| 近幾年,互聯網的應用呈現出一種爆發增長的態勢,網速越來越快,能夠遍尋的軟件越來越多,初級黑客憑借一些入門的教程和軟件就能發起簡單的攻擊;另一方面,電腦的價格持續下降,企業內部的終端數量也在逐步增加,更多的資源,更復雜的網絡使得IT運維人員在管控內網時心力交瘁,面對這些內憂外患,我們不得不重新審視網絡安全問題。 下面,我們將介紹一些攻擊行為案例,對于這些行為不知您是否遇到過?您的網絡是否能夠抵擋住這些攻擊?您都做了哪些防范?如果對于攻擊行為您并沒有全面、細致、合規的操作不妨看看我們的建議和意見吧。 Top 10:預攻擊行為 攻擊案例:某企業網安人員近期經常截獲一些非法數據包,這些數據包多是一些端口掃描、SATAN掃描或者是IP半途掃描。掃描時間很短,間隔也很長,每天掃描1~5次,或者是掃描一次后就不在有任何的動作,因此網安人員獲取的數據并沒有太多的參考價值,攻擊行為并不十分明確。 解決方案:如果掃描一次后就銷聲匿跡了,就目前的網絡設備和安全防范角度來說,該掃描者并沒有獲得其所需要的資料,多是一些黑客入門級人物在做簡單練習;而如果每天都有掃描則說明自己的網絡已經被盯上,我們要做的就是盡可能的加固網絡,同時反向追蹤掃描地址,如果可能給掃描者一個警示信息也未嘗不可。鑒于這種攻擊行為并沒有造成實質性的威脅,它的級別也是最低的。 危害程度:★ 控制難度:★★ 綜合評定:★☆ Top 9:端口滲透 攻擊案例:A公司在全國很多城市都建立辦事處或分支機構,這些機構與總公司的信息數據協同辦公,這就要求總公司的信息化中心做出VPN或終端服務這樣的數據共享方案,鑒于VPN的成本和難度相對較高,于是終端服務成為A公司與眾分支結構的信息橋梁。但是由于技術人員的疏忽,終端服務只是采取默認的3389端口,于是一段時間內,基于3389的訪問大幅增加,這其中不乏惡意端口滲透者。終于有一天終端服務器失守,Administrator密碼被非法篡改,內部數據嚴重流失。 解決方案:對于服務器我們只需要保證其最基本的功能,這些基本功能并不需要太多的端口做支持,因此一些不必要的端口大可以封掉,Windows我們可以借助于組策略,Linux可以在防火墻上多下點功夫;而一些可以改變的端口,比如終端服務的3389、Web的80端口,注冊表或者其他相關工具都能夠將其設置成更為個性,不易猜解的秘密端口。這樣端口關閉或者改變了,那些不友好的訪客就像無頭蒼蠅,自然無法進入。 危害程度:★★ 控制難度:★★ 綜合評定:★★ Top 8:系統漏洞 攻擊案例:B企業網絡建設初期經過多次評審選擇了“imail”作為外網郵箱服務器,經過長時間的運行與測試,imail表現的非常優秀。但是好景不長,一時間公司內擁有郵箱的用戶經常收到垃圾郵件,同時一些核心的資料也在悄然不覺中流失了。后經IT部門協同公安部門聯合調查,原來是負責產品研發的一名工程師跳槽到另一家對手公司,這個對手公司的IT安全人員了解到B企業使用的imail服務端,于是群發攜帶弱加密算法漏洞的垃圾郵件,從而嗅探到關鍵人員的賬戶、密碼,遠程竊取核心資料。 解決方案:我們知道,軟件設計者編輯程序時不可能想到或做到所有的事情,于是一個軟件運作初期貌似完整、安全,但實際上會出現很多無法預知的錯誤,對于企業級網絡安全人員來說,避免這些錯誤除了重視殺毒軟件和硬件防火墻外,還要經常性、周期性的修補軟件、系統、硬件、防火墻等安全系統的補丁,以防止一個小小的漏洞造成不可挽回的損失。 危害程度:★★★ 控制難度:★★☆ 綜合評定:★★☆ Top 7:密碼破解 攻擊案例:某IT人員離職,其所在的新公司領導授意,“想參考”一下他以前所在公司的一些商業數據。正所謂“近水樓臺先得月”,由于這名IT人員了解前公司的管理員賬戶和密碼規則,于是暴力破解開始了。首先他生成了67GB的暴力字典,這個字典囊括了前公司所要求的所有規則,再找來一臺四核服務器,以每秒破解22,000,000組密碼的速度瘋狂的拆解密碼,N個晝夜以后,密碼終于告破,那組被“參考”的商業資料直接導致這名IT人員前公司近百萬的損失。 解決方案:管理員設置密碼最重要的一點就是難,舉個例子:D級破解(每秒可破解10,000,000組密碼),暴力破解8位普通大小寫字母需要62天,數字+大小寫字母要253天,而使用數字+大小寫字母+標點則要23年,這只是8位密碼,但是我們覺得還不夠,我們推薦密碼長度最少為10位,且為數字+大小寫字母+標點的組合,密碼最長使用期限不要超過30天,并設置帳戶鎖定時間和帳戶鎖定閾值,這個能很好的保護密碼安全。 危害程度:★★★☆ 控制難度:★★☆ 綜合評定:★★★ Top 6:系統服務 攻擊案例:C公司Web網站的某個鏈接出現了一些異常,這個鏈接的層數比較深,短時間內又自行恢復正常,并沒有引起用戶和網絡運維人員的太多注意。后來IIS管理員在日常巡檢時發現網絡有入侵的痕跡,經過多番追蹤,將目光鎖定在系統服務身上,系統總服務數量并沒有變化,但是一個早已被禁用的服務被開啟,同時可執行文件的路徑和文件名也正常服務大相徑庭。不用說,IIS被入侵,黑客為了能繼續操作該服務器,將系統服務做了手腳,將其指定為其所需的黑客程序。 解決方案:對于這種攻擊有時我們并不能快速的察覺,因為它并沒有對網絡造成物理或邏輯的傷害,所以我們只能通過有效的審核工作來排查系統的異常變化,同時我們還需要經常性為當前系統服務建立一個批處理文件,一旦出現服務被篡改,我們又不能快速確定那個服務出現故障時,我們就可以快速的執行這個批處理文件,恢復到備份前的正常服務狀態。 危害程度:★★★☆ 控制難度:★★★ 綜合評定:★★★☆ Top 5:掛馬網站 攻擊案例:近一個星期,IT部門連續接到數個電話,故障的描述基本一致,都是QQ、MSN等即時通訊工具的密碼丟失,并且丟失問題愈演愈烈,一時間即時通訊工具成為眾矢之的,無人敢用。后經IT運維小組詳查,這些丟失密碼的用戶都是訪問了一個在線游戲的網站,訪問后的8~12個小時之后,密碼即被盜。運維小組迅速登陸該網站,并在后臺截獲流轉數據,果不其然,數個木馬隱藏在訪問的主頁之中。 解決方案:我們如想全網屏蔽這些網站首先要在服務器端想辦法,將這些掛馬網站地址放到ISA、NAT、checkpoint等網絡出口的黑名單中,并且實時更新,這是必須進行的一項操作;而后呢,再通過組策略將預防、查殺木馬的軟件推送到客戶端,即便是遭遇木馬入侵用戶電腦亦能有所防范,這樣可大大減少中木馬的可能性。cnking.org 危害程度:★★★☆ 控制難度:★★★☆ 綜合評定:★★★☆ Top 4:U盤濫用 攻擊案例:一位在外地出差回來的同事為我們帶來了很多土特產,同時也帶來了一堆病毒。當他把U盤插到同事的電腦上的時候,災難來了,U盤顯示不可用,于是他攜帶U盤繼續插到別人的電腦上,依然不可用!再試,再不可用!如果稍有點電腦常識都會想到是U盤中毒了,并感染了其他同事的電腦。但是他卻懷疑同事的U口壞了,就找來其他U盤繼續實驗,結果這些實驗的U盤也未能幸免,全部中毒。 解決方案:這個案例應該是比較常見的。如今U盤、移動硬盤等便攜式存儲設備的價格越來越低,只要擁有電腦基本上就會配備一些這類的設備,而這些設備經常是家庭、網吧、公司、賓館等多場所使用,病毒傳播的幾率非常大。避免企業電腦中毒,最好的辦法就是禁用移動設備。如果網內有專業網管軟件自然是最好不過了,如沒有我們也可修改“system.adm”文件,然后使用組策略來對用戶或者是計算機進行限制。 危害程度:★★★☆ 控制難度:★★★★☆ 綜合評定:★★★★ Top 3:網絡監聽 攻擊案例:X物流公司規模越來越大,每天流轉的貨物也越來越多,為了方便員工最快的接收和發送貨物,X公司決定采用無線網絡來覆蓋整個工廠區。同時為了保證信號的強度,X公司在多個角度部署了全向和定向天線。如此一來,無線網絡的穩定性和覆蓋面大大增加,因為覆蓋面廣也給其競爭對手流下了可乘之機。Y公司就派人隱匿在X公司的附近,伺機截取無線網絡的密碼,并進一步獲得其想知道的其他敏感數據。 解決方案:類似這樣的監聽不計其數,不僅僅是無線網絡,有線網絡同樣由此困惑。監聽者有的是為了獲得一些明文的資料,當然這些資料的可利用性不是很高;還有的已經翻譯出相關的網絡密碼,又想獲知更深層的數據,于是在進出口附近架設監聽。預防這種監聽我們要將網絡按照一定規則劃分成多個VLAN,將重要電腦予以隔離;然后將網內所有的重要數據進行加密傳輸,即使被惡意監聽也很難反轉成可用信息,再有使用“蜜罐”技術營造出一個充滿漏洞的偽終端,勾引監聽者迷失方向,最后我們還需要使用antisniffer工具對網絡定期實施反監聽,嗅探網絡中的異常數據。 危害程度:★★★★ 控制難度:★★★★★ 綜合評定:★★★★☆ Top 2:DDoS 攻擊案例:某制造型企業最近一段時間網絡運轉十分異常,服務器經常性的假死機,但死機時間并不固定。通過日志和其他分析軟件得知,系統死機時待處理任務中存在大量虛假TCP連接,同時網絡中充斥著大量的、無用的數據包,反查源地址卻得知全是不屬于本網的偽裝地址,很明顯這就是DDoS(分布式拒絕服務攻擊)。 解決方案:DDoS相比它的前輩DoS攻擊更有威脅,它是集中控制一大批傀儡機,在目標定位明確后集中某一時段展開統一的、有組織的、大規模的攻擊行為,直到將目標主機“擊沉”。因此對于這種攻擊行為,我們首先要在身份上做第一層驗證,也就是利用路由器的單播逆向轉發功能檢測訪問者的IP地址是否合法;其次我們要將關鍵服務隱藏在一個獨立防火墻之后,即便是網絡其他主機遭受攻擊,也不會影響網絡服務的運轉;再次關閉不必要的端口和服務,限制SYN/ICMP流量,切斷攻擊線路,降低攻擊等級;最后我們還要定期掃描網絡主節點,盡早發現問題,將攻擊遏制在萌芽之中。 危害程度:★★★★☆ 控制難度:★★★★★ 綜合評定:★★★★☆ Top 1:“內鬼式”攻擊 www.jb51.net 攻擊案例:某技術服務的工程師對電腦都很熟悉,經常搞些小程序,做點小動作,偶爾下載一些新奇的小軟件,他們這些行為本身并沒有實質性的破壞能力,但殊不知這卻給別人做了嫁衣。有的軟件已經被黑客做了手腳,運行軟件的同時也開啟了黑客程序,這就好比架設了一條內、外網的便捷通道,黑客朋友可以很容易的侵入內部網絡,拷貝點數據簡直是易如反掌。對于這種行為,我們稱之為“內鬼式”攻擊。 解決方案:預防這種攻擊行為技術方面能做到的多是限制外網連接,減少其下載病毒的可能性;收回其管理員權限,使其不能安裝某些軟件,但是技術的手段有時候并不靈光。這種事情行政手段往往要更有優勢,“管理”有時能很好地解決問題!由公司下發的強制信息安全政策和人力資源定期安全檢查能更好的限制用戶的安全行為,從而營造出一個安全、可靠的網絡數據環境。 危害程度:★★★★★ 控制難度:★★★★★ 綜合評定:★★★★★ 結語: 簡單說了一下這些攻擊案例,不知道您的網絡是不是已經做了相關的防御措施,一旦有此攻擊不知道您的網絡能頂得住嗎?如果答案是“NO”!好吧!別猶豫了,拿起手中的防御武器將數據中心內的服務器、交換路由等設備做個加固吧。我們力爭“服務不停歇!業務不中斷!數據不流失!” |
免責聲明:本站部分文章和圖片均來自用戶投稿和網絡收集,旨在傳播知識,文章和圖片版權歸原作者及原出處所有,僅供學習與參考,請勿用于商業用途,如果損害了您的權利,請聯系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創業、互聯網等領域,為您提供最新最全的互聯網資訊,幫助站長轉型升級,為互聯網創業者提供更加優質的創業信息和品牌營銷服務,與站長一起進步!讓互聯網創業者不再孤獨!
掃一掃,關注站長網微信
大家都在看
