HCIE-Security Day40：理论学习：安全攻防概述

 

 

 

网络安全概念

包括网络攻击和网络安全防御两个方面

网络攻击是指针对计算机信息系统、基础设施、计算机网络或者个人计算机设备等的任何类型的进攻动作。网络安全防御是指面对各类网络攻击的检测、处置、记录、溯源、容错等。

网络安全是指网络系统的硬件、软件以及系统中的数据受到保护，不因偶然的或者恶意的原因而遭受破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

常见攻击方式

• ddos攻击
• sql漏洞
• xss脚本
• 0day
• 病毒
• 入侵

网络攻击链

情报搜集--攻击准备--载荷投递--漏洞利用--释放载荷--建立通道--目标达成

精简的网络攻击链

目标侦察--边界突破--横向攻击--目标打击

目标侦察

尽可能全面的收集攻击目标的信息和漏洞可以极大的提升攻击成功率

包括端口扫描、服务识别、百度收集攻击基本信息、公司域名信息、社会工程学、网络探测

社工是一种通过人际交流的方式获得信息的非技术渗透手段，是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。

网络探测是通过地址扫描、端口扫描、应用扫描、漏洞扫描、网络结构探测等方式探测主机、服务和网络结构等信息。

边界突破

包括钓鱼攻击：指利用伪造、欺骗、社工等手段获取被害人信任以实施进一步攻击的手段。多用作边界突破的手段，且在apt攻击中出现频率较高。

web应用攻击：指利用漏洞对web应用发起的以获取非授权访问、用户数据、应用控制权甚至主机控制权的网络攻击，该攻击是常规网络攻击中实现边界突破的非常有效的手段，也是现网攻击中最常见的攻击方式。owasp top 10

口令破解：利用常见口令、薄弱口令等对常见应用进行尝试登录，从而获取服务器管理权限。

常见有hydra、ntscan等

横向扩散

扩大攻击成果，通过网络欺骗、监听手段，深度收集信息，获取用户敏感口令甚至主机权限，大多数需要配合中间人攻击实现。

包括溢出类攻击：利用操作系统或者常用软件存在的漏洞，攻击成功可能导致主机被远程控制、安装恶意软件、宕机、重启等

目标打击

病毒类攻击：电脑病毒是一种在人为或者非人为的情况下产生的，在用户不知情或者未批准下，能自我复制或者运行的电脑程序。

拒绝服务攻击：

ddos：使用大量的受控主机向被攻击目标发送大量的网络数据包，以占满被攻击目标的宽带，并消耗服务器和网络设备的网络数据处理能力，达到拒绝服务的目的。常被用于直接目标打击。

APT攻击

advaced persistent threat。隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定目标。大多是出于商业或者政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性。APT攻击包含三个要素，高级、长期、威胁。高级强调的是使用复杂精密的恶意软件以及技术。

技术层面：0day漏洞、渠道加密。

投入层面：信息的全面收集、有目标有分工、多种攻击方式的结合

APT攻击过程

APT攻击方式

 

 

安全防御概述

业务感知（协议识别）

SA： service awareness，通过对IP报文进行分析的方式判断出IP报文所属的应用的技术，并将所有协议识别的规则汇总形成sa-sdb。sa-sdb和saengine配套使用对网络中的流量进行协议识别，设备根据识别的结果对网络流量进行分析，可以生成流量报表或者对流量进行相应的控制策略，如放行、限流和阻断等，是内容、安全检测、内容计费、业务控制等业务的基础。

 

入侵防御IPS

 

URL分类

 

防病毒AV--恶意软件网关检测

 

恶意软件检测--沙箱检测

沙箱行为特征库标记了华为安全沙箱在虚拟环境中分析样本时监控到的潜在恶意特征，包括主机环境修改，可疑网络活动、检测对抗等。并基于数据分析，病毒家族分类，机器学习，情报关联等多种手段检测未知恶意软件及漏洞。覆盖常见的恶意代码类型，包括可执行文件、文档、脚本、网页等

 

恶意流量检测--cc检测、隐蔽通道检测

 

情报利用--增强ngfw威胁检测能力

 

各安全特性在攻击链防护中的位置