拒絕服務和分布式拒絕服務攻擊:這種攻擊行為通過發送一定數量和序列的數據包,使網絡服務器中充斥了大量要求回復的信息,消耗網絡帶寬或系統資源,導致網絡或系統不勝負荷以至于癱瘓、停止正常的網絡服務。常見的拒絕服務(Denial of Service,DoS)攻擊有SYN Flooding、Smurf等。近年,DoS攻擊有了新的發展,攻擊者通過入侵大量有安全漏洞的主機并獲取控制權,在多臺被入侵的主機上安裝攻擊程序,然后利用所控制的這些大量攻擊源,同時向目標機發起拒絕服務攻擊,稱之為分布式拒絕服務(Distribute Denial of Service,DDoS)攻擊。常見的DDoS攻擊工具有Trinoo、TFN等。
在APT攻擊過程中涉及的具體攻擊手段主要包括以下幾種:
偽裝攻擊:通過指定路由或偽造假地址,攻擊者以假冒身份與其他主機進行合法通信或發送假數據包,使受攻擊主機出現錯誤動作,如IP欺騙。
探測攻擊:通過掃描允許連接的服務和開放的端口,攻擊者能夠迅速發現目標主機端口的分配情況、提供的各項服務和服務程序的版本號以及系統漏洞情況,并找到有機可乘的服務、端口或漏洞后進行攻擊。常見的探測攻擊程序有Nmap、Nessus、Metasploit、Shad-ow Security Scanner、X-Scan等。
嗅探攻擊:將網卡設置為混雜模式后,攻擊者對以太網上流通的所有數據包進行嗅探,以獲取敏感信息。常見的網絡嗅探工具有SnifferPro、Tcpdump、Wireshark等。
解碼類攻擊:即用口令猜測程序破解系統用戶賬號和密碼。常見工具有L0phtCrack、John the Ripper、Cain&Abel、Saminside、WinlogonHack等。此外,還可以破解重要支撐軟件的弱口令,例如使用Apache Tomcat Crack破解Tomcat口令。
緩沖區溢出攻擊:通過往程序的緩沖區寫入超出其長度的內容,造成緩沖區的溢出,從而破壞程序的堆棧,使程序轉而執行其他的指令。緩沖區攻擊的目的在于擾亂某些以特權身份運行的程序的功能,使攻擊者獲得程序的控制權。
欺騙攻擊:利用TCP/IP本身的一些缺陷對TCP/IP網絡進行攻擊,主要方式有ARP欺騙、DNS欺騙、Web欺騙、電子郵件欺騙等。
拒絕服務和分布式拒絕服務攻擊:這種攻擊行為通過發送一定數量和序列的數據包,使網絡服務器中充斥了大量要求回復的信息,消耗網絡帶寬或系統資源,導致網絡或系統不勝負荷以至于癱瘓、停止正常的網絡服務。常見的拒絕服務(Denial of Service,DoS)攻擊有SYN Flooding、Smurf等。近年,DoS攻擊有了新的發展,攻擊者通過入侵大量有安全漏洞的主機并獲取控制權,在多臺被入侵的主機上安裝攻擊程序,然后利用所控制的這些大量攻擊源,同時向目標機發起拒絕服務攻擊,稱之為分布式拒絕服務(Distribute Denial of Service,DDoS)攻擊。常見的DDoS攻擊工具有Trinoo、TFN等。
Web腳本入侵:由于使用不同的Web網站服務器和開放語言,網站中存在的漏洞也不相同,所以使用Web腳本攻擊的方式也很多。例如黑客可以從網站的文章系統下載系統留言板等部分進行攻擊,也可以針對網站后臺數據庫進行攻擊,還可以在網頁中寫入具有攻擊性的代碼,甚至可以通過圖片進行攻擊。Web腳本攻擊常見方式有注入攻擊、上傳漏洞攻擊、跨站攻擊、數據庫入侵等。
0day攻擊:0day通常是指還沒有補丁的漏洞,而0day攻擊則是指利用這種漏洞進行的攻擊。提供該漏洞細節或者利用程序的人通常是該漏洞的發現者。0day漏洞的利用程序對網絡安全具有巨大威脅,因此0day不但是黑客的最愛,掌握0day的數量也成為評價黑客技術水平的一個重要參數。
應對APT攻擊的防范技術有以下這些:
沙箱技術:沙箱,又叫做沙盤,被認為是當前防御APT攻擊的最有效技術之一。沙箱即是通過虛擬化技術形成一個模擬化的環境,同時將本地系統中的進程對象、內存、注冊表等與模擬環境相互隔離,以便在這個虛擬化環境中測試和觀察文件、訪問等運行行為。沙箱通過重定向技術,將測試過程中生成和修改的文件定向到特定文件夾中,避免了對真是注冊表、本地核心數據等的修改。當APT攻擊在改虛擬環境發生時,可以及時地觀察并分析其特征碼,進一步防御其深入攻擊。
信譽技術:安全信譽是對互聯網資源和服務相關實體安全可信性的評估和看法。信譽技術是應用于APT攻擊檢測具有較好輔助功能的一項技術,通過建立信譽庫,包括WEB URL信譽庫、文件MD5碼庫、僵尸網絡地址庫、威脅情報庫等,可以為新型病毒、木馬等APT攻擊的檢測提供強有力的技術輔助支撐,實現網絡安全設備對不良信譽資源的阻斷或過濾。信譽庫的充分利用,將進一步提高安全新品的安全防護能力。
主機漏洞防護技術:針對橫向移動與內部資料進行挖掘和探測的防御,可采用主機漏洞防護技術,能偵測任何針對主機漏洞的攻擊并加以攔截,進而保護未修補的主機。這類解決方案可實現檔案 / 系統一致性監控,保護未套用修補程序的主機,防止已知和0day 漏洞攻擊。
異常流量分析技術:這是一種流量檢測及分析技術,其采用旁路接入方式提取流量信息,可以針對幀數、幀長、協議、端口、標識位、IP路由、物理路徑、CPU/RAM消耗、寬帶占用等進行監測,并基于時間、拓撲、節點等多種統計分析手段,建立流量行為輪廓和學習模型來識別流量異常情況,進而判斷并識別0Day漏洞攻擊等。
數據防泄漏技術:針對資料外傳的風險,一般可采用加密和資料外泄防護 (DLP)技術,將關鍵、敏感、機密的數據加密,是降低數據外泄風險的一種方法,DLP 可提供一層額外的防護來防止數據外泄。然而,這類工具通常很復雜,而且有些部署條件,例如:數據要分類,要定義政策和規則等。
大數據分析技術:APT攻擊防御離不開大數據分析技術,無論是網絡系統本身產生的大量日志數據,還是SOC安管平臺產生的大量日志信息,均可以利用大數據分析技術進行大數據再分析,運用數據統計、數據挖掘、關聯分析、態勢分析等從記錄的歷史數據中發現APT攻擊的痕跡,以彌補傳統安全防御技術的不足。
回答所涉及的環境:聯想天逸510S、Windows 10。