网络安全背景

网络空间安全 --- Cyberspace

         2003年，美国提出网络空间的概念---一个由信息基础设施组成发互相依赖的网络。

       我国官方文件定义：网络空间为继海，陆，空，天以外的第五大领域。网络安全发展阶段：

       通信保密阶段（网络安全最早的阶段）---计算机安全阶段---信息系统安全阶段---网络空间安全

        信息安全概述

       信息安全:防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。

       网络安全:计算机网络环境下的信息安全

常见的网络安全术语

漏洞(脆弱性)	可能被一个或多个威胁利用的资产或控制的弱点
攻击	企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为
入侵	对网络或联网系统的未授权访问，即对信息系统进行有意或无意的未授权访问，包括针对信息系统的恶意活动或对信息系统内资源的未授权使用。
0day漏洞	通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞
后门	绕过安全控制而获取对程序或系统访问权的方法
WEBSHELL	以asp、php、isp或者ci等网页文件形式存在的一种命令执行环境，也可以将其称作为一种网页后门
社会工程学	通过对受害者心理弱点、本能反应、好奇心、信任、贪整等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法
exploit	简称exp，漏洞利用
APT攻击	高级持续性威胁。利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式

协议栈自身的脆弱性：

1.缺乏数据源验证机制

2.缺乏完整性验证机制

3.缺乏机密性保障机制

常见安全风险：

应用层：漏洞、缓冲区溢出攻击WEB应用的攻击、病毒及木马、......

传输层：TCP欺骗TCP拒绝服务、UDP拒绝服务、端口扫描、......

网络层：IP欺骗、Smurf攻击、ICMP攻击地址扫描、 ......

链路层：MAC欺骗、MAC泛洪、ARP欺骗、 ......

物理层：设备破坏、线路侦听

物理层--物理攻击

物理设备破坏

指攻击者直接破坏网络的各种物理设施，比如服务器设施，或者网络的传输通信设施等

设备破坏攻击的目的主要是为了中断网络服务

物理设备窃听：

光纤监听

红外监听

链路层-- MAC洪泛攻击：

         交换机中存在着一张记录着MAC地址的表，为了完成数据的快速转发，该表具有自动学习机制;

        泛洪攻击即是攻击者利用这种学习机制不断发送不同的MAC地址给交换机，填满整个MAC表，此时交换机只能进行数据广播，攻击者凭此获得信息。

链路层--ARP欺骗

        当A与B需要通讯时

• A发送ARP Request询问B的MAC地址
• Hacker冒充B持续发送ARP Reply给A (此时，A会以为接收到的MAC地址是B的，但是实际上    是Hacker的)
• 之后A发送给B的正常数据包都会发给Hacker

网络层--ICMP攻击

传输层--TCP SYN Flood攻击:

SYN报文是TCP连接的第一个报文，攻击者通过大量发送SYN报文，造成大量未完全建立的TCP连接，占用被攻击者的资源。----拒绝服务攻击  

1，代理防火墙 --- 每目标IP代理闻值，每目标IP丢包闻值

2，首包丢包---(TCP三次握手的重传机制)

3，SYN cookie

分布式拒绝服务攻击(DDoS)：

（传输层--TCP SYN Flood攻击的升级方法）

使用肉鸡进行攻击（肉鸡群体-->僵尸网络）

DDoS攻击风险防护方案

应用层--DNS欺骗攻击

操作系统自身的漏洞

人为原因

在程序编写过程中，为实现不可告人的目的，在程序代码的隐藏处保留后门

客观原因

受编程人员的能力，经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授权用户的权限提升。

硬件原因

由于硬件原因，使编程人员无法弥补硬件的漏洞，从而使硬件的问题通过软件表现。

恶意程序---一般会具备以下的多个或全部特性

1，非法性

2，隐蔽性

3，潜伏性

4，可触发性

5，表现性

6，破坏性

7，传染性---蠕虫病毒是典型特例

8，针对性

9，变异性

10，不可预见性

病毒的分类

大体可以分为三类：

普通病毒--- 以破坏为目的的病毒

木马病毒 --- 以控制为目的的病毒

蠕虫病毒 --- 具有传播性的病毒

勒索病毒第一阶段:锁定设备，不加密数据

时间:2013年前后

勒索方式加密用户数据

主要家族: CTB-Locker、TeslaCrypt、 Cerber

简介:

          2013年，以加密用户数据勒索赎金的勒索软件出现在公众视野勒索软件采用高强度对称和非对称的加密算法;因当时的算力不足无法解密，受害用户只能支付赎金

终端安全防范措施

• 不要点击来源不明的邮件附件，不从不明网站下载软件
• 及时给主机打补丁，修复相应的高危漏洞
• 对重要的数据文件定期进行非本地备份
• 尽量关闭不必要的文件共享权限以及关闭不必要的端口
• RDP远程服务器等连接尽量使用强密码，不要使用弱密码
• 安装专业的终端安全防护软件，为主机提供端点防护和病毒检测清理功能

信息安全的五要素

• 保密性-confidentiality
• 完整性一integrity       （信息完整）               CIA
• 可用性-availability
• 可控性-controllability           （拒绝服务）
• 不可否认性一Non-repudiation