网络安全总结

前言 

本文内容主要摘抄网络规划设计师的教材和腾讯-SUMMER课堂,主要对网络安全进行简单梳理和总结

OSI安全体系

X轴表示8种安全机制,Y轴表示OSI7层模型,Z轴表示5种安全服务,图中X是水平,Y轴竖直,Z轴向外延申。 

安全服务:认证服务,访问控制服务,数据保密性服务,数据完整性服务,防止否认性服务

安全机制:认证机制,访问控制机制,加密机制,数据完整性机制,数字签名机制,业务流填充机制,路由控制机制,公正机制。

安全机制于安全服务

加密机制:主要提供数据保密服务, 防止窃听嗅探等被动攻击。加密算法分为对称加密算法,如DES,3DES,AES,国密的SM1等,非对称加密算法RSA

数字签名机制:主要对应认证服务和防止否认服务。常见如RSA,DSA,国密SM2

访问控制机制:主要对应访问控制和认证服务。常见有用户名和口令验证,访问控制列表ACL

数据完整性机制:对应数据完整性服务,防止数据被非法篡改。常见有,MD5,SHA,国密SM3

认证机制:主要对应认证服务,分为源认证和身份认证。源认证是验证收到信息是否来自期望的发送方,主要实现是数字签名,身份认证可以通过用户名/口令或证书等方式,验证对方身份,只有通过认证合法用户才能访问对应资源。

业务流填充机制:对应数据保密访问,在数据传输过程种填充随机数等方式,加大数据破解难度,提高数据安全性。

路由控制机制:主要对应访问控制服务,预先设定安全通信路径,避免通过不安全的信道传送数据。

公证机制:主要对应防止否认机制。主要对应PKI体系。

扩展-国密算法:

  • SM1、SM4、SM7、祖冲之密码(ZUC)是对称算法。
  • SM2、SM9是非对称算法。
  • SM3是哈希算法。
  • SM1、SM7算法不公开,调用该算法时,需要通过加密芯片的接口进行调用。 

网络攻击和防御

攻击类型:

安全攻击可以划分为,主动攻击和被动攻击。

被动攻击:典型代表嗅探,监听和流量分析,最难被检测,重点是预防,主要手段是加密。

主动攻击:假冒,重放,欺骗,消息篡改和拒绝服务等,重点是检测而不是预防,主要手段是防火墙,IDS技术。

信息安全三大属性

CIA属性,保密性-Confidentiality,完整性-Integrity,可用性-Availability。

保密性:信息保密性又称信息机密性,是指信息不泄露给非授权的个人和实体,或供其使用的特性。信息机密性针对信息被允许访问对象的多少而不同。一般通过访问控制阻止非授权用户获得机密信息,通过加密技术阻止非授权用户获知信息内容。

完整性:信息完整性是指信息在存储、传输和提取的过程中保持不被修改、不延迟、不乱序和不丢失的特性。一般通过访问控制阻止篡改行为,通过信息摘要算法来检验信息是否被篡改。

可用性:信息可用性指的是信息可被合法用户访问并能按要求使用的特性。典型的DoS/DDoS攻击主要破坏信息的可用性。保证系统可用性,最常用的方法是冗余配置和备份。

计算机病毒分类

类型关键字特征典型代表
蠕虫病毒前缀为worm通过网络或者系统漏洞进行传播,可以向外发送带病毒邮件或者阻塞网络冲击波(阻塞),小邮差病毒(发送带毒邮件),震网病毒
特洛伊木马前缀为Trojan,黑客病毒前缀为Hack通过网络或者漏洞进入系统并隐藏起来,木马辅助入侵用户计算机,黑客通过木马进行远程控制游戏木马TroJan.Lmir.PSW60
宏病毒前缀为Macro特殊脚本病毒,感染word和excelMacro.word97
ARP病毒关键词ARP发送虚假ARP欺骗网关或主机ARP网关欺骗,ARP路由欺骗
震网病毒关键词Stuxnet主要攻击工控系统,比如某国的核设施就遭遇了震网病毒攻击本质上是蠕虫病毒
勒索病毒关键词WannaCry加密用户文档或者锁住浏览器,交赎金后方可解密本质上是蠕虫病毒

端口扫描

扫描分类解释
全TCP连接这种扫描方法使用三次握手,与目标计算机建立标准的TCP连接。这种古老的扫描方法很容易被目标主机记录
半打开式扫描(SYN扫描)在这种扫描技术中,扫描主机自动向目标计算机的指定端口发送SYN数据段,表示发送建立连接请求。
由于扫描过程中全连接尚未建立,所以大大降低了被目标计算机记录的可能性,并且加快了扫描的速度。
FIN扫描发送FIN=1的TCP报文到一个关闭的端口时,该报文会被丢掉,并返回一个RST报文。如果当FIN报文到一个活动的端口时,该报文只是简单地丢掉,不会返回任何回应。从FIN扫
描可以看出,这种扫描没有涉及任何TCP连接部分,因此,这种扫描比前两种都安全,可以称之为秘密扫描。
第三方扫描又称“代理扫描”,这种扫描是利用第三方主机来代理

拒绝服务攻击与防御

拒绝服务攻击(Denial of Service,Dos)通过消耗主机CPU,内存,磁盘,网络等资源,让主机不能向正常服务提供服务。

分布式拒绝服务攻击(Distributed Denial Of Service,DDoS)是攻击者首先侵入一些计算机,然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。传统的拒绝服务攻击有受网络资源的限制和隐蔽性差两大缺点,而分布式拒绝服务攻击克服了传统拒绝服务攻击的这两个致命弱点。

DDoS结构

DDoS一般采用三级结构:
• Client(客户端):运行在攻击者的主机上,用来发起和控制DDoS攻击。
• Handler(主控端):运行在已被攻击者侵入并获得控制的主机上,用来控制代理端。
• Agent(代理端,也叫肉鸡):运行在已被攻击者侵入并获得控制的主机上,从主控端接收命令,负责对目标实施实际的攻击。

 防御的方法

(1)加强对数据包的特征识别。攻击者在传送攻击命令或发送攻击数据时,虽然都加入了伪装甚至加密,但是其数据包中还是有一些特征字符串。通过搜寻这些特征字符串,就可以确定攻击类型、攻击服务器和攻击者的位置。

(2)设置防火墙监控本地主机端口的使用情况。对本地主机中的敏感端口进行监控,如UDP 
31335、UDP 27444、TCP 27665,如果发现这些端口处于监听状态,则系统很可能受到攻

(3)对通信数据量进行统计也可获得有关攻击系统的位置和数量信息。例如,在攻击之前,目标网络的域名服务器往往会接收到远远超过正常数量的反向和正向的地址查询。在攻击时,攻击数据的来源地址会发出超出正常极限的数据量。

(4)尽可能地修复已经发现的问题和系统漏洞。

(5)购买安全设备(如防火墙、抗DDoS设备)和流量清洗服务。

(6)其他:CDN、增加带宽/服务器。

常见DoS/DDoS攻击

攻击类型攻击原理防御思路
同步包风暴(SYN Flooding)攻击者大量向攻击目标发送SYN数据包,而不返回
ACK,导致服务端有大量半开连接,耗尽目标资源,
不能为其他正常用户提供服务。
(1)通过修改注册表防御SYN Flooding攻击。
(2)防火墙上开启SYN防范功能。
UDP Flooding攻击者大量发送UDP数据,耗尽网络带宽,导致目标
主机不能为正常用户提供服务。
(1)购买流量清洗设备或服务。
(2)限时单个用户带宽。
Ping of Death利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定,使TCP/IP堆栈崩溃、主机死机。(1)修改注册表防御ICMP攻击。
(2)升级系统,打补丁
消耗CPU和内存资源的DOS利用目标系统的计算算法漏洞,构造恶意输入数据集,导致目标系统的CPU或内存资源耗尽,从而使目标系统瘫痪,如Hash DoS。
Teardrop泪滴攻击分段攻击,伪造数据报文向目标主机发送含有重叠偏移的数据分段,通过将各个分段重叠来使目标系统崩溃或挂起。
Winnuke攻击针对windows139端口,只要向该端口发送1字节的TCPOOB数据(TCP连接的一种特殊数据,设置了URG标志,优先级更高),就可以使windows系统出现蓝屏错误,并且网络功能完全瘫痪
Land攻击利用三次握手的缺陷进行攻击,将SYN数据包的源地址和目的地址都设置为目标主机的地址,目标主机向自己回以SYN+ACK包,导致自己又给自己回一个ACK并建立自己与自己的连接,当这种无效连接达到一定的数量,
目标主机将会拒绝新的连接请求

网络流量清洗技术原理

原理

网络流量清洗系统的技术原理:通过异常网络流量检测,而将原本发送给目标设备系统的流量牵引到流量清洗中心,清洗完毕后,再把留存的正常流量转送到目标设备系统。包含三个步骤:
• 流量检测。利用分布式多核硬件技术,基于深度数据包检测技术(DPI)监测、分析网络流量数据,快速识别隐
藏在背景流量中的攻击包,以实现精准的流量识别和清洗。
• 流量牵引与清洗。当监测到网络攻击流量时,如大规模DDoS攻击,流量牵引技术将目标系统的流量动态转发到
流量清洗中心来进行清洗,从而使得恶意流量无法影响到目标系统。
• 流量回注。将清洗后的干净流量回送给目标系统,用户正常的网络流量不受清洗影响。

作用

1.畸形数据报文过滤。利用网络流量清洗系统,可以对常见的协议畸形报文进行过滤,如LAND、
Fraggle、Smurf、Winnuke、Ping of Death、Tear Drop和TCP Error Flag等攻击。
2.抗拒绝服务攻击。利用网络流量清洗系统,监测并清洗对目标系统的拒绝服务攻击流量。
3.Web应用保护。利用网络流量清洗系统,监测并清洗对Web应用服务器的攻击流量。常见的网站攻击流量包括HTTP Get Flood、HTTP Post Flood、HTTP Slow Header/Post、HTTPS Flood攻击等。
4.DDoS高防IP服务。DDoS高防IP通过代理转发模式防护源站服务器,源站服务器的业务流量被牵引到高防IP,并对拒绝服务攻击流量过滤清洗后,再将正常的业务流量回注到源站服务器

缓冲区溢出攻击与防御

缓冲区溢出攻击原理:通过往程序的缓冲区写超出其长度的内容,造成缓冲区溢出,从而破坏程序的堆栈,使程序转而执行其他预设指令,以达到攻击目的的攻击方法。

缓冲区溢出攻击防御思路如下:
(1)系统管理上的防范策略:关闭不需要的特权程序、及时给程序漏洞打补丁。
(2)软件开发过程中的防范策略。
a) 编写正确的代码,确保目标缓冲区中数据不越界。
b) 程序指针完整性检查,如果程序指针被恶意改动,程序拒绝执行。
c) 改进C语言中存在缓冲区溢出攻击隐患的函数库。
d) 利用编译器将静态数据段中的函数地址指针存放地址和其他数据的存放地址分离。

SQL注入攻击

SQL注入攻击:黑客从正常的网页端口,进行网站访问,通过巧妙构建SQL语句,获取数据库敏感信息,或直接向数据库插入恶意语句。


 SQL注入攻击防范的主要方法如下:
• 对用户输入做严格检查,防止恶意SQL输入。
• 部署DBS数据库审计系统、WAF防火墙,进行安全阻断。

XSS跨站脚本攻击

跨站脚本攻击(Cross Site Script,为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。

攻击实例

有些用户会利用这个漏洞窃取用户信息、诱骗人打开恶意网站或者下载恶意程序等,看个最简单的例子:利用XSS窃取用户名密码。

当然这个示例很简单,几乎攻击不到任何网站,仅仅看看其原理。我们知道很多登陆界面都有记住用户名、密码的功能方便用户下次登录,有些网站是直接用明文记录用户名、密码,恶意用户注册账户登录后使用简单工具查看cookie结构名称后,如果网站有xss漏洞,那么简单的利用jsonp就可以获取其它用户的用户名、密码了。

防范思路

XSS跨站脚本攻击核心都是利用了脚本注入,因此解决办法其实很简单:
• 部署WAF网页应用防火墙,自动过滤攻击报文。
• 对用户输入进行过滤,对特殊字符如”<”,”>”转义,可以从根本上防止这一问题。

ARP欺骗

ARP欺骗原理:攻击者发送恶意ARP应答信息,刷新被攻击者ARP缓存,让对方不能进行正确的二层
封装。ARP欺骗的防范措施如下:
• (1)在主机上进行ARP静态绑定。例如:arp -s 10.0.0.254 00-11-d8-64-6b-bc。
• (2)主机和服务器采用双向绑定的方法解决并且防止ARP欺骗。
• (3)使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不
被攻陷。
• (4)安装ARP防护软件,或在交换机上启动DAI等安全防护功能。

DNS欺骗

DNS欺骗首先是冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,用户上网只能看到攻击者的主页,而不是用户想要取得的网站的主页。
 DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。根据检测手段的不
同,将DNS欺骗的检测分为被动监听检测、虚假报文探测和交叉检查查询三种

参考文献:

网络规划师教材

腾讯SUMMER课堂

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/150950.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

手边酒店V2独立版小程序 1.0.21 免授权+小程序前端安装教程

手边酒店小程序独立版酒店宾馆订房系统支持创建多个小程序&#xff0c;让每一个客户单独管理属于自己的小程序。系统无需授权&#xff0c;小程序端用户授权也是采用最新接口。 缺点不开源不影响使用&#xff0c;播播资源安装测试下来未发现或出现BUG情况&#xff0c;用户授权接…

03_Node.js模块化开发

1 Node.js的基本使用 1.1 NPM nodejs安装完成后&#xff0c;会跟随着自动安装另外一个工具npm。 NPM的全称是Node Package Manager&#xff0c;是一个NodeJS包管理和分发工具&#xff0c;已经成为了非官方的发布Node模块&#xff08;包&#xff09;的标准。 2020年3月17日&…

网络安全面试题汇总(附答案)

作为从业多年的网络安全工程师&#xff0c;我深知在面试过程中面试官所关注的重点及考察的技能点。网络安全作为当前信息技术领域中非常重要的一部分&#xff0c;对于每一个从事网络安全工作的人员来说&#xff0c;不仅需要掌握一定的技术能力&#xff0c;更需要具备全面的综合…

SSCI及SCI撰写|立足于审稿进行论文修改

一、回复审稿意见视角下的论文改进 &#xff08;一&#xff09;常见审稿意见分类&#xff08;改进向&#xff09; 意见分类研究主题方面真实案例研究主题研完没有提供新的信息This is clearly a students paper Although it is adequately written it offers no new informat…

超自动化加速落地,助力运营效率和用户体验显著提升|爱分析报告

RPA、iPaaS、AI、低代码、BPM、流程挖掘等在帮助企业实现自动化的同时&#xff0c;也在构建一座座“自动化烟囱”。自动化工具尚未融为一体&#xff0c;协同价值没有得到释放。Gartner于2019年提出超自动化&#xff08;Hyperautomation&#xff09;概念&#xff0c;主要从技术组…

英特尔参与 CentOS Stream 项目

导读红帽官方发布公告欢迎英特尔参与进 CentOS Stream 项目&#xff0c;并表示 “这一举措不仅进一步深化了我们长期的合作关系&#xff0c;也构建在英特尔已经在 Fedora 项目中积极贡献的基础之上。” 目前&#xff0c;CentOS Stream 共包括以下特别兴趣小组&#xff08;SIG&a…

第二证券:市盈率市净率市销率计算公式?

市盈率&#xff08;Price-earnings ratio, P/E ratio&#xff09;、市净率&#xff08;Price-to-book ratio, P/B ratio&#xff09;和市销率&#xff08;Price-to-sales ratio, P/S ratio&#xff09;都是出资者在分析公司股票时常常运用的点评方针。这些方针可以帮忙出资者判…

在Unity使用自定义网格生成一个球体

1.在Unity场景中新建一个空物体&#xff0c;在空物体上添加MeshRenderer和MeshFilter组件。 2.新建一个C#脚本命名SphereMesh,将脚本挂载到空物体上&#xff0c;如图&#xff1a; 运行场景就可以看到生成一个球体 全部代码如下&#xff1a; using UnityEngine;public class S…

ThreeJS-3D教学六-物体位移旋转

之前文章其实也有涉及到这方面的内容&#xff0c;比如在ThreeJS-3D教学三&#xff1a;平移缩放物体沿轨迹运动这篇中&#xff0c;通过获取轨迹点物体动起来&#xff0c;其它几篇文章也有旋转的效果&#xff0c;本篇我们来详细看下&#xff0c;另外加了tween.js知识点&#xff0…

类 ChatGPT 模型存在的局限性

尽管类ChatGPT模型经过数月的迭代和完善&#xff0c;已经初步融入了部分领域以及人们的日常生活&#xff0c;但目前市面上的产品和相关技术仍然存在一些问题&#xff0c;以下列出一些局限性进行详细说明与成因分析&#xff1a; 1&#xff09;互联网上高质量、大规模、经过清洗…

【SQL Server】表死锁/解锁和sql语句分析

文章目录 表死锁查询锁的进程解锁 sql语句分析来源 表死锁 查询锁的进程 1 首先创建一个测试用的表&#xff1a; CREATE TABLE Test ( TID INT IDENTITY(1,1) ) 2 执行下面的SQL语句将此表锁住&#xff1a; SELECT * FROM Test WITH (TABLOCKX) 3 通过下面的语句可以查看…

[极客大挑战 2019]BabySQL 1

#做题方法# 进去之后做了简单的注入发现有错误回显&#xff0c;就进行注入发现过滤了sql语 后面进行了双写and payload&#xff1a; ?usernameadmin%27%20aandnd%20updatexml(1,concat(0x7e,dAtabase(),0x7e,version()),1)%20--&passwordadmi 接下来又 ?usernameadm…

零基础Linux_13(基础IO_文件)文件系统接口+文件描述符fd+dup2函数

目录 1. C语言的文件操作 1.1 C语言文件的写入 1.2 当前路径 1.3 文件操作模式 1.4 文件的读取和cat 2. 文件系统接口 2.1 系统调用与封装 2.2 open打开文件 2.2.1 flags标记位 2.2.2 open用法演示 2.3 close关闭文件和write写入文件和rede读取文件 2.3.1 O_TRUNC…

学习记忆——数学篇——算术——无理数

谐音记忆法 2 \sqrt{2} 2 ​≈1.41421&#xff1a;意思意思而已&#xff1b;意思意思&#xff1b; 3 \sqrt{3} 3 ​≈1.7320&#xff1a;—起生鹅蛋&#xff1b;一起生儿&#xff1b; 5 \sqrt{5} 5 ​≈2.2360679&#xff1a;两鹅生六蛋(送)六妻舅&#xff1b;儿儿生&#xf…

k8s全栈-笔记6-Prometheus+Alertmanager构建监控系统

k8s全栈-笔记6-PrometheusAlertmanager构建监控系统 实验环境: Pormetheusgrafanaalertmanager安装在k8s集群,k8s环境如下 K8S集群角色IP主机名安装的组件控制节点(master)172.20.252.181k8s-master01apiserver,controller-manager,schedule,kubelet,etcd,kube-proxy,容器运…

基于SpringBoot的靓车汽车销售网站

目录 前言 一、技术栈 二、系统功能介绍 用户信息管理 车辆展示管理 车辆品牌管理 用户交流管理 购物车 用户交流 我的订单管理 三、核心代码 1、登录模块 2、文件上传模块 3、代码封装 前言 随着信息技术在管理上越来越深入而广泛的应用&#xff0c;管理信息系统的…

使用hugo+github搭建免费个人博客

使用hugogithub搭建免费个人博客 前提条件 win11电脑一台电脑安装了git电脑安装了hugogithub账号一个 个人博客本地搭建 初始化一个博客 打开cmd窗口&#xff0c;使用hugo新建一个博客工程 hugo new site blogtest下载主题 主题官网&#xff1a;themes.gohugo.io 在上面…

【kubernetes的三种网络】

kubernetes的三种网络 一、三种网络service网络&#xff08;service是虚拟IP地址&#xff09;pod网络&#xff08;pod的IP地址 docker容器的IP&#xff09;节点网络&#xff08;网络服务器上的物理网卡IP&#xff09; 二、其他网络flannel一、vxlan(隧道方案)1.定义2.优势3.工作…

【Java每日一题】— —第二十四题:编程定义一个长方形类Rectangle(2023.10.08)

&#x1f578;️Hollow&#xff0c;各位小伙伴&#xff0c;今天我们要做的是第二十四题。 &#x1f3af;问题&#xff1a; &#xff08;1&#xff09;定义成员变量&#xff1a;长&#xff08;int height&#xff09;&#xff0c;宽&#xff08;int width&#xff09;&#xf…

uniapp uni.showToast 一闪而过的问题

问题&#xff1a;在页面跳转uni.navigateBack()等操作的前或后&#xff0c;执行uni.showToast&#xff0c;即使代码中设置2000ms的显示时间&#xff0c;也会一闪而过。 解决&#xff1a;用setTimeout延后navigateBack的执行。