既然网络安全的本质是通过防御的手段进行安全防护,那么对于常见的攻击方式采取对应的防守方式,可以有效起到保护网络的目的。
网络安全防护
网络攻击阶段主要有信息侦查、载荷投递与攻击、系统控制、内网探测/黑产牟利、内网扩散、数据泄露等阶段。针对每个阶段,都有相应的防御方法。
网络攻击阶段
(1) 信息侦查
在这个阶段,黑客通过扫描系统的开放端口和服务获得可能的攻击入口。在这个阶段,可以通过系统加固,封堵可疑IP进行。
恶意扫描
(2) 载荷投递与攻击
在本阶段,DDos攻击比较多,也就是各种服务容易被利用产生拒绝服务攻击的特性,包括利用firefox漏洞耗尽内存、IE浏览器漏洞引起空循环耗尽资源、旧版本windows组件漏洞引起系统中断或无限重启、Apache配置不当引起系统拒绝服务等,可以尝试升级系统版本和软件版本至最新版,并及时打补丁,合理配置需要的服务。
升级系统和程序
(3) 系统控制
在本阶段,很多攻击是权限获取的行为。建议对站点进行目录权限最小化且同一台主机上的不同站点的目录分配不同的权限避免旁站入侵;对应用升级版本至最新版避免暴露出来的漏洞的利用来提权;对主机进行用户权限最小化且避免使用root用户。
禁用root
(4) 内网探测/黑产牟利
本阶段比较多的是会话遍历问题。建议使用STUN的客户端的网络对其进行过滤;建议STUN服务运行在一台单独的服务器上,这台机器关闭除STUN的端口外的所有UDP和TCP端口;使用DNS时向对方索取凭证。
(5) 内网扩散
本阶段比较多的是木马行为,包括php木马、菜刀等工具的连接、后门行为等,可以尝试对站点文件查杀,删除恶意木马和后门,防火墙设置规则限制如菜刀能工具的连接。
木马攻击
(6) 数据泄露
在本阶段,主要是敏感信息泄漏,可能是系统信息、系统应用信息、站点配置信息、站点数据获取等,可以尝试对相应主机的系统进行加固及系统应用权限设置、对相应站点进行检测并修补漏洞,增加安全策略等。
漏洞修复
安全防护是一个长期的、动态的过程,需要在一个持续的过程和努力。
