九五至尊在线娱乐城 - 首页进入
中华币:| 会员登录| 诚信企业查询| 设为九五至尊老九五至尊在线娱乐城ks99信誉第一| 加入收藏
当前位置: 中国商业网 > 互联网 > 网络安全 > 左右互博:站在攻击者的角度来做防护(1)

左右互博:站在攻击者的角度来做防护(1)

时间:2015-06-12 10:44来源:中国商业网 阅读: 次   

0×01、前言

习惯性的讲点废话,笔者是一名菜鸟安全工程师。有幸参与过两次安全方面的比赛,有些个人的体会,所以就有了这篇文章了。(自知技术还很菜,望各位大牛不喜勿喷,也欢迎对这方面感兴趣的同学来和我一起交流探讨。)

‍‍‍‍0×02、攻击者会怎么做?‍‍‍‍

在做这几次防护的过程中,我一直在思考。我如果是攻击者,我会怎么来攻击?我会怎么去做?

A、第一步,针对目标做信息收集(扩大目标)

子域信息、Whois信息、Ip信息、端口信息、公司人员的信息、公司邮箱信息等等,一切与目标相关的信息。

B、针对拿到的信息,进行漏洞扫描及挖掘

针对子域,我们可以去尝试获取其ip,及对其域名进行漏洞扫描。

针对whois信息,我们可以去尝试,获取其注册邮箱,进一步进行社工拿到密码进行域名劫持。

针对ip信息,我们可以去获取ip对应的端口及服务,对相应的服务进行漏洞扫描及挖掘。(对于踢场子的来说,直接进行ddos,直接让你玩不下去。)

针对公司人员信息及公司邮箱信息,可以进行社工弱口令之类。看能否拿到某位员工的公司邮箱,通过敏感信息进一步深入。(如果碰到某位关键人物)

看我写起来貌似很简单似的,但实际上确是一个苦逼而漫长的过程。

除了攻击者的技术水平、人的毅力及对事物的专注程度外,还与运气有点关系。(看你碰到的是sb管理还是nb管理)

做为防护者,这个时候你该怎么做了??对方已经出招,得接住呀!不然这个看场子的任务就将失败了。

0×03、我是这样来做防护的

A、Find and fix(这个其实是很关键的)

从字面上理解就是”发现并修复“,简单的来说就是通过一些手段,去发现系统中的安全问题,然后解决问题。(医生的最高境界不是去治疗疾病,而是在疾病没有来,就拔除了,根源在代码)

带领团队成员对站点进行安全测试,发现安全问题,尽量减少外部安全隐患。(这里只能说是减少隐患,一个人的力量是有限的,一个团队的力量也是有限的,并且侧重点都不一样。)

上面也说了,只能是减少安全隐患,当漏了安全问题的时候,该怎么办了??这就有了下面的了。

B、Defend and Defer

从字面上来说是“捍卫和推迟”(这是谷歌翻译的啊!和我没关系),这里的防护难道仅仅是弄一些安全设备(防火墙、入侵检测系统、web应用防火墙)么???当然这些也是不可少的,但不是全部。合理的事物,放在合理的位置,才能产生好的效果。

左右互博:站在攻击者的角度来做防护

纵深防护

这里主要涉及到,防火墙的HA,入侵检测系统、白名单的使用,CDN及云防护。

流量从外面到里面需要经过如下几层:

第一层必须经过CDN云防护的过滤及隐藏真实ip;‍‍

‍‍第二层必须经过防火墙白名单过滤,只允许cdn过来的流量;‍‍

‍‍第三层必须经过IDS或者IPS的过滤或者记录风险行为。

也就是说就算我服务器存在一些安全风险,如果你没能绕过这重重过滤也是没用的。

MASTER防火墙

BACKUP防火墙

这里防火墙的HA,主要是为了防止单点故障或者说是流量攻击时而设。关于这个防火墙的HA,这里有文章介绍:

%E8%BF%90%E7%BB%B4%E5%AE%89%E5%85%A8/4010

难道安全防护做到这里就完成了?如果有人绕过了你的种种过滤(或者说你的某一层过滤失效了),你还能高枕无忧么?不能想当然,你做不到,并不代表别人也做不到。一切皆有可能,做好最坏的打算。

当黑客绕过了重重过滤后,对服务器进行攻击的时候,你是否能在第一时间发现?

当黑客找到服务器漏洞,绕过了各种防护,拿到了shell,你是否能在第一时间了解到,并能分析出漏洞所在地?

这个时候就有了第四层的监控(应该算是比较失败的),基于主机的ids(可以理解成一个文件监控系统,自然也可以成为一个日志分析系统),从理论上讲,我们可以使用这个东西,对网站目录进行监控及日志文件进行监控。一但网站文件发生变化,就立刻报警。但通过实战,通过经验告诉我,不要理想化,任何东西,都不可能横空出世,都是有他的机制的。

相关文章:

关于我们 | 联系我们 | 广告服务 | 免责声明 | 隐私保护 | 返回顶部

Copyright © 2002-2015 www.zgsyw.com 沪ICP备15040724号 中国商业网 上海商也文化传媒有限公司 版权所有