黑客的网络攻击阶段可以根据不同的模型和描述有所差异,但通常都包括侦查与信息收集、扫描与漏洞发现、攻击与权限获取、维持与后门植入以及痕迹清除与隐匿等关键步骤。
黑客隐藏自己会使用代理服务器、VPN、Tor网络、匿名操作系统(Tails和whonix)、或社会工程学欺骗、诱导目标从事某些行为。匿名代表多层加密和多级代理。
01
—
1. 侦查与信息收集阶段
**开放源情报收集:**通过搜索引擎、社交媒体、论坛等公开渠道获取目标的基本信息,如姓名、地址、手机号码等
**被动信息收集:**利用监听、嗅探等技术手段,获取目标的网络活动信息,如IP地址、开放端口、操作系统版本等
**主动信息收集:**通过漏洞扫描、端口扫描等技术手段,主动获取目标主机的漏洞情况和开放端口信息
2. 扫描与漏洞发现阶段
**网络扫描:**使用工具如Nmap进行端口扫描、服务扫描等,以发现目标网络中可能存在的弱点
**漏洞扫描:**利用漏洞扫描器(如OpenVAS、Nessus等)对目标系统进行全面扫描,识别已知的安全漏洞
**渗透测试:**通过模拟黑客攻击,对目标系统的安全性进行评估,发现潜在的安全隐患
3. 攻击与权限获取阶段
**漏洞利用:**根据扫描阶段发现的漏洞,利用相应的漏洞利用工具或编写自定义的exploit代码,对目标系统进行攻击,以获取系统权限
**密码破解:**使用暴力破解、字典攻击等技术手段,尝试破解目标系统的登录密码
**社会工程学:**通过欺骗、伪装等手段,诱骗目标用户泄露敏感信息,如登录凭证、验证码等
4. 维持与后门植入阶段
**后门植入:**在目标系统中植入后门程序,如特洛伊木马、远程控制软件等,以便在需要时能够重新进入系统
**数据窃取:**利用已获取的权限,窃取目标系统中的敏感数据,如用户信息、财务记录等
**横向移动:**在目标网络中横向扩散,探测其他主机,以获取更多的敏感信息和权限
5. 痕迹清除与隐匿阶段
**痕迹清除:**删除访问日志、修改系统时间、干扰入侵检测系统等,以清除入侵痕迹,避免被发现
**隐匿身份:**使用代理服务器、VPN、伪造IP地址等技术手段,隐匿自己的真实身份和攻击来源
**反取证技术:**采用数据隐藏、加密通信、混淆代码等技术,增加取证难度,防止被追踪和追责
02
—
1.DoS 和 DDoS 攻击
分布式拒绝服务 (DDoS) 攻击类似于 DoS 攻击,因为它同样试图耗尽系统的资源。DDoS 攻击由感染了恶意软件并被黑客控制的大量主机发起。DoS 攻击会使目标站点被非法请求淹没。
DoS 和 DDoS 攻击不同于其他类型的网络攻击,具体体现为:其他类型的网络攻击使黑客能够访问系统或提升他们当前拥有的访问权限,黑客可以直接通过这些类型的攻击获益;而 DoS 和 DDoS 网络攻击的目标只是中断目标服务的有效性。
1.1 DoS 和 DDoS 防御
网络带宽扩容与流量清洗,使用专业的DDoS防护服务或硬件设备
智能路由与负载均衡,将攻击流量导向黑洞或其他可以吸收攻击的地方
建立IP黑名单,阻断已知攻击源,优先保证白名单内的流量正常访问
对服务器操作系统和网络设备的协议栈进行加固,修复已知漏洞,减少协议层攻击
部署IPS、IDS安全设备,实时监测与应急响应
建立应急预案,发生DDoS攻击时能快速启动防御机制
2.恶意软件
恶意软件是受害者在不知情的情况下安装并感染其设备的恶意软件。网络犯罪分子使用各种社会工程技术在设备上安装恶意软件。例如,恶意软件可能会通过网络钓鱼企图或错误下载包含恶意内容的不信任文件(如软件、游戏和电影)来安装在您的设备上。一旦网络犯罪分子成功地用恶意软件感染您的设备,他们就能危及您的隐私并窃取您的敏感信息。恶意软件有很多不同类型,例如勒索软件、特洛伊木马和间谍软件,至少有10种以上。
2.1恶意软件防御思路
在计算机上安装防病毒软件,并定期更新;
在网络边界部署防火墙、防毒墙等安全设备提升安全性;
谨慎点击邮件附件或URL链接;
使用SSL工具检查网站安全性,避免访问未知或可疑网站;
及时打补丁以修复漏洞,并遵循最佳网络安全实践;
定期更新操作系统和应用程序补丁,使用强密码、限制管理员权限等;
3.Web 攻击
Web 攻击是指针对基于 Web 的应用程序中的漏洞的威胁。您每次在 Web 应用程序中输入信息时,都会启动一个命令,而命令会生成响应。例如,如果您使用网上银行应用程序向某人汇款,则您输入的数据会指示该应用程序进入您的账户,取出钱并将钱汇到收款人的账户。黑客根据这种请求的框架进行谋划,利用它们谋取利益。黑客对WEB攻击的OWASP Top 10
参数篡改涉及调整程序员作为安全措施实施的参数,这些参数旨在保护特定操作。操作的执行取决于参数中输入的内容。黑客只需更改参数,即可绕过依赖于这些参数的安全措施。
3.1 Web 攻击防护建议
部署Web应用防火墙(WAF)
系统定期更新应用程序和所有相关组件,及时安装安全补丁,遵循最小化权限原则
使用SSL/TLS证书对网站进行加密,对存储在服务器上的敏感数据(如用户密码、数据库凭据等)进行加密处理
实施强密码策略,为敏感账户启用多因素认证,配置访问控制列表
部署入侵检测和预防系统(IDS/IPS),制定应急响应计划
定期组织安全意识培训和模拟攻防演练
实施安全的编码标准,确保开发人员在编写代码时遵循最佳安全实践
定期对系统进行安全审计,以发现可能存在的漏洞和弱点并及时修复
4. SQL 注入式攻击
结构化查询语言 (SQL) 注入是一种常见的攻击,这种攻击利用依赖数据库为用户服务的网站。客户端是从服务器获取信息的计算机,SQL 攻击利用从客户端发送到服务器上数据库的 SQL 查询。命令被插入或“注入”到数据层,取代通常会传输到数据层的其他内容(例如密码或登录名)。然后,数据库所在的服务器运行命令,导致系统被渗透。
如果 SQL 注入成功,可能造成的后果包括:敏感数据泄露;重要数据被修改或删除。此外,攻击者可以执行管理员操作(例如关机命令)来中断数据库的功能。
4.1 SQL注入防护思路
使用参数化查询或预编译语句:通过将用户输入作为参数传递给SQL语句,而不是直接拼接到SQL语句中,可以确保输入被正确转义,并且不会被解释为SQL代码的一部分
对所有用户输入进行严格的验证,确保它们符合预期的格式、类型和长度。拒绝或清理不符合规则的输入,特别是那些包含SQL注入特征的输入(如单引号、双引号、分号等)
对象关系映射(ORM)框架通常内置了防止SQL注入的机制,通过自动处理数据查询和持久化,减少了直接编写SQL语句的需要
确保数据库连接或用户账户仅拥有完成其任务所需的最小权限。这限制了即使攻击者成功注入SQL代码,他们所能造成的损害范围
遵循安全编码规范,避免在代码中直接拼接用户输入和SQL语句。使用安全的函数或库来处理用户输入
5. XSS 攻击
在 XSS(跨站脚本)攻击中,攻击者会利用将被发送到目标浏览器的可点击内容传输恶意脚本。当受害者点击这些内容时,脚本将被执行。由于用户已经登录到 Web 应用程序的会话,因此 Web 应用程序会认为用户输入的内容是合法的。但是,执行的脚本已被攻击者修改,从而导致“用户”执行无意识的操作。
例如,XSS 攻击可以更改通过网上银行应用程序发送的转账请求的参数。在伪造的请求中,预期收款人的姓名被替换为攻击者的姓名。攻击者还可以更改转账金额,从而获得更多金钱。
5.1 XSS防护思路
对所有用户输入的数据进行严格验证,确保其符合预期的数据类型、长度和格式。拒绝或清理不符合规范的输入,防止恶意代码被注入
对可能导致HTML或JavaScript代码执行的特殊字符(如<、>、&、"等)进行严格的过滤或转义处理
在将用户输入的数据输出到HTML页面时,应使用HTML实体编码(如将<转换为<,将>转换为>等),以防止恶意脚本被浏览器解析和执行
对于用户输入中可能作为URL参数的部分,应进行URL编码,以防止攻击者利用URL进行XSS攻击
使用安全HTTP头部,设置HttpOnly和Secure标记的Cookie:将Cookie设置为HttpOnly属性,这样JavaScript就无法访问它,从而防止攻击者通过XSS攻击窃取Cookie
6.密码攻击
密码攻击是指网络犯罪分子试图通过猜测或使用程序来猜测您的凭证来获得对您的敏感信息的未经授权的访问。不良密码习惯(例如使用弱密码或在多个账户中重复使用密码)会使受害者容易受到这些类型的攻击。黑客可以直接猜测用户的密码,尤其是如果用户使用默认密码或容易记住的密码,例如“1234567”。例如,黑客可以任意组合使用目标的姓名、出生日期、周年纪念日或其他具有辨识度的个人信息来破解密码。用户在社交媒体上发布的信息也可被用于暴力密码攻击。有时,个人会将自己的兴趣爱好、宠物的名字或孩子的名字用于设置密码,这使得密码很容易被暴力黑客猜到。黑客还可以使用字典攻击来确定用户的密码。字典攻击使用常用字词和短语(例如,字典中列出的字词和短语)来猜测目标的密码。
密码攻击有多种方法,包括:
**暴力攻击:**暴力攻击是一种使用试错方法来猜测您的登录凭证来访问您的账户的有力尝试
**凭证填充:**凭证填充利用一组暴露的凭证来试图一次访问多个账户。这种类型的攻击中大多数成功的入侵都是由于多个帐户重复使用密码
**密码喷洒:**密码喷洒是指网络犯罪分子对许多用户账户进行少量常用密码尝试,以试图获得未经授权的访问
**字典攻击:**在字典攻击中,网络犯罪分子会利用常用短语和单词的单词列表来入侵受害者的凭证,并危及他们的账户。受害者通常是那些在密码中使用常用短语和字典单词的人
生日攻击:“生日攻击”这个名称来源于生日悖论;生日悖论是指在 23 人中至少有两人生日相同的概率大于 50%。因此,虽然人们认为自己的生日是独特的,但其实每个人的生日并没有他们本人想象中那么独特;哈希也是如此
6.1 密码攻击防护思路
密码应包含大写字母、小写字母、数字和特殊字符,并且长度应足够长(一般建议至少8位)。避免使用容易被猜到的信息作为密码,如生日、电话号码、常见单词等
在用户身份验证过程中,除了输入正确的用户名和密码外,还要求用户提供第二种或更多种不同的证明信息,如手机验证码、指纹识别、面部识别等。这可以大大提高账户的安全性
设置账户登录尝试次数的限制,当连续多次登录失败时,账户将被锁定一段时间或需要进行额外的验证步骤。这可以防止暴力破解攻击
定期更换密码可以降低密码被盗用的风险。建议用户每隔一段时间(如每三个月)更换一次密码
7. 供应链攻击
供应链攻击是指网络犯罪分子在组织的供应链中创建或利用漏洞,其恶意目的是访问其专用网络和数据。这些攻击针对的是第三方供应商,而不是受害者组织本身,这使得他们很难检测和防范。
在这种类型的攻击中,网络犯罪分子可能会向其整个客户群使用的供应商提供恶意软件。或者,网络犯罪分子可能会利用供应商客户使用的程序的软件代码中的现有漏洞。成功后,网络犯罪分子可能会危及企业的敏感信息 – 泄露重要的文件,例如客户记录、支付信息等。供应链攻击通常发生在软件、硬件和固件攻击中。
7.1 供应链攻击防护思路
企业应加强对员工的安全意识培训,使员工了解供应链攻击的风险和防范措施,同时要求供应链伙伴也建立健全的信息安全管理制度,并对员工进行定期的安全培训,确保整个供应链的安全意识得到提升
建立供应商评估和审查制度,对供应商进行定期的安全检查,确保他们的安全措施得到有效实施
在与供应链伙伴之间的数据传输和存储过程中,应采用加密技术,保障数据的安全性,防止被黑客窃取或篡改,确保供应链中的通信协议都采用了安全的标准和加密方法,如HTTPS、SSL/TLS等
实施最小特权原则,为员工和合作伙伴提供最基本的工作权限,限制他们对敏感数据和系统的访问权限,以降低供应链被攻击的风险
8.内部威胁
内部威胁会发生在组织内部,来自现有或以前的企业分支机构,例如员工、合作伙伴、承包商或供应商,并最终导致敏感信息和系统受到威胁。内部威胁可能是蓄意的,也有可能是无意的,具体取决于内部人员的意图以及其是否有同伙。他们通常可以访问各种系统,在某些情况下还具有管理权限,能够对系统或系统的安全策略进行重要更改。
此外,公司内部人员通常对公司的网络安全架构以及公司如何应对威胁有深入的了解。对这些情况的了解有助于他们获取受限区域访问权限,更改安全设置,或者推断进行攻击的最佳时机。
这些攻击可能会导致数据泄露、经济损失和声誉损失,甚至可能产生法律后果。这些威胁通常可以通过数字和行为指标检测到。
8.1 内部威胁防御
限制员工的敏感系统访问权限,仅允许在工作上有需要的员工访问敏感系统
对需要访问敏感系统的人使用多重身份验证,即,要求他们至少提供自己知道的一件事以及拥有的一件东西,才能访问敏感系统。例如,用户可能必须输入密码并插入 USB 设备。在其他配置中,访问号码在用户需要登录的手持设备上生成。只有密码和号码都正确时,用户才能访问安全区域。
对于涉及敏感信息的岗位,企业应与员工签订保密协议,明确员工在离职或转岗时需承担的保密责任
部署安全监控系统,实时监测员工的网络访问行为,及时发现异常操作。同时,建立完善的审计机制,对关键操作进行记录和分析
对存储在服务器上的敏感数据进行加密处理,防止未经授权的人员获取数据。加密技术包括对称加密、非对称加密等,可以根据数据的敏感程度和需求选择合适的加密方
9. 中间人攻击
中间人 (MITM) 网络攻击是指黑客利用网络安全漏洞来窃取两个人、两个网络或两台计算机之间来回发送的数据。这些攻击之所以称为“中间人”攻击,是因为黑客将自己置于想要沟通的两方的“中间”。实际上,黑客监视双方之间的互动。
在 MITM 攻击中,双方当事人不会察觉到他们的沟通有何异常。他们不知道的是,在消息到达目的地之前,实际发送消息的人会非法修改或访问消息。这些攻击通常发生在公共 WiFi 等不安全的网络上。
窃听攻击是指黑客拦截通过网络发送的流量,企图收集用户名、密码和其他机密信息(例如信用卡信息)。窃听可以是主动的,也可以是被动的。
主动窃听是指黑客在网络流量路径中插入软件,以收集信息进行分析,从中获得有用的数据。被动窃听攻击的不同之处在于,黑客“监听”或窃听传输过程,希望找到可窃取的有用数据。主动窃听和被动窃听都属于 MITM 攻击。
会话劫持****是多种 MITM 攻击之一。在这种攻击中,黑客接管客户端和服务器之间的会话。用于攻击的计算机用自己的互联网协议 (IP) 地址取代客户端计算机的 IP 地址,服务器则继续会话,毫不怀疑正在与其通信的是黑客而不是客户端。这种攻击很容易得逞,因为服务器使用客户端的 IP 地址来验证客户端的身份。如果黑客的 IP 地址在会话过程中被插入,则服务器可能不会怀疑存在漏洞,因为它已经建立了可信的连接。
9.1 中间人攻击防护思路
采用SSL/TLS等加密协议,确保通信内容在传输过程中被加密。这样,即使攻击者截获了数据,也难以解密,从而保护通信内容的机密性和完整性
在网页浏览等场景中,使用HTTPS代替HTTP,确保数据传输过程中的加密和完整性校验
在建立加密连接时,客户端应验证服务器的证书和域名,确保连接的是正确的服务器,而不是攻击者伪造的服务器。这可以通过检查证书颁发机构(CA)的签名、证书的有效期、证书的域名等信息来实现
10. 网络钓鱼攻击
网络钓鱼攻击是指恶意黑客发送貌似来自可信合法来源的电子邮件,试图从目标获取敏感信息。网络钓鱼攻击结合了社交工程和技术,之所以叫这个名字,因为黑客实际上通过使用貌似可信的发送者作为“诱饵”来“钓获”禁区访问权限。它通过编造虚假的叙述来欺骗受害者泄露敏感信息,从而使网络罪犯合法化。不良行为者会将自己伪装成受害者熟悉的发件人,如朋友、同事、经理或公司。
为了执行这种攻击,不法分子可能会发送链接,将您带到某个网站,然后诱骗您下载恶意软件(例如病毒)或者向黑客提供您的私人信息。在许多情况下,目标可能不会意识到自己受到了攻击,没有人怀疑存在恶意活动,这使得黑客可以继续攻击同一组织中的其他人。
鲸钓攻击****之所以叫这个名字,是因为它的攻击对象是组织中的“大人物”——通常包括高管或其他管理者。这些个人很可能拥有对黑客有价值的信息,例如,关于企业或其运营情况的专有信息。
如果被攻击的“大人物”下载了勒索软件,他们更有可能支付赎金,以防止他们被成功攻击的消息泄露出去,避免他们本人或其组织的声誉受损。
鱼叉式网络钓鱼是指特定类型的有针对性的网络钓鱼攻击。黑客会花时间研究其预期目标,然后编写可能会使目标觉得与其个人相关的消息。这种攻击被贴切地称为“鱼叉式”网络钓鱼,因为黑客以某种方式攻击某个特定目标。消息看起来是合法的,因此很难发现鱼叉式网络钓鱼攻击。
通常,鱼叉式网络钓鱼攻击使用电子邮件欺骗,电子邮件的“发件人”部分的信息是假的,使电子邮件看似来自不同的发件人。这个假的发件人可能是目标信任的人,例如,社交网络上认识的人、好友或业务合作伙伴。黑客还可能使用网站克隆使通信看起来合法。通过网站克隆,黑客复制合法的网站,让受害者放下戒备。于是,受害者认为网站是真实的,然后放心地输入自己的私人信息。
11.1 网络钓鱼攻击防御思路
**12.**DNS 欺骗
通过域名系统 (DNS) 欺骗,黑客可以更改 DNS 记录,将流量发送到虚假或“假冒”网站。进入诈骗网站后,受害者可能会输入敏感信息,这样黑客就有机会利用或出售这些信息。黑客还可能会构建包含贬损性或煽动性内容的劣质网站,以诋毁竞争对手公司。
在 DNS 欺骗攻击中,黑客会设法让用户认为他们访问的网站是合法的。这样,黑客就能以清白无辜的公司的名义实施犯罪——至少网络访客是这样认为的。
12.1 DNS欺骗防护思路
企业应优先考虑使用知名且信誉良好的DNS服务提供商,这些服务商通常拥有强大的安全防护机制和快速的响应能力,能够及时发现并抵御潜在的DNS欺骗攻击,也可以考虑部署本地的DNS服务器,以减少对外部DNS服务的依赖,提高DNS解析的安全性和稳定性
DNSSEC是一种为DNS提供数据完整性和来源认证的安全机制。通过启用DNSSEC,可以对DNS查询结果进行加密签名和验证,确保用户接收到的DNS信息未被篡改
DNS over HTTPS(DoH)或DNS over TLS(DoT):使用这些加密技术来加密DNS请求和响应,可以防止中间人攻击,进一步提升DNS通信的安全性
13. 基于身份的攻击
攻击者通过冒充合法用户或窃取用户身份来非法访问系统或数据。
基于身份的攻击也称为冒充攻击或身份盗用,是指网络犯罪分子利用他人的身份来欺骗他人,或获得敏感信息和对系统的访问权限。网络犯罪分子通过窃取个人的个人数据并入侵他们的在线账户来进行基于身份的攻击。可以用被窃的身份信息进行的攻击的例子包括:以受害者的名义开信用卡、窃取失业救济金、进入银行账户以及将受害者的房屋所有权转移到自己名下。
13.1 基于身份的攻击防护
除了传统的用户名和密码认证外,增加额外的认证因素,如手机验证码、指纹识别、面部识别等,提高身份认证的复杂性和安全性
要求用户设置复杂且难以猜测的密码,并定期更换密码。同时,系统应提供密码强度检测功能,确保用户密码的安全性
实施严格的权限管理制度,确保每个用户只能访问其需要的数据和服务,避免权限滥用
使用安全的会话管理机制,如HTTPS协议,确保用户会话的安全性。同时,限制会话持续时间,并在会话结束后及时清理会话信息
14. 路过式攻击
在路过式攻击中,黑客将恶意代码嵌入到不安全的网站。当用户访问嵌入了恶意代码的网站时,脚本会在用户的计算机上自动执行,感染计算机。这种攻击之所以称为“路过式攻击”,是因为受害者只要“路过”恶意网站就会被感染,即使他们没有点击网站上的任何内容或输入任何信息。
14.1 路过式攻击防护思路
15.物联网攻击
物联网攻击通过智能设备(如智能电视、智能灯泡和其他需要互联网连接的实物)发起。网络犯罪分子利用这些设备来访问您的网络,因为大多数受害者并没有对这些设备采取相同的网络安全标准。一旦网络犯罪分子获得了物联网设备的访问权限,他们就能窃取您的数据并入侵您的网络。
15.1 物联网防御思路
确保设备具有强大的身份验证和访问控制机制,如使用强密码、多因素认证等
定期进行安全漏洞扫描和修复,确保设备的安全性得到及时更新
定期更新路由器、交换机等网络设备的操作系统和固件,以修复已知的安全漏洞
禁用不必要的网络服务和协议,如HTTP、SNMP等,减少潜在的攻击面
使用IPSec、TLS等加密协议对物联网设备之间的通信进行加密,防止数据在传输过程中被窃取或篡改
对物联网设备产生的敏感数据进行加密存储和传输,确保数据在存储和传输过程中的安全性
收集安全威胁信息:通过收集统计数据、参考专业报告、与其他组织交流等方式,了解当前的网络安全威胁和风险
进行风险评估:对网络系统进行全面的风险评估,确定最重要的安全资产和可能的威胁类型,以便有针对性地制定防护措施
部署安全设备:防火墙和入侵检测系统(IDS/IPS),Web应用防火墙,端点检测和响应,数据防泄漏,态势感知,上网行为管理,等安全防护设备
安全扫描工具:定期使用安全扫描工具检查网络系统的漏洞,并及时修补
SSL/TLS加密:对敏感数据传输进行SSL/TLS加密,防止数据在传输过程中被窃取或篡改
强密码策略:要求用户设置复杂度高的密码,并定期更换密码
多因素认证:实施多因素认证机制,提高账户的安全性
访问权限控制:限制对敏感数据和操作的访问权限,只给予必要的权限
安全编程:使用安全的编程语言和框架,编写安全的代码
代码审计:定期对代码库进行审计,查找并修复潜在的安全漏洞
输入验证:对用户输入的数据进行严格的输入验证和过滤,防止跨站脚本攻击(XSS)和SQL注入等攻击
数据加密:对敏感数据进行加密存储和传输
数据备份:定期备份重要数据,并将其存储在安全的位置。采用3-2-1备份规则,即3份副本、2种介质、1份异地存储
员工培训:定期对员工进行信息安全培训,提高他们的安全意识和技能
用户教育:教育用户如何保护自己的账户和个人信息,避免上当受骗
制定应急响应计划:制定详细的应急响应计划,明确应急响应的流程和各个环节的责任
进行应急演练:定期进行应急演练,测试和验证应急响应计划的有效性
持续监测和改进:建立持续的监测机制,及时发现和应对新的安全威胁和漏洞,并持续改进整个防护体系
更新和修补:定期更新操作系统、应用程序和安全软件,及时修补已知漏洞
安全配置:对网络设备和系统进行安全配置,关闭不必要的服务和端口
日志记录和监控:启用日志记录和监控功能,以便在发生安全事件时能够追踪和调查
您的每一个关注、点赞、再看、分享**,都是我坚持更新的动力,感谢!❤**
