程序员VS黑客
互聯網行業里,但凡沒被黑客練過的系統,都不夠成熟。
?
每年都有受黑客攻擊的互聯網行業,尤其是互聯網金融行業更是深受其害。部分互金公司選擇了出錢消災,讓黑客們嘗到了甜頭,吸引了更多的人來躍躍欲試。說到底,這是個技術安全的意識問題。
?
我們也未能幸免,什么?DDOS 攻擊、SQL 注入、尋找系統漏洞等幾乎都經歷過,有的黑客想炫耀技術,將漏洞放到烏云上面或者漏洞盒子里面讓廠商來修復。但更多的黑客完全就是威脅、敲詐撈錢。以下介紹幾種常見的黑客攻擊方式即防范辦法:
?
1
DDOS 攻擊
?
應對 DDOS 攻擊沒有比較好的辦法,只能盡量的避免,講講我的經歷:之前遇到過官網打不開,后臺也登錄不了的狀況,登錄VPN查看服務器各項指標,也登錄不上去,運維經理也登錄不上。
?
這時,機房來電話了,說我們的一個 IP 正經歷著1G多的流量訪問,問我們是否正在做什么活動,話還沒說完流量已經達到5G,不到一分鐘流量達18G之多。因為機房和集團共用了一個寬帶入口,結果陸續集團的網站、服務也都出現了問題,機房服務商害怕引起更大的沖擊,直接把官網對外的IP 封掉,集團的其它業務才慢慢恢復過來,我們也緊急更換了外網 IP,重新切換了域名解析才恢復。
?
事后我們根據 apache 分析了日志,流量來自 N 多個不同的 IP 地址根本無法應對,這次攻擊也讓高層們重視了起來,解決辦法是將公司機房的網絡和公司集團徹底分離,這樣不管哪方受到大流量攻擊都不會相互影響。
?
也用了一些笨辦法,我們發現更換了外網IP之后攻擊也隨即停止,那么肯定是針對外網來攻擊的,所有多準備了6個外網 IP,當監控到對某一個外網進行攻擊的時候馬上切換到另一個外網地址,盡管只能起到非常有限的作用。
?
為什么 DDOS 總是喜歡攻擊外網 IP 呢,后來理解了。如果針對域名來攻擊的話,那不就是攻擊到域名商的服務器,域名商都比較強大,一般黑客搞不定。
?
2
如何正確的防止 DDOS 攻擊
?
第一種方案:
隱藏服務器外網地址,服務器前端加 CDN 中轉,免費的有百度云加速、360網站衛士、加速樂、安全寶等,如果資金充裕的話,可以購買高防的盾機,用于隱藏服務器真實 IP,域名解析使用 CDN 的 IP,所有解析的子域名都使用 CDN 的 IP 地址。此外,服務器上部署的其他域名也不能使用真實 IP 解析,全部都使用 CDN 來解析。
?
第二種方案:
買一些安全產品來進行流量清洗,主要是阿里云、騰訊云這種大廠商提供的一種服務。
?
第三種方案:
有很多的防火墻產品聲稱可以防止 DDOS 攻擊,但是我個人使用感覺效果非常有限。
?
3
SQL注入
?
如果官網使用的是 PHP 開發,由于框架比較老舊,存在著一些 SQL 注入的點,被一些黑客找到了突破點,有趣的是,一些黑客在漏洞盒子上面提交了 bug(如下圖),最后我們根據提示進行了緊急修復,也在 WAF 防火墻配置了一些攔截 SQL 注入的策略,起到雙保險的作用。
?
?
為什么 PHP 一般比 Java 更容易暴露出 SQL 漏洞的情況?可能有兩方面的原因:
PHP 前端使用較多,受攻擊的機會更多一些,Java 一般做為后端服務攻擊的可能性會比較少;
?
PHP 框架較多而且很雜,很多早期的框架并沒有特別考慮 SQL 注入的情況,Java 大量普及了 mybaits\hibernate 這種 orm 框架,框架本身對常見的 SQL 注入有防范的功能,但不是說mybaits/hibernate 框架就沒有被 SQL 注入的可能,大部分場景下可以。另外參數化查詢可以有效的避免 SQL 注入。
?
4
短信攻擊
?
現在的網站幾乎都有發送短信或者短信驗證碼的功能,如果前端不做校驗,黑客會寫一個 for 循環來發短信,一般系統的短信會進行全方位的防控,比如:
前端加驗證(字符驗證碼,有的是拖拽的動畫);
?
后端根據用戶或者 IP 加限制,比如用戶一分鐘只可以發送一條短信,忘記密碼的短信一天只能發送10條、一個 IP 地址限制每天只能發送100條短信等。
?
5
如何防范
?
黑客攻擊未必完全是壞事,一方面說明公司已經吸引了很多人的關注,另一方對技術團隊也是一次檢驗,黑客有時候會帶給你完全不同的思路想法。但是被黑客攻擊而影響了業務,對內對外造成大的影響,那就很嚴重了。安全防范是一個全面且持久的工程,在硬件和軟件上都要投入。
?
硬件方面
需要做好網絡安全規劃,機房常用的安全設備有:VPN 服務器、防火墻、WAF 防火墻。
-
VPN 服務器:主要用于運維人員通過口令可以登錄到機房內網中進行日常運維工作,也可以用做不同機房網絡互通,保證在特定的網絡下信息傳輸安全。
?
-
防火墻 :外網訪問進入機房的第一道大門,負責三層網絡的安全檢測,隔離內網和外網環境,外網為非信任區,內網為信任區。
?
-
WAF 防火墻:最重要的安全設備之一,WAF 防火墻主要是對 Web 特有入侵方式的加強防護,如 DDOS 防護、SQL 注入、XML 注入、XSS 等。屬于應用層的安全防護,我們經常遇到的黑客攻擊行為,主要就靠它的防護能力。
?
軟件方面
軟件方面的防護主要有兩方面,一方面使用證書保證傳輸層的數據安全,另一方面所有對外的接口都需要做好安全規劃。
-
HTTPS 證書:在 web 服務器部署 HTTPS 證書,保證用戶在交互的過程中數據沒有被篡改。
?
-
網絡規劃:所有非必須的服務都不要開放外網訪問,需要開放外網訪問的服務器僅開放需要的端口,比如常用的 80。和合作公司有數據交互或者接口調用的需求,需要綁定固定的外網訪問地址。
?
-
技術選擇:選擇成熟的框架可以避免很多安全問題,早期的很多 PHP 框架根本就沒有考慮SQL 注入的相關問題,當初 strust2 的安全漏洞多少企業被坑。選擇成熟穩定的技術體系可以避免很多低級的問題。
總結
- 上一篇: 学习创业计划的意义
- 下一篇: 汇编语言8086笔记