企业级Web服务器安全该怎么做主动出击！

不但企业的门户网站被篡改、资料被窃取，而且还成为了病毒与木马的传播者。有些Web管理员采取了一些措施，虽然可以保证门户网站的主页不被篡改，但是却很难避免自己的网站被当作肉鸡，来传播病毒、恶意插件、木马等等。笔者认为，这很大一部分原因是管理员在Web安全防护上太被动。他们只是被动的防御。为了彻底提高Web服务器的安全，笔者认为，Web安全要主动出击。具体的来说，需要做到如下几点。

一、在代码编写时就要进行漏洞测试

现在的企业网站做的越来越复杂、功能越来越强。不过这些都不是凭空而来的，是通过代码堆积起来的。如果这个代码只供企业内部使用，那么不会带来多大的安全隐患。但是如果放在互联网上使用的话，则这些为实现特定功能的代码就有可能成为攻击者的目标。笔者举一个简单的例子。在网页中可以嵌入SQL代码。而攻击者就可以利用这些SQL代码来发动攻击，来获取管理员的密码等等破坏性的动作。有时候访问某些网站还需要有某些特定的控件。用户在安装这些控件时，其实就有可能在安装一个木马(这可能访问者与被访问者都没有意识到)。

为此在为网站某个特定功能编写代码时，就要主动出击。从编码的设计到编写、到测试，都需要认识到是否存在着安全的漏洞。笔者在日常过程中，在这方面对于员工提出了很高的要求。各个员工必须对自己所开发的功能负责。至少现在已知的病毒、木马不能够在你所开发的插件中有机可乘。通过这层层把关，就可以提高代码编写的安全性。

二、对Web服务器进行持续的监控

冰冻三尺、非一日之寒。这就好像人生病一样，都有一个过程。病毒、木马等等在攻击Web服务器时，也需要一个过程。或者说，在攻击取得成功之前，他们会有一些试探性的动作。如对于一个采取了一定安全措施的Web服务器，从攻击开始到取得成果，至少要有半天的时间。如果Web管理员对服务器进行了全天候的监控。在发现有异常行为时，及早的采取措施，将病毒与木马阻挡在门户之外。这种主动出击的方式，就可以大大的提高Web服务器的安全性。

笔者现在维护的Web服务器有好几十个。现在专门有一个小组，来全天候的监控服务器的访问。平均每分钟都可以监测到一些试探性的攻击行为。其中99%以上的攻击行为，由于服务器已经采取了对应的安全措施，都无功而返。不过每天仍然会遇到一些攻击行为。这些攻击行为可能是针对新的漏洞，或者采取了新的攻击方式。在服务器上原先没有采取对应的安全措施。如果没有及时的发现这种行为，那么他们就很有可能最终实现他们的非法目的。相反，现在及早的发现了他们的攻击手段，那么我们就可以在他们采取进一步行动之前，就在服务器上关掉这扇门，补上这个漏洞。

笔者在这里也建议，企业用户在选择互联网Web服务器提供商的时候，除了考虑性能等因素之外，还要评估服务提供商能否提供全天候的监控机制。在Web安全上主动出击，及时发现攻击者的攻击行为。在他们采取进一步攻击措施之前，就他们消除在萌芽状态。

三、设置蜜罐，将攻击者引向错误的方向

在军队中，有时候会给军人一些“伪装”，让敌人分不清真伪。其实在跟病毒、木马打交道时，本身就是一场无硝烟的战争。为此对于Web服务器采取一些伪装，也能够将攻击者引向错误的方向。等到供给者发现自己的目标错误时，管理员已经锁定了攻击者，从而可以及早的采取相应的措施。笔者有时候将这种主动出击的行为叫做蜜罐效应。简单的说，就是设置两个服务器。其中一个是真正的服务器，另外一个是蜜罐。现在需要做的是，如何将真正的服务器伪装起来，而将蜜罐推向公众。让攻击者认为蜜罐服务器才是真正的服务器。要做到这一点的话，可能需要从如下几个方面出发。

一是有真有假，难以区分。如果要瞒过攻击者的眼睛，那么蜜罐服务器就不能够做的太假。笔者在做蜜罐服务器的时候，80%以上的内容都是跟真的服务器相同的。只有一些比较机密的信息没有防治在蜜罐服务器上。而且蜜罐服务器所采取的安全措施跟真的服务器事完全相同的。这不但可以提高蜜罐服务器的真实性，而且也可以用来评估真实服务器的安全性。一举两得。

二是需要有意无意的将攻击者引向蜜罐服务器。攻击者在判断一个Web服务器是否值得攻击时，会进行评估。如评估这个网站的流量是否比较高。如果网站的流量不高，那么即使被攻破了，也没有多大的实用价值。攻击者如果没有有利可图的话，不会花这么大的精力在这个网站服务器上面。如果要将攻击者引向这个蜜罐服务器的话，那么就需要提高这个蜜罐服务器的访问量。其实要做到这一点也非常的容易。现在有很多用来交互流量的团队。只要花一点比较小的投资就可以做到这一点。

四、专人对Web服务器的安全性进行测试

俗话说，靠人不如靠自己。在Web服务器的攻防战上，这一个原则也适用。笔者建议，如果企业对于Web服务的安全比较高，如网站服务器上有电子商务交易平台，此时最好设置一个专业的团队。他们充当攻击者的角色，对服务器进行安全性的测试。这个专业团队主要执行如下几个任务。

一是测试Web管理团队对攻击行为的反应速度。如可以采用一些现在比较流行的攻击手段，对自己的Web服务器发动攻击。当然这个时间是随机的。预先Web管理团队并不知道。现在要评估的是，Web管理团队在多少时间之内能够发现这种攻击的行为。这也是考验管理团队全天候跟踪的能力。一般来说，这个时间越短越好。应该将这个时间控制在可控的范围之内。即使攻击最后没有成功，Web管理团队也应该及早的发现攻击的行为。毕竟有没有发现、与最终有没有取得成功，是两个不同的概念。

二是要测试服务器的漏洞是否有补上。毕竟大部分的攻击行为，都是针对服务器现有的漏洞所产生的。现在这个专业团队要做的就是，这些已发现的漏洞是否都已经打上了安全补丁或者采取了对应的安全措施。有时候我们都没有发现的漏洞是无能为力，但是对于这些已经存在的漏洞不能够放过。否则的话，也太便宜那些攻击者了。

蜜罐技术的发展历程

从九十年代初蜜罐概念的提出直到1998 年左右，“蜜罐”还仅仅限于一种思想，通常由网络管理人员应用，通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。从1998 年开始，蜜罐技术开始吸引了一些安全研究人员的注意，并开发出一些专门用于欺骗黑客的开源工具，如Fred Cohen 所开发的DTK（欺骗工具包）、Niels Provos 开发的Honeyd 等，同时也出现了像KFSensor、Specter 等一些商业蜜罐产品。这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模拟成虚拟的 *** 作系统和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客。

虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。但是由于虚拟蜜罐工具存在着交互程度低，较容易被黑客识别等问题，从2000年之后，安全研究人员更倾向于使用真实的主机、 *** 作系统和应用程序搭建蜜罐，但与之前不同的是，融入了更强大的数据捕获、数据分析和数据控制的工具，并且将蜜罐纳入到一个完整的蜜网体系中，使得研究人员能够更方便地追踪侵入到蜜网中的黑客，并对他们的攻击行为进行分析。

、蜜罐的分类

世界上不会有非常全面的事物，蜜罐也一样。根据管理员的需要，蜜罐的系统和漏洞设置要求也不尽相同，蜜罐是有针对性的，而不是盲目设置的，因此，就产生了多种多样的蜜罐……根据蜜罐与攻击者的交互程度，可以分为三类：低交互蜜罐、中交互蜜罐及高交互蜜罐。

1、低交互蜜罐

低交互蜜罐最大的特点是模拟（设计简单且功能有限，安装配置和维护都很容易）。蜜罐为攻击者展示的所有攻击弱点和攻击对象都不是真正的产品系统，而是对各种系统及其提供的服务的模拟。由于它的服务都是模拟的行为，所以蜜罐可以获得的信息非常有限，只能对攻击者进行简单的应答，它是最安全的蜜罐类型。

这种蜜罐没有真实的 *** 作系统，它的价值主要在于检测，也就是对未授权扫描或者未授权连接尝试的检测。他只提供了有限的功能，因此大部分可以用一个程序来模拟。只需将该程序安装在一台主机系统中，配置管理希望提供的服务就可以了，管理员所要做的工作就是维护程序的补丁并监视所有的预警机制。这种蜜罐所提供的功能少，出错少，风险低，同时它能够为我们提供的关于攻击者的信息量也有限，只能捕获已知的攻击行为，并且以一种预定的方式进行响应，这样容易被攻击者识破，不管模拟服务做得多好，技术高明的黑客最终都能检测到他的存在。

2、中交互蜜罐

中交互蜜罐是对真正的 *** 作系统的各种行为的模拟，它提供了更多的交互信息，同时也可以从攻击者的行为中获得更多的信息，与低交互蜜罐相比，它的部署和维护更为复杂。在这个模拟行为的系统中，蜜罐可以看起来和一个真正的 *** 作系统没有区别，攻击者可以得到更多的交互。它们是比真正系统还要诱人的攻击目标，因此必须要以一个安全的方式来部署这种交互。必须开发相应的机制以确保攻击者不会危害其他系统，并且这种增加的功能不会成为攻击者进行攻击的易受攻击环节。攻击者可能会访问到实际 *** 作系统，但他们的能力是受限的，这种类型的蜜罐必须要进行日常维护，以应对新的攻击。由于它具有较大的复杂度，所以出错的风险也相应的增大，另一方面他可以收集到更多攻击者的信息。

3、高交互蜜罐

高交互蜜罐具有一个真实的 *** 作系统，它的优点体现在对攻击者提供真实的系统，当攻击者获得ROOT权限后，受系统数据真实性的迷惑，他的更多活动和行为将被记录下来。缺点是被攻击的可能性很高，如果整个高交互蜜罐被攻击，那么它就会成为攻击者下一步攻击的跳板，构建和维护它们是极为耗时的。目前在国内外的主要蜜罐产品有DTK，空系统，BOF，SPECTER，HOME-MADE蜜罐，HONEYD，SMOKEDETECTOR，BIGEYE，LABREA TARPIT，NETFACADE，KFSENSOR，TINY蜜罐，MANTRAP，HONEYNET十四种。

最为常见的高交互蜜罐往往被放置在一种受控环境中，如防火墙之后。借助于这些访问控制设备来控制攻击者使用该蜜罐启动对外的攻击。这种架构的部署和维护十分的复杂，而且这种类型的蜜罐还要求对防火墙有一个恰当的过滤规则库。同时还要求配合IDS的功能，要求IDS的签名数据库进行更新，且要不停监视蜜罐的活动。它为攻击提供的交互越多出错的地方就越多。一旦进行了正确的实现，高交互度的蜜罐就能够最大程度的洞察攻击者。例如想在一个Linux蜜罐上运行一个FTP服务器，那么你见里一个真正的Linux系统来运行FTP服务。这种解决方案优势是双重的，首先，你能够捕获大量信息。这可以通过给攻击者提供真实的系统与之交互来实现，你能够了解到攻击者的整个攻击行为，从新的工具包到IRC的会话的整个过程。高交互的第二个优势是对攻击者如何攻击不是假设，它们提供一个能够捕获行为的开放的环境，高交互度解决方法将使得我们能学到以外的攻击行为，例如：一个蜜罐在一个非标准的IP协议上捕获密码后门命令。然而，这也增加了蜜罐的风险，因为攻击者能够用这些真实的 *** 作系统来攻击非蜜罐系统。结果，要采用附加技术来组织对非蜜罐系统的攻击。高交互蜜罐虽然优于前两种交互蜜罐，但是开发和维护过于复杂。

蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击您的电脑，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何 *** 作的，随时了解针对您的服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

>

一个网络攻防的安全系统，蜜罐用来诱惑入侵者的攻击，在入侵攻击过程中，蜜罐将会记录一系列的 *** 作，包括网络入侵行为，主机 *** 作等等。所以说，蜜罐第一功能是诱骗入侵者攻击蜜罐，蜜罐第二功能是记录入侵者的入侵手段、入侵蜜罐后的 *** 作等等。

溯源思路：

1、攻击源捕获

安全设备报警，如扫描IP、威胁阻断、病毒木马、入侵事件等

日志与流量分析，异常的通讯流量、攻击源与攻击目标等

服务器资源异常，异常的文件、账号、进程、端口，启动项、计划任务和服务等

邮件钓鱼，获取恶意文件样本、钓鱼网站URL等

蜜罐系统，获取攻击者行为、意图的相关信息

2、溯源反制手段

21 IP定位技术

根据IP定位物理地址—代理IP

溯源案例：通过IP端口扫描，反向渗透服务器进行分析，最终定位到攻击者相关信息

22 ID追踪术

ID追踪术，搜索引擎、社交平台、技术论坛、社工库匹配

溯源案例：利用ID从技术论坛追溯邮箱，继续通过邮箱反追踪真实姓名，通过姓名找到相关简历信息

23 网站url

域名Whois查询—注册人姓名、地址、电话和邮箱。—域名隐私保护

溯源案例：通过攻击IP历史解析记录/域名，对域名注册信息进行溯源分析

24 恶意样本

提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析

溯源案例：样本分析过程中，发现攻击者的个人ID和QQ，成功定位到攻击者。

25 社交账号

基于JSONP跨域，获取攻击者的主机信息、浏览器信息、真实 IP及社交信息等

利用条件：可以找到相关社交网站的jsonp接口泄露敏感信息，相关网站登录未注销

3、攻击者画像

31 攻击路径

攻击目的：拿到权限、窃取数据、获取利益、DDOS等

网络代理：代理IP、跳板机、C2服务器等

攻击手法：鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等

32 攻击者身份画像

虚拟身份：ID、昵称、网名

真实身份：姓名、物理位置

****：手机号、qq/微信、邮箱

组织情况：单位名称、职位信息

以上就是关于企业级Web服务器安全该怎么做主动出击！全部的内容，包括:企业级Web服务器安全该怎么做主动出击！、蜜罐的发展历程和目前的主流分类有哪些、什么是蜜罐等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！