蔣巍 王楊 齊景嘉 張明輝 艾何潔

摘 要：針對黑客掃描服務(wù)器系統(tǒng)和軟硬件架構(gòu)收集相關(guān)信息，利用收集的信息尋找漏洞獲取權(quán)限，達(dá)到竊取或者破壞的目的，并掩蓋蹤跡留下后門攻擊流程，總結(jié)了在與黑客對抗過程中，針對黑客滲透思維的Web服務(wù)安全防護(hù)策略，制定了一整套常用防范措施以保障服務(wù)器安全運(yùn)行。

關(guān)鍵詞：黑客；滲透思維；服務(wù)器；安全

中圖分類號：TP3-05 文獻(xiàn)標(biāo)識碼：A

1 引言

真正的計(jì)算機(jī)網(wǎng)絡(luò)安全專家總是在思考怎么樣能“滲透”系統(tǒng)。無論碰到什么系統(tǒng)，他們總是想到如何入侵。只有像黑客一樣看系統(tǒng)，你才會(huì)更好地找出系統(tǒng)弱點(diǎn)，進(jìn)行抵抗。在計(jì)算機(jī)網(wǎng)絡(luò)安全方面，維護(hù)者需要具有攻擊者的思維，才能有效抵御來自攻擊者的攻擊，維護(hù)系統(tǒng)安全，有的放矢才能事半功倍。

2 黑客攻擊的手段

預(yù)攻擊探測：預(yù)攻擊探測主要包括主機(jī)掃描、網(wǎng)絡(luò)結(jié)構(gòu)發(fā)現(xiàn)、端口和服務(wù)掃描、操作系統(tǒng)識別、資源和用戶信息掃描等。主要通過一些掃描工具來騙過系統(tǒng)的防火墻訪問一些端口協(xié)議來獲取用戶的信息。如IP地址范圍、DNS服務(wù)器地址和郵件服務(wù)器地址等。

掃描查點(diǎn)漏洞利用：通過預(yù)攻擊探測，進(jìn)一步掃描查點(diǎn)確定操作系統(tǒng)或軟件平臺版本，搜索特定系統(tǒng)上用戶和用戶組名、路由表、SNMP信息、共享資源、服務(wù)程序及旗標(biāo)等信息，可以有針對性地進(jìn)行包括口令破解、IPC漏洞、緩沖區(qū)溢出、IIS漏洞、綜合漏洞掃描等。如掃描發(fā)現(xiàn)有某個(gè)Web服務(wù)平臺有可利用的上傳漏洞，通過漏洞利用工具就有可能上傳木馬到服務(wù)器上，可以進(jìn)一步提權(quán)控制服務(wù)器。

獲取訪問權(quán)限：在網(wǎng)站入侵過程中，當(dāng)入侵某一網(wǎng)站時(shí)，通過各種漏洞提升Webshell權(quán)限以奪得該服務(wù)器權(quán)限，如net user命令提權(quán)；緩沖區(qū)溢出提權(quán)。進(jìn)而對數(shù)據(jù)和服務(wù)資源進(jìn)行利用或破壞。如果沒辦法有獲取權(quán)限，可以采用拒絕服務(wù)攻擊破壞網(wǎng)站的服務(wù)功能。

拒絕服務(wù)攻擊：即DoS，Denial of Service的縮寫，只要能夠?qū)δ繕?biāo)造成麻煩，使某些服務(wù)被暫停甚至主機(jī)死機(jī)，都屬于拒絕服務(wù)攻擊。該攻擊能夠?qū)崿F(xiàn)迫使服務(wù)器的緩沖區(qū)滿，不接收新的請求；使用IP欺騙，使服務(wù)器把合法用戶的連接復(fù)位，影響合法的用戶連接。

權(quán)限提升：試圖成為Administrator/root超級用戶，進(jìn)而控制整個(gè)平臺或操作系統(tǒng)。

竊取修改破壞：黑客獲取到平臺或服務(wù)器權(quán)限后可能會(huì)改變、添加、刪除及復(fù)制用戶數(shù)據(jù)，也可能利用服務(wù)資源。如掛載博彩網(wǎng)站獲取點(diǎn)擊率，安裝挖礦軟件獲取比特幣，掩蓋行蹤后做為“肉雞”使用。

掩蓋行蹤：黑客入侵系統(tǒng)，必然會(huì)留下痕跡。他們需要做的首要工作就是掩蓋清除入侵痕跡。只有避免自己被發(fā)現(xiàn)或檢測出來，才能夠隨時(shí)返回被入侵系統(tǒng)。掩蓋蹤跡需要清空事件日志、禁止系統(tǒng)審計(jì)、隱藏作案工具及使用Rootkit的工具組等方式替換操作系統(tǒng)那些常用的命令。

創(chuàng)建后門：黑客入侵系統(tǒng)后，為了能夠隨時(shí)返回被入侵系統(tǒng)，會(huì)創(chuàng)建一些后門及陷阱，以便卷土重來，可以以特權(quán)用戶的身份等方式控制整個(gè)系統(tǒng)。創(chuàng)建后門的常見方法有創(chuàng)建虛假用戶賬號使其具有特殊用戶權(quán)限、安裝批處理、安裝遠(yuǎn)程控制工具、木馬程序替換系統(tǒng)程序、感染啟動(dòng)文件及安裝監(jiān)控機(jī)制等。

3 Web服務(wù)安全防護(hù)策略

防止黑客攻擊技術(shù)分為主動(dòng)防范技術(shù)與被動(dòng)防范技術(shù)兩類。

主動(dòng)防范技術(shù)主要包括入侵檢測技術(shù)、數(shù)字簽名技術(shù)、黑客攻擊事件響應(yīng)自動(dòng)報(bào)警、阻塞和反擊技術(shù)、服務(wù)器上關(guān)鍵文件的抗毀技術(shù)、設(shè)置陷阱網(wǎng)絡(luò)技術(shù)、黑客入侵取證技術(shù)等。被動(dòng)防范技術(shù)主要包括防火墻技術(shù)、查殺病毒技術(shù)、分級限權(quán)技術(shù)、網(wǎng)絡(luò)隱患掃描技術(shù)、重要數(shù)據(jù)加密技術(shù)、數(shù)據(jù)備份冗災(zāi)和數(shù)據(jù)備份恢復(fù)技術(shù)等。

應(yīng)該首先分析所管理的安全設(shè)備的功能及安全級別需求，在不同的網(wǎng)絡(luò)環(huán)境下，給網(wǎng)絡(luò)設(shè)備配備不同的安全策略，應(yīng)用不同的安全技術(shù)。

3.1 防踩點(diǎn)、防掃描、防信息收集及獲取訪問權(quán)限

（1）提高安全意識防止管理員個(gè)人信息和開發(fā)人員信息泄露。隨著云計(jì)算、物聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)等新一代信息技術(shù)的飛速發(fā)展，黑客通過數(shù)據(jù)采集大數(shù)據(jù)分析，直接被破解密碼、漏洞利用的可能性增加。如開發(fā)人員開發(fā)的類似軟件漏洞直接被利用，管理員的生日、電話和常用密碼等信息被添加到密碼字典中暴力破解。

（2）開啟第三方安全設(shè)備。打開防火墻過濾掉 ICMP 應(yīng)答消息，禁 PING，過濾入站的 DNS 更新，關(guān)閉不需要的端口，加強(qiáng)訪問控制隔離網(wǎng)絡(luò)，限制協(xié)議使用，限制用戶的過度特權(quán)；配制IDS入侵檢測設(shè)備識別異常和流氓訪問模式。

（3）升級最新系統(tǒng)和軟件補(bǔ)丁防止漏洞被掃描利用。

3.2 防拒絕服務(wù)攻擊、ARP攻擊、CC攻擊

適當(dāng)配置防火墻設(shè)備或過濾路由器的過濾規(guī)則就可以防止這種攻擊行為（一般是丟棄該數(shù)據(jù)包），提高抗擁塞能力增加出口帶寬容量，對這種攻擊進(jìn)行審計(jì)，記錄事件發(fā)生的時(shí)間，源主機(jī)和目標(biāo)主機(jī)的MAC地址和IP地址等。

3.3 防注入、防上傳木馬、防提權(quán)

（1）禁止system訪問CMD.exe。

（2）刪除、移動(dòng)、更名控制關(guān)鍵系統(tǒng)文件、命令及文件夾。

（3）開啟殺毒軟件監(jiān)控進(jìn)程、數(shù)據(jù)包、用戶和文件變化。

（4）開啟第三方安全設(shè)備，配制IDS入侵檢測設(shè)備監(jiān)控惡意代碼攻擊，使用堡壘機(jī)、域服務(wù)器管理用戶。

3.4 防數(shù)據(jù)竊取、防修改、防破壞、防資源利用

（1）數(shù)據(jù)加密。采用對稱加密技術(shù)、非對稱加密技術(shù)等加密方法對數(shù)據(jù)在行加密。

（2）安全隔離。實(shí)現(xiàn)數(shù)據(jù)的不同安全級別隔離技術(shù)，完全隔離、數(shù)據(jù)轉(zhuǎn)播過程隔離、安全通道隔離、在網(wǎng)絡(luò)內(nèi)部信息安全交換等。

（3）數(shù)據(jù)備份恢復(fù)容災(zāi)，有不同級別的備份策略。系統(tǒng)級別、服務(wù)應(yīng)用級別、數(shù)據(jù)級別的重要時(shí)段備份；防止備份信息存在病毒，也利于進(jìn)行數(shù)據(jù)差異化分析。

（4）開啟第三方安全設(shè)備，配制網(wǎng)站防篡改設(shè)備，自動(dòng)禁止對Web服務(wù)器保護(hù)目錄下文件或文件夾的各種篡改，篡改的網(wǎng)頁自動(dòng)恢復(fù)。

3.5 防掩蓋蹤跡

電子證據(jù)應(yīng)注意提取的兩個(gè)重點(diǎn)方面：（1）服務(wù)器和網(wǎng)站日志、用戶文件、最近訪問記錄、瀏覽器記錄、恢復(fù)刪除數(shù)據(jù)；（2）開啟第三方安全設(shè)備，配制日志服務(wù)器。

3.6 防創(chuàng)建后門

（1）升級最新病毒庫，木馬病毒掃描。

（2）查看系統(tǒng)進(jìn)程、啟動(dòng)項(xiàng)、default-后面是否有可疑信息、建立連接的IP地址。

（3）限制主動(dòng)訪問外網(wǎng)功能。

在實(shí)際服務(wù)器安全管理中要掌握幾個(gè)原則：

（1）開放和使用最少的服務(wù)和功能，實(shí)現(xiàn)最大的安全；

（2）所有的探測、訪問、登錄和系統(tǒng)功能使用盡量高復(fù)雜度；

（3）做多手準(zhǔn)備，數(shù)據(jù)備份、系統(tǒng)備份、系統(tǒng)服務(wù)冗災(zāi)、主機(jī)冷備熱備、制作靜態(tài)網(wǎng)頁或故障提示網(wǎng)頁并在發(fā)現(xiàn)問題第一時(shí)間使用；

（4）尋求更高技術(shù)支持、尋求法律支持使黑客攻擊成本增加，盡量使黑客不能做、不愿意做、不敢做。

4 結(jié)束語

眾所周知，黑客的攻擊技術(shù)方法在不斷更新，安全漏洞不斷被披露，軟件漏洞、系統(tǒng)漏洞、平臺漏洞甚至于硬件驅(qū)動(dòng)漏洞每年都有，沒有一套方案是絕對安全的。對用戶來說主要是全方位提高安全意識，不斷的學(xué)習(xí)和提高，增強(qiáng)安全方面知識，努力彌補(bǔ)安全短板，做好防范工作，在平時(shí)的使用和維護(hù)過程中不斷完善服務(wù)器的安全性能，不斷提高與黑客的對抗能力。

參考文獻(xiàn)

[1] 李鑫，李京春，鄭雪峰，張友春，王少杰.一種基于層次分析法的信息系統(tǒng)漏洞量化評估方法[J].計(jì)算機(jī)科學(xué)，2012（07）.

[2] 余前帆.大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)空間安全問題的思考[J].網(wǎng)絡(luò)空間安全，2017（ Z1）.

[3] 張輝.一種基于網(wǎng)絡(luò)驅(qū)動(dòng)的Windows防火墻設(shè)計(jì)[J].網(wǎng)絡(luò)空間安全， 2017（Z5）.

[4] 蔡佳曄，張紅旗，高坤.基于Sibson距離的OpenFlow網(wǎng)絡(luò)DDoS攻擊檢測方法研究[J].計(jì)算機(jī)應(yīng)用研究， 2018（06）.

[5] 凱比努爾·賽地艾合買提.網(wǎng)絡(luò)空間安全研究亟待解決的關(guān)鍵問題[J].網(wǎng)絡(luò)空間安全，2016 （Z1）.