网络安全

安全攻击类型

  • 中断
  • 窃取
  • 篡改
  • 伪造

APT

高级持续性威胁,利用先进的攻击手段和社会工程学方法,对特定目标进行长期持续性渗透和攻击

分五步:

情报收集

防线突破

通道建立

横向渗透

信息收集级外传

暗网

表层网络:任何搜索引擎都能抓取并轻松访问,只战整个网络4%-20%

深网:表层之外的网络,普通搜索引擎无法抓取这类网站

暗网属于深网的一部分,不能被超链接访问,只能通过动态网页技术访问。

网络监听

监听网络状态,数据流,及网络上传输的信息

口令破解

  • 字典攻击
  • 强行攻击
  • 组合攻击

拒绝服务攻击(DOS)

让目标服务器停止提供服务或者资源访问

主要模式:

  • 消耗资源
  • 篡改配置
  • 物理破坏
  • 利用处理程序错误

服务端口攻击

向主机端口发送大量数据,从而是主机不能提供正常服务

常见攻击:

1,SYN Flooding

2,Smurf攻击

3,利用程序的错误

4,电子邮件轰炸

DDOS分布式拒绝服务攻击

很多DOS攻击源一起发起攻击

特点:

1,被攻击主机有大量等待TCP连接

2,大量的TCP,UDP数据分组不是现有服务连接,指向机器任意端口

3,大量无用数据包,源地址是假冒地址

4,网络出现大流量无用数据,造成网络拥塞

5,利用受害主机的服务和协议缺陷,反复发送请求

LDOS(低速率拒绝服务)

不需要维持高频率攻击,耗尽被攻击者的可用资源

漏洞攻击

利用硬件,软件,策略上的缺陷

缓冲溢出

向缓冲区写入超长的预设内容,导致缓冲溢出,覆盖其他程序或数据,让后就算计转而运行该预设内容,打到执行非法操作的目的

系统漏洞

利用软件或操作系统在逻辑上的缺陷或错误

僵尸网络

采用一种或多种手段使大量主机感染僵尸程序,从而在控制者和被感染者间形成一对多的控制网络

防御手段:

蜜罐技术,网络流量研究,IRCserver识别技术

网站安全威胁

1,SQL注入

2,跨站攻击

3,旁注攻击

4,失效的身份认证和会话管理

社会工程学

利用社会科学并结合常识,有效利用,获取机密信息的学科

使用非计算机手段得到敏感信息的方法集合

恶意代码

没有作用却会带来危险的代码

特点:

1,恶意的目的

2,本身是计算机程序

3,通过执行发生作用

病毒,木马,蠕虫,后门,逻辑炸弹,广告软件,间谍软件,恶意共享软件等

蠕虫

一段可以借助程序自行传播的程序或代码

木马

通过伪装吸引用户下载,并未施种者提供被种主机的门户

正向连接木马—-在中马者机器上开一个端口,让攻击者去连接

反向连接木马—-让被攻击者主动连接到外部的机器,可以轻松突破防火墙

计算机取证

电子证据

以下情况证据不具有合法性:

  • 通过窃录方式获得电子证据
  • 通过非法搜查,扣押获得
  • 通过非核证程序获取
  • 通过非法软件获得

取证步骤:

1,准备工作

2,保护目标计算机系统

3,确定电子证据

4,收集电子证据

5,保全电子证据

常用工具:

X-Ways Forensics—-综合取证,分析

X-Ways Trace—-追踪分析浏览器上网记录,windows回收站删除记录

X-Ways Capture—-获取正在运行的操作系统下硬盘,文件,和RAM数据

FTK—-自动文件分类,定位嫌疑文件

FBI—-电子邮件关联性分析

Guidance Software—-构建独立的硬盘镜像,从屋里层面阻断操作系统向硬盘写入数据

网络蜜罐

一个安全资源,用于探索,攻击和损害,收集入侵数据。

牺牲型蜜罐—-一台简单的位特定攻击设计的计算机,为攻击者提供目标,容易被利用攻击其他主机

外观型蜜罐—-仿真网络服务,不会导致真的被攻击,可迅速手机入侵者信息

测量型蜜罐—-结合以上两者优点,容易访问,但很难绕过

配置方式:

1,诱骗服务

2,弱化系统

3,强化系统

4,用户模式服务

匿名网络

第二代洋葱路由(TOR)的一种实现,专门防范流量过滤,嗅探分析

真的TOR的攻击:

  • 时间攻击

  • 通信流攻击

网络存储

1,DAS(之间附加存储)—-设备通过电缆直接连接服务器

2,NAS(网络附属存储)—-采用独立服务器,单独位数据存储而开发一种文件存储服务器

3,SAN(存储区域网络)—-采用高速光纤通道作为传输介质的网络存储技术

安全设备

  • 防火墙
  • 入侵检测与入侵防护
  • VPN
  • 网络协议分析攻击

防火墙

用于控制网络之间的通信

常见防火墙技术:

1,包过滤防火墙—-针对网络层和传输层,对数据包源地址,目的地址,和协议进行检查

2,代理服务器式防火墙—-对第四层到第七层数据进行检查

3,基于状态检测的防火墙—-检测每个TCP,UDP会话连接

ACL

访问控制列表,目前使用最多的访问控制实现技术,是路由器接口的指令列表,控制进出的数据包

分类

  • 标准访问控制列表—-基于IP地址,取值1-99,分析数据包源地址,决定数据的允许或拒绝
  • 扩展访问控制列表—-通用扩展访问控制列表,针对TCP,UDP扩展访问控制,针对ICMP扩展访问控制

-— 这里配置各种防火墙需要用到一些命令,后面补充—-

防火墙模式:

用户模式—-登陆防火墙后

特权模式—-用户模式输入enable

全局配置模式—-特权模式输入configure terminal

监视模式—-重启过程中按住esc

防火墙基本配置:

1,配置防火墙接口—-nameif

2,配置接口参数—-interface

3,配置接口地址—-ip address

4,配置公网地址和定义地址池—-global

5,地址转换—-nat

6,路由配置—-route

7,配置静态地址映射—-static

8,侦听—-fixup

入侵检测

IDS,从系统运行或处理各种数据中查找出威胁系统安全的因素,并对其做出处理,一般认为是被动防护。

一种安全模型:防护,检测,响应。

分类:

  • 基于主机
  • 基于网络
  • 基于主体

入侵检测步骤:

信息收集

数据分析

入侵防护

IPS,一种识别潜在威胁并迅速做出应对的网络安全防范办法,一般认为是主动防护。

VPN

虚拟专用网络,用于在公用网络上建立专用网络的技术。

一般由三部分组成,客户机,传输介质,服务器

关键技术:隧道技术,加解密技术,密钥管理技术,身份认证技术

主要协议: PPTP—-点到点隧道协议,让用户拨号连接到本地ISP,然后通过因特网安全访问内网资源的技术,第二层隧道协议

L2TP—-PPTP与L2T的综合,思科公司推出的的一种技术,第二层隧道协议

IPsec—-在隧道外再封装,第三层隧道协议

SSL VPN—-使用了 SSL 实现VPN,第四层隧道协议

TLS VPN—-使用了 TLS 实现VPN,第四层隧道协议

IPsec

internet协议安全性,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议簇

由建立安全分组流密钥交换协议和保护分组流的协议两部分组成

IKE协议—-密钥交换协议,一种混合型协议,由ISAKMP框架,OAKLEY密钥交换模式,以及SKEME共享和密钥更新技术组成

AH—-认证头,为IP数据报提供完整性检查与数据源认证,并防止重放攻击,常用MD5,SHA1

ESP—-封装安全载荷,可以同时提供数据完整性确认以及数据加密,常用DES,3DES,AES加密,MD5,SHA1校验完整性

IPsec两种工作模式:传输模式,隧道模式

MPLS VPN承载平台由P路由器,PE路由器,CE路由器组成

P路由负责依据MPLS标签完成数据包的高速转发

PE路由负责传递数据包MPLS标签生成和去除,还负责发起根据路由建立交换标签的动作

CE路由器直接与电信运营商连接的用户端路由

RADIUS

远程用户拨号认证系统,目前应用最广,的授权,计费和认证协议

SSL TLS

SSL,安全套接字协议,一个安全传输,保证数据完整的安全协议,TLS是SSL的非专有版本

SSL有三个高层协议:

  • SSL握手协议—-在客户端与服务端通过握手获得密钥
  • SSL修改密文协议—-每隔一段时间就修改加解密参数
  • SSL告警协议—-为对等尸体传递SSL相关警告

SSL协议工作流程:

1,浏览器向服务器发送请求信息,包含SSL版本,选择对称密钥算法

2,服务器返回浏览器请求,附加生成主密钥所需的信息,包含确定的SSL版本,和对称密码算法,某个CA中心私钥加密后的服务器证书

3,浏览器对照自己的可信CA表判断服务器证书是否在可信的CA表中,如果不在,则终止,如果在,则使用CA表中对应的公钥解密,得到服务器的公钥

4,;浏览器随机产生一个对称密钥,使用服务器公钥加密发送给服务器

5,浏览器与服务器之间相互发送一个报文,确定使用的对称密钥,再发送一个报文,确定握手完成

6,握手完成,双方使用对称密钥对发送的报文加密

HTTPS S-HTTP

超文本传输协议(HTTPS),以安全为目的的HTTP通道,是HTTP的安全版

安全超文本传输协议(S-HTTP),一种面向安全的信息通信协议,提供通信保密,身份识别,可依赖传输服务,以及数字签名

S/MIMIE

用于支持邮件的加密,提供认证,完整性保护,鉴定及数据加密

-—第五章完结了—-