一、信息安全现状
1、传统安全防护逐步失效、传统防火墙、IPS、杀毒软件等基于特征库的安全检测,无法
过滤:(变种僵/木/蠕 U盘带入,恶意的内部用户、BYD带入、零 日漏洞、APT攻击)
2、安全风险能见度不足
看不清资产
· 看不清的新增资产产生安全洼地
· 缺乏有效手段主动识别新增业务
· 攻击者对内网未被归档和防护的新增资产进行攻击,顺利渗透如内网
看不见新型威胁
· 水坑攻击
· 鱼叉邮件攻击
· 零日漏洞攻击
· 其他攻击
看不见内网潜藏风险
· 黑客内部潜伏后预留的后门
· 伪装合法用户的违规操作行为
· 封装在正常协议中的异常数据外发
· 看不见的内部人员违规操作
二、信息安全概述
1、信息安全:防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破
坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。
2、网络安全:计算机网络环境下的信息安全。
3、常见的网络安全术语
三、协议栈的脆弱性及常见攻击
协议栈自身的脆弱性:1、缺乏数据源验证机制
2、缺乏完整性验证机制
3、缺乏机密性保障机制
常见安全风险:
网络的基本攻击模式:
截获
嗅探(sniffing)
监听(eavesdropping) 被动威胁——》截获(机密性)
篡改
数据包篡改(tampering)主动威胁——》篡改(完整性)
中断
拒绝服务(dosing) ——》中断(可用性)
伪造
欺骗(spoofing) ——》伪造(真实性)
物理层--物理攻击
物理设备破坏:
1、指攻击者直接破坏网络的各种物理设施,比如服务器设施,或者网络的传输通信设施等
2、设备破坏攻击的目的主要是为了中断网络服务
物理设备窃听:
1、光纤监听
2、红外监听
链路层-- MAC洪泛攻击
1、交换机中存在着一张记录着MAC地址的表,为了完成数据的快速转发,该表具有自动学习机制;
2、泛洪攻击即是攻击者利用这种学习机制不断发送不同的MAC地址给交换机,填满整个MAC表,此
时交换机只能进行数据广播,攻击者凭此获得信息。
链路层--ARP欺骗
当A与B需要通讯时:
· A发送ARP Request询问B的MAC地址
· Hacker冒充B持续发送ARP Reply给A(此时,A会以为接收到的MAC地址是B的,但是实际
上是Hacker的)
· 之后A发送给B的正常数据包都会发给Hacker
网络层--ICMP攻击
1、ICMP(Internet 控制消息协议)是一种流行且广泛使用的 Internet 协议。它主要由联网
计算机用于发送各种错误消息。
2、远程攻击者试图利用 ICMP 协议的弱点。ICMP 设计用于无需验证的单向通 信。这允许远程攻击
者触发所谓的 DoS(拒绝服务)攻击,或允许未经授权的个人访问传入和传出数据包的攻击。
3、典型 ICMP 攻击包括 ping flood、ICMP_ECHO flood 和 smurf attack。受到 ICMP 攻
击的计算机速度明显减慢(这适用于所有使用 Internet 的应用程序),并且出现 Internet 连接问题。
传输层--TCP SYN Flood攻击
SYN报文是TCP连接的第一个报文,攻击者通过大量发送SYN报文,造成大量未完全建立的
TCP连接,占用被攻击者的资源。----拒绝服务攻击分布式拒绝服务攻击(DDoS)通常,
攻击者使用一个非法账号将DDoS主控程序安装在一台计算机上,并在网络上的多台计算机
上安装代理程序。在所设定的时间内,主控程序与大量代理程序进行通讯,代理程序收到
指令时对目标发动攻击,主控程序甚至能在几秒钟内激活成百上千次代理程序的运行。
DDoS攻击风险防护方案:
1、网络设备性能充裕,防火墙、路由器、交换机性能必须有富余。
2、网络带宽资源充裕,保持一定比例的网络带宽余量。
3、异常流量清洗,通过抗D设备清洗异常流量。
4、通过CDN分流,多节点分担DDoS攻击流量。
5、分布式集群,每个节点分配足够资源数据回发瘫痪攻击源。
应用层--DNS欺骗攻击
DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 原理:如果可以冒充域名服务器,然后把查
询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要
取得的网站的主页了。
四、操作系统的脆弱性及常见攻击
操作系统自身的漏洞
人为原因
在程序编写过程中,为实现不可告人的目的,在程序代码的隐藏处保留后门。
客观原因
受编程人员的能力,经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响
程序效率,重则导致非授权用户的权限提升。
硬件原因
由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表 现。
缓冲区溢出攻击
缓冲区溢出攻击原理
缓冲区溢出攻击利用编写不够严谨的程序,通过向程序的缓冲区写入超过预定长度的数据,造
成缓存的溢出,从而破坏程序的堆栈,导致程序执行流程的改变
缓冲区溢出的危害:1、最大数量的漏洞类型
2、漏洞危害等级高