网络安全总结①

上一篇：网络工程面试题②

下一篇：网络安全总结②

信息安全

信息安全的定义

防止任何对数 据进行未授权访问的措施 ，或者防止造成信息有意 无意泄漏、 破坏、 丢失等 问题的发生， 让数据处于 远离危险、 免于威胁的状 态或特性。

信息安全的脆弱性

协议栈自身的脆弱性

缺乏数据源验证机制，缺乏完整性验证机制，缺乏机密性保障机制（可以抓包）

操作系统的自身漏洞

人为：在程序编写过程中，为实现不可告人的目的，在程序代码的隐藏 处保留后门

硬件：由于硬件原因， 使编程人员无法弥补硬件的漏洞，从而使硬件的问题通过软件表

客观：受编程人员的能力和当时安全技术所限， 在程序中难免会 有不足之处

人为因素

操作失误、病毒及破坏性程序、网络黑客

在Internet上大量公开的攻击手段和攻击程序

出于政治的、经济的、 商业的、 或者个人的目的

信息安全的五要素

机密性（Confidentiality）：也称作保密性，确保信息不暴露给未授权的实体或进程。

完整性（Integrity）：确保信息在传输、存储或处理过程中不被非法篡改，或者在篡改后能够被迅速发现

可用性（Availability）：确保得到授权的实体在需要时能够访问和使用所要求的数据或服务

可控性（Controllability）：指对信息流向及行为方式的控制能力

不可否认性（Non-repudiation）：指对信息交互过程中的行为进行确认和记录，确保信息发送方和接收方不能否认自己曾进行过的操作。实现不可否认性的技术手段包括数字签名、时间戳、审计日志等。

常见攻击

网络中的基本攻击模式

被动威胁

截获：嗅探（ sniffing）、监听（ eavesdropping）

主动威胁

篡改：数据包篡改（ tampering）

中断：拒绝服务（dosing）

伪造：欺骗（ spoofing）

常见安全攻击，物理层

线路侦听：光纤监听、红外监听

设备破坏：攻击者直接破坏网络的各种物理设施，比如服务器设施，或者网络的传输通信设施等，目的是中断网络服务

常见安全攻击，数据链路层

MAC欺骗：攻击者伪造设备的MAC地址，向交换机发送数据包，欺骗交换机更新其CAM表，使交换机将本应发送给合法设备的数据包错误地转发给攻击者

防范

MAC地址绑定：将合法设备MAC与交换机端口静态绑定。

MAC过滤：配置过滤规则，只允许特定MAC通过。

动态ARP检测：监测和验证ARP响应，防止ARP欺骗引发的MAC欺骗。

MAC洪泛：攻击者发送大量伪造MAC地址的数据包给交换机，使MAC地址表快速填满，导致交换机采取广播方式转发数据，攻击者可监听广播流量获取敏感信息

防范

MAC地址绑定：将合法设备MAC与交换机端口静态绑定。

MAC过滤：配置过滤规则，只允许特定MAC通过。

限制学习数量：设置交换机端口学习MAC地址的上限。

ARP欺骗：攻击者伪造ARP数据包，欺骗网络设备更新ARP缓存，导致网络通信被重定向或中断，实现中间人攻击（引导到错误的MAC地址）或资源耗尽（大量ARP请求包）

防范

设置静态arp（手工绑定主机的arp表）

dhcp snooping技术

安全设备（下一代防火墙）

STP攻击：通过伪造高优先级的STP报文欺骗交换机，使其错误地更改网络拓扑，可能导致数据流向被恶意控制

防范

配置 BPDU 保护防止非预期STP报文，配置 根 保护防止接口成为非法的根桥

常见安全攻击，网络层

IP欺骗：伪造或篡改IP地址，冒充合法用户进行网络活动，以实施非法访问、数据窃取等

防范：使用防火墙、IDS/IPS监控网络流量，建立IP黑名单和白名单，限制访问

Smurf攻击：通过伪造源地址的ICMP广播请求来耗尽目标网络的资源。

防范：过滤广播地址，启用反向路径过滤，限制ICMP带宽，升级网络设备

ICMP重定向：攻击者伪造ICMP重定向报文，诱使受害主机修改路由，将数据包重定向到攻击者的地址

防范：过滤非信任源的ICMP重定向报文。主机可以不接受未知源的重定向

地址扫描：发送数据包到一系列IP地址，探测哪些地址活跃，哪些服务开放。

防范：隐藏IP地址，限制网络访问，定期审查网络配置

泪滴攻击：利用TCP/IP协议栈分片重组漏洞，发送损坏的数据包导致系统崩溃

防范：升级系统补丁，使用防火墙过滤分片数据包，启用入侵检测系统。

常见安全攻击，传输层

TCP欺骗：

攻击者截获并修改TCP会话，伪装成合法用户接管通信。

使用加密技术（如SSL/TLS），部署IDS/IPS，强化访问控制。

端口欺骗：

修改数据包端口信息，绕过访问控制或混淆监控。

严格端口管理，使用网络分段和ACL，部署防火墙和IDS

SYN洪泛：

发送大量伪造SYN请求，耗尽服务器资源。

使用SYN Cookie技术，限制IP连接数，部署防火墙和IDS，更新系统补丁

udp洪泛：

发送大量伪造UDP数据包，消耗服务器带宽和处理能力。

使用防火墙过滤无效UDP包，启用流量限制，监控网络流量，分布式防御系统

常见安全攻击，应用层

DNS劫持：

攻击者篡改DNS解析，将用户导向恶意网站

使用可靠的DNS服务，定期检查DNS设置，安装防护软件

病毒及木马：

恶意软件感染计算机，窃取信息或控制设备

及时更新系统和软件，谨慎处理不明附件和链接，使用杀毒软件

CC攻击：

通过大量请求耗尽服务器资源，使其瘫痪

使用防火墙和IDS，限制请求数量，部署CDN和高防服务器

口令破解：

尝试破解用户账号密码

设置复杂密码，定期更换，启用多因素认证

缓冲区溢出：

向缓冲区填入合适的恶意代码，使指针溢出，从而指向恶意代码，并执行

编写安全代码，安装软件补丁，使用安全编程技术

WEB攻击：

利用WEB应用漏洞执行恶意操作，XSS/SQL/CSRF/上传漏洞/解析漏洞等

验证用户输入，使用参数化查询，设置HTTP安全头，使用token，部署WAF

拒绝服务攻击（Dos/DDos攻击）

MAC洪泛：消耗交换机的MAC地址表

Smurf攻击：产生大量的ICMP回应包

ICMP攻击：产生大量的ICMP请求包，消耗目标系统资源

泪滴攻击：发出异常报文（分片重叠），造成目标系统的逻辑错误

SYN洪泛：产生大量的TP SYN请求连接，消耗目标的主机资源

UDP洪泛：产生大量的UDP报文，消耗目标的主机资源

CC攻击：模拟大量合法用户，访问网站（特别消耗资源的页面），消耗网站系统资源

DNS劫持：篡改DNS解析，将用户导向恶意网站（ettercap工具）

DHCP攻击：DHCP server伪造、DHCP地址池饿死攻击（yersinia工具）

口令破解

字典法：

黑客通过各种手段所获取一些网络用户所 经常使用的密码，集合在 一起的的一个文本文件

规则破解：

规则法是通过和账号或者用户的个人信 息进行破解，如生日、电话等信息

漏洞利用

定义：

漏洞是指某个程序或者操作系统在设计时没有考虑周全，当程序遇到 一个看似合理但实际却

无法正确处理的问题时引发的不可预见的错误如果漏洞被别有用心的人利用，就会造成信 息泄漏、数据丢失、用户的权限被恶意篡改等后果 。

例如黑客利用网 络服务器操作系统的漏洞来攻击网站，可能会影响用户的操作，如计 算机不明原因的死机蓝屏、隐藏的共享、丢失文件以及无法上网等。 因此只有将系统的漏洞堵住，用户才会有一个安全和稳定的工作环境

系统漏洞：

MS08-067、MS14-064、MS17-010

网站漏洞：

SQL注入漏洞：上传非法的SQL语句，获得相关的信息

XSS漏洞：上传Java script语句到目标网站，让其目标主机访问并执行，盗取敏感信息

CSRF漏洞：攻击者盗用受害者的身份，利用受害者的身份发送恶意请求

病毒和木马

病毒：不是一个独立程序，需要寄生在合法程序中，伴随着合法程序的启动而启动

木马：为独立程序，分为服务端和客户端

安全术语

安全基础术语

后门：绕过安全控制而获取对程序或系统访问权的方法。 后门的最主要 目的就是方便以后再次秘密进入或者控制系统

webshell：Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种 命令执行环境，也可以将其称作为一种网页后门

0day漏洞：通常是指还没有补丁的漏洞。 也就是说官方还没有发现或者是发 现了还没有开发出安全补丁的漏洞

exploit：简称exp，漏洞利用

提权：提高自己在服务器中的权限，主要针对网站入侵过程中，当入侵 某 一网站时，通过各种漏洞提升WebSHELL权限以夺得该服务器权 限。

跳板：隐藏自己的地址，让别人无法查找到 自己的位置

拖库、撞库：网站遭到入侵后，黑客窃取其数据库

APT攻击（僵尸网络）：高级持续性威胁，利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式

社会工程学：一种通过对受害者心理弱点、 本能反应、好奇心、信任、贪婪等 心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法， 已成迅速上升甚至滥用的趋势。

OWASP Top Ten

开放式Web应用程序安全项目：是一个非营利组织，不附属于任何企业或财团

开放：OWASP的一切事宜，从财务状况到代码都是公开透明的

革新：OWASP鼓励并支持创新和实验，以解决软件安全挑战

全球性：鼓励世界各地的任何个人加入OWASP组织

完整性：OWASP是一个真实的、真正的、保持厂商中立的、全 性的组织

安全机构

中国信息安全测评中心

是国家信息安全保障体系中的重要基础设施之一，在国家专 项投入的支持下，拥有国内一流的信息安全漏洞分析资源和测试评估 技术装备

中国互联网应急中心

全称：国家计算机网络应急技术处理协调中心

英文：National Internet Emergency Center

简称：CNCERT 或 CNCERT/CC

成立时间：2002年9月

地位：是中央网络安全和信息化委员会办公室领导下的 国家级网络安全应急机构

国家信息安全漏洞共享平台

简称：国家互联应急中心，CNCERT

地位：联合国内重要信息系统单位、基础电信运营商、网络安全 厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库

中国反病毒联盟

网络安全威胁信息共享

移动互联网应用自律白名单发布

中国反网络病毒联盟测评证书申请

移动APP预警与分发渠道安全检测

移动互联网应用程序开发者数字证书管理

法律法规

《中华人民共和国网络安全法》

时间：2017.6.1实施

组长：主席

中央网络安全与信息化领导小组：网信办

作用：

明确了运营者的身份：网络运营者、关键信息基础设施运营者

明确了监督部门：网信办负责统筹和监督网络安全工作的机构

明确了责任人：IT负责人、企业的法人

明确了相关的安全义务或要求：实施网络安全等级保护制度

明确了法律责任：（针对个人）不要做黑客，不做危害网络安全的活动

内容：

总则

网络安全战略、规划与促进

网络运行安全

网络信息安全

监测预警与应急处置

法律责任

附则

共七章79条，注意第27、63条

等级保护

定义：

等保就是对信息和信息载体按照重要性等级，分级别进行保护的一种工作。

意义：

降低信息安全风险，提高信息系统的安全防护能力

满足国家相关法律法规和制度的要求

在我国信息安全领域，只有等级保护是一项强制的制度

工作流程：

定级备案：等级保护分为五级；根据受到破坏时被侵害的客体及对客体造成侵害的不同程度来进行级别划定，并在主管部门备案（如：银行生产网可定位3级）

建设整改：分为管理要求和技术要求

评测验收：参考安全服务部分

监督检查：对第三级信息系统每年至少检查一次 对第四级信息系统每半年至少检查一次

等级保护的建设整改有哪些要求

管理要求

安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理

技术要求

物理安全、网络安全、主机安全、应用安全、数据安全

等保2.0（增加内容）2019.5.13

云计算安全、移动互联网安全、物联网安全、工业系统控制安全（工控安全）

ISO 27000与等级保护的区别

定级标准不一样、安全整改的要求不一样