网络安全和网络自动化两大趋势:数据安全核心
一、信息安全现状及挑战
1、网络空间安全市场在中国,潜力无穷
2、数字化时代威胁升级
(1)、APT:高级持续性威胁,
(2)、防火墙:主要用的是包过滤的手段,本质就是包过滤(ACL),主要针对的是传输层和网络层,对应用层的过滤不准确
3、传统安全防护逐步失效
4、安全风险能见度不足
看不清资产
看不见新型威胁
看不见内网潜藏风险
缺乏自动化防御手段
扩展:
(1)木马:木马通过伪装成正常软件被下载到用户主机,随后黑客通过木马控制用户主机并盗取用户信息。具有隐藏性、欺骗性、危害性。主要是别人控制你的电脑
(2)钓鱼邮件:钓鱼邮件指利用伪装的邮件,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等而被盗取。具有起欺骗性、针对性、结合性、多样性、可识别性
(3)零日漏洞(0day):开发人员都不知道存在的漏洞,但别人发现的漏洞利用,威胁很大
1day开发者知道了这个漏洞,但是补丁还没有,这个过程可以利用漏洞
nday漏洞已经被解决打上了补丁,就不能在利用
(4)社会工程学:利用人性弱点 (本能反应、贪婪、易于信任等) 进行欺骗获取利益的攻击方法
(5)后门:通常指那些绕过安全性控制而获取对程序或系统访问权的程序方法。
5、缺乏自动化防御手段
6、网络安全监管标准愈发严苛
(1)《网络安全法》2017
(2)《信息安全技术网络安全等级保护基本要求》2019
7、网络信息安全概述(空间)
二、信息安全脆弱性机常见安全攻击
1、协议栈的脆弱性机常见攻击:
脆弱性:缺乏数据源验证机制、缺乏机密性保障机制、缺乏晚自习验证机制
物理层:屏蔽线
网络的基本攻击模式:主动威胁:篡改(完整性),中断:(可用性),伪造(真实性)、被动威胁:截获(机密性)
主动威胁:一定会产生一些实质性的影响
被动威胁:不会产生明面上的影响
三、网络的基本攻击:主动威胁、被动威胁
主动威胁:一定会产生一些实质性的影响
被动威胁:不会产生明面上的影响
1、物理层:物理攻击如破坏监听物理设备、自然灾害(可以异地备份解决)
2、链路层:
(1)MAC洪泛攻击
交换机的转发流量是先记录在去查表,看是发单个还是洪泛;首先攻击者会向交换机中发送大量的虚假MAC地址,将交换机中的CAM表填满,这样其他主机所发送的数据帧交换机会做洪泛处理,攻击者自己的主机就可以接收到受害者的数据帧,攻击者只需要使用抓包软件就可以获取相应的信息
防御:
1、配置安全静态MAC地址:可以静态写死,将接口与地址锁定
2、启用端口安全功能,限制每个端口上的MAC地址数量
3、启用ACL(访问控制列表)功能,限制某些MAC地址或IP地址的访问
(2)ARP欺骗
ARP 协议是通过广播请求来获取目标设备的 MAC 地址的。当一个设备需要发送数据到另一个设备时,它会发送一个 ARP 请求,询问局域网内的所有设备,是否有指定 IP 地址对应的 MAC 地址。目标设备收到该请求后,会回复一个 ARP 应答,告诉请求者它的 MAC 地址。
ARP 欺骗利用了这种工作原理,攻击者会发送伪造的 ARP 数据包,将自己伪装成网关或其它设备。目标设备收到伪造的 ARP 数据包后,会将攻击者的 MAC 地址映射到目标 IP 地址上,并将后续数据包发送给攻击者。攻击者就可以截获目标设备发出的数据包,甚至可以修改、篡改数据包中的内容。此时,攻击者已经拦截了目标设备和网关之间的数据包传输,并可能对数据包进行抓包,修改或篡改等攻击。
ARP欺骗防御:
1、静态ARP绑定:可以静态写死网关
2、设置ARP防火墙
3、网络层:ICMP重定向攻击(禁止ping)、ICMP不可达攻击(修改注册表关闭主机的ICMP不可达报文处理功能,禁止ICMP重定向报文)
4、传输层:TCP SYN Flood攻击
TCP是基于字节流的,没有数据包的概念,在发送字节流会开辟一段存储空间:TCP数据包发送的规则是基于源ip源端口和目标IP目标端口,攻击者会更换除了目标IP的其他三个值,攻击者会不断发送直到把存储空间占完
防御:
(1)使用代理防火墙:每目标IP代理阈值,每目标IP丢包阈值:设置一个连接的上限值,超过了设置值就直接将其丢弃 先去找防火墙,建立方发送一个SYN先给防火墙,防火墙回一个ACK,如果对方发 送了一个ACK证明就是好的,然后防火墙再去发给服务器
(2)首包丢包
(3)SYN Cookie:会记录信息,避免造成信息错乱
(4)DDoS分布式拒绝服务攻击:控制别人的电脑成为肉鸡,僵尸网络
5、应用层:DNS欺骗(做加密)
DNS欺骗原理:当客户主机向本地DNS服务器查询域名的时候,如果服务器的缓存中已经有相应记录,DNS服务器就不会再向其他服务器进行查询,而是直接将这条记录返回给用户。
DNS欺骗实现方法:当主机向某一个DNS服务器发送解析请求时,攻击者冒充被请求方,向请求方返回一个被篡改了的应答,从而请求方访问了被篡改后的IP地址
四、操作系统的脆弱性及常见攻击
1、操作系统自身的漏洞:人为、客观、硬件
2、缓存区溢出攻击:缓冲区溢出攻击利用编写不够严谨的程序,通过向程序的缓冲区写入超过预定长度的数据,造成缓存的溢出,从而破坏程序的堆栈,导致程序执行流程的改变
3、缓存区溢出的防御:
用户:打补丁、安装防火墙
开发人员:编写安全的代码,对输入数据进行验证;使用安全的函数
系统:缓存区不可执行技术;虚拟化技术
五、终端的脆弱性及攻击
1、恶意程序:非法性、隐蔽性、潜伏性、可触发性、表现性、破坏性、传染性、针对性、变异性、不可预见性
2、勒索病毒:3389端口是RDP远程桌面协议的端口
特点:对攻击者:传播入口多,传播技术隐蔽,雷索产业化发展
对受害者:安全状况看不清,安全设备防不住,问题处置不及时
3、慢速暴力破解:每天尝试几条,长时间
4、挖矿病毒:一种恶意程序,可自动传播,在未授权的情况下,占用系统资源,为攻击者谋利,使得受害者机器性能明显下降,影响正常使用
5、特洛伊木马:完整的木马程序一般由两个部份组成:服务器程序与控制器程序。
6、蠕虫病毒:蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播,具有很强的传染性。造成拒绝服务、隐私信息丢失
特点:不依赖宿主程序、利用漏洞主动攻击、通过蠕虫网络隐藏攻击者的位置
7、宏病毒:宏病毒是一种寄存在文档或模板的宏中的计算机病毒。
特点:感染文档、传播速度极快、病毒制作周期短、多平台交叉感染