知己知彼 解析网络攻击五大步骤(1)

知己知彼 解析网络攻击五大步骤(1)

对于网络安全来说，成功防御的一个基本组成部分就是要了解敌人。就象防御工事必须进行总体规划一样，网络安全管理人员必须了解黑客的工具和技术，并利用这些知识来设计应对各种攻击的网络防御框架。

根据来自国际电子商务顾问局白帽黑客认证的资料显示，成功的黑客攻击包含了五个步骤：搜索、扫描、获得权限、保持连接，消除痕迹。在本文中，我们就将对每个阶段进行详细的分析。在将来的文章中，我还会对检测方式进行详细的说明。

第一阶段：搜索

搜索可能是耗费时间最长的阶段，有时间可能会持续几个星期甚至几个月。黑客会利用各种渠道尽可能多的了解企业类型和工作模式，包括下面列出这些范围内的信息：

互联网搜索

社会工程

垃圾数据搜寻

域名管理/搜索服务

非侵入性的网络扫描

这些类型的活动由于是处于搜索阶段，所以属于很难防范的。很多公司提供的信息都属于很容易在网络上发现的。而员工也往往会受到欺骗而无意中提供了相应的信息，随着时间的推移，公司的组织结构以及潜在的漏洞就会被发现，整个黑客攻击的准备过程就逐渐接近完成了。不过，这里也提供了一些你可以选择的保护措施，可以让黑客攻击的准备工作变得更加困难，其中包括了：

确保系统不会将信息泄露到网络上，其中包括：

软件版本和补丁级别

电子邮件地址

关键人员的姓名和职务

确保纸质信息得到妥善处理

接受域名注册查询时提供通用的联系信息

禁止对来自周边局域网/广域网设备的扫描企图进行回应

第二阶段：扫描

一旦攻击者对公司网络的具体情况有了足够的了解，他或她就会开始对周边和内部网络设备进行扫描，以寻找潜在的漏洞，其中包括：

开放的端口

开放的应用服务

包括操作系统在内的应用漏洞

保护性较差的数据传输

每一台局域网/广域网设备的品牌和型号

在扫描周边和内部设备的时间，黑客往往会受到入侵防御(IDS)或入侵检测(IPS)解决方案的阻止，但情况也并非总是如此。老牌的黑客可以轻松绕过这些防护措施。下面提供了防止被扫描的措施，可以在所有情况使用：

关闭所有不必要的端口和服务

关键设备或处理敏感信息的设备，只容许响应经过核准设备的请求

加强管理系统的控制，禁止直接访问外部服务器，在特殊情况下需要访问的时间，也应该在访问控制列表中进行端到端连接的控制

确保局域网/广域网系统以及端点的补丁级别是足够安全的