作者:黑蛋
近日,山東藝術學院“玫瑰少年”事件在網上激起一片討論熱潮,某安全組織為此發聲,稱其組織已於2022.9.24、25日攻擊濟南教育網官網,使該官網暫停服務長達9小時,並以此警告山東藝術學院不要試圖透過某種令人作嘔的非法手段來隱瞞事實,並未涉案人員開脫洗白、隱瞞罪行,否則將對學院官網進行“檢測”。
讓我們從網路安全技術研究的角度來簡單分析一下。該組織對網站攻擊使用的技術是 DDOS攻擊, 又叫分散式拒絕服務攻擊,是指處於不同位置的多個攻擊者同時向一個或數個目標發動攻擊,或者一個攻擊者控制了位於不同位置的多臺機器並利用這些機器對受害者同時實施攻擊。
由於攻擊的發出點是分佈在不同地方的,這類攻擊稱為分散式拒絕服務攻擊,其中的攻擊者可以有多個。讓我們來了解一下DDos攻擊的原理。分散式拒絕服務攻擊原理:分散式拒絕服務攻擊DDoS是一種基於DoS的特殊形式的拒絕服務攻擊,是一種分佈的、協同的大規模攻擊方式。單一的DoS攻擊一般是採用一對一方式的,它利用網路協議和作業系統的一些缺陷,採用欺騙和偽裝的策略來進行網路攻擊,使網站伺服器充斥大量要求回覆的資訊,消耗網路頻寬或系統資源,導致網路或系統不勝負荷以至於癱瘓而停止提供正常的網路服務。與DoS攻擊由單臺主機發起攻擊相比較,分散式拒絕服務攻擊DDoS是藉助數百甚至數千臺被入侵後安裝了攻擊程式的主機同時發起的集團行為。
一個完整的DDoS攻擊體系由攻擊者、主控端、代理端和攻擊目標四部分組成。主控端和代理端分別用於控制和實際發起攻擊,其中主控端只發布命令而不參與實際的攻擊,代理端發出DDoS的實際攻擊包。對於主控端和代理端的計算機,攻擊者有控制權或者部分控制權。它在攻擊過程中會利用各種手段隱藏自己不被別人發現。真正的攻擊者一旦將攻擊的命令傳送到主控端,攻擊者就可以關閉或離開網路。而由主控端將命令釋出到各個代理主機上。這樣攻擊者可以逃避追蹤。每一個攻擊代理主機都會向目標主機傳送大量的服務請求資料包,這些資料包經過偽裝,無法識別它的來源,而且這些資料包所請求的服務往往要消耗大量的系統資源,造成目標主機無法為使用者提供正常服務,甚至導致系統崩潰。簡單來講就是用多個客戶端,不斷像伺服器傳送大量的請求,超過他的處理能力,伺服器處理不過來,就會拒絕後面的請求,達到讓對方暫停服務的目的。
對於該組織聲稱將要對山東藝術學院官網進行“檢測”,常見方法就是使用一些漏洞掃描工具,像Nessus、Xray等,如果發現網站存在漏洞
比如常見的滲透top10漏洞:
1.sql注入;
2.失效的身份認證和會話管理;
3.xss跨站指令碼攻擊;
4.安全配置錯誤;
5.敏感資訊洩漏;
6.訪問控制;
7.CSRF跨站請求偽造;
8.使用已知漏洞的元件;
9.未驗證的重定向和轉發;
10.檔案上傳漏洞(隨著不斷髮展會有更新)
如果發現漏洞,就可以利用漏洞,上傳自己的指令碼,對網站進行操作。
以上所說的攻擊手段知識屬於網路安全方向之一滲透。滲透主要是對網站伺服器進行滲透攻擊,其就業崗位豐富,下面簡單列舉一個用人單位對滲透測試工程師的崗位要求:
崗位職責
1.負責對客戶網路、系統、應用進行滲透測試、安全評估和安全加固,並對相關過程進行問題描述和總結報告的編制;
2.在出現網路攻擊或安全事件時,提供應急響應服務,幫助使用者恢復系統及調查取證;
3.針對客戶網路架構,建議合理的網路安全解決方案;
4.安全攻防研究,含WEB方向、軟體逆向方向、移動APP方向和軟體安全生命週期等。
崗位要求
1.對 Web 安全整體有較深刻理解,具備 Web 滲透技能,熟悉安卓/iOS APP 基本的安全測試方法;
2.熟悉滲透測試流程,熟練掌握各類安全測試工具;
3.熟練掌握 php/python/java 等至少一種語言,能編寫測試指令碼/工具;
4.熟悉各種攻防技術以及安全漏洞原理,有CTF/紅藍對抗等參賽經驗優先;
5.有強烈的責任心和學習意願,良好的溝通交流、團隊合作、抗壓能力。