3.3 网络安全威胁

一.大纲要求
3.3.1 威胁来源和种类
* 了解网络安全威胁的来源
* 了解网络安全的基本攻击面
* 熟悉网络监听
* 熟悉口令破解
* 熟悉网络钓鱼
* 熟悉网络欺骗
* 了解社会工程
* 熟悉漏洞攻击
* 熟悉恶意代码攻击（僵尸网络）
* 了解供应链攻击
3.3.2 网站安全威胁
* 熟悉SQL注入攻击
* 熟悉XSS
* 熟悉CSRF
* 熟悉目录遍历威胁
* 了解文件上传威胁
3.3.3 无线网络安全威胁
* 了解无线网络安全威胁的来源
* 熟悉无线网络安全的基本攻击面

二.思维导图

三.备考知识要点

网络安全是信息安全的核心。网络作为信息的主要收集、存储、分配、传输、应用的载体，其安全对整个信息的安全起着至关重要甚至是决定性的作用。

我国网络安全问题日益突出的主要标志是:

①计算机系统遭受病毒感染和破坏的情况相当严重。

②电脑黑客活动已形成重要威胁。

③信息基础设施面临网络安全的挑战。

④网络政治颠覆活动频繁。

制约提高我国网络安全防范能力的因素：

1.缺乏自主的计算机网络和软件核心技术

2. 安全意识淡薄是网络安全的瓶颈
3. 运行管理机制的缺陷和不足制约了安全防范的力度
4. 缺乏制度化的防范机制

Sniffer 正当用处主要是分析网络的流量，由于Sniffer 可以捕获网络报文，因此它对网络也存在着极大的危害。★

Sniffer 工作前提：★

①网络必须是共享以太网。

②把本机上的网卡设置为混杂模式。

网络监听的防范方法：★

第一步工作就是要确保以太网的整体安全性；

其次，采用加密技术；

此外，对安全性要求比较高的公司可以考虑Kerberos（可信第三方认证机制）。

检测网络监听的手段：★

①反应时间

②DNS 测试

③利用ping 进行监测

④利用ARP 数据包进行监测

口令攻击类型：

1.字典攻击

2. 强行攻击
3. 组合攻击

口令破解器是一个程序，它能将口令解译出来，或者让口令保护失效。口令破解器一般并不是真正地去解码，因为事实上很多加密算法是不可逆的。

Email 口令破解：

①利用邮件服务器操作系统的漏洞。

②利用邮件服务器软件本身的漏洞。

③在邮件的传输过程中窃听。

拒绝服务攻击的主要企图是借助于两络系统或网络协议的缺陷和配置漏洞进行网络攻击，使网络拥塞、系统资源耗尽或者系统应用死锁，妨碍目标主机和网络系统对正常用户服务请求的及时响应，造成服务的性能受损甚至导致服务中断。

拒绝服务攻击DoS C DenialofService) 是阻止或拒绝合法使用者存取网络服务器（一般为Web 、FTP 或邮件服务器)的一种破坏性攻击方式。

拒绝服务攻击类型：★

1.消耗资源

2. 破坏或更改配置信息
3. 物理破坏或改变网络部件
4. 利用服务程序中的处理错误便服务失效

服务端口攻击：★

1.同步包凤暴C SYNFlooding)

它是通过创建大量”半连接”来进行攻击。

2. Smurf 攻击

这种攻击方法结合使用了IP 欺骗和ICMP 回复方法使大量网络数据充斥目标系统，引起目标系统拒绝为正常请求进行服务。

3. 利用处理程序错误的拒绝服务攻击

这种攻击方法主要是利用TCP/IP 协议实现中的处理程序错误实施拒绝服务攻击。

( 1) PingofDeath 攻击

(2) Teardrop 攻击

(3) Winnuke 攻击

(4) Land 攻击

电子邮件轰炸：

电子邮件轰炸是最早的一种拒绝服务攻击。

电子邮件轰炸实质上也是一种针对服务端口(SMTP 端口，即25 端口)的攻击方式，它的原理是:连接到邮件服务器的SMTP (25) 端口，按照SMTP 协议发送几仔头信息加上一堆文字垃圾，就算只发送了一封邮件，反复多次，就形成了邮件炸弹。★

低速率拒绝服务攻击(Low-rateDoS) LDoS：

分布式拒绝服务攻击DDoS：

攻击者首先侵入并控制一些计算机，然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。

缓冲区溢出攻击是一种通过往程序的缓冲区写超出其长度的内容，造成缓冲区溢出，从雨破坏程序的堆枝，使程序转而执行其他预设指令，以达到攻击目的的攻击方法。

僵尸网络(Botnet) 是指采用一种或多种传播手段，将大量主机感染bot 程序(僵尸程序)，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

Botnet 首先是一个可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot 程序的不断传播雨不断有新位置的僵尸计算机添加到这个网络中来。

僵尸网络的防御方法：★

基于IRC 协议的BotNet 防御方法，主要有使用蜜网技术、网络流量研究以及IRCserver 识别技术。

1.使用蜜网技术：★

蜜罐技术是一种欺骗入侵者以达到采集黑客攻击方法和保护真实主机目标的诱骗技术。

2. 网络流量研究：★

网络流量的研究是通过分析BotNet 中僵尸主机的行为特征，将僵尸主机划分为长期发呆型和快速加入型。

网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息的一种攻击方式。

网络钓鱼防范措施：

1.申请并安装数字证书

2. 规范使用操作

ARP 原理:某机器A 要向主机C 发送报文，会查询本地的ARP 缓存表，找到C 的IP 地址对应的MAC 地址后，就会进行数据传输。

ARP 欺骗的防范措施：★

①在wmxp 下输入命令: arp-s 网关IP 网关mac 固化arp表，阻止arp欺骗。

②使用ARP服务器。通过该服务器查找自己的ARP 转换表来响应其他机器的ARP广播。确保这台ARP 服务器不被黑。

③采用双向绑定的方法解决并且防止ARP 欺骗。

④ ARP 防护软件（ARPGuardo）

DNS 欺骗原理：

首先是冒充域名服务器，然后把查询的IP 地址设为攻击者的IP 地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS 欺骗的基本原理。

IP 欺骗的原理：

通过编程的方法可以随意改变发出的包的IP 地址，但工作在传输层的TCP 协议是一种相对可靠的协议，不会让黑客轻易得逞。由于TCP 是面向连接的协议，所以在双方正式传输数据之前，需要用”三次握手”来建立一个值得信赖的连接。

IP 欺骗的防范：

预防这种攻击可以删除UNIX 中所有的/etc/hosts.equiv 、$HOME!.rhosts 文件，修改/etc/inetd.conf 文件，使得RPC机制无法应用。另外，还可以通过设置防火墙过滤来自外部而信源地址却是内部目的报文。

Web 欺骗的原理:

Web 欺骗的原理是攻击者通过伪造某个www 站点的影像拷贝，使该影像Web 的入口进入到攻击者的Web 服务器，并经过攻击者机器的过滤作用，从而达到攻击者监控受攻击者的任何活动以获取有用信息的目的，这些信息当然包括用户的账户和口令。

Web 欺骗的手段和方法:

(1)改写URL

(2) 特殊的网页假象

Email 欺骗

电子邮件欺骗是在电子邮件中改变名字使之看起来是从某地或某人发来的实际行为。

电子邮件欺骗有三种基本方法：

1.相似的电子邮件地址

2. 修改邮件客户
3. 远程联系，登录到端口25

网站安全威胁：★

1、SQL注入攻击

2、跨站攻击

3、旁注攻击

旁注攻击，有两种抵御方法:★

①设置IIS 单用户权限/禁止，来阻止非法用户运仔任意的CMD 命令，从而使入侵者的旁注入侵在无法提升权限下导致失败。

②利用端口转发技术。

社会工程学就是使人们眼从你的意愿、满足你的欲望的一门艺术与学问。

社会工程学运用是否能成功也有取决于目标个体与你的目的有多大关联的因素的。

WEB安全漏洞：

1.加密算法中存在的漏洞

2. 密钥管理中存在的漏洞
3. 身份认证机制中存在的漏洞

OpenSSL 安全漏洞：

1.计时攻击缺陷

2. 分支预测缺陷
3. 故障分析缺陷
4. 单/双字节偏差缺陷
5. 伪随机数生成器缺陷
6. PaddingOracle 缺陷
7. Heartbleed 缺陷
8. 中间人攻击缺陷
9. 拒绝服务缺陷

本文固定链接: https://www.moondream.cn/?p=548 | 月梦工作室