网络安全基础

网络安全的三个主要目标：

机密性完整性可用性

保密

机密性是指防止未经授权或第三方访问数据的保护。

廉正

完整性是指不以未经授权的方式更改或破坏发送的数据的安全性。发送的消息必须与收到的消息相同。

可用性

可用性定义为计算机系统的连续运行。系统的所有组件必须连续提供服务。这包括应用程序和数据库服务器，存储设备以及对等网络。

安全政策平衡

安全策略必须允许透明和安全的访问，同时保持最佳性能。

透明访问：连接性，性能，易于使用和处理，可用性。安全性：身份验证，授权，事务日志，事务安全性，机密性和数据完整性。

第一层安全

入门级安全性提供了用于保护敏感网络和数据元素以及备份的物理机制。在网络连接到公司骨干网之前，策略中的安全规则必须存在。下面列出了一些最重要的内容：

提供有关公司安全策略的良好文档控制软件下载确保良好的用户培训提供有关灾难恢复计划的良好文档。

有关密码的使用和控制的用户培训尤其必要。密码不应与任何人共享。您计算机上以及可能其他计算机上的信息取决于密码的强度以及密码的机密性。因此，要创建密码，必须考虑以下条件：

字符的密钥长度不得少于8个字符。将大写字母与小写字母，数字和符号混合。您可以使用歌曲或词组单词的前几个字母来记住它，而不必诉诸日期，名称或任何词典单词永远不要与任何人共享您的密码，甚至不再是您不受控制的朋友，家人或同事，他们也可以不使用自己的密码来放松自己。

没有考虑到的安全性标准是，笔记本电脑在窃取最严重的计算机设备的排行榜上名列前茅，并且与之相关的大量信息通常都包含密码。可以格外小心地防止这些部件，甚至可以将笔记本电脑挂锁到工作区。这些技巧还可以扩展到任何硬件，尤其是存储介质，尤其是它们可能包含的敏感信息。

奇怪的是，有所谓的“倾倒者”司机，他们非常特别地使用社会工程学来寻找弱点和可能的线索。垃圾嗅探器会搜索回收箱，传真篮，常规垃圾箱，有时还会在垃圾箱中查找揭示用户密钥或可帮助您猜测的信息的文档。当您要删除机密信息时，请确保先销毁它（此处还包括CD，软盘等介质）。

漏洞，威胁和攻击

漏洞是网络和设备的固有弱点。其中包括路由器，交换机，台式机，服务器，甚至安全系统本身。攻击者是具有一定水平的资格的人，可以使他们利用系统的弱点。最后，他们使用各种工具，脚本和程序使他们能够发起攻击。系统的安全级别将确定可能威胁的数量和大小。

三个主要漏洞是：

技术弱点配置弱点安全策略弱点

技术弱点

计算机和网络具有固有的安全漏洞，包括TCP / IP协议本身，操作系统和网络设备的安全漏洞。

配置弱点

操作配置，但不能弥补网络设备的弱点。例如，请勿配置网络设备（例如路由器）的管理员用户的密码，或者在未激活密钥加密的情况下进行操作。

安全策略的弱点

它们通常来自用户不遵守安全规则或对设计中未考虑的可能威胁的不了解。

网络安全威胁主要有4种。

非结构化的威胁（Hakers）：他们主要是使用简单的攻击工具可以在互联网上密码破解缺乏经验的个人攻击以及一些shell脚本和。结构化的威胁（Crakers）：他们来自黑客谁更有动力和技术上更胜任的。这种类型的人知道系统的漏洞，可以理解它们并创建漏洞利用代码和脚本以进行更精细的攻击。外部威胁：外部攻击来自公司外部的个人或组织。内部威胁：内部攻击来自有权访问我们系统的人员，无论是通过我们的身份验证服务器上的帐户还是对我们的计算机和网络的物理访问。

有四类主要攻击

如下图所示：

网络安全中的主要攻击类别

侦查：侦查是对我们的系统，服务和可能存在的漏洞的发现和映射。这称为攻击前信息计数。在大多数情况下，它先于拒绝服务（DoS）攻击。认可就像窃贼研究住宅一样，看到最弱的入口点才能到达目标房屋。访问：访问权限是入侵者在最初没有帐户或密码的设备上获得未经授权访问的能力。这意味着入侵者先前已经通过用户的疏忽（可能是密码）获得了一个帐户，或者已经执行了一个脚本来破解该帐户，或者利用了系统或应用程序中的漏洞（通常是为了获得用户访问权限而进行攻击）。根。拒绝服务（DoS）：在拒绝服务（DoS）攻击中，攻击者可以禁用或破坏网络服务，以使网络用户无法使用它们。 DoS攻击涉及使系统崩溃或恢复到几乎无用的程度。尽管某些DoS攻击可以像删除或破坏信息一样简单，但其中大多数都包含未经授权的hackscript执行。尽管这是攻击者最终想要实现的目标，但攻击者无需在目标设备或服务上拥有特殊特权。但是它们通常如此凶猛。蠕虫，病毒和特洛伊木马：恶意软件被插入到主机中的唯一目的是破坏系统或网络，破坏文件，复制，并在许多情况下最终导致拒绝访问网络和/或系统或服务。如今，攻击工具功能强大，令人遗憾的是，它涵盖了诸如Slamer和'Blaster之类的蠕虫和新的DoS攻击之类的新的更复杂的危险。

侦察攻击可以包括以下内容：

数据包嗅探器端口扫描ping扫描Internet信息查询

可以通过nslookup攻击来获取示例ip，nslookup是来自ARIN互联网地址注册机构http://ws.arin.net/cgibin/whois.pl等机构的whois查询

网络监听和包监听是描述窃听的常用术语。窃听包括侦听对话（网络会话），进行间谍活动以及在许多情况下捕获数据包，所获得的信息可以用作网络上其他更严重攻击的基础。SNMP版本1社区字符串协议是一个具有监听功能的数据示例，该协议以纯文本格式（明文）发送。入侵者可以监视SNMP请求并从网络和互连的设备获取相关信息。另一个示例是跨网络捕获用户帐户和密码。

窃听的类型

窃听通信的常用方法是捕获TCP / IP或其他数据包，然后使用类似实用程序的协议分析器对内容进行解码。两种最常用的用法是：

信息收集：标识用户和密码或用于传输信用卡号或敏感个人信息的信息。信息盗窃：网络信息盗窃，间谍可以捕获在Intranet或Internet上传播的信息，以停止复制，甚至对接收者隐藏信息。其主要目标是金融机构和信用卡号。另一个示例是尝试捕获并破解密钥文件

放鸟工具

以下工具用于网络间谍活动：

网络或协议分析器本地网络环境中的数据包捕获

应对这些攻击的方法

抵消窃听的两种最有效方法如下：

实施并强制执行安全策略，以禁止使用具有已知弱点的协议进行窃听使用数据加密系统，确保组织的最低需求，而不会过度使用系统或用户资源。交换网络

加密数据

加密可保护容易被窃听，密码或仅篡改信息的数据。加密的一些好处包括：

几乎每个公司都有交易，如果用窃听者的眼光看，可能会带来负面影响。加密可确保这些敏感数据不会被观察到，甚至在某些数字签名技术的帮助下也可以发现它们是否已更改或更改。解密只能由预期的接收者完成。如果加密是在UDP或TCP数据报标头之后执行的，则意味着只有这种加密（即传输的数据）才允许所有中间路由器和交换机像处理任何其他数据包一样路由或转发流量，从而保持服务质量（QoS）。）在网络流量中，并将过程的负担仅转移到通信终端设备上。

密码攻击

可以使用包括蛮力在内的各种方法来实施密钥攻击。特洛伊木马，IP欺骗和数据包嗅探器。尽管数据包嗅探器和IP欺骗可以捕获用户帐户及其密码；攻击以获得密钥通常包括反复尝试使用各种字符组合来识别可能的用户及其可能的密码。这些尝试称为蛮力攻击。

通常，蛮力攻击是通过扫描网络以查找共享资源，服务和服务器以尝试通过登录安全级别的程序进行的。

如果攻击者成功并获得对资源的访问权限，则他们将具有与帐户遭到入侵的用户相同的特权，并且如果该帐户具有足够的特权，则安全漏洞与这些特权成比例。通常，攻击者会尝试为以后的访问创建后门，而不会更改所捕获帐户的状态或密码，也不会引起怀疑。

暴力程序的最常见方法是：

字典破解-字典攻击将每个用户的所有键的哈希值与字典中所有单词的哈希值进行比较。此方法非常快速，可让您找到所有简单的键。蛮力计算-字符计算此方法使用一组特定的字符，例如AZ或AZ加0-9，并为N的每个可能组合计算散列这些具有可能的密码的字符，其缺点是完成攻击所需的时间，此方法使用特定的字符集（例如AZ或AZ加09），并计算由这些字符组成的每个可能的密码的哈希值。如果该密码由您选择测试的字符集组成，它将始终计算该密码。缺点是完成这种类型的攻击需要花费时间。

信任利用

尽管它本身不是攻击，它更是一种技术，但是信任利用是指个人利用网络中的信任关系进行的攻击。一个典型的例子是从另一个公司到网络的外围连接。这些网段通常托管DNS域，SMTP和HTTP服务器，由于这些服务器通常位于同一网段中，因此一个服务器的承诺通常意味着其他服务器的可能承诺，因为系统通常会维护它们之间的信任。

另一个示例是防火墙外部的系统，该系统与防火墙内部的另一个系统保持信任。当外部系统受到威胁时，您可以获得攻击内部系统的优势。另一种访问方式涉及特权等级，当用户获得特殊特权或权限时，会发生这种情况，这些特权或权限尚未由管理员直接分配给用户，但是在访问对象时被不适当地继承。这些对象可以是文件，命令，程序，也可以是组件和网络设备上的对象。他的目的是获得管理特权，使他能够安装嗅探器，创建后门并能够删除日志文件以消除痕迹。

可以通过严格的安全级别约束来缓解信任漏洞，而不会覆盖网络中必须包含的功能。为了使外部防火墙系统从不向内部系统分配绝对特权，此类信任应仅限于特定协议，并应尽可能通过不仅仅是IP的严格认证。

端口重定向

端口转发攻击是一种受信任的利用攻击，它使用受到破坏的安全主机来使流量通过防火墙，否则该防火墙将被删除。考虑一个具有三个接口，每个接口上有一个主机的防火墙。外部主机可以到达公共服务所在网段中的另一台主机（通常称为DMZ非军事区；但不是内部主机。但是，DMZ区域中的主机可以到达内部黑客，如果黑客能够破坏DMZ区域的设备，则可以尝试将流量重定向器软件从外部主机安装到内部主机，这样通信（外部主机到中间设备以及中间到内部设备）的任何通信都不会失败。防火墙规则现在，外部主机通过公共服务器上的端口转发过程已拥有一条通往内部主机的隧道。 NETCAT是可以执行此类任务的示例程序，如前所述，为了最大程度地减少这种攻击，是在每个网络中使用特定的信任关系模型，假设系统受到攻击的主机是基于IDS检测器软件的主机。它可以检测到黑客并阻止在中间计算机上安装此类实用程序。假设系统受到攻击，基于IDS检测器软件的主机可以检测到黑客，并阻止在中间计算机上安装此类实用程序。假设系统受到攻击，基于IDS检测器软件的主机可以检测到黑客，并阻止在中间计算机上安装此类实用程序。

中间人攻击

中间人攻击要求黑客访问穿过其所在网络的数据包。

例如，某人正在ISP中工作，并且可以访问在用户网络与ISP（Internet服务提供商）本身的网络之间传输的数据包。

这些攻击通常使用嗅探器以及路由和传输协议来实施。此攻击的可能用途是信息盗窃，劫持会话以访问专用网络，流量分析以获取有关网络，其用户及其偏好的信息，搜索可能的DoS，数据以及模拟信息和会话。

可以通过仅允许您查看加密数据的IPSec隧道中的加密来缓解中间人攻击。

社会工程学

它是最简单的系统，不需要高水平的计算机知识，它仅应能够获得一定值的信息，例如服务器的位置，重要文件，现有用户，也可能通过关键技巧。这样，黑客攻击的过程就更简单了。

二

以下是一些最常见的DoS威胁（技巧）：

死亡Ping-死亡 Ping：此攻击会修改IP标头，以指示数据包中的数据多于实际传输的数据，从而导致接收系统崩溃。SYN Flood攻击-SYN Flood攻击。这种攻击随机地打开许多端口和许多TCP连接，试图建立尽可能多的虚拟连接以拒绝对其他用户的访问。通常使用特定且更有效的协议分析器进行此攻击。数据包分段和重组 -此攻击利用了PC或网络互连上的缓冲区溢出错误。电子邮件炸弹-Bomba电子邮件是一个程序，能够将电子邮件发送给个人，邮件列表或垄断邮件服务器的域。CPU占用 -这种攻击由诸如特洛伊木马或病毒之类的程序组成，这些程序阻塞CPU并消耗尽可能多的时钟周期，内存或其他资源恶意小程序 -这种攻击来自充当木马或病毒的Java，JavaScript或ActiveX代码。实现销毁数据或捕获系统资源。路由器配置错误 - 取消配置路由器以创建路由环路，从而禁用流量，尤其是Web。充电攻击-这种攻击会在UDP服务之间建立连接，从而产生大量的数据交换。数据交换主机连接到相同或不同系统上的Echo服务，从而导致Echo流量引起网络拥塞。带外攻击，例如WinNuke-此攻击将越界数据发送到具有Widows 95或NT 4的计算机上的端口139。发起攻击之前，需要受害者的IP地址。拒绝服务 -DoS可能由于系统或管理员合法的用户的错误配置或滥用而意外发生。C-发送TCP SYN数据包的程序，其中接收者和源都是相同的IP地址。它们通常还会在目标主机上使用相同的源端口和目标端口（例如113或139），从而导致系统崩溃。c-在这种攻击中，IP包碎片化过程的产生方式是，其重组会在目标位置引起问题并中止通信。c-多平台DoS攻击，将一次攻击称为bonk，jolt，land，nestea，netear，syndrop，teardrop和winnuke的攻击整合在一起。

假面舞会/ IP欺骗

通过这种攻击，攻击者可以通过伪装成另一个用户的源IP地址来操纵TCP / IP数据包。入侵者因此假设有效用户的身份，在仅验证其IP的系统上获得其特权。在袭击中。

IP欺骗外部网络攻击者通过获取网络范围内的有效IP或使用授权的外部IP来访问某些网络资源，从而使自己看起来像一台有效的计算机。

通常，欺骗只是试图将恶意数据或命令插入到客户端与服务器之间或对等通信之间传递的数据流中。攻击者并不希望受到攻击的应用程序做出响应，这一点并不重要。这是针对DNS服务器已知弱点的典型攻击。

如果希望得到响应，则攻击者应更改路由表，使其指向欺骗的IP。

这将意味着接收发往该IP网络的所有流量，并尝试像其他用户一样进行响应。不幸的是，此技术不仅由外部攻击者使用，而且在内部攻击者中更常见。

该技术通常使用的一些工具如下：

协议分析器和密码嗅探器序列号修改扫描工具，用于测试特定服务，网络或系统架构或某些OS的TCP端口

从扫描工具获取信息后，入侵者将搜索与它们相关的漏洞。

分布式DoS（DDoS）

这种攻击试图使虚假数据饱和网络。

DDoS使用类似于DoS标准的攻击系统，但可以更大规模地运行。通常，成百上千个攻击点会使目标团队饱和或瘫痪。

DDoS攻击示例：

SmurfTribe洪水网络（TFN）Stacheldraht

SMURF攻击： Smurf攻击是通过使用欺骗性IP向广播地址发送大量的ICMP回显请求数据包（即ping）发起的，以期希望对伪造IP的响应得到放大，这是Smurf攻击的目标。攻击。如果路由设备还执行第3层广播到第2层广播，则流量将通过响应回送数据包的主机号乘以。

假设网络由100个主机组成，并且攻击者使用T1链接。攻击者使用伪造的受害者的IP发送768 kbps的ICMP回显或PING数据包流，并将其发送给退回站点的广播IP。ping击中了反弹站点，广播中有100台计算机对源IP伪造的计算机做出响应，一旦流量成倍增长，从反弹站点对ping的响应中将使用总共76.8 Mb的带宽。

在网络基础结构上禁用目标广播功能会阻止其用作退回站点。

部落洪水网络（TFN）：部落洪水网络（TFN）和部落洪水网络2000（TFN2K）是分布式工具，用于从多个源向一个或多个目标发起协同的DoS攻击。 TFN攻击具有生成带有伪造源IP的数据包的能力，攻击者向具有主软件的计算机发送指令，以将其转发到对目标IP产生特定攻击的TFN服务器或守护程序或驻留程序列表。源和端口可以是随机的，数据包大小也可以更改。幸运的是，在放大的攻击源网络中使用TFN主站意味着容易获得感染TFN服务器的计算机的列表。

Stacheldraht攻击： Stacheldraht，铁丝网日耳曼主义，结合了各种DoS攻击的特征，包括Tribe FloodNetwork（TFN）。它还添加了特殊功能，例如对攻击者与stacheldraht主服务器之间的通信进行加密以及代理程序的自动更新。最大指令的初始阶段是使用自动工具来破坏大量以root用户身份远程控制的计算机（RootKit），然后将其用于针对其他系统的DoS攻击。

恶意软件（恶意软件）：蠕虫，病毒和特洛伊木马，Spayware，SpanWorm，病毒和特洛伊木马

蠕虫

蠕虫软件攻击的解剖结构包括：蠕虫通过利用系统漏洞或导致该漏洞的漏洞进行安装。

传播机制-蠕虫获得计算机访问权限后，复制并选择新的受害者有效负载-蠕虫感染设备后，攻击者可以使用用户权限访问它并可以利用其他漏洞利用将特权提升到管理员级别的前提。

通常，蠕虫是一个自包含的程序，通过将自身复制到目标，利用系统中的漏洞并再次开始循环来复制自身。病毒需要一种媒介才能将其代码从一个系统传输到另一个系统。载体可以是带有嵌入式宏或脚本的文字处理器文档，电子表格等，也可以是电子邮件或带有嵌入式病毒的可执行文件，最早的载体是在可移动介质的引导扇区中执行的。病毒和蠕虫之间的区别在于，第一个需要人与人之间的互动才能促进其传播。缓解蠕虫攻击需要快速干预，以隔离系统的受感染部分。为此，系统管理员之间必须进行适当的协调，网络工程师和安全运营商，以快速检测和响应蠕虫事件。以下是缓解蠕虫攻击的建议步骤：

遏制疫苗检疫处理

病毒和特洛伊木马

病毒是附加在另一个程序上的恶意软件，它们在用户的工作站上执行有害功能。木马的不同之处仅在于整个程序看起来像是一个实用工具，而实际上它是攻击者在我们系统内部拥有的工具，通常是通过电子邮件引入的。

网络安全是建立在安全策略基础上的持续过程。

要开始安全回合，首先要制定安全策略以及加权标准并完成以下任务：

确定组织中的安全目标记录要保护的资源通过更新的网络图和清单确定网络基础结构确定需要保护的关键资源，例如财务，人力资源，开发部门。这就是所谓的

风险分析

制定安全政策后，请使用安全轮的4个步骤进行安全测试。安全轮的这些步骤是第一个确保，第二个监视器，第三个测试和第四个改进并重新启动

安全

通过在所有计算机上应用包括防病毒在内的安全策略并不断更新它们，并实施以下威胁防御安全解决方案来保护网络安全：仅允许有效和必要的流量和服务。入侵防御系统（IPS）以及嵌入式入侵检测系统（IDS），具有最新补丁程序的控制系统漏洞漏洞补丁程序使用安全连接：VPN，SSH，SSL Trust和Identity