网络安全概述:
网络安全背景
网络空间安全 ---- Cyberspace
2003年美国提出网络空间的概念---一个由信息基础设施组成的互相依赖的网络。
我国官方文件定义---网络空间为继海,陆,空,天以外的第五大人类活动领域。
通信保密阶段---计算机安全阶段---信息系统安全---网络空间安全
APT攻击---高级持续性威胁
按层次攻击分类:
应用层:漏洞,缓冲区溢出攻击,WEB应用的攻击,病毒及木马
传输层:TCP欺骗,TCP拒绝服务,UDP拒绝服务,端口扫描
网络层:IP欺骗,Smurf攻击,ICMP攻击,地址扫描
链路层:MAC欺骗,MAC泛洪,ARP欺骗
物理层:设备破坏,线路监听
数据链路层:
1.MAC欺骗
攻击原理:攻击者将自己的MAC地址更改位受信任系统的地址(伪装)
造成影响:仿冒用户,截取数据帧
防范策略:在交换机上配置静态条目,将特定的MAC地址始终与特定的端口绑定
2.MAC泛洪
攻击原理:因为交换机的MAC学习机制,MAC表项的数目限制,交换机的转发机制,攻击者向交换机发酥大量的二层数据帧,以快速填满交换机的MAC表,MAC表填满之后,开始将后续的帧进行泛洪,导致整个网络系统中的链路还有交换机处于拥塞的状态,直至崩溃
造成影响:(1)试交换机无法正常工作(MAC表满)(2)网络中流量增大
防范策略:配置静态的MAC转发表,配置端口的MAC学习数目限制
3.ARP欺骗
攻击原理:攻击者抢先合法主机发出的ARP请求作出应答,这样要发送给合法主机的数据就会发送到伪装主机处
造成影响:截获数据
防范策略:主机手动配置MAC表
网络层:
1.IP欺骗攻击
攻击原理:攻击者使用相同的IP地址可以魔法网络上的合法主机,来访问关键信息
造成影响:伪装成某一合法用户
攻击步骤:
(1)首先使被信任主机的网络暂时瘫痪,以免对攻击造成干扰(攻陷要伪装的主机)
(2)连接到目标机的某个端口来猜测序列号和增加的规律
(3)接下来把源地址伪装成被信任的主机,发送带有SYN标志的数据段来请求连接
(4)等待目标机发送SYN+ACK包给已经瘫痪的主机
(5)最后再此伪装成被信任主机向目标发送ACK,此时发送的数据段带有预测的目标机的序列号+1
(6)连接建立,发送命令请求
2.Smurf攻击(DDOS攻击的一种)
攻击原理:攻击者发送ICMP请求,请求包的目标地址设置为受害网络的广播地址,这样该网络中的所有主机对此ICMP请求作出答复,导致网络阻塞,高级的Smurf攻击,主要使用来攻击目标主机,方法是将上述ICMP请求包的源地址改为被迫害的主机,最终导致受害主机雪崩,网络中的主机越多,攻击效果越明显
造成影响:(1)被攻击网络内流量增大(2)接受ICMP应答包的主机可能会宕机
防范策略:检查ICMP请求包的目的地址是否为子网广播地址或子网的网络地址,如果是则直接拒绝
3.ICMP重定向和不可达攻击
攻击原理:ICMP重定向报文是ICMP控制报文中的一种,在某些情况下,当路由器检测到一台机器上使用非优化路由的时候,他会向该主机发送一个ICMP重定向报文,请求主机改变路由。ICMP协议虽然不是路由协议,但是他可以指导数据包的流向。攻击者通过向主机发送ICMP重定向数据包,使受害人主机数据包发送不到正确的网关,以达到攻击目的
造成影响:使用户的数据不按正常的路径转发,造成网络断开
防范策略:修改注册表关闭主机的ICMP重定向报文处理
4.IP地址扫描攻击
攻击原理:攻击者运用ICMP报文探测目标地址,或者使用TCP/UDP报文对一定地址发起连接,通过判断是否有应答报文,以确定哪些目标系统存活并连接在目标网络上
造成影响:使攻击者获悉存在的网络主机,对后续进攻作准备
防范策略:设置主机使其不对ping请求作出应答
传输层:
1.TCP欺骗
描述:利用主机之间某种网络服务的信任关系建立虚拟的TCP连接,可能模拟受害者从服务器端获取信息,具体过程类似于IP欺骗攻击
攻击原理:
(1)攻击者先将要伪装的主机攻克
(2)攻击者用被攻克的主机的地址作为源地址给目的主机发送TCP SYN报文
(3)目标主机回应TCP SYN/ACK报文,携带序列码S
(4)C收不到序列码,但为了完成握手必须使用S+1作为序列码进行应答,这时C可以通过监听SYN/ACK报文,根据得到的值进行计算或者根据操作系统的特新进行猜测
(5)攻击者使用得出的序列码S回应给目标主机,握手完成,虚假连接建立
2.TCP拒绝服务攻击—SYN Flood攻击
攻击原理:SYN报文是TCP连接的第一个报文,攻击者通过大量发送SYN报文,造成大量未完全建立的TCP连接,占用被攻击者的资源
解决方法:
1,代理防火墙--- 每目标IP代理阈值,每目标IP丢包阈值
2,首包丢包
3,SYN cookie
3.端口扫描攻击
攻击原理:攻击者通常使用一些软件,先大范围的主机的一系列TCP/UDP端口发起连接,根据应答报文判断主机是否使用这些端口提供服务
防范策略:配置端口扫描攻击防范参数后,设备对进入的TCP,UDP,ICMP报文进行检测,并以每个源地址作为索引,判断该源地址发送报文的目的端口与前一报文的目的端口是否不同,如果是则异常数加1,当异常频率到达阈值时,则认为该源IP地址的报文为端口扫描攻击,并将该源ip地址加入黑名单
恶意程序--- 一般会具备一下的多个或全部特性
1,非法性
2,隐蔽性
3,潜伏性
4,可触发性
5,表现性
6,破坏性
7,传染性--- 蠕虫病毒的典型特点
8,针对性
9,变异性
10,不可预见性
普通病毒---以破坏为目的
木马病毒---以控制为目的
蠕虫病毒---具有传播性
信息安全五要素:
1.保密性:确保信息不暴露给未授权的实体或进程。
目的:即使信息被窃听或者截取,攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动攻击。
2.完整性:只有得到允许的人才能修改实体或进程,并且能够判别出实体或进程是否已被修改。完整性鉴别机制,保证只有得到允许的人才能修改数据 。可以防篡改。
3.可用性:得到授权的实体可获得服务,攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制,阻止非授权用户进入网络。使静态信息可见,动态信息可操作,防止业务突然中断。
4.可控性:主要指对危害国家信息(包括利用加密的非法通信活动)的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制,控制信息传播范围、内容,必要时能恢复密钥,实现对网络资源及信息的可控性。
5.不可否认性:对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“逃不脱",并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性。
案例: