网络安全概述:
时代背景:
- 网络安全市场在中国潜力无限
- 数字化时代威胁升级
攻击频发——勒索病毒,数据泄露,黑客入侵等网络安全事件呈现上升趋势
- 传统安全防护逐步失效
传统防火墙、IPS、杀毒软件等基于特征库的安全检测,无法过滤:变种僵尸、木马、蠕虫,U盘带入,恶意的内部用户,BYOD带入,零日漏洞,APT攻击。
- 安全风险的能见度不足
看不清的新增资产产生安全洼地
- 缺乏有效手段主动识别新增业务
攻击者对内网未被归档和防护的新增资产进行攻击,顺利渗透如内网
看不见新型威胁
水坑攻击,鱼叉邮件攻击,零日漏洞攻击,其他攻击
- 缺乏自动化防御手段
- 网络安全监管标准愈发严苛——网络安全法发展历程
信息安全概述:
防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。
信息安全:
计算机网络环境下的信息安全。
网络安全威胁——APT攻击
-
基本概念
高级持续性威胁(APT,Advanced Persistent Threat),又叫高级长期威胁,是一种复杂的、持续的网络攻击,包含高级、长期、威胁三个要素。
- 高级是指执行APT攻击需要比传统攻击更高的定制程度和复杂程度,攻击人员通常根据需要开发更高级的工具,这需要花费大量时间和资源对目标进行扫描分析,挖掘研究系统漏洞
- 长期是为了达到特定目的,过程中“放长线”,持续监控分析目标,确保对目标保有长期访问权
- 威胁强调的是人为参与策划的攻击,攻击目标是高价值的组织,攻击一旦得手,往往会给攻击目标造成巨大的经济损失或政治影响
主要特点
- 攻击者组织严密:有组织发起的攻击,可能具有军事或政治目的,有时会与某个国家关联在一起,而且背后往往有强大的资金及资源支持。
- 针对性强:攻击者不会盲目攻击,一般会很有针对性的选择一个攻击目标,该目标往往具有军事、政治、经济上的较高价值。
- 技术先进:APT攻击的恶意代码变种多且升级频繁,结合尚未发布的零日漏洞,使得基于特征匹配的传统检测防御技术很难有效检测出攻击。
- 隐蔽性强:APT攻击者具有较强的隐蔽能力,不会像DDoS攻击一样构造大量的报文去累垮目标服务器,基于流量的防御手段很难发挥作用;在整个过程中都会使用高级逃逸技术来刻意躲避安全设备的检查,在系统中并无明显异常,基于单点时间或短时间窗口的实时检测技术和会话频繁检测技术也难以成功检测出异常攻击。
DDoS攻击--Syn_Flood攻击
Syn-Flood攻击是当前网络上最为常见的DDoS攻击,也是最为经典的拒绝服务攻击,它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。
SYN Cookie
SYN Cookie是对TCP服务器端的三次握手做一些修改,专门用来防范SYN Flood攻击的一种手段。
原理:在TCP服务器接收到TCP SYN包并返回TCP SYN + ACK包时,不分配一个专门的数据区,而是根据这个SYN包计算出一个cookie值。这个cookie作为将要返回的SYN ACK包的初始序列号。当客户端返回一个ACK包时,根据包头信息计算cookie,与返回的确认序列号(初始序列号 + 1)进行对比,如果相同,则是一个正常连接,然后,分配资源,建立连接。
实现的关键在于cookie的计算,cookie的计算应该包含本次连接的状态信息,使攻击者不能伪造。
DNS欺骗
攻击者(黑客)冒充域名服务器进行欺骗的一种行为。
如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址。这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。
DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。
ARP欺骗
ARP欺骗的本质是把虚假的IP-MAC映射关系通过ARP报文发给主机,让主机把虚假的IP-MAC映射存入ARP缓存表(可能是IP地址错误,也可能是MAC地址错误),让其无法正确发送数据
漏洞的根源
-
ARP协议是无连接
-
操作系统收到ARP请求或响应后无法确认senderMAC和senderIP真假
伪造网关
攻击者B伪造ARP报文(senderIP地址是网关的,senderMAC地址不是网关的),发送给网段内的主机A,那么主机A就会把网关的ip地址和伪造的mac地址缓存到arp缓存表内,导致主机A无法把要发给网关的消息送达网关,致使主机A无法正常访问外网
欺骗网关
攻击者B伪造ARP报文(senderIP地址是主机A的,senderMAC地址不是主机A的),发送给网关,网关就把主机A的ip地址和伪造的mac地址缓存到网关arp缓存表内,导致网关无法给主机A发送消息,致使主机A无法正常访问外网
欺骗其他主机
攻击者B伪造ARP报文(senderIP地址是主机C的,senderMAC地址不是主机C的),发送给主机A,主机A就把主机C的ip地址和伪造的mac地址缓存到主机A的arp缓存表内,导致主机A无法给主机C发送消息
泛洪攻击
攻击者伪造大量不同ARP报文在同网段内进行广播,导致网关ARP表项被占满,合法用户的ARP表项无法正常学习,导致合法用户无法正常访问外网(也可以泛洪攻击其他主机)
病毒
病毒是一种基于硬件和操作系统的程序,具有感染和破坏能力,这与病毒程序的结构有关。
病毒感染目标包括:硬盘系统分配表扇区 ( 主引导区 ) 、硬盘引导扇区、软盘引导扇区、可执行文件
( .exe )、命令文件( .com )、覆盖文件( .ovl )、 COMMAND 文件、 IBMBIO 文件、 IBMDOS 文件。
计算机病毒感染的一般过程为:
当计算机运行染毒的宿主程序时,病毒夺取控制权; 寻找感染的突破口; 将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似,它寄生在 宿主程序中,进入计算机并借助操作系统和宿主程序的运行,复制自身、大量繁殖。
分类
- 按照病毒攻击的系统分类:攻击 DOS 系统的病毒,攻击 Windows 系统的病毒,攻击 UNIX 系统的病毒,攻击OS/2 系统的病毒。
- 按照病毒的攻击机型分类: 攻击微型计算机的病毒,攻击小型机的计算机病毒,攻击工作站的计算机病毒.
- 按照病毒的链接方式分类:源码型病毒;嵌入型病毒;外壳型病毒;操作系统型病毒。
- 按照病毒的破坏情况分类: 良性计算机病毒,恶性计算机病毒.
- 按照病毒的寄生方式分类:引导型病毒;文件型病毒;复合型病毒
- 按照病毒的传播媒介分类: 单机病毒;网络病毒
木马(以控制为目的的病毒)
木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成。
传播过程:
黑客利用木马配置工具生成一个木马的服务端;通过各种手段如 Spam 、 Phish 、 Worm 等安装到用户终 端;利用社会工程学, 或者其它技术手段使得木马运行;木马窃取用户隐私信息发送给黑客;同时允许黑 客控制用户终端。
传播方式∶捆绑、利用网页
蠕虫病毒(具有传染性的病毒)
蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。
特点:不依赖宿主程序、利用漏洞主动攻击、通过蠕虫网络隐藏攻击者的位置。
防火墙
是一种隔离(非授权用户和授权用户之间部署)并过滤(对受保护网络有害的流量或数据包)的设备,在不同的安全区之间做隔离,保证流量规范。
作用:隔离不同的安全区域
最为常用的两种防火墙是代理防火墙(proxy firewall ) 和包过滤防火墙(packet-filter)。它们的主要区别是所操作的协议栈的层次,以及由此决定的IP地址和端口号的使用是不同的。简单来说,包过滤防火墙是一个互联网路由器,能够丢弃符合或者不符合特定条件的数据包。而代理防火墙是一个多宿主的服务器主机,它是TCP和UDP传输关联的终点,通常不会再IP协议层中路由IP数据报。
1.包过滤防火墙
包过滤( Packet Filter )是在网络层中根据事先设置的安全访问策略(过滤规则) , 检查每一个数据包的源IP地址、目的IP地址以及IP分组头部的其他各种标志信息(如协议、服务类型等) , 确定是否允许该数据包通过防火墙。
包过滤防火墙的应用特点:
- 过滤规则表需要事先进行人工设置,规则表中的条目根据用户的安全要求来定。
- 防火墙在进行检查时,首先从过滤规则表中的第1个条目开始逐条进行,所以过滤规则表中条目的先后顺序非常重要。
- 由于包过滤防火墙工作在OSI参考模型的网络层和传输层,所以包过滤防火墙对通过的数据包的速度影响不大,实现成本较低。
包过滤防火墙的过滤规则
包过滤防火墙是一种特殊编程的路由器,能够过滤(丢弃)网络流量。它们一般都可以配置为丢弃或转发数据包头中符合或者不符合标准的数据包,这些标准称为过滤器。
简单的过滤器包括网络层或传输层报头中各个部分的范围比较。最流行的过滤器包括IP地址或者选项、ICMP报文的类型,以及根据数据包中端口号确定的各种UDP或TCP服务。网络管理员回安装过滤器或者访问控制列表(Access Control List,ACL),配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。如可以配置ACL,禁止局域网内的设备访问外部公共网络,或者只能使用FTP服务。ACL既可以在路由器上配置,也可以在具有ACL功能的业务软件上进行配置。
包过滤防火墙既可以是无状态的,即独立处理每一个分组。也可以是有状态的,即要跟踪每个连接或会话的通信状态。
无状态的包过滤防火墙:最简单的包过滤防火墙都是无状态的,它单独处理每一个数据报。
有状态的包过滤防火墙:能够通过关联已经或者即将到达的数据包来推断流或者数据报的信息,即那些属于同一个传输关联的数据包或构成同一个IP数据报的IP分片。IP分片使得防火墙的工作变得更加复杂,无状态的包过滤防火墙极易被其混淆。
2.代理防火墙
(1)代理防火墙的原理
代理防火墙并不是真正意义上的互联网路由器,它是一个运行一个或多个应用层网关(Application-Layer Gateways, ALG)的主机,也叫应用网关防火墙,该主机有多个网络接口,能够在应用层中继两个连接之间的特定类型的流量。它通常不像路由器那样做IP转发,但现如今也出现了结合了各种功能的更复杂的代理防火墙。
所以进出网络的应用程序报文都必须通过应用网关。当某应用客户进程向服务器发送一份请求报文时,先发送给应用网关,应用网关在应用层打开该报文,查看该请求是否合法(可根据应用层用户标识ID或其他应用层信息来确定)。如果请求合法,应用网关以客户进程的身份将请求报文转发给原始服务器。如果不合法,报文则被丢弃。例如,一个邮件网关在检查每一个邮件时,根据邮件地址,或邮件的其他首部,甚至是报文的内容(如,有没有“核弹头”,“导弹”等敏感词)来确定该邮件能否通过防火墙。
虽然这种类型的防火墙是很安全的,但它是以脆性和缺乏灵活性为代价的,因为这种类型的防火墙必须为每个传输层服务设置一个代理,任何要使用新服务必须安装一个相应的代理,并通过该代理来操作发起连接。每个应用都需要一个不同的应用网关(可以运行在同一台主机上)。其次,在应用层转发和处理报文,处理负担比较重。另外,对应用程序不透明,需要在应用程序客户端配置应用网关地址。
(2)两种常见的代理防火墙
- HTTP代理防火墙,也称为Web代理,只能用于HTTP和HTTPS协议(Web),这些代理对于内网用户来说就像是Web服务器,对于被访问的外部网站来说就像是Web客户端。这种代理往往提供Web缓存功能。这些缓存保存网页的副本,以便以后访问可以直接从缓存中获取,而不再访问原始的服务器,从而减少网页的延迟。一些Web代理也经常被用来当做过滤器,能够基于“黑名单”来阻止用户访问某些网站。
- 基于SOCKS协议的防火墙,目前socks有两个版本:第4版为代理传输提供了基本的支持,第5版增加了强大的认证,UDP传输和IPv6寻址。为使用SOCKS代理,应用程序开发时必须添加SOCKS代理支持功能,同时配置应用程序能够获知代理的位置和版本。一旦配置完成,客户端使用SOCKS协议请求代理进行网络连接,也可以选择性的进行DNS查找。
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
