这里写自定义目录标题
网络安全的五个基本目标
保密性、完整性、不可抵赖性(不可否认性)、可用性、可控性。
网络系统面临的安全威胁
恶意代码,非授权性和破坏性
- 病毒,具有自我复制能力,寄生于某个正常程序中。
- 蠕虫,自我复制不需要人工干预,自动完成,生命周期比病毒短。首先自动寻找带有漏洞的系统,并向远程系统发起连接和攻击。
- 特洛伊木马,与远程主机建立连接,控制本地主机。
- 逻辑炸弹,是满足特定的逻辑条件后实施破坏的程序。
- 系统后门,指绕过安全性控制获取到对系统的控制权的程序方法。通常在软件开发阶段,程序员会创建后门便于修改程序。
- Rootkits,用于隐藏自身及指定的文件、进程和网络链接等信息,一般与木马、后门等结合使用,通过加载特殊的驱动,修改系统内核,达到隐藏信息的目的,能够持久并毫无察觉的驻扎在目标计算机中。
- 恶意脚本,变形简单,依赖于浏览器。
远程入侵
- 非法接入,非授权人员连接到网络系统内部并获得访问系统资源的途径。
- 非法访问,非授权用户通过黑客工具等远程访问主机资源。
拒绝服务攻击
攻击者让目标主机或者系统通知提供服务或资源访问,资源包括磁盘空间、内存、进程、网络带宽等。
一类是对网络带宽进行的消耗性攻击,使网络无法正常传输信息。比较难解决。
另一类是利用系统漏洞是系统崩溃。
身份假冒
- IP地址假冒
- 用户假冒
信息窃取和篡改
- 被动攻击,信息窃取和流量分析。
- 主动攻击,重放、篡改、冒充、伪造、阻断。
重放,窃取到信息后按照之前的顺序重新传输,进行非授权访问或接入。
篡改,将窃取到的信息进行修改、延迟或重排,在发送给接收方。
冒充,先窃取到认证过程的全部信息,发现有效信息流后重放这些信息,以冒充合法用户的身份。
伪造,冒充合法身份插入虚假信息,并发送给接收方。
阻断,攻击者中断通信双方的网络传输。
网络安全体系
- 物理层安全,物理环境的安全。防火、防盗、防静电、防雷击、防电磁泄露。
- 系统层安全,操作系统的安全性。
及时修复系统漏洞;防止系统的安全配置错误;防止病毒对系统的威胁。 - 网络层安全。
身份认证
访问控制
数据传输的保密性和完整性
路由系统安全
入侵检测,收集和分析网络行为、安全日志、审计数据等
防病毒技术,原理主要是监控和扫描。 - 应用层安全,主要指用用软件和数据库的安全。
web安全,常见的有SQL注入攻击、跨站脚本攻击和跨站伪造请求。
DNS安全,主要包括防止DNS欺骗和防御DoS攻击。
邮件系统安全,目前采用防御手段包括服务端提供验证和过滤机制、邮件病毒扫描、端到端的安全电子邮件协议(如PGP、S/MIME等) - 管理层安全
网络攻击技术
网络攻击方式
1、读取攻击,找漏洞。
2、操作攻击,以篡改数据为手段,攻击以特权身份运行的服务程序。如SQL注入、缓冲区溢出。
3、欺骗攻击,冒充特权用户入侵系统。如ARP欺骗、DNS欺骗、IP欺骗和网络钓鱼。
4、泛洪攻击,让远程主机无法承受巨大的流量而瘫痪。
5、重定向攻击,将发往目标的信息全部重定向到攻击者制定的主机上。
6、Rootkits技术,驱动级较为复杂,难以解决。
网络攻击常用手段
1、网络监听,只要获得传输路径就可轻易实现监听。
2、篡改数据。
3、网络欺骗。
4、弱口令攻击。
5、拒绝服务。
6、漏洞破解。
7、木马攻击。
网络攻击一般步骤
1、信息收集
- 收集的信息包括:
网络接入方式:拨号接入、无线局域网接入、以太网接入、VPN远程接入。
目标网络信息:域名范围、IP地址范围、具体地理位置。
网络拓扑信息:交换设备类型、设备生产商、传输网络类型。
网络用户信息:邮件地址范围、用户账号密码。 - 收集信息的方式包括:
使用常见的搜索引擎,如Google、必应、百度等
使用dmitry、recon-ng等工具通过whois服务器查询主机的具体域名和地理信息。
使用netdiscover等工具查询主机的Ip地址范围,使用dnsmap、dnswalk、dig等工具查询域名空间。
使用社会工程学手段。
2、网络隐身 - IP假冒或盗用,TCP/IP协议不检查源IP地址,攻击者可以定制一个虚假的源IP。
- MAC地址盗用
- 代理隐藏
- 冒充真实用户
- 僵尸机器,入侵互联网上的僵尸主机,通过该主机进攻。
3、端口和漏洞扫描 - namp、zenamp、sparta都支持服务类型和版本扫描
- 对主机漏扫:Nessus、Openvas及国产对应的X-scan
对Web应用程序:Nikto、Golismero
对数据库DBMS:NGS、SQuirrel
4、攻击实施
5、设置后门
6、清楚痕迹