黑客入侵五個步驟

本文的目的不是讓你成為網路防護方面的專家。它僅僅是介紹黑客經常使用的一些攻擊方式。有了這些資料的幫助，安全專家可以更好地進行準備，以便在出現安全事件時，能夠更輕鬆地找出敵人究竟在哪裡以及在做什麼?

操作方法

（01）第一階段：搜尋　　搜尋可能是耗費時間最長的階段，有時間可能會持續幾個星期甚至幾個月。黑客會利用各種渠道盡可能多的瞭解企業型別和工作模式，包括下面列出這些範圍內的資訊：　　網際網路搜尋　　社會工程　　垃圾資料搜尋　　域名管理/搜尋服務　　非侵入性的網路掃描　　這些型別的活動由於是處於搜尋階段，所以屬於很難防範的。很多公司提供的資訊都屬於很容易在網路上發現的。而員工也往往會受到欺騙而無意中提供了相應的資訊，隨著時間的推移，公司的組織結構以及潛在的漏洞就會被發現，整個黑客攻擊的準備過程就逐漸接近完成了。不過，這裡也提供了一些你可以選擇的保護措施，可以讓黑客攻擊的準備工作變得更加困難，其中包括了：　　確保系統不會將資訊洩露到網路上，其中包括：　　軟體版本和補丁級別　　電子郵件地址　　關鍵人員的姓名和職務　　確保紙質資訊得到妥善處理　　接受域名註冊查詢時提供通用的聯絡資訊　　禁止對來自周邊區域網/廣域網裝置的掃描企圖進行迴應

（02）第二階段：掃描　　一旦攻擊者對公司網路的具體情況有了足夠的瞭解，他或她就會開始對周邊和內部網路裝置進行掃描，以尋找潛在的漏洞，其中包括：　　開放的埠　　開放的應用服務　　包括作業系統在內的應用漏洞　　保護性較差的資料傳輸　　每一臺區域網/廣域網裝置的品牌和型號　　在掃描周邊和內部裝置的時間，黑客往往會受到入侵防禦(IDS)或入侵檢測(IPS)解決方案的阻止，但情況也並非總是如此。老牌的黑客可以輕鬆繞過這些防護措施。下面提供了防止被掃描的措施，可以在所有情況使用：　　關閉所有不必要的埠和服務　　關鍵裝置或處理敏感資訊的裝置，只容許響應經過核准裝置的請求　　加強管理系統的控制，禁止直接訪問外部伺服器，在特殊情況下需要訪問的時間，也應該在訪問控制列表中進行端到端連線的控制　　確保區域網/廣域網系統以及端點的補丁級別是足夠安全的

（03）第三階段：獲得許可權　　攻擊者獲得了連線的許可權就意味著實際攻擊已經開始。通常情況下，攻擊者選擇的目標是可以為攻擊者提供有用資訊，或者可以作為攻擊其它目標的起點。在這兩種情況下，攻擊者都必須取得一臺或者多臺網路裝置某種型別的訪問許可權。　　除了在上面提到的保護措施外，安全管理人員應當盡一切努力，確保終端使用者裝置和伺服器沒有被未經驗證的使用者輕易連線。這其中包括了拒絕擁有本地系統管理員許可權的商業客戶以及對域和本地管理的伺服器進行密切監測。此外，物理安全措施可以在發現實際攻擊的企圖時，拖延入侵者足夠長的時間，以便內部或者外部人員(即保安人員或者執法機構)進行有效的反應。　　最後，我們應該明確的一點是，對高度敏感的資訊來說進行加密和保護是非常關鍵的。即使由於網路中存在漏洞，導致攻擊者獲得資訊，但沒有加密金鑰的資訊也就意味著攻擊的失敗。不過，這也不等於僅僅依靠加密就可以保證安全了。對於脆弱的網路安全來說，還可能存在其它方面的風險。舉例來說，系統無法使用或者被用於犯罪，都是可能發生的情況。

（04）第四階段：保持連線　　為了保證攻擊的順利完成，攻擊者必須保持連線的時間足夠長。雖然攻擊者到達這一階段也就意味他或她已成功地規避了系統的安全控制措施，但這也會導致攻擊者面臨的漏洞增加。　　對於入侵防禦(IDS)或入侵檢測(IPS)裝置來說，除了用來對入侵進行檢測外，你還可以利用它們進行擠出檢測。下面就是入侵/擠出檢測方法一個簡單的例子，來自理查德·帕特里克在2006年撰寫的《擠出檢測：內部入侵的安全監控》一書的第三章：擠出檢測圖解。它包括了：　　對通過外部網站或內部裝置傳輸的檔案內容進行檢測和過濾　　對利用未受到控制的連線到伺服器或者網路上的會話進行檢測和阻止　　尋找連線到多個埠或非標準的協議　　尋找不符合常規的連線引數和內容　　檢測異常網路或伺服器的行為，特別需要關注的是時間間隔等引數

（05）第五階段：消除痕跡　　在實現攻擊的目的後，攻擊者通常會採取各種措施來隱藏入侵的痕跡和併為今後可能的訪問留下控制權限。因此，關注反惡意軟體、個人防火牆和基於主機的入侵檢測解決方案，禁止商業使用者使用本地系統管理員的許可權訪問桌上型電腦。在任何不尋常活動出現的時間發出警告，所有這一切操作的制定都依賴於你對整個系統情況的瞭解。因此，為了保證整個網路的正常執行，安全和網路團隊和已經進行攻擊的入侵者相比，至少應該擁有同樣多的知識。

（06）以上就是黑客入侵五個步驟