防御保护-第一天

网络安全概述

网络安全背景

网络安全：计算机网络环境下的信息安全。

2003年美国提出网络空间的概念--- 一个由信息基础设施组成的互相依赖的网络。我国官方文件定义：网络空间为继海，陆，空，天以外的第五大人类活动领域

企业面临的网络风险或者网络威胁主要有以下几种形式：

1、网站入侵、网页内容篡改

2、数据泄露

3、网络勒索

4、分布式拒绝服务攻击

网络安全发展史

第一阶段：通信保密阶段

第二阶段：计算机安全阶段

第三阶段：信息系统安全

第四阶段：网络空间安全

常见网络安全术语 

1、黑帽

　　为非法目的进行黑客攻击的人，通常是为了经济利益。他们进入安全网络以销毁，赎回，修改或窃取数据，或使网络无法用于授权用户。

2、后门

　　隐藏在计算机系统中的“管道”，绕过登录和密码的正统保护，从而使它们在保护数据方面基本上无效。

3、蛮力攻击

　　黑客对系统中的每一个可能的密码进行高度密集的自动搜索，从而破坏安全并获得对计算机的访问权限。

4、Doxing

　　通过在线查看其详细信息，发现并发布互联网用户的身份。黑客专业术语大全

5、灰色的帽子

　　执行黑客攻击的人，但不是为了个人或经济利益。一个例子是黑客行为，作为更广泛的政治抗议活动的一部分进行，活动家们使一个组织的政策或官方观点被视为诅咒而令人尴尬或羞辱。

6、IP

　　Internet协议地址-计算机的标识符或“指纹”。这用于识别使用设备的人，跟踪其活动或显示其位置。

7、按键记录

　　跟踪计算机用户按下哪些键，以便黑客可以将登录代码和密码记录到系统中。

8、恶意软件

　　旨在控制或窃取计算机数据的程序。

9、网络钓鱼

　　通过向他们发送看似来自真正的人或组织的电子邮件，重复某人提供他们的个人信息，例如密码，银行帐户详细信息(例如PIN号码)和信用卡详细信息。

10、欺骗

　　更改真实的电子邮件，使其现在看起来来自其他地方，例如来自银行，并提供虚假指令，如果遵循这些指令，将危及您的数据的安全性。

11、间谍软件

　　这是一种“恶意软件”，它被编程为在计算机上不被注意到，并将数据悄悄地发送给黑客。

12、捕鲸

　　网络钓鱼针对组织管理层的高层，由黑客追求经济利益或更多地参与政治事业。捕鲸可用于收集有关个人的敏感或极度尴尬的信息，例如工资，奖金，私人地址，电子邮件和电话号码。

13、白帽

　　黑客将自己的技能用于社会福利，或通过揭露其IT系统中的漏洞帮助组织。这是一顶黑帽子的反面。

14、漏洞

​ 漏洞是指信息系统中的软件、硬件或通信协议中存在的缺陷或不适当的配置，
从而可使攻击者在未授权的情况下访问或破坏系统，导致信息系统面临安全风险。
常见漏洞有SQL注入漏洞、弱口令漏洞、远程命令执行漏洞、权限绕过漏洞等。

15、恶意程序

恶意程序是指在未经授权的情况下，在信息系统中安装、执行以达到不正当目的的程序。

按恶意程序的主要用途分类

1.特洛伊木马

特洛伊木马（简称木马）是以盗取用户个人信息、远程控制用户计算机为主要目的的恶意程序，通常由控制端和被控端组成。由于它像间谍一样潜入用户的计算机，与战争中的“木马”战术十分相似，因而得名木马。按照功能，木马程序可进一步分为盗号木马、网银木马、窃密木马、远程控制木马、流量劫持木马、下载者木马和其他木马7类。

盗号木马是用于窃取用户电子邮箱、网络游戏等账号的木马。

网银木马是用于窃取用户网银、证券等账号的木马。

窃密木马是用于窃取用户主机中敏感文件或数据的木马。

远程控制木马是以不正当手段获得主机管理员权限，并能够通过网络操控用户主机的木马。

流量劫持木马是用于劫持用户网络浏览的流量到攻击者指定站点的木马。

下载者木马是用于下载更多恶意代码到用户主机并运行，以进一步操控用户主机的木马。

2.僵尸程序

僵尸程序是用于构建大规模攻击平台的恶意程序。按照使用的通信协议，僵尸程序可进一步分为IRC僵尸程序、HTTP僵尸程序、P2P僵尸程序和其他僵尸程序4类。

3.蠕虫

蠕虫是指能自我复制和广泛传播，以占用系统和网络资源为主要目的的恶意程序。按照传播途径，蠕虫可进一步分为邮件蠕虫、即时消息蠕虫、U盘蠕虫、漏洞利用蠕虫和其他蠕虫5类。

4.病毒

病毒是通过感染计算机文件进行传播，以破坏或篡改用户数据，影响信息系统正常运行为主要目的的恶意程序。

5.勒索软件

勒索软件是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。勒索软件通常会将用户数据或用户设备进行加密操作或更改配置，使之不可用，然后向用户发出勒索通知，要求用户支付费用以获得解密密码或者获得恢复系统正常运行的方法。

6.移动互联网恶意程序

移动互联网恶意程序是指在用户不知情或未授权的情况下，在移动终端系统中安装、运行以达到不正当的目的，或具有违反国家相关法律法规行为的可执行文件、程序模块或程序片段。按照行为属性分类，移动互联网恶意程序包括恶意扣费、信息窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈和流氓行为8种类型。

7.其他

传输层TCP SYN Flood攻击

SYN报文是TCP连接的第一个报文，攻击者通过大量发送SYN报文，造成大量未完全建立的TCP连接，占用被攻击者的资源。----拒绝服务攻击

1，代理防火墙--- 每目标IP代理阈值，每目标IP丢包阈值
2，首包丢包
3，SYN cookie恶意程序--- 一般会具备一下的多个或全部特性

ICMP（Internet Control Message Protocol）攻击

ICMP攻击是一种利用网络控制消息协议进行攻击的手段。

ICMP攻击的基本原理是通过发送特定类型和代码的ICMP消息来干扰目标系统。

常见的ICMP攻击类型：

ICMP泛洪攻击：攻击者发送大量的ICMP请求给目标系统，导致目标系统过载，无法正常处理合法的网络请求。
ICMP回显请求攻击：攻击者发送大量的ICMP回显请求（Ping请求），使目标系统过载，降低网络性能。
ICMP不可达攻击： 攻击者发送虚假的ICMP不可达消息，告诉目标系统某个目的地不可达，可能导致网络中断或延迟。
ICMP重定向攻击： 攻击者发送虚假的ICMP重定向消息，欺骗目标系统改变其路由表，导致流量被重定向到恶意的路径。
ICMP片段攻击： 攻击者发送异常的ICMP片段，可能导致目标系统处理异常，甚至崩溃。
防御ICMP攻击的方法包括：

过滤ICMP流量： 可以使用防火墙或其他网络设备过滤不必要的ICMP流量，减少攻击表面。
启用反洪水措施： 通过配置设备以限制ICMP请求的速率，可以减轻泛洪攻击的影响。
更新系统和设备： 及时更新系统和网络设备，以修补已知的漏洞，减少被攻击的可能性。
网络监控： 定期监控网络流量，及时检测并应对异常的ICMP活动。

网络基本攻击模式包括：

恶意软件攻击： 通过病毒、蠕虫、木马等方式侵入系统，破坏或窃取信息。
网络钓鱼攻击： 通过伪装成可信实体，诱导用户泄露敏感信息，如密码、账号。
拒绝服务攻击（DoS）： 通过洪水式请求，使目标系统无法正常提供服务。
密码攻击： 尝试破解密码，获取未授权访问。
未经授权访问： 利用漏洞或弱点获取系统、网络未授权的访问权限。
零日漏洞攻击： 利用尚未修补的漏洞，进行未经授权的访问或攻击。
社交工程攻击： 通过欺骗、诱导或胁迫等手段，获取信息或权限。
无线网络攻击： 利用无线网络漏洞，获取未经授权的访问权限。
物联网（IoT）攻击： 利用IoT设备的弱点，入侵网络或操控设备。
数据泄露： 由于配置错误或不当操作导致敏感数据泄露。

恶意程序一般特性：

1，非法性
2，隐蔽性
3，潜伏性
4，可触发性
5，表现性
6，破坏性
7，传染性--- 蠕虫病毒的典型特点
8，针对性
9，变异性
10，不可预见性