这里写目录标题
- 信息安全现状及挑战
- 常见安全攻击
-
- [传输层 ---TCP SYN Flood攻击](#传输层 ---TCP SYN Flood攻击)
- 分布式拒绝服务攻击(DDOS)
- 社会工程学攻击
- 钓鱼攻击
- 水坑攻击
- 勒索病毒
- 信息安全的五要素
信息安全现状及挑战
概念
信息安全 :防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。
网络空间 :一个信息基础设施组成相互依赖的网络
- 网络空间安全市场在中国,潜力无穷,2016-2021年中国网络安全市场规模及增速在急剧上升;
-
由于科技的发展,数字化时代威胁升级,勒索病毒、数据泄露、黑客入侵等网络安全事件呈现上升趋势;
-
传统防火墙、IPS、杀毒软件等基于特征库的安全检测,无法过滤;
-
且安全风险能见度不足。
看不清的新增资产产生的安全洼地,缺乏有效手段主动识别新增业务,攻击者对内网未被归档和防护的新增资产进行攻击,顺利渗透如内网;
看不清的新型威胁如水坑攻击,鱼叉邮件攻击,零日漏洞等攻击。
看不见的内网潜在风险。黑客内部潜伏后预留的后门,伪装合法用户的违规操作行为,封装在正常协议中的异常数据外发,看不见的内部人员违规操作
-
企业普遍缺乏自动化防御手段
企业对事件处理的比例
37.50% 时间长短取决于事件本身
18.50% 使用人工接近实时处理
10.00% 由于某些阶段需要人工操作,需要花费数周时间
13.00% 可以依赖严格的MSSP SLA
17.00% 使用自动化工具接近实时处理
4.00%完全修复可能需要数月,包括调查在内 来源:IDC报告
- 网络安全监管标准愈发严苛 ----- 法律、法规、标准、监管的要求逐步加强;
2017.06 《网络安全法》正式生效,2019.05 《信息安全技术网络安全等级保护基本要求》等三大核心标准发布
常见的网络安全术语
漏洞:可能被一个或多个威胁利用的资产或控制的弱点
攻击:企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为
入侵:对网络或联网系统的未授权访问,即对信息系统进行有意或无意的未授权访问,包括针对信息系统的恶意活动或对信息系统内资源的未授权使用。
0day漏洞:通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞
后门:绕过安全控制而获取对程序或系统访问权的方法
WEBSHELL:以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称作为一种网页后门
社会工程学:通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法
exploit:简称exp,漏洞利用
APT攻击:高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式漏洞
漏洞是指信息系统中的软件、硬件或通信协议中存在的缺陷或不适当的配置,从而可使攻击者在未授权的情况下访问或破坏系统,导致信息系统面临安全风险。常见漏洞有SQL注入漏洞、弱口令漏洞、远程命令执行漏洞、权限绕过漏洞等。
注意:漏洞不等于漏洞利用,只有当漏洞被利用的漏洞,它才会造成危害
入侵与攻击
入侵与攻击是直接相关的,入侵是目的,攻击是手段,攻击存在于整个入侵过程之中。在现实生活中,要进行入侵的人可能是攻击者本人,也可能是幕后操纵者。入侵者的目的就是抢夺和占有别人的资源,但他不一定具有攻击能力,他可以雇用攻击者来达到入侵的目的。显而易见,攻击是由入侵者发起并由攻击者实现的一种"非法"行为。无论是入侵,还是攻击,仅仅是在形式上和概念描述上有所区别而已。对计算机系统和网络而言,入侵与攻击没有什么本质区别,入侵伴随着攻击,攻击的结果就是入侵。
- 0day漏洞
开发人员创建了一个软件,但是开发人员本身不知道有这个漏洞,但其他人发现了这个漏洞;当开发人员发现漏洞并且打补丁。这漏洞就不被看做0day漏洞;
1day:漏洞被利用,但是还没打补丁
nday :漏洞打完补丁
恶意程序的特点
恶意程序:一般会具备以下多个或全部特点
1:非法性(如没有授权自动打开,下载)如删文件
2:隐蔽性(如在较深的目录不经常打开)
3:潜伏性(如几天无症状)
4:可触发性(点击捆绑)
5:表现性:结果,造成的后果
6:破坏性:
7:传染性:蠕虫的特性---横向传播 求职性病毒
8:针对性:不同系统,对象不同
9:变异性:
10:不可预见性:
基于人工智能预测信息安全的脆弱性
网络环境的开放性
"Internet的美妙之处在于你和每个人都能互相连接,Internet的可怕之处在于每个人都能和你互相连接",所以可能别人会恶意连接
协议栈道的脆弱性(缺乏认证和加密 完整性)
随着互联网的不断发展,TCP/IP协议族成为使用最广泛的网络互连协议。但由于协议在设计之初对安全考虑的不够,导致协议存在着一些安全风险问题。Internet首先应用于研究环境,针对少量、可信的的用户群体,网络安全问题不是主要的考虑因素。因此,在TCP/IP协议栈中,绝大多数协议没有提供必要的安全机制,例如:
不提供认证服务
明码传输,不提供保密性服务,不提供数据保密性服务
不提供数据完整性保护
不提供抗抵赖服务
不保证可用性------服务质量(QoS)
常见安全风险:
TCP/IP协议栈中各层都有自己的协议。由于这些协议在开发之初并未重点考虑安全因素,缺乏必要的安全机制。因此,针对这些协议的安全威胁及攻击行为越来越频繁,TCP/IP协议栈的安全问题也越来越凸显。
应用层:漏洞、缓冲区溢出攻击、WEB应用的攻击、病毒及木马
传输层:TCP 欺骗、TCP拒绝服务、UDP拒绝服务端、端口扫描
网络层:IP欺骗、Smurf攻击、ICMP攻击、地址扫描
链路层:MAC欺骗、MAC泛洪、ARP欺骗
物理层:设备破坏、线路侦听常见安全攻击
来自深信服
传输层 ---TCP SYN Flood攻击
SYN报文是TCP连接的第一个报文,攻击者通过大量发送SYN报文,造成大量未完全建立的TCP连接,占用被攻击者的资源。----拒绝服务攻击
SYN FLOODING攻击特点:
攻击者用带有SYN标志位的数据片断启动握手
受害者用SYN-ACK应答;
攻击者保持沉默,不进行回应;
由于主机只能支持数量有限的TCP连接处于half-open的状态,超过该数目后,新的连接就都会被拒绝;
目前的解决方法:关闭处于Half Open 状态的连接。
拒绝服务:
拒绝服务式攻击(Denial of Service),顾名思义就是让被攻击的系统无法正常进行服务的攻击方式。
拒绝服务攻击方式:
利用系统、协议或服务的漏洞
利用TCP协议实现缺陷
利用操作系统或应用软件的漏洞
目标系统服务资源能力
利用大量数据挤占网络带宽
利用大量请求消耗系统性能注意:tcp是基于字节流的协议 每个字节都有一个序号 面向连接!!!
面向连接:
就说白了,在你正式发送数据之前,我是不是首先会先建立一个点到点的连接,这个建立点到点的连接的目的就是确保确保对方是不是能收到我这个信息,也是为了保证我的传输的可靠性的。回话是分方向的 ,建立连接双向的
来,我给大家补充了一个细节,就是在发送SYN的时候,对方要去创建一个存储空间,那你们想一下就利用这一点,想到一种攻击手段?------- 客户端 通过四元组(该任何一个参数)目标ip不改 一直发 客户端收到服务器的开拓空间直接丢弃,服务端建立有时间1min丢弃;
syn洪水攻击防患:
1:使用代理防火墙(风险转嫁) ----1:每目标ip代理阈值:2:每目标ip丢包阈值
就是防火墙不是一上来就代理了,而是当他超过某一个节点的时候,我再去代理。
2:这个是不是非常异常?是不是很有可能对方发动了一次dos攻击了,所以我们还会设置第二个阈值,叫做每目标IP丢包阈值,这个阈值一定会比这个每目标IP代理阈要更高一些;,我就不再代理了,数据包收到之后丢,弃掉了,不会占用防火墙资源,到不了服务器
2:首包丢包
3:syn cookie分布式拒绝服务攻击(DDOS)
DDOS: 分布式拒绝服务攻击
木马控制别人机器 --- 肉鸡(被控制的机器)
CC服务器就是远端控制中心,就是这些设备用来专门去控制肉机的一个CC服务器
被操作的一片网络 ---- 僵尸网络
但是呢,你发动一次dos攻击,那就意味着你可能会暴露出很多这个肉机,是不是这些节点是不是会暴露出来这些现在暴露出来之后会暴露出来啥?会把你远端的这个CC服务器的节点会暴露出来,就有可能导致你CA服务器的IP一旦被封,那么底下的这些操控权数据也就丧失了。所以dos攻击不会轻易发动
来自深信服
社会工程学攻击
原理: 社会工程攻击,是一种利用"社会工程学"来实施的网络攻击行为。
在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。
防御手段: 定期更换各种系统账号密码,使用高强度密码等,
攻击过程: 社会工程学攻击是以不同形式和通过多样的攻击向量进行传播的。
常用手段有伪造好友邮件、钓鱼攻击、投放诱饵、等价交换等。
钓鱼攻击
钓鱼: 又称网络钓鱼攻击,是一种企图从电子通讯中,通过伪装成可以信任的人或者机构,以获得用户名、密码和银行卡明细等个人敏感信息的犯罪诈骗过程。网钓通常是通过e-mail或者即时通讯进行的,它常常诱导用户到URL、页面外观等与某些知名网站几乎没有差别的假冒网站上输入个人数据
防御手段: 保证网络站点与用户之间的安全传输,加强网络站点的认证过程,即时清除网钓邮件,加强网络站点的监管。
水坑攻击
水坑攻击: 一种看似简单但成功率较高的网络攻击方式。攻击目标多为特定的团体(组织、行业、地区等)。攻击者首先通过猜测(或观察)确定这组目标经常访问的网站,然后入侵其中一个或多个网站,植入恶意软件。在目标访问该网站时,会被重定向到恶意网址或触发恶意软件执行,导致该组目标中部分成员甚至全部成员被感染。按照这个思路,水坑攻击其实也可以算是鱼叉式钓鱼的一种延伸。
防御手段: 在浏览器或其他软件上,通常会通过零日漏洞感染网站。针对已知漏洞的防御措施是应用最新的软件修补程序来消除允该网站受到感染的漏洞。用户监控可以帮助确保他们的所有软件都运行最新版本。如果恶意内容被检测到,运维人员可以监控他们的网站和网络,然后阻止流量。
攻击过程: 黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站"攻破"并植入攻击代码,一旦攻击目标访问该网站就会"中招"。
勒索病毒
定义:一种恶意程序,可以感染设备、网络与数据中心并使其瘫痪直至用户支付赎金使系统解锁。
特点:调用加密算法库、通过脚本文件进行Http请求、通过脚本文件下载文件、读取远程服务器文件、通过wscript执行文件、收集计算机信息、遍历文件。危害:勒索病毒会将电脑中的各类文档进行加密,让用户无法打开并弹窗限时勒索付款提示信息,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将永远无法恢复。
中勒索病毒后要复盘
复盘就是我们一个企业为了保证安全,它一定是会对我们所有的流量进出是有一个审计工作的,要记日志。
有日志的记录,中了勒索病毒之后,想要去追溯他可以去查看这些日志,根据日志里面的一些特征去判断到底是怎么中招的,这叫溯
各种安全设备,你从远端发一个信息,想要发到内网跟内网的设备取得联系,触发这个病毒的一个攻击一般都是反射型
就是由我们底下的这个电脑被控制的这个电脑或者被攻击的这个电脑,主动发送一个消息连接我们的CC服务器,从内到外去发送消息,因为内部往外走,它一般是不会拦截的,那远端服务器之后收到这个信息之后再给你回指令的时候再回的这条消息是不会被拦截的。
防火墙的工作原理它在回的这个包,它属于同一个会话里面的一个数据包。那同一个会话我要放空的话,不会再拦截。信息安全的五要素
保密性:confidentiality
完整性-:ntegrity
可用性:availability
可控性:controllability
不可否认性:Non-repudiation
保密性---confidentiality,对抗对手的被动攻击,保证信息不泄漏给未经授权的人,或者即便数据被截获,其所表达的信息也不被非授权者所理解。确保信息不暴露给未授权的实体或进程。加密机制。防泄密
完整性---integrity,对抗对手主动攻击,防止信息被未经授权的篡改。只有得到允许的人才能修改实体或进程,并且能够判别出实体或进程是否已被修改。完整性鉴别机制,保证只有得到允许的人才能修改数据 。防篡改
可用性---availability,确保信息及信息系统能够为授权使用者所正常使用,得到授权的实体可获得服务,攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制,阻止非授权用户进入网络 。使静态信息可见,动态信息可操作。 防止突然中断
这三个重要的基本属性被国外学者称为"信息安全金三角"(CIA,Confidentiality-Integrity-Availability)
可控性:可控性主要指对危害国家信息(包括利用加密的非法通信活动)的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制,控制信息传播范围、内容,必要时能恢复密钥,实现对网络资源及信息的可控性。
不可否认性;不可否认性:对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者"逃不脱",并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性
简单来说
1:加密
2:是否被篡改
3:有备份,随时随地提供服务
4:如·上网行为管理,上网行为管理三要素:用户 行为 流量
5:能够追溯,有日志记录
评判一个安一个系统安全与否的五个关键的评判标准