一文概述：云端常见的攻防及实践

在云端安全的实践中，我们发现传统的中小型企业，由于业务等因素导致对安全问题的关注度不够，他们更注重对具体安全事件的问题解决。比如，突然有一天网站被挂载木马，或者突然被人攻击等。而中大型企业，随着业务的发展，对安全性越来越重视及敏感，所以他们更多考虑的是体系化安全解决方案，而不是单纯局限在具体的单个安全事件的处理上。这里我们从攻击和防御两方面来做个简单介绍。

黑客入侵流程

黑客入侵流程漏洞是奠基入侵的基础，但黑客真正入侵的流程没这么简单，是一个漫长的研究及分析过程。黑客常见入侵的分为以下五个步骤。

1. 信息收集：信息收集一般是耗费时间最长的阶段，黑客入侵前通常会通过扫描工具或社会工程学来收集信息。

2. 漏洞筛选：一旦黑客对所要入侵的目标掌握了足够的信息，接下来便是对信息做分析了，以寻找潜在的漏洞。常见的安全漏洞可能包括密码漏洞、操作系统相关漏洞、中间件程序相关漏洞、开放端口相关漏洞、数据传送相关漏洞、局域网/广域网相关设备漏洞等。

3. 开始入侵：在收集到对应的漏洞后，在黑客工具的辅助下，便能完成入侵。

4. 放置后门：完成入侵后黑客一般会放置后门，常见做法就是种木马，或者打开对应的管理员权限等，为今后可能的访问留下控制权限。

5. 清理痕迹：在实现入侵攻击的目标后，最后一步便是扫尾。清理入侵的痕迹，常见做法是，清理系统访问日志等，隐藏自己的访问；或者通过 VPN、跳板机的方式，隐藏真实的 IP。

云端常见攻击

常见的黑客攻击主要分为 3 类：系统层攻击、应用层攻击、网络层攻击。漏洞是黑客入侵的途径。

系统层的攻击，即针对操作系统 OS 级别的攻击，通过找到操作系统的漏洞来达到入侵的效果，而木马和病毒便是系统层攻击最核心的两种手段。

应用层攻击，即应用代码层的攻击。出现这类攻击的核心原因就是编写的代码存在安全问题。会带来的常见应用层攻击如下：SQL 注入、跨站脚本攻击、密码暴力破解、恶意注册、刷单等、WebShell：小马、大马。应用层常见攻击排行最前面的，当属 SQL 注入攻击。所谓 SQL 注入，就是通过把 SQL 命令插入 Web 表单提交或输入域名、页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL 命令。

网络层攻击，其中分布式拒绝服务（Distributed Denial of Service，DDoS）是当今网络上危害最大的黑客攻击，能让网络、系统业务、服务器全部瘫痪，无法提供正常服务。当前防御 DDoS，都是侧面通过抗流量的高性能的硬件防火墙进行流量清洗，这是唯一有效的措施。

此外，针对 CC 攻击是 OSI 七层模型中七层（HTTP 层）的攻击，是通过向目标刷 URL 的流量攻击导致目标无法正常对外提供服务。而 DDoS 核心攻击原理主要是针对 TCP 三次握手，即属于 OSI 七层模型中四层（TCP 层）的攻击。因为原理不同，它们在云端的防御手段也是完全不同的。CC 攻击需要通过 WAF 应用防火墙进行防御，而 DDoS 攻击需要通过高防 IP 进行防御。

云端常见防御

云端安全产品，是应对黑客常见攻击最直接有效的解决办法，是云端的安全保障第一道防线，更是解决安全问题的默认选择。

1. 系统层攻击的防御

系统层的防御本质就是如何防御木马及病毒。一方面，及时给系统打补丁，避免被木马、病毒入侵的可能性。另外一方面，给系统安装杀毒软件，及时查杀木马及病毒。这些是防御黑客常见系统层攻击的必要手段。

安骑士是一款经受百万级主机稳定性考验的主机安全加固产品，支持自动化实时入侵威胁检测、病毒查杀（包含木马）、漏洞智能修复、基线一键检查、网页防篡改等功能，是构建主机安全防线的统一管理平台。

2. 应用层攻击的防御

对于应用层的攻击，主要是因为代码存在安全问题，成为黑客入侵的漏洞。最为有效的解决办法就是使用云端 Web 应用防火墙（Web ApplicationFirewall，WAF）。

WAF 的原理主要是通过拦截黑客攻击请求，来达到防御的效果，并不能真正解决底层代码存在的安全漏洞。WAF 主要可以帮助解决以下问题：

• 防数据泄密，避免因黑客的注入入侵攻击，导致网站核心数据被拖库泄露。

• 防恶意 CC，通过阻断海量的恶意请求，保障网站可用性。

• 阻止木马上传网页篡改，保障网站的公信力。

• 提供虚拟补丁，针对网站被曝光的最新漏洞，最大可能地提供快速修复规则。

需要注意：WAF 主要是对这些安全问题进行请求拦截，防止恶意请求转发到后端源站，并没有根治代码层面相应的安全问题

3. 网络层攻击的防御

云端 DDoS 高防 IP 产品是针对互联网服务器在遭受大流量的 DDoS 攻击后服务不可用的情况。DDoS 高防 IP 产品使用专门的高防机房提供 DDoS 防护服务，通过引流、清洗、回注的方式将正常业务流量转发至源站服务器，确保源站服务器的稳定可用。可以防护 SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTPreply Flood、CC 攻击等三到七层 DDoS 攻击。

4. 发现潜在安全风险及问题

云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统，通过防勒索、防病毒、防篡改、合规检查等安全能力，帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环，保护云上资产和本地主机并满足监管合规要求。

云安全中心的典型应用场景包括：

• 实时监控云上业务整体安全，对多种安全事件进行告警，如异常登录、网站后门、病毒攻击、异常进程等。

• 定期对云上服务进行漏洞扫描和基线配置核查，针对检测到的漏洞和风险配置项提供监控与修复服务。

• 对多种网络和主机日志进行检索，调查访问量，统计和分析各维度的原始日志信息。

• 监控、网络入侵事件、DDoS 攻击事件、ECS 恶意肉鸡行为等，并对 ECS 开放的端口进行实时监控。

• 对 ECS 中发生的入侵事件，如 Webshell、恶意软件、核心数据被加密勒索等进行回溯，发现入侵的原因和入侵的全过程。

云端安全实践

云端安全防御中的最后一道防线，即在运维层次的安全保障，进一步做运维层安全加固应对黑客常见攻击。

1. 云端堡垒机

堡垒机是远程控制的必要安全手段，即我们需通过堡垒机来对服务器进行远程管理。堡垒机具备安全审计、权限管理等核心安全管理功能，也可以避免黑客恶意远程登录等安全问题。

2. 运维用户管理

运维用户管理，是指运行在操作系统中的进程用户，以及远程用户方面的安全管理。合理的用户权限，能有效避免黑客利用木马及病毒对系统进行提权。

3. 密码安全管理

在云端，最好的密码安全管理方案便是没密码。即服务器远程登录管理，采用证书方式是最为安全的。

4. 防火墙安全管理

通过安全组+Iptables 防火墙的方式，来保障访问连接的安全性。通过安全组+Iptables 防火墙设置端口服务访问地址的白名单/黑名单，还能一定程度上应对黑客针对网络层面的攻击。

5. 端口安全管理

尽量不要在公网上暴露内部业务或数据库等端口，如果必须暴露的话，最好要设置 auth 权限认证校验。

6. 数据安全传输

HTTPS 主要用于加密客户请求端和服务端之间的数据传输，避免数据明文传输而被黑客截取。在实际应用场景中，我们一般把证书存放在流量入口处。特别是 CDN+WAF+SLB+ECS 的架构，并不是要在 CDN、WAF、SLB 上都配置证书。

7. 安全巡检管理

定期进行安全巡检，及时进行安全补丁更新、漏洞修复。必要时采用安全渗透测试对业务及系统进行更加深入的安全评估。在运维侧能及时发现问题，便能及时解决问题并且防患于未然，而不是被动地应对黑客攻击及修补安全问题。

8. 安全培训管理

提升安全意识在云端安全防御非技术方案中比较重要。定期参加安全培训，提高安全意识，是作为运维人员及技术人员职业修养的必修课。

在云端安全防御中，第一道防线是云端安全产品，它是云端最有效且直接的安全解决方案。第二道防线是云端安全架构，能从宏观角度避免一些安全问题，并能直接提升业务系统的安全防御能力。而在云端安全防御中的最后一道防线，是运维层次的安全保障。