防御保护（1）

网络安全概述：

网络安全背景

网络空间安全 ---- Cyberspace

2003年美国提出网络空间的概念---一个由信息基础设施组成的互相依赖的网络。

我国官方文件定义---网络空间为继海，陆，空，天以外的第五大人类活动领域。

通信保密阶段---计算机安全阶段---信息系统安全---网络空间安全

APT攻击---高级持续性威胁

按层次攻击分类：

应用层：漏洞，缓冲区溢出攻击，WEB应用的攻击，病毒及木马

传输层：TCP欺骗，TCP拒绝服务，UDP拒绝服务，端口扫描

网络层：IP欺骗，Smurf攻击，ICMP攻击，地址扫描

链路层：MAC欺骗，MAC泛洪，ARP欺骗

物理层：设备破坏，线路监听

数据链路层：

1.MAC欺骗

攻击原理：攻击者将自己的MAC地址更改位受信任系统的地址（伪装）

造成影响：仿冒用户，截取数据帧

防范策略：在交换机上配置静态条目，将特定的MAC地址始终与特定的端口绑定

2.MAC泛洪

攻击原理：因为交换机的MAC学习机制，MAC表项的数目限制，交换机的转发机制，攻击者向交换机发酥大量的二层数据帧，以快速填满交换机的MAC表，MAC表填满之后，开始将后续的帧进行泛洪，导致整个网络系统中的链路还有交换机处于拥塞的状态，直至崩溃

造成影响：（1）试交换机无法正常工作(MAC表满)（2）网络中流量增大

防范策略：配置静态的MAC转发表，配置端口的MAC学习数目限制

3.ARP欺骗

攻击原理：攻击者抢先合法主机发出的ARP请求作出应答，这样要发送给合法主机的数据就会发送到伪装主机处

造成影响：截获数据

防范策略：主机手动配置MAC表

网络层：

1.IP欺骗攻击

攻击原理：攻击者使用相同的IP地址可以魔法网络上的合法主机，来访问关键信息

造成影响：伪装成某一合法用户

攻击步骤：

（1）首先使被信任主机的网络暂时瘫痪，以免对攻击造成干扰（攻陷要伪装的主机）

（2）连接到目标机的某个端口来猜测序列号和增加的规律

（3）接下来把源地址伪装成被信任的主机，发送带有SYN标志的数据段来请求连接

（4）等待目标机发送SYN+ACK包给已经瘫痪的主机

（5）最后再此伪装成被信任主机向目标发送ACK，此时发送的数据段带有预测的目标机的序列号+1

（6）连接建立，发送命令请求

2.Smurf攻击（DDOS攻击的一种）

攻击原理：攻击者发送ICMP请求，请求包的目标地址设置为受害网络的广播地址，这样该网络中的所有主机对此ICMP请求作出答复，导致网络阻塞，高级的Smurf攻击，主要使用来攻击目标主机，方法是将上述ICMP请求包的源地址改为被迫害的主机，最终导致受害主机雪崩，网络中的主机越多，攻击效果越明显

造成影响：（1）被攻击网络内流量增大（2）接受ICMP应答包的主机可能会宕机

防范策略：检查ICMP请求包的目的地址是否为子网广播地址或子网的网络地址，如果是则直接拒绝

3.ICMP重定向和不可达攻击

攻击原理：ICMP重定向报文是ICMP控制报文中的一种，在某些情况下，当路由器检测到一台机器上使用非优化路由的时候，他会向该主机发送一个ICMP重定向报文，请求主机改变路由。ICMP协议虽然不是路由协议，但是他可以指导数据包的流向。攻击者通过向主机发送ICMP重定向数据包，使受害人主机数据包发送不到正确的网关，以达到攻击目的

造成影响：使用户的数据不按正常的路径转发，造成网络断开

防范策略：修改注册表关闭主机的ICMP重定向报文处理

4.IP地址扫描攻击

攻击原理：攻击者运用ICMP报文探测目标地址，或者使用TCP/UDP报文对一定地址发起连接，通过判断是否有应答报文，以确定哪些目标系统存活并连接在目标网络上

造成影响：使攻击者获悉存在的网络主机，对后续进攻作准备

防范策略：设置主机使其不对ping请求作出应答

传输层：

1.TCP欺骗

描述：利用主机之间某种网络服务的信任关系建立虚拟的TCP连接，可能模拟受害者从服务器端获取信息，具体过程类似于IP欺骗攻击

攻击原理：

（1）攻击者先将要伪装的主机攻克

（2）攻击者用被攻克的主机的地址作为源地址给目的主机发送TCP SYN报文

（3）目标主机回应TCP SYN/ACK报文，携带序列码S

（4）C收不到序列码，但为了完成握手必须使用S+1作为序列码进行应答，这时C可以通过监听SYN/ACK报文，根据得到的值进行计算或者根据操作系统的特新进行猜测

（5）攻击者使用得出的序列码S回应给目标主机，握手完成，虚假连接建立

2.TCP拒绝服务攻击—SYN Flood攻击

攻击原理：SYN报文是TCP连接的第一个报文，攻击者通过大量发送SYN报文，造成大量未完全建立的TCP连接，占用被攻击者的资源

解决方法：

1，代理防火墙--- 每目标IP代理阈值，每目标IP丢包阈值

2，首包丢包

3，SYN cookie

3.端口扫描攻击

攻击原理：攻击者通常使用一些软件，先大范围的主机的一系列TCP/UDP端口发起连接，根据应答报文判断主机是否使用这些端口提供服务

防范策略：配置端口扫描攻击防范参数后，设备对进入的TCP，UDP，ICMP报文进行检测，并以每个源地址作为索引，判断该源地址发送报文的目的端口与前一报文的目的端口是否不同，如果是则异常数加1，当异常频率到达阈值时，则认为该源IP地址的报文为端口扫描攻击，并将该源ip地址加入黑名单

恶意程序--- 一般会具备一下的多个或全部特性

1，非法性

2，隐蔽性

3，潜伏性

4，可触发性

5，表现性

6，破坏性

7，传染性--- 蠕虫病毒的典型特点

8，针对性

9，变异性

10，不可预见性

普通病毒---以破坏为目的

木马病毒---以控制为目的

蠕虫病毒---具有传播性

信息安全五要素：

1.保密性：确保信息不暴露给未授权的实体或进程。

目的：即使信息被窃听或者截取，攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动攻击。

2.完整性：只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被修改。完整性鉴别机制，保证只有得到允许的人才能修改数据 。可以防篡改。

3.可用性：得到授权的实体可获得服务，攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制，阻止非授权用户进入网络。使静态信息可见，动态信息可操作，防止业务突然中断。

4.可控性：主要指对危害国家信息（包括利用加密的非法通信活动）的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制，控制信息传播范围、内容，必要时能恢复密钥，实现对网络资源及信息的可控性。

5.不可否认性：对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“逃不脱"，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。

案例：

企业级安全体系整体架构：