一.网络安全概念
1.网络空间---一个由信息基础设施组成相互依赖的网络 。
网络空间,它跟以前我们所理解的网络不一样了,它不光是一个虚无缥缈的,虚拟的东西,它更多的是融入了我们这些真实的物理设备,也就意味着这个网络空间它是有物理实体作为承托的。
通信保密阶段 --- 计算机安全阶段 --- 信息系统安全 --- 网络空间安全
APT攻击 --- 高级持续性威胁
网络安全(网络空间安全--Cyberspace)从其本质上讲就是网络上的信息安全,指网络系统的硬件、软件及数据受到保护。不遭受破坏、更改、泄露,系统可靠正常地运行,网络服务不中断。
信息安全:防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。
2.分布式计算----一台设备的算力是不是有限的,那么我是不是可以集合多台,就是如果要处理一些比较复杂的问题的时候,可以集合多台设备的去共同计算
分布式计算是计算机科学中的一个重要研究方向,它探讨如何将一个需要巨大计算能力才能解决的问题拆分成多个小的部分,然后将这些部分分配给多个计算机进行处理,最后将这些计算结果综合起来得到最终的结果。这种计算方式利用了多台计算机的闲置计算能力,通过并行处理提高处理效率,适用于处理海量数据和复杂计算问题。
分布式计算的基本原理包括将一个大计算任务拆分成多个小计算任务,分布到若干台机器上去计算,然后再进行结果汇总。这种计算方式的目的在于分析计算海量的数据,如雷达监测的海量历史信号中分析异常信号,淘宝双十一实时计算各地区的消费习惯等。
分布式计算需要学习的内容包括分布式系统的基础知识、分布式算法的设计与实现、网络通信技术、数据管理技术、任务调度策略等。此外,还需要了解分布式计算的应用领域,如网格计算、云计算等,以及分布式计算的优势,如提高计算效率、实现更快速的计算、提高系统可靠性、实现更高的扩展性、降低计算成本等。
在分布式计算中,不同的计算节点可以是位于同一物理计算机上的不同进程、位于同一局域网内的不同计算机,或者是分布在全球各地的计算机群集。这种计算方式通过并行计算的方式,将计算时间缩短到更短的时间内,实现更快速的计算。
分布式计算的应用非常广泛,包括但不限于解决复杂的数学问题、研究寻找最为安全的密码系统、生物病理研究、寻找对抗疾病的更为有效的药物等。这些项目都需要惊人的计算量,仅仅由单个的电脑或个人在能让人接受的时间内完成是不可能的。
分布式计算系统的类型包括计算机集群系统和计算机网格系统。计算机集群系统之间是同构的,主要采用集群计算;而计算机网格系统之间是异构的,因为单个计算内部的工作是分层次的。
3.云计算---
云计算是一种基于互联网的计算方式,它允许用户通过网络访问共享的软硬件资源和信息,这些资源可以按需求提供给计算机和其他设备。云计算将巨大的数据计算处理程序分解成无数个小程序,通过多部服务器组成的系统进行处理和分析,然后将结果返回给用户。这种技术可以在很短的时间内完成对数以万计的数据处理,提供强大的网络服务。
云计算的特点包括:
- 易获取。资源通过互联网提供,用户可以随时获取所需的服务和资源。
- 高利用率。通过自动化管理,云计算可以高效地利用资源,避免浪费。
- 按需服务。用户可以根据需要访问计算机和存储系统,实现资源的灵活配置。
- 共享资源池。云计算将计算资源集合起来,形成一个资源共享池,用户可以按需使用这些资源。
云计算的服务类型通常分为三类:
- 基础设施即服务(IaaS):提供计算机基础设施服务,如服务器、存储和网络设备等。
- 平台即服务(PaaS):提供软件开发和运行环境,允许用户在其上开发、运行和管理应用程序。
- 软件即服务(SaaS):提供应用程序作为服务,用户可以通过互联网访问这些应用程序,而无需购买和安装软件。
云计算的发展是信息技术领域的重大革新,它使得计算能力成为一种公共服务,类似于水、电等公用事业,用户可以根据需要获取计算资源,并按使用量付费。这种模式不仅提高了资源的利用率,还降低了使用成本,使得企业和个人能够更加灵活地应对计算需求的变化。
二. 网络安全的现状以及面临挑战
1.网络空间安全市场在中国,潜力无穷
未来三年网络安全市场的规模将达到百亿美元
2.数字划时代威胁升级
攻击频发:勒索病毒、数据泄露、黑客入侵等网络安全事件呈现上升趋势
3.传统安全防护逐步失效
传统防火墙、IPS、杀毒软件等基于特征库的安全检测,无法过滤:变种僵/木/蠕、U盘带入、恶意内部用户、BYOD带入、零日漏洞、APT攻击。
4.安全风险能见度不足
5.缺乏自动化防御手段
6.网络安全监管标准愈发严苛
法律、法规、标准、监管的要求逐步加强。
网络安全工作已经上升到法律层面,网络安全等级保护2.0制度明确要求安全工作对政府、企事业各类组织全社会覆盖,对云、移动互联、物联网、工业互联、大数据平台全技术场景覆盖。
各级监管机构、主管机构、上级部门也会对组织的网络安全工作开展大量的检查。
组织的一把手永远是网络安全工作的第一责任人,组织对网络安全风险的忽视在合规监管的角度基本是零容忍,全国也有很多因为甲方没有履行网络安全义务而产生的案件。
2017.06网络安全法
2019.05信息安全技术网络安全等级保护基本要求
三.常用的网络术语
1.漏洞
漏洞是指信息系统中的软件、硬件或通信协议中存在的缺陷或不适当的配置,
从而可使攻击者在未授权的情况下访问或破坏系统,导致信息系统面临安全风险。
常见漏洞有SQL注入漏洞、弱口令漏洞、远程命令执行漏洞、权限绕过漏洞等。
2.入侵与攻击
入侵与攻击是直接相关的,入侵是目的,攻击是手段,攻击存在于整个入侵过程之中。在现实生活中,要进行入侵的人可能是攻击者本人,也可能是幕后操纵者。入侵者的目的就是抢夺和占有别人的资源,但他不一定具有攻击能力,他可以雇用攻击者来达到入侵的目的。显而易见,攻击是由入侵者发起并由攻击者实现的一种"非法"行为。无论是入侵,还是攻击,仅仅是在形式上和概念描述上有所区别而已。对计算机系统和网络而言,入侵与攻击没有什么本质区别,入侵伴随着攻击,攻击的结果就是入侵。例如,在入侵者没有侵入目标网络之前,他想方设法利用各种手段对目标网络进行攻击(这是在目标网络外的主动攻击行为)。当攻击得手而侵入目标网络之后,入侵者利用各种手段掠夺和破坏别人的资源(这是在目标网络内的主动攻击行为)。
从网络安全角度看,入侵和攻击的结果都是一样的。一般情况下,入侵者或攻击者可能是黑客、破坏者、间谍、内部人员、被雇用者、计算机犯罪者或恐怖主义者。攻击时,所使用的工具(或方法)可能是电磁泄漏、搭线窃听、程序或脚本、软件工具包、自治主体(能独立工作的小软件)、分布式工具、用户命令或特殊操作等。
3.什么是0day漏洞?
0day漏洞是指负责应用程序的程序员或供应商所未知的软件缺陷。因为该漏洞未知,所以没有可用的补丁程序。
换句话说,该漏洞是由不直接参与项目的人员发现的。术语“0day”是指从发现漏洞到对其进行首次攻击之间的天数。0day漏洞公开后,便称为nday漏洞。
0day时间表的工作原理如下:
一个人或一个公司创建了一个软件,其中包含一个漏洞,但涉及编程或发行的人员却不知道。
在开发人员有机会定位或解决问题之前,有人(除负责软件的人员之外)发现了漏洞。
发现该漏洞的人会创建恶意代码来利用该漏洞。
该漏洞被释放。
负责人员将被告知漏洞利用并打补丁。
该漏洞不再被视为0day。
补丁发布。
大多数情况下,针对0day漏洞的攻击很少立即被发现。发现这些缺陷通常可能需要几天或几个月的时间,这才使这类漏洞如此危险。
4.后门
后门是一种用于获得对程序或在线服务访问权限的秘密方式。
是由程序的开发者内置于程序中,通过它可以对特定的功能进行特殊的访问。例如,内置于操作系统中的某个后门可能会允许运行该操作系统的任何计算机进行不受限制的访问,如果后门被其他人知道,或者在发布软件之前没有删除,那么它就成了安全隐患。
5.webshell
webshell就是一种可以在web服务器上执行的后台脚本或者命令执行环境。
简单来说
webshell是网站入侵的脚本攻击工具
黑客通过入侵网站上传webshell后获得服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。
Webshell攻击的特点有哪些?
1.持续远程访问
入侵者可以利用webshell从而达到长期控制网站服务器的目的。若攻击者自行修复了漏洞,以确保没有其他人会利用该漏洞,攻击者可以低调的随时控制服务器。一些流行的webshell使用密码验证和其他技术来确保只有上传webshell的攻击者才能访问它。
2.权限提升
在服务器没有配置错误的情况下,webshell将在web服务器的用户权限下运行,该用户权限是有限的。通过使用webshell,攻击者可以尝试通过利用系统上的本地漏洞来执行权限提升,常见的有查找敏感配置文件、通过内核漏洞提权、利用低权限用户目录下可被Root权限用户调用的脚本提权、任务计划等。
3.极强的隐蔽性
有些恶意网页脚本可以嵌套在正常网页中运行,且不容易被查杀。webshell还可以穿越服务器防火墙,由于与被控制的服务器或远程主机交互的数据都是通过80端口传递,因此不会被防火墙拦截,在没有记录流量的情况下,webshell使用post包发送,也不会被记录在系统日志中,只会在web日志中记录一些数据提交的记录。
网站如何防御webshell攻击?
6.社会工程学
信息安全在众多的人眼中是个神奇的东西,笔者觉的信息安全可以分为Soft Security和Hard Security 两个部分。所谓的“硬安全”,主要就是具体的安全IT 技术(比如:防火墙、入侵检测、漏洞扫描、抗拒绝服务……),这些东西都是专家安全公司在搞,离绝大多数的读者可能比较遥远。而“软安全”主要涉及管理、心理学、文化、人际交往等方面,与具体的IT 技术可能没有关系。今天所说的“社会工程学”,实际上就是“软安全”,如果你看过电影《没有绝对的安全》的话,电影中主人公没有花一分钱搞到了肯德基的一份午餐就是利用社会工程学的典型例子。
通俗地讲,社会工程学就是:利用人性之中的弱点(贪婪、恐惧、性欲……)等心理学上的弱点来影响别人,最终达到自己不可告人的目的。
7.Exploit
Exploit 的英文意思就是利用,它在黑客眼里就是漏洞利用。有漏洞不一定就有Exploit(利用),有Exploit就肯定有漏洞。
我们几乎每隔几天就能听到最近有一个新发现的可以被利用(exploit)的漏洞(vulnerability),然后给这个漏洞打上补丁。而事实上,这里面的内容比你想象的要多,因为你不可能知道所有软件的漏洞,而且那些可利用的漏洞也只是被少数人所了解。
漏洞是存在于一个程序、算法或者协议中的错误,可能带来一定的安全问题。但不是所有的漏洞都是能够被利用来攻击(exploitable)的,理论上存在的漏洞,并不代表这个漏洞足以让攻击者去威胁你的系统。一个漏洞不能攻击一个系统,并不代表两个或多个漏洞组合就不能攻击一个系统。例如:空指针对象引用(null-pointer dereferencing)漏洞可以导致系统崩溃(如果想做拒绝服务攻击就足够了),但是如果组合另外一个漏洞,将空指针指向一个你存放数据的地址并执行,那么你可能就利用此来控制这个系统了。
一个利用程序(An exploit)就是一段通过触发一个漏洞(或者几个漏洞)进而控制目标系统的代码。攻击代码通常会释放攻击载荷(payload),里面包含了攻击者想要执行的代码。exploits利用代码可以在本地也可在远程进行。一个远程攻击利用允许攻击者远程操纵计算机,理想状态下能够执行任意代码。远程攻击对攻击者非常重 要,因为攻击者可以远程控制他/她的主机,不需要通过其它手段(让受害者访问网站,点击一个可执行文件,打开一个邮件附件等等),而本地攻击一般都是用来提升权限 [1]
8.APT攻击
APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
APT攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御,通常是通过Web或电子邮件传递,利用应用程序或操作系统的漏洞,利用传统的网络保护机制无法提供统一的防御。除了使用多种途径,高级定向攻击还采用多个阶段穿透一个网络,然后提取有价值的信息,这使得它的攻击更不容易被发现。
四.网络安全的脆弱性以及常见的安全攻击----网络环境的开放性
1.协议栈自身的脆弱性
•缺乏数据源验证机制
•缺乏完整性验证机制
•缺乏机密性保障机制
随着互联网的不断发展,TCP/IP协议族成为使用最广泛的网络互连协议。但由于协议在设计之初对安全考虑的不够,导致协议存在着一些安全风险问题。Internet首先应用于研究环境,针对少量、可信的的用户群体,网络安全问题不是主要的考虑因素。因此,在TCP/IP协议栈中,绝大多数协议没有提供必要的安全机制,例如:
2.常见安全风险
TCP/IP协议栈中各层都有自己的协议。由于这些协议在开发之初并未重点考虑安全因素,缺乏必要的安全机制。因此,针对这些协议的安全威胁及攻击行为越来越频繁,TCP/IP协议栈的安全问题也越来越凸显。
3.网络的基本攻击模式
4.物理层--物理攻击
5.链路层-- MAC洪泛攻击
6.链路层--ARP欺骗
7.网络层--ICMP攻击
8.传输层--TCP SYN Flood攻击
SYN报文是TCP连接的第一个报文,攻击者通过大量发送SYN报文,造成大量未完全建立的TCP连接,占用被攻击者的资源。----拒绝服务攻击
SYN FLOODING攻击特点:
攻击者用带有 SYN 标志位的数据片断启动握手
受害者用 SYN-ACK 应答;
攻击者保持沉默 ,不进行回应;
由于主机只能支持数量有限的 TCP 连接处于 half-open 的状态,超过该数目后,新的连接就都会被拒绝 ;
目前的解决方法:
1,代理防火墙---每目标ip代理阈值,每目标IP丢包阈值
2,首包丢包
3,SYN cookie
什么是拒绝服务?
9.分布式拒绝服务攻击(DDoS)
什么是分布式拒绝服务攻击?
分布式拒绝服务攻击(Distributed Denial of Service,简称DDoS攻击)是一种恶意行为,旨在通过同时向目标系统发送大量的请求或网络流量,以使该系统无法正常提供服务。与传统的拒绝服务攻击(DoS攻击)不同,DDoS攻击利用分布在多个来源的多个计算机或设备,形成一个庞大的攻击网络,从而增加了攻击的规模和难度。
DDoS攻击的主要目标是使目标系统的网络带宽、计算资源或其他关键资源超负荷,导致系统无法响应合法用户的请求或服务中断。攻击者通常通过控制大量的僵尸计算机、感染的物联网设备或使用其他技术手段来构建攻击网络,然后发起协调一致的攻击。
DDoS攻击可能采用多种形式,包括网络层攻击(如UDP洪泛攻击、ICMP洪泛攻击)、传输层攻击(如SYN洪泛攻击、TCP连接攻击)和应用层攻击(如HTTP请求攻击、Slowloris攻击等)。攻击者通常会选择适合其目标系统的攻击形式,以最大程度地消耗目标系统的资源。
如何防御分布式拒绝服务攻击?
针对分布式拒绝服务攻击(DDoS攻击),以下是一些目前比较好的防御手段:
流量过滤和清洗:通过使用专业的DDoS防护设备或服务,对流入的网络流量进行实时监测、检测和过滤。这些设备可以识别并过滤掉恶意流量,只将合法的流量传递到目标系统,从而减轻攻击对系统的冲击。
高容量网络连接:确保目标系统具备足够的网络带宽和处理能力,以应对大规模的DDoS攻击。通过扩展网络连接或与云服务提供商合作,可以增加系统的容量和弹性,使其能够更好地吸收攻击流量。
负载均衡和弹性扩展:使用负载均衡技术将流量分散到多个服务器或系统上,以分担攻击流量的负荷。同时,采用弹性扩展策略,当攻击流量增加时,自动增加系统的资源以满足需求。
云服务和内容分发网络(CDN):将目标系统的服务部署在云平台或使用CDN服务,可以通过分布在全球各地的服务器节点来分散攻击流量,并提供更好的带宽和计算资源。
入侵检测和预防系统(IDS/IPS):部署IDS/IPS设备或服务可以实时监测和检测潜在的攻击流量,并采取相应的防御措施。这些系统可以通过识别异常流量模式或特征来快速响应和阻止攻击。
合同和服务级别协议(SLA):与网络服务提供商、云服务提供商或DDoS防护服务提供商建立合同和SLA,明确双方在DDoS攻击事件发生时的责任和应对措施,确保及时响应和支持。
反射放大攻击防范:关闭可能被滥用的网络协议或服务(如DNS、NTP)的放大器功能,限制公开访问的接口,加强网络设备的安全配置,阻止源地址欺骗等措施可以减少反射放大攻击的效果。
10.DDoS攻击风险防护方案
网络设备性能充裕:防火墙、路由器、交换机性能必须有富余防火墙、路由器、交换机性能必须有富余
网络带宽资源充裕:保持一定比例的网络带宽余量
异常流量清洗:通过抗D设备清洗异常流量
通过CDN分流:多节点分担DDoS攻击流量(cdn,我理解其本质就是为了解决距离远产生的速度问题,使用就近的服务。)
分布式集群:每个节点分配足够资源数据回发瘫痪攻击源
11.应用层--DNS欺骗攻击
五.操作系统的脆弱性及常见的攻击
1.操作系统自身的漏洞
2.缓冲区溢出攻击原理
缓冲区溢出攻击利用编写不够严谨的程序,通过向程序的缓冲区写入超过预定长度的数据,造成缓存的溢出,从而破坏程序的堆栈,导致程序执行流程的改变
缓冲区溢出的危害
最大数量的漏洞类型
漏洞危害等级高
缓冲区是内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置的时候,因为没有足够的空间就会发生缓冲区溢出。而人为的溢出则是有一定企图的,攻击者写一个超过缓冲区长度的字符串,植入到缓冲区,然后再向一个有限空间的缓冲区中植入超长的字符串,这时可能会出现两个结果:一是过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严重的可导致系统崩溃;另一个结果就是利用这种漏洞可以执行任意指令,甚至可以取得系统root特级权限。
攻击软件系统的行为中,最常见的一种方法
可以从本地实施,也可以从远端实施
利用软件系统(操作系统,网络服务,应用程序)实现中对内存操作的缺陷,以高操作权限运行攻击代码
漏洞与操作系统和体系结构相关,需要攻击者有较高的知识/技巧
3.缓冲区溢出攻击过程及防御
如果可精确控制内存跳转地址,就可以执行指定代码,获得权限或破坏系统
六.信息安全的要素
1.信息安全的五要素
• 保密性—confidentiality
对抗对手的被动攻击,保证信息不泄漏给未经授权的人,或者即便数据被截获,其所表达的信息也不被非授权者所理解。确保信息不暴露给未授权的实体或进程。加密机制。防泄密
• 完整性—integrity
对抗对手主动攻击,防止信息被未经授权的篡改。只有得到允许的人才能修改实体或进程,并且能够判别出实体或进程是否已被修改。完整性鉴别机制,保证只有得到允许的人才能修改数据 。防篡改
• 可用性—availability
确保信息及信息系统能够为授权使用者所正常使用,得到授权的实体可获得服务,攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制,阻止非授权用户进入网络 。使静态信息可见,动态信息可操作。 防中断
以上三个重要的基本属性被国外学者称为“信息安全金三角”(CIA,Confidentiality-Integrity-Availability)
• 可控性—controllability
可控性主要指对危害国家信息(包括利用加密的非法通信活动)的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制,控制信息传播范围、内容,必要时能恢复密钥,实现对网络资源及信息的可控性。
• 不可否认性—Non-repudiation
对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“逃不脱",并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性。
七.恶意程序具备的特性
病毒的分类:
各种病毒的特性:
普通病毒 --- 以破坏为目的的病毒
木马病毒 --- 以控制为目的的病毒
蠕虫病毒 --- 具有传播性的病毒
八.勒索病毒
定义: 一种恶意程序,可以感染设备、网络与数据中心并使其瘫痪,直至用户支付赎金使系统解锁。
特点: 调用加密算法库、通过脚本文件进行Http请求、通过脚本文件下载文件、读取远程服务器文件、通过wscript执行文件、收集计算机信息、遍历文件。
危害: 勒索病毒会将电脑中的各类文档进行加密,让用户无法打开,并弹窗限时勒索付款提示信息,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将永远无法恢复。
勒索病毒工作原理
勒索病毒文件一旦进入被攻击者本地,就会自动运行,同时删除勒病毒母体,以躲避查杀、分析和追踪(变异速度快,对常规的杀毒软件都具有免疫性)。接下来利用权限连接黑客的服务器,上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密(先使用 AES-128 加密算法把电脑上的重要文件加密,得到一个密钥;再使用 RSA-2048 的加密算法把这个密钥进行非对称加密。)。除了病毒开发者本人,其他人是几乎不可能解密。如果想使用计算机暴力破解,根据目前的计算能力,几十年都算不出来。如果能算出来,也仅仅是解开了一个文件。(当然,理论上来说,也可以尝试破解被 RSA-2048 算法加密的总密钥,至于破解所需要的时间,恐怕地球撑不到那个时候。)加密完成后,还会锁定屏幕,修改壁纸,在桌面等显眼的位置生成勒索提示文件,指导用户去缴纳赎金。
九.其他病毒
1.挖矿病毒
2.特洛伊木马
3.蠕虫病毒
4.宏病毒
5.流氓软件/间谍软件
6.僵尸网络