淺談網絡安全攻防技術

賀軍 漢江水利水電（集團）有限責任公司網信中心

習近平主席在《中央網絡安全和信息化領導小組第一次會議上的講話》中指出：“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。”可以看出國家對網絡安全的高度重視。那什么是網絡安全？絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。

當前信息化技術日新月異，各種硬件、軟件成出不窮，各種應用系統也在我們的工作和生活中發揮了巨大的作用。比如：在平時辦公中使用比較多的ERP 系統、OA 系統等大型應用；在平時生活中使用比較多的某寶、某信等社交軟件。這些應用系統后端都是由各種硬件、軟件組成。如果受害者在平時的工作和生活中安全意識不高，那么被黑客利用或遭受網絡攻擊的風險就會加大。這樣的網絡攻擊會因為受害者接觸到的數據重要性的高低而產生不同的危害。如果受害者是一位高級管理人員，那么勢必會對你的工作和生活帶來極大的危害。

俗話說：“知己知彼，百戰不殆”。為了提高網絡安全意識，降低硬件、軟件的安全風險。我們有必要了解黑客進行網絡攻擊的全過程。筆者根據多年進行網絡攻防的工作經驗和相關資料的學習發現，攻擊者在確定網絡攻擊目標后，大部分都有以下幾個攻擊階段：信息的收集階段；漏洞利用階段；數據竊取階段；后期利用階段；社會工程學階段；橫向擴展階段。由于社會工程學攻擊涵蓋的范圍和攻擊手段更加的隱蔽，不是本次網絡攻擊需要討論的方向，因此，社會工程學攻擊不在這里展開。

在信息的收集階段，攻擊者主要通過互聯網上的網站、外網掛載的資料、論壇等相關內容，分析攻擊目標的網絡結構、單位組織架構、供應商和客戶群體，服務提供商等信息。主要是為了獲取大量的信息為后期的網絡攻擊做準備。例如：通過某單位的外網域名解析信息，發現域名解析的地址是內網私有地址。雖然這樣的解析方式能夠方便平時內部員工的上網需求，但是在域名解析都轉發給了公網域名服務器后，內網的IP 地址就完全暴露。如果攻擊者攻入內網，這個內網的IP 地址就成為橫向擴展和掃描的方向和目標。另一方面，針對部署在公網的服務器和應用的信息收集也是非常危險的。這部分收集主要是查找部署在公網服務器、防火墻、VPN、郵件網關等設備的漏洞。如果存在已知高危或0day 漏洞，那么被黑客入侵成功的可能性也就大大提高。因此，平時養成良好的工作習慣，及時更新部署在公網系統、數據庫、web 的漏洞補丁是非常有必要的。

在漏洞利用階段，攻擊者大部分都已經發現了重大的安全隱患，并且已經能夠通過利用該安全隱患進行相應的網絡攻擊。比如：比較常見的windows 系統安全漏洞MS17-010。如果攻擊者發現某臺服務器上存在這個安全漏洞，那么就可以直接利用這個漏洞控制目標服務器，并能在這臺服務器上進行提權、數據收集、網絡架構分析、密碼獲取等操作。因此，建議能夠在系統部署前期進行安全基線檢查和配置，并安裝正版防火墻和殺毒軟件升級系統補丁。雖然系統層面的漏洞可以通過系統升級到很好解決，但是比較難以防范的漏洞主要還是SQL 注入和WEB 程序等發生在應用層面上的漏洞。這種情況的漏洞還是建議有條件的公司在應用系統部署前進行相應的代碼審計或者購買部署WAF 防火墻。

在入侵成功后的數據竊取階段，主要是為了獲得網絡攻擊目標的核心數據。如果當前已經攻入目標系統，那需要做的可能就是竊取核心數據，并下載到本地。如果攻擊的是邊緣系統，很可能下一步就是橫向擴展繼續攻擊，或者建立后門或隧道。針對橫向擴展最為有效的防護方法就是安裝防火墻和綁定MAC 地址；針對后門或隧道的攻擊最為有效的防護方法就是梳理本單位應用系統業務服務端口情況和業務邏輯流向，并結合梳理的應用系統邏輯架構和部署在每個服務器上的（防病毒、防網絡攻擊、防入侵、檢查安全基線的一體化）虛擬防護平臺，對網絡流量進行嚴格管控。

在后期利用階段，主要是為了隱蔽攻擊者的攻擊過程，并在需要使用的時候進行僵尸服務器的喚醒，同時利用僵尸服務器進行其他攻擊。為了應對這個階段的攻擊，最為有效的防護方式就是除了在服務器上安裝正版殺毒、防火墻、虛擬防護軟件以外，部署全網絡的日志審計系統，對核心網絡的日志進行相應的分析，并與防火墻聯動，進行異常流量的自動阻斷操作。

通過以上網絡安全攻防的簡單技術分析，相信您會發現網絡攻擊套路和防護方法是可防可控的。作為一個信息化工作的從業人員，我們有義務維護整個網絡的安全穩定運行，只有加強網絡安全意識、提高網絡防范能力、保護網絡安全運行、降低網絡安全風險，才能讓我們的網絡更加穩定、數據更加安全。