发布时间 : 星期四 文章APT攻击的发现与防护方案的设计毕业论文更新完毕开始阅读691468fbb9f67c1cfad6195f312b3169a551ea42
贵州大学毕业论文(设计) 第19页
1关闭“文件和打印共享” ○
文件和打印共享可以实现内网中同一网段中的各个成员之间的文件的传输,使用起来很方便,所以很多时候企业都会采用这样的方式进行文件的传输,但在不需要它的时候,文件和打印共享就成了攻击者入侵内部网络的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下,可以这个功能关闭。 2禁止建立空连接 ○
将内网的所有计算机上禁止建立空连接。默认的情况下,所有的用户都可以通过空连接连上服务器,所以这样就会对我们的服务器带来很大的安全隐患,导致服务器上的信息泄露。 3隐藏IP地址 ○
使用代理服务器将内网中的IP地址进行隐藏,在内网中的主机上和远程服务器之间架设一个“中转站”,当内网中的主机向远程服务器提出服务后,代理服务器首先截取内网主机的请求,然后代理服务器将服务请求转交远程服务器,从而实现内部网络中的主机和远程服务器之间的联系。使用代理服务器后,攻击者只能探测到道理服务器的IP地址而不是内网中主机的IP地址,这就实现了隐藏用户IP地址的目的,从而保障了内网的安全。因为IP和计算机的关系就好比身份证上的身份证号和人的关系,当一个攻击则通过扫描工具确定了一台主机的IP地址后,相当于他已经找到了攻击的目标,并通过IP向目标主机发动各种进攻,所以隐藏内网中的IP地址至关重要。 4关闭不必要的端口 ○
攻击者在入侵时常常会对目标主机的端口进行扫描,安装了端口监视程序,当监视程序检测到有人扫描是就会有警告提示。并用工具软件关闭用不到的端口,进一步提高系统的安全新。 5更换管理员账户 ○
为Adminstrator账户设置一个强大复杂的密码,然后重命名Adminstrator账户,再创建一个没有管理员权限的Adminstrator账户漆面入侵者,以此来防止攻击者知道管理员账户,从而在一定的程度上保证计算机安全。因为 Adminstrator账户拥有最高的系统权限,一旦攻击者获得Adminstrator账户权限,
贵州大学毕业论文(设计) 第20页
就可以对系统进行任何操作,后果不堪设想, 6 安装必要的安全软件 ○
为内网中的各个主机安装必要的防黑软件、杀毒软件和防火墙,在一定的程度上保证计算机安全。
4.7 社会工程学
通过培训,使内网的工作人员对社工有个比较全面的认识,学会理智地分辨他们身边存在或可能存在的“社工行为”以及“社工因素”,避免内网被\社工\。社会工程学,在普遍的网络攻击和的APT攻击中、扮演着非常重要的角色。社会工程学的攻击主要是从“人”开始的。我们在网络防御中,人也是防御中的一个重要环节。0day漏洞很可怕,可是在网络攻击中的社会工程学同样很可怕,社会工程学是一个很广泛的攻击手段,跟技术性的防范不同,它包含很多的不确定因素,所以要想防范社会工程学攻击还是很有难度的。 (1)防范来内网的主动/被动的社会工程学攻击
“主动的社会工程学攻击”指来内网中\不安分\人员的攻击。而“被动社会工程学攻击”是指内网中的人员因为信息泄露等因素,被外网的攻击者所利用而引发的攻击。绝大部分社工攻击是通过电子邮件或即时消息进行的。上网行为管理设备应该做到阻止内部主机对恶意U R L的访问。 (2)防范邮件中的社会工程学攻击
许多攻击者会采用“邮件”作为主要的攻击手段,攻击者通过篡改DNS服务器上的解析记录,将对正常U RL的访问引导到挂有木马的网页上。DNS服务器,可能是内部的缓存服务器,也可能是外部的DNS服务器,由于只能对内部DNS服务器监控而无法监控外部DNS服务器的情况,因此不能完全避免这种类型的攻击[13]。所以,对这方面,应该要特别注意。有些攻击者可能会冒充某些正规网站的名义,然后编个冠冕堂皇的理由寄一封信给内部人员,并要求输入用户名称与密码,当内部成员输入后,如果按下“确定”,那时用户名和密码就会返回到攻击者的邮箱。所以内网人员不要随便回陌生人的邮件。
贵州大学毕业论文(设计) 第21页
4.8 针对SQL注入的防护
(1)应用程序设计
该SQL语句ELECT * FROM Users WHERE Username='username'AND Password='password’可能会带来SQL注入攻击,因为当我们在用户名和密码地址栏中输入username = 1'or'1'='1和password=1'or'1'='1,SQL语句就变成了:SELECT * FROM Users WHERE Username='1' OR '1'='1'AND Password='1'OR '1'='1',该语句恒为真,所以就会登陆后台界面,这样就会构成SQL注入攻击,所以我们应该对SQL注入的字符串进行有效的过滤[]。常见的一些SQL注入攻击及正则表示如表4.1所示。
表4.1正则规范表
攻击语句 ;and(select count(*) from account)>0 正则表示 ;?and\\(select\\s+count\\(\\*\\)\\s+from\\s)+[^ )]+\\)\\s*>=?\\s*\\d+ 说明 猜测数据库表名 删除数据 构造永远为真的条件语句 Admin’:drop table accounts- ([^’]*’\\s*)?;\\s*drop\\s+table\\s+|_a- -z0-9]+(--)? ’or 1=1 -- (’\\s+)?or\\s+[[;almun;||+\\s*=\\s*|[;alnum;]]+\\s*(--)? 方案的流程图如下图4.2所示:
GET请求获取URL参数检查注入攻击获取POST数据图4.2 防御流程图
产生应答POST请求
当发现SQL攻击时,则拦截请求并产生警告信息作为应答;如果未发现攻击,则提交至系统模块。获取数据匹配的具体的流程图如下图4.3所示:
贵州大学毕业论文(设计) 第22页
开始是否属于黑名单阻止访问URL解码是是否存在关键字提交系统模块处理否是是否匹配规则否记录可以数据返回警告提交系统处理结束
图4.3 匹配流图
当拦截到Http请求后首先对请求内容进行URL解码,其主要目的是防止攻击者以URL编码方式构造SQL注入语句。然后检测请求数据中是否含有SQL注入攻击常用的关键字以及分隔符,如and、or、1=1、’、等,如果不含有,则可以排除注入攻击的可能。如果含有则提示登录信息错误,并将输入的数据提交至详细的规则检测,又返回来处理正常请求,并尽可能快地将正常请求提交至系统模块处理,避免正常客户对网站访问的延迟影响。对于包含注入关键字的Web请求,可以遍历规则库对请求内容进行详细的正则匹配。如果匹配成功,则拦截请求、向客户端发送警告。如果匹配失败,则将请求字符串记录入可疑攻击代码库,提交网站管理员分析。如果发现同一源IP地址短时间内多次攻击,