淘先锋技术网

首页 1 2 3 4 5 6 7

转自微信公众号:计算机与网络安全

01 传统网络安全攻防体系
黑客发起一次完整的网络攻击一般包含:目标锁定、信息采集、漏洞分析、攻击执行、权限提升、目标控制等步骤。
(1)目标锁定
发起攻击的第一步就是确定一个目标,要确定本次攻击的可行性,明确这次攻击的目的和意义,而不是盲目发起攻击,既要知道自己发起攻击是为了什么,又要知道自己发起攻击的后果是什么,要通过攻击得到什么效果。在锁定目标、明确目的后,进入攻击的下一步骤。
(2)信息采集
古代战争讲究兵法,要出奇制胜,现代网络攻击也是如此,长时间的攻击能让对手有准备、应对的时间,降低了攻击成功的可能性,也增加了自己暴露的可能性,然而要缩短攻击的时间,就是要依靠攻击前的充分准备。知己知彼,方能百战不殆。充分地了解目标的状态,收集对方信息,是发动攻击前要做的必备工作,是攻击能否成功的关键所在。
黑客在发动攻击前首先会了解服务器操作系统、目标位置、开放端口、管理员身份和喜好等各种信息。因此,信息收集方法的好坏决定了其效率的高低和信息质量的好坏,下面介绍几款常用的信息收集工具。
① SNMP协议:简单网络管理协议,管理网络的协议可以被用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节。
② TraceRoute程序:网络链路测试的工具,可以明细到目标每一跳的路径。
③ Whois协议:该协议的服务信息能提供所有有关的DNS域和相关的管理参数。
④ DNS服务器:该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。
⑤ Finger协议:用户信息协议,用来获取一个指定主机上的所有用户的详细信息(如注册名、电话号码、最后注册时间以及他们有没有读邮件等)。
⑥ Ping:测试与目标站点的连通性。
(3)漏洞分析
当完成一定量的信息收集后,黑客开始使用一些常规的入侵检测软件分析目标系统存在的安全漏洞,实施入侵攻击。一般的入侵检测软件可分为以下两大类。
1)自编入侵程序
对于大量的需要联网的应用程序,其中时不时有产品发生安全问题,黑客利用那些自己发现的 0Day 安全漏洞,或是已经发布了补丁但是系统管理员没有及时更新的安全漏洞,将其利用方法写成程序、脚本的形式,自动地搜索目标服务器的每个角落、每个目录,一旦有一条对应成功,就意味着入侵成功的希望。
2)利用专业工具
Internet安全扫描程序(ISS,Intemet Security Scanner)、网络安全审计分析工具(SATAN,Securi Ana1ysis Tool for Auditing Network)等专业安全工具,可以对整个网络或子网进行扫描,寻找安全漏洞。这些专业工具具有两面性,管理员利用工具可检查网络的安全性,并加以加固,而黑客利用这些工具,则可成为其入侵的垫脚石。
(4)攻击执行
在成功找到目标机器的漏洞后,黑客可以通过这一软肋进行越权访问,在目标机器上执行命令。为了长时间获得对其的控制权限和扩大其战果,一般黑客会做出以下行为。
① 清除自身的访问记录,删除日志文件中记录自己行为的部分,使自己更难被发现,并隐藏自己入侵的手段,若黑客是用0Day漏洞进行入侵,则会对此更加重视。
② 在目标系统中植入木马、后门程序等文件,便于黑客对目标机器的控制,也利于其通过该机器收集更多更有用的信息,如用户的身份信息,各种账号和密码信息。
③ 可以借助目标机器,进入其内部网络,可以是学校的内网、公司的内网,甚至是军用内部网络,第一台被黑客控制的电脑即为其跳板,为其实现内网漫游的提供入口。
(5)权限提升
一个安全的系统,通常会有严格的权限控制,对于不同的应用,管理员会设置不同的权限,有的只能读,有的有读写权限,有的有执行权限,只有安全可信且不得不赋予最高权限时,才会给予Root权限。黑客在通过扫描到的漏洞,获得访问权限后,往往还需要获取更多的权限才能进行下一步操作,如进入到Root权限或取得文件执行权限等,此时就需要提权。

提权需要利用操作系统的相关漏洞,大部分情况下,黑客只能利用已知的公开漏洞,趁着管理员没有及时打上补丁,而使用相应工具、脚本完成漏洞利用,只有高级黑客,有自己挖掘操作系统 0Day 漏洞的能力,一旦找到一个这样的漏洞,只要没被人发现,就可以一劳永逸地利用这一点进行对这一系列操作系统的提权。
(6)目标控制
黑客对目标系统成功实施攻击并获得相应权限后,通过非法安装部署恶意代码和木马程序等途径,最终可以控制目标系统,并在特定的触发条件下,如系统时间、运行事件、数据分组收发等,成功截获目标系统信息、实施恶意破坏等,达成攻击目标。
随着网络攻击技术和形式的多样化发展,尤其是高级持续性威胁 APT 等攻击模式的出现,由防火墙、病毒防治、入侵检测等安全技术支撑的传统被动式防御体系也正在向安全态势感知、安全行为检测和智能阻断隔离等先进的主动防御体系演进。另外,大数据、云服务、人工智能 2.0 等新技术的出现在引发新的安全问题的同时,也开始作为支撑技术构建新一代安全防御体系。
02 网络空间安全实战技能
“未知攻,焉知防”,为了快速理解掌握网络空间安全防御技术,必须系统地了解网络空间安全的实战技能。为了防范黑客攻击,我们首先要了解黑客的行为,重现黑客技术,才能跟上其步伐,化解其手段,白帽子就是这么一群人,他们学习了解黑客技术,运用黑客技术,对存在漏洞的系统进行扫描并修补漏洞,及时部署防御机制,编写安全产品,抵挡来自黑客的攻击。白帽子的学习和成长,也需要大量的动手实践操作,但是根据《中华人民共和国网络安全法》有关规定,任何未经授权的渗透测试都是违法行为。

因此,以学习为目的的白帽子们自己搭建靶机做渗透实验,并在互相知晓的情况下友好渗透测试,为了体现技术和激发更多新人的学习兴趣,近年来在全世界范围内开展了可控范围的模拟入侵赛事,称为夺旗赛(CTF,Capture the Flag)。现在CTF比赛已经发展得越来越完善,并且增加了各种有趣的题型,对应真实渗透、入侵、对抗过程中的各个知识点,是网络空间安全实战技能的练习平台。

从网络空间安全实战的角度,至少应学习如下几方面的具体技能。
(1)社会工程学
这不只是一门简单的信息搜集的学问。黑客利用人性的脆弱,往往能通过专业的社工知识,完成很多编程所不能完成的任务。社会工程学无论在单一目标的入侵,还是大数据分析后的大面积入侵中都起着至关重要的作用,对单一目标针对性的信息收集,获取的信息组合成密码字典,其可行性往往比网上流传的通用密码字典更高。
(2)密码学
现在网络中几乎全部数据都依赖加密来实现秘密传输。安全的密码环境,除了使用安全的加密算法,更要采用正确的算法配置,随着计算机硬件的急速发展,许多安全的密码算法也逐渐被高性能计算能力所击溃,同时新的破解算法也与日俱增,其破解效率日新月异。对加密算法发起挑战,了解加密、了解破解,也是白帽子知己知彼的重要途径。
(3)网络嗅探与分析
针对典型的网络协议攻击,如 IP 欺诈、ARP 欺诈、中间人攻击等,从理论上讲均可通过网络嗅探分析及时地发现网络攻击行为。因此,网络嗅探与分析是网络空间安全实战的必备技能,尤其是Wi-Fi、无线蓝牙、RFID和ZigBee传感器、物联网等网络通信技术的普及,灵活掌握各种网络协议的嗅探分析与应用,无疑成为网络安全高手的一门必杀技。
(4)数据隐写
隐藏信息只有信息的接收方能看到,不同于密码学的是,隐写术更注重把信息隐藏到常见介质中,该介质常见、容易传递却不引人注意。现实中常常有犯罪团伙利用隐写术秘密传递消息,为了与其对抗,于是出现了隐写分析。任何信息均可通过隐写术将其隐藏在文件结构、图片像素、音频声道中等,其新式丰富新颖,也是网络空间信息对抗共同发展的写照。
(5)逆向软件工程
逆向分析是一名优秀网络安全工程师必须掌握的技巧,通过对给定可执行文件的逆向分析,可以得到源代码,再通过对代码的分析,可进一步获得隐藏在其中的重要信息。在现实对抗中,黑客常常利用病毒、木马入侵、破坏目标系统,而白帽子则需要对二进制的可执行文件病毒、木马程序进行逆向分析,了解其究竟修改了哪些文件,造成了什么破坏,然后再对造成的破坏进行修复,把病毒释放的后门程序删除,最后编写对此种病毒的识别规则,加入到杀毒软件的病毒库,在用户运行前发现病毒,从而有效阻止运行。通过逆向分析也可以从木马、病毒文件中发现作者黑客的个人信息,进行追踪,将其绳之以法。另一方面,黑客为了防止自己软件被逆向破解,也常用到加壳、免杀等混淆技术,这使逆向工程技术在黑白对抗的过程中不断演进。
(6)二进制代码分析
在对某款网络通信软件进行逆向,成功获得其源代码后,通过审计其源代码,发现了代码中的漏洞,利用代码中的危险函数,网络数据可以使栈溢出,覆盖了函数返回地址等方法,可以让服务器远程执行自己的代码。通常这一类攻击非常困难,需要的知识也接近底层,但是其危害也巨大,现在用到网络通信的程序非常之多,只要机器上有一款程序出现漏洞,其安全性岌岌可危。同样,只要有一款软件发现二进制溢出漏洞,就会有大量计算机出现被入侵的风险。黑客可利用该技术实现入侵,白帽则通过扫描该漏洞及时修复,这是一场时间与智慧的较量。
(7)系统与应用安全
操作系统的安全是永恒的主题,也是真正实现自主可控安全的一项核心技术。系统没有绝对的安全,任何一款操作系统都有可能存在安全漏洞,尤其是针对Android等开放的智能终端系统,对一切形式的系统安全实践能力将变得至关重要。另外,因为Web应用和移动互联网的普及性,使Web应用安全在现实攻防中占据重要地位,数据库注入、跨站攻击、渗透攻击、应用代码审计等技能也成为安全防御的必备知识。
(8)云服务和大数据安全
网络空间安全较传统的网络安全或信息安全问题变得更为复杂,异构的网络空间信息系统,如智慧城市、物联网等复杂大系统在运行过程中,往往面临海量数据、多源结构、多维攻击、动态演变、持续威胁等新问题,这对网络空间安全的防御也提出了新的要求。在分析掌握云服务和大数据等新型架构自身安全问题的基础上,利用云服务和大数据构建安全能力服务,如网络安全态势感知、数据安全加密服务、云WAF和云DDoS防御等,将成为实战网络空间安全的新技能。