◆李志剛

（衢州市公安局 浙江 324000）

一種垃圾郵件獲取客戶信息的仿真設(shè)計(jì)與安全對(duì)策思考

◆李志剛

（衢州市公安局 浙江 324000）

本文嘗試仿真設(shè)計(jì)一種垃圾郵件，客戶收信后自動(dòng)加載圖片，能夠顯示上網(wǎng)真實(shí)IP地址、瀏覽器、移動(dòng)終端品牌型號(hào)、操作系統(tǒng)等重要信息。測(cè)試該方法并附加標(biāo)記擴(kuò)展使用，每一個(gè)標(biāo)記對(duì)應(yīng)一個(gè)不同的客戶，以便于區(qū)別對(duì)待。在認(rèn)識(shí)到垃圾郵件造成信息泄露的基礎(chǔ)上，思考垃圾郵件防護(hù)的一些安全對(duì)策。

網(wǎng)絡(luò)安全；隱私保護(hù)；信息獲??；植馬；遠(yuǎn)程控制

0 引言

網(wǎng)絡(luò)安全防范工作的方法思路開闊，沒有固定的框框，在網(wǎng)絡(luò)安全體系下防御突破隱私保護(hù)的都可以加以利用，涉及密碼學(xué)、網(wǎng)絡(luò)攻防、信息系統(tǒng)安全、入侵檢測(cè)系統(tǒng)、惡意代碼分析與檢測(cè)、物聯(lián)網(wǎng)安全、社交網(wǎng)絡(luò)安全等多個(gè)研究方向。既可以針對(duì)單個(gè)客戶開展網(wǎng)絡(luò)安全防范工作，也可以針對(duì)一定范圍內(nèi)的一群客戶開展網(wǎng)絡(luò)安全防范工作，但是這種方法的實(shí)施要求因人而異、因地制宜，因此在開展網(wǎng)絡(luò)安全防范工作之前要求我們對(duì)客戶的基本情況掌握得越詳細(xì)越好。

當(dāng)前網(wǎng)絡(luò)社會(huì)垃圾郵件泛濫，大多數(shù)網(wǎng)民在不知不覺中泄露了網(wǎng)上基本情況，本文簡(jiǎn)要設(shè)計(jì)了一種仿真方法，嘗試通過發(fā)送帶有圖片的垃圾郵件，客戶收信后泄露了其瀏覽器等信息。通過搭建文件服務(wù)器和數(shù)據(jù)庫服務(wù)器，測(cè)試該方法并以加標(biāo)記的方式辨識(shí)更多的客戶。

1 仿真系統(tǒng)設(shè)計(jì)

互聯(lián)網(wǎng)垃圾郵件的大量產(chǎn)生對(duì)單位企業(yè)和用戶的正常電子郵件收發(fā)造成嚴(yán)重的干擾。文獻(xiàn)[1]指出，基于規(guī)則的垃圾郵件過濾技術(shù)是目前常用的垃圾郵件過濾方法之一?；谝?guī)則的垃圾郵件過濾方法是通過訓(xùn)練樣本，歸納總結(jié)出其中規(guī)律性的內(nèi)容來得到顯式規(guī)則，從而實(shí)現(xiàn)垃圾郵件分類的目的。研究其中的規(guī)律性的東西，可以更好地防范垃圾郵件，保護(hù)自身的網(wǎng)絡(luò)安全和個(gè)人隱私。

目前，有較多文獻(xiàn)介紹了如何獲取上網(wǎng)用戶的隱私，其中有一種利用惡意代碼的方式值得引起關(guān)注。文[2]對(duì)各種類型的惡意代碼都進(jìn)行了詳細(xì)的討論,包括基于瀏覽器的惡意攻擊代碼。這充分說明了一點(diǎn),上網(wǎng)用戶最常用的瀏覽器是網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)。

以往垃圾郵件一般通過群發(fā)來工作，但電子郵箱群發(fā)會(huì)受郵件服務(wù)器限制。網(wǎng)易電子郵箱群發(fā)超過一定數(shù)量后將被限制登錄，限制同IP注冊(cè)；新浪電子郵箱群發(fā)超過一定數(shù)量后，每次發(fā)送需要輸入驗(yàn)證碼；Gmail電子郵箱群發(fā)后，將被鎖定賬號(hào)，需要使用手機(jī)號(hào)碼進(jìn)行解除鎖定操作。

有鑒于此，本文設(shè)計(jì)了一個(gè)仿真實(shí)驗(yàn)，發(fā)送不同的垃圾郵件，記錄不同的標(biāo)記。內(nèi)容包括服務(wù)器的架設(shè)，PHP源碼和MYSQL數(shù)據(jù)庫設(shè)計(jì)，郵件內(nèi)容的構(gòu)造，針對(duì)不同類型垃圾郵件內(nèi)容不同模板的制作。

1.1 發(fā)送垃圾郵件獲取客戶上網(wǎng)信息的仿真設(shè)計(jì)

搭建服務(wù)器，編寫PHP前臺(tái)源碼和設(shè)計(jì)MYSQL數(shù)據(jù)庫后臺(tái)，通過仿真，能夠記錄客戶的上網(wǎng)信息。簡(jiǎn)單地，以點(diǎn)擊收信自動(dòng)加載小圖片和手工點(diǎn)擊瀏覽大圖片為例來仿真客戶信息的泄露。

為了實(shí)現(xiàn)上述仿真設(shè)計(jì)，對(duì)不同的客戶逐人發(fā)送垃圾郵件，并分別記錄不同的標(biāo)記，具體實(shí)現(xiàn)步驟詳述如下。

1.1.1 PHP網(wǎng)頁源代碼要點(diǎn)分析

為了響應(yīng)用戶訪問圖片的HTTP請(qǐng)求，需要擴(kuò)展CI_Controller控制器（簡(jiǎn)言之，一個(gè)控制器就是一個(gè)類文件，是以一種能夠和URL關(guān)聯(lián)在一起的方式來命名的）。

客戶點(diǎn)擊收信之后自動(dòng)加載小圖片（命名為“視圖A.php”保存在服務(wù)器中，改后綴為“視圖A.jpg”即可打開瀏覽圖片）的方法A如下：

點(diǎn)擊查看大圖片（命名為視圖B.php）的方法B同理。

1.1.2 編輯各類模板發(fā)送垃圾郵件

針對(duì)不同種類的客戶編輯不同內(nèi)容的模板，下面是垃圾郵件中嵌入的內(nèi)容通用部分的HTML源碼：

表面上看是用戶訪問“方法A.jpg”，實(shí)際上是調(diào)用的PHP文件內(nèi)容中的擴(kuò)展CI_Controller控制器類的方法A，按照該方法的運(yùn)行邏輯，在郵件正文HTML源碼中應(yīng)當(dāng)粘貼“視圖A.jpg”（小圖）。但是服務(wù)器中是沒有“視圖A.jpg”文件的，實(shí)際上就是服務(wù)器中的視圖A.php（把后綴改為jpg即可看出是圖片文件）。這樣做的目的，是避免服務(wù)器被直接路徑攻擊。

大圖片“方法B.jpg”的解析方法同理。

1.1.3 MYSQL數(shù)據(jù)庫記錄點(diǎn)擊收信的客戶情況

MYSQL數(shù)據(jù)庫設(shè)計(jì)的目的是記錄客戶的訪問信息，分為id，IP，用戶代理（user-agent）,真實(shí)IP（x-forwarded-for），訪問時(shí)間（access_datetime）,特定客戶標(biāo)記（flag）等6個(gè)字段。除了id字段是int類型的,其他字段均設(shè)置為varchar類型,如表1所示。

表1 MYSQL數(shù)據(jù)庫字段設(shè)計(jì)

1.2 實(shí)驗(yàn)數(shù)據(jù)的反饋分析

通過發(fā)送附帶圖片的垃圾郵件，在MYSQL數(shù)據(jù)庫中記錄下不同客戶各自反饋的信息。反饋信息主要有IP地址、真實(shí)IP地址、瀏覽器、操作系統(tǒng)、移動(dòng)終端品牌型號(hào)等信息，說明如下。

1.2.1 訪問者的IP地址

要想透過代理服務(wù)器取得客戶端的真實(shí) IP 地址，就要使用$_SERVER["HTTP_X_FORWARDED_FOR"] 來讀取。

不過要注意，并不是每個(gè)代理服務(wù)器都能用$_SERVER["HTTP_X_FORWARDED_FOR"] 來讀取客戶端的真實(shí) IP，有些用此方法讀取到的仍然只是代理服務(wù)器的 IP。

如果客戶端沒有通過代理服務(wù)器來訪問，那么用$_SERVER["HTTP_X_FORWARDED_FOR"] 取到的值將是空的。

1.2.2 訪問者的瀏覽器信息

訪問者使用的瀏覽器系統(tǒng)信息列表如表2所示：

表2 訪問者使用的瀏覽器分類

1.2.3 訪問者的電腦和移動(dòng)終端操作系統(tǒng)

訪問者使用電腦端和移動(dòng)終端的操作系統(tǒng)列表如表3所示：

表3 訪問者使用的操作系統(tǒng)分類（包括電腦端和移動(dòng)終端）

1.2.4 訪問者的移動(dòng)終端品牌型號(hào)

訪問者使用的移動(dòng)終端品牌型號(hào)列表如表4所示：

表4 訪問者使用的移動(dòng)終端品牌型號(hào)

1 iPad（蘋果公司）2 iPhone（蘋果公司）3 HTC等廠商（安卓終端生產(chǎn)廠商）

因?yàn)樘O果移動(dòng)終端植馬較為困難，因此表4中的安卓終端就是垃圾郵件發(fā)送者重點(diǎn)開展工作的努力方向。通過該方法的仿真實(shí)驗(yàn)設(shè)計(jì)，展現(xiàn)了脆弱的客戶瀏覽器防護(hù)。了解到這些，就能夠深入理解網(wǎng)絡(luò)安全防范的重要性。

2 垃圾郵件防護(hù)的安全對(duì)策思考

在垃圾郵件獲取了客戶的上網(wǎng)基本信息后，木馬和病毒的攻擊之門就打開了。當(dāng)前針對(duì)安卓手機(jī)開發(fā)的木馬成功率較高，而針對(duì)蘋果手機(jī)有效的木馬幾乎不存在。因此，在發(fā)送垃圾郵件準(zhǔn)確獲知電腦和移動(dòng)終端信息的基礎(chǔ)上，垃圾郵件針對(duì)應(yīng)答反饋的電腦和安卓移動(dòng)終端開始攻擊，比如發(fā)送垃圾郵件附加捆綁木馬的圖片或者Office文檔給客戶，就有可能對(duì)客戶實(shí)現(xiàn)遠(yuǎn)程控制功能，對(duì)其文檔實(shí)施創(chuàng)建、刪除以及查看操作，同時(shí)能夠?qū)蛻艚仄?、保存鍵盤記錄等。

當(dāng)前，較多文獻(xiàn)對(duì)木馬程序的設(shè)計(jì)和改進(jìn)進(jìn)行了深入研究。文[3]提出一種圖片木馬的設(shè)計(jì)，研究木馬程序的工作原理和工作方式，利用微軟公司的VC++6.0開發(fā)環(huán)境設(shè)計(jì)木馬程序和圖片進(jìn)行捆綁，讓用戶打開圖片，在毫不知覺的情況下植入木馬，從而達(dá)到控制別人電腦的目的。該文在生成圖片木馬時(shí)使用WinRAR做成自解壓格式，能很好地迷惑用戶，實(shí)現(xiàn)隱藏木馬的目的。

有鑒于木馬和病毒對(duì)郵件系統(tǒng)的破壞和影響巨大，對(duì)網(wǎng)民的信息安全威脅始終高懸，較多文獻(xiàn)對(duì)郵件系統(tǒng)的安全防范開展了多方面的研究。文[4]針對(duì)WEB的PGP加密技術(shù)在郵件系統(tǒng)中的應(yīng)用進(jìn)行分析，對(duì)PGP加密算法的基本原理、電子郵件加密安全需求和PGP加密技術(shù)在電子郵件系統(tǒng)中的加密過程進(jìn)行了詳細(xì)的研究分析。

對(duì)于當(dāng)前垃圾郵件泛濫的現(xiàn)狀，本文亦有一些安全防護(hù)對(duì)策的思考。對(duì)付垃圾郵件的通常做法是不預(yù)覽、不點(diǎn)擊查看、不下載附件。實(shí)踐表明，有些附件文檔類型如EXE文件被拒收。但是不要忽視了另外一種RTF格式的Word文檔附件。一般來說，垃圾郵件綁定附件文檔如果是木馬生成的，木馬生成文件格式必須為RTF格式，該格式為不常用Word格式，所以看到郵件附件中含有RTF格式的Word文檔就要引起足夠的警覺。另外，如果打開郵件速度過慢或者無法正常打開的話，也有可能是附件文檔綁馬了。在發(fā)現(xiàn)郵箱異常的情況下，要馬上斷網(wǎng)，殺毒，清理電腦或者手機(jī)甚至格式化、恢復(fù)出廠設(shè)置。

3 結(jié)語

本文通過仿真設(shè)計(jì)一種垃圾郵件，發(fā)現(xiàn)瀏覽器等信息的泄露引起我們對(duì)郵件安全和郵件防護(hù)的高度重視。網(wǎng)絡(luò)安全防范技術(shù)的基礎(chǔ)是了解和掌握網(wǎng)絡(luò)安全漏洞、木馬、病毒的工作原理和工作機(jī)制，這需要我們持之以恒地追蹤最新的技術(shù)并迅速轉(zhuǎn)化為生產(chǎn)力為我所用，只有這樣，網(wǎng)絡(luò)安全防范工作才能上一個(gè)新臺(tái)階。

[1]湯金波，孫力.基于規(guī)則的垃圾郵件過濾算法比較研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016.

[2]Roger A.Grimes.惡意傳播代碼：Windows病毒防護(hù)[M].張志斌 賈旺盛譯.北京：機(jī)械工業(yè)出版社，2004.

[3]高源.圖片木馬的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2012.

[4]于北瑜.基于WEB的PGP加密技術(shù)在郵件系統(tǒng)中的應(yīng)用安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.