淺談網(wǎng)絡(luò)安全攻防技術(shù)

賀軍 漢江水利水電（集團(tuán)）有限責(zé)任公司網(wǎng)信中心

習(xí)近平主席在《中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上的講話》中指出：“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。”可以看出國家對(duì)網(wǎng)絡(luò)安全的高度重視。那什么是網(wǎng)絡(luò)安全？絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

當(dāng)前信息化技術(shù)日新月異，各種硬件、軟件成出不窮，各種應(yīng)用系統(tǒng)也在我們的工作和生活中發(fā)揮了巨大的作用。比如：在平時(shí)辦公中使用比較多的ERP 系統(tǒng)、OA 系統(tǒng)等大型應(yīng)用；在平時(shí)生活中使用比較多的某寶、某信等社交軟件。這些應(yīng)用系統(tǒng)后端都是由各種硬件、軟件組成。如果受害者在平時(shí)的工作和生活中安全意識(shí)不高，那么被黑客利用或遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)就會(huì)加大。這樣的網(wǎng)絡(luò)攻擊會(huì)因?yàn)槭芎φ呓佑|到的數(shù)據(jù)重要性的高低而產(chǎn)生不同的危害。如果受害者是一位高級(jí)管理人員，那么勢(shì)必會(huì)對(duì)你的工作和生活帶來極大的危害。

俗話說：“知己知彼，百戰(zhàn)不殆”。為了提高網(wǎng)絡(luò)安全意識(shí)，降低硬件、軟件的安全風(fēng)險(xiǎn)。我們有必要了解黑客進(jìn)行網(wǎng)絡(luò)攻擊的全過程。筆者根據(jù)多年進(jìn)行網(wǎng)絡(luò)攻防的工作經(jīng)驗(yàn)和相關(guān)資料的學(xué)習(xí)發(fā)現(xiàn)，攻擊者在確定網(wǎng)絡(luò)攻擊目標(biāo)后，大部分都有以下幾個(gè)攻擊階段：信息的收集階段；漏洞利用階段；數(shù)據(jù)竊取階段；后期利用階段；社會(huì)工程學(xué)階段；橫向擴(kuò)展階段。由于社會(huì)工程學(xué)攻擊涵蓋的范圍和攻擊手段更加的隱蔽，不是本次網(wǎng)絡(luò)攻擊需要討論的方向，因此，社會(huì)工程學(xué)攻擊不在這里展開。

在信息的收集階段，攻擊者主要通過互聯(lián)網(wǎng)上的網(wǎng)站、外網(wǎng)掛載的資料、論壇等相關(guān)內(nèi)容，分析攻擊目標(biāo)的網(wǎng)絡(luò)結(jié)構(gòu)、單位組織架構(gòu)、供應(yīng)商和客戶群體，服務(wù)提供商等信息。主要是為了獲取大量的信息為后期的網(wǎng)絡(luò)攻擊做準(zhǔn)備。例如：通過某單位的外網(wǎng)域名解析信息，發(fā)現(xiàn)域名解析的地址是內(nèi)網(wǎng)私有地址。雖然這樣的解析方式能夠方便平時(shí)內(nèi)部員工的上網(wǎng)需求，但是在域名解析都轉(zhuǎn)發(fā)給了公網(wǎng)域名服務(wù)器后，內(nèi)網(wǎng)的IP 地址就完全暴露。如果攻擊者攻入內(nèi)網(wǎng)，這個(gè)內(nèi)網(wǎng)的IP 地址就成為橫向擴(kuò)展和掃描的方向和目標(biāo)。另一方面，針對(duì)部署在公網(wǎng)的服務(wù)器和應(yīng)用的信息收集也是非常危險(xiǎn)的。這部分收集主要是查找部署在公網(wǎng)服務(wù)器、防火墻、VPN、郵件網(wǎng)關(guān)等設(shè)備的漏洞。如果存在已知高?；?day 漏洞，那么被黑客入侵成功的可能性也就大大提高。因此，平時(shí)養(yǎng)成良好的工作習(xí)慣，及時(shí)更新部署在公網(wǎng)系統(tǒng)、數(shù)據(jù)庫、web 的漏洞補(bǔ)丁是非常有必要的。

在漏洞利用階段，攻擊者大部分都已經(jīng)發(fā)現(xiàn)了重大的安全隱患，并且已經(jīng)能夠通過利用該安全隱患進(jìn)行相應(yīng)的網(wǎng)絡(luò)攻擊。比如：比較常見的windows 系統(tǒng)安全漏洞MS17-010。如果攻擊者發(fā)現(xiàn)某臺(tái)服務(wù)器上存在這個(gè)安全漏洞，那么就可以直接利用這個(gè)漏洞控制目標(biāo)服務(wù)器，并能在這臺(tái)服務(wù)器上進(jìn)行提權(quán)、數(shù)據(jù)收集、網(wǎng)絡(luò)架構(gòu)分析、密碼獲取等操作。因此，建議能夠在系統(tǒng)部署前期進(jìn)行安全基線檢查和配置，并安裝正版防火墻和殺毒軟件升級(jí)系統(tǒng)補(bǔ)丁。雖然系統(tǒng)層面的漏洞可以通過系統(tǒng)升級(jí)到很好解決，但是比較難以防范的漏洞主要還是SQL 注入和WEB 程序等發(fā)生在應(yīng)用層面上的漏洞。這種情況的漏洞還是建議有條件的公司在應(yīng)用系統(tǒng)部署前進(jìn)行相應(yīng)的代碼審計(jì)或者購買部署WAF 防火墻。

在入侵成功后的數(shù)據(jù)竊取階段，主要是為了獲得網(wǎng)絡(luò)攻擊目標(biāo)的核心數(shù)據(jù)。如果當(dāng)前已經(jīng)攻入目標(biāo)系統(tǒng)，那需要做的可能就是竊取核心數(shù)據(jù)，并下載到本地。如果攻擊的是邊緣系統(tǒng)，很可能下一步就是橫向擴(kuò)展繼續(xù)攻擊，或者建立后門或隧道。針對(duì)橫向擴(kuò)展最為有效的防護(hù)方法就是安裝防火墻和綁定MAC 地址；針對(duì)后門或隧道的攻擊最為有效的防護(hù)方法就是梳理本單位應(yīng)用系統(tǒng)業(yè)務(wù)服務(wù)端口情況和業(yè)務(wù)邏輯流向，并結(jié)合梳理的應(yīng)用系統(tǒng)邏輯架構(gòu)和部署在每個(gè)服務(wù)器上的（防病毒、防網(wǎng)絡(luò)攻擊、防入侵、檢查安全基線的一體化）虛擬防護(hù)平臺(tái)，對(duì)網(wǎng)絡(luò)流量進(jìn)行嚴(yán)格管控。

在后期利用階段，主要是為了隱蔽攻擊者的攻擊過程，并在需要使用的時(shí)候進(jìn)行僵尸服務(wù)器的喚醒，同時(shí)利用僵尸服務(wù)器進(jìn)行其他攻擊。為了應(yīng)對(duì)這個(gè)階段的攻擊，最為有效的防護(hù)方式就是除了在服務(wù)器上安裝正版殺毒、防火墻、虛擬防護(hù)軟件以外，部署全網(wǎng)絡(luò)的日志審計(jì)系統(tǒng)，對(duì)核心網(wǎng)絡(luò)的日志進(jìn)行相應(yīng)的分析，并與防火墻聯(lián)動(dòng)，進(jìn)行異常流量的自動(dòng)阻斷操作。

通過以上網(wǎng)絡(luò)安全攻防的簡(jiǎn)單技術(shù)分析，相信您會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊套路和防護(hù)方法是可防可控的。作為一個(gè)信息化工作的從業(yè)人員，我們有義務(wù)維護(hù)整個(gè)網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，只有加強(qiáng)網(wǎng)絡(luò)安全意識(shí)、提高網(wǎng)絡(luò)防范能力、保護(hù)網(wǎng)絡(luò)安全運(yùn)行、降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，才能讓我們的網(wǎng)絡(luò)更加穩(wěn)定、數(shù)據(jù)更加安全。