网络攻击与防御基本概念

主动攻击: 对被害者的消息进行修改或拒绝用户使用资源的 攻击方式（篡改、伪造、拒绝服务）

Dos该行为会导致对通讯设备正常使用或管理被无条件地中断

主动攻击无法避免，处理方案：

过滤：将外网流入内网的可疑消息直接丢弃，而不让其进入内网。(防火墙)

检测：对内网中可疑消息进行判断或评估的方法，在一定程度上 也能起到防止攻击的作用。具体措施包括自动审计、入侵检测和完整性恢复等。

被动攻击：攻击者不对数据信息做任何修改，但在未经授权用户同意与许可的情况下截取或窃听用户的信息或相关数据。通常包括窃听、流量分析等攻击方式。

具体攻击方法:

SQL注入攻击:没有对输入边界进行过滤或过滤不足，导致攻击者能够通过注入点对后台数据库进行攻击。

xss跨站脚本攻击：攻击者利用网站没有对用户提交数据进行转义处理或过滤不足的漏洞，进而在网站的web页面中添加一些恶意代码。使别的用户访问该web网页时执行恶意代码，从而盗取用户资料或利用用户身份进行某种动作的一种攻击方式。

网络防御 ：一般指的是网络安全防护，是致力于解决诸如如何有效进行介入控制，以及如何保证数据传输安全的技术手段。

网络安全防护技术

身份认证技术：是在计算机网络中确认操作者身份的过程而产生的有效解决方法。

对用户的身份认证基本方法分为：

1. 基于信息秘密的身份认证

你所知道的信息来证明你的身份，比如用户密码。（你知道什么）

2. 基于信任物体的身份认证

根据你所拥有的东西来证明你的身份（你有什么），比如短信验证码。

3. 基于生物特征的身份认证

根据独一无二的身份特征来证明身份（你是谁），比如指纹、面貌。

访问控制技术

指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。

访问控制是系统保密性、完整性、可用性和合法使用性的重要基础，是网络安全防范和资源保护的关键策略之一，也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。

访问控制的主要功能：

• 保证合法用户访问授权保护的网络资源 保证合法
• 防止非法的主体进入受保护的网络资源 防止非法
• 防止合法用户对受保护的网络资源进行非授权的访问 限制合法

访问控制的内容

安全审计：系统自动根据用户的访问权限，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并做出相应评价与审计。

防火墙技术：

指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构建的保护屏障。

防火墙技术四大类：

网络级防火墙（也叫包过滤防火墙）、应用级网关、电路级网关和规则检查防火墙。

网络攻击技术基础

4.1 网络攻击的一般步骤

1. 网络攻击的一般步骤

1. 确定攻击目标
2. 信息收集
3. 实施攻击获取用户权限
4. 安装后门
5. 扩大影响（以该主机为跳板，扩散至局域网内其他的主机）
6. 清楚痕迹

2. 攻击前奏

4.2 信息收集

 指的是利用计算机软件技术，针对定制的目标数据源，实时进行信息采集、抽取、挖掘、处理，从而为各种信息服务系统提供数据输入的整个过程。

信息搜集三个阶段

1. 网络踩点
2. 网络扫描
3. 网络查点

3. 实施攻击

1. 口令攻击（字典攻击）
2. 强行攻击 （暴力破解）

分布式暴力破解

3. 组合攻击（eg: userpwd->userpwd123）
4. 其他方式（社工、蠕虫…）

4.3 网络攻击技术

缓冲区攻击技术

缓冲区 ：包含相同数据类型实例的一个连续的计算机内存块，是程序运行期间在内存分配的一个连续的区域，用于保存包括字符数组在内的各种数据类型

缓冲区溢出：向固定长度的缓冲区中写入超过其预定分配长度的内容，造成缓冲区中数据的溢出，从而覆盖了缓冲区周围的内存空间。

网络防御技术基础

5.1 面对攻击者的扫描，可采取的主要防御措施有：

• 使用专用的扫描检测工具
  • 监测端口扫描
• 防火墙系统
• 入侵检测系统
  • 在混杂模式下抓包，检测外部对于主机的端口扫描
• 审计工具
  • 审计各种日志，分析日志记录
• 蜜罐系统

5.3欺骗攻击防御技术

1. 过滤器

过滤器的基本形式：

 不允许任何从外部进入网络的数据包使用单位的内部网络地址作为源地址

入口过滤：

 从网络内部发出的到本网另一台主机的数据包从来不需要流到本网络之外去。

出口过滤：

 用于阻止有人使用内网的计算机向其他的站点发起攻击。

路由器必须检查向外的数据包，确信源地址是来自本单位局域网的一个地址。

2. 防范会话劫持攻击

目前没有有效的办法能从根本上阻止或消除，只能尽量减少会话劫持攻击所带来的危害。

防御方法：

1. 进行加密
2. 使用安全的协议（ssh、从客户端到服务器的VPN技术）
3. 限制保护措施
   • 应该阻止尽可能多的外部连接和连向防火墙的连接，通过减少连接来减少敏感会话被攻击者劫持的可能性。

3. ARP欺骗攻击的检测与防御

现象：网络频繁断线、网速突然莫名其妙地变慢、ARP -a命令发现网关的MAC地址与真实的网关MAC地址不相同、使用网络嗅探软件发现局域网内存在大量的ARP响应包。

1. MAC地址绑定
2. 使用静态的ARP缓存
3. 使用ARP服务器，通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。
4. 使用ARP欺骗防护软件（如：ARP防火墙）
5. 及时发现正在进行ARP欺骗的主机，并将其隔离。

4. web欺骗的防御技术

   因为web欺骗不复杂，预防的重要工作是

   1. 培养用户安全意识
   2. 对开发人员进行安全教育。

   5.4 拒绝服务攻击防御

   DDos特点：

   1. 洪水般的网络流量
   2. 耗用大量带宽

   入侵者一般会选择分布式拒绝服务攻击(DDos)

   解决方法，目前为止收效都不大。这是因为这种攻击利用了目前互联网上广泛使用的IPV4协议本身的弱点。

   主要的防御手段：

   1. 优化网络和路由结构
      • 理想情况下，提供的服务不仅要有多条与Internet的连接，而且最好有不同地理区域的连接。当问题发生时，所有的通信都可以被重新路由。
   2. 保护主机系统的安全

    对所有可能成为目标的主机都进行优化，禁止不必要的服务。避免主机系统被攻击者攻击并当作傀儡主机利用避免成为分布式服务攻击的间接受害者。（我个人对这句话的理解是，别让自己的主机变成肉鸡）

   3. 安装入侵检测系统

      越早发现，越能早点防范

   4. 与因特网服务供应商（ISP）合作

   

   5. 使用扫描工具

   如果系统被攻克沦为傀儡主机，就需要通过扫描找出分布式拒绝服务程序并予以删除。

5.5 木马攻击防御技术

木马的检测：

 检查系统，确定木马是否真的存在。

木马的检测方法：

 1.端口扫描和连接检查

2. 检查系统进程

   （绝大多数的木马在运行期间都会在系统中生成进程）

3. 检查.ini文件、注册表和服务

   （木马的开机启动、文件捆绑）

4. 监视网路通讯

（一些木马使用ICMP进行通讯，被控制端不需要打开任何监听端口等等）

木马防范：

1. 及时修补漏洞，安装补丁
2. 运行实时监控程序
3. 培养风险意识
4. 即时发现，即使清除

5.6 缓冲区溢出攻击防御技术

1. 源码级保护方法

（编写没有漏洞的代码是防范的最好方法。非常困难）

2. 运行期间的保护方法

（数据边界检查、如何保证程序运行过程中返回指针的完整性）

3. 阻止攻击代码的执行

4. 加强系统保护

安装典型的防护产品

加强系统安全配置

检查系统漏洞