攻防手记]IT168安全攻防实战论文IT168 安全.docVIP

一．入侵视频反思 ??? 观看入侵视频后，感觉这个获奖者（攻击者）似乎跳跃了传统黑客的入侵系统的过程。传统的黑客入侵包含了一下几个环节：?信息采集→漏洞发现→弱点利用→获得目标系统权限→完成破坏行为→放置后门→擦除犯罪痕迹→对入侵目标保持监控。由于是虚拟环境的入侵，所以后面环节的缺少是必然的，但入侵者直接利用asp脚本注入工具进行扫描，这是我始料未及的。 ??? 1.非完整性扫描 ??? 对于黑客们来说，在开始真正肆虐之前，首先要完成的步骤——踩点（国外的黑客称作footprinting），这是收集目标信息的一种黑客攻击技巧。举例来说，就像我们玩“红色警戒”游戏一样，我们在地图没有完全打开的时候，总要派遣出去一个小兵，让他摸索一下对方的建筑规模和防范的弱点。就网络安全而以，主动的攻击者可以通过对某个组织进行有计划、有步骤的踩点，收集整理出一份关于该组织信息安防现状的完整剖析图。他们结合使用各种工具和技巧，攻击者完全可以从对某个组织公开渠道查出该组织具体使用的域名、网络地址块、与因特网直接相联的各有关系统的IP地址以及与信息安防现状有关的其他细节。 ??? 有很多种技术可以用来进行踩点，但它们的主要目的不外乎发现和收集与以下几种与网络环境相关的信息：外部接口的信息、内部的网络环境、远程访问中的信息资源以及分支机构的网络连接。下表中（表1.1）罗列出了这些环境以及攻击者要收集和确认的重要信息。 ??? 表1攻击者踩点信息 网络环境 ? ? ? 需要确认的信息 外部接口的信息 ? ? ? 域名 网络地址范围 可以直接从Internet进行访问的各个系统的具体IP地址 已被发现的各个系统上运行的TCP和UDP服务 防火墙的品牌和操作系统的版本信息 访问控制机制和相关的访问控制表（access control list，ACL） 入侵检测系统（intrusion detection system，IDS） 各有关系统的细节信息（管理员的个人信息、负责人的Mail、路由表、SNMP信息等等） DNS主机名 分支网络连接 ? ? ? 连接的源地址和目标地址 连接的类型 访问控制机制 内部的网络环境 ? ? ? 组网协议（比如说，IP、IPX、DecNET等等） 内部域名（常常合外部域名分开） 网络地址范围 可以直接从内联网进行访问的各个系统的具体IP地址 已被发现的各系统上运行的TCP和UDP服务 已被发现的各系统的体系结构（例如，SPARC还是X86） 访问控制机制和相关的访问控制表（access control list，ACL） 入侵检测系统（intrusion detection system，IDS） 远程访问 ? ? ? VOIP的类型和组织方式 远程系统的类型 身份验证机制 VPN和相关的协议（IPSec和PPTP） 2．黑客技术平民化??? 很多时候，我非常敬佩的一些网络管员，他们用无限的学习和工作时间，甚至在用自己的身体健康去换得网络的安全稳定。但是，一个人的力量终究有限，再加上技能差距等因素，组织的信息安全平台都有可能遭受到重大打击。对于大型的网络机构和信息中心，为了保障处理安全事务的及时，满足提高整体信息化安全等级的需求，付出了更多的资源和风险成本。有许多网络安全技术人员或者网管员自己不能单独完成一个网络安全的整体规划，这是因为网络安全技术涵盖的范围太广，而许多安全产品本身就漏洞，网络管理员不可能对每个产品的或方案了如指掌，互联网成立他们最主要的学习平台。 ??? 下面引用一段黑客教学网站的宣言：“我们力争把这里建设成为黑客初学者的网上家园，我们建站目的就是让更多想学习黑客技术的朋友们能通过本站获得最基础、最系统的知识，使黑客技术平民化！”看似高级神秘的攻击技术，被许多网络安全领域的“高手”们设计成不同功能模块，或者是集合上述多个步骤的集成化入侵工具，随意让人下载，我们一直面对的黑客可能就是你身边的同事和朋友。攻击技术“平民化”，为本来就存在众多安全隐患的网络“雪上加霜，火上浇油！” ??? 此次活动的入侵者使用了3个黑客攻击软件，即：注入工具（扫描与溢出）、暴力破解词典（MD5散列数据库网站）、ASP脚本控制程序（已经归属于木马类病毒）。三个黑客工具即可控制目标对象的入侵过程，让我们反思，很多安全网站攻防教程是教会了防御者防护的方法还是培养了最新一代“工具型”的黑客。 ??? 3．应用层弱点成为黑客首选 ??? 威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。造成威胁的因素可分为物理环境、系统漏洞、人为因素。根据威胁的动机，环境因素包括自然界不可抗