黑客常用的攻击方式

　　第四阶段：保持连接 

　　为了保证攻击的顺利完成，攻击者必须保持连接的时间足够长。虽然攻击者到达这一阶段也就意味他或她已成功地规避了系统的安全控制措施，但这也会导致攻击者面临的漏洞增加。 

　　对于入侵防御(IDS)或入侵检测(IPS)设备来说，除了用来对入侵进行检测外，你还可以利用它们进行挤出检测。下面就是入侵/挤出检测方法一个简单的例子，来自理查德·帕特里克在2006年撰写的《挤出检测：内部入侵的安全监控》一书的第三章：挤出检测图解。它包括了： 

　　对通过外部网站或内部设备传输的文件内容进行检测和过滤 

　　对利用未受到控制的连接到服务器或者网络上的会话进行检测和阻止 

　　寻找连接到多个端口或非标准的协议 

　　寻找不符合常规的连接参数和内容 

　　检测异常网络或服务器的行为，特别需要关注的是时间间隔等参数 

　　第五阶段：消除痕迹 

　　在实现攻击的目的后，攻击者通常会采取各种措施来隐藏入侵的痕迹和并为今后可能的访问留下控制权限。因此，关注反恶意软件、个人防火墙和基于主机的入侵检测解决方案，禁止商业用户使用本地系统管理员的权限访问台式机。在任何不寻常活动出现的时间发出警告，所有这一切操作的制定都依赖于你对整个系统情况的了解。因此，为了保证整个网络的正常运行，安全和网络团队和已经进行攻击的入侵者相比，至少应该拥有同样多的知识。

上一页  [1] [2]