最常見的十種網路攻擊行為,你能防住幾個?
隨著互聯網的快速發展,給我們的生活帶來了很多便利,5G網路的即將來臨,將帶我們進入一個萬物互聯的時代。然而在網路快速發展的同時,網路安全威脅也越來越嚴重,網路攻擊的規模和複雜性逐年上升,造成的影響越來越大。發起網路攻擊的難度卻越來越小,攻擊軟體越來越智能化,憑藉一些入門的教程和軟體就能輕鬆發起攻擊,使得互聯網行業的運維人員心力交瘁。面對這個互聯網環境,使得我們不得不重視網路安全問題。今天墨者安全來說說最常見的十種網路攻擊行為,你能防住幾個呢?
Top 10:預攻擊行為
攻擊案例:某企業網安人員近期經常截獲一些非法數據包,這些數據包多是一些埠掃描、SATAN掃描或者是IP半途掃描。掃描時間很短,間隔也很長,每天掃描1~5次,或者是掃描一次後就不再有任何的動作,因此網安人員獲取的數據並沒有太多的參考價值,攻擊行為並不十分明確。
解決方案:如果掃描一次後就銷聲匿跡了,就目前的網路設備和安全防範角度來說,該掃描者並沒有獲得其所需要的資料,多是一些黑客入門級人物在做簡單練習;而如果每天都有掃描則說明自己的網路已經被盯上,我們要做的就是儘可能的加固網路,同時反向追蹤掃描地址,如果可能給掃描者一個警示信息也未嘗不可。鑒於這種攻擊行為並沒有造成實質性的威脅,它的級別也是最低的。
危害程度:
控制難度:
綜合評定:☆
Top 9:埠滲透
攻擊案例:A公司在全國很多城市都建立辦事處或分支機構,這些機構與總公司的信息數據協同辦公,這就要求總公司的信息化中心做出VPN或終端服務這樣的數據共享方案,鑒於VPN的成本和難度相對較高,於是終端服務成為A公司與眾分支結構的信息橋樑。但是由於技術人員的疏忽,終端服務只是採取默認的3389埠,於是一段時間內,基於3389的訪問大幅增加,這其中不乏惡意埠滲透者。終於有一天終端伺服器失守,Administrator密碼被非法篡改,內部數據嚴重流失。
解決方案:對於伺服器我們只需要保證其最基本的功能,這些基本功能並不需要太多的埠做支持,因此一些不必要的埠大可以封掉,Windows我們可以藉助於組策略,Linux可以在防火牆上多下點功夫;而一些可以改變的埠,比如終端服務的3389、Web的80埠,註冊表或者其他相關工具都能夠將其設置成更為個性,不易猜解的秘密埠。這樣埠關閉或者改變了,那些不友好的訪客就像無頭蒼蠅,自然無法進入。
危害程度:
控制難度:
綜合評定:
Top 8:系統漏洞
攻擊案例:B企業網路建設初期經過多次評審選擇了「imail」作為外網郵箱伺服器,經過長時間的運行與測試,imail表現的非常優秀。但是好景不長,一時間公司內擁有郵箱的用戶經常收到垃圾郵件,同時一些核心的資料也在悄然不覺中流失了。後經IT部門協同公安部門聯合調查,原來是負責產品研發的一名工程師跳槽到另一家對手公司,這個對手公司的IT安全人員了解到B企業使用的imail服務端,於是群發攜帶弱加密演算法漏洞的垃圾郵件,從而嗅探到關鍵人員的賬戶、密碼,遠程竊取核心資料。
解決方案:我們知道,軟體設計者編輯程序時不可能想到或做到所有的事情,於是一個軟體運作初期貌似完整、安全,但實際上會出現很多無法預知的錯誤,對於企業級網路安全人員來說,避免這些錯誤除了重視殺毒軟體和硬體防火牆外,還要經常性、周期性的修補軟體、系統、硬體、防火牆等安全系統的補丁,以防止一個小小的漏洞造成不可挽回的損失。
危害程度:
控制難度:☆
綜合評定:☆
Top 7:密碼破解
攻擊案例:某IT人員離職,其所在的新公司領導授意,「想參考」一下他以前所在公司的一些商業數據。正所謂「近水樓台先得月」,由於這名IT人員了解前公司的管理員賬戶和密碼規則,於是暴力破解開始了。首先他生成了67GB的暴力字典,這個字典囊括了前公司所要求的所有規則,再找來一台四核伺服器,以每秒破解22,000,000組密碼的速度瘋狂的拆解密碼,N個晝夜以後,密碼終於告破,那組被「參考」的商業資料直接導致這名IT人員前公司近百萬的損失。
解決方案:管理員設置密碼最重要的一點就是難,舉個例子:D級破解(每秒可破解10,000,000組密碼),暴力破解8位普通大小寫字母需要62天,數字+大小寫字母要253天,而使用數字+大小寫字母+標點則要23年,這只是8位密碼,但是我們覺得還不夠,我們推薦密碼長度最少為10位,且為數字+大小寫字母+標點的組合,密碼最長使用期限不要超過30天,並設置帳戶鎖定時間和帳戶鎖定閾值,這個能很好的保護密碼安全。
危害程度:☆
控制難度:☆
綜合評定:
Top 6:系統服務
攻擊案例:C公司Web網站的某個鏈接出現了一些異常,這個鏈接的層數比較深,短時間內又自行恢復正常,並沒有引起用戶和網路運維人員的太多注意。後來IIS管理員在日常巡檢時發現網路有入侵的痕迹,經過多番追蹤,將目光鎖定在系統服務身上,系統總服務數量並沒有變化,但是一個早已被禁用的服務被開啟,同時可執行文件的路徑和文件名也正常服務大相徑庭。不用說,IIS被入侵,黑客為了能繼續操作該伺服器,將系統服務做了手腳,將其指定為其所需的黑客程序。
解決方案:對於這種攻擊有時我們並不能快速的察覺,因為它並沒有對網路造成物理或邏輯的傷害,所以我們只能通過有效的審核工作來排查系統的異常變化,同時我們還需要經常性為當前系統服務建立一個批處理文件,一旦出現服務被篡改,我們又不能快速確定那個服務出現故障時,我們就可以快速的執行這個批處理文件,恢復到備份前的正常服務狀態。
危害程度:☆
控制難度:
綜合評定:☆
Top 5:掛馬網站
攻擊案例:近一個星期,IT部門連續接到數個電話,故障的描述基本一致,都是QQ、MSN等即時通訊工具的密碼丟失,並且丟失問題愈演愈烈,一時間即時通訊工具成為眾矢之的,無人敢用。後經IT運維小組詳查,這些丟失密碼的用戶都是訪問了一個在線遊戲的網站,訪問後的8~12個小時之後,密碼即被盜。運維小組迅速登陸該網站,並在後台截獲流轉數據,果不其然,數個木馬隱藏在訪問的主頁之中。
解決方案:我們如想全網屏蔽這些網站首先要在伺服器端想辦法,將這些掛馬網站地址放到ISA、NAT、checkpoint等網路出口的黑名單中,並且實時更新,這是必須進行的一項操作;而後呢,再通過組策略將預防、查殺木馬的軟體推送到客戶端,即便是遭遇木馬入侵用戶電腦亦能有所防範,這樣可大大減少中木馬的可能性。CN Cosmetic Procedures
危害程度:☆
控制難度:☆
綜合評定:☆
Top 4:U盤濫用
攻擊案例:一位在外地出差回來的同事為我們帶來了很多土特產,同時也帶來了一堆病毒。當他把U盤插到同事的電腦上的時候,災難來了,U盤顯示不可用,於是他攜帶U盤繼續插到別人的電腦上,依然不可用!再試,再不可用!如果稍有點電腦常識都會想到是U盤中毒了,並感染了其他同事的電腦。但是他卻懷疑同事的U口壞了,就找來其他U盤繼續實驗,結果這些實驗的U盤也未能倖免,全部中毒。
解決方案:這個案例應該是比較常見的。如今U盤、移動硬碟等攜帶型存儲設備的價格越來越低,只要擁有電腦基本上就會配備一些這類的設備,而這些設備經常是家庭、網吧、公司、賓館等多場所使用,病毒傳播的幾率非常大。避免企業電腦中毒,最好的辦法就是禁用移動設備。如果網內有專業網管軟體自然是最好不過了,如沒有我們也可修改「system.adm」文件,然後使用組策略來對用戶或者是計算機進行限制。
危害程度:☆
控制難度:☆
綜合評定:
Top 3:網路監聽
攻擊案例:X物流公司規模越來越大,每天流轉的貨物也越來越多,為了方便員工最快的接收和發送貨物,X公司決定採用無線網路來覆蓋整個工廠區。同時為了保證信號的強度,X公司在多個角度部署了全向和定向天線。如此一來,無線網路的穩定性和覆蓋面大大增加,因為覆蓋面廣也給其競爭對手流下了可乘之機。Y公司就派人隱匿在X公司的附近,伺機截取無線網路的密碼,並進一步獲得其想知道的其他敏感數據。
解決方案:類似這樣的監聽不計其數,不僅僅是無線網路,有線網路同樣由此困惑。監聽者有的是為了獲得一些明文的資料,當然這些資料的可利用性不是很高;還有的已經翻譯出相關的網路密碼,又想獲知更深層的數據,於是在進出口附近架設監聽。預防這種監聽我們要將網路按照一定規則劃分成多個VLAN,將重要電腦予以隔離;然後將網內所有的重要數據進行加密傳輸,即使被惡意監聽也很難反轉成可用信息,再有使用「蜜罐」技術營造出一個充滿漏洞的偽終端,勾引監聽者迷失方向,最後我們還需要使用antisniffer工具對網路定期實施反監聽,嗅探網路中的異常數據。
危害程度:
控制難度:
綜合評定:☆
Top 2:DDoS攻擊
攻擊案例:某製造型企業最近一段時間網路運轉十分異常,伺服器經常性的假死機,但死機時間並不固定。通過日誌和其他分析軟體得知,系統死機時待處理任務中存在大量虛假TCP連接,同時網路中充斥著大量的、無用的數據包,反查源地址卻得知全是不屬於本網的偽裝地址,很明顯這就是DDoS(分散式拒絕服務攻擊)。
解決方案:DDoS相比它的前輩DoS攻擊更有威脅,它是集中控制一大批傀儡機,在目標定位明確後集中某一時段展開統一的、有組織的、大規模的攻擊行為,直到將目標主機「擊沉」。因此對於這種攻擊行為,我們首先要在身份上做第一層驗證,也就是利用路由器的單播逆向轉發功能檢測訪問者的IP地址是否合法;其次我們要將關鍵服務隱藏在一個獨立防火牆之後,即便是網路其他主機遭受攻擊,也不會影響網路服務的運轉;再次關閉不必要的埠和服務,限制SYN/ICMP流量,切斷攻擊線路,降低攻擊等級;最後我們還要定期掃描網路主節點,當遇到大流量DDOS只能找像墨者安全這樣專業的網路安全公司接入高防服務了,儘早做好防護措施,才能將損失降到最低。
危害程度:☆
控制難度:
綜合評定:☆
Top 1:「內鬼式」攻擊
攻擊案例:某技術服務的工程師對電腦都很熟悉,經常搞些小程序,做點小動作,偶爾下載一些新奇的小軟體,他們這些行為本身並沒有實質性的破壞能力,但殊不知這卻給別人做了嫁衣。有的軟體已經被黑客做了手腳,運行軟體的同時也開啟了黑客程序,這就好比架設了一條內、外網的便捷通道,黒客朋友可以很容易的侵入內部網路,拷貝點數據簡直是易如反掌。對於這種行為,我們稱之為「內鬼式」攻擊。
解決方案:預防這種攻擊行為技術方面能做到的多是限制外網連接,減少其下載病毒的可能性;收回其管理員許可權,使其不能安裝某些軟體,但是技術的手段有時候並不靈光。這種事情行政手段往往要更有優勢,「管理」有時能很好地解決問題!由公司下發的強制信息安全政策和人力資源定期安全檢查能更好的限制用戶的安全行為,從而營造出一個安全、可靠的網路數據環境。
危害程度:
控制難度:
綜合評定:
結語:
以上就是小墨總結的一些常見的攻擊行為案例,當你的伺服器遭到這些攻擊,你是否已經做好了相應的防護措施呢?光靠升級伺服器硬體設備是遠遠不夠的。面對這個複雜的網路環境,靠企業自身來保障網路安全可能是比較困難,小墨建議選擇一些專業的網路安全公司可以解決自己的後顧之憂。像墨者盾高防可以隱藏伺服器真實IP,利用新的WAF演算法過濾技術,清除DDOS異常流量,保障伺服器正常運行。
推薦閱讀:
