知己知彼 知道成功网络攻击的5个步骤

    对于网络安全来说，成功防御的一个基本组成部分就是要了解敌人。就象防御工事必须进行总体规划一样，网络安全管理人员必须了解黑客的工具和技术，并利用这些知识来设计应对各种攻击的网络防御框架。



    根据来自国际电子商务顾问局白帽黑客认证的资料显示，成功的黑客攻击包含了五个步骤：搜索、扫描、获得权限、保持连接，消除痕迹。在本文中，我们就将对每个阶段进行详细的分析。在将来的文章中，我还会对检测方式进行详细的说明。



第一阶段：搜索



    搜索可能是耗费时间最长的阶段，有时间可能会持续几个星期甚至几个月。黑客会利用各种渠道尽可能多的了解企业类型和工作模式，包括下面列出这些范围内的信息：



    互联网搜索

    社会工程

    垃圾数据搜寻

    域名管理/搜索服务

    非侵入性的网络扫描



    这些类型的活动由于是处于搜索阶段，所以属于很难防范的。很多公司提供的信息都属于很容易在网络上发现的。而员工也往往会受到欺骗而无意中提供了相应的信息，随着时间的推移，公司的组织结构以及潜在的漏洞就会被发现，整个黑客攻击的准备过程就逐渐接近完成了。不过，这里也提供了一些你可以选择的保护措施，可以让黑客攻击的准备工作变得更加困难，其中包括了：



    确保系统不会将信息泄露到网络上，其中包括： 



    软件版本和补丁级别

    电子邮件地址

    关键人员的姓名和职务



    确保纸质信息得到妥善处理

    接受域名注册查询时提供通用的联系信息

    禁止对来自周边局域网/广域网设备的扫描企图进行回应



第二阶段：扫描



    一旦攻击者对公司网络的具体情况有了足够的了解，他或她就会开始对周边和内部网络设备进行扫描，以寻找潜在的漏洞，其中包括：



    开放的端口

    开放的应用服务

    包括操作系统在内的应用漏洞

    保护性较差的数据传输

    每一台局域网/广域网设备的品牌和型号



    在扫描周边和内部设备的时间，黑客往往会受到入侵防御（IDS）或入侵检测（IPS）解决方案的阻止，但情况也并非总是如此。老牌的黑客可以轻松绕过这些防护措施。下面提供了防止被扫描的措施，可以在所有情况使用：



    关闭所有不必要的端口和服务

    关键设备或处理敏感信息的设备，只容许响应经过核准设备的请求 

    加强管理系统的控制，禁止直接访问外部服务器，在特殊情况下需要访问的时间，也应该在访问控制列表中进行端到端连接的控制

    确保局域网/广域网系统以及端点的补丁级别是足够安全的



第三阶段：获得权限



    攻击者获得了连接的权限就意味着实际攻击已经开始。通常情况下，攻击者选择的目标是可以为攻击者提供有用信息，或者可以作为攻击其它目标的起点。在这两种情况下，攻击者都必须取得一台或者多台网络设备某种类型的访问权限。



    除了在上面提到的保护措施外，安全管理人员应当尽一切努力，确保最终用户设备和服务器没有被未经验证的用户轻易连接。这其中包括了拒绝拥有本地系统管理员权限的商业客户以及对域和本地管理的服务器进行密切监测。此外，物理安全措施可以在发现实际攻击的企图时，拖延入侵者足够长的时间，以便内部或者外部人员（即保安人员或者执法机构）进行有效的反应。



    最后，我们应该明确的一点是，对高度敏感的信息来说进行加密和保护是非常关键的。即使由于网络中存在漏洞，导致攻击者获得信息，但没有加密密钥的信息也就意味着攻击的失败。不过，这也不等于仅仅依靠加密就可以保证安全了。对于脆弱的网络安全来说，还可能存在其它方面的风险。举例来说，系统无法使用或者被用于犯罪，都是可能发生的情况。



第四阶段：保持连接



    为了保证攻击的顺利完成，攻击者必须保持连接的时间足够长。虽然攻击者到达这一阶段也就意味他或她已成功地规避了系统的安全控制措施，但这也会导致攻击者面临的漏洞增加。



    对于入侵防御（IDS）或入侵检测（IPS）设备来说，除了用来对入侵进行检测外，你还可以利用它们进行挤出检测。下面就是入侵/挤出检测方法一个简单的例子，来自理查德·帕特里克在2006年撰写的《挤出检测：内部入侵的安全监控》一书的第三章：挤出检测图解。它包括了：



    对通过外部网站或内部设备传输的文件内容进行检测和过滤

    对利用未受到控制的连接到服务器或者网络上的会话进行检测和阻止

    寻找连接到多个端口或非标准的协议 

    寻找不符合常规的连接参数和内容

    检测异常网络或服务器的行为，特别需要关注的是时间间隔等参数



第五阶段：消除痕迹



    在实现攻击的目的后，攻击者通常会采取各种措施来隐藏入侵的痕迹和并为今后可能的访问留下控制权限。因此，关注反恶意软件、个人防火墙和基于主机的入侵检测解决方案，禁止商业用户使用本地系统管理员的权限访问台式机。在任何不寻常活动出现的时间发出警告，所有这一切操作的制定都依赖于你对整个系统情况的了解。因此，为了保证整个网络的正常运行，安全和网络团队和已经进行攻击的入侵者相比，至少应该拥有同样多的知识。



结论



    本文的目的不是让你成为网络防护方面的专家。它仅仅是介绍黑客经常使用的一些攻击方式。有了这些资料的帮助，安全专家可以更好地进行准备，以便在出现安全事件时，能够更轻松地找出敌人究竟在哪里以及在做什么？