十种网络攻击行为介绍 您能顶住几个?
脚本之家
近几年,互联网的应用呈现出一种爆发增长的态势,网速越来越快,能够遍寻的软件越来越多,初级黑客凭借一些入门的教程和软件就能发起简单的攻击;另一方面,电脑的价格持续下降,企业内部的终端数量也在逐步增加,更多的资源,更复杂的网络使得IT运维人员在管控内网时心力交瘁,面对这些内忧外患,我们不得不重新审视网络安全问题。
下面,我们将介绍一些攻击行为案例,对于这些行为不知您是否遇到过?您的网络是否能够抵挡住这些攻击?您都做了哪些防范?如果对于攻击行为您并没有全面、细致、合规的操作不妨看看我们的建议和意见吧。
Top 10:预攻击行为
攻击案例:某企业网安人员近期经常截获一些非法数据包,这些数据包多是一些端口扫描、SATAN扫描或者是IP半途扫描。扫描时间很短,间隔也很长,每天扫描1~5次,或者是扫描一次后就不在有任何的动作,因此网安人员获取的数据并没有太多的参考价值,攻击行为并不十分明确。
解决方案:如果扫描一次后就销声匿迹了,就目前的网络设备和安全防范角度来说,该扫描者并没有获得其所需要的资料,多是一些黑客入门级人物在做简单练习;而如果每天都有扫描则说明自己的网络已经被盯上,我们要做的就是尽可能的加固网络,同时反向追踪扫描地址,如果可能给扫描者一个警示信息也未尝不可。鉴于这种攻击行为并没有造成实质性的威胁,它的级别也是最低的。
危害程度:★
控制难度:★★
综合评定:★☆
Top 9:端口渗透
攻击案例:A公司在全国很多城市都建立办事处或分支机构,这些机构与总公司的信息数据协同办公,这就要求总公司的信息化中心做出VPN或终端服务这样的数据共享方案,鉴于VPN的成本和难度相对较高,于是终端服务成为A公司与众分支结构的信息桥梁。但是由于技术人员的疏忽,终端服务只是采取默认的3389端口,于是一段时间内,基于3389的访问大幅增加,这其中不乏恶意端口渗透者。终于有一天终端服务器失守,Administrator密码被非法篡改,内部数据严重流失。
解决方案:对于服务器我们只需要保证其最基本的功能,这些基本功能并不需要太多的端口做支持,因此一些不必要的端口大可以封掉,Windows我们可以借助于组策略,Linux可以在防火墙上多下点功夫;而一些可以改变的端口,比如终端服务的3389、Web的80端口,注册表或者其他相关工具都能够将其设置成更为个性,不易猜解的秘密端口。这样端口关闭或者改变了,那些不友好的访客就像无头苍蝇,自然无法进入。
危害程度:★★
控制难度:★★
综合评定:★★
Top 8:系统漏洞
攻击案例:B企业网络建设初期经过多次评审选择了“imail”作为外网邮箱服务器,经过长时间的运行与测试,imail表现的非常优秀。但是好景不长,一时间公司内拥有邮箱的用户经常收到垃圾邮件,同时一些核心的资料也在悄然不觉中流失了。后经IT部门协同公安部门联合调查,原来是负责产品研发的一名工程师跳槽到另一家对手公司,这个对手公司的IT安全人员了解到B企业使用的imail服务端,于是群发携带弱加密算法漏洞的垃圾邮件,从而嗅探到关键人员的账户、密码,远程窃取核心资料。
解决方案:我们知道,软件设计者编辑程序时不可能想到或做到所有的事情,于是一个软件运作初期貌似完整、安全,但实际上会出现很多无法预知的错误,对于企业级网络安全人员来说,避免这些错误除了重视杀毒软件和硬件防火墙外,还要经常性、周期性的修补软件、系统、硬件、防火墙等安全系统的补丁,以防止一个小小的漏洞造成不可挽回的损失。
危害程度:★★★
控制难度:★★☆
综合评定:★★☆
Top 7:密码破解
攻击案例:某IT人员离职,其所在的新公司领导授意,“想参考”一下他以前所在公司的一些商业数据。正所谓“近水楼台先得月”,由于这名IT人员了解前公司的管理员账户和密码规则,于是暴力破解开始了。首先他生成了67GB的暴力字典,这个字典囊括了前公司所要求的所有规则,再找来一台四核服务器,以每秒破解22,000,000组密码的速度疯狂的拆解密码,N个昼夜以后,密码终于告破,那组被“参考”的商业资料直接导致这名IT人员前公司近百万的损失。
解决方案:管理员设置密码最重要的一点就是难,举个例子:D级破解(每秒可破解10,000,000组密码),暴力破解8位普通大小写字母需要62天,数字+大小写字母要253天,而使用数字+大小写字母+标点则要23年,这只是8位密码,但是我们觉得还不够,我们推荐密码长度最少为10位,且为数字+大小写字母+标点的组合,密码最长使用期限不要超过30天,并设置帐户锁定时间和帐户锁定阈值,这个能很好的保护密码安全。
危害程度:★★★☆
控制难度:★★☆
综合评定:★★★
Top 6:系统服务
攻击案例:C公司Web网站的某个链接出现了一些异常,这个链接的层数比较深,短时间内又自行恢复正常,并没有引起用户和网络运维人员的太多注意。后来IIS管理员在日常巡检时发现网络有入侵的痕迹,经过多番追踪,将目光锁定在系统服务身上,系统总服务数量并没有变化,但是一个早已被禁用的服务被开启,同时可执行文件的路径和文件名也正常服务大相径庭。不用说,IIS被入侵,黑客为了能继续操作该服务器,将系统服务做了手脚,将其指定为其所需的黑客程序。
解决方案:对于这种攻击有时我们并不能快速的察觉,因为它并没有对网络造成物理或逻辑的伤害,所以我们只能通过有效的审核工作来排查系统的异常变化,同时我们还需要经常性为当前系统服务建立一个批处理文件,一旦出现服务被篡改,我们又不能快速确定那个服务出现故障时,我们就可以快速的执行这个批处理文件,恢复到备份前的正常服务状态。
危害程度:★★★☆
控制难度:★★★
综合评定:★★★☆
Top 5:挂马网站
攻击案例:近一个星期,IT部门连续接到数个电话,故障的描述基本一致,都是QQ、MSN等即时通讯工具的密码丢失,并且丢失问题愈演愈烈,一时间即时通讯工具成为众矢之的,无人敢用。后经IT运维小组详查,这些丢失密码的用户都是访问了一个在线游戏的网站,访问后的8~12个小时之后,密码即被盗。运维小组迅速登陆该网站,并在后台截获流转数据,果不其然,数个木马隐藏在访问的主页之中。
解决方案:我们如想全网屏蔽这些网站首先要在服务器端想办法,将这些挂马网站地址放到ISA、NAT、checkpoint等网络出口的黑名单中,并且实时更新,这是必须进行的一项操作;而后呢,再通过组策略将预防、查杀木马的软件推送到客户端,即便是遭遇木马入侵用户电脑亦能有所防范,这样可大大减少中木马的可能性。cnking.org
危害程度:★★★☆
控制难度:★★★☆
综合评定:★★★☆
Top 4:U盘滥用
攻击案例:一位在外地出差回来的同事为我们带来了很多土特产,同时也带来了一堆病毒。当他把U盘插到同事的电脑上的时候,灾难来了,U盘显示不可用,于是他携带U盘继续插到别人的电脑上,依然不可用!再试,再不可用!如果稍有点电脑常识都会想到是U盘中毒了,并感染了其他同事的电脑。但是他却怀疑同事的U口坏了,就找来其他U盘继续实验,结果这些实验的U盘也未能幸免,全部中毒。
解决方案:这个案例应该是比较常见的。如今U盘、移动硬盘等便携式存储设备的价格越来越低,只要拥有电脑基本上就会配备一些这类的设备,而这些设备经常是家庭、网吧、公司、宾馆等多场所使用,病毒传播的几率非常大。避免企业电脑中毒,最好的办法就是禁用移动设备。如果网内有专业网管软件自然是最好不过了,如没有我们也可修改“system.adm”文件,然后使用组策略来对用户或者是计算机进行限制。
危害程度:★★★☆
控制难度:★★★★☆
综合评定:★★★★
Top 3:网络监听
攻击案例:X物流公司规模越来越大,每天流转的货物也越来越多,为了方便员工最快的接收和发送货物,X公司决定采用无线网络来覆盖整个工厂区。同时为了保证信号的强度,X公司在多个角度部署了全向和定向天线。如此一来,无线网络的稳定性和覆盖面大大增加,因为覆盖面广也给其竞争对手流下了可乘之机。Y公司就派人隐匿在X公司的附近,伺机截取无线网络的密码,并进一步获得其想知道的其他敏感数据。
解决方案:类似这样的监听不计其数,不仅仅是无线网络,有线网络同样由此困惑。监听者有的是为了获得一些明文的资料,当然这些资料的可利用性不是很高;还有的已经翻译出相关的网络密码,又想获知更深层的数据,于是在进出口附近架设监听。预防这种监听我们要将网络按照一定规则划分成多个VLAN,将重要电脑予以隔离;然后将网内所有的重要数据进行加密传输,即使被恶意监听也很难反转成可用信息,再有使用“蜜罐”技术营造出一个充满漏洞的伪终端,勾引监听者迷失方向,最后我们还需要使用antisniffer工具对网络定期实施反监听,嗅探网络中的异常数据。
危害程度:★★★★
控制难度:★★★★★
综合评定:★★★★☆
Top 2:DDoS
攻击案例:某制造型企业最近一段时间网络运转十分异常,服务器经常性的假死机,但死机时间并不固定。通过日志和其他分析软件得知,系统死机时待处理任务中存在大量虚假TCP连接,同时网络中充斥着大量的、无用的数据包,反查源地址却得知全是不属于本网的伪装地址,很明显这就是DDoS(分布式拒绝服务攻击)。
解决方案:DDoS相比它的前辈DoS攻击更有威胁,它是集中控制一大批傀儡机,在目标定位明确后集中某一时段展开统一的、有组织的、大规模的攻击行为,直到将目标主机“击沉”。因此对于这种攻击行为,我们首先要在身份上做第一层验证,也就是利用路由器的单播逆向转发功能检测访问者的IP地址是否合法;其次我们要将关键服务隐藏在一个独立防火墙之后,即便是网络其他主机遭受攻击,也不会影响网络服务的运转;再次关闭不必要的端口和服务,限制SYN/ICMP流量,切断攻击线路,降低攻击等级;最后我们还要定期扫描网络主节点,尽早发现问题,将攻击遏制在萌芽之中。
危害程度:★★★★☆
控制难度:★★★★★
综合评定:★★★★☆
Top 1:“内鬼式”攻击 www.jb51.net
攻击案例:某技术服务的工程师对电脑都很熟悉,经常搞些小程序,做点小动作,偶尔下载一些新奇的小软件,他们这些行为本身并没有实质性的破坏能力,但殊不知这却给别人做了嫁衣。有的软件已经被黑客做了手脚,运行软件的同时也开启了黑客程序,这就好比架设了一条内、外网的便捷通道,黑客朋友可以很容易的侵入内部网络,拷贝点数据简直是易如反掌。对于这种行为,我们称之为“内鬼式”攻击。
解决方案:预防这种攻击行为技术方面能做到的多是限制外网连接,减少其下载病毒的可能性;收回其管理员权限,使其不能安装某些软件,但是技术的手段有时候并不灵光。这种事情行政手段往往要更有优势,“管理”有时能很好地解决问题!由公司下发的强制信息安全政策和人力资源定期安全检查能更好的限制用户的安全行为,从而营造出一个安全、可靠的网络数据环境。
危害程度:★★★★★
控制难度:★★★★★
综合评定:★★★★★
结语:
简单说了一下这些攻击案例,不知道您的网络是不是已经做了相关的防御措施,一旦有此攻击不知道您的网络能顶得住吗?如果答案是“NO”!好吧!别犹豫了,拿起手中的防御武器将数据中心内的服务器、交换路由等设备做个加固吧。我们力争“服务不停歇!业务不中断!数据不流失!”
下面,我们将介绍一些攻击行为案例,对于这些行为不知您是否遇到过?您的网络是否能够抵挡住这些攻击?您都做了哪些防范?如果对于攻击行为您并没有全面、细致、合规的操作不妨看看我们的建议和意见吧。
Top 10:预攻击行为
攻击案例:某企业网安人员近期经常截获一些非法数据包,这些数据包多是一些端口扫描、SATAN扫描或者是IP半途扫描。扫描时间很短,间隔也很长,每天扫描1~5次,或者是扫描一次后就不在有任何的动作,因此网安人员获取的数据并没有太多的参考价值,攻击行为并不十分明确。
解决方案:如果扫描一次后就销声匿迹了,就目前的网络设备和安全防范角度来说,该扫描者并没有获得其所需要的资料,多是一些黑客入门级人物在做简单练习;而如果每天都有扫描则说明自己的网络已经被盯上,我们要做的就是尽可能的加固网络,同时反向追踪扫描地址,如果可能给扫描者一个警示信息也未尝不可。鉴于这种攻击行为并没有造成实质性的威胁,它的级别也是最低的。
危害程度:★
控制难度:★★
综合评定:★☆
Top 9:端口渗透
攻击案例:A公司在全国很多城市都建立办事处或分支机构,这些机构与总公司的信息数据协同办公,这就要求总公司的信息化中心做出VPN或终端服务这样的数据共享方案,鉴于VPN的成本和难度相对较高,于是终端服务成为A公司与众分支结构的信息桥梁。但是由于技术人员的疏忽,终端服务只是采取默认的3389端口,于是一段时间内,基于3389的访问大幅增加,这其中不乏恶意端口渗透者。终于有一天终端服务器失守,Administrator密码被非法篡改,内部数据严重流失。
解决方案:对于服务器我们只需要保证其最基本的功能,这些基本功能并不需要太多的端口做支持,因此一些不必要的端口大可以封掉,Windows我们可以借助于组策略,Linux可以在防火墙上多下点功夫;而一些可以改变的端口,比如终端服务的3389、Web的80端口,注册表或者其他相关工具都能够将其设置成更为个性,不易猜解的秘密端口。这样端口关闭或者改变了,那些不友好的访客就像无头苍蝇,自然无法进入。
危害程度:★★
控制难度:★★
综合评定:★★
Top 8:系统漏洞
攻击案例:B企业网络建设初期经过多次评审选择了“imail”作为外网邮箱服务器,经过长时间的运行与测试,imail表现的非常优秀。但是好景不长,一时间公司内拥有邮箱的用户经常收到垃圾邮件,同时一些核心的资料也在悄然不觉中流失了。后经IT部门协同公安部门联合调查,原来是负责产品研发的一名工程师跳槽到另一家对手公司,这个对手公司的IT安全人员了解到B企业使用的imail服务端,于是群发携带弱加密算法漏洞的垃圾邮件,从而嗅探到关键人员的账户、密码,远程窃取核心资料。
解决方案:我们知道,软件设计者编辑程序时不可能想到或做到所有的事情,于是一个软件运作初期貌似完整、安全,但实际上会出现很多无法预知的错误,对于企业级网络安全人员来说,避免这些错误除了重视杀毒软件和硬件防火墙外,还要经常性、周期性的修补软件、系统、硬件、防火墙等安全系统的补丁,以防止一个小小的漏洞造成不可挽回的损失。
危害程度:★★★
控制难度:★★☆
综合评定:★★☆
Top 7:密码破解
攻击案例:某IT人员离职,其所在的新公司领导授意,“想参考”一下他以前所在公司的一些商业数据。正所谓“近水楼台先得月”,由于这名IT人员了解前公司的管理员账户和密码规则,于是暴力破解开始了。首先他生成了67GB的暴力字典,这个字典囊括了前公司所要求的所有规则,再找来一台四核服务器,以每秒破解22,000,000组密码的速度疯狂的拆解密码,N个昼夜以后,密码终于告破,那组被“参考”的商业资料直接导致这名IT人员前公司近百万的损失。
解决方案:管理员设置密码最重要的一点就是难,举个例子:D级破解(每秒可破解10,000,000组密码),暴力破解8位普通大小写字母需要62天,数字+大小写字母要253天,而使用数字+大小写字母+标点则要23年,这只是8位密码,但是我们觉得还不够,我们推荐密码长度最少为10位,且为数字+大小写字母+标点的组合,密码最长使用期限不要超过30天,并设置帐户锁定时间和帐户锁定阈值,这个能很好的保护密码安全。
危害程度:★★★☆
控制难度:★★☆
综合评定:★★★
Top 6:系统服务
攻击案例:C公司Web网站的某个链接出现了一些异常,这个链接的层数比较深,短时间内又自行恢复正常,并没有引起用户和网络运维人员的太多注意。后来IIS管理员在日常巡检时发现网络有入侵的痕迹,经过多番追踪,将目光锁定在系统服务身上,系统总服务数量并没有变化,但是一个早已被禁用的服务被开启,同时可执行文件的路径和文件名也正常服务大相径庭。不用说,IIS被入侵,黑客为了能继续操作该服务器,将系统服务做了手脚,将其指定为其所需的黑客程序。
解决方案:对于这种攻击有时我们并不能快速的察觉,因为它并没有对网络造成物理或逻辑的伤害,所以我们只能通过有效的审核工作来排查系统的异常变化,同时我们还需要经常性为当前系统服务建立一个批处理文件,一旦出现服务被篡改,我们又不能快速确定那个服务出现故障时,我们就可以快速的执行这个批处理文件,恢复到备份前的正常服务状态。
危害程度:★★★☆
控制难度:★★★
综合评定:★★★☆
Top 5:挂马网站
攻击案例:近一个星期,IT部门连续接到数个电话,故障的描述基本一致,都是QQ、MSN等即时通讯工具的密码丢失,并且丢失问题愈演愈烈,一时间即时通讯工具成为众矢之的,无人敢用。后经IT运维小组详查,这些丢失密码的用户都是访问了一个在线游戏的网站,访问后的8~12个小时之后,密码即被盗。运维小组迅速登陆该网站,并在后台截获流转数据,果不其然,数个木马隐藏在访问的主页之中。
解决方案:我们如想全网屏蔽这些网站首先要在服务器端想办法,将这些挂马网站地址放到ISA、NAT、checkpoint等网络出口的黑名单中,并且实时更新,这是必须进行的一项操作;而后呢,再通过组策略将预防、查杀木马的软件推送到客户端,即便是遭遇木马入侵用户电脑亦能有所防范,这样可大大减少中木马的可能性。cnking.org
危害程度:★★★☆
控制难度:★★★☆
综合评定:★★★☆
Top 4:U盘滥用
攻击案例:一位在外地出差回来的同事为我们带来了很多土特产,同时也带来了一堆病毒。当他把U盘插到同事的电脑上的时候,灾难来了,U盘显示不可用,于是他携带U盘继续插到别人的电脑上,依然不可用!再试,再不可用!如果稍有点电脑常识都会想到是U盘中毒了,并感染了其他同事的电脑。但是他却怀疑同事的U口坏了,就找来其他U盘继续实验,结果这些实验的U盘也未能幸免,全部中毒。
解决方案:这个案例应该是比较常见的。如今U盘、移动硬盘等便携式存储设备的价格越来越低,只要拥有电脑基本上就会配备一些这类的设备,而这些设备经常是家庭、网吧、公司、宾馆等多场所使用,病毒传播的几率非常大。避免企业电脑中毒,最好的办法就是禁用移动设备。如果网内有专业网管软件自然是最好不过了,如没有我们也可修改“system.adm”文件,然后使用组策略来对用户或者是计算机进行限制。
危害程度:★★★☆
控制难度:★★★★☆
综合评定:★★★★
Top 3:网络监听
攻击案例:X物流公司规模越来越大,每天流转的货物也越来越多,为了方便员工最快的接收和发送货物,X公司决定采用无线网络来覆盖整个工厂区。同时为了保证信号的强度,X公司在多个角度部署了全向和定向天线。如此一来,无线网络的稳定性和覆盖面大大增加,因为覆盖面广也给其竞争对手流下了可乘之机。Y公司就派人隐匿在X公司的附近,伺机截取无线网络的密码,并进一步获得其想知道的其他敏感数据。
解决方案:类似这样的监听不计其数,不仅仅是无线网络,有线网络同样由此困惑。监听者有的是为了获得一些明文的资料,当然这些资料的可利用性不是很高;还有的已经翻译出相关的网络密码,又想获知更深层的数据,于是在进出口附近架设监听。预防这种监听我们要将网络按照一定规则划分成多个VLAN,将重要电脑予以隔离;然后将网内所有的重要数据进行加密传输,即使被恶意监听也很难反转成可用信息,再有使用“蜜罐”技术营造出一个充满漏洞的伪终端,勾引监听者迷失方向,最后我们还需要使用antisniffer工具对网络定期实施反监听,嗅探网络中的异常数据。
危害程度:★★★★
控制难度:★★★★★
综合评定:★★★★☆
Top 2:DDoS
攻击案例:某制造型企业最近一段时间网络运转十分异常,服务器经常性的假死机,但死机时间并不固定。通过日志和其他分析软件得知,系统死机时待处理任务中存在大量虚假TCP连接,同时网络中充斥着大量的、无用的数据包,反查源地址却得知全是不属于本网的伪装地址,很明显这就是DDoS(分布式拒绝服务攻击)。
解决方案:DDoS相比它的前辈DoS攻击更有威胁,它是集中控制一大批傀儡机,在目标定位明确后集中某一时段展开统一的、有组织的、大规模的攻击行为,直到将目标主机“击沉”。因此对于这种攻击行为,我们首先要在身份上做第一层验证,也就是利用路由器的单播逆向转发功能检测访问者的IP地址是否合法;其次我们要将关键服务隐藏在一个独立防火墙之后,即便是网络其他主机遭受攻击,也不会影响网络服务的运转;再次关闭不必要的端口和服务,限制SYN/ICMP流量,切断攻击线路,降低攻击等级;最后我们还要定期扫描网络主节点,尽早发现问题,将攻击遏制在萌芽之中。
危害程度:★★★★☆
控制难度:★★★★★
综合评定:★★★★☆
Top 1:“内鬼式”攻击 www.jb51.net
攻击案例:某技术服务的工程师对电脑都很熟悉,经常搞些小程序,做点小动作,偶尔下载一些新奇的小软件,他们这些行为本身并没有实质性的破坏能力,但殊不知这却给别人做了嫁衣。有的软件已经被黑客做了手脚,运行软件的同时也开启了黑客程序,这就好比架设了一条内、外网的便捷通道,黑客朋友可以很容易的侵入内部网络,拷贝点数据简直是易如反掌。对于这种行为,我们称之为“内鬼式”攻击。
解决方案:预防这种攻击行为技术方面能做到的多是限制外网连接,减少其下载病毒的可能性;收回其管理员权限,使其不能安装某些软件,但是技术的手段有时候并不灵光。这种事情行政手段往往要更有优势,“管理”有时能很好地解决问题!由公司下发的强制信息安全政策和人力资源定期安全检查能更好的限制用户的安全行为,从而营造出一个安全、可靠的网络数据环境。
危害程度:★★★★★
控制难度:★★★★★
综合评定:★★★★★
结语:
简单说了一下这些攻击案例,不知道您的网络是不是已经做了相关的防御措施,一旦有此攻击不知道您的网络能顶得住吗?如果答案是“NO”!好吧!别犹豫了,拿起手中的防御武器将数据中心内的服务器、交换路由等设备做个加固吧。我们力争“服务不停歇!业务不中断!数据不流失!”