【网络安全】基于网络攻击链的安全防护思考_攻击链分析模型7个阶段(1)

如何自学黑客&网络安全

黑客零基础入门学习路线&规划

初级黑客
1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）
恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

如果你想要入坑黑客&网络安全，笔者给大家准备了一份：282G全网最全的网络安全资料包评论区留言即可领取！

7、脚本编程（初级/中级/高级）
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

如果你零基础入门，笔者建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime；·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完；·用Python编写漏洞的exp,然后写一个简单的网络爬虫；·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)；·了解Bootstrap的布局或者CSS。

8、超级黑客
这部分内容对零基础的同学来说还比较遥远，就不展开细说了，附上学习路线。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，评论区点赞和评论区留言获取吧。我都会回复的

视频配套资料&国内外网安书籍、文档&工具

当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。

一些笔者自己买的、其他平台白嫖不到的视频教程。

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

网络空间是一个没有硝烟的战场，任何组织和机构在网络空间内都是渺小和脆弱的个体，网络攻击的来源无法确定，发起攻击的时间不可预见，要在这个战场中安稳生存实属不易。所幸的是，网络攻击的手段都是类似的，有规律可循的。

美国最大的军火商洛克希德马丁公司（Lockheed Martin）提出的“网络攻击链”（ Cyber Kill Chain）模型，也被称为“网络杀伤链”模型，其描述了一次完整的网络攻击需要经历七个阶段，如图所示：

图1:“网络攻击链”模型

侦查目标(Reconnaissance)：侦查目标，充分利用社会工程学了解目标网络。

制作工具(Weaponization)：主要是指制作定向攻击工具，例如带有恶意代码的pdf文件或office文件。

传送工具(Delivery)：输送攻击工具到目标系统上，常用的手法包括邮件的附件、网站（挂马）、U盘等。

触发工具(Exploitation)：利用目标系统的应用或操作系统漏洞，在目标系统触发攻击工具运行。

安装木马(Installation)：远程控制程序（特马）的安装，使得攻击者可以长期潜伏在目标系统中。

建立连接(Command and Control)：与互联网控制器服务器建立一个C2信道。

执行攻击(Actions on Objectives)：执行所需要得攻击行为，例如偷取信息、篡改信息等。

“网络攻击链”模型认为任何网络攻击都可以对应到上述七个步骤中，分析该模型每个步骤可能使用的攻击方法，可以为网络安全保障人员提供针对各个攻击环节的防护思路，建立精准、完整的网络安全防护体系，减少网络攻击给组织或机构带来的损失。

1.侦查目标(Reconnaissance)

在军事对抗中，情报是制定谋略的基础，一招制胜的前提。兵法有云，“知己知彼，百战不殆”，官渡之战中，曹军利用信息优势掌控战局，精准定位袁军的薄弱点，对乌巢粮仓发动奇袭，一举攻破要害，以少胜多。在网络战场中，入侵的第一步也是侦查目标，攻击者会从各种渠道收集入侵目标的信息，绘制目标画像和信息拓扑，寻找目标的弱点，制定入侵策略。

常见的目标侦查手段例举如下：

通过Googlehacking或爬虫工具收集目标暴露在互联网的敏感信息，如企业架构、员工邮箱、采购信息、泄密文件等；

通过Rayspace、Shodan、Fofa、Zoomeye等专业的网络空间资产探测工具收集目标的互联网资产信息，如在线设备、网站、应用系统及其使用的服务和组件等信息；

通过站长工具、爱站、微步在线等工具查询目标的whois信息，包括目标相关域名的IP以及所有者信息等；

通过Nmap、Ping、Dnsmap、Nslookup等工具，收集目标网络空间资产的状态信息、属性信息、关联信息等；

通过Github、GitLab、BitBucket等源代码托管平台，收集目标及其关联系统的源码信息；

利用社会工程学方法，通过客服电话、人员潜入、社工库查询等方式，获取目标相关信息。

攻击者收集目标信息的方法远不止上文所述，组织和机构面对来自多角度、多方式的信息侦查，可以通过以下防御措施降低安全风险：

不在公开网站暴露组织的敏感信息，利用互联网敏感信息检测工具，定期检测暴露在互联网的组织敏感信息并定期处理，收敛信息暴露面；

服务器配置加固，关闭不必要的端口和服务，网站错误回显避免暴露服务器信息，可以利用基线核查工具或漏洞扫描工具，定期对服务器安全性进行评估和加固；

网络边界部署WAF、入侵防御、防火墙等安全防护设备，有效抵御扫描器、网络爬虫等攻击；

部署蜜罐网络，混淆攻击者的侦测目标，主动识别黑客身份，对入侵者进行溯源打击。

目标侦查阶段的有力防护，可以在网络攻击的初始阶段拖延入侵进度，限制攻击者的攻击手段，增加攻击者的入侵成本，让攻击者知难而退。

2.制作工具(Weaponization)

“工欲善其事，必先利其器”。攻击者对目标侦查完毕后，会根据目标特点和入侵目的，组合“传统兵器”，定制“特种武器”，打造具有针对性的“武器库”，常见的“武器”例举以下几种：

利用Metasploit框架编写的攻击脚本；

EXP库中的漏洞利用工具；

僵尸程序、特洛伊木马、网络蠕虫等恶意程序；

利用社会工程学成果制作的钓鱼网站、弱口令库；

SQLMap、BurpSuite、中国菜刀、中国蚁剑、AWVS、WAPITI等常用攻击工具。

通常在一次具有针对性的攻击中，还可能会制作智能攻击脚本，通过调用工具集实现自动化攻打击，利用混淆、加壳、加密等技术制作变种恶意程序，利用AI技术Bypass动态检测，利用自学习攻击模型进行情报库污染等。面对各式各样的攻击工具，可以通过以下措施强化安全防线：

采用漏洞扫描工具，及时发现系统和应用中的漏洞，并采取修补或防护措施；

安装防毒墙、杀毒软件，对病毒传播进行定向防护；

利用网站监测工具对钓鱼网站进行定位打击；

开启WAF、防火墙等产品的攻击防护策略，阻断扫描、注入、拒绝服务、暴力破解等入侵行为。

断敌兵刃，可夺其志。针对攻击工具的定向防护，可以有效遏制攻击者的入侵，让攻击者无计可施。

3.传送工具(Delivery)

攻击者打造“武器库”后，将进行“武器”投放，特洛伊战争的故事非常经典，古希腊间谍诱骗特洛伊国王将大型木马雕像运往城中，隐藏在大型木马中的希腊军队在城中发动奇袭，一举攻破了特洛伊王国，这也是特洛伊木马命名的由来。同样，在网络空间中，攻破一个系统最有效的方式，就是将恶意代码传送至目标系统。

通常情况下，传送恶意代码的方式可以分为物理传输和网络传输。

物理传输	通过U盘、外设、硬盘等物理介质，将恶意代码输送至目标主机
网络传输	通过钓鱼邮件、挂马网站、即时通讯软件等方式诱导受害者下载恶意文件

表1 恶意代码传送方式

针对以上恶意代码的传送方式，可以通过以下措施进行防范：

安装主机防护软件，检测来源于物理介质的恶意代码传输；

部署网络边界防护产品，及时发现并阻断病毒和恶意程序的传输行为；

部署邮件安全网关产品，识别电子邮箱中的恶意文件和危险链接，有效防范来源于电子邮件的恶意攻击；

提高人员网络安全防护意识，具备基本的网络欺骗鉴别能力。

据相关报告统计，2019年全球19.8%的计算机至少检测到一次恶意软件类攻击；2020年垃圾邮件在电子邮件流量中占50.37%，共检测到184435643个恶意附件，反钓鱼软件阻止了434898635次诈骗网站访问。庞大的数据说明了恶意代码的网络传播行为尤为猖獗，全网计算机用户的网络安全防护意识仍待提高。

4.触发工具(Exploitation)

攻击者将恶意程序传送到目标系统后，会利用目标系统或应用中存在的漏洞，执行恶意程序中包含的恶意代码，常被利用的安全漏洞有SQL注入、XSS、弱口令、任意文件上传、任意代码执行、缓冲区溢出等。除此之外，多数恶意程序本身就具备迷惑性的特点，会诱导计算机用户主动运行恶意程序，执行恶意代码。

当恶意程序已经被传输到主机后，我们可以采用以下防护手段：

安装杀毒软件，对恶意软件进行拦截、查杀；

利用沙箱工具，检查未知文件的安全性，动态分析文件行为，深度鉴别文件危害性；

部署安全防护产品，防御利用常见安全漏洞发起的攻击，拦截远程执行恶意代码的命令。

如果攻击已经进展到了触发工具的阶段，说明攻击者对目标系统的入侵已接近成功，意味着目标系统已经岌岌可危，可能随时被攻击者获取权限。

5.安装木马(Installation)

攻击者在获取到目标系统的控制权限后，将在目标系统中安装木马，植入后门，后门程序通常具有极强的隐蔽性，很难被正常用户发现。植入后门程序的作用是使得攻击者可以长期保持对目标系统的控制权限，即使目标系统修复漏洞后，攻击者仍然具有目标系统的连接方式。

简单的后门可能是拥有一个或多个账户的使用权限，复杂的后门可能是拥有特定的系统连接方式，对系统有安全存取权，可以采取以下措施对后门程序进行检测和防护：

监控系统日志，对于修改注册表、调整安全配置、添加账户、修改权限表、安装远程工具等敏感操作进行管控和审计；

利用漏洞扫描工具，定期检查系统是否被植入后门，及时查杀后门程序，修复后门漏洞；

定期备份系统状态，被入侵后可以恢复到正常状态。

6.建立连接(Command and Control)

目标系统被植入后门后，攻击者会开始建立目标系统与控制服务器的连接通道，到了这一步意味着目标系统已经完全失陷，攻击者已经具备目标系统的完整控制权限，失陷主机已经成为攻击者的肉鸡，攻击者随时可以利用该据点进行横向渗透，扩大攻击成果，或者立即发起攻击。

倘若攻击者已经“hand on the keyboard”，那么被入侵者能施展的防护手段已经不多了，可以采取以下措施进行检测和预防：

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！