【討論】如何防禦伺服器端攻擊？

samiux

如何防禦伺服器端攻擊？

網絡攻擊日益嚴重，如何防範黑客的攻擊，已經成為資訊科技人員的主要工作。為了要防禦伺服器端攻擊，我設計了一部實驗機來證明我的理論是可行的。

首先，我們需要了解一下黑客作出攻擊行為時所要達到的目的是為何。

(一) 網絡攻擊種類 ：

伺服器端攻擊
網頁應用程式攻擊
無綫網絡攻擊
瀏覽器端攻擊
社會工程攻擊

(二) 網絡攻擊前的準備 ：

盡量搜集有關目標的資料，當獲得所需資料便可以進行進一步行動。

(三) 在伺服器瑞攻擊上需要搜集的資料 ：

伺服器的作業系統種類和版本
伺服器上所有對外開放的應用程式種類和版本
伺服器對外開放的埠
伺服器上運行的應用程式的登入賬號和密碼
伺服器上運行的作業系統和應用程式的漏洞

(四) 在網頁應用程式攻擊上需要搜集的資料 ：

網頁應用程式的種類和版本
網頁應用程式管理員的登入賬號和密碼
網頁應用程式的漏洞

(五) 在無綫網絡攻擊上需要搜集的資料 ：

無綫網絡的名稱和密碼
無綫路由器的種類和版本
無綫路由器的漏洞

(六) 在社會工程攻擊上需要搜集的資料 ：

利用社會工程獲取受害人的詳細資料或引誘其作出或不作出某種行為。

硏究與討論範圍主要集中在伺服器端攻擊，其他的攻擊面，容後有機會再討論和硏究。

現在的伺服器端方面的防禦方法是這樣的，大多數的資訊科技安全專家們會安裝防火牆，有的更會安裝入侵防禦系統，但坊間 (包括付費與否) 的防火牆或入侵防禦系統都未能阻止黑客在伺服器端進行資料搜集的行為。

我硏究中的伺服器端防禦方法是這樣的，若果黑客未能從資料搜集中獲取所需的資料，如伺服器作業系統資料、在其上運行的應用程式的資料等，進而未能獲得有關漏洞的資訊，如果強行作出攻擊，只會是徒勞無功的。

在這個理論上，我已經有實驗機 (Proof of Concept) 來證明這是可行的。如果大家有興趣的話，可以盡情去搜集我的實驗機的資訊，其網址是  infosec-ninjas.com，大家可以利用黑客工具，如 nmap 等，或者可以到 Shodan 網站查詢一下其結果。這部實驗機已經在互聯網中運作了超過六年，這並不存在互聯網沒有這部機的資訊了。

若果大家有任何建議，可以在這裡提出。


Samiux
OSCE  OSCP  OSWP

via HKEPC IR Pro 3.4.0 - Android(2.3.4)

samiux

牛角麵包 - 防禦入侵系統

牛角麵包 (Croissants) 是一項開源項目，但有一項同名的項目是商業版本的，開源版本的名字為牛角麵包 (社區版，Community Edition)。收費版本具有禦防網絡掃描器的偵測和推送更新的技術，其他的與開源版本大致是一樣的。

牛角麵包與統一威脅管理系統 (Unified Threat Management System, UTM) 和下世代防火牆 (Next Generation Firewall, NG Firewall) 有相當程度是相若的，不同的只是牛角麵包並沒有防火牆。

牛角麵包是由黑客設計與開發出來對付黑客的一個系統，不論他們是道德黑客或者是惡意黑客。

開源版的特性 ：

她具有統一威脅管理系統和下世代防火牆的大部份特性，例如防禦漏洞利用、防止病毒攻擊、惡意網絡地址黑名單、防禦惡意軟件攻擊、惡意網頁攻擊過濾、防止洋蔥網絡 (Tor) 瀏覽、防止有敵意的網絡流量、偵測網絡掃描器掃描等。

至於效能方面，她有極低延遲性的特點，有效地提高網絡遊戲的可玩性，而且能夠有效地播放 4K 的多媒體，她更能夠處理大約 40GB 或以上的流量，當然這也與硬件的規格有相當大的關係。

至於配置方面，她幾乎可以配置在網絡中的任何位置，包括網外和網內。如果再配合奧德拉 (Audra) (偵測入侵系統)，這樣每個網段都涵蓋得到。奧德拉也是基於牛角麵包 (社區版) 而設計的偵測入侵系統，其元件是完全一樣的。

收費版的特性 ：

除了具有社區版的功能外，她還有推送更新技術，如遇緊急情況，可以立刻對牛角麵包作出遠端更新，以求達到防禦入侵的最佳效果。

另外她還可以擋格所有網絡掃描器的偵測，令黑客不能有效地得到意圖入侵目標的資訊，從而未能有效地作出攻擊。如果盲目地作出攻擊，這是徒勞無功的。這樣就可以防止或延遲被入侵的可能性，這功能特別適合於有伺服器配置在網絡中的環境。

如果想體驗一下收費版的特殊功能，可以利用網絡掃描器，如 nmap 等工具掃描一下 infosec-ninjas.com 或者到 Shodan 網站查詢一下。如果大家不想用自己的電腦作出掃描，坊間是有一些綫上掃描器的，大家不妨一試。

詳細資料可以到 https://www.infosec-ninjas.com 瀏覽。有空的話不妨也看看我寫有關資訊科技安全的電子書，看了後你就更會了解牛角麵包背後設計的理念。

Samiux
OSCE  OSCP  OSWP

via HKEPC IR Pro 3.4.0 - Android(2.3.4)

da7lee

支持!

max35988

Ching好勁，支持多啲講資安

via HKEPC Reader for Android

wiz123

而家有CLOUDFLARE其實好方便. 咁以前咁多野要唸要做
用IPTABLE一句就封晒D IP, 剩比CLOUDFLARE 果幾十個IP RANGE入到PORT 80, 攪店
如果果個HACKER用D招數新到勁到連CF個PROXY都DETECT唔到, 只有用最後RESTORE OFFLINE BACKUP一招. 好彩呢D咁勁HACKER都會唔對D普通網站有興趣

samiux

而家有CLOUDFLARE其實好方便. 咁以前咁多野要唸要做
用IPTABLE一句就封晒D IP, 剩比CLOUDFLARE 果幾十個IP  ...
wiz123 發表於 2018-9-18 19:00

    其實 Cloudflare 是可以繞過的，我能夠繞過她，是非常容易的，另外如果你的網站是用加密的，在 Cloudflare 後面都不是那麼安全，因為我都能夠繞過。

我不是一定要獲取網站的真實的地址的情況下去繞過她。

via HKEPC IR Pro 3.4.0 - Android(2.3.4)

wiz123

其實 Cloudflare 是可以繞過的，我能夠繞過她，是非常容易的，另外如果你的網站是用加密的，在 Clou ...
samiux 發表於 2018-9-18 19:55

Cloudflare是可以繞過, 但....首先要知道TARGET的真實IP,
而且TARGET己SET 了FIREWALL, 只會對來自Cloudflare IP的TRAFFIC回應.
這個設定不能用己被公開的漏洞來入侵吧.
要扮自己是CLOUFLARE IP應該不是普通人能做到的事, 除非上層ROUTER已被HACK

samiux

Cloudflare是可以繞過, 但....首先要知道TARGET的真實IP,
而且TARGET己SET 了FIREWALL, 只會對來自Cloud ...
wiz123 發表於 2018-9-18 23:13

    不是！我已經說過，我可以在不需要伺服器的真實地址下來繞過 Cloudflare。你所講的設定是毫無用處的，其實 Cloudflare 是非常容易被繞過，不論你如何設定她。

via HKEPC IR Pro 3.4.0 - Android(2.3.4)

wiz123

不是！我已經說過，我可以在不需要伺服器的真實地址下來繞過 Cloudflare。你所講的設定是毫無用處的 ...
samiux 發表於 2018-9-19 09:29

如果有時間我試下用FREE cloud求其SET個SERVER START黎比你HACK, 改到INDEX PAGE當HACK到. 我都想知係咪真係咁易

其實你係咪想講, 有好多EMAIL SERVER和WEB SERVER用埋同一個IP, 只要一CHECK DNS RECORD, 個WEB SERVER真實IP就會知道左? CLOUDFLARE個FAQ話要分開兩個IP如果唔想比人知真實IP

wiz123

不是！我已經說過，我可以在不需要伺服器的真實地址下來繞過 Cloudflare。你所講的設定是毫無用處的 ...
samiux 發表於 2018-9-19 09:29

就算能繞過Cloudflare也沒有用, 如果目標只會對Cloudflare IP作出回應