网络安全之防御保护概述

网络安全背景：

网络空间安全 ----> Cyberspace

概念：一个由信息基础设施组成的互相依赖的网络。

               我国官方文件定义：网络空间为继海、陆、空、天以外的第五大人类活动领域。

网络安全发展过程：

通讯保密阶段 ----> 计算机安全阶段 ----> 信息系统安全 ----> 网络空间安全

APT攻击 --- 高级持续性威胁

常见安全风险：

应用层：漏洞、缓冲区溢出攻击。web应用的攻击、病毒以及木马......

传输层：TCP欺骗、TCP拒绝服务、UDP拒绝服务、端口扫描。

网络层：IP欺骗、Smurf攻击、ICMP攻击、地址扫描

数据链路层：MAC欺骗、MAC泛洪、ARP欺骗

物理层：设备破坏、线路侦听

网络的基本攻击模式：

          截获： 嗅探（sniffing）

        监听（eavesdropping

        篡改：数据包篡改（tampering）

        中断：拒绝服务（dosing）

        伪造：欺骗（spoofing）

常见的针对攻击的防御手段：

物理层：物理攻击

1、物理设备破坏

        指攻击者直接破坏网络的各种物理设施，比如服务器设施，或者网络的传输通信设施等

        设备破坏攻击的目的主要是为了中断网络服务

2、物理设备窃听

         光纤监听

        红外监听

链路层：MAC洪范攻击、ARP欺骗

        1、交换机中存在着一张记录着MAC地址的表，为了完成数据的快速转发，该表具有自动学习 机制；

        2、泛洪攻击即是攻击者利用这种学习机制不断发送不同的MAC地址给交换机，填满整个MAC表，此时交换机只能进行数据广播，攻击者凭此获得信息。

链路层--ARP欺骗：

当A与B需要通讯时：

A发送ARP Request询问B的MAC地址

Hacker冒充B持续发送ARP Reply给A（此时，A会以为接收到的MAC地址是B的，但是实际上是Hacker的）

之后A发送给B的正常数据包都会发给Hacker

传输层 -- TCP SYN FLood攻击

SYN报文是TCP连接的第一个报文，攻击者会通过大量发送SYN报文，造成大量未完全建 立的TCP连接，占用被攻击者的资源。 ---- 拒绝服务攻击

手段：1、设立代理防火墙（风险转嫁 - 将服务器的部分风险分担给防火墙）

设立阈值：①、每目标IP代理阈值

                  ②、每目标IP丢包阈值

2、首包丢包：丢掉客户端请求的第一个SYN;因为黑客攻击发送一次SYN会改 变一次IP地址。服务器会检测到异常，从而达到拦截效果。

3、SYN cookie：对TCP服务器端的三次握手协议作一些修改，专门用来防范 SYN Flood攻击的一种手段

DDoS：分布式拒绝服务攻击（纯流量攻击，检测不出来病毒）

防护方案：  1、网络设备资源充裕 -- 防火墙，路由器，交换机有多余的

                    2、异常流量清洗 -- 通过抗D设备清洗异常流量

                    3、分布式集群 -- 每个节点分配足够资源数据回发瘫痪攻击源

                    4、网络带宽资源充裕 -- 保持一定比例的网络带宽余量

                    5、通过CDN分流 -- 多节点分担DDoS攻击流量

应用层：---- DNS欺骗攻击

原理：DNS数据被篡改 ---- > "深信服" -> "三信服"

操作系统的漏洞：

人为原因：程序编写过程中，为实现自己的目的，在程序代码隐藏出留有后门

客观原因：受编程人员的能力、经验、和当时安全技术所限。轻则影响程序效率， 重则导致非授权用户的权提升。

硬件原因：硬件原因，使得编程人员无法弥补硬件漏洞，从而使硬件的问题通过软 件表现出来。

恶意程序：一般会具备以下的多个或全部特性

1、非法性

2、隐蔽性

3、潜伏性

4、可触发型

5、表现型

6、破坏性

7、传染性 -----> 蠕虫病毒的典型特性

8、针对性

9、变异性

10、不可预见性

常见的病毒：

分为普通病毒、木马病毒、蠕虫病毒

普通病毒 ---- 以破坏为目的的病毒

木马病毒 ---- 以控制为目的的病毒

蠕虫病毒 ---- 具有传播性的病毒

终端的脆弱性及其攻击：

勒索病毒：

锁定设备，不加密数据。 --->①阶段

加密数据，交付赎金后解密。---> ②阶段

加密用户数据，通过漏洞或者弱口令方式发起蠕虫式攻击。--->③阶段

加密货币的出现改变勒索格局。----> ④阶段

Raas模式初见规模。----> ⑤阶段

攻击链分析：

感染媒介 --- 钓鱼软件、蠕虫病毒、恶意邮件

C&C通信 ---- 匿名通信、DGA通信、下载载荷

文件加密 ---- 混合加密体系、弹出勒索对话框

横向移动 ---- 弱点横向探测、蠕虫式传播、MS17-010永恒之蓝漏洞。

挖矿病毒：一种恶意程、可以自动传播，为攻击者牟利。使得受害者机器性能下降。 影响使用。

特洛伊木马：由两部分组成：服务器程序与控制器程序。会使得个人隐私数据泄露。

终端安全防范措施：

1、不要点击来源不明的邮件附件

2、及时给主机打补丁，修复高危漏洞

3、对重要数据文件进行非本地备份

4、关闭不必要的文件共享以及端口

5、RDP远程服务器使用强密码，不使用弱密码

6、安装专业的防护软件。

信息安全要素：

1、保密性：确保信息不暴露给未授权的实体或进程

2、完整性：只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被修改。完整性鉴别机制，保证只有得到允许的人 才能修改数据 。可以防篡改。

3、可用性：得到授权的实体可获得服务，攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制，阻止非授权用户进入网络。 使静态信息可见，动态信息可操作，防止业务突然中断。

4、可控性：可控性主要指对危害国家信息（包括利用加密的非法通信活动）的监视审计。控制授权范围内的信息流向及行为方式。使用授 权机制，控制信息传播范围、内容，必要时能恢复密钥，实现对网络资源及信息的可控性。

5、不可否认性：对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“逃不脱 "，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。