基于网络攻击链的安全防护思考

网络空间是一个没有硝烟的战场，任何组织和机构在网络空间内都是渺小和脆弱的个体，网络攻击的来源无法确定，发起攻击的时间不可预见，要在这个战场中安稳生存实属不易。所幸的是，网络攻击的手段都是类似的，有规律可循的。

美国最大的军火商洛克希德马丁公司（Lockheed Martin）提出的“网络攻击链”（ Cyber Kill Chain）模型，也被称为“网络杀伤链”模型，其描述了一次完整的网络攻击需要经历七个阶段，如图所示：

图1:“网络攻击链”模型

侦查目标(Reconnaissance)：侦查目标，充分利用社会工程学了解目标网络。

制作工具(Weaponization)：主要是指制作定向攻击工具，例如带有恶意代码的pdf文件或office文件。

传送工具(Delivery)：输送攻击工具到目标系统上，常用的手法包括邮件的附件、网站（挂马）、U盘等。

触发工具(Exploitation)：利用目标系统的应用或操作系统漏洞，在目标系统触发攻击工具运行。

安装木马(Installation)：远程控制程序（特马）的安装，使得攻击者可以长期潜伏在目标系统中。

建立连接(Command and Control)：与互联网控制器服务器建立一个C2信道。

执行攻击(Actions on Objectives)：执行所需要得攻击行为，例如偷取信息、篡改信息等。

“网络攻击链”模型认为任何网络攻击都可以对应到上述七个步骤中，分析该模型每个步骤可能使用的攻击方法，可以为网络安全保障人员提供针对各个攻击环节的防护思路，建立精准、完整的网络安全防护体系，减少网络攻击给组织或机构带来的损失。

【一一帮助安全学习，所有资源获取处一一】

①网络安全学习路线

②20份渗透测试电子书

③安全攻防357页笔记

④50份安全攻防面试指南

⑤安全红队渗透工具包

⑥网络安全必备书籍

⑦100个漏洞实战案例

⑧安全大厂内部视频资源

⑨历年CTF夺旗赛题解析
1.侦查目标(Reconnaissance)

在军事对抗中，情报是制定谋略的基础，一招制胜的前提。兵法有云，“知己知彼，百战不殆”，官渡之战中，曹军利用信息优势掌控战局，精准定位袁军的薄弱点，对乌巢粮仓发动奇袭，一举攻破要害，以少胜多。在网络战场中，入侵的第一步也是侦查目标，攻击者会从各种渠道收集入侵目标的信息，绘制目标画像和信息拓扑，寻找目标的弱点，制定入侵策略。

常见的目标侦查手段例举如下：

通过Googlehacking或爬虫工具收集目标暴露在互联网的敏感信息，如企业架构、员工邮箱、采购信息、泄密文件等；

通过Rayspace、Shodan、Fofa、Zoomeye等专业的网络空间资产探测工具收集目标的互联网资产信息，如在线设备、网站、应用系统及其使用的服务和组件等信息；

通过站长工具、爱站、微步在线等工具查询目标的whois信息，包括目标相关域名的IP以及所有者信息等；

通过Nmap、Ping、Dnsmap、Nslookup等工具，收集目标网络空间资产的状态信息、属性信息、关联信息等；

通过Github、GitLab、BitBucket等源代码托管平台，收集目标及其关联系统的源码信息；

利用社会工程学方法，通过客服电话、人员潜入、社工库查询等方式，获取目标相关信息。

攻击者收集目标信息的方法远不止上文所述，组织和机构面对来自多角度、多方式的信息侦查，可以通过以下防御措施降低安全风险：

不在公开网站暴露组织的敏感信息，利用互联网敏感信息检测工具，定期检测暴露在互联网的组织敏感信息并定期处理，收敛信息暴露面；

服务器配置加固，关闭不必要的端口和服务，网站错误回显避免暴露服务器信息，可以利用基线核查工具或漏洞扫描工具，定期对服务器安全性进行评估和加固；

网络边界部署WAF、入侵防御、防火墙等安全防护设备，有效抵御扫描器、网络爬虫等攻击；

部署蜜罐网络，混淆攻击者的侦测目标，主动识别黑客身份，对入侵者进行溯源打击。

目标侦查阶段的有力防护，可以在网络攻击的初始阶段拖延入侵进度，限制攻击者的攻击手段，增加攻击者的入侵成本，让攻击者知难而退。

2.制作工具(Weaponization)

“工欲善其事，必先利其器”。攻击者对目标侦查完毕后，会根据目标特点和入侵目的，组合“传统兵器”，定制“特种武器”，打造具有针对性的“武器库”，常见的“武器”例举以下几种：

利用Metasploit框架编写的攻击脚本；

EXP库中的漏洞利用工具；

僵尸程序、特洛伊木马、网络蠕虫等恶意程序；

利用社会工程学成果制作的钓鱼网站、弱口令库；

SQLMap、BurpSuite、中国菜刀、中国蚁剑、AWVS、WAPITI等常用攻击工具。

通常在一次具有针对性的攻击中，还可能会制作智能攻击脚本，通过调用工具集实现自动化攻打击，利用混淆、加壳、加密等技术制作变种恶意程序，利用AI技术Bypass动态检测，利用自学习攻击模型进行情报库污染等。面对各式各样的攻击工具，可以通过以下措施强化安全防线：

采用漏洞扫描工具，及时发现系统和应用中的漏洞，并采取修补或防护措施；

安装防毒墙、杀毒软件，对病毒传播进行定向防护；

利用网站监测工具对钓鱼网站进行定位打击；

开启WAF、防火墙等产品的攻击防护策略，阻断扫描、注入、拒绝服务、暴力破解等入侵行为。

断敌兵刃，可夺其志。针对攻击工具的定向防护，可以有效遏制攻击者的入侵，让攻击者无计可施。

3.传送工具(Delivery)

攻击者打造“武器库”后，将进行“武器”投放，特洛伊战争的故事非常经典，古希腊间谍诱骗特洛伊国王将大型木马雕像运往城中，隐藏在大型木马中的希腊军队在城中发动奇袭，一举攻破了特洛伊王国，这也是特洛伊木马命名的由来。同样，在网络空间中，攻破一个系统最有效的方式，就是将恶意代码传送至目标系统。

通常情况下，传送恶意代码的方式可以分为物理传输和网络传输。

物理传输

通过U盘、外设、硬盘等物理介质，将恶意代码输送至目标主机网络传输通过钓鱼邮件、挂马网站、即时通讯软件等方式诱导受害者下载恶意文件

表1 恶意代码传送方式

针对以上恶意代码的传送方式，可以通过以下措施进行防范：

安装主机防护软件，检测来源于物理介质的恶意代码传输；

部署网络边界防护产品，及时发现并阻断病毒和恶意程序的传输行为；

部署邮件安全网关产品，识别电子邮箱中的恶意文件和危险链接，有效防范来源于电子邮件的恶意攻击；

提高人员网络安全防护意识，具备基本的网络欺骗鉴别能力。

据相关报告统计，2019年全球19.8%的计算机至少检测到一次恶意软件类攻击；2020年垃圾邮件在电子邮件流量中占50.37%，共检测到184435643个恶意附件，反钓鱼软件阻止了434898635次诈骗网站访问。庞大的数据说明了恶意代码的网络传播行为尤为猖獗，全网计算机用户的网络安全防护意识仍待提高。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，如果你对网络安全入门感兴趣，需要的话可以在下方