2020-2-5学习过程整理
今天简单学习了一下网络方面,因此进行了整理。
1.网络安全威胁
网络安全威胁主要来自攻击者对网络及信息系统的攻击。
目前,攻击者的攻击手段大致可以分为这几种:网络嗅探,网络钓鱼,拒绝服务,远程控制和社会工程学。
这些手段是为了获得计算机控制权,或获得有价值的数据和信息
(1)网络嗅探
网络嗅探是通过卸货、分析网络中传输的数据而获取有价值的信息的行为。
嗅探器工作在网络环境的底层
网络嗅探的基础是数据捕获,网络嗅探系统是并接在网络中来实现对于数据的捕获的,这种方式和入侵检测系统相同,因此被称为网络嗅探。
所以说网络嗅探是网络监控系统的实现基础。
工作原理
我们通常所说的“Packet sniffer”指的是一种插入到计算机网络中的偷听网络通信的设备,就像是电话监控能听到其他人通过电话的交谈一样。与电话电路不同,计算机网络是共享通信通道的。共享意味着计算机能够接收到发送给其他计算机的信息。捕获在网络中传输的数据信息就称为Sniffing(窃听)。
但是,如果恶意的运行嗅探器就会造成网络安全威胁,导致个人信息或者资料被人窃取。
(2)网络钓鱼
网络钓鱼大家应该都不会陌生的,肯定会有人有过QQ被盗的经历的。
网络钓鱼是指攻击者利用伪造的网站或者欺骗性的电子邮件进行网络诈骗活动。
网络钓鱼(Phishing),并不是一种新的入侵方法,但是它的危害范围却在逐渐扩大,成为最严重的网络威胁之一。Phishing就是指入侵者通过处心积虑的技术手段伪造出一些以假乱真的网站和诱惑受害者根据指定方法操作的email等方法,使得受害者“自愿”交出重要信息或被窃取重要信息(例如银行账户密码)的手段。入侵者并不需要主动攻击,他只需要静静等候这些钓竿的反应并提起一条又一条鱼就可以了,就好像是“姜太公钓鱼,愿者上钩”。
常用的手段:
伪造相似域名的网站
显示IP地址而非域名
超链接欺骗
弹出窗口欺骗
(3)拒绝服务攻击(DoS)
拒绝服务攻击(Denial of Services,DoS)即是攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。
其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。
拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为网络协议本身的安全缺陷,从而拒绝服务攻击也成为了攻击者的终极手法。
攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把非法用户的连接复位,影响合法用户的连接。
目前还有:
分布式拒绝服务攻击(Distributed Denial of Services,DDoS):大量用户向服务器发送大量请求
同步泛洪攻击(Synchronizeflooding,SYN flooding):利用TCP协议的缺陷,大量发送TCP请求
(4)远程控制
攻击者通过各种非法手段成功入侵目标主机后,以实现对目标主机的远程控制
主要以asp和ppp网页形式存在
(5)社会工程学(冒充他人身份)
社会工程学(Social Engineering,SE)不是一门科学,而是一门综合运用信息收集,语言技巧、心里缺陷等多种手段,完成欺骗目的的方法。
起源:
世界第一黑客凯文·米特尼克在《反欺骗的艺术》中曾提到,人为因素才是安全的软肋。
很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。
你们可能永远都想象不到,对于黑客们来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,通过社工攻击手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼,而且还是最麻烦的方法。
一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学黑客技术。
2.网络安全保护与实践
(1)虚拟专业网络VPN
VPN属于远程访问技术,简单地说就是利用公用网络架设专用网络。
在传统的企业网络配置中,要进行远程访问,传统的方法是租用DDN(数字数据网)专线或帧中继,这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般会通过拨号线路(Internet)进入企业的局域网,但这样必然带来安全上的隐患。
工作原理:
VPN的基本处理过程如下:
①要保护主机发送明文信息到其他VPN设备。
②VPN设备根据网络管理员设置的规则,确定是对数据进行加密还是直接传输。
③对需要加密的数据,VPN设备将其整个数据包(包括要传输的数据、源IP地址和目的lP地址)进行加密并附上数据签名,加上新的数据报头(包括目的地VPN设备需要的安全信息和一些初始化参数)重新封装。
④将封装后的数据包通过隧道在公共网络上传输。
⑤数据包到达目的VPN设备后,将其解封,核对数字签名无误后,对数据包解密。
特点:
低成本
安全性高
服务质量保证
可管理性
可扩展性
VPN常用协议:
(1)IPSec协议:互联网安全协议(英语:Internet Protocol Security,缩写为IPsec),是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。
还分为两种模式: 传输模式(简而言之,就是传输信息,数据等)
隧道模式:(就是主机到网关那一部分)
(2)安全套接触协议SSL:
SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。
SSL协议可分为两层:
SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。
SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
3.防护墙
计算机网络中所说的防火墙,是指设置在不同网络(如:可信任的内网和专业网与不可信任的共用网)之间的一系列包括软硬件在内的部件组合。
它在内网和外网之间构建一道保护屏障,网络内部和外部之间的所以数据流必须经过防火墙,只有符合安全标准的数据流才能通过防火墙。
数据包过滤(确保网络流量的合法性)
审计和报警机制
远程管理
网络地址转换(重用IP地址,解决共用IP地址紧缺的问题)
代理(透明代理,传统代理)
流量控制(系统分析和流量计费)
部署方式:
(1)桥模式
桥模式也可叫作透明模式。
最简单的网络由客户端和服务器组成,客户端和服务器处于同一网段。
为了安全方面的考虑,在客户端和服务器之间增加了防火墙设备,对经过的流量进行安全控制。正常的客户端请求通过防火墙送达服务器,服务器将响应返回给客户端,用户不会感觉到中间设备的存在。工作在桥模式下的防火墙没有IP地址,当对网络进行扩容时无需对网络地址进行重新规划,但牺牲了路由、VPN等功能。
(2)网关模式
网关模式适用于内外网不在同一网段的情况,防火墙设置网关地址实现路由器的功能,为不同网段进行路由转发。网关模式相比桥模式具备更高的安全性,在进行访问控制的同时实现了安全隔离,具备了一定的私密性。
(3)NAT模式
NAT(Network Address Translation)地址翻译技术由防火墙对内部网络的IP地址进行地址翻译,使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据;当外部网络的响应数据流量返回到防火墙后,防火墙再将目的地址替换为内部网络的源地址。
NAT模式能够实现外部网络不能直接看到内部网络的IP地址,进一步增强了对内部网络的安全防护。同时,在NAT模式的网络中,内部网络可以使用私网地址,可以解决IP地址数量受限的问题。
