全书分为两部分,第1部分包括20个挑战,其中囊括了**领域中的重要专题,包括拒绝服务攻击、无线技术、Web攻击、恶意代码。每个挑战包括一个详细的事件描述——入侵是如何检测到的、证据和可疑的线索(诸如日志文件和网络图等),以及要解决的一系列问题。然后,在第2部分,将给出针对每个挑战的解决方案,从中你将看到专家级的事件分析、问题解答,以及预防和缓解措施。
本书适合于**管理员和网络管理员,企业及组织的政策制定者也会从中受益。

引言

第1部分 挑战

1 来自法国的连接——其实只要系统管理员能够及时升级并安装系统*新的**补丁,就可以给入侵者制造很大的麻烦。在真正发生入侵事件时,首先就要做到“不要惊慌”;同样重要的,在事后不要仅仅恢复了事,应当进行全面的检查和审计。所有暴露出来的事件实际上都是冰山上的一角,既然水上的冰山已经发现,那么要继续将水下的巨大冰山挖掘出来。

行业: 软件工程
攻击难度: 低
预防难度: 低
缓解难度: 低

2 内部攻击者——不得不承认,在利用网络和计算机的攻击和损害中大部分是内部人员造成。内部人员了解内部的系统、内部业务流程,拥有一定的访问权限,有机会利用非技术手段获取其他情报。可以说,内部人员比所谓的黑客更加危险。在这个案例的分析中,发现日志的审计发挥了主要的作用。日志不仅仅包括系统中的日志(比如邮件服务器日志、VPN日志),物理访问日志也同样发挥巨大的作用。从现在开始,就将日志记录和审计变成一个日常的常规活动吧。
行业: 软件工程
攻击难度: 中等
预防难度: 中等
缓解难度: 困难
3 停车场——无线网络在给我们带来新的沟通方式的同时,也为我们带来了新的**问题。网络带来的远程访问使得**环境变得非常复杂,而无线网络更是使“现场”对当前的信息**问题来说变得没有意义。当然,不管怎么说,将没有加固的系统放置在网上永远是非常危险的。
行业: 商业在线零售商
攻击难度: 中等
预防难度: 中等
缓解难度: 中等

4 关键因素——到底哪个是关键因素?防火墙配置、系统的补丁和*新版本、网络IDS、日志监控等等,其他都做得好,如果只有一个做得不到位,这个地方就会成为“关键因素”。这么说来,追究到根儿上,看来关键因素还是整体的**策略、**管理。
行业: 软件工程
攻击难度: 低
预防难度: 低
缓解难度: 中等
5 Maggie的经历——当部署和安排一个**措施,可以消除很多风险,但是同时还带来一些新的风险,如果对新的风险没有认识,则是非常危险。就像《Maggie的经历》中,通过寻呼系统通知管理员一些必要的警报和相关信息,本来是**措施的一部分,但是就是这个措施带来了新的被监听的问题。另外,在防火墙的前后都安装NIDS来进行**评估非常有帮助。
行业: 计算机工程
攻击难度: 极高
预防难度: 中等
缓解难度: 中等

6 基因植入—— 如果二楼防护严密,你可以选择从三楼过去。而有价值的东西可能正好就在三楼。数据库系统和应用系统常常是关键业务价值所在;而设计数据库、开发引用系统的人员的**技能常常不足;这方面的专业**人才和工具也不足;三楼的**问题已经成为攻防双方共同关注的新大陆。

行业: 基因研究
攻击难度: 困难
预防难度: 低
缓解难度: 困难

7 悬案——我们已经多次感到无线网络的**隐患。嗅探和监听也是比较难于发现的攻击方法。而脆弱的密码策略也为这种嗅探提供了很多的有用信息,特别是明文传输的密码。在网络中多布置一些IDS,可能对我们提早发现可以情况提供帮助。

行业: 软件工程
攻击难度: 极难
预防难度: 中等
缓解难度: 中等

8 冰山一角——现在很多黑客攻击手法和后门都与病毒和蠕虫相结合,这样可以扩大攻击的影响范围和感染速度。作为防护一方,就要尽力发挥防病毒软件在防入侵中的作用。当然,不管怎么说,将一个没有足够防护的机器放在防火墙外面都是非常愚蠢的。

行业: 金融服务
攻击难度: 中等
预防难度: 低
缓解难度: 中等

9 不可靠的银行——作为一个网上银行的系统仅仅采用Windows操作系统作为业务平台是非常冒险的决策。作为如此重要的系统要比较彻底地解决**问题还是应当采用B1级(CC EAL4)以上的系统比较恰当。即使采用C级的系统,也一定要配备IDS系统,而且应当结合采用基于网络和基于主机的IDS。

行业: 在线银行
攻击难度: 中等
预防难度: 低
缓解难度: 困难

10 Jack和Jill——作为一个小型公司的网上业务系统,可能不值得花费大量的资源来做**,但是用一些小型的、廉价的或者免费的个人**产品还是可以考虑的。或者干脆考虑托管给能够提供相应**服务的IDC。

行业: 在线零售
攻击难度: 中等
预防难度: 低
缓解难度: 低

11 意外的观光客——
意外的观光客 又是“无线”给我们带来的麻烦。看来我们将来真的要认真对待这个问题。
行业: 半导体制造商
攻击难度: 低
预防难度: 困难
缓解难度: 中等

12 边缘地带——口令是网络和系统**中永恒的问题。许多攻击和防护技术都是围绕口令的争夺展开的。一次性口令机制是从体制上解决口令**问题的非常好的办法。同时基于主机的IDS可以帮助我们提早发现针对口令的**破解攻击。
行业: 银行业和金融服务
攻击难度: 极难
预防难度: 中等
缓解难度: 低

13 玩忽职守——在网络中尽量采用交换机而不是基线器,可以减少网络被嗅探和监听的几率。可以考虑将这条写到企业的**策略中

行业: 卫生保健
攻击难度: 中等
预防难度: 低
缓解难度: 中等

14 收获的日子——黑客为什么老是纠缠用户账户和口令?要解决这个问题,我们至少要做到每人一个账号(不要共享账号),口令中至少要有大小写的字母、数字和特殊字符。另外一个重要的方法就是备份。有了备份,真有意外发生时,可以减少很多的损失。

行业: 高校/社区大学网络
攻击难度: 中等
预防难度: 低
缓解难度: 中等

15 尖峰时刻——拒绝服务攻击(DoS)是永远无法彻底解决的攻击现象。其根本原理就是使用一些貌似合法的访问,通过**度、超范围、超常规等方式,使得网络和系统的资源耗尽或者崩溃。比较好地解决DoS需要上下游的机构协调配合。
行业: 政府承包商
攻击难度: 低
预防难度: 困难
缓解难度: 困难

16 多级跳 ——频繁地采用跳板是攻击者*基本的隐藏自己的方法。能够顺着跳板反向侦查几乎是不可能的,因为这些跳板可能涉及多个机构,甚至多个**。指望别人将系统保护好是不切实际的,我们只能保证自己的系统不被攻击,并且不被滥用来攻击别人。

行业: 市政工程
攻击难度: 低
预防难度: 低
缓解难度: 困难

17 贪婪 ——又是拒绝服务攻击……

行业: 网络工程/销售
攻击难度: 低
预防难度: 低
缓解难度: 低

18 利器——没有**策略、**组织使得这个企业的**处于无序和无助的状态;没有紧急响应流程,使得事件的处理也比较凌乱。这家公司如果不从整体**管理上有所改进的话,将来还要出问题。


行业: **诊断设备工程
攻击难度: 中等
预防难度: 低
缓解难度: 困难

19 拒绝作证 ——打*新的补丁、保护好日志、采用IDS……这些都是百试不爽的好方法。

行业: 大学
攻击难度: 极难
预防难度: 低
缓解难度: 中等

20 乡愁——如果确认一个机器已经被攻破,对其上的所有东西都不能被完全信任。如果你没有分布式日志系统或者网络IDS系统的话,就只能寄希望于攻击者的“幼稚”,并从蛛丝马迹中查找线索了。


行业: 制药/网页托管
攻击难度: 中等
预防难度: 低
缓解难度: 低

第2部分 解决方案

1 来自法国的连接 安氏点评
2 内部攻击者 安氏点评
3 停车场 安氏点评
4 关键因素 安氏点评
5 Maggie的经历 安氏点评
6 基因植入 安氏点评
7 悬案 安氏点评
8 冰山一角 安氏点评
9 不可靠的银行 安氏点评
10 Jack和Jill 安氏点评
11 意外的观光客 安氏点评
12 边缘地带 安氏点评
13 玩忽职守 安氏点评
14 收获的日子 安氏点评
15 尖峰时刻 安氏点评
16 多级跳 安氏点评
17 贪婪 安氏点评
18 利器 安氏点评
19 拒绝作证 安氏点评
20 乡愁 安氏点评

这本书从系统拥有者的角度,面对攻击和入侵事件、面对纷乱的头绪,教导我们如何从中发掘关键问题和关键要素,并*终解决问题。
如果你是对黑客攻防技术非常了解或者非常感兴趣的读者,则可以从书中找到很多的技术细节。而且还可以挑战一下自己,看看自己能否从前面的“挑战N”中分析出“解决方案N”。
如果你对这方面技术不太熟悉,则可以通过浏览全书、回避技术细节去体会解决**问题的要旨。你会发现很多问题都会涉及、甚至*终归结到管理问题。从中我们也同样可以获得教益。
如果你读过全书,也许你会和我(们)一样在下面几个方面产生共鸣:
一定要打上*新的补丁,升级*新的系统;
■ 日志一定要开启,而且要适切地得到保护(几乎所有的案例,能够*终追查出结果都是通过各种各样的日志帮助实现的);
■ 无线网络非常不值得信任;
■ 不要将没有加固的系统放到网络中(更不要放到防火墙外),这是非常愚蠢的;
■ 用户帐号和口令是永恒的问题;
■ 防火墙和入侵检测IDS都是非常有效的**措施;
▲ 三分技术、七分管理……
这本书,建议读者*好能够读两遍。然后,将你所在机构出现的**问题也用这种方式记录下来,会非常有意思,而且非常有意义。


当今,恶意的黑客几乎无处不在。该如何把他们拒之于你的网络之外呢?本书用****专家们所提供的20个真实的攻击实例,全面展示了黑客事件的攻击过程及解决方案。