常見的網絡安全術語
- 漏洞:可能被一個或多個威脅利用的資產或控制的弱點
- 攻擊:企圖破壞、泄露、篡改、損傷、竊取、未授權訪問的行爲
- 入侵:對網絡或聯網系統的未授權訪問,即對信息系統進行有意或無意的未授權訪問,包括針對信息系統的惡意活動 或對信息系統內資源的未授權使用
- 0day漏洞:通常是指還沒有補丁的漏洞,也就是說官方還沒有發現或者是發現了還沒有開發出安全補丁的漏洞
- 後門:繞過安全控制而獲取對程序或系統訪問權的方法
- Webshell:以asp、php、jsp或者cqi網頁文件形式存在的一種命令執行環境,也可以將其稱作一種網頁後門
- 社會工程學:通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段取得自身利益的手法
- APT攻擊:高進持續性威脅,利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式
- exploit:簡稱exp,漏洞利用
協議棧自身的脆弱性及常見攻擊
①缺乏數據源驗證機制;②缺乏機密性保障機制;③缺乏完整性驗證機制
-
常見安全風險
應用層:漏洞、緩衝區溢出攻擊、Web應用攻擊、病毒及木馬
傳輸層:TCP欺騙、TCP拒絕服務攻擊、UDP拒絕服務攻擊、端口掃描
網絡層:IP欺騙、ICMP攻擊、Smurf攻擊、地址掃描
數據鏈路層:MAC洪泛、MAC欺騙、ARP欺騙
物理層:設備破壞、線路偵聽 -
網絡的基本攻擊模式
截獲(嗅探、監聽)---------機密性
篡改(數據包篡改)---------完整性
中斷(拒絕服務)------------可用性
僞造(欺騙)------------------真實性 -
物理層–物理攻擊
1、物理設備破壞
(1)指攻擊者直接破壞網絡的各種物理設施,比如服務器設施、網絡傳輸通信設施等
(2)設備破壞攻擊的目的主要是爲了中斷網絡服務
2、物理設備竊聽
(1)光纖監聽
(2)紅外監聽 -
數據鏈路層
一、MAC洪泛攻擊
1、交換機存在一張MAC地址表,爲了完成數據的快速轉發,該表具有自動學習機制,緩存有限;
2、洪泛攻擊即是攻擊者利用這種學習機制不斷髮送不同的MAC地址給交換機,填滿整個MAC表,此時交換機只能進行數據廣播,這時攻擊者可以使用各種嗅探攻擊獲取網絡信息,更爲嚴重的是,這種攻擊也會導致鄰接的交換機MAC表也被填滿
● 如何防止?
①端口上最大可以通過的MAC地址數量
②端口上固定學習或通過哪些MAC地址
③對於超過規定數量的MAC進行違背處理
二、ARP欺騙
![在這裏插入圖片描述]()
當A與B需要通訊時:A發送ARP Request詢問B的MAC地址,黑客冒充B持續發送ARP Reply給A(此時A會以爲接收到的MAC地址是B的,但是實際上是黑客的),之後A發送給B的正常數據包都會發送給黑客。
● 如何防止?
①動態ARP檢查,檢查主動式和非主動式ARP,確定是否來自真正的ARP所有者
②映射關係綁定
③使用相應的ARP防範工具:ARP防火牆,探測出網絡中欺騙的ARP包,並保護主機的ARP緩存不受欺騙 -
網絡層–ICMP攻擊
一、ICMP重定向攻擊
ICMP重定向報文:ICMP控制報文中的一種。在特定情況下,當路由器檢測到一臺機器使用非優化路由的時候,它就會向該主機發送一個ICMP重定向報文,請求主機改變路由,路由器也會把初始數據包向它的目的地轉發。ICMP雖然不是路由協議,但是有時可以通過重定向報文指導數據包的流向(使數據包流向正確的網關)。
ICMP重定向攻擊是攻擊者主動向受害人主機發送ICMP重定向報文,使受害者主機數據包發送到不正確的網關,達到攻擊的目的。此攻擊既可以從局域網內發起,也可以從廣域網上發起。
● 如何防止?
通過修改註冊表關閉主機的ICMP重定向報文處理功能
二、ICMP不可達報文攻擊
不同的系統對ICMP不可達報文的處理不同,有的系統在收到網絡或主機不可達的ICMP報文後,對於後續發往此目的地的報文直接認爲不可達,就像切斷了主機和目的地的連接,造成攻擊。
● 如何防止?
通過修改註冊表關閉主機的ICMP不可達報文處理功能 -
傳輸層–TCP SYN Flood攻擊
SYN是TCP連接的第一個報文,攻擊者通過大量發送SYN報文,造成大量未完全建立的TCP連接,佔用被攻擊者的資源,造成拒絕服務攻擊
該攻擊的特點:
①攻擊者用帶有SYN標誌位的數據片段請求握手
②受害者用SYN-ACK應答
③攻擊者保持沉默,不進行迴應
④由於主機只能支持數量有限的TCP連接,超過數目後,新的連接就會被拒絕 -
應用層–DNS欺騙攻擊
黑客通過篡改DNS服務器上的域名IP映射關係,使受害者訪問到其他危害網站,而真正的目標域名網站卻無人問津,這就是DNS欺騙攻擊
操作系統的脆弱性及常見攻擊
操作系統自身的漏洞
①人爲原因:在程序編寫過程中,爲實現不可告人的目的,在程序代碼的隱藏處保留後門
②客觀原因:受編程人員能力,經驗和當時安全技術所限,程序難免會有不足之處,輕則影響程序效率,重則導致非授權用戶的權限提升
③硬件原因:由於硬件原因,使編程人員無法彌補硬件的漏洞,從而使硬件的問題通過軟件表現
- 緩衝區溢出攻擊
緩衝區是內存中存放數據的地方。在程序試圖將數據放到機器內存中的某一個位置的時候,因爲沒有足夠的空間就會發生緩衝區溢出。而人爲的溢出則是有一定企圖的,攻擊者寫一個超過緩衝區長度的字符串,植入到緩衝區,然後再向一個有限空間的緩衝區植入超長的字符串,這時可能會出現兩個結果:一是過長的字符串覆蓋了相鄰的存儲單元,引起程序運行失敗,嚴重的可導致系統崩潰;另一個結果就是利用這種漏洞可以執行任意指令,甚至可以取得系統root的特級權限。
1、攻擊原理:利用編寫不夠嚴謹的程序,通過向程序的緩衝區寫入超過預定長度的數據,造成緩存的溢出,從而破壞程序的堆棧,導致程序執行流程的改變
2、危害:最大數量的漏洞類型、漏洞危害等級高
● 如何防止?
用戶:補丁、防火牆
開發人員:編寫安全代碼,對輸入數據進行驗證;使用相對安全的函數
系統:緩衝區不可執行技術,虛擬化技術
終端的脆弱性及常見攻擊
-
勒索病毒
(1)定義:一種惡意程序。可以感染設備、網絡與數據中心並使其癱瘓,直至用戶支付贖金是系統解鎖。
(2)特點:調用加密算法庫、通過腳本文件進行Http請求、通過腳本文件下載文件、讀取遠程服務器文件、通過wscrip執行文件、收集計算機信息、遍歷文件
(3)危害:會將電腦中的各類文檔加密,讓用戶無法打開,並彈窗限時勒索付款提示信息。 -
挖礦病毒
(1)定義:一種惡意程序,可自動傳播,在未授權的情況下,佔用系統資源,爲攻擊者謀利,使得受害者機器性能明顯下降,影響正常使用。
(2) 特點:佔用CPU或GPU等計算資源,自動建立後門、創建混淆進程,定期改變進程名與PID,掃描ssh文件感染其他機器
(3) 危害:佔用系統資源、影響系統正常使用 -
特洛伊木馬
(1)定義:完整的木馬程序由服務器程序和控制器程序組成。“中了木馬”就是指安裝了木馬的服務器程序,則擁有控制器程序的人就可以通過網絡控制裝有服務程序的電腦。
(2)特點:注入正常程序中,當用戶執行正常程序時,啓動自身;自動在任務管理器中隱藏,並以“系統服務”的方式欺騙操作系統,包含具有未公開並且可能產生危險後果的功能的程序。具備自動回覆功能且打開特殊端口
(3)危害:個人隱私數據泄露,佔用系統資源 -
蠕蟲病毒
(1) 定義:蠕蟲是一種可以自我複製的代碼,並且通過網絡傳播,通常無需人爲干擾就能傳播。蠕蟲病毒入侵完全控制一臺計算機後,就會把這臺機器作爲宿主,進而掃描並感染其他計算機
(2) 特點:不依賴宿主程序、利用漏洞主動攻擊、通過蠕蟲網絡隱藏攻擊者的位置
(3)危害:拒絕服務、隱私信息丟失 -
宏病毒
(1) 定義:宏病毒是一種寄存在文檔或模板的宏中的計算機病毒
(2) 特點:感染文檔、傳播速率極快、病毒製作週期短、多平臺交叉感染
(3) 危害:感染了宏病毒的文檔不能正常打印;封閉或改變文件存儲路徑,將文件改名;非法複製文件,封閉有關菜單,文件無法進行編輯;調用系統命令,造成系統破壞 -
殭屍網絡
(1) 定義:採用一種或多種傳播手段,將大量主機感染殭屍程序,從而控制者和被感染主機之間所形成的一對多控制的網絡
(2) 特點:可控制的網絡,它具有一定的分佈性,可以一對多地執行相同地惡意行爲。
(3) 危害:拒絕服務攻擊、發送垃圾郵件、竊取私密、濫用資源、殭屍網絡挖礦
信息安全五要素
①保密性:保證信息不泄露給未經授權地人,或者即便數據被截獲,其內容也不被非授權者所理解
②完整性:只有授權者才能修改信息實體,並能判別出是否被修改,完整性鑑別機制,防篡改
③可用性:確保信息能夠爲授權者所正常使用
④可控性:控制授權範圍內地信息流向及行爲方式。使用授權機制,控制信息傳播範圍、內容
⑤不可否認性:對出現地安全問題提供調查地依據和手段,使用審計、監控、防抵賴等安全機制,使得攻擊者逃不脫