公众提供丰富、开放的服务,也被广泛用于企业内部,发挥关键的商业职能。新应用带来了新的安全漏洞,承载在新兴应用和技术的攻击也不断出现。
最为关键的是,各类攻击软件的泛滥降低了技术门槛。如SQL注入自动化攻击引擎实现了“目标锁定、发现注点及注入攻击”全过程自动化,尤其是自动完成“发现注点”这一关键步骤,极大便利攻击者、为其提升攻击成功率。
A.3攻击动机
WEB应用攻击者的动机主要分为三类。一类是为达到炫耀和泄愤的目的,如对政府和重要组织进行网页篡改。第二类是受经济利益驱使。WEB应用的多元化及经济价值所在,使得攻击者的驱动力从单纯的爱好转为经济利益驱使。往往攻击者可以通过对一个合法站点进行入侵,使其成为分发恶意代码的平台,可能危害成千上万的最终用户,最终获取高额的经济回报。最后一类出于政治目的。2007年4月到5月间,爱沙尼亚的银行、政府部门网站遭遇长达数周、有组织的DDoS攻击。期间,政府网站被大肆篡改,上面充斥“反爱沙尼亚”口号。近期美国军方正筹建网络司令部,应对未来的网络战,可以看出国家级别的重视程度。