近幾年，互聯(lián)網(wǎng)的應(yīng)用呈現(xiàn)出一種爆發(fā)增長的態(tài)勢，網(wǎng)速越來越快，能夠遍尋的軟件越來越多，初級黑客憑借一些入門的教程和軟件就能發(fā)起簡單的攻擊；另一方面，電腦的價(jià)格持續(xù)下降，企業(yè)內(nèi)部的終端數(shù)量也在逐步增加，更多的資源，更復(fù)雜的網(wǎng)絡(luò)使得IT運(yùn)維人員在管控內(nèi)網(wǎng)時(shí)心力交瘁，面對這些內(nèi)憂外患，我們不得不重新審視網(wǎng)絡(luò)安全問題。
下面，我們將介紹一些攻擊行為案例，對于這些行為不知您是否遇到過？您的網(wǎng)絡(luò)是否能夠抵擋住這些攻擊？您都做了哪些防范？如果對于攻擊行為您并沒有全面、細(xì)致、合規(guī)的操作不妨看看我們的建議和意見吧。
Top 10：預(yù)攻擊行為
攻擊案例：某企業(yè)網(wǎng)安人員近期經(jīng)常截獲一些非法數(shù)據(jù)包，這些數(shù)據(jù)包多是一些端口掃描、SATAN掃描或者是IP半途掃描。掃描時(shí)間很短，間隔也很長，每天掃描1~5次，或者是掃描一次后就不在有任何的動作，因此網(wǎng)安人員獲取的數(shù)據(jù)并沒有太多的參考價(jià)值，攻擊行為并不十分明確。
解決方案：如果掃描一次后就銷聲匿跡了，就目前的網(wǎng)絡(luò)設(shè)備和安全防范角度來說，該掃描者并沒有獲得其所需要的資料，多是一些黑客入門級人物在做簡單練習(xí)；而如果每天都有掃描則說明自己的網(wǎng)絡(luò)已經(jīng)被盯上，我們要做的就是盡可能的加固網(wǎng)絡(luò)，同時(shí)反向追蹤掃描地址，如果可能給掃描者一個(gè)警示信息也未嘗不可。鑒于這種攻擊行為并沒有造成實(shí)質(zhì)性的威脅，它的級別也是最低的。
危害程度：★
控制難度：★★
綜合評定：★☆
Top 9：端口滲透
攻擊案例：A公司在全國很多城市都建立辦事處或分支機(jī)構(gòu)，這些機(jī)構(gòu)與總公司的信息數(shù)據(jù)協(xié)同辦公，這就要求總公司的信息化中心做出VPN或終端服務(wù)這樣的數(shù)據(jù)共享方案，鑒于VPN的成本和難度相對較高，于是終端服務(wù)成為A公司與眾分支結(jié)構(gòu)的信息橋梁。但是由于技術(shù)人員的疏忽，終端服務(wù)只是采取默認(rèn)的3389端口，于是一段時(shí)間內(nèi)，基于3389的訪問大幅增加，這其中不乏惡意端口滲透者。終于有一天終端服務(wù)器失守，Administrator密碼被非法篡改，內(nèi)部數(shù)據(jù)嚴(yán)重流失。
解決方案：對于服務(wù)器我們只需要保證其最基本的功能，這些基本功能并不需要太多的端口做支持，因此一些不必要的端口大可以封掉，Windows我們可以借助于組策略，Linux可以在防火墻上多下點(diǎn)功夫；而一些可以改變的端口，比如終端服務(wù)的3389、Web的80端口，注冊表或者其他相關(guān)工具都能夠?qū)⑵湓O(shè)置成更為個(gè)性，不易猜解的秘密端口。這樣端口關(guān)閉或者改變了，那些不友好的訪客就像無頭蒼蠅，自然無法進(jìn)入。
危害程度：★★
控制難度：★★
綜合評定：★★
Top 8：系統(tǒng)漏洞
攻擊案例：B企業(yè)網(wǎng)絡(luò)建設(shè)初期經(jīng)過多次評審選擇了“imail”作為外網(wǎng)郵箱服務(wù)器，經(jīng)過長時(shí)間的運(yùn)行與測試，imail表現(xiàn)的非常優(yōu)秀。但是好景不長，一時(shí)間公司內(nèi)擁有郵箱的用戶經(jīng)常收到垃圾郵件，同時(shí)一些核心的資料也在悄然不覺中流失了。后經(jīng)IT部門協(xié)同公安部門聯(lián)合調(diào)查，原來是負(fù)責(zé)產(chǎn)品研發(fā)的一名工程師跳槽到另一家對手公司，這個(gè)對手公司的IT安全人員了解到B企業(yè)使用的imail服務(wù)端，于是群發(fā)攜帶弱加密算法漏洞的垃圾郵件，從而嗅探到關(guān)鍵人員的賬戶、密碼，遠(yuǎn)程竊取核心資料。
解決方案：我們知道，軟件設(shè)計(jì)者編輯程序時(shí)不可能想到或做到所有的事情，于是一個(gè)軟件運(yùn)作初期貌似完整、安全，但實(shí)際上會出現(xiàn)很多無法預(yù)知的錯(cuò)誤，對于企業(yè)級網(wǎng)絡(luò)安全人員來說，避免這些錯(cuò)誤除了重視殺毒軟件和硬件防火墻外，還要經(jīng)常性、周期性的修補(bǔ)軟件、系統(tǒng)、硬件、防火墻等安全系統(tǒng)的補(bǔ)丁，以防止一個(gè)小小的漏洞造成不可挽回的損失。
危害程度：★★★
控制難度：★★☆
綜合評定：★★☆
Top 7：密碼破解
攻擊案例：某IT人員離職，其所在的新公司領(lǐng)導(dǎo)授意，“想?yún)⒖?rdquo;一下他以前所在公司的一些商業(yè)數(shù)據(jù)。正所謂“近水樓臺先得月”，由于這名IT人員了解前公司的管理員賬戶和密碼規(guī)則，于是暴力破解開始了。首先他生成了67GB的暴力字典，這個(gè)字典囊括了前公司所要求的所有規(guī)則，再找來一臺四核服務(wù)器，以每秒破解22,000,000組密碼的速度瘋狂的拆解密碼，N個(gè)晝夜以后，密碼終于告破，那組被“參考”的商業(yè)資料直接導(dǎo)致這名IT人員前公司近百萬的損失。
解決方案：管理員設(shè)置密碼最重要的一點(diǎn)就是難，舉個(gè)例子：D級破解（每秒可破解10,000,000組密碼），暴力破解8位普通大小寫字母需要62天，數(shù)字＋大小寫字母要253天，而使用數(shù)字＋大小寫字母＋標(biāo)點(diǎn)則要23年，這只是8位密碼，但是我們覺得還不夠，我們推薦密碼長度最少為10位，且為數(shù)字＋大小寫字母＋標(biāo)點(diǎn)的組合，密碼最長使用期限不要超過30天，并設(shè)置帳戶鎖定時(shí)間和帳戶鎖定閾值，這個(gè)能很好的保護(hù)密碼安全。
危害程度：★★★☆
控制難度：★★☆
綜合評定：★★★
Top 6：系統(tǒng)服務(wù)
攻擊案例：C公司W(wǎng)eb網(wǎng)站的某個(gè)鏈接出現(xiàn)了一些異常，這個(gè)鏈接的層數(shù)比較深，短時(shí)間內(nèi)又自行恢復(fù)正常，并沒有引起用戶和網(wǎng)絡(luò)運(yùn)維人員的太多注意。后來IIS管理員在日常巡檢時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)有入侵的痕跡，經(jīng)過多番追蹤，將目光鎖定在系統(tǒng)服務(wù)身上，系統(tǒng)總服務(wù)數(shù)量并沒有變化，但是一個(gè)早已被禁用的服務(wù)被開啟，同時(shí)可執(zhí)行文件的路徑和文件名也正常服務(wù)大相徑庭。不用說，IIS被入侵，黑客為了能繼續(xù)操作該服務(wù)器，將系統(tǒng)服務(wù)做了手腳，將其指定為其所需的黑客程序。
解決方案：對于這種攻擊有時(shí)我們并不能快速的察覺，因?yàn)樗]有對網(wǎng)絡(luò)造成物理或邏輯的傷害，所以我們只能通過有效的審核工作來排查系統(tǒng)的異常變化，同時(shí)我們還需要經(jīng)常性為當(dāng)前系統(tǒng)服務(wù)建立一個(gè)批處理文件，一旦出現(xiàn)服務(wù)被篡改，我們又不能快速確定那個(gè)服務(wù)出現(xiàn)故障時(shí)，我們就可以快速的執(zhí)行這個(gè)批處理文件，恢復(fù)到備份前的正常服務(wù)狀態(tài)。
危害程度：★★★☆
控制難度：★★★
綜合評定：★★★☆
Top 5：掛馬網(wǎng)站
攻擊案例：近一個(gè)星期，IT部門連續(xù)接到數(shù)個(gè)電話，故障的描述基本一致，都是QQ、MSN等即時(shí)通訊工具的密碼丟失，并且丟失問題愈演愈烈，一時(shí)間即時(shí)通訊工具成為眾矢之的，無人敢用。后經(jīng)IT運(yùn)維小組詳查，這些丟失密碼的用戶都是訪問了一個(gè)在線游戲的網(wǎng)站，訪問后的8~12個(gè)小時(shí)之后，密碼即被盜。運(yùn)維小組迅速登陸該網(wǎng)站，并在后臺截獲流轉(zhuǎn)數(shù)據(jù)，果不其然，數(shù)個(gè)木馬隱藏在訪問的主頁之中。
解決方案：我們?nèi)缦肴W(wǎng)屏蔽這些網(wǎng)站首先要在服務(wù)器端想辦法，將這些掛馬網(wǎng)站地址放到ISA、NAT、checkpoint等網(wǎng)絡(luò)出口的黑名單中，并且實(shí)時(shí)更新，這是必須進(jìn)行的一項(xiàng)操作；而后呢，再通過組策略將預(yù)防、查殺木馬的軟件推送到客戶端，即便是遭遇木馬入侵用戶電腦亦能有所防范，這樣可大大減少中木馬的可能性。cnking.org
危害程度：★★★☆
控制難度：★★★☆
綜合評定：★★★☆
Top 4：U盤濫用
攻擊案例：一位在外地出差回來的同事為我們帶來了很多土特產(chǎn)，同時(shí)也帶來了一堆病毒。當(dāng)他把U盤插到同事的電腦上的時(shí)候，災(zāi)難來了，U盤顯示不可用，于是他攜帶U盤繼續(xù)插到別人的電腦上，依然不可用！再試，再不可用！如果稍有點(diǎn)電腦常識都會想到是U盤中毒了，并感染了其他同事的電腦。但是他卻懷疑同事的U口壞了，就找來其他U盤繼續(xù)實(shí)驗(yàn)，結(jié)果這些實(shí)驗(yàn)的U盤也未能幸免，全部中毒。
解決方案：這個(gè)案例應(yīng)該是比較常見的。如今U盤、移動硬盤等便攜式存儲設(shè)備的價(jià)格越來越低，只要擁有電腦基本上就會配備一些這類的設(shè)備，而這些設(shè)備經(jīng)常是家庭、網(wǎng)吧、公司、賓館等多場所使用，病毒傳播的幾率非常大。避免企業(yè)電腦中毒，最好的辦法就是禁用移動設(shè)備。如果網(wǎng)內(nèi)有專業(yè)網(wǎng)管軟件自然是最好不過了，如沒有我們也可修改“system.adm”文件，然后使用組策略來對用戶或者是計(jì)算機(jī)進(jìn)行限制。
危害程度：★★★☆
控制難度：★★★★☆
綜合評定：★★★★
Top 3:網(wǎng)絡(luò)監(jiān)聽
攻擊案例：X物流公司規(guī)模越來越大，每天流轉(zhuǎn)的貨物也越來越多，為了方便員工最快的接收和發(fā)送貨物，X公司決定采用無線網(wǎng)絡(luò)來覆蓋整個(gè)工廠區(qū)。同時(shí)為了保證信號的強(qiáng)度，X公司在多個(gè)角度部署了全向和定向天線。如此一來，無線網(wǎng)絡(luò)的穩(wěn)定性和覆蓋面大大增加，因?yàn)楦采w面廣也給其競爭對手流下了可乘之機(jī)。Y公司就派人隱匿在X公司的附近，伺機(jī)截取無線網(wǎng)絡(luò)的密碼，并進(jìn)一步獲得其想知道的其他敏感數(shù)據(jù)。
解決方案：類似這樣的監(jiān)聽不計(jì)其數(shù)，不僅僅是無線網(wǎng)絡(luò)，有線網(wǎng)絡(luò)同樣由此困惑。監(jiān)聽者有的是為了獲得一些明文的資料，當(dāng)然這些資料的可利用性不是很高；還有的已經(jīng)翻譯出相關(guān)的網(wǎng)絡(luò)密碼，又想獲知更深層的數(shù)據(jù)，于是在進(jìn)出口附近架設(shè)監(jiān)聽。預(yù)防這種監(jiān)聽我們要將網(wǎng)絡(luò)按照一定規(guī)則劃分成多個(gè)VLAN，將重要電腦予以隔離；然后將網(wǎng)內(nèi)所有的重要數(shù)據(jù)進(jìn)行加密傳輸，即使被惡意監(jiān)聽也很難反轉(zhuǎn)成可用信息，再有使用“蜜罐”技術(shù)營造出一個(gè)充滿漏洞的偽終端，勾引監(jiān)聽者迷失方向，最后我們還需要使用antisniffer工具對網(wǎng)絡(luò)定期實(shí)施反監(jiān)聽，嗅探網(wǎng)絡(luò)中的異常數(shù)據(jù)。
危害程度：★★★★
控制難度：★★★★★
綜合評定：★★★★☆
Top 2：DDoS
攻擊案例：某制造型企業(yè)最近一段時(shí)間網(wǎng)絡(luò)運(yùn)轉(zhuǎn)十分異常，服務(wù)器經(jīng)常性的假死機(jī)，但死機(jī)時(shí)間并不固定。通過日志和其他分析軟件得知，系統(tǒng)死機(jī)時(shí)待處理任務(wù)中存在大量虛假TCP連接，同時(shí)網(wǎng)絡(luò)中充斥著大量的、無用的數(shù)據(jù)包，反查源地址卻得知全是不屬于本網(wǎng)的偽裝地址，很明顯這就是DDoS（分布式拒絕服務(wù)攻擊）。
解決方案：DDoS相比它的前輩DoS攻擊更有威脅，它是集中控制一大批傀儡機(jī)，在目標(biāo)定位明確后集中某一時(shí)段展開統(tǒng)一的、有組織的、大規(guī)模的攻擊行為，直到將目標(biāo)主機(jī)“擊沉”。因此對于這種攻擊行為，我們首先要在身份上做第一層驗(yàn)證，也就是利用路由器的單播逆向轉(zhuǎn)發(fā)功能檢測訪問者的IP地址是否合法；其次我們要將關(guān)鍵服務(wù)隱藏在一個(gè)獨(dú)立防火墻之后，即便是網(wǎng)絡(luò)其他主機(jī)遭受攻擊，也不會影響網(wǎng)絡(luò)服務(wù)的運(yùn)轉(zhuǎn)；再次關(guān)閉不必要的端口和服務(wù)，限制SYN/ICMP流量，切斷攻擊線路，降低攻擊等級；最后我們還要定期掃描網(wǎng)絡(luò)主節(jié)點(diǎn)，盡早發(fā)現(xiàn)問題，將攻擊遏制在萌芽之中。
危害程度：★★★★☆
控制難度：★★★★★
綜合評定：★★★★☆
Top 1:“內(nèi)鬼式”攻擊 www.jb51.net
攻擊案例：某技術(shù)服務(wù)的工程師對電腦都很熟悉，經(jīng)常搞些小程序，做點(diǎn)小動作，偶爾下載一些新奇的小軟件，他們這些行為本身并沒有實(shí)質(zhì)性的破壞能力，但殊不知這卻給別人做了嫁衣。有的軟件已經(jīng)被黑客做了手腳，運(yùn)行軟件的同時(shí)也開啟了黑客程序，這就好比架設(shè)了一條內(nèi)、外網(wǎng)的便捷通道，黑客朋友可以很容易的侵入內(nèi)部網(wǎng)絡(luò)，拷貝點(diǎn)數(shù)據(jù)簡直是易如反掌。對于這種行為，我們稱之為“內(nèi)鬼式”攻擊。
解決方案：預(yù)防這種攻擊行為技術(shù)方面能做到的多是限制外網(wǎng)連接，減少其下載病毒的可能性；收回其管理員權(quán)限，使其不能安裝某些軟件，但是技術(shù)的手段有時(shí)候并不靈光。這種事情行政手段往往要更有優(yōu)勢，“管理”有時(shí)能很好地解決問題！由公司下發(fā)的強(qiáng)制信息安全政策和人力資源定期安全檢查能更好的限制用戶的安全行為，從而營造出一個(gè)安全、可靠的網(wǎng)絡(luò)數(shù)據(jù)環(huán)境。
危害程度：★★★★★
控制難度：★★★★★
綜合評定：★★★★★
結(jié)語：
簡單說了一下這些攻擊案例，不知道您的網(wǎng)絡(luò)是不是已經(jīng)做了相關(guān)的防御措施，一旦有此攻擊不知道您的網(wǎng)絡(luò)能頂?shù)米?？如果答案?ldquo;NO”！好吧！別猶豫了，拿起手中的防御武器將數(shù)據(jù)中心內(nèi)的服務(wù)器、交換路由等設(shè)備做個(gè)加固吧。我們力爭“服務(wù)不停歇！業(yè)務(wù)不中斷！數(shù)據(jù)不流失！”

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。