你能防住哪些常見的網(wǎng)絡(luò)攻擊

隨著互聯(lián)網(wǎng)的快速發(fā)展，給我們的生活帶來了很多便利，5G網(wǎng)絡(luò)的即將來臨，將帶我們進入一個萬物互聯(lián)的時代。然而在網(wǎng)絡(luò)快速發(fā)展的同時，網(wǎng)絡(luò)安全威脅也越來越嚴重，網(wǎng)絡(luò)攻擊的規(guī)模和復(fù)雜性逐年上升，造成的影響越來越大。發(fā)起網(wǎng)絡(luò)攻擊的難度卻越來越小，攻擊軟件越來越智能化，憑借一些入門的教程和軟件就能輕松發(fā)起攻擊，使得互聯(lián)網(wǎng)行業(yè)的運維人員心力交瘁。面對這個互聯(lián)網(wǎng)環(huán)境，使得我們不得不重視網(wǎng)絡(luò)安全問題。今天墨者安全來說說最常見的十種網(wǎng)絡(luò)攻擊行為，你能防住幾個呢？

Top 10：預(yù)攻擊行為

攻擊案例：某企業(yè)網(wǎng)安人員近期經(jīng)常截獲一些非法數(shù)據(jù)包，這些數(shù)據(jù)包多是一些端口掃描、SATAN掃描或者是IP半途掃描。掃描時間很短，間隔也很長，每天掃描1~5次，或者是掃描一次后就不再有任何的動作，因此網(wǎng)安人員獲取的數(shù)據(jù)并沒有太多的參考價值，攻擊行為并不十分明確。

解決方案：如果掃描一次后就銷聲匿跡了，就目前的網(wǎng)絡(luò)設(shè)備和安全防范角度來說，該掃描者并沒有獲得其所需要的資料，多是一些黑客入門級人物在做簡單練習(xí)；而如果每天都有掃描則說明自己的網(wǎng)絡(luò)已經(jīng)被盯上，我們要做的就是盡可能的加固網(wǎng)絡(luò)，同時反向追蹤掃描地址，如果可能給掃描者一個警示信息也未嘗不可。鑒于這種攻擊行為并沒有造成實質(zhì)性的威脅，它的級別也是最低的。

危害程度：★

控制難度：★★

綜合評定：★☆

Top 9：端口滲透

攻擊案例：A公司在全國很多城市都建立辦事處或分支機構(gòu)，這些機構(gòu)與總公司的信息數(shù)據(jù)協(xié)同辦公，這就要求總公司的信息化中心做出VPN或終端服務(wù)這樣的數(shù)據(jù)共享方案，鑒于VPN的成本和難度相對較高，于是終端服務(wù)成為A公司與眾分支結(jié)構(gòu)的信息橋梁。但是由于技術(shù)人員的疏忽，終端服務(wù)只是采取默認的3389端口，于是一段時間內(nèi)，基于3389的訪問大幅增加，這其中不乏惡意端口滲透者。終于有一天終端服務(wù)器失守，Administrator密碼被非法篡改，內(nèi)部數(shù)據(jù)嚴重流失。

解決方案：對于服務(wù)器我們只需要保證其最基本的功能，這些基本功能并不需要太多的端口做支持，因此一些不必要的端口大可以封掉，Windows我們可以借助于組策略，Linux可以在防火墻上多下點功夫；而一些可以改變的端口，比如終端服務(wù)的3389、Web的80端口，注冊表或者其他相關(guān)工具都能夠?qū)⑵湓O(shè)置成更為個性，不易猜解的秘密端口。這樣端口關(guān)閉或者改變了，那些不友好的訪客就像無頭蒼蠅，自然無法進入。

危害程度：★★

控制難度：★★

綜合評定：★★

Top 8：系統(tǒng)漏洞

攻擊案例：B企業(yè)網(wǎng)絡(luò)建設(shè)初期經(jīng)過多次評審選擇了“imail”作為外網(wǎng)郵箱服務(wù)器，經(jīng)過長時間的運行與測試，imail表現(xiàn)的非常優(yōu)秀。但是好景不長，一時間公司內(nèi)擁有郵箱的用戶經(jīng)常收到垃圾郵件，同時一些核心的資料也在悄然不覺中流失了。后經(jīng)IT部門協(xié)同公安部門聯(lián)合調(diào)查，原來是負責(zé)產(chǎn)品研發(fā)的一名工程師跳槽到另一家對手公司，這個對手公司的IT安全人員了解到B企業(yè)使用的imail服務(wù)端，于是群發(fā)攜帶弱加密算法漏洞的垃圾郵件，從而嗅探到關(guān)鍵人員的賬戶、密碼，遠程竊取核心資料。

解決方案：我們知道，軟件設(shè)計者編輯程序時不可能想到或做到所有的事情，于是一個軟件運作初期貌似完整、安全，但實際上會出現(xiàn)很多無法預(yù)知的錯誤，對于企業(yè)級網(wǎng)絡(luò)安全人員來說，避免這些錯誤除了重視殺毒軟件和硬件防火墻外，還要經(jīng)常性、周期性的修補軟件、系統(tǒng)、硬件、防火墻等安全系統(tǒng)的補丁，以防止一個小小的漏洞造成不可挽回的損失。

危害程度：★★★

控制難度：★★☆

綜合評定：★★☆

Top 7：密碼破解

攻擊案例：某IT人員離職，其所在的新公司領(lǐng)導(dǎo)授意，“想?yún)⒖肌币幌滤郧八诠镜囊恍┥虡I(yè)數(shù)據(jù)。正所謂“近水樓臺先得月”，由于這名IT人員了解前公司的管理員賬戶和密碼規(guī)則，于是暴力破解開始了。首先他生成了67GB的暴力字典，這個字典囊括了前公司所要求的所有規(guī)則，再找來一臺四核服務(wù)器，以每秒破解22，000，000組密碼的速度瘋狂的拆解密碼，N個晝夜以后，密碼終于告破，那組被“參考”的商業(yè)資料直接導(dǎo)致這名IT人員前公司近百萬的損失。

解決方案：管理員設(shè)置密碼最重要的一點就是難，舉個例子：D級破解（每秒可破解10，000，000組密碼），暴力破解8位普通大小寫字母需要62天，數(shù)字＋大小寫字母要253天，而使用數(shù)字＋大小寫字母＋標點則要23年，這只是8位密碼，但是我們覺得還不夠，我們推薦密碼長度最少為10位，且為數(shù)字＋大小寫字母＋標點的組合，密碼最長使用期限不要超過30天，并設(shè)置帳戶鎖定時間和帳戶鎖定閾值，這個能很好的保護密碼安全。

危害程度：★★★☆

控制難度：★★☆

綜合評定：★★★

Top 6：系統(tǒng)服務(wù)

攻擊案例：C公司W(wǎng)eb網(wǎng)站的某個鏈接出現(xiàn)了一些異常，這個鏈接的層數(shù)比較深，短時間內(nèi)又自行恢復(fù)正常，并沒有引起用戶和網(wǎng)絡(luò)運維人員的太多注意。后來IIS管理員在日常巡檢時發(fā)現(xiàn)網(wǎng)絡(luò)有入侵的痕跡，經(jīng)過多番追蹤，將目光鎖定在系統(tǒng)服務(wù)身上，系統(tǒng)總服務(wù)數(shù)量并沒有變化，但是一個早已被禁用的服務(wù)被開啟，同時可執(zhí)行文件的路徑和文件名也正常服務(wù)大相徑庭。不用說，IIS被入侵，黑客為了能繼續(xù)操作該服務(wù)器，將系統(tǒng)服務(wù)做了手腳，將其指定為其所需的黑客程序。

解決方案：對于這種攻擊有時我們并不能快速的察覺，因為它并沒有對網(wǎng)絡(luò)造成物理或邏輯的傷害，所以我們只能通過有效的審核工作來排查系統(tǒng)的異常變化，同時我們還需要經(jīng)常性為當(dāng)前系統(tǒng)服務(wù)建立一個批處理文件，一旦出現(xiàn)服務(wù)被篡改，我們又不能快速確定那個服務(wù)出現(xiàn)故障時，我們就可以快速的執(zhí)行這個批處理文件，恢復(fù)到備份前的正常服務(wù)狀態(tài)。

危害程度：★★★☆

控制難度：★★★

綜合評定：★★★☆

Top 5：掛馬網(wǎng)站

攻擊案例：近一個星期，IT部門連續(xù)接到數(shù)個電話，故障的描述基本一致，都是QQ、MSN等即時通訊工具的密碼丟失，并且丟失問題愈演愈烈，一時間即時通訊工具成為眾矢之的，無人敢用。后經(jīng)IT運維小組詳查，這些丟失密碼的用戶都是訪問了一個在線游戲的網(wǎng)站，訪問后的8~12個小時之后，密碼即被盜。運維小組迅速登陸該網(wǎng)站，并在后臺截獲流轉(zhuǎn)數(shù)據(jù)，果不其然，數(shù)個木馬隱藏在訪問的主頁之中。

解決方案：我們?nèi)缦肴W(wǎng)屏蔽這些網(wǎng)站首先要在服務(wù)器端想辦法，將這些掛馬網(wǎng)站地址放到ISA、NAT、checkpoint等網(wǎng)絡(luò)出口的黑名單中，并且實時更新，這是必須進行的一項操作；而后呢，再通過組策略將預(yù)防、查殺木馬的軟件推送到客戶端，即便是遭遇木馬入侵用戶電腦亦能有所防范，這樣可大大減少中木馬的可能性。cnking.org

危害程度：★★★☆

控制難度：★★★☆

綜合評定：★★★☆

Top 4：U盤濫用

攻擊案例：一位在外地出差回來的同事為我們帶來了很多土特產(chǎn)，同時也帶來了一堆病毒。當(dāng)他把U盤插到同事的電腦上的時候，災(zāi)難來了，U盤顯示不可用，于是他攜帶U盤繼續(xù)插到別人的電腦上，依然不可用！再試，再不可用！如果稍有點電腦常識都會想到是U盤中毒了，并感染了其他同事的電腦。但是他卻懷疑同事的U口壞了，就找來其他U盤繼續(xù)實驗，結(jié)果這些實驗的U盤也未能幸免，全部中毒。

解決方案：這個案例應(yīng)該是比較常見的。如今U盤、移動硬盤等便攜式存儲設(shè)備的價格越來越低，只要擁有電腦基本上就會配備一些這類的設(shè)備，而這些設(shè)備經(jīng)常是家庭、網(wǎng)吧、公司、賓館等多場所使用，病毒傳播的幾率非常大。避免企業(yè)電腦中毒，最好的辦法就是禁用移動設(shè)備。如果網(wǎng)內(nèi)有專業(yè)網(wǎng)管軟件自然是最好不過了，如沒有我們也可修改“system.adm”文件，然后使用組策略來對用戶或者是計算機進行限制。

危害程度：★★★☆

控制難度：★★★★☆

綜合評定：★★★★

Top 3：網(wǎng)絡(luò)監(jiān)聽

攻擊案例：X物流公司規(guī)模越來越大，每天流轉(zhuǎn)的貨物也越來越多，為了方便員工最快的接收和發(fā)送貨物，X公司決定采用無線網(wǎng)絡(luò)來覆蓋整個工廠區(qū)。同時為了保證信號的強度，X公司在多個角度部署了全向和定向天線。如此一來，無線網(wǎng)絡(luò)的穩(wěn)定性和覆蓋面大大增加，因為覆蓋面廣也給其競爭對手流下了可乘之機。Y公司就派人隱匿在X公司的附近，伺機截取無線網(wǎng)絡(luò)的密碼，并進一步獲得其想知道的其他敏感數(shù)據(jù)。

解決方案：類似這樣的監(jiān)聽不計其數(shù)，不僅僅是無線網(wǎng)絡(luò)，有線網(wǎng)絡(luò)同樣由此困惑。監(jiān)聽者有的是為了獲得一些明文的資料，當(dāng)然這些資料的可利用性不是很高；還有的已經(jīng)翻譯出相關(guān)的網(wǎng)絡(luò)密碼，又想獲知更深層的數(shù)據(jù)，于是在進出口附近架設(shè)監(jiān)聽。預(yù)防這種監(jiān)聽我們要將網(wǎng)絡(luò)按照一定規(guī)則劃分成多個VLAN，將重要電腦予以隔離；然后將網(wǎng)內(nèi)所有的重要數(shù)據(jù)進行加密傳輸，即使被惡意監(jiān)聽也很難反轉(zhuǎn)成可用信息，再有使用“蜜罐”技術(shù)營造出一個充滿漏洞的偽終端，勾引監(jiān)聽者迷失方向，最后我們還需要使用antisniffer工具對網(wǎng)絡(luò)定期實施反監(jiān)聽，嗅探網(wǎng)絡(luò)中的異常數(shù)據(jù)。

危害程度：★★★★

控制難度：★★★★★

綜合評定：★★★★☆

Top 2：DDoS攻擊

攻擊案例：某制造型企業(yè)最近一段時間網(wǎng)絡(luò)運轉(zhuǎn)十分異常，服務(wù)器經(jīng)常性的假死機，但死機時間并不固定。通過日志和其他分析軟件得知，系統(tǒng)死機時待處理任務(wù)中存在大量虛假TCP連接，同時網(wǎng)絡(luò)中充斥著大量的、無用的數(shù)據(jù)包，反查源地址卻得知全是不屬于本網(wǎng)的偽裝地址，很明顯這就是DDoS（分布式拒絕服務(wù)攻擊）。

解決方案：DDoS相比它的前輩DoS攻擊更有威脅，它是集中控制一大批傀儡機，在目標定位明確后集中某一時段展開統(tǒng)一的、有組織的、大規(guī)模的攻擊行為，直到將目標主機“擊沉”。因此對于這種攻擊行為，我們首先要在身份上做第一層驗證，也就是利用路由器的單播逆向轉(zhuǎn)發(fā)功能檢測訪問者的IP地址是否合法；其次我們要將關(guān)鍵服務(wù)隱藏在一個獨立防火墻之后，即便是網(wǎng)絡(luò)其他主機遭受攻擊，也不會影響網(wǎng)絡(luò)服務(wù)的運轉(zhuǎn)；再次關(guān)閉不必要的端口和服務(wù)，限制SYN/ICMP流量，切斷攻擊線路，降低攻擊等級；最后我們還要定期掃描網(wǎng)絡(luò)主節(jié)點，當(dāng)遇到大流量DDOS只能找像墨者安全這樣專業(yè)的網(wǎng)絡(luò)安全公司接入高防服務(wù)了，盡早做好防護措施，才能將損失降到最低。

危害程度：★★★★☆

控制難度：★★★★★

綜合評定：★★★★☆

Top 1：“內(nèi)鬼式”攻擊

攻擊案例：某技術(shù)服務(wù)的工程師對電腦都很熟悉，經(jīng)常搞些小程序，做點小動作，偶爾下載一些新奇的小軟件，他們這些行為本身并沒有實質(zhì)性的破壞能力，但殊不知這卻給別人做了嫁衣。有的軟件已經(jīng)被黑客做了手腳，運行軟件的同時也開啟了黑客程序，這就好比架設(shè)了一條內(nèi)、外網(wǎng)的便捷通道，黒客朋友可以很容易的侵入內(nèi)部網(wǎng)絡(luò)，拷貝點數(shù)據(jù)簡直是易如反掌。對于這種行為，我們稱之為“內(nèi)鬼式”攻擊。

解決方案：預(yù)防這種攻擊行為技術(shù)方面能做到的多是限制外網(wǎng)連接，減少其下載病毒的可能性；收回其管理員權(quán)限，使其不能安裝某些軟件，但是技術(shù)的手段有時候并不靈光。這種事情行政手段往往要更有優(yōu)勢，“管理”有時能很好地解決問題！由公司下發(fā)的強制信息安全政策和人力資源定期安全檢查能更好的限制用戶的安全行為，從而營造出一個安全、可靠的網(wǎng)絡(luò)數(shù)據(jù)環(huán)境。

危害程度：★★★★★

控制難度：★★★★★

綜合評定：★★★★★

結(jié)語：

以上就是小墨總結(jié)的一些常見的攻擊行為案例，當(dāng)你的服務(wù)器遭到這些攻擊，你是否已經(jīng)做好了相應(yīng)的防護措施呢？光靠升級服務(wù)器硬件設(shè)備是遠遠不夠的。面對這個復(fù)雜的網(wǎng)絡(luò)環(huán)境，靠企業(yè)自身來保障網(wǎng)絡(luò)安全可能是比較困難，小墨建議選擇一些專業(yè)的網(wǎng)絡(luò)安全公司可以解決自己的后顧之憂。像墨者盾高防可以隱藏服務(wù)器真實IP，利用新的WAF算法過濾技術(shù)，清除DDOS異常流量，保障服務(wù)器正常運行。