針對黑客滲透思維制定Web服務安全防護策略

蔣巍 王楊 齊景嘉 張明輝 艾何潔

摘 要：針對黑客掃描服務器系統和軟硬件架構收集相關信息，利用收集的信息尋找漏洞獲取權限，達到竊取或者破壞的目的，并掩蓋蹤跡留下后門攻擊流程，總結了在與黑客對抗過程中，針對黑客滲透思維的Web服務安全防護策略，制定了一整套常用防范措施以保障服務器安全運行。

關鍵詞：黑客；滲透思維；服務器；安全

中圖分類號：TP3-05 文獻標識碼：A

1 引言

真正的計算機網絡安全專家總是在思考怎么樣能“滲透”系統。無論碰到什么系統，他們總是想到如何入侵。只有像黑客一樣看系統，你才會更好地找出系統弱點，進行抵抗。在計算機網絡安全方面，維護者需要具有攻擊者的思維，才能有效抵御來自攻擊者的攻擊，維護系統安全，有的放矢才能事半功倍。

2 黑客攻擊的手段

預攻擊探測：預攻擊探測主要包括主機掃描、網絡結構發現、端口和服務掃描、操作系統識別、資源和用戶信息掃描等。主要通過一些掃描工具來騙過系統的防火墻訪問一些端口協議來獲取用戶的信息。如IP地址范圍、DNS服務器地址和郵件服務器地址等。

掃描查點漏洞利用：通過預攻擊探測，進一步掃描查點確定操作系統或軟件平臺版本，搜索特定系統上用戶和用戶組名、路由表、SNMP信息、共享資源、服務程序及旗標等信息，可以有針對性地進行包括口令破解、IPC漏洞、緩沖區溢出、IIS漏洞、綜合漏洞掃描等。如掃描發現有某個Web服務平臺有可利用的上傳漏洞，通過漏洞利用工具就有可能上傳木馬到服務器上，可以進一步提權控制服務器。

獲取訪問權限：在網站入侵過程中，當入侵某一網站時，通過各種漏洞提升Webshell權限以奪得該服務器權限，如net user命令提權；緩沖區溢出提權。進而對數據和服務資源進行利用或破壞。如果沒辦法有獲取權限，可以采用拒絕服務攻擊破壞網站的服務功能。

拒絕服務攻擊：即DoS，Denial of Service的縮寫，只要能夠對目標造成麻煩，使某些服務被暫停甚至主機死機，都屬于拒絕服務攻擊。該攻擊能夠實現迫使服務器的緩沖區滿，不接收新的請求；使用IP欺騙，使服務器把合法用戶的連接復位，影響合法的用戶連接。

權限提升：試圖成為Administrator/root超級用戶，進而控制整個平臺或操作系統。

竊取修改破壞：黑客獲取到平臺或服務器權限后可能會改變、添加、刪除及復制用戶數據，也可能利用服務資源。如掛載博彩網站獲取點擊率，安裝挖礦軟件獲取比特幣，掩蓋行蹤后做為“肉雞”使用。

掩蓋行蹤：黑客入侵系統，必然會留下痕跡。他們需要做的首要工作就是掩蓋清除入侵痕跡。只有避免自己被發現或檢測出來，才能夠隨時返回被入侵系統。掩蓋蹤跡需要清空事件日志、禁止系統審計、隱藏作案工具及使用Rootkit的工具組等方式替換操作系統那些常用的命令。

創建后門：黑客入侵系統后，為了能夠隨時返回被入侵系統，會創建一些后門及陷阱，以便卷土重來，可以以特權用戶的身份等方式控制整個系統。創建后門的常見方法有創建虛假用戶賬號使其具有特殊用戶權限、安裝批處理、安裝遠程控制工具、木馬程序替換系統程序、感染啟動文件及安裝監控機制等。

3 Web服務安全防護策略

防止黑客攻擊技術分為主動防范技術與被動防范技術兩類。

主動防范技術主要包括入侵檢測技術、數字簽名技術、黑客攻擊事件響應自動報警、阻塞和反擊技術、服務器上關鍵文件的抗毀技術、設置陷阱網絡技術、黑客入侵取證技術等。被動防范技術主要包括防火墻技術、查殺病毒技術、分級限權技術、網絡隱患掃描技術、重要數據加密技術、數據備份冗災和數據備份恢復技術等。

應該首先分析所管理的安全設備的功能及安全級別需求，在不同的網絡環境下，給網絡設備配備不同的安全策略，應用不同的安全技術。

3.1 防踩點、防掃描、防信息收集及獲取訪問權限

（1）提高安全意識防止管理員個人信息和開發人員信息泄露。隨著云計算、物聯網和移動互聯網等新一代信息技術的飛速發展，黑客通過數據采集大數據分析，直接被破解密碼、漏洞利用的可能性增加。如開發人員開發的類似軟件漏洞直接被利用，管理員的生日、電話和常用密碼等信息被添加到密碼字典中暴力破解。

（2）開啟第三方安全設備。打開防火墻過濾掉 ICMP 應答消息，禁 PING，過濾入站的 DNS 更新，關閉不需要的端口，加強訪問控制隔離網絡，限制協議使用，限制用戶的過度特權；配制IDS入侵檢測設備識別異常和流氓訪問模式。

（3）升級最新系統和軟件補丁防止漏洞被掃描利用。

3.2 防拒絕服務攻擊、ARP攻擊、CC攻擊

適當配置防火墻設備或過濾路由器的過濾規則就可以防止這種攻擊行為（一般是丟棄該數據包），提高抗擁塞能力增加出口帶寬容量，對這種攻擊進行審計，記錄事件發生的時間，源主機和目標主機的MAC地址和IP地址等。

3.3 防注入、防上傳木馬、防提權

（1）禁止system訪問CMD.exe。

（2）刪除、移動、更名控制關鍵系統文件、命令及文件夾。

（3）開啟殺毒軟件監控進程、數據包、用戶和文件變化。

（4）開啟第三方安全設備，配制IDS入侵檢測設備監控惡意代碼攻擊，使用堡壘機、域服務器管理用戶。

3.4 防數據竊取、防修改、防破壞、防資源利用

（1）數據加密。采用對稱加密技術、非對稱加密技術等加密方法對數據在行加密。

（2）安全隔離。實現數據的不同安全級別隔離技術，完全隔離、數據轉播過程隔離、安全通道隔離、在網絡內部信息安全交換等。

（3）數據備份恢復容災，有不同級別的備份策略。系統級別、服務應用級別、數據級別的重要時段備份；防止備份信息存在病毒，也利于進行數據差異化分析。

（4）開啟第三方安全設備，配制網站防篡改設備，自動禁止對Web服務器保護目錄下文件或文件夾的各種篡改，篡改的網頁自動恢復。

3.5 防掩蓋蹤跡

電子證據應注意提取的兩個重點方面：（1）服務器和網站日志、用戶文件、最近訪問記錄、瀏覽器記錄、恢復刪除數據；（2）開啟第三方安全設備，配制日志服務器。

3.6 防創建后門

（1）升級最新病毒庫，木馬病毒掃描。

（2）查看系統進程、啟動項、default-后面是否有可疑信息、建立連接的IP地址。

（3）限制主動訪問外網功能。

在實際服務器安全管理中要掌握幾個原則：

（1）開放和使用最少的服務和功能，實現最大的安全；

（2）所有的探測、訪問、登錄和系統功能使用盡量高復雜度；

（3）做多手準備，數據備份、系統備份、系統服務冗災、主機冷備熱備、制作靜態網頁或故障提示網頁并在發現問題第一時間使用；

（4）尋求更高技術支持、尋求法律支持使黑客攻擊成本增加，盡量使黑客不能做、不愿意做、不敢做。

4 結束語

眾所周知，黑客的攻擊技術方法在不斷更新，安全漏洞不斷被披露，軟件漏洞、系統漏洞、平臺漏洞甚至于硬件驅動漏洞每年都有，沒有一套方案是絕對安全的。對用戶來說主要是全方位提高安全意識，不斷的學習和提高，增強安全方面知識，努力彌補安全短板，做好防范工作，在平時的使用和維護過程中不斷完善服務器的安全性能，不斷提高與黑客的對抗能力。

參考文獻

[1] 李鑫，李京春，鄭雪峰，張友春，王少杰.一種基于層次分析法的信息系統漏洞量化評估方法[J].計算機科學，2012（07）.

[2] 余前帆.大數據時代網絡空間安全問題的思考[J].網絡空間安全，2017（ Z1）.

[3] 張輝.一種基于網絡驅動的Windows防火墻設計[J].網絡空間安全， 2017（Z5）.

[4] 蔡佳曄，張紅旗，高坤.基于Sibson距離的OpenFlow網絡DDoS攻擊檢測方法研究[J].計算機應用研究， 2018（06）.

[5] 凱比努爾·賽地艾合買提.網絡空間安全研究亟待解決的關鍵問題[J].網絡空間安全，2016 （Z1）.