一、防御保护---信息安全概述

1.信息安全现状及挑战

1.1 网络空间安全市场在中国，潜力无穷

1.2 数字化时代威胁升级

1.3 传统安全防护逐步失效

1.4 安全风险能见度不足

1.5 缺乏自动化防御手段

1.6 网络安全监管标准愈发严苛

2.信息安全概述

2.1 简介

• 信息安全，ISO（国际标准化组织）的定义为：为数据处理系统建立和采用的技术、管理上的安全保护，为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
• 信息作为一种资源，它的普遍性、共享性、增值性、可处理性和多效用性，使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。
• 根据国际标准化组织的定义，信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。
• 简而言之，信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。
• 网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），直至安全系统，如UniNAC、DLP等，只要存在安全漏洞便可以威胁全局安全。

2.2 常见的网络安全术语

（1）肉鸡：是指已经被入侵者控制的电脑，入侵者可以像操纵自己的电脑一样去操作它们而不被发觉。

（2）僵尸网络：是指采用一种或多种传播手段，将大量的主机感染病毒，从而形成控制者和感染主机之间形成一个可以一对多控制的网络。（常被用在真实的Dos攻击中）

（3）木马：表面上伪装成正常的程序，实则当程序运行后，黑客就会获取系统整个控制权限。比如灰鸽子木马。

（4）网页木马：伪装成普通网页文件，当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马下载到访问者的电脑中运行。

（5）挂马：在别人的网站文件里放入网页木马或将代码嵌入对方正常网页文件中，使浏览者中马。

（6）大马：功能比较强大的网页后门，能够执行命令，链接到后台数据库，操作文件等等操作。

（7）小马：比较简单的网页后门，一般是用来上传保存大马而使用。（多个思路，渗透成功率更高）

（8）一句话木马：只有一段很短的网页代码后门，可以用客户端去连接，以此对网站进行控制。

（9）后门：顾名思义，就是在正门没办法进入的时候，开启了一个只有自己有钥匙的后门。指在成功攻击且控制目标主机后，对对方系统中植入了特定的程序，以便以后可以随时与控制的主机建立联系。

（10）社工库：一个强大的数据库，是黑客们将泄露的用户数据进行整合分析后，归档到一个集中的地方。

（11）提权：提高自己在服务器或系统中的权限，拥有更高的权限，所能做的事情就越多。

（12）网络钓鱼：利用欺骗性的电子邮件或者Web站点来进行欺骗，受害者访问后，会泄露自己的隐私信息，如用户名和密码等等。

（13）社会工程学攻击：社会工程学攻击专门是对受害者心理的弱点一种攻击，利用一些心理学的知识，察言观色，一步一步的诱导被攻击者按照自己的想法去做事，或者可以套话，套出很多有用的信息，强大的社会工程学家可以不用爆破，获得用户密码。（可以去看看WHOAMI这部影片，将会有更深刻的了解）

（14）托库：是将数据库中的数据导出，在黑客入侵成功后，则会把数据库中的所有数据一并带走。

（15）撞库：是指黑客利用自己所收集的互联网泄露的信息，生成一个密码字典，然后批量的去尝试登录其他网站。

（16）rootkit：攻击者用来隐藏自己的行踪和保留root权限的工具。

（17）web shell：webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做是一种网页后门。

（18）旁站入侵：是指同一个服务器上有多个站点，可以通过入侵其中一个站点，通过提权跨目录访问其他站点。

（19）C段入侵：C段下入侵同一网段的服务器，如果拿下其中一台服务器，通过此服务器可以嗅探目标服务器传输的数据。

（20）免杀：就是通过加壳，加密，修改特征码、加花指令等等技术来修改程序，使其能够逃脱杀毒软件的查杀。

（21）加壳：就是利用特殊的算法，将EXE可执行程序或者DLL动态连接库文件的编码进行改变（比如实现压缩、加密），以达到缩小文件体积或者加密程序编码，甚至是躲过杀毒软件查杀的目的。

（22）跳板：一个具有辅助作用的机器，利用这个主机作为一个间接工具，控制其他主机，一般和肉鸡连用。

（23）蜜罐：是一个故意暴露给攻击者的目标，为的是引诱黑客攻击，从而知道攻击者的攻击手段，从而更好地进行防御。

（24）Exp/Exploit：漏洞利用代码，运行后可以对目标进行攻击。

（25）Payload：有效载荷，成功exploit后，真正在目标系统执行的代码或指令。

（26）0day：0day漏洞是指负责应用程序的程序员或供应商所未知的软件缺陷。

（27）1day：1day刚发布但是已被发现官方刚发布补丁网络上还大量存在的Vulnerability。

（28）Nday：Nday已经被公布出来的0day。

3.信息安全脆弱性及常见安全攻击

3.1 网络环境的开放性

“ INTERNET的美妙之处在于你和每个人都能互相连接, INTERNET的可怕之处在于每个人都能和你互相连接 ”

3.2 协议栈的脆弱性及常见攻击

3.2.1 协议栈自身的脆弱性

随着互联网的不断发展，TCP/IP协议族成为使用最广泛的网络互连协议。但由于协议在设计之初对安全考虑的不够，导致协议存在着一些安全风险问题。Internet首先应用于研究环境，针对少量、可信的的用户群体，网络安全问题不是主要的考虑因素。因此，在TCP/IP协议栈中，绝大多数协议没有提供必要的安全机制，例如：

• 不提供认证服务
• 明码传输，不提供保密性服务，不提供数据保密性服务
• 不提供数据完整性保护
• 不提供抗抵赖服务
• 不保证可用性——服务质量（QoS）

3.2.2 常见安全风险

TCP/IP协议栈中各层都有自己的协议。由于这些协议在开发之初并未重点考虑安全因素，缺乏必要的安全机制。因此，针对这些协议的安全威胁及攻击行为越来越频繁，TCP/IP协议栈的安全问题也越来越凸显。

3.2.3 网络的基本攻击模式

1.物理层–物理攻击
设备破坏攻击一般不会容易造成信息的泄密，但通常会造成网络通信服务的中断，通常是一种暴力的攻击手段。
在日益强调网络服务的高可靠性的今天，设备破坏攻击是需要重点关注的。当然即使不是人为的故意破坏，针对各种自然条件下的物理损坏也是需要考虑的，比如中美海底通信光缆的被渔船挂断事故，台湾地震导致的海底光缆中断事故等。

• 物理设备破坏：指攻击者直接破坏网络的各种物理设施，比如服务器设施，或者网络的传输通信设施等
  设备破坏攻击的目的主要是为了中断网络服务

• 物理设备窃听
  光纤监听
  红外监听

2.链路层-- MAC洪泛攻击
通常情况下，交换机的每个端口只会连接一台主机，因而在MAC地址表中每个端口只会对应1个MAC地址。但由于交换机还要用于级联其它的交换机，因而在相应的级联端口上就会对应多个MAC地址，从而在地址表产生大量记录。
由于交换机的缓存有限，因此它所能够记忆的MAC地址数量也是有限的，所以交换机不会永久地记住所有的端口与MAC地址的对应关系。在端口/MAC地址映射表中每一项记录都被设定了一个自动老化时间，若某MAC地址在一定时间内（默认为300秒）不再出现，那么交换机将自动把该MAC地址从地址表中清除。当下一次该MAC地址重新出现时，将会被当作新地址处理，从而使交换机可以维护一个精确、有用的MAC地址表。交换机档次越低，交换机的缓存就越小，它能记住的MAC地址数也就越少。

MAC泛洪攻击就是由攻击者通过攻击工具产生大量的数据帧，这些数据帧中的源MAC地址都是伪造的，并且不断变化。因而交换机将在攻击主机所连接的端口上产生大量的MAC地址表条目，从而在短时间内将交换机的MAC地址表填满，直到再无法接收新的条目。
当交换机的MAC表被填满后，交换机以广播方式处理通过交换机的报文，这时攻击者可以利用各种嗅探攻击获取网络信息。更为严重的是，这种攻击也会导致所有邻接的交换机MAC表被填满，流量以泛洪方式发送到所有交换机的所有含有此VLAN的接口，从而造成交换机负载过大、网络缓慢和丢包甚至瘫痪。

那么如何防止呢？
Port-Security(端口安全)

• 端口上最大可以通过的MAC地址数量
• 端口上学习或通过哪些MAC地址
• 对于超过规定数量的MAC处理进行违背处理

3.链路层–ARP欺骗
当A与B需要通讯时：
A发送ARP Request询问B的MAC地址
Hacker冒充B持续发送ARP Reply给A（此时，A会以为接收到的MAC地址是B的，但是实际上是Hacker的）
之后A发送给B的正常数据包都会发给Hacker

4.网络层–ICMP攻击
（1）ICMP重定向攻击
ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下，当路由器检测到一台机器使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路由，路由器也会把初始数据报向它的目的地转发。ICMP虽然不是路由协议，但是有时它也可以指导数据包的流向（使数据流向正确的网关）。ICMP协议通过ICMP重定向数据包（类型5、代码0：网络重定向）达到这个目的。
ICMP重定向攻击是攻击机主动向受害人主机发送ICMP重定向数据包，使受害人主机数据包发送到不正确的网关，达到攻击的目的。ICMP重定向攻击既可以从局域网内发起，也可以从广域网上发起。
针对ICMP重定向报文攻击，简单的办法就是通过修改注册表关闭主机的ICMP重定向报文处理功能。

（2）ICMP不可达报文攻击
不同的系统对ICMP不可达报文（类型为3）的处理不同，有的系统在收到网络（代码为0）或主机（代码为1）不可达的ICMP报文后，对于后续发往此目的地的报文直接认为不可达，好像切断了目的地与主机的连接，造成攻击。
针对ICMP不可达攻击，简单的办法就是通过修改注册表关闭主机的ICMP不可达报文处理功能。

5.传输层–TCP SYN Flood攻击
SYN报文是TCP连接的第一个报文，攻击者通过大量发送SYN报文，造成大量未完全建立的TCP连接，占用被攻击者的资源。----拒绝服务攻击
（1）SYN FLOODING攻击特点：

• 攻击者用带有SYN标志位的数据片断启动握手
• 受害者用SYN-ACK应答；
• 攻击者保持沉默，不进行回应；
• 由于主机只能支持数量有限的TCP连接处于half-open的状态，超过该数目后，新的连接就都会被拒绝；
  目前的解决方法：关闭处于Half Open 状态的连接。

（2）什么是拒绝服务
拒绝服务式攻击(Denial of Service)，顾名思义就是让被攻击的系统无法正常进行服务的攻击方式。

（3）拒绝服务攻击方式
利用系统、协议或服务的漏洞

• 利用TCP协议实现缺陷
• 利用操作系统或应用软件的漏洞

目标系统服务资源能力

• 利用大量数据挤占网络带宽
• 利用大量请求消耗系统性能

6.应用层–DNS欺骗攻击

3.3 操作系统的脆弱性及常见攻击

3.3.1 操作系统自身的漏洞

操作系统是硬件和软件应用程序之间的接口的模块,它是整个网络信息系统的核心控制软件.系统的安全性体现在整个操作系统之中.对于一个设计上不够安全的操作系统,事后采用增加安全特性或打补丁的办法是一项很艰巨的任务.
（1）人为原因：在程序编写过程中，为实现不可告人的目的，在程序代码的隐藏处保留后门。
（2）客观原因：受编程人员的能力，经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授权用户的权限提升。
（3）硬件原因：由于硬件原因，使编程人员无法弥补硬件的漏洞，从而使硬件的问题通过软件表现。

3.3.2 缓冲区溢出攻击

缓冲区是内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置的时候，因为没有足够的空间就会发生缓冲区溢出。而人为的溢出则是有一定企图的，攻击者写一个超过缓冲区长度的字符串，植入到缓冲区，然后再向一个有限空间的缓冲区中植入超长的字符串，这时可能会出现两个结果：一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可导致系统崩溃；另一个结果就是利用这种漏洞可以执行任意指令，甚至可以取得系统root特级权限。
（1）缓冲区溢出攻击原理
缓冲区溢出攻击利用编写不够严谨的程序，通过向程序的缓冲区写入超过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致程序执行流程的改变
（2）缓冲区溢出的危害
最大数量的漏洞类型
漏洞危害等级高

3.3.2 缓冲区溢出攻击过程及防御

如果可精确控制内存跳转地址，就可以执行指定代码，获得权限或破坏系统

缓冲区溢出的防范可以从以下三个方面考虑：

3.4 其他常见攻击

3.4.1 社工攻击

（1）原理：
社会工程攻击，是一种利用"社会工程学" 来实施的网络攻击行为。
在计算机科学中，社会工程学指的是通过与他人的合法地交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。

（2）防御手段：
定期更换各种系统账号密码，使用高强度密码等。

3.4.2拖库、洗库、撞库

（1）原理：
拖库：是指黑客入侵有价值的网络站点，把注册用户的资料数据库全部盗走的行为。
洗库：在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现，这通常也被称作洗库。
最后黑客将得到的数据在其它网站上进行尝试登陆，叫做撞库，因为很多用户喜欢使用统一的用户名密码。

（2）防御手段：
重要网站/APP的密码一定要独立 、电脑勤打补丁，安装一款杀毒软件、尽量不使用IE浏览器、使用正版软件、不要在公共场合使用公共无线做有关私密信息的事、自己的无线AP，用安全的加密方式（如WPA2），密码复杂些、电脑习惯锁屏等。
（3）攻击过程：
黑客为了得到数据库的访问权限，取得用户数据，通常会从技术层面
和社工层面两个方向入手。技术方面大致分为远程下载数据库文件、利用
web应用漏洞、利用web服务器漏洞。社工方面大致分为水坑攻击、邮件
钓鱼、社工管理员、XSS劫持。

3.4.3跳板攻击

（1）原理：
攻击者通常并不直接从自己的系统向目标发动攻击，而是先攻破若干中间系统,让它们成为“跳板”，再通过这些“跳板”完成攻击行动。
跳板攻击就是通过他人的计算机攻击目标.通过跳板实施攻击。

（2）防御手段：
安装防火墙，控制流量进出。系统默认不使用超级管理员用户登录，使用普通用户登录，且做好权限控制。
（3）攻击过程：
首先，攻击者会监听、扫描某一特定主机或网段。实施跳板攻击时，
黑客首先要控制“跳板”，也就攻击目标的代理。然后借助“跳板”进行
实际的攻击操作,而跳板机就成了提线木偶。虽然跳板本身可能不会被攻击，但最终被攻击者会把其当作入侵来源。

3.4.4钓鱼式攻击/鱼叉式钓鱼攻击

（1）原理：
钓鱼式攻击是一种企图从电子通讯中，通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。
鱼叉式网络钓鱼指针对特定目标进行攻击的网络钓鱼攻击。

（2）防御手段：
保证网络站点与用户之间的安全传输，加强网络站点的认证过程，即时清除网钓邮件，加强网络站点的监管。

（3）攻击过程：
通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮
件，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID 、
ATM PIN 码或信用卡详细信息），将收信人引诱到一个通过精心设
计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网
站上输入的个人敏感信息。

3.4.5水坑攻击

（1）原理：
攻击者首先通过猜测（或观察）确定特定目标经常访问的网站，并入侵其中一个或多个网站，植入恶意软件。最后，达到感染目标的目的。

（2）防御手段：
在浏览器或其他软件上，通常会通过零日漏洞感染网站。针对已知漏洞的防御措施是应用最新的软件修补程序来消除允许该网站受到感染的漏洞。用户监控可以帮助确保他们的所有软件都运行最新版本。如果恶意内容被检测到，运维人员可以监控他们的网站和网络，然后阻止流量。

（3）攻击过程：
黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的
弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就
会“中招”。

4.信息安全要素

4.1 信息安全的标准是什么？

4.2 信息安全的五要素

4.2.1 保密性-confidentiality

(1)保密性：确保信息不暴露给未授权的实体或进程。
(2)目的：即使信息被窃听或者截取，攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动攻击。

举例说明：通过加密技术保障信息的保密性

4.2.2 完整性-integrity

• 只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被修改。完整性鉴别机制，保证只有得到允许的人才能修改数据 。可以防篡改。
  

4.2.3 可用性-availability

• 得到授权的实体可获得服务，攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制，阻止非授权用户进入网络。使静态信息可见，动态信息可操作，防止业务突然中断。
  

4.2.4 可控性-controllability

• 可控性主要指对危害国家信息（包括利用加密的非法通信活动）的监视审计。控制授权范围内的信息流向及行为方式。使用授权机制，控制信息传播范围、内容，必要时能恢复密钥，实现对网络资源及信息的可控性。

4.2.5 不可否认性-Non-repudiation

• 不可否认性：对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“逃不脱"，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。