蒋巍 王杨 齐景嘉 张明辉 艾何洁

摘 要：针对黑客扫描服务器系统和软硬件架构收集相关信息，利用收集的信息寻找漏洞获取权限，达到窃取或者破坏的目的，并掩盖踪迹留下后门攻击流程，总结了在与黑客对抗过程中，针对黑客渗透思维的Web服务安全防护策略，制定了一整套常用防范措施以保障服务器安全运行。

关键词：黑客；渗透思维；服务器；安全

中图分类号：TP3-05 文献标识码：A

1 引言

真正的计算机网络安全专家总是在思考怎么样能“渗透”系统。无论碰到什么系统，他们总是想到如何入侵。只有像黑客一样看系统，你才会更好地找出系统弱点，进行抵抗。在计算机网络安全方面，维护者需要具有攻击者的思维，才能有效抵御来自攻击者的攻击，维护系统安全，有的放矢才能事半功倍。

2 黑客攻击的手段

预攻击探测：预攻击探测主要包括主机扫描、网络结构发现、端口和服务扫描、操作系统识别、资源和用户信息扫描等。主要通过一些扫描工具来骗过系统的防火墙访问一些端口协议来获取用户的信息。如IP地址范围、DNS服务器地址和邮件服务器地址等。

扫描查点漏洞利用：通过预攻击探测，进一步扫描查点确定操作系统或软件平台版本，搜索特定系统上用户和用户组名、路由表、SNMP信息、共享资源、服务程序及旗标等信息，可以有针对性地进行包括口令破解、IPC漏洞、缓冲区溢出、IIS漏洞、综合漏洞扫描等。如扫描发现有某个Web服务平台有可利用的上传漏洞，通过漏洞利用工具就有可能上传木马到服务器上，可以进一步提权控制服务器。

获取访问权限：在网站入侵过程中，当入侵某一网站时，通过各种漏洞提升Webshell权限以夺得该服务器权限，如net user命令提权；缓冲区溢出提权。进而对数据和服务资源进行利用或破坏。如果没办法有获取权限，可以采用拒绝服务攻击破坏网站的服务功能。

拒绝服务攻击：即DoS，Denial of Service的缩写，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。该攻击能够实现迫使服务器的缓冲区满，不接收新的请求；使用IP欺骗，使服务器把合法用户的连接复位，影响合法的用户连接。

权限提升：试图成为Administrator/root超级用户，进而控制整个平台或操作系统。

窃取修改破坏：黑客获取到平台或服务器权限后可能会改变、添加、删除及复制用户数据，也可能利用服务资源。如挂载博彩网站获取点击率，安装挖矿软件获取比特币，掩盖行踪后做为“肉鸡”使用。

掩盖行踪：黑客入侵系统，必然会留下痕迹。他们需要做的首要工作就是掩盖清除入侵痕迹。只有避免自己被发现或检测出来，才能够随时返回被入侵系统。掩盖踪迹需要清空事件日志、禁止系统审计、隐藏作案工具及使用Rootkit的工具组等方式替换操作系统那些常用的命令。

创建后门：黑客入侵系统后，为了能够随时返回被入侵系统，会创建一些后门及陷阱，以便卷土重来，可以以特权用户的身份等方式控制整个系统。创建后门的常见方法有创建虚假用户账号使其具有特殊用户权限、安裝批处理、安装远程控制工具、木马程序替换系统程序、感染启动文件及安装监控机制等。

3 Web服务安全防护策略

防止黑客攻击技术分为主动防范技术与被动防范技术两类。

主动防范技术主要包括入侵检测技术、数字签名技术、黑客攻击事件响应自动报警、阻塞和反击技术、服务器上关键文件的抗毁技术、设置陷阱网络技术、黑客入侵取证技术等。被动防范技术主要包括防火墙技术、查杀病毒技术、分级限权技术、网络隐患扫描技术、重要数据加密技术、数据备份冗灾和数据备份恢复技术等。

应该首先分析所管理的安全设备的功能及安全级别需求，在不同的网络环境下，给网络设备配备不同的安全策略，应用不同的安全技术。

3.1 防踩点、防扫描、防信息收集及获取访问权限

（1）提高安全意识防止管理员个人信息和开发人员信息泄露。随着云计算、物联网和移动互联网等新一代信息技术的飞速发展，黑客通过数据采集大数据分析，直接被破解密码、漏洞利用的可能性增加。如开发人员开发的类似软件漏洞直接被利用，管理员的生日、电话和常用密码等信息被添加到密码字典中暴力破解。

（2）开启第三方安全设备。打开防火墙过滤掉 ICMP 应答消息，禁 PING，过滤入站的 DNS 更新，关闭不需要的端口，加强访问控制隔离网络，限制协议使用，限制用户的过度特权；配制IDS入侵检测设备识别异常和流氓访问模式。

（3）升级最新系统和软件补丁防止漏洞被扫描利用。

3.2 防拒绝服务攻击、ARP攻击、CC攻击

适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为（一般是丢弃该数据包），提高抗拥塞能力增加出口带宽容量，对这种攻击进行审计，记录事件发生的时间，源主机和目标主机的MAC地址和IP地址等。

3.3 防注入、防上传木马、防提权

（1）禁止system访问CMD.exe。

（2）删除、移动、更名控制关键系统文件、命令及文件夹。

（3）开启杀毒软件监控进程、数据包、用户和文件变化。

（4）开启第三方安全设备，配制IDS入侵检测设备监控恶意代码攻击，使用堡垒机、域服务器管理用户。

3.4 防数据窃取、防修改、防破坏、防资源利用

（1）数据加密。采用对称加密技术、非对称加密技术等加密方法对数据在行加密。

（2）安全隔离。实现数据的不同安全级别隔离技术，完全隔离、数据转播过程隔离、安全通道隔离、在网络内部信息安全交换等。

（3）数据备份恢复容灾，有不同级别的备份策略。系统级别、服务应用级别、数据级别的重要时段备份；防止备份信息存在病毒，也利于进行数据差异化分析。

（4）开启第三方安全设备，配制网站防篡改设备，自动禁止对Web服务器保护目录下文件或文件夹的各种篡改，篡改的网页自动恢复。

3.5 防掩盖踪迹

电子证据应注意提取的两个重点方面：（1）服务器和网站日志、用户文件、最近访问记录、浏览器记录、恢复删除数据；（2）开启第三方安全设备，配制日志服务器。

3.6 防创建后门

（1）升级最新病毒库，木马病毒扫描。

（2）查看系统进程、启动项、default-后面是否有可疑信息、建立连接的IP地址。

（3）限制主动访问外网功能。

在实际服务器安全管理中要掌握几个原则：

（1）开放和使用最少的服务和功能，实现最大的安全；

（2）所有的探测、访问、登录和系统功能使用尽量高复杂度；

（3）做多手准备，数据备份、系统备份、系统服务冗灾、主机冷备热备、制作静态网页或故障提示网页并在发现问题第一时间使用；

（4）寻求更高技术支持、寻求法律支持使黑客攻击成本增加，尽量使黑客不能做、不愿意做、不敢做。

4 结束语

众所周知，黑客的攻击技术方法在不断更新，安全漏洞不断被披露，软件漏洞、系统漏洞、平台漏洞甚至于硬件驱动漏洞每年都有，没有一套方案是绝对安全的。对用户来说主要是全方位提高安全意识，不断的学习和提高，增强安全方面知识，努力弥补安全短板，做好防范工作，在平时的使用和维护过程中不断完善服务器的安全性能，不断提高与黑客的对抗能力。

参考文献

[1] 李鑫，李京春，鄭雪峰，张友春，王少杰.一种基于层次分析法的信息系统漏洞量化评估方法[J].计算机科学，2012（07）.

[2] 余前帆.大数据时代网络空间安全问题的思考[J].网络空间安全，2017（ Z1）.

[3] 张辉.一种基于网络驱动的Windows防火墙设计[J].网络空间安全， 2017（Z5）.

[4] 蔡佳晔，张红旗，高坤.基于Sibson距离的OpenFlow网络DDoS攻击检测方法研究[J].计算机应用研究， 2018（06）.

[5] 凯比努尔·赛地艾合买提.网络空间安全研究亟待解决的关键问题[J].网络空间安全，2016 （Z1）.