蔣巍 王楊 齊景嘉 張明輝 艾何潔

摘 要：針對黑客掃描服務器系統(tǒng)和軟硬件架構收集相關信息，利用收集的信息尋找漏洞獲取權限，達到竊取或者破壞的目的，并掩蓋蹤跡留下后門攻擊流程，總結了在與黑客對抗過程中，針對黑客滲透思維的Web服務安全防護策略，制定了一整套常用防范措施以保障服務器安全運行。

關鍵詞：黑客；滲透思維；服務器；安全

中圖分類號：TP3-05 文獻標識碼：A

1 引言

真正的計算機網絡安全專家總是在思考怎么樣能“滲透”系統(tǒng)。無論碰到什么系統(tǒng)，他們總是想到如何入侵。只有像黑客一樣看系統(tǒng)，你才會更好地找出系統(tǒng)弱點，進行抵抗。在計算機網絡安全方面，維護者需要具有攻擊者的思維，才能有效抵御來自攻擊者的攻擊，維護系統(tǒng)安全，有的放矢才能事半功倍。

2 黑客攻擊的手段

預攻擊探測：預攻擊探測主要包括主機掃描、網絡結構發(fā)現、端口和服務掃描、操作系統(tǒng)識別、資源和用戶信息掃描等。主要通過一些掃描工具來騙過系統(tǒng)的防火墻訪問一些端口協(xié)議來獲取用戶的信息。如IP地址范圍、DNS服務器地址和郵件服務器地址等。

掃描查點漏洞利用：通過預攻擊探測，進一步掃描查點確定操作系統(tǒng)或軟件平臺版本，搜索特定系統(tǒng)上用戶和用戶組名、路由表、SNMP信息、共享資源、服務程序及旗標等信息，可以有針對性地進行包括口令破解、IPC漏洞、緩沖區(qū)溢出、IIS漏洞、綜合漏洞掃描等。如掃描發(fā)現有某個Web服務平臺有可利用的上傳漏洞，通過漏洞利用工具就有可能上傳木馬到服務器上，可以進一步提權控制服務器。

獲取訪問權限：在網站入侵過程中，當入侵某一網站時，通過各種漏洞提升Webshell權限以奪得該服務器權限，如net user命令提權；緩沖區(qū)溢出提權。進而對數據和服務資源進行利用或破壞。如果沒辦法有獲取權限，可以采用拒絕服務攻擊破壞網站的服務功能。

拒絕服務攻擊：即DoS，Denial of Service的縮寫，只要能夠對目標造成麻煩，使某些服務被暫停甚至主機死機，都屬于拒絕服務攻擊。該攻擊能夠實現迫使服務器的緩沖區(qū)滿，不接收新的請求；使用IP欺騙，使服務器把合法用戶的連接復位，影響合法的用戶連接。

權限提升：試圖成為Administrator/root超級用戶，進而控制整個平臺或操作系統(tǒng)。

竊取修改破壞：黑客獲取到平臺或服務器權限后可能會改變、添加、刪除及復制用戶數據，也可能利用服務資源。如掛載博彩網站獲取點擊率，安裝挖礦軟件獲取比特幣，掩蓋行蹤后做為“肉雞”使用。

掩蓋行蹤：黑客入侵系統(tǒng)，必然會留下痕跡。他們需要做的首要工作就是掩蓋清除入侵痕跡。只有避免自己被發(fā)現或檢測出來，才能夠隨時返回被入侵系統(tǒng)。掩蓋蹤跡需要清空事件日志、禁止系統(tǒng)審計、隱藏作案工具及使用Rootkit的工具組等方式替換操作系統(tǒng)那些常用的命令。

創(chuàng)建后門：黑客入侵系統(tǒng)后，為了能夠隨時返回被入侵系統(tǒng)，會創(chuàng)建一些后門及陷阱，以便卷土重來，可以以特權用戶的身份等方式控制整個系統(tǒng)。創(chuàng)建后門的常見方法有創(chuàng)建虛假用戶賬號使其具有特殊用戶權限、安裝批處理、安裝遠程控制工具、木馬程序替換系統(tǒng)程序、感染啟動文件及安裝監(jiān)控機制等。

3 Web服務安全防護策略

防止黑客攻擊技術分為主動防范技術與被動防范技術兩類。

主動防范技術主要包括入侵檢測技術、數字簽名技術、黑客攻擊事件響應自動報警、阻塞和反擊技術、服務器上關鍵文件的抗毀技術、設置陷阱網絡技術、黑客入侵取證技術等。被動防范技術主要包括防火墻技術、查殺病毒技術、分級限權技術、網絡隱患掃描技術、重要數據加密技術、數據備份冗災和數據備份恢復技術等。

應該首先分析所管理的安全設備的功能及安全級別需求，在不同的網絡環(huán)境下，給網絡設備配備不同的安全策略，應用不同的安全技術。

3.1 防踩點、防掃描、防信息收集及獲取訪問權限

（1）提高安全意識防止管理員個人信息和開發(fā)人員信息泄露。隨著云計算、物聯(lián)網和移動互聯(lián)網等新一代信息技術的飛速發(fā)展，黑客通過數據采集大數據分析，直接被破解密碼、漏洞利用的可能性增加。如開發(fā)人員開發(fā)的類似軟件漏洞直接被利用，管理員的生日、電話和常用密碼等信息被添加到密碼字典中暴力破解。

（2）開啟第三方安全設備。打開防火墻過濾掉 ICMP 應答消息，禁 PING，過濾入站的 DNS 更新，關閉不需要的端口，加強訪問控制隔離網絡，限制協(xié)議使用，限制用戶的過度特權；配制IDS入侵檢測設備識別異常和流氓訪問模式。

（3）升級最新系統(tǒng)和軟件補丁防止漏洞被掃描利用。

3.2 防拒絕服務攻擊、ARP攻擊、CC攻擊

適當配置防火墻設備或過濾路由器的過濾規(guī)則就可以防止這種攻擊行為（一般是丟棄該數據包），提高抗擁塞能力增加出口帶寬容量，對這種攻擊進行審計，記錄事件發(fā)生的時間，源主機和目標主機的MAC地址和IP地址等。

3.3 防注入、防上傳木馬、防提權

（1）禁止system訪問CMD.exe。

（2）刪除、移動、更名控制關鍵系統(tǒng)文件、命令及文件夾。

（3）開啟殺毒軟件監(jiān)控進程、數據包、用戶和文件變化。

（4）開啟第三方安全設備，配制IDS入侵檢測設備監(jiān)控惡意代碼攻擊，使用堡壘機、域服務器管理用戶。

3.4 防數據竊取、防修改、防破壞、防資源利用

（1）數據加密。采用對稱加密技術、非對稱加密技術等加密方法對數據在行加密。

（2）安全隔離。實現數據的不同安全級別隔離技術，完全隔離、數據轉播過程隔離、安全通道隔離、在網絡內部信息安全交換等。

（3）數據備份恢復容災，有不同級別的備份策略。系統(tǒng)級別、服務應用級別、數據級別的重要時段備份；防止備份信息存在病毒，也利于進行數據差異化分析。

（4）開啟第三方安全設備，配制網站防篡改設備，自動禁止對Web服務器保護目錄下文件或文件夾的各種篡改，篡改的網頁自動恢復。

3.5 防掩蓋蹤跡

電子證據應注意提取的兩個重點方面：（1）服務器和網站日志、用戶文件、最近訪問記錄、瀏覽器記錄、恢復刪除數據；（2）開啟第三方安全設備，配制日志服務器。

3.6 防創(chuàng)建后門

（1）升級最新病毒庫，木馬病毒掃描。

（2）查看系統(tǒng)進程、啟動項、default-后面是否有可疑信息、建立連接的IP地址。

（3）限制主動訪問外網功能。

在實際服務器安全管理中要掌握幾個原則：

（1）開放和使用最少的服務和功能，實現最大的安全；

（2）所有的探測、訪問、登錄和系統(tǒng)功能使用盡量高復雜度；

（3）做多手準備，數據備份、系統(tǒng)備份、系統(tǒng)服務冗災、主機冷備熱備、制作靜態(tài)網頁或故障提示網頁并在發(fā)現問題第一時間使用；

（4）尋求更高技術支持、尋求法律支持使黑客攻擊成本增加，盡量使黑客不能做、不愿意做、不敢做。

4 結束語

眾所周知，黑客的攻擊技術方法在不斷更新，安全漏洞不斷被披露，軟件漏洞、系統(tǒng)漏洞、平臺漏洞甚至于硬件驅動漏洞每年都有，沒有一套方案是絕對安全的。對用戶來說主要是全方位提高安全意識，不斷的學習和提高，增強安全方面知識，努力彌補安全短板，做好防范工作，在平時的使用和維護過程中不斷完善服務器的安全性能，不斷提高與黑客的對抗能力。

參考文獻

[1] 李鑫，李京春，鄭雪峰，張友春，王少杰.一種基于層次分析法的信息系統(tǒng)漏洞量化評估方法[J].計算機科學，2012（07）.

[2] 余前帆.大數據時代網絡空間安全問題的思考[J].網絡空間安全，2017（ Z1）.

[3] 張輝.一種基于網絡驅動的Windows防火墻設計[J].網絡空間安全， 2017（Z5）.

[4] 蔡佳曄，張紅旗，高坤.基于Sibson距離的OpenFlow網絡DDoS攻擊檢測方法研究[J].計算機應用研究， 2018（06）.

[5] 凱比努爾·賽地艾合買提.網絡空間安全研究亟待解決的關鍵問題[J].網絡空間安全，2016 （Z1）.