常見(jiàn)網(wǎng)絡(luò)攻擊行為案例

常見(jiàn)網(wǎng)絡(luò)攻擊行為案例Top10：預(yù)攻擊行為攻擊案例：某企業(yè)網(wǎng)安人員近期經(jīng)常截獲一些非法數(shù)據(jù)包，這些數(shù)據(jù)包多是一些端口掃描、SATAN掃描或者是IP半途掃描。掃描時(shí)間很短，間隔也很長(zhǎng)，每天掃描1?5次，或者是掃描一次后就不在有任何的動(dòng)作，因此網(wǎng)安人員獲取的數(shù)據(jù)并沒(méi)有太多的參考價(jià)值，攻擊行為并不十分明確。解決方案：如果掃描一次后就銷聲匿跡了，就目前的網(wǎng)絡(luò)設(shè)備和安全防范角度來(lái)說(shuō)，該掃描者并沒(méi)有獲得其所需要的資料，多是一些黑客入門(mén)級(jí)人物在做簡(jiǎn)單練習(xí)；而如果每天都有掃描則說(shuō)明自己的網(wǎng)絡(luò)已經(jīng)被盯上，我們要做的就是盡可能的加固網(wǎng)絡(luò)，同時(shí)反向追蹤掃描地址，如果可能給掃描者一個(gè)警示信息也未嘗不可。鑒于這種攻擊行為并沒(méi)有造成實(shí)質(zhì)性的威脅，它的級(jí)別也是最低的。危害程度：★控制難度：★★綜合評(píng)定：★☆Top9：端口滲透攻擊案例：A公司在全國(guó)很多城市都建立辦事處或分支機(jī)構(gòu)，這些機(jī)構(gòu)與總公司的信息數(shù)據(jù)協(xié)同辦公，這就要求總公司的信息化中心做出VPN或終端服務(wù)這樣的數(shù)據(jù)共享方案，鑒于VPN的成本和難度相對(duì)較高，于是終端服務(wù)成為A公司與眾分支結(jié)構(gòu)的信息橋梁。但是由于技術(shù)人員的疏忽，終端服務(wù)只是采取默認(rèn)的3389端口，于是一段時(shí)間內(nèi)，基于3389的訪問(wèn)大幅增加，這其中不乏惡意端口滲透者。終于有一天終端服務(wù)器失守，Administrator密碼被非法篡改，內(nèi)部數(shù)據(jù)嚴(yán)重流失。解決方案：對(duì)于服務(wù)器我們只需要保證其最基本的功能，這些基本功能并不需要太多的端口做支持，因此一些不必要的端口大可以封掉，Windows我們可以借助于組策略，Linux可以在防火墻上多下點(diǎn)功夫；而一些可以改變的端口，比如終端服務(wù)的3389、Web的80端口，注冊(cè)表或者其他相關(guān)工具都能夠?qū)⑵湓O(shè)置成更為個(gè)性，不易猜解的秘密端口。這樣端口關(guān)閉或者改變了，那些不友好的訪客就像無(wú)頭蒼蠅，自然無(wú)法進(jìn)入。危害程度：★★控制難度：★★綜合評(píng)定：★★Top8：系統(tǒng)漏洞攻擊案例：B企業(yè)網(wǎng)絡(luò)建設(shè)初期經(jīng)過(guò)多次評(píng)審選擇了“imail”作為外網(wǎng)郵箱服務(wù)器，經(jīng)過(guò)長(zhǎng)時(shí)間的運(yùn)行與測(cè)試，imail表現(xiàn)的非常優(yōu)秀。但是好景不長(zhǎng)，一時(shí)間公司內(nèi)擁有郵箱的用戶經(jīng)常收到垃圾郵件，同時(shí)一些核心的資料也在悄然不覺(jué)中流失了。后經(jīng)IT部門(mén)協(xié)同公安部門(mén)聯(lián)合調(diào)查，原來(lái)是負(fù)責(zé)產(chǎn)品研發(fā)的一名工程師跳槽到另一家對(duì)手公司，這個(gè)對(duì)手公司的IT安全人員了解到B企業(yè)使用的imail服務(wù)端，于是群發(fā)攜帶弱加密算法漏洞的垃圾郵件，從而嗅探到關(guān)鍵人員的賬戶、密碼，遠(yuǎn)程竊取核心資料。解決方案：我們知道，軟件設(shè)計(jì)者編輯程序時(shí)不可能想到或做到所有的事情，于是一個(gè)軟件運(yùn)作初期貌似完整、安全，但實(shí)際上會(huì)出現(xiàn)很多無(wú)法預(yù)知的錯(cuò)誤，對(duì)于企業(yè)級(jí)網(wǎng)絡(luò)安全人員來(lái)說(shuō)，避免這些錯(cuò)誤除了重視殺毒軟件和硬件防火墻外，還要經(jīng)常性、周期性的修補(bǔ)軟件、系統(tǒng)、硬件、防火墻等安全系統(tǒng)的補(bǔ)丁，以防止一個(gè)小小的漏洞造成不可挽回的損失。危害程度：★★★控制難度：★★☆綜合評(píng)定：★★☆Top7：密碼破解攻擊案例：某IT人員離職，其所在的新公司領(lǐng)導(dǎo)授意，“想?yún)⒖肌币幌滤郧八诠镜囊恍┥虡I(yè)數(shù)據(jù)。正所謂“近水樓臺(tái)先得月”，由于這名IT人員了解前公司的管理員賬戶和密碼規(guī)則，于是暴力破解開(kāi)始了。首先他生成了67GB的暴力字典，這個(gè)字典囊括了前公司所要求的所有規(guī)則，再找來(lái)一臺(tái)四核服務(wù)器，以每秒破解22,000,000組密碼的速度瘋狂的拆解密碼，N個(gè)晝夜以后，密碼終于告破，那組被“參考”的商業(yè)資料直接導(dǎo)致這名IT人員前公司近百萬(wàn)的損失。解決方案：管理員設(shè)置密碼最重要的一點(diǎn)就是難，舉個(gè)例子：D級(jí)破解（每秒可破解10,000,000組密碼），暴力破解8位普通大小寫(xiě)字母需要62天，數(shù)字+大小寫(xiě)字母要253天，而使用數(shù)字+大小寫(xiě)字母+標(biāo)點(diǎn)則要23年，這只是8位密碼，但是我們覺(jué)得還不夠，我們推薦密碼長(zhǎng)度最少為10位，且為數(shù)字+大小寫(xiě)字母+標(biāo)點(diǎn)的組合，密碼最長(zhǎng)使用期限不要超過(guò)30天，并設(shè)置帳戶鎖定時(shí)間和帳戶鎖定閾值，這個(gè)能很好的保護(hù)密碼安全。危害程度：★★★☆控制難度：★★☆綜合評(píng)定：★★★Top6：系統(tǒng)服務(wù)攻擊案例：C公司W(wǎng)eb網(wǎng)站的某個(gè)鏈接出現(xiàn)了一些異常，這個(gè)鏈接的層數(shù)比較深，短時(shí)間內(nèi)又自行恢復(fù)正常，并沒(méi)有引起用戶和網(wǎng)絡(luò)運(yùn)維人員的太多注意。后來(lái)IIS管理員在日常巡檢時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)有入侵的痕跡，經(jīng)過(guò)多番追蹤，將目光鎖定在系統(tǒng)服務(wù)身上，系統(tǒng)總服務(wù)數(shù)量并沒(méi)有變化，但是一個(gè)早已被禁用的服務(wù)被開(kāi)啟，同時(shí)可執(zhí)行文件的路徑和文件名也正常服務(wù)大相徑庭。不用說(shuō)，1也被入侵，黑客為了能繼續(xù)操作該服務(wù)器，將系統(tǒng)服務(wù)做了手腳，將其指定為其所需的黑客程序。解決方案：對(duì)于這種攻擊有時(shí)我們并不能快速的察覺(jué)，因?yàn)樗](méi)有對(duì)網(wǎng)絡(luò)造成物理或邏輯的傷害，所以我們只能通過(guò)有效的審核工作來(lái)排查系統(tǒng)的異常變化，同時(shí)我們還需要經(jīng)常性為當(dāng)前系統(tǒng)服務(wù)建立一個(gè)批處理文件，一旦出現(xiàn)服務(wù)被篡改，我們又不能快速確定那個(gè)服務(wù)出現(xiàn)故障時(shí)，我們就可以快速的執(zhí)行這個(gè)批處理文件，恢復(fù)到備份前的正常服務(wù)狀態(tài)。危害程度：★★★☆控制難度：★★★綜合評(píng)定：★★★☆Top5：掛馬網(wǎng)站攻擊案例：近一個(gè)星期，IT部門(mén)連續(xù)接到數(shù)個(gè)電話，故障的描述基本一致，都是QQ、MSN等即時(shí)通訊工具的密碼丟失，并且丟失問(wèn)題愈演愈烈，一時(shí)間即時(shí)通訊工具成為眾矢之的，無(wú)人敢用。后經(jīng)IT運(yùn)維小組詳查，這些丟失密碼的用戶都是訪問(wèn)了一個(gè)在線游戲的網(wǎng)站，訪問(wèn)后的8?12個(gè)小時(shí)之后，密碼即被盜。運(yùn)維小組迅速登陸該網(wǎng)站，并在后臺(tái)截獲流轉(zhuǎn)數(shù)據(jù)，果不其然，數(shù)個(gè)木馬隱藏在訪問(wèn)的主頁(yè)之中。解決方案：我們?nèi)缦肴W(wǎng)屏蔽這些網(wǎng)站首先要在服務(wù)器端想辦法，將這些掛馬網(wǎng)站地址放到ISA、NAT、checkpoint等網(wǎng)絡(luò)出口的黑名單中，并且實(shí)時(shí)更新，這是必須進(jìn)行的一項(xiàng)操作；而后呢，再通過(guò)組策略將預(yù)防、查殺木馬的軟件推送到客戶端，即便是遭遇木馬入侵用戶電腦亦能有所防范，這樣可大大減少中木馬的可能性。危害程度：★★★☆控制難度：★★★☆綜合評(píng)定：★★★☆Top4：U盤(pán)濫用攻擊案例：一位在外地出差回來(lái)的同事為我們帶來(lái)了很多土特產(chǎn)，同時(shí)也帶來(lái)了一堆病毒。當(dāng)他把U盤(pán)插到同事的電腦上的時(shí)候，災(zāi)難來(lái)了，U盤(pán)顯示不可用，于是他攜帶U盤(pán)繼續(xù)插到別人的電腦上，依然不可用！再試，再不可用！如果稍有點(diǎn)電腦常識(shí)都會(huì)想到是U盤(pán)中毒了，并感染了其他同事的電腦。但是他卻懷疑同事的U口壞了，就找來(lái)其他U盤(pán)繼續(xù)實(shí)驗(yàn)，結(jié)果這些實(shí)驗(yàn)的U盤(pán)也未能幸免，全部中毒。解決方案：這個(gè)案例應(yīng)該是比較常見(jiàn)的。如今U盤(pán)、移動(dòng)硬盤(pán)等便攜式存儲(chǔ)設(shè)備的價(jià)格越來(lái)越低，只要擁有電腦基本上就會(huì)配備一些這類的設(shè)備，而這些設(shè)備經(jīng)常是家庭、網(wǎng)吧、公司、賓館等多場(chǎng)所使用，病毒傳播的幾率非常大。避免企業(yè)電腦中毒，最好的辦法就是禁用移動(dòng)設(shè)備。如果網(wǎng)內(nèi)有專業(yè)網(wǎng)管軟件自然是最好不過(guò)了，如沒(méi)有我們也可修改“system.adm”文件，然后使用組策略來(lái)對(duì)用戶或者是計(jì)算機(jī)進(jìn)行限制。危害程度：★★★☆控制難度：★★★★☆綜合評(píng)定：★★★★Top3:網(wǎng)絡(luò)監(jiān)聽(tīng)攻擊案例：X物流公司規(guī)模越來(lái)越大，每天流轉(zhuǎn)的貨物也越來(lái)越多，為了方便員工最快的接收和發(fā)送貨物，X公司決定采用無(wú)線網(wǎng)絡(luò)來(lái)覆蓋整個(gè)工廠區(qū)。同時(shí)為了保證信號(hào)的強(qiáng)度，X公司在多個(gè)角度部署了全向和定向天線。如此一來(lái)，無(wú)線網(wǎng)絡(luò)的穩(wěn)定性和覆蓋面大大增加，因?yàn)楦采w面廣也給其競(jìng)爭(zhēng)對(duì)手流下了可乘之機(jī)。Y公司就派人隱匿在X公司的附近，伺機(jī)截取無(wú)線網(wǎng)絡(luò)的密碼，并進(jìn)一步獲得其想知道的其他敏感數(shù)據(jù)。解決方案：類似這樣的監(jiān)聽(tīng)不計(jì)其數(shù)，不僅僅是無(wú)線網(wǎng)絡(luò)，有線網(wǎng)絡(luò)同樣由此困惑。監(jiān)聽(tīng)者有的是為了獲得一些明文的資料，當(dāng)然這些資料的可利用性不是很高；還有的已經(jīng)翻譯出相關(guān)的網(wǎng)絡(luò)密碼，又想獲知更深層的數(shù)據(jù)，于是在進(jìn)出口附近架設(shè)監(jiān)聽(tīng)。預(yù)防這種監(jiān)聽(tīng)我們要將網(wǎng)絡(luò)按照一定規(guī)則劃分成多個(gè)VLAN，將重要電腦予以隔離；然后將網(wǎng)內(nèi)所有的重要數(shù)據(jù)進(jìn)行加密傳輸，即使被惡意監(jiān)聽(tīng)也很難反轉(zhuǎn)成可用信息，再有使用“蜜罐”技術(shù)營(yíng)造出一個(gè)充滿漏洞的偽終端，勾引監(jiān)聽(tīng)者迷失方向，最后我們還需要使用antisniffer工具對(duì)網(wǎng)絡(luò)定期實(shí)施反監(jiān)聽(tīng)，嗅探網(wǎng)絡(luò)中的異常數(shù)據(jù)。危害程度：★★★★控制難度：★★★★★綜合評(píng)定：★★★★☆Top2：DDoS(DistributedDenialofServ)ce攻擊案例：某制造型企業(yè)最近一段時(shí)間網(wǎng)絡(luò)運(yùn)轉(zhuǎn)十分異常，服務(wù)器經(jīng)常性的假死機(jī)，但死機(jī)時(shí)間并不固定。通過(guò)日志和其他分析軟件得知，系統(tǒng)死機(jī)時(shí)待處理任務(wù)中存在大量虛假TCP連接，同時(shí)網(wǎng)絡(luò)中充斥著大量的、無(wú)用的數(shù)據(jù)包，反查源地址卻得知全是不屬于本網(wǎng)的偽裝地址，很明顯這就是DDoS(分布式拒絕服務(wù)攻擊)。解決方案：DDoS相比它的前輩DoS攻擊更有威脅，它是集中控制一大批傀儡機(jī)，在目標(biāo)定位明確后集中某一時(shí)段展開(kāi)統(tǒng)一的、有組織的、大規(guī)模的攻擊行為，直到將目標(biāo)主機(jī)“擊沉”。因此對(duì)于這種攻擊行為，我們首先要在身份上做第一層驗(yàn)證，也就是利用路由器的單播逆向轉(zhuǎn)發(fā)功能檢測(cè)訪問(wèn)者的IP地址是否合法；其次我們要將關(guān)鍵服務(wù)隱藏在一個(gè)獨(dú)立防火墻之后，即便是網(wǎng)絡(luò)其他主機(jī)遭受攻擊，也不會(huì)影響網(wǎng)絡(luò)服務(wù)的運(yùn)轉(zhuǎn)；再次關(guān)閉不必要的端口和服務(wù)，限制SYN/ICMP流量，切斷攻擊線路，降低攻擊等級(jí)；最后我們還要定期掃描網(wǎng)絡(luò)主節(jié)點(diǎn)，盡早發(fā)現(xiàn)問(wèn)題，將攻擊遏制在萌芽之中。危害程度：★★★★☆控制難度：★★★★★綜合評(píng)定：★★★★☆Top1:“內(nèi)鬼式”攻擊攻擊案例：某技術(shù)服務(wù)的工程師對(duì)電腦都很熟悉，經(jīng)常搞些小程序，做點(diǎn)小動(dòng)作，偶爾下載一些新奇的小軟件，他們這些行為本身并沒(méi)有實(shí)質(zhì)性的破壞能力，但殊不知這卻給別人做了嫁衣。有的軟件已經(jīng)被黑客做了手腳，運(yùn)行軟件的同時(shí)也開(kāi)啟了黑客程序，這就好比架設(shè)了一條內(nèi)、外網(wǎng)的便捷通道，黑客朋友可以很容易的侵入內(nèi)部網(wǎng)絡(luò)，拷貝點(diǎn)數(shù)據(jù)簡(jiǎn)直是易如反掌。對(duì)于這種行