【正文】 emp目錄，用它來做ftp的根目錄。其中，用戶名是用administrator，密碼空。 測試運行流光主程序，按“Ctrl+R”鍵彈出掃描框，在掃描范圍欄里輸入你要掃描的I P 地址范圍，在掃描主機類型里選擇NT/98 ，然后具體掃描，根據(jù)具掃描信息“探測所IPC$ 用戶列表”，并沒有存在空連接漏洞。具體的防護方案在第三章中已經(jīng)做詳細(xì)的解答所以在此沒有在此提出第六章 總結(jié) 總結(jié)通過這兩個月的努力，終于完成了APT攻擊的發(fā)現(xiàn)與防護方案的設(shè)計。在設(shè)計的過程中，出現(xiàn)了很多錯誤，可是老師都會細(xì)心地為我的設(shè)計糾正錯誤，避免我將該方案設(shè)計偏離主題，這次設(shè)計的完成，很大一部分功勞是老師的，因為做的過程中都是他一步一步的指導(dǎo)，這次設(shè)計，讓我看到了老師治學(xué)嚴(yán)謹(jǐn)和認(rèn)真負(fù)責(zé)的工作態(tài)度，這樣的態(tài)度將積極影響我今后的學(xué)習(xí)和工作。使我自身的修養(yǎng)有了一定的提高。所以剛開始設(shè)計的時候基本不知道該怎樣著手，可是經(jīng)過利用兩個禮拜的時間查詢了大量的資料文獻，對APT攻擊的定義及特征有了一個初步的認(rèn)識，并了解了檢測APT攻擊的一些方法，異常檢測，威脅檢測，記憶檢測，在這些檢測方法的基礎(chǔ)上，提出自己的一些改進。運行后顯示“找不到網(wǎng)絡(luò)路徑”。這樣通過IPC$ 的遠(yuǎn)程登錄就成功了。 建立成功界面下載一個ftp客戶端，Cute FTP ，新建一個鏈接，點擊鏈接后，如果連接成功，就可以實現(xiàn)文件的上傳和下載了。(FTP)輸入網(wǎng)站系統(tǒng)的描述，在這里輸入“myweb”。直到IIS安裝完成。為服務(wù)器部署數(shù)據(jù)庫審計系統(tǒng)。將用戶名和密碼輸入框中輸入的信息進行一個驗證處理，例如只能輸入數(shù)值或字符，那么要登陸后臺，則必須滿足通過驗證的條件后，才來也正該用戶名和密碼是否正確，確保用戶輸入的都是數(shù)字。： 匹配流圖當(dāng)攔截到Http請求后首先對請求內(nèi)容進行URL解碼，其主要目的是防止攻擊者以URL編碼方式構(gòu)造SQL注入語句。攻擊語句正則表示說明。Password=39。139。139。password’可能會帶來SQL注入攻擊，因為當(dāng)我們在用戶名和密碼地址欄中輸入username*絕大部分社工攻擊是通過電子郵件或即時消息進行的。因為 Adminstrator賬戶擁有最高的系統(tǒng)權(quán)限，一旦攻擊者獲得Adminstrator賬戶權(quán)限，就可以對系統(tǒng)進行任何操作，后果不堪設(shè)想， 安裝必要的安全軟件 為內(nèi)網(wǎng)中的各個主機安裝必要的防黑軟件、殺毒軟件和防火墻，在一定的程度上保證計算機安全。 禁止建立空連接 將內(nèi)網(wǎng)的所有計算機上禁止建立空連接。定期對服務(wù)器的賬戶、密碼進行檢查，看看是否存在異常情況。所以在開發(fā)WEB應(yīng)用程序時，應(yīng)該要有嚴(yán)格的安全編碼規(guī)范標(biāo)準(zhǔn)，避免注入、上傳、文件包含、遠(yuǎn)程、本地代碼執(zhí)行、XSS等漏洞安全問題的產(chǎn)生。同時制定一些制度，規(guī)定員工發(fā)郵件時不帶鏈接、附件等。蠕蟲、病毒，往往會掃描服務(wù)器，從而造成信息泄漏，低權(quán)限管理員有可能利用此權(quán)限，進行越權(quán)、高危操作。最常見的還有遠(yuǎn)程辦公帶來的安全威脅。從而識別出攻擊者將攻擊行為包裝成成正常行為的行為。 全流量審計組要是對全過程流量施以應(yīng)用上的識別與還原， 從而檢測出異常的可能會對系統(tǒng)造成危害的行為。所以該方案是將文件放在沙盒中執(zhí)行，檢測該文件對系統(tǒng)的所有更改是否是有害的，如果對該系統(tǒng)沒有造成影響，就允許通過，如果有影響，或則會危害到系統(tǒng)的秘密信息，就該文件攔截。對于員工賬號訪問審計，并進一步用于員工賬號訪問異常檢測。 并且沙箱檢測與整個網(wǎng)絡(luò)運行環(huán)境相關(guān)， 操作系統(tǒng)的類型、 瀏覽器的版本、 安裝的插件版本等都對沙箱檢測的結(jié)果起著影響。因為APT是在很長時間內(nèi)才發(fā)生，也許一年，兩年，甚至五年，才可能發(fā)生，所以我們要在一段時間內(nèi)發(fā)現(xiàn)APT，還是很有難度的，需要對長時間、全流量數(shù)據(jù)進行深度分析，針對APT攻擊行為的檢測，需要構(gòu)建一個多維度的安全模型，還可以通過手動檢查文件來識別一些微小的不易發(fā)現(xiàn)的標(biāo)記，并將這些標(biāo)記作為潛在惡意活動的指示。傳統(tǒng)基于攻擊特征的入侵檢測和防御方法在檢測和防御apt方面效果已經(jīng)變得很不理想了。第五階段：資料發(fā)掘。攻擊者成功入侵目標(biāo)網(wǎng)絡(luò)后，通常并不急于獲取敏感信息和數(shù)據(jù)，而是在隱藏自身的前提下找出放有敏感信息的重要計算機。攻擊者對鎖定的目標(biāo)和資源采用針對性APT攻擊，使用技術(shù)和社會工程學(xué)手段針對性地進行信息收集，目標(biāo)網(wǎng)絡(luò)環(huán)境探測，線上服務(wù)器分布情況，應(yīng)用程序的弱點分析，了解業(yè)務(wù)狀況，員工信息，收集大量關(guān)于系統(tǒng)業(yè)務(wù)流程和使用情況等關(guān)鍵信息，通過網(wǎng)絡(luò)流量、軟件版本、開放端口、員工資料、管理策略等因素的整理和分析[7]，得出系統(tǒng)可能存在的安全弱點。(2)社交工程的惡意郵件是許多APT攻擊成功的關(guān)鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。應(yīng)對新的威脅，需要有新的思路。但是到了以后，我們將需要綜合社會、政治、經(jīng)濟、技術(shù)等多重指標(biāo)進行判斷，以充分評估和分析目標(biāo)攻擊。APT攻擊時代的來臨預(yù)示著定向攻擊將成為惡意軟件發(fā)展的新趨勢[4]。所以關(guān)注點較為分散，不成體系，無法對 APT 攻擊形成較為全面的認(rèn)知和理解。近年來，APT高級持續(xù)性威脅便成為信息安全圈子人人皆知的時髦名詞[1]。設(shè)計的目的主要是從APT的規(guī)范定義及特征入手,對攻擊發(fā)起的背景、步驟等進行較詳盡的描述, 在分析APT攻擊的一般過程基礎(chǔ)上,針對攻擊不同階段,從技術(shù)措施和防護方法等方面給出具體的建議，并給出具體、完善的檢測、響應(yīng)和防范APT攻擊的可行性方案。大致主要分為兩種方式:靜態(tài)檢測方式和動態(tài)檢測方式[3]。（1）攻擊將會更有針對性：越來越多的APT攻擊將會針對特定的地區(qū)、特定的用戶群體進行攻擊。Persistent與傳統(tǒng)攻擊手段和入侵方式相比，APT 攻擊體現(xiàn)的技術(shù)性更強，過程也更為復(fù)雜，他的攻擊行為沒有采取任何可能觸發(fā)警報或者引起懷疑的行動，所以更接近于融入被攻擊者的系統(tǒng)或程序。(3)利用防火墻、服務(wù)器等系統(tǒng)漏洞繼而獲取訪問企業(yè)網(wǎng)絡(luò)的有效憑證信息(4)很多企業(yè)和組織的網(wǎng)站在防范SQL注入攻擊方面缺乏防范。采用誘騙手段將正常網(wǎng)址請求重定向至惡意站點，發(fā)送垃圾電子郵件并捆綁染毒附件，以遠(yuǎn)程協(xié)助為名在后臺運行惡意程序，或者直接向目標(biāo)網(wǎng)站進行 SQL 注入攻擊等。C服務(wù)器間保持通信[]。第六階段：資料竊取。并且該方案能夠識別和分析服務(wù)器和客戶端的微妙變化和異常。根據(jù)整個apt攻擊過程，圍繞APT的攻擊步驟提出具體的檢測方案。該方案提出了在多種查詢條件下對流量數(shù)據(jù)進行可視化分析，例如目的 IP 地址流量統(tǒng)計排序、目的端口流量統(tǒng)計排序等；并對對重要文件的操作及對應(yīng)的發(fā)生時間進行審計。在該模塊產(chǎn)生日志分析的基礎(chǔ)上，根據(jù)一些經(jīng)驗規(guī)則或者自定義的規(guī)則，主動的發(fā)現(xiàn)可能發(fā)生的安全威脅虛擬分析技術(shù)。通過進行人工整合的工作，對不同的情況采取不同的措施。還可以在發(fā)現(xiàn)異常情況后，利用原先的全流量的存儲， 將異常行為返回到與之相關(guān)的時間點。其中內(nèi)網(wǎng)包括PC機和服務(wù)器，外網(wǎng)就只有PC機。員工的U盤、移動硬盤、光盤也有可能在外部感染木馬，從而攻擊內(nèi)網(wǎng)中的主機、服務(wù)器，然后將數(shù)據(jù)傳到外部。（3）PC補丁管理服務(wù)器WSUS支持微軟的全部產(chǎn)品的更新，以及補丁程序。確保每個員工的主機都能安全地運行（8）培養(yǎng)員工的安全意管理員應(yīng)該定期對員工進行網(wǎng)絡(luò)安全方面知識的普及和培訓(xùn)，規(guī)范員工的上網(wǎng)，引導(dǎo)員工去安全地上網(wǎng)，從而確保內(nèi)網(wǎng)環(huán)境安全和穩(wěn)定。（2）安裝WEB應(yīng)用防火墻安裝防火墻，一定程度上也可以提高WEB的安全系數(shù)。發(fā)現(xiàn)異常，應(yīng)及時的做相應(yīng)的處理，為服務(wù)器進行定期的漏洞掃描安全人員也應(yīng)該進行相應(yīng)的手工漏洞挖掘工作。使用代理服務(wù)器后，攻擊者只能探測到道理服務(wù)器的IP地址而不是內(nèi)網(wǎng)中主機的IP地址，這就實現(xiàn)了隱藏用戶IP地址的目的，從而保障了內(nèi)網(wǎng)的安全。社會工程學(xué)的攻擊主要是從“人”開始的。DNS服務(wù)器，可能是內(nèi)部的緩存服務(wù)器,也可能是外部的DNS服務(wù)器,由于只能對內(nèi)部DNS服務(wù)器監(jiān)控而無法監(jiān)控外部DNS服務(wù)器的情況，因此不能完全避免這種類型的攻擊[13]。WHEREor39。*39。39。\s*drop\s+table\s+|_az09]+()?刪除數(shù)據(jù)’or 1=1 (’\s+)?or\s+[[。對于包含注入關(guān)鍵字的Web請求，可以遍歷規(guī)則庫對請求內(nèi)容進行詳細(xì)的正則匹配。使用正則表達(dá)式來進行復(fù)雜的模式匹配，限制用戶輸入的字符的長度[21]。第五章 ATP攻防實驗 實驗平臺的搭建 平臺拓?fù)鋱D： 環(huán)境網(wǎng)絡(luò)拓?fù)鋱D，主要劃分兩個網(wǎng)段，是主要的攻擊目標(biāo)。： 完成界面。在彈出的提示中單擊“是”即可。出現(xiàn)提示時，如需要文件i386，則定位到剛才拷貝的i386文件，一直點下一步，最后點完成（1）配置ftp站點點擊“開始”—“管理工具”—“Internet 操作系統(tǒng)IPC$ 漏洞攻擊 攻擊： 攻擊流程圖運行流光主程序，按“Ctrl + R ”鍵彈出掃描框，在掃描范圍欄里輸入你要掃描的I P 地址范圍，在掃描主機類型里選擇NT/98 ，確定后進行掃描。： 設(shè)置步驟（4）刪除默認(rèn)共享用記事本自建一個刪除所有默認(rèn)共享的批處理文件，放在啟動欄里，每次啟動機器時都自動運行，以刪除所有的默認(rèn)共享。 映射C盤打開“我的電腦”，并沒有看到目標(biāo)主機的C盤，： 攻擊機中的計算機空連接漏洞攻擊失敗，說明該防護方案是可行的 SQL注入攻擊：該攻擊的過程是利用自己搭建的“家庭理財管理系統(tǒng)”網(wǎng)站進行的SQL注入攻擊，正常情況下只要用戶或者管理員輸入自己的用戶名和密碼，如果正確則會跳轉(zhuǎn)到后臺的登陸界面，如果失敗則會提示錯誤信息，： 登陸界面我們是在知道用戶名可是不知道密碼的情況下對該網(wǎng)站進行登陸，我們可以通過社會工程學(xué)的方法獲取用戶名，利用用戶名，然后密碼處輸入框中構(gòu)造查詢語句，密碼的結(jié)構(gòu)為：“隨機密碼’or 1=1 ”，由于密碼的驗證是字符串，所以單引號不可以丟，or 1=1是一個永遠(yuǎn)為真的語句 ，再用 注釋掉原有語句后面還有的內(nèi)容，所以不管輸入什么隨機密碼，所以當(dāng)表中有用戶記錄時，那么查詢的結(jié)果就一定會為真，也就是說當(dāng)我們指導(dǎo)用戶名，而不知道密碼的情況下，通過構(gòu)建該語句，一定能登陸成功，現(xiàn)在構(gòu)造用戶名為：小明，密碼為1314’or 1=1 ，： 輸入界面點擊登錄就進去了，： 后臺界面通過手工注入猜的方法對該網(wǎng)站進行SQL攻擊，判斷該網(wǎng)站是否存在注入點：通過構(gòu)造URL：:8080/?id=2,對數(shù)據(jù)庫進行動態(tài)的查詢業(yè)務(wù),在瀏覽器的地址欄中輸入URL,然后按回車，： 網(wǎng)站界面對:8080/ ?id=2進行驗證，在IE地址欄中輸入:8080/ ?id=2 and 1=1，: and 1=1的界面在IE地址欄中輸入:8080/ ?id=2 and 1=4，: 異常界面出現(xiàn)異常，所以該網(wǎng)站存在注入點，我們從id=2中。 展望該防護方案針對的是APT攻擊的手段進行防護的，可是前期信息收集階段，并沒有進行相應(yīng)的防護，由于APT攻擊周密完善且攻擊目標(biāo)明確的信息收集，所以一旦確定攻擊目標(biāo)后，就會不計成本的挖掘或者購買Odays漏洞，想辦法滲透到目標(biāo)的內(nèi)部,利用社會工程學(xué)的方法，成功攻擊，APT攻擊總是會尋找一種有效的途徑進入企業(yè)的內(nèi)部，所以僅依靠網(wǎng)上的一些掃描工具是很難發(fā)現(xiàn)APT攻擊的，大多數(shù)情況下都是利用社會工程學(xué)的方法，這是這種方法很難方法，他的利用因