网安防御保护入门
常见的网络安全术语:
漏洞(脆弱性):可能被一个或多个威胁利用的资产或控制的弱点
攻击:企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为
入侵:对网络或联网系统的未授权访问,即对信息系统进行有意或无意的未授权访问,包括针对信息系统的恶意活动或对信息系统内资源的未授权使用
0day漏洞:通常是指还没有补丁的漏洞,也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞
后门:绕过安全控制而获取对程序或系统访问权的方法
WEBSHELL:以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以称为一种网页后门
社会工程学:通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法
exploit:简称exp,漏洞利用
APT攻击:高级持续性威胁。利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式
应对传输层的攻击例如SYN FLOOD攻击;该攻击利用tcp三次握手协议不断改变源IP发送第一个请求包给目标攻击对象而不接收确认包,导致攻击对象占用过多的资源而造成大量未完全建立的TCP连接
对于此有以下三点防御保护措施:
代理防火墙 --- 每目标IP代理阈值,每目标IP丢包阈值(首先服务器先处理一定阈值的连接,超过阈值的由代理防火墙来进行鉴别之后再跟服务器建立连接)
首包丢包---服务器将接收的不同IP发送的第一个包丢弃,因为黑客会不断变换IP发送请求包,而需要的用户则会用同一个IP不断尝试发送很多包来建立连接
SYN cookie---TCP建立连接过程中,服务端在第二次握手后会将连接放入半连接队列中。然后在第三次握手成功后,从半连接队列中移除加入到全连接队列中。如果没有开启syn cookie,则当半连接队列满了之后,再有新的连接就会直接丢弃。当开启了syn cookie后,就可以在不使用syn半连接队列的情况下成功建立连接。
具体方法:
服务器收到syn请求(第一次握手)后,会根据当前状态计算出一个cookie值。放在syn+ack报文(第二次握手)中发出。
当客户端返回ack报文(第三次握手)时会再次带上这个cookie值。服务端取出这个值进行验证。如果合法就认为连接建立成功。加入全连接队列中。
恶意程序一般会具备以下的多个或全部特性: 1,非法性 2,隐蔽性 3,潜伏性 4,可触发性 5,表现性 6,破坏性 7,传染性 --- 蠕虫病毒的典型特点 8,针对性 9,变异性 10,不可预见性
普通病毒 --- 以破坏为目的的病毒
木马病毒 --- 以控制为目的的病毒
蠕虫病毒 --- 具有传播性的病毒
对于病毒分类也多种多样;
根据其攻击系统分类:攻击DOS系统的病毒,攻击Windows系统的病毒,攻击Unix系统的病毒,攻击OS/2系统的病毒
根据攻击机型分类:攻击微型计算机的病毒,攻击小型机的计算机病毒,攻击工作站的计算机病毒
根据链接方式分类:源码型病毒,嵌入型病毒,外壳型病毒,操作系统型病毒
根据破坏情况分类:良性计算机病毒,恶性计算机病毒
根据寄生方式分类:引导型病毒,文件型病毒,复合型病毒
根据传播媒介分类:单机病毒,网络病毒
一般攻击大多数都是根据协议栈自身的脆弱性来进行攻击:1,缺乏数据源验证机制 2,缺乏完整性验证机制 3,缺乏机密性保障机制
常见的安全风险如下:
应用层:漏洞、缓冲区溢出攻击、WEB应用的攻击、病毒及木马等……
传输层:TCP欺骗、TCP拒绝服务、UDP拒绝服务、端口扫描等……
网络层:IP欺骗、Smurf攻击、ICMP攻击、地址扫描等……
链路层:MAC欺骗、MAC泛洪、ARP欺骗等……
物理层:设备破坏、线路侦听
网络的基本攻击模式分为两种,一种为被动威胁,另一种为主动威胁。
被动威胁则为攻击者在A向B进行信息传输的半路上截获信息进行嗅探或监听。(无法确保数据机密性)
主动威胁则为攻击者冒充B,对A向B发送的信息进行篡改再发送至B或者阻断A与B的通信,以及攻击者伪装成A向B发送欺骗性信息。(无法确保数据完整性、可用性、真实性)
物理层的威胁则简单许多,对设备进行物理破坏,其主要目的就是中断网络服务。以及物理设备监听,光纤监听和红外监听。现实中的自然灾害也会导致设备的破坏等。因此需要将服务器分开存放,至少相距500KM以上,否则一次灾害将所有设备毁坏完。
根据以上威胁,那么信息安全的标准有五要素:保密性,完整性,可用性,可控性和不可否认性
保密性:确保信息不暴露给未授权的实体或进程(例如加密技术,暴露了信息,对方也不知道真实内容,可以对抗被动攻击)
完整性:只有得到允许的人才能修改实体或进程,并且能够判别出实体或进程是否被修改(完整性鉴别机制可以防篡改)
可用性:得到授权的实体可获得服务,攻击者不能占用所有的资源而阻碍授权者的工作(访问控制机制可阻止非授权用户进行服务器)
可控性:主要指对危害国家信息(包括使用加密的非法通信活动)的监听审计(授权机制可以控制信息传播范围、内容,必要时可以恢复密钥,实现对网络资源及信息的可控性)
不可否认性:对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“逃不脱”,并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性
以上五要素例子分别为QQ被盗(保密性),数据被黑(完整性),数据被加密(可用性),人肉个人信息(可控性),黑掉公司服务器(不可否认性)等……
基于以上内容,网络安全主要是人祸,设备故障都是极其少的个例,为此知晓加固网络安全意识是必不可少的。陌生网站邮件等不点进去,各个账号的密码最好不重复等……