常见的网络安全术语
- 漏洞:可能被一个或多个威胁利用的资产或控制的弱点
- 攻击:企图破坏、泄露、篡改、损伤、窃取、未授权访问的行为
- 入侵:对网络或联网系统的未授权访问,即对信息系统进行有意或无意的未授权访问,包括针对信息系统的恶意活动 或对信息系统内资源的未授权使用
- 0day漏洞:通常是指还没有补丁的漏洞,也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞
- 后门:绕过安全控制而获取对程序或系统访问权的方法
- Webshell:以asp、php、jsp或者cqi网页文件形式存在的一种命令执行环境,也可以将其称作一种网页后门
- 社会工程学:通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法
- APT攻击:高进持续性威胁,利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式
- exploit:简称exp,漏洞利用
协议栈自身的脆弱性及常见攻击
①缺乏数据源验证机制;②缺乏机密性保障机制;③缺乏完整性验证机制
-
常见安全风险
应用层:漏洞、缓冲区溢出攻击、Web应用攻击、病毒及木马
传输层:TCP欺骗、TCP拒绝服务攻击、UDP拒绝服务攻击、端口扫描
网络层:IP欺骗、ICMP攻击、Smurf攻击、地址扫描
数据链路层:MAC洪泛、MAC欺骗、ARP欺骗
物理层:设备破坏、线路侦听 -
网络的基本攻击模式
截获(嗅探、监听)---------机密性
篡改(数据包篡改)---------完整性
中断(拒绝服务)------------可用性
伪造(欺骗)------------------真实性 -
物理层–物理攻击
1、物理设备破坏
(1)指攻击者直接破坏网络的各种物理设施,比如服务器设施、网络传输通信设施等
(2)设备破坏攻击的目的主要是为了中断网络服务
2、物理设备窃听
(1)光纤监听
(2)红外监听 -
数据链路层
一、MAC洪泛攻击
1、交换机存在一张MAC地址表,为了完成数据的快速转发,该表具有自动学习机制,缓存有限;
2、洪泛攻击即是攻击者利用这种学习机制不断发送不同的MAC地址给交换机,填满整个MAC表,此时交换机只能进行数据广播,这时攻击者可以使用各种嗅探攻击获取网络信息,更为严重的是,这种攻击也会导致邻接的交换机MAC表也被填满
● 如何防止?
①端口上最大可以通过的MAC地址数量
②端口上固定学习或通过哪些MAC地址
③对于超过规定数量的MAC进行违背处理
二、ARP欺骗
当A与B需要通讯时:A发送ARP Request询问B的MAC地址,黑客冒充B持续发送ARP Reply给A(此时A会以为接收到的MAC地址是B的,但是实际上是黑客的),之后A发送给B的正常数据包都会发送给黑客。
● 如何防止?
①动态ARP检查,检查主动式和非主动式ARP,确定是否来自真正的ARP所有者
②映射关系绑定
③使用相应的ARP防范工具:ARP防火墙,探测出网络中欺骗的ARP包,并保护主机的ARP缓存不受欺骗 -
网络层–ICMP攻击
一、ICMP重定向攻击
ICMP重定向报文:ICMP控制报文中的一种。在特定情况下,当路由器检测到一台机器使用非优化路由的时候,它就会向该主机发送一个ICMP重定向报文,请求主机改变路由,路由器也会把初始数据包向它的目的地转发。ICMP虽然不是路由协议,但是有时可以通过重定向报文指导数据包的流向(使数据包流向正确的网关)。
ICMP重定向攻击是攻击者主动向受害人主机发送ICMP重定向报文,使受害者主机数据包发送到不正确的网关,达到攻击的目的。此攻击既可以从局域网内发起,也可以从广域网上发起。
● 如何防止?
通过修改注册表关闭主机的ICMP重定向报文处理功能
二、ICMP不可达报文攻击
不同的系统对ICMP不可达报文的处理不同,有的系统在收到网络或主机不可达的ICMP报文后,对于后续发往此目的地的报文直接认为不可达,就像切断了主机和目的地的连接,造成攻击。
● 如何防止?
通过修改注册表关闭主机的ICMP不可达报文处理功能 -
传输层–TCP SYN Flood攻击
SYN是TCP连接的第一个报文,攻击者通过大量发送SYN报文,造成大量未完全建立的TCP连接,占用被攻击者的资源,造成拒绝服务攻击
该攻击的特点:
①攻击者用带有SYN标志位的数据片段请求握手
②受害者用SYN-ACK应答
③攻击者保持沉默,不进行回应
④由于主机只能支持数量有限的TCP连接,超过数目后,新的连接就会被拒绝 -
应用层–DNS欺骗攻击
黑客通过篡改DNS服务器上的域名IP映射关系,使受害者访问到其他危害网站,而真正的目标域名网站却无人问津,这就是DNS欺骗攻击
操作系统的脆弱性及常见攻击
操作系统自身的漏洞
①人为原因:在程序编写过程中,为实现不可告人的目的,在程序代码的隐藏处保留后门
②客观原因:受编程人员能力,经验和当时安全技术所限,程序难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升
③硬件原因:由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现
- 缓冲区溢出攻击
缓冲区是内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置的时候,因为没有足够的空间就会发生缓冲区溢出。而人为的溢出则是有一定企图的,攻击者写一个超过缓冲区长度的字符串,植入到缓冲区,然后再向一个有限空间的缓冲区植入超长的字符串,这时可能会出现两个结果:一是过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严重的可导致系统崩溃;另一个结果就是利用这种漏洞可以执行任意指令,甚至可以取得系统root的特级权限。
1、攻击原理:利用编写不够严谨的程序,通过向程序的缓冲区写入超过预定长度的数据,造成缓存的溢出,从而破坏程序的堆栈,导致程序执行流程的改变
2、危害:最大数量的漏洞类型、漏洞危害等级高
● 如何防止?
用户:补丁、防火墙
开发人员:编写安全代码,对输入数据进行验证;使用相对安全的函数
系统:缓冲区不可执行技术,虚拟化技术
终端的脆弱性及常见攻击
-
勒索病毒
(1)定义:一种恶意程序。可以感染设备、网络与数据中心并使其瘫痪,直至用户支付赎金是系统解锁。
(2)特点:调用加密算法库、通过脚本文件进行Http请求、通过脚本文件下载文件、读取远程服务器文件、通过wscrip执行文件、收集计算机信息、遍历文件
(3)危害:会将电脑中的各类文档加密,让用户无法打开,并弹窗限时勒索付款提示信息。 -
挖矿病毒
(1)定义:一种恶意程序,可自动传播,在未授权的情况下,占用系统资源,为攻击者谋利,使得受害者机器性能明显下降,影响正常使用。
(2) 特点:占用CPU或GPU等计算资源,自动建立后门、创建混淆进程,定期改变进程名与PID,扫描ssh文件感染其他机器
(3) 危害:占用系统资源、影响系统正常使用 -
特洛伊木马
(1)定义:完整的木马程序由服务器程序和控制器程序组成。“中了木马”就是指安装了木马的服务器程序,则拥有控制器程序的人就可以通过网络控制装有服务程序的电脑。
(2)特点:注入正常程序中,当用户执行正常程序时,启动自身;自动在任务管理器中隐藏,并以“系统服务”的方式欺骗操作系统,包含具有未公开并且可能产生危险后果的功能的程序。具备自动回复功能且打开特殊端口
(3)危害:个人隐私数据泄露,占用系统资源 -
蠕虫病毒
(1) 定义:蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干扰就能传播。蠕虫病毒入侵完全控制一台计算机后,就会把这台机器作为宿主,进而扫描并感染其他计算机
(2) 特点:不依赖宿主程序、利用漏洞主动攻击、通过蠕虫网络隐藏攻击者的位置
(3)危害:拒绝服务、隐私信息丢失 -
宏病毒
(1) 定义:宏病毒是一种寄存在文档或模板的宏中的计算机病毒
(2) 特点:感染文档、传播速率极快、病毒制作周期短、多平台交叉感染
(3) 危害:感染了宏病毒的文档不能正常打印;封闭或改变文件存储路径,将文件改名;非法复制文件,封闭有关菜单,文件无法进行编辑;调用系统命令,造成系统破坏 -
僵尸网络
(1) 定义:采用一种或多种传播手段,将大量主机感染僵尸程序,从而控制者和被感染主机之间所形成的一对多控制的网络
(2) 特点:可控制的网络,它具有一定的分布性,可以一对多地执行相同地恶意行为。
(3) 危害:拒绝服务攻击、发送垃圾邮件、窃取私密、滥用资源、僵尸网络挖矿
信息安全五要素
①保密性:保证信息不泄露给未经授权地人,或者即便数据被截获,其内容也不被非授权者所理解
②完整性:只有授权者才能修改信息实体,并能判别出是否被修改,完整性鉴别机制,防篡改
③可用性:确保信息能够为授权者所正常使用
④可控性:控制授权范围内地信息流向及行为方式。使用授权机制,控制信息传播范围、内容
⑤不可否认性:对出现地安全问题提供调查地依据和手段,使用审计、监控、防抵赖等安全机制,使得攻击者逃不脱