NISP 一级 | 3.2 网络安全威胁

于 2024-09-11 06:00:00 发布
阅读量229 收藏 9
点赞数 7
分类专栏: 网络安全 # 网络安全相关笔记 文章标签: 网络安全 NISP 证书获取
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73360524/article/details/142033087
版权

关注这个证书的其他相关笔记:NISP 一级 —— 考证笔记合集-CSDN博客

网络安全威胁主要来自攻击者对网络及信息系统的攻击,攻击者可以通过网络嗅探、网络钓鱼、拒绝服务、远程控制、社会工程学等网络攻击手段,获得目标计算机的控制权,或获取有价值的数据和信息等。

0x01:网络嗅探

网络嗅探,网络嗅探是通过截取分析网络中传输的数据而获取有用信息的行为,嗅探器(Sniffer)是一种监视网络数据运行的软件设备,它利用计算机网络接口获取其他计算机的数据报文,嗅探器工作在网络环境中的底层,它会监听正在网络上传送的数据,通过相应软件可以实时分析数据的内容,通过嗅探技术,攻击者可以截取网络中传输的大量敏感信息,如网站的浏览痕迹,各种网络账号和口令,即时通信软件的聊天记录等。

嗅探工具(WireShark)捕获的数据包如下图所示:

0x02:网络钓鱼

网络钓鱼是指攻击者利用伪造的网站或欺骗性的电子邮件进行的网络诈骗活动。攻击者通过技术手段将自己伪装成网络银行,网上卖家和信用卡公司等骗取用户的机密信息。盗取用户资金,网络钓鱼的攻击目标包括用户的网上银行和信用卡,各种支付系统的账号及口令,身份证号码等信息。

网络钓鱼常用手段:

  • 伪造相似域名的网站:http://www.icbc.com.cnhttp://www.1cbc.com.cn

  • 显示 IP 地址而非域名:http://210.93.131.250

  • 超链接欺骗:超链接的标题与超链接的地址之间并无关系。

  • 弹出窗口欺骗:攻击者通过在网页中内嵌恶意代码,弹出一个窗口要求用户输入个人信息。

0x03:拒绝服务攻击

0x0301:拒绝服务攻击(DoS)

拒绝服务攻击(Denial of Services,DoS)是指攻击者通过各种非法手段占据大量的服务器资源,致使服务器系统没有剩余资源提供给其他合法用户使用,进而造成合法用户无法访问服务的一种攻击方式,是一种危害极大的攻击,严重时会导致服务器瘫痪。

0x0302:分布式拒绝服务攻击(DDoS)

分布式拒绝服务攻击(Distributed Denial of Services,DDoS)是一种由 DoS 攻击演变而来的攻击手段,攻击者可以在被控制的多个有时多至上万台机器上安装 DoS 攻击程序,通过统一的控制中心在合适时机发送攻击指令,使所有受控机器同时向指定目标发送尽可能多的网络请求,形成 DDoS 攻击,导致被攻击服务器无法正常提供服务,甚至瘫痪。

举个例子,这种攻击就像一个人唆使很多很多的人一起到一家商场把这家商场堵的水泄不通,同时还向商场中的导购人员咨询各种商品的价格,但是就不买,最终导致这家商场的正常运营能力丧失即拒绝服务,拒绝服务本身。并不是服务器不想提供服务,而是服务进程被各种各样的垃圾请求占用了资源,以至于无暇顾及正常的服务请求。

0x0303:同步泛洪攻击(SYN flooding)

同步泛洪攻击(Synchronize flooding,SYN flooding)是当前常见的拒绝服务攻击方式之一,它利用 TCP 协议缺陷发送大量伪造的 TCP 连接请求,耗尽被攻击方,也就是应答方的资源。消耗中央处理器或内存资源,从而导致被攻击方,也就是应答方无法提供正常服务。

0x04:远程控制

攻击者通过各种非法手段成功入侵目标主机后,对目标主机进行远程控制,以便轻松获取目标主机中有价值的数据。

攻击者主要利用木马来实现对目标主机的远程控制,此外还可以通过 Web Shell 对 web 服务器进行远程控制,Web Shell 可以接受用户命令,然后调用相应的程序,其可以理解为一种 Web 脚本编写的木马后门程序,它可以接收来自攻击者的命令,在被控制主机上执行特定的功能。Web Shell 以 ASP、PHP 等网页文件的形态存在。攻击者首先利用网站的漏洞将这些网页文件非法上传到网站服务器的网站目录中,然后通过浏览器访问这些网页文件,利用网页文件的命令执行环境,获得对网站服务器的远程操作权限,以达到控制网站服务器的目的。

0x05:社会工程学

社会工程学(Social Engineering,SE)不是一门科学,而是一门综合运用信息收集,语言技巧,心理陷阱等多种手段完成欺骗目的的方法。

社会工程学攻击主要是利用人们信息安全意识淡泊以及人性的弱点让人上当受骗,攻击者通过各种手段和方法收集用户信息,进而使用这些用户信息完成各种非法的活动,比如身份盗用、获取有价值的情报和机密等。

信息收集是指攻击者通过网络搜索,在线查询等网络应用,深入挖掘用户在因特网上隐秘的个人信息,攻击者可以通过用户微博发布的信息和各种网络资源来获取用户的个人详细资料,比如手机号码,照片,爱好习惯,信用卡资料,网络论坛账号资料,社交网络资料,甚至个人身份证的扫描件等等,攻击者利用这些用户信息可以完成各种非法手段,攻击者可以通过网络账号,电子邮箱,手机号码等信息冒充他人身份而实施非法活动。通常网络账号,电子邮箱,手机号等具有很高的身份认可度,一旦攻击者冒充用户发布非法恶意诈骗类信息,用户的朋友往往会相信信息的真实性。

社会工程学的概念是由凯文·米特尼克在其著作的《欺骗的艺术》一书中首次提出。

SRC_BLUE_17
关注
  • 7
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
NISP一级3.2 防火墙
qq_40785722的博客
03-03 316
NISP3.2 防火墙 1. 防火墙基础概念 1.1 概念 防火墙 (Firewall) 一词来源于早期的欧式建筑,它是建筑物之间的一道矮墙,用来防止发生火灾时火势蔓延。在计算机网络中,防火墙通过对数据包的筛选和屏蔽,可以防止非法的访问进入内部或外部计算机网络。 因此,防火墙可以定义为:位于可信网络与不可信网络之间并对二者之间流动的数据包进行检查和筛选的一台、多台计算机或路由器。 防火墙的功能和特性使得它在网络安全中得到广泛的应用,防火墙产品是目前市场上应用范围最广、最易于被客户接受的网络安全产品之一
NISP一级】2.3 网络安全协议
qq_40785722的博客
02-28 325
NISP一级】2.3 网络安全协议 1. OSI七层模型 开放系统互连模型(Open System Interconnection Reference Model,OSI) 国际标准化组织于1977年发布的一个标准参考模型,在1983年成为ISO 7498国际标准,该模型定义了网络中不同计算机系统进行通信的基本过程和方法。 OSI模型把网络通信工作分为七层,从低层到高层依次是:物理层( Physical Layer)、数据链路层(Data Link Layer)、网络层(Network Layer)
NISP一级】2.4 网络安全新技术
qq_40785722的博客
02-28 9104
NISP一级】2.4 网络安全新技术 1. 云计算安全 1.1 云计算定义 云计算是指通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自助获取和管理资源的模式。——《信息安全技术云计算服务安全指南》(GB/T 31167-2014) 1.2 云计算特征 按需自助服务:在不需或较少云服务商的人员参与情况下,客户能根据需要获得所需计算资源,如自王确定资源古用时间和数量等。 泛在接入:客户通过标准接入机制,利用计算机、移动电话、平板等各种终端通过网络随时随地使用服务。 资源池化:云服务商
NISP一级】1.1 信息安全与网络空间安全
qq_40785722的博客
02-25 710
[NISP一级] 1.1 信息安全与网络空间安全 1 信息与信息安全 1.1 什么是信息 1.1.1 关于信息的定义 有价值的内容——ISO9000 通信系统传输和处理的对象,一般指时间或资料数据——现代汉语词典 1.1.2 信息的存在形式 信息是无形的 借助媒体以多种形式存在 存储在计算机、磁带、纸张等介质中 记忆在人的大脑里 1.2 信息的价值 信息都是有价值的 对于个人来说,最有价值的信息就是个人隐私 对于组织机构来说,借助媒体存在的信息就是组织的信息资产,例如:银行中的数据、客户资料、OA
NISP 一级 —— 考证笔记合集
Blue17 の 小窝
09-04 574
笔者考取 NISP 一级期间所做的笔记
NISP一级】1.3 网络空间安全政策与标准
qq_40785722的博客
02-26 966
NISP一级】1.3 网络空间安全政策与标准 1. 网络安全国家战略 1.1 国家指导政策 《中华人民共和国网络安全法》于2016 年出台,2017 年6月1日正式生效 《信息安全技术个人信息安全规范》GB/T-35273 于2018年正式出台,5月1日正式生效。 《中华人民共和国密码法》于2019年10月26日在第十三届全国人民代表大会常务委员会第十四次会议表决通过,自2020年1月1 日起施行。《数据安全法》于2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议表决通过,自202
NISP一级】1.4 信息安全管理
qq_40785722的博客
02-26 1401
NISP一级】1.4 信息安全管理 1. 信息安全管理基础 1.1 信息安全管理的基础 信息:信息是一种资产, 与其他重要的业务资产一样,对组织业务必不可少,因此需要得到适当的保护。 信息的价值 企业:对用户的信息保护成为新的关注点 用户:用户将安全作为选择服务的重要依据之一 攻击者:不起眼的数据对攻击者可能价值很高,倒逼企业和个人更关注信息安全 1.2 信息安全管理的作用 信息安全管理是组织整体管理的重要、固有组成部分,是组织实现其业务目标的重要保障 信息安全管理是信息安全技术的融合剂,保障
NISP一级】6.1 安全漏洞与网络攻击
qq_40785722的博客
03-05 359
NISP一级】6.1 安全漏洞与网络攻击 1. 安全漏洞及产生原因 1.2安全漏洞的定义 也称脆弱性,是计算机系统存在的缺陷 1.3漏洞的形式 安全漏洞以不同形式存在,漏洞数量逐年递增 1.4漏洞产生的技术原因 内因:软件复杂性使得漏洞不可避免 软件规模增加、功能越来越多、越来越复杂、难以避免缺陷 软件模块服用、导致安全漏洞延续 缺乏从设计开始安全考虑 外因:互联网发展对软件安全的挑战 1.5漏洞产生的经济原因 软件开发管理过程中缺乏对安全重视 市场和业务要求将交付期和软件功能做主要
NISP一级】5.2 互联网通信安全
qq_40785722的博客
03-05 388
NISP一级】5.2 互联网通信安全 1. 什么是互联网通信安全 1.1 互联网通信应用的概念 通信的进化史 互联网通信技术 互联网应用介绍 互联网信息检索 网络通信 网络社区 网络娱乐 电子商务 网络金融 网上教育 互联网通信应用 1.2 互联网通信应用的安全问题 计算机网络通讯已成为人们生活及工作中的不可或缺的组成部分。 网络通讯技术故障 网络故障问题主要是硬件连接和软件设置问题 网络通讯安全方面 网络通讯安全问题主要体现在非
(NISP)一级pdf题库-全国大学生网络安全精英赛(1-20题)
01-12
NISP一级考试知识点】 1. 通信保密阶段与安全威胁:通信保密阶段的主要安全威胁是搭线窃听和密码分析。为应对这些威胁,主要的保护措施是...理解和掌握这些知识点对于准备NISP一级考试和提高网络安全意识至关重要。
网络安全 - 证书获取 - NISP 一级模拟题 V2.0.pdf
09-05
NISP是由国家网络安全人才与创新基地发起并实施的一项国家级网络安全人才认证项目,旨在普及网络安全知识,提升全民网络安全意识,培养符合国家战略需要的网络安全人才。 主要内容亮点: 全面覆盖:该模拟题集覆盖了...
nisp一级题.docx
08-02
nisp一级的题库加答案包括2020年网络安全知识竞赛总决赛的模拟题库一部分。涉及的知识面全。包含信息安全基础、信息安全防护、操作系统安全防护等。一些理论知识。有助于加强自身和企业网络安方面的基础防护。对...
nisp一级课程pdf资料
11-11
国家信息安全水平考试(NISP一级,相关课程视频教程pdf资料,可供需要考nisp一级的同学下载学习,有助于提高学习效率和考试通过率
NISP一级题库.zip
08-25
nisp一级题库
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8455
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
购物节抽奖小程序(源码).zip
最新发布
09-10
购物节抽奖小程序(源码).zip
分享:灵敏度分析.docx
09-10
灵敏度分析是一种评估模型输出对于输入参数变化的敏感程度的方法。在不同的领域,灵敏度分析可以有不同的应用和意义,但基本概念是相似的。以下是灵敏度分析在几个不同领域的常见应用: 1. **金融建模**:在金融领域,灵敏度分析通常用来评估投资组合对市场变量(如利率、汇率、股价波动等)的敏感性。通过这种分析,投资者可以理解不同市场条件变化对投资组合价值的潜在影响。 2. **环境科学**:在环境影响评估中,灵敏度分析可以帮助科学家了解生态系统对不同压力(如温度变化、污染物增加等)的响应程度。这有助于制定更有效的环境保护措施。 3. **工程学**:工程师在设计系统或结构时,会进行灵敏度分析来确定哪些参数对系统性能影响最大,从而优化设计和降低潜在风险。 4. **医学研究**:在临床试验和流行病学研究中,灵敏度分析用于评估结果对于模型假设或数据处理方法的依赖性。 5. **能源领域**:在能源系统分析中,灵敏度分析可以帮助评估能源消耗和生产对价格、技术进步和政策变化的敏感性。 6. **供应链管理**:企业通过灵敏度分析来评估供应链对各种风险因素(如供应中断、需求波动等)的敏感性,以
新能源汽车行业:新能源汽车出海进入快车道!-20221108-东吴证券-43页.pdf
09-10
新能源汽车行业:新能源汽车出海进入快车道!-20221108-东吴证券-43页
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SRC_BLUE_17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值