SCSA❀基础信息安全概述

一、信息安全现状
1、传统安全防护逐步失效、传统防火墙、IPS、杀毒软件等基于特征库的安全检测，无法
过滤：（变种僵/木/蠕   U盘带入，恶意的内部用户、BYD带入、零	 日漏洞、APT攻击）
2、安全风险能见度不足
	看不清资产
		· 看不清的新增资产产生安全洼地
		· 缺乏有效手段主动识别新增业务
		· 攻击者对内网未被归档和防护的新增资产进行攻击，顺利渗透如内网
	看不见新型威胁
		· 水坑攻击
		· 鱼叉邮件攻击
		· 零日漏洞攻击
		· 其他攻击
	看不见内网潜藏风险
		· 黑客内部潜伏后预留的后门
		· 伪装合法用户的违规操作行为
		· 封装在正常协议中的异常数据外发
		· 看不见的内部人员违规操作
二、信息安全概述
1、信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破
坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。
2、网络安全：计算机网络环境下的信息安全。
3、常见的网络安全术语

三、协议栈的脆弱性及常见攻击
协议栈自身的脆弱性：1、缺乏数据源验证机制
2、缺乏完整性验证机制
3、缺乏机密性保障机制
常见安全风险：

网络的基本攻击模式：
	截获
		嗅探（sniffing）
		监听（eavesdropping）  被动威胁——》截获（机密性）
	篡改
		数据包篡改（tampering）主动威胁——》篡改（完整性）
	中断
		拒绝服务（dosing）                       ——》中断（可用性）
	伪造
		欺骗（spoofing）                          ——》伪造（真实性）
物理层--物理攻击
	物理设备破坏：
	1、指攻击者直接破坏网络的各种物理设施，比如服务器设施，或者网络的传输通信设施等
	2、设备破坏攻击的目的主要是为了中断网络服务
	物理设备窃听：
		1、光纤监听
		2、红外监听
链路层-- MAC洪泛攻击
	1、交换机中存在着一张记录着MAC地址的表，为了完成数据的快速转发，该表具有自动学习机制；
	2、泛洪攻击即是攻击者利用这种学习机制不断发送不同的MAC地址给交换机，填满整个MAC表，此
	时交换机只能进行数据广播，攻击者凭此获得信息。

链路层--ARP欺骗
	当A与B需要通讯时：
	· A发送ARP Request询问B的MAC地址
	· Hacker冒充B持续发送ARP Reply给A（此时，A会以为接收到的MAC地址是B的，但是实际
	上是Hacker的）
	· 之后A发送给B的正常数据包都会发给Hacker

网络层--ICMP攻击
	 1、ICMP（Internet 控制消息协议）是一种流行且广泛使用的 Internet 协议。它主要由联网
	 计算机用于发送各种错误消息。
 	2、远程攻击者试图利用 ICMP 协议的弱点。ICMP 设计用于无需验证的单向通 信。这允许远程攻击
 	者触发所谓的 DoS（拒绝服务）攻击，或允许未经授权的个人访问传入和传出数据包的攻击。
 	3、典型 ICMP 攻击包括 ping flood、ICMP_ECHO flood 和 smurf attack。受到 ICMP 攻
 	击的计算机速度明显减慢（这适用于所有使用 Internet 的应用程序），并且出现 Internet 连接问题。
 	
传输层--TCP SYN Flood攻击
   	SYN报文是TCP连接的第一个报文，攻击者通过大量发送SYN报文，造成大量未完全建立的
   	TCP连接，占用被攻击者的资源。----拒绝服务攻击分布式拒绝服务攻击（DDoS）通常，
   	攻击者使用一个非法账号将DDoS主控程序安装在一台计算机上，并在网络上的多台计算机
   	上安装代理程序。在所设定的时间内，主控程序与大量代理程序进行通讯，代理程序收到
   	指令时对目标发动攻击，主控程序甚至能在几秒钟内激活成百上千次代理程序的运行。
 
	DDoS攻击风险防护方案：
		1、网络设备性能充裕，防火墙、路由器、交换机性能必须有富余。
		2、网络带宽资源充裕，保持一定比例的网络带宽余量。
		3、异常流量清洗，通过抗D设备清洗异常流量。
		4、通过CDN分流，多节点分担DDoS攻击流量。
	5、分布式集群，每个节点分配足够资源数据回发瘫痪攻击源。
	
应用层--DNS欺骗攻击
		DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 原理：如果可以冒充域名服务器，然后把查
		询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要
		取得的网站的主页了。
		
四、操作系统的脆弱性及常见攻击
	操作系统自身的漏洞
		人为原因
    		 在程序编写过程中，为实现不可告人的目的，在程序代码的隐藏处保留后门。
		客观原因
   			 受编程人员的能力，经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响
   			 程序效率，重则导致非授权用户的权限提升。
   		硬件原因
    		由于硬件原因，使编程人员无法弥补硬件的漏洞，从而使硬件的问题通过软件表 现。 
缓冲区溢出攻击
	缓冲区溢出攻击原理
		缓冲区溢出攻击利用编写不够严谨的程序，通过向程序的缓冲区写入超过预定长度的数据，造
		成缓存的溢出，从而破坏程序的堆栈，导致程序执行流程的改变
	缓冲区溢出的危害：1、最大数量的漏洞类型
      			   2、漏洞危害等级高