隨著互聯(lián)網(wǎng)的快速發(fā)展，給我們的生活帶來(lái)了很多便利，5G網(wǎng)絡(luò)的即將來(lái)臨，將帶我們進(jìn)入一個(gè)萬(wàn)物互聯(lián)的時(shí)代。然而在網(wǎng)絡(luò)快速發(fā)展的同時(shí)，網(wǎng)絡(luò)安全威脅也越來(lái)越嚴(yán)重，網(wǎng)絡(luò)攻擊的規(guī)模和復(fù)雜性逐年上升，造成的影響越來(lái)越大。發(fā)起網(wǎng)絡(luò)攻擊的難度卻越來(lái)越小，攻擊軟件越來(lái)越智能化，憑借一些入門(mén)的教程和軟件就能輕松發(fā)起攻擊，使得互聯(lián)網(wǎng)行業(yè)的運(yùn)維人員心力交瘁。面對(duì)這個(gè)互聯(lián)網(wǎng)環(huán)境，使得我們不得不重視網(wǎng)絡(luò)安全問(wèn)題。今天墨者安全來(lái)說(shuō)說(shuō)最常見(jiàn)的十種網(wǎng)絡(luò)攻擊行為，你能防住幾個(gè)呢？

Top 10：預(yù)攻擊行為

攻擊案例：某企業(yè)網(wǎng)安人員近期經(jīng)常截獲一些非法數(shù)據(jù)包，這些數(shù)據(jù)包多是一些端口掃描、SATAN掃描或者是IP半途掃描。掃描時(shí)間很短，間隔也很長(zhǎng)，每天掃描1~5次，或者是掃描一次后就不再有任何的動(dòng)作，因此網(wǎng)安人員獲取的數(shù)據(jù)并沒(méi)有太多的參考價(jià)值，攻擊行為并不十分明確。

解決方案：如果掃描一次后就銷聲匿跡了，就目前的網(wǎng)絡(luò)設(shè)備和安全防范角度來(lái)說(shuō)，該掃描者并沒(méi)有獲得其所需要的資料，多是一些黑客入門(mén)級(jí)人物在做簡(jiǎn)單練習(xí)；而如果每天都有掃描則說(shuō)明自己的網(wǎng)絡(luò)已經(jīng)被盯上，我們要做的就是盡可能的加固網(wǎng)絡(luò)，同時(shí)反向追蹤掃描地址，如果可能給掃描者一個(gè)警示信息也未嘗不可。鑒于這種攻擊行為并沒(méi)有造成實(shí)質(zhì)性的威脅，它的級(jí)別也是最低的。

危害程度：★

控制難度：★★

綜合評(píng)定：★☆

Top 9：端口滲透

攻擊案例：A公司在全國(guó)很多城市都建立辦事處或分支機(jī)構(gòu)，這些機(jī)構(gòu)與總公司的信息數(shù)據(jù)協(xié)同辦公，這就要求總公司的信息化中心做出VPN或終端服務(wù)這樣的數(shù)據(jù)共享方案，鑒于VPN的成本和難度相對(duì)較高，于是終端服務(wù)成為A公司與眾分支結(jié)構(gòu)的信息橋梁。但是由于技術(shù)人員的疏忽，終端服務(wù)只是采取默認(rèn)的3389端口，于是一段時(shí)間內(nèi)，基于3389的訪問(wèn)大幅增加，這其中不乏惡意端口滲透者。終于有一天終端服務(wù)器失守，Administrator密碼被非法篡改，內(nèi)部數(shù)據(jù)嚴(yán)重流失。

解決方案：對(duì)于服務(wù)器我們只需要保證其最基本的功能，這些基本功能并不需要太多的端口做支持，因此一些不必要的端口大可以封掉，Windows我們可以借助于組策略，Linux可以在防火墻上多下點(diǎn)功夫；而一些可以改變的端口，比如終端服務(wù)的3389、Web的80端口，注冊(cè)表或者其他相關(guān)工具都能夠?qū)⑵湓O(shè)置成更為個(gè)性，不易猜解的秘密端口。這樣端口關(guān)閉或者改變了，那些不友好的訪客就像無(wú)頭蒼蠅，自然無(wú)法進(jìn)入。

危害程度：★★

控制難度：★★

綜合評(píng)定：★★

Top 8：系統(tǒng)漏洞

攻擊案例：B企業(yè)網(wǎng)絡(luò)建設(shè)初期經(jīng)過(guò)多次評(píng)審選擇了“imail”作為外網(wǎng)郵箱服務(wù)器，經(jīng)過(guò)長(zhǎng)時(shí)間的運(yùn)行與測(cè)試，imail表現(xiàn)的非常優(yōu)秀。但是好景不長(zhǎng)，一時(shí)間公司內(nèi)擁有郵箱的用戶經(jīng)常收到垃圾郵件，同時(shí)一些核心的資料也在悄然不覺(jué)中流失了。后經(jīng)IT部門(mén)協(xié)同公安部門(mén)聯(lián)合調(diào)查，原來(lái)是負(fù)責(zé)產(chǎn)品研發(fā)的一名工程師跳槽到另一家對(duì)手公司，這個(gè)對(duì)手公司的IT安全人員了解到B企業(yè)使用的imail服務(wù)端，于是群發(fā)攜帶弱加密算法漏洞的垃圾郵件，從而嗅探到關(guān)鍵人員的賬戶、密碼，遠(yuǎn)程竊取核心資料。

解決方案：我們知道，軟件設(shè)計(jì)者編輯程序時(shí)不可能想到或做到所有的事情，于是一個(gè)軟件運(yùn)作初期貌似完整、安全，但實(shí)際上會(huì)出現(xiàn)很多無(wú)法預(yù)知的錯(cuò)誤，對(duì)于企業(yè)級(jí)網(wǎng)絡(luò)安全人員來(lái)說(shuō)，避免這些錯(cuò)誤除了重視殺毒軟件和硬件防火墻外，還要經(jīng)常性、周期性的修補(bǔ)軟件、系統(tǒng)、硬件、防火墻等安全系統(tǒng)的補(bǔ)丁，以防止一個(gè)小小的漏洞造成不可挽回的損失。

危害程度：★★★

控制難度：★★☆

綜合評(píng)定：★★☆

Top 7：密碼破解

攻擊案例：某IT人員離職，其所在的新公司領(lǐng)導(dǎo)授意，“想?yún)⒖肌币幌滤郧八诠镜囊恍┥虡I(yè)數(shù)據(jù)。正所謂“近水樓臺(tái)先得月”，由于這名IT人員了解前公司的管理員賬戶和密碼規(guī)則，于是暴力破解開(kāi)始了。首先他生成了67GB的暴力字典，這個(gè)字典囊括了前公司所要求的所有規(guī)則，再找來(lái)一臺(tái)四核服務(wù)器，以每秒破解22，000，000組密碼的速度瘋狂的拆解密碼，N個(gè)晝夜以后，密碼終于告破，那組被“參考”的商業(yè)資料直接導(dǎo)致這名IT人員前公司近百萬(wàn)的損失。

解決方案：管理員設(shè)置密碼最重要的一點(diǎn)就是難，舉個(gè)例子：D級(jí)破解（每秒可破解10，000，000組密碼），暴力破解8位普通大小寫(xiě)字母需要62天，數(shù)字＋大小寫(xiě)字母要253天，而使用數(shù)字＋大小寫(xiě)字母＋標(biāo)點(diǎn)則要23年，這只是8位密碼，但是我們覺(jué)得還不夠，我們推薦密碼長(zhǎng)度最少為10位，且為數(shù)字＋大小寫(xiě)字母＋標(biāo)點(diǎn)的組合，密碼最長(zhǎng)使用期限不要超過(guò)30天，并設(shè)置帳戶鎖定時(shí)間和帳戶鎖定閾值，這個(gè)能很好的保護(hù)密碼安全。

危害程度：★★★☆

控制難度：★★☆

綜合評(píng)定：★★★

Top 6：系統(tǒng)服務(wù)

攻擊案例：C公司W(wǎng)eb網(wǎng)站的某個(gè)鏈接出現(xiàn)了一些異常，這個(gè)鏈接的層數(shù)比較深，短時(shí)間內(nèi)又自行恢復(fù)正常，并沒(méi)有引起用戶和網(wǎng)絡(luò)運(yùn)維人員的太多注意。后來(lái)IIS管理員在日常巡檢時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)有入侵的痕跡，經(jīng)過(guò)多番追蹤，將目光鎖定在系統(tǒng)服務(wù)身上，系統(tǒng)總服務(wù)數(shù)量并沒(méi)有變化，但是一個(gè)早已被禁用的服務(wù)被開(kāi)啟，同時(shí)可執(zhí)行文件的路徑和文件名也正常服務(wù)大相徑庭。不用說(shuō)，IIS被入侵，黑客為了能繼續(xù)操作該服務(wù)器，將系統(tǒng)服務(wù)做了手腳，將其指定為其所需的黑客程序。

解決方案：對(duì)于這種攻擊有時(shí)我們并不能快速的察覺(jué)，因?yàn)樗](méi)有對(duì)網(wǎng)絡(luò)造成物理或邏輯的傷害，所以我們只能通過(guò)有效的審核工作來(lái)排查系統(tǒng)的異常變化，同時(shí)我們還需要經(jīng)常性為當(dāng)前系統(tǒng)服務(wù)建立一個(gè)批處理文件，一旦出現(xiàn)服務(wù)被篡改，我們又不能快速確定那個(gè)服務(wù)出現(xiàn)故障時(shí)，我們就可以快速的執(zhí)行這個(gè)批處理文件，恢復(fù)到備份前的正常服務(wù)狀態(tài)。

危害程度：★★★☆

控制難度：★★★

綜合評(píng)定：★★★☆

Top 5：掛馬網(wǎng)站

攻擊案例：近一個(gè)星期，IT部門(mén)連續(xù)接到數(shù)個(gè)電話，故障的描述基本一致，都是QQ、MSN等即時(shí)通訊工具的密碼丟失，并且丟失問(wèn)題愈演愈烈，一時(shí)間即時(shí)通訊工具成為眾矢之的，無(wú)人敢用。后經(jīng)IT運(yùn)維小組詳查，這些丟失密碼的用戶都是訪問(wèn)了一個(gè)在線游戲的網(wǎng)站，訪問(wèn)后的8~12個(gè)小時(shí)之后，密碼即被盜。運(yùn)維小組迅速登陸該網(wǎng)站，并在后臺(tái)截獲流轉(zhuǎn)數(shù)據(jù)，果不其然，數(shù)個(gè)木馬隱藏在訪問(wèn)的主頁(yè)之中。

解決方案：我們?nèi)缦肴W(wǎng)屏蔽這些網(wǎng)站首先要在服務(wù)器端想辦法，將這些掛馬網(wǎng)站地址放到ISA、NAT、checkpoint等網(wǎng)絡(luò)出口的黑名單中，并且實(shí)時(shí)更新，這是必須進(jìn)行的一項(xiàng)操作；而后呢，再通過(guò)組策略將預(yù)防、查殺木馬的軟件推送到客戶端，即便是遭遇木馬入侵用戶電腦亦能有所防范，這樣可大大減少中木馬的可能性。cnking.org

危害程度：★★★☆

控制難度：★★★☆

綜合評(píng)定：★★★☆

Top 4：U盤(pán)濫用

攻擊案例：一位在外地出差回來(lái)的同事為我們帶來(lái)了很多土特產(chǎn)，同時(shí)也帶來(lái)了一堆病毒。當(dāng)他把U盤(pán)插到同事的電腦上的時(shí)候，災(zāi)難來(lái)了，U盤(pán)顯示不可用，于是他攜帶U盤(pán)繼續(xù)插到別人的電腦上，依然不可用！再試，再不可用！如果稍有點(diǎn)電腦常識(shí)都會(huì)想到是U盤(pán)中毒了，并感染了其他同事的電腦。但是他卻懷疑同事的U口壞了，就找來(lái)其他U盤(pán)繼續(xù)實(shí)驗(yàn)，結(jié)果這些實(shí)驗(yàn)的U盤(pán)也未能幸免，全部中毒。

解決方案：這個(gè)案例應(yīng)該是比較常見(jiàn)的。如今U盤(pán)、移動(dòng)硬盤(pán)等便攜式存儲(chǔ)設(shè)備的價(jià)格越來(lái)越低，只要擁有電腦基本上就會(huì)配備一些這類的設(shè)備，而這些設(shè)備經(jīng)常是家庭、網(wǎng)吧、公司、賓館等多場(chǎng)所使用，病毒傳播的幾率非常大。避免企業(yè)電腦中毒，最好的辦法就是禁用移動(dòng)設(shè)備。如果網(wǎng)內(nèi)有專業(yè)網(wǎng)管軟件自然是最好不過(guò)了，如沒(méi)有我們也可修改“system.adm”文件，然后使用組策略來(lái)對(duì)用戶或者是計(jì)算機(jī)進(jìn)行限制。

危害程度：★★★☆

控制難度：★★★★☆

綜合評(píng)定：★★★★

Top 3：網(wǎng)絡(luò)監(jiān)聽(tīng)

攻擊案例：X物流公司規(guī)模越來(lái)越大，每天流轉(zhuǎn)的貨物也越來(lái)越多，為了方便員工最快的接收和發(fā)送貨物，X公司決定采用無(wú)線網(wǎng)絡(luò)來(lái)覆蓋整個(gè)工廠區(qū)。同時(shí)為了保證信號(hào)的強(qiáng)度，X公司在多個(gè)角度部署了全向和定向天線。如此一來(lái)，無(wú)線網(wǎng)絡(luò)的穩(wěn)定性和覆蓋面大大增加，因?yàn)楦采w面廣也給其競(jìng)爭(zhēng)對(duì)手流下了可乘之機(jī)。Y公司就派人隱匿在X公司的附近，伺機(jī)截取無(wú)線網(wǎng)絡(luò)的密碼，并進(jìn)一步獲得其想知道的其他敏感數(shù)據(jù)。

解決方案：類似這樣的監(jiān)聽(tīng)不計(jì)其數(shù)，不僅僅是無(wú)線網(wǎng)絡(luò)，有線網(wǎng)絡(luò)同樣由此困惑。監(jiān)聽(tīng)者有的是為了獲得一些明文的資料，當(dāng)然這些資料的可利用性不是很高；還有的已經(jīng)翻譯出相關(guān)的網(wǎng)絡(luò)密碼，又想獲知更深層的數(shù)據(jù)，于是在進(jìn)出口附近架設(shè)監(jiān)聽(tīng)。預(yù)防這種監(jiān)聽(tīng)我們要將網(wǎng)絡(luò)按照一定規(guī)則劃分成多個(gè)VLAN，將重要電腦予以隔離；然后將網(wǎng)內(nèi)所有的重要數(shù)據(jù)進(jìn)行加密傳輸，即使被惡意監(jiān)聽(tīng)也很難反轉(zhuǎn)成可用信息，再有使用“蜜罐”技術(shù)營(yíng)造出一個(gè)充滿漏洞的偽終端，勾引監(jiān)聽(tīng)者迷失方向，最后我們還需要使用antisniffer工具對(duì)網(wǎng)絡(luò)定期實(shí)施反監(jiān)聽(tīng)，嗅探網(wǎng)絡(luò)中的異常數(shù)據(jù)。

危害程度：★★★★

控制難度：★★★★★

綜合評(píng)定：★★★★☆

Top 2：DDoS攻擊

攻擊案例：某制造型企業(yè)最近一段時(shí)間網(wǎng)絡(luò)運(yùn)轉(zhuǎn)十分異常，服務(wù)器經(jīng)常性的假死機(jī)，但死機(jī)時(shí)間并不固定。通過(guò)日志和其他分析軟件得知，系統(tǒng)死機(jī)時(shí)待處理任務(wù)中存在大量虛假TCP連接，同時(shí)網(wǎng)絡(luò)中充斥著大量的、無(wú)用的數(shù)據(jù)包，反查源地址卻得知全是不屬于本網(wǎng)的偽裝地址，很明顯這就是DDoS（分布式拒絕服務(wù)攻擊）。

解決方案：DDoS相比它的前輩DoS攻擊更有威脅，它是集中控制一大批傀儡機(jī)，在目標(biāo)定位明確后集中某一時(shí)段展開(kāi)統(tǒng)一的、有組織的、大規(guī)模的攻擊行為，直到將目標(biāo)主機(jī)“擊沉”。因此對(duì)于這種攻擊行為，我們首先要在身份上做第一層驗(yàn)證，也就是利用路由器的單播逆向轉(zhuǎn)發(fā)功能檢測(cè)訪問(wèn)者的IP地址是否合法；其次我們要將關(guān)鍵服務(wù)隱藏在一個(gè)獨(dú)立防火墻之后，即便是網(wǎng)絡(luò)其他主機(jī)遭受攻擊，也不會(huì)影響網(wǎng)絡(luò)服務(wù)的運(yùn)轉(zhuǎn)；再次關(guān)閉不必要的端口和服務(wù)，限制SYN/ICMP流量，切斷攻擊線路，降低攻擊等級(jí)；最后我們還要定期掃描網(wǎng)絡(luò)主節(jié)點(diǎn)，當(dāng)遇到大流量DDOS只能找像墨者安全這樣專業(yè)的網(wǎng)絡(luò)安全公司接入高防服務(wù)了，盡早做好防護(hù)措施，才能將損失降到最低。

危害程度：★★★★☆

控制難度：★★★★★

綜合評(píng)定：★★★★☆

Top 1：“內(nèi)鬼式”攻擊

攻擊案例：某技術(shù)服務(wù)的工程師對(duì)電腦都很熟悉，經(jīng)常搞些小程序，做點(diǎn)小動(dòng)作，偶爾下載一些新奇的小軟件，他們這些行為本身并沒(méi)有實(shí)質(zhì)性的破壞能力，但殊不知這卻給別人做了嫁衣。有的軟件已經(jīng)被黑客做了手腳，運(yùn)行軟件的同時(shí)也開(kāi)啟了黑客程序，這就好比架設(shè)了一條內(nèi)、外網(wǎng)的便捷通道，黒客朋友可以很容易的侵入內(nèi)部網(wǎng)絡(luò)，拷貝點(diǎn)數(shù)據(jù)簡(jiǎn)直是易如反掌。對(duì)于這種行為，我們稱之為“內(nèi)鬼式”攻擊。

解決方案：預(yù)防這種攻擊行為技術(shù)方面能做到的多是限制外網(wǎng)連接，減少其下載病毒的可能性；收回其管理員權(quán)限，使其不能安裝某些軟件，但是技術(shù)的手段有時(shí)候并不靈光。這種事情行政手段往往要更有優(yōu)勢(shì)，“管理”有時(shí)能很好地解決問(wèn)題！由公司下發(fā)的強(qiáng)制信息安全政策和人力資源定期安全檢查能更好的限制用戶的安全行為，從而營(yíng)造出一個(gè)安全、可靠的網(wǎng)絡(luò)數(shù)據(jù)環(huán)境。

危害程度：★★★★★

控制難度：★★★★★

綜合評(píng)定：★★★★★

結(jié)語(yǔ)：

以上就是小墨總結(jié)的一些常見(jiàn)的攻擊行為案例，當(dāng)你的服務(wù)器遭到這些攻擊，你是否已經(jīng)做好了相應(yīng)的防護(hù)措施呢？光靠升級(jí)服務(wù)器硬件設(shè)備是遠(yuǎn)遠(yuǎn)不夠的。面對(duì)這個(gè)復(fù)雜的網(wǎng)絡(luò)環(huán)境，靠企業(yè)自身來(lái)保障網(wǎng)絡(luò)安全可能是比較困難，小墨建議選擇一些專業(yè)的網(wǎng)絡(luò)安全公司可以解決自己的后顧之憂。像墨者盾高防可以隱藏服務(wù)器真實(shí)IP，利用新的WAF算法過(guò)濾技術(shù)，清除DDOS異常流量，保障服務(wù)器正常運(yùn)行。