黑客入侵的5個(gè)步驟

對(duì)于網(wǎng)絡(luò)安全來說， 成功防御的一個(gè)基本組成部分就是要了解敵人。 就象防御工事必須進(jìn)行總體規(guī)劃一樣， 網(wǎng)絡(luò)安全管理人員必須了解黑客的工具和技術(shù)， 并利用這些知識(shí)來設(shè)計(jì)應(yīng)對(duì)各種攻擊的網(wǎng)絡(luò)防御框架。

　　根據(jù)來自國際電子商務(wù)顧問局白帽黑客認(rèn)證的資料顯示， 成功的黑客攻擊包含了五個(gè)步驟：搜索、掃描、獲得權(quán)限、保持連接， 消除痕跡。 在本文中， 我們就將對(duì)每個(gè)階段進(jìn)行詳細(xì)的分析。 在將來的文章中， 我還會(huì)對(duì)檢測方式進(jìn)行詳細(xì)的說明。

　　第一階段：搜索

　　搜索可能是耗費(fèi)時(shí)間最長的階段， 有時(shí)間可能會(huì)持續(xù)幾個(gè)星期甚至幾個(gè)月。 黑客會(huì)利用各種渠道盡可能多的了解企業(yè)類型和工作模式， 包括下面列出這些范圍內(nèi)的信息：

　　互聯(lián)網(wǎng)搜索

　　社會(huì)工程

　　垃圾數(shù)據(jù)搜尋

　　域名管理/搜索服務(wù)

　　非侵入性的網(wǎng)絡(luò)掃描

　　這些類型的活動(dòng)由于是處于搜索階段， 所以屬于很難防范的。 很多公司提供的信息都屬于很容易在網(wǎng)絡(luò)上發(fā)現(xiàn)的。 而員工也往往會(huì)受到欺騙而無意中提供了相應(yīng)的信息， 隨著時(shí)間的推移， 公司的組織結(jié)構(gòu)以及潛在的漏洞就會(huì)被發(fā)現(xiàn)， 整個(gè)黑客攻擊的準(zhǔn)備過程就逐漸接近完成了。 不過， 這里也提供了一些你可以選擇的保護(hù)措施， 可以讓黑客攻擊的準(zhǔn)備工作變得更加困難， 其中包括了：

　　確保系統(tǒng)不會(huì)將信息泄露到網(wǎng)絡(luò)上， 其中包括：

　　軟件版本和補(bǔ)丁級(jí)別

　　電子郵件地址

　　關(guān)鍵人員的姓名和職務(wù)

　　確保紙質(zhì)信息得到妥善處理

　　接受域名注冊查詢時(shí)提供通用的聯(lián)系信息

　　禁止對(duì)來自周邊局域網(wǎng)/廣域網(wǎng)設(shè)備的掃描企圖進(jìn)行回應(yīng)

　　第二階段：掃描

　　一旦攻擊者對(duì)公司網(wǎng)絡(luò)的具體情況有了足夠的了解， 掃描軟件：www.arpun.com 他或她就會(huì)開始對(duì)周邊和內(nèi)部網(wǎng)絡(luò)設(shè)備進(jìn)行掃描， 以尋找潛在的漏洞， 其中包括：

　　開放的端口

　　開放的應(yīng)用服務(wù)

　　包括操作系統(tǒng)在內(nèi)的應(yīng)用漏洞

　　保護(hù)性較差的數(shù)據(jù)傳輸

　　每一臺(tái)局域網(wǎng)/廣域網(wǎng)設(shè)備的品牌和型號(hào)

　　在掃描周邊和內(nèi)部設(shè)備的時(shí)間， 黑客往往會(huì)受到入侵防御(IDS)或入侵檢測(IPS)解決方案的阻止， 但情況也并非總是如此。 老牌的黑客可以輕松繞過這些防護(hù)措施。 下面提供了防止被掃描的措施， 可以在所有情況使用：

　　關(guān)閉所有不必要的端口和服務(wù)

　　關(guān)鍵設(shè)備或處理敏感信息的設(shè)備， 只容許響應(yīng)經(jīng)過核準(zhǔn)設(shè)備的請(qǐng)求

　　加強(qiáng)管理系統(tǒng)的控制， 禁止直接訪問外部服務(wù)器， 在特殊情況下需要訪問的時(shí)間， 也應(yīng)該在訪問控制列表中進(jìn)行端到端連接的控制

　　確保局域網(wǎng)/廣域網(wǎng)系統(tǒng)以及端點(diǎn)的補(bǔ)丁級(jí)別是足夠安全的 第三階段：獲得權(quán)限

　　攻擊者獲得了連接的權(quán)限就意味著實(shí)際攻擊已經(jīng)開始。 通常情況下， 攻擊者選擇的目標(biāo)是可以為攻擊者提供有用信息， 或者可以作為攻擊其它目標(biāo)的起點(diǎn)。 在這兩種情況下， 攻擊者都必須取得一臺(tái)或者多臺(tái)網(wǎng)絡(luò)設(shè)備某種類型的訪問權(quán)限。

　　除了在上面提到的保護(hù)措施外， 安全管理人員應(yīng)當(dāng)盡一切努力， 確保最終用戶設(shè)備和服務(wù)器沒有被未經(jīng)驗(yàn)證的用戶輕易連接。 這其中包括了拒絕擁有本地系統(tǒng)管理員權(quán)限的商業(yè)客戶以及對(duì)域和本地管理的服務(wù)器進(jìn)行密切監(jiān)測。 此外， 物理安全措施可以在發(fā)現(xiàn)實(shí)際攻擊的企圖時(shí)， 拖延入侵者足夠長的時(shí)間， 以便內(nèi)部或者外部人員(即保安人員或者執(zhí)法機(jī)構(gòu))進(jìn)行有效的反應(yīng)。

　　最后， 我們應(yīng)該明確的一點(diǎn)是， 對(duì)高度敏感的信息來說進(jìn)行加密和保護(hù)是非常關(guān)鍵的。 即使由于網(wǎng)絡(luò)中存在漏洞， 導(dǎo)致攻擊者獲得信息， 但沒有加密密鑰的信息也就意味著攻擊的失敗。 不過， 這也不等于僅僅依靠加密就可以保證安全了。 對(duì)于脆弱的網(wǎng)絡(luò)安全來說， 還可能存在其它方面的風(fēng)險(xiǎn)。 舉例來說， 系統(tǒng)無法使用或者被用于犯罪， 都是可能發(fā)生的情況。

　　第四階段：保持連接

　　為了保證攻擊的順利完成， 攻擊者必須保持連接的時(shí)間足夠長。 雖然攻擊者到達(dá)這一階段也就意味他或她已成功地規(guī)避了系統(tǒng)的安全控制措施， 但這也會(huì)導(dǎo)致攻擊者面臨的漏洞增加。

　　對(duì)于入侵防御(IDS)或入侵檢測(IPS)設(shè)備來說， 除了用來對(duì)入侵進(jìn)行檢測外， 你還可以利用它們進(jìn)行擠出檢測。 下面就是入侵/擠出檢測方法一個(gè)簡單的例子， 來自理查德·帕特里克在2006年撰寫的《擠出檢測：內(nèi)部入侵的安全監(jiān)控》一書的第三章：擠出檢測圖解。 它包括了：

　　對(duì)通過外部網(wǎng)站或內(nèi)部設(shè)備傳輸?shù)奈募��?nèi)容進(jìn)行檢測和過濾

　　對(duì)利用未受到控制的連接到服務(wù)器或者網(wǎng)絡(luò)上的會(huì)話進(jìn)行檢測和阻止

　　尋找連接到多個(gè)端口或非標(biāo)準(zhǔn)的協(xié)議

　　尋找不符合常規(guī)的連接參數(shù)和內(nèi)容

　　檢測異常網(wǎng)絡(luò)或服務(wù)器的行為， 特別需要關(guān)注的是時(shí)間間隔等參數(shù)

　　第五階段：消除痕跡

　　在實(shí)現(xiàn)攻擊的目的后， 攻擊者通常會(huì)采取各種措施來隱藏入侵的痕跡和并為今后可能的訪問留下控制權(quán)限。 因此， 關(guān)注反惡意軟件、個(gè)人防火墻和基于主機(jī)的入侵檢測解決方案， 禁止商業(yè)用戶使用本地系統(tǒng)管理員的權(quán)限訪問臺(tái)式機(jī)。 在任何不尋常活動(dòng)出現(xiàn)的時(shí)間發(fā)出警告， 所有這一切操作的制定都依賴于你對(duì)整個(gè)系統(tǒng)情況的了解。 因此， 為了保證整個(gè)網(wǎng)絡(luò)的正常運(yùn)行， 安全和網(wǎng)絡(luò)團(tuán)隊(duì)和已經(jīng)進(jìn)行攻擊的入侵者相比， 至少應(yīng)該擁有同樣多的知識(shí)。

　　結(jié)論

　　本文的目的不是讓你成為網(wǎng)絡(luò)防護(hù)方面的專家。 它僅僅是介紹黑客經(jīng)常使用的一些攻擊方式。 有了這些資料的幫助， 安全專家可以更好地進(jìn)行準(zhǔn)備， 以便在出現(xiàn)安全事件時(shí)， 能夠更輕松地找出敵人究竟在哪里以及在做什么?