信息安全实用手册笔记
信息安全实用手册笔记
信息安全原则和策略
1、CIA 三元组
机密性(Confidentiality)完整性(Integrity)可用性(Availability)
2、AAA 法则
认证(Authentication)、授权(Authorization)、审计(Accounting )
认证属于事前防御,授权属于事中防御,审计属于事后防御。AAA
可问责性:用户对符合与违反行为进行负责。
不可否认性:不可否认性指发生事件的主体无法否认自己 所发生的行为事件。不可否认性是可问责性的基础。
数据分级
(1)绝密(topsecret) ——属于最高级别的分类。表示未授权而泄露绝密数据将会有灾难性的后果,并导致对国家安全的毁灭性破坏。
(2)秘密(secret) ——用于具有受限特性的数据。未授权而泄露秘密数据将会有严重后果, 并导致对国家安全的重大破坏 。
(3)机密(confidential) ——用于具有机密特性的数据。未授权而泄露机密数据将会有重大后果,并导致对国家安全的严重破坏。这个分类级别被用于处在 “秘密” 级别和 " 敏感但非机密 " 级别之间的所有数据。
(4)非机密(unciassified) ——最低的分类级别。用于既不敏感,也不必分类的数据。非机密数据的泄露 既不会危及机密性,也不会造成任何明显的损坏。
(1)机密——最高的分类级别,用于极端敏感的和只能内部使用 的数据。如果机密数据被泄露, 那么会对公司产生重大的负面影响
。有时也用标签 " 专有数据" 来替代标签 " 机密信息"。如果专有数据被泄露, 将会对组织的竞争力产生灾难性后果 。
(2)隐私——用于具有隐私性或个人特性以及只供内部使用 的数据。如果隐私性数据被泄漏, 那么会对公司或个人产生重大的负面影响
(3)敏感——用于分类级别高于公开数据的数据。如果敏感数据被泄漏,那么会对公司产生负面影响。
(4)公开——最低的分类级别,用于不属于任何一种较高分类级别的所有数据。这种数据的泄漏不会对组织造成严重的负面影响。
3、区域划分
1、红区:此区域为存放公司绝密,机密信息的区域,通常只有少数人有权限访问,一般承载公司机密研发数据,客户人员信息资料等;此区域信息泄露往往会带来灾难性影响。常见系统如git,svn,sap,AD,等。
2、黄区:用于存放公司重要信息的区域,但机密性较红区低,一般承载公司研发普通数据,测试数据等。此区域发生信息泄露不会带来灾难性损失,但会给组织内工作的损失。常见系统如oa,crm,srm,exchange
等系统
3、通用区:用于存放公司普通信息的区域,机密性属于最低级别,一遍承载公司的边缘数据,测试数据,此区域发生信息泄露不会带来损失,只会给组织内工作带来轻微损失。常见为公司内测试系统。
1、外网区: 外网区提供内外网转发服务,如上网,服务器映射,负载均衡等服务。常见设备有防火墙,上网行为管理,负载均衡,IPS。
2、DMZ 区: demilitarized zone
的缩写,中文隔离区,顾名思义主要用于隔离,给内外网提供一个缓冲中转区,常见的web服务器,文件中转服务器,WAF等。
3、内网接入区: 用于提供用户接入的区域,此区域通常是用户PC,笔记本等终端,此区域通常在企业内部,与DMZ和外网区隔离。
4、内网服务器区: 此区域用户存放内部服务器,用于给用户提供内网服务,在此设备常见设备有服务器,存储,服务器网络设备。
网络安全防护
构建自己的防御体系
信息安全保护模型
1、 WPDRRC 模型
WPDRRC我国八六三信息安全组设计出适合中国信息安全系统和保障体系的模型,这个模型包括六个部分3个要素,预警,保护,检测,响应,恢复,反击。三个要素包含:人员,策略和技术,落实在WPDRRC 6 个环节的各个方面,将安全策略变为安全现实。
2、P2DR 模型
P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型,策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。通过防护检测和响应组成一个完整动态的安全闭环,在安全策略的指导下保证信息系统的安全。主要包括以下几个内容:
策略:网络安全策略一般包括总体安全策略和具体安全策略2个部分。
防护:是指对系统脆弱性进行加固,常见防护加固手段包括数据加密,身份认证,访问控制,认证授权,VPN,代理,准入网关,防火墙,漏洞评估扫描,备份容灾等。
检测:是对防护系统的补充,常用防护手段包括 IDS,IPS,流量分析,HIDS,杀毒扫描等。
响应:是对威胁的处理,响应包括应急响应,恢复处理,恢复处理又包括系统恢复和信息恢复。
构建自己防御体系的三个重点
1、资产梳理环节
对资产进行梳理,对不同的保护对象应给予不同的保护等级措施
2、人员分工
应对安全人员进行明确分工,明确工作职责和范围,同时应让所有参与防范威胁活动的人员了解整体的方向和策略,有助于大家之间的工作协调性
3、对攻击阶段进行防范
针对性的对攻击进行防范。可以根据黑客攻击的不同阶段,建立防护屏障和机制来构建自己的防御体系
针对信息收集环节的防御
1、线下防御
对办公区域的接入层进行准入认证,防止非法人员利用有线无线等方式接入内网进行收集。
对公司进出人员进行检查登记,防止利用物理入侵方式进入公司。对机房进出应进行更严格的管控,条件允许的情况下应做到及时告警。
2、网络设备防御
引入IPS/IDS ,WAF等系统对外部的嗅探进行监视和阻断。
对防火墙/路由器等网关设备进行例行检查,防止运维人员误操作导致内网暴露在公网。
在网络各个区域中都部署蜜罐,诱捕和误导收集人员收集的信息。
3、软件防御
利用漏洞评估系统和HIDS定期对发布的网站系统中间件等进行漏洞和配置检查,并及时修复相关漏洞。
4、业务系统防御
关闭外部不必要的网站和业务系统,加固或隐藏应用&中间件信息&管理后台信息。
对外域名在无特殊要求下应尽量使用复杂的域名避免DNS爆破。
VPN 等与内网有直接交互的系统应重点防护,做到定期补丁,加强身份准入认证,有条件可引进零信任解决方案。
5、加强安全意识
设定密码复杂度要求,引入多因子认证避免,防止暴力破解。
定期对公司存在于互联网上的人员信息,如邮件,社交网络进行审查,对存在隐患的及时通知用户进行删除。
提高人员安全意识,避免打开钓鱼邮件和恶意链接。另外提高安全人员自身的职业道德素养,例如密码使用密码管理器来保管(如keepass这类工具),登陆使用跳板机登陆管理系统。
一旦信息被黑客掌握该如何防御?
1、加强入侵检测
利用IPS/IDS 和杀毒软件或XDR等的软硬件级别IPS对网络入侵行为进行检测,重点关注一些高危告警如webshell,严重级别的操作系统漏洞利用,黑客工具,穿墙代理vpn流量的检测,并对此类做阻断处理,并及时上报SOC,生成攻击者IP名单。
2、减少对外暴露
防火墙等访问控制产品应严格限制区域之间端口策略,减少攻击 面暴露,采用流量单向能一定程度削弱内网横向移动能力。对一些拥有集中权限管理的服务器严格控制访问进出流量,如HIDS,AD,杀毒,EDR,蜜罐只允许被访问,不允许主动访问出去,对ansible,nessus 这类应用只允许访问出去,不允许被白名单以外的IP对其访问。
对于备份网络应与内网完全隔离,在无法做到物理隔离的情况下应确保备份管理后台只允许白名单IP访问或者隐藏其IP。
3、严控内网接入
远程办公使用多因子VPN,避免字典爆破,有条件使用零信任技 术对访问的终端持续检测,判断其合法性。
内网接入使用准入技术,通过802.1x和流量分析等技术对接入的 终端进行检测和控制。
4、应对入侵
在发现威胁以后,SOC应与杀毒软件的防火墙,硬件防火墙,主 机的IDS的防火墙做联动。
针对AD的攻击,需加强AD管理员账号的管控,做到账号异常登 陆告警,组策略修改告警,同时针对AD的访问控制应做到单向,也就是说只允许访问AD,不允许AD主动访问其它IP,这样可以在AD 沦陷的情况下,攻击者利用AD横向移动于内网各个区域。
部署网络和文件蜜罐,对尝试攻击的进行诱捕,甚至反制。
5、定期检查演练
定期对主机进行基线检查,发现潜在的后门和系统脆弱项。
周期性的攻防演练对提升安全能力也是重要手段。
除了上面说的建立防御措施,还需要建立告警机制和响应机制, 一旦入侵来临,方可忙而不乱。
建立配套的告警机制、响应机制
1、告警机制
建立一套完善的安全日志平台
通过统一化日志采 集,可以将防火墙,WAF,HIDS, IPS, IDS,AD,windows,linux 流量 分析等日志统一采集并处理,并且elk支持restful接口,在restful 接口模式下直接使用sql语句对日志进行分析处理,这可以快速的实现日志的过滤搜索,也可以对告警内容进行过滤,避免海量的日志, 另外可以根据自己需要输出的报表。
2、响应机制
在得到日志中心的报警以后如何进行下一步呢?
首先我们想到的是找到攻击源,发现攻击路径,进而找出源IP,并加入黑名单,必要时可能采取断网方式处理。
目前许多防火墙都是支持restful api或netconf,因此这给实现自动化阻断攻击提供了很好的条件。
我们可以通过生成IP黑名单(注意需排除白名单IP,防止黑客变换源IP导致误杀正常业务),然后再自动写入硬件防火墙,或软件防 火墙,从而实现IP的阻断。
外网区的防护
1、优先考虑白名单
对于发布的业务确定访问范围,看是否采取IP白名单方式,若不 能采取IP白名单,也可采取地区白名单
2、尽量减少对外端口
减少对外开放端口和发布业务,缩小攻击面,尽可能避免直接映射IP
3、部署防御软件
部署IPS,IPS能很好的对一些自动化攻击进行过滤阻断,可以防御 系统漏洞的攻击,病毒文件,黑客工具,后门流量,但是由于许多网站目前都启用ssl解密,因此IPS如果能发挥其效果,需要做ssl证书卸载。
部署WAF,将DMZ或内网网站通过其统一发布,可以有效阻止大部分自动化扫描和攻击,包括各种注入攻击,XSS,CSRF,webshell,禁止访问管理后台,文件上传攻击,反爬虫等。
DMZ 区域的防护
1、区域隔离
DMZ 是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
2、HIDS 入侵检测
IDS 是基于主机的入侵检测,运行在服务器上的,可以从系统或应用层面可准确判断服务器是否被入侵成功,这点能避免IPS、IDS即便拦截了但是无法判断是否入侵成功的问题。
3、微隔离
利用微隔离技术能对DMZ区域下的服务器进行访问权限控制,从而避免一台服务器入侵,DMZ其它全遭殃,对于DMZ访问内网的策略需要定期审查,判断流量,应用识别是否异常。下图为微隔离部署结构图:
内网接入区的防护
1、根据终端类型配置准入策略
对于不同的终端类型需要设置不同的准入控制策略。对于PC,最常用的方式采用802.1x认证,portal, mac等认证等,802.1x有多种方式包括,主要分为三种,密码认证,证书认证,密码+终端准入,其中最安全的是密码+终端准入。
2、零信任技术
零信任技术是为了解决上述认证仍存在证书认证麻烦、 密码认证简单、涉及radius和准入设备的对接等问题。
零信任是把传统的区域安全概念弱化,通过安全定义边界来重新定 义安全,所以对于企业来说以后会弱化内网的概念,统一认为内网和 外网都是不安全的。零信任策略七要素:
零信任技术上分为两种。一种是web代理网关模式的零信任模式,类似WAF;另外一种是基于流量转发的模式,这种类似vpn。
内网服务器区的防护
1、安全分级
需要定义不同服务器的安全等级,从而划分不同区域制定相应的不同策略来实现区域之间的隔离和管控。
2、安装防御软件
服务器原则上都应安装杀毒软件或HIDS,部分场景下杀毒软件可能影响性能只能选用HIDS,杀毒软件启用IPS,可以对RCE,扫描方式的
攻击进行阻断,结合软件防火墙,可以实现全网一键式阻断攻击源的继续渗透;HIDS可以实现对服务器异常登陆,后门,提权,异常命令的检测,实现威胁的精确定位。利用HIDS的基线检查对服务器密码,系统配置,系统和应用漏洞进行检查,可以有效对服务器进行加固。
3、权限最小化
服务器的应用权限需遵循最小化原则,避免使用管理员账号启动应用,应用的管理后台和业务接口最好实现分离,管理页面需做白名单管控;对于域管理员账号的使用尤其谨慎,避免在普电脑上登陆而导致密码泄露,域管理员的登陆和使用都应做重点监控告警。组策略正常情况下相对稳定,因此组策略的调整都应做到及时告警审计,避免非法修改组策略导致全员受影响。
终端防护、补丁漏洞管理、邮件安全
1、终端防护
终端安全管理的目的是实现威胁的发现,自动阻断,保障用户的数据和隐私安全。
2、补丁漏洞管理
建立补丁漏洞管理机制,明确补丁管理和修复对象。包括操作系统漏洞和应用系统漏洞、安全产本身的漏洞。
3、邮件安全
目前相对成熟的做法是采用安全邮件网关,采用邮件网关模式提供 统一的对外收发窗口,从入口测对邮件内容进行威胁识别,对存在威胁的邮件直接阻断,从而避免企业用户接收到恶意邮件。
网络安全威胁类型
计算机病毒
1、计算机病毒如何展开攻击的?
一旦病毒成功附加到程序、文件或文档,病毒就会处于休眠状态,直到环境导致计算机或设备执行其代码。为了让病毒感染您的计算机,您必须运行受感染的程序,这反过来会导致病毒代码被执行。
这意味着病毒可以在您的计算机上保持休眠状态,而不会出现重大迹象或症状。但是,一旦病毒感染了您的计算机,该病毒就会感染同一网络上的其他计算机。窃取密码或数据、记录击键、破坏文件、向您的电子邮件联系人发送垃圾邮件,甚至接管您的机器,这些只是病毒可以做的一些破坏性和令人恼火的事情。
2、计算机病毒是如何传播的?
在一个不断连接的世界中,有多种方式感染计算机病毒,其中一些方式比其他方式更明显。病毒可以通过电子邮件和短信附件、互联网文件下载和社交媒体诈骗链接传播。您的移动设备和智能手机可能会通过下载不正当的应用程序感染移动病毒。病毒可以伪装成社交共享内容的附件,例如有趣的图像、贺卡或音频和视频文件。
3、计算机病毒类型
1.引导扇区病毒当您启动或引导您的计算机时,这种类型的病毒可以控制。它可以传播的一种方法是将受感染的 USB 驱动器插入您的计算机。
2.网页脚本病毒:这种类型的病毒利用网络浏览器和网页的代码。如果您访问这样的网页,病毒就会感染您的计算机。
3.浏览器劫持者:这种类型的病毒会“劫持”某些网络浏览器功能, 您可能会被自动定向到一个非预期的网站。
4. 常驻病毒:这是将自身插入计算机系统内存中的任何病毒的通用术 语。驻留病毒可以在操作系统加载时随时执行。
5. 直接作用病毒:当您执行包含病毒的文件时,这种类型的病毒就会 起作用。否则,它仍然处于休眠状态。
6. 多态病毒:每次执行受感染的文件时,多态病毒都会更改其代码。 它这样做是为了逃避防病毒程序。
7.文件感染病毒:这种常见的病毒将恶意代码插入可执行文件 — —用于在系统上执行某些功能或操作的文件。
8. 多方病毒:这种病毒以多种方式感染和传播。它可以感染程序文件和系统扇区。
9.宏病毒:宏病毒是用与软件应用程序相同的宏语言编写的。当您打开受感染的文档时,此类病毒通常会通过电子邮件附件传播。
4、计算机病毒如何防御
1、安装防病毒软件,并定期运行病毒扫描。
2、让系统和软件保持更新状态
3、定期备份电脑数据
4、使用强密码策略
5、避免点击可疑链接
6、使用安全设备对存在病毒流量的请求进行拦截
网络钓鱼
网络钓鱼是另一种不直接针对网站的攻击方法,但我们也不能将其 排除在外,因为它仍然会损害您系统的完整性,网络钓鱼是一种社会工程攻击,通常用于窃取用户数据,包括登录凭据和信用卡号码。
1、攻击方式
网络钓鱼尝试中使用的标准工具是电子邮件。。钓鱼邮件指利用伪装 的电邮,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样, 如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、 账户名称及密码等而被盗取。
另一种是鱼叉式网络钓鱼,针对特定的个人或企业,而不是随机的应用程序用户。这是一种更深入的网络钓鱼版本,需要有关组织的特殊知识,包括其权力结构。
2、网络钓鱼的预防
1、定期对企业员工进行安全宣传,提高员工的安全防范意识。
2、多因素认证:多因素身份认证MFA可以显著减少某些类型的网络钓鱼攻击。您的密码可能会意外被盗用,但辅助身份验证方法可以使您免遭进一步的攻击。
3、信誉服务:根据URL的来源建议、阻止或允许内容。黑名单服务将阻止来自已知恶意域的电子邮件,而白名单服务将只允许来自先前验证或授权域的内容。灰名单服务将首先拒绝电子邮件,稍后通过服务器请求副本来进一步确认当时无法识别的电子邮件地址的合法性。
4、使用安全邮件网关:如发件人策略框架(SPF)、域密钥识别邮件(DKIM)、基于域名的消息身份验证、报告和一致性(DMARC)等网络钓鱼标准有助于保护域免受欺骗。启用这些后,接收者可以验证声称来自特定域的电子邮件的真实性。
5、安全设备/软件:端点安全和网络安全工具(如防病毒、端点 检测和入侵检测)是对抗网络钓鱼攻击(如DDoS、窃听、中间件和缓冲区溢出攻击)的一些最重要的工具。
漏洞利用
漏洞利用是利用漏洞导致意外行为或未经授权访问敏感数据的一 段软件、数据或命令序列 。一般是利用操作系统、软件、计算机系 统、物联网(IoT) 设备等其中的安全漏洞。
1、漏洞披漏
一旦漏洞被披露出来,可能受攻击的系统或软件的软件开发人 员能第一时间知道,并且通常通过补丁修复并变得无法使用。这些被称为已知漏洞,因为安全研究人员知道并记录在案,针对已知漏洞通 常已经修补,但由于修补缓慢,仍然是一个可行的威胁
2、漏洞分类
硬件:加密不佳、缺乏配置管理或固件漏洞。
软件:内存安全违规(缓冲区溢出、过度读取、悬空指针)、输入验证错误(代码注入、跨站点脚本(XSS)、目录遍历、电子邮件 注入、格式字符串攻击、HTTP 标头注入、HTTP 响应拆分、SQL 注入)、特权混淆错误(点击劫持、跨站点请求伪造、FTP 反弹攻击)、 竞争条件(符号链接竞争、检查时间到使用时间错误)、侧通道攻击、 定时攻击和用户界面故障(责备受害者、竞争条件、警告疲劳)。
网络:未加密 的通信线路、中间人攻击、域名劫持、假冒域名、网络安全性差 、缺少身份验证或默认密码。
人员:招聘政策和流程不佳、缺乏安全意识培训、 信息安全政策遵守不力、密码管理不善或陷入常见的 社会工程 攻击,如 网络钓鱼、 鱼叉式网络钓鱼、借口、蜜饯、Smishing(短信息钓鱼)、水坑或捕鲸。
物理站点:物理安全性差、尾随和缺乏钥匙卡访问控制。
3、漏洞利用的攻击方式
远程攻击:通过网络工作并利用漏洞,而无需事先访问易受攻击的系统
本地漏洞利用:需要事先访问易受攻击的系统,并增加攻击者的权限,使其超过安全管理员授予的权限。
客户端漏洞利用:存在针对客户端应用程序的漏洞利用,通常由经过修改的服务器组成,这些服务器在使用客户端应用程序访问时会发送漏洞利用。他们可能还需要用户的交互,并依赖网络钓鱼或鱼叉式网络钓鱼等社会工程技术来传播或广告软件。
通常,漏洞利用旨在破坏软件或系统的机密性、完整性或可用性(CIA 三元组)
4、漏洞利用如何防御
1、定期漏洞检查,对存在漏洞的系统或应用进行补丁修复。
2、引入IPS,WAF 等安全设备对访问流量进行防护,起到热补丁的作用。
3、引入SDL(安全开发生命周期),从软件开发过程就严格规范,降低代码出现漏洞的概率。
4、减少不必需要的端口暴露,降低攻击面。
暴力破解
1、暴力破解的类型
简单的暴力破解——使用系统的方法来“猜测”,不依赖于外部 逻辑。
混合暴力破解——从外部逻辑开始确定哪种密码变体最有可能成功,然后继续使用简单的方法尝试许多可能的变体。
字典攻击——使用可能的字符串或短语的字典来猜测用户名或密 码
彩虹表攻击——彩虹表是用于反转加密哈希函数的预计算表。它可用于猜测由一组有限字符组成的特定长度的函数。
反向暴力破解——对许多可能的用户名使用通用密码或密码集合。针对攻击者先前已获取数据的用户网络。
凭据填充——使用以前已知的密码-用户名对,针对多个网站进行尝试。利用许多用户在不同系统中具有相同用户名和密码的事实。
2、常见暴力破解工具
Hydra:快速遍历大量密码组合,无论是简单的暴力破解还是基于字 典的密码组合。它可以攻击超过 50 种协议和多个操作系统。Hydra是一个开放平台;安全社区和攻击者不断开发新模块。
Aircrack-ng:可在 Windows、Linux、iOS 和 Android 上使用。它使用广泛使用的密码字典来破坏无线网络。
John the Ripper:可在 15 个不同的平台上运行,包括 Unix、Windows 和 OpenVMS。使用可能的密码字典尝试所有可能的组合。L0phtCrack:破解 Windows 密码的工具。它使用彩虹表、字典和多处理器算法。
Hashcat:适用于 Windows、Linux 和 Mac OS。可以执行简单的蛮力攻击、基于规则的攻击和混合攻击。
DaveGrohl:一个用于破解 Mac OS 的开源工具。可以分布在多台计算机上。
Ncrack:破解网络认证的工具。它可以在Windows、Linux 和 BSD 上使用。
3、如何预防暴力破解?
作为管理员,您还可以实施一些方法来保护用户免遭暴力破解密码:
锁定策略——您可以在多次登录尝试失败后锁定账户,然后以管理员身份解锁。
渐进式延迟——您可以在登录尝试失败后锁定账户一段有限的时间。每次尝试都会使延迟变长。
验证码——reCAPTCHA等工具需要用户完成简单的任务才能登录系统。用户可以轻松完成这些任务,而暴力破解工具则不能。
需要强密码——您可以强制用户定义长而复杂的密码。您还应该强制定期更改密码。
双重身份验证——您可以使用多个因素来验证身份并授予对账户的访问权限。
DDoS
1、DDoS 三种类型
基于卷
包括 UDP 泛洪、ICMP 泛洪和其他欺骗性数据包泛洪。攻击的目 标是使被攻击站点的带宽饱和,并且幅度以每秒比特数 (Bps)为单 位。泛洪就是洪水泛滥的意思,英文Flood,形象描述通过洪水般的恶意访问流量。
基于协议
包括 SYN 泛洪、分段数据包攻击、PingofDeath、SmurfDDoS 等。这种类型的攻击消耗实际的服务器资源,或中间通信设备的资源,例如防火墙和负载均衡器,并以每秒数据包数 (Pps) 为单位。
基于应用层
包括HTTP GET/POST Flood、针对 Apache、Windows 或 OpenBSD漏洞的攻击等。这些攻击由看似合法和无辜的请求组成,其目标是使Web 服务器崩溃,其大小以每秒请求数 (Rps) 为单位。
2、DDoS 的防御
增加带宽
单独增加带宽不能完全防止DDoS攻击,但它确实可以提高系 统承受突发流量的能力,增加攻击者成功发起攻击前需要克服的门槛。
使用CDN和负载平衡
通过使用内容分发网络(CDN)和负载平衡技术,可以将流量分散到全球或国内多个数据中心,增强系统的可用性和弹性。这样,即便部分系统受攻击,其他部分仍能继续提供服务,减少攻击影响
防火墙和路由器配置
通过合理配置防火墙和路由器,比如丢弃无用的ICMP数据包,或阻止非法的DNS响应,可以有效减轻某些类型的DDoS攻击带来的影响。这些基本设置可以帮助拦截一些简单的攻击尝试。
3、部署Anti-DDoS 软硬件解决方案
网络和应用层防火墙:确保服务器由网络防火墙和Web应用程序 防火墙(WAF)保护,这可以防止不合法的流量进入系统。
负载平衡器:使用具备DDoS防护功能的负载平衡器,以分散流量压力。
专门的软件模块:安装并配置特定的服务器软件模块(如Apache 的mod_reqtimeout)来增强防御能力,这类模块能对某些攻击进行特定的防护。
4、部署专业的DDoS防护设备
配备专业的DDoS防护设备,如NetScout Arbor、Fortinet 等。这些设备可以在网络的最前端检测并阻止DDoS攻击,通过执行流量 行为分析和阻止异常流量等技术手段降低攻击风险。但需注意,这些设备的流量处理能力也有上限,因此在选择设备时应考虑其吞吐量是 否符合需求。
WEB攻击
几种常见的Web攻击类型:
1、 XSS(Cross-Site Scripting)
XSS(跨站点脚本)针对站点用户而不是Web 应用程序本身。恶意 黑客将一段代码插入易受攻击的网站,然后由该网站的访问者执行。该代码可能会破坏用户的账户、激活特洛伊木马或修改网站内容以诱 骗用户提供私人信息。
如何防御
1、过滤特殊字符,主要是将用户所提供的内容进行过滤。
2、使用HTTP 头指定类型,可以通过设置Web 应用程序防火墙 (WAF)来保护您的网站免受 XSS 攻击。WAF 充当过滤器,可识别和 阻止对您网站的任何恶意请求。
CSRF(跨站请求伪造)
CSRF 是一种 Web 安全漏洞,允许攻击者诱导用户执行他们不 打算执行的操作。它允许攻击者部分规避同源策略,该策略旨在防止不同网站相互干扰。成功的 CSRF 攻击中,攻击者会导致受害者用户无意中执行某项操作。
如何防御
1、增加CSRF TOKEN
2、增加SameSite cookie
3、SQL 注入
注入攻击方法直接针对网站和服务器的数据库。执行时,攻击者 插入一段代码,揭示隐藏的数据和用户输入,启用数据修改并通常危 及应用程序。
保护网站免受基于注入的攻击主要取决于您构建代码库的程度
1、在Java 中,可以使用预编译语句(PreparedStatement),这样即使使用 SQL语句伪造成参数,到了服务端的时候,这个伪造 SQL语句的参数也只是简单的字符,并不能起到攻击的作用。
2、对进入数据库的特殊字符('"\尖括号&*;等)进行转义处理,或编码转换。
3、在应用发布之前建议使用专业的SQL注入检测工具进行检测,以及时修补被发现的SQL注入漏洞。网上有很多这方面的开源工具,例如sqlmap、SQLninja 等。
122
4、避免网站显示SQL错误信息,比如类型错误、字段不匹配等,把代码里的SQL语句暴露出来,以防止攻击者利用这些错误信息进行SQL 注入。
4、FUZZING(模糊测试攻击)
模糊测试(Fuzzing),是一种通过向目标系统提供非预期的输入 并监视异常结果来发现软件漏洞的方法。其核心思想是将自动或半自动生成的随机数据输入到一个程序中,并监视程序异常。
Fuzzing 是把随机测试和边界测试技术、协议和软件知识、具体执行和试探性攻击结合在一起的技术方法。开发人员使用模糊测试来发现软件、操作系统或网络中的编码错误和安全漏洞。
对抗 fuzzing 攻击的最佳方法是更新安全和其他应用程序。对于带有更新的任何安全补丁尤其如此,如果没有进行更新,犯罪者就可以利用这些补丁。
5、目录遍历
目录遍历攻击以 Web 根文件夹为目标,以访问目标文件夹之外的未经授权的文件或目录。攻击者试图在服务器目录中注入移动模式以在层次结构中向上移动。成功的目录遍历可能会危及站点的访问、配置文件、数据库以及同一物理服务器上的其他网站和文件。
保护站点免受目录遍历攻击,重点在于输入清理。这意味着保持 用户的输入安全且不可服务器恢复。最直接的建议是构建代码库,以便用户的任何信息都不会传递到文件系统 API
6、中间人攻击
攻击者使用中间人类型的攻击来收集(通常是敏感的)信息。肇 事者在两方之间传输数据时截取数据。如果数据未加密,攻击者可以 轻松读取在Internet 上两个位置之间传输的个人、登录或其他敏感 详细信息。
防止中间人攻击的一种直接方法是在站点上安装安全套接字层 (SSL) 证书。该证书对在各方之间传输的所有信息进行加密,因此攻击者不会轻易理解它。通常,大多数现代托管服务提供商已经在其托 管包中提供了 SSL 证书。
7、Slowloris 慢速攻击
Slowloris 慢速攻击旨在通过占用服务器上的所有可用连接来使 其不可用,跟DoS、DDos有相似性,但不是通过发送大量数据包来消耗带宽,而是利用服务器的资源限制来达到目的。
如何防御
1、调整Web服务器的配置,限制单个连接的时间和资源占用;
2、使用专门的防火墙或入侵检测系统来监控连接状态,及时发现并且阻断慢速攻击;
3、更新和升级服务器软件以弥补针对慢速攻击的漏洞;
4、尽量减少HTTP连接的超时时间,及时释放被占用的连接资源。
网络安全产品
杀毒软件
杀毒软件不仅仅针对计算机病毒
杀毒软件,或杀毒软件(简称AV软件),也称反恶意软件,是一 种用于预防、检测和清除恶意软件的计算机程序。
1、沙盒检测
一种基于特定行为的检测技术,它不是在运行时检测行为指纹, 而是在虚拟环境中执行程序,记录程序执行的操作。根据记录的操作,防病毒引擎可以确定程序是否为恶意程序。
2、数据挖掘技术
应用于恶意软件检测的最新方法之一。给定一系列从文件本身提 取的文件特征,数据挖掘和机器学习算法用于尝试对文件的行为(恶 意或良性)进行分类。
3、基于签名的检测
传统的防病毒软件严重依赖签名来识别恶意软件。实质上,当恶 意软件到达防病毒公司手中时,恶意软件研究人员或动态分析系统会对其进行分析。然后,一旦确定是恶意软件,就会提取文件的正确签 名并将其添加到防病毒软件的签名数据库中。
4、RootKit 检测
防病毒软件可以尝试扫描 Rootkit。Rootkit的是一种类型的恶 意软件被设计成通过计算机系统,以获得管理级别的控制而不被发现。Rootkit 可以改变操作系统的运行方式,并且在某些情况下可以篡改 防病毒程序并使其失效。Rootkit 也很难删除,在某些情况下需要完全重新安装操作系统。
杀毒软件的实时保护
实时保护、按访问扫描、后台保护、驻留防护、自动保护和其他同义词是指大多数防病毒、反间谍软件和其他反恶意软件程序提供的自动保护。这会监视计算机系统是否存在可疑活动,例如计算机病毒、间谍软件、广告软件和其他恶意对象。实时保护检测打开文件中的威胁,并在应用程序安装在设备上时实时扫描这些应用程序。插入 CD、打开电子邮件或浏览网页时,或者打开或执行计算机上已有的文件时。
下一代防火墙(NGFW)
传统防火墙我们更多的是用访问控制,VPN,NAT等功能,但是下一代重点是在他的应用层安全能力,通常集成了应用控制,IPS,WAF,网关杀毒,邮件安全, 沙箱,加密流量检测,安全情报,安全中心,restful API等功能。
1、防火墙具备路由功能
解决了应用多线路发布的问题
2、基于状态的防火墙
现在防火墙基本都是状态防火墙,什么意思呢,就是防火墙会根 据每一个流量的五元组,源IP,源端口,目标IP,目标端口,协议创建一个会话,会话作为一种状态,是阻断还是允许,会有状态的生 存时间,如果流量持续流动,那么这个状态会持续的刷新。
3、部署下一代防火墙的注意点
1、首先评估好需要的功能,因为下一代防火墙的功能实在是丰富, 可能许多功能用户并不需要。
2、其次评估好需要保护的流量大小,来选择购买合适的防火墙, 通常下一代防火墙有应用层吞吐量(网络接口的上下行带宽总和)的指标,所以购买时应跟渠道确认好性能是否满足。
3、尽可能使用bypass 卡,防止业务中断。
4、配备SSD来存储防火墙的log,如果没有也尽可能将防火墙的 log 存入日志服务器,这对出问题时的排查是至关重要的。
5、配置策略时尽可能是权限最小化原则,单向原则,策略应设定 相应的有效期,备注描述。
6、目前大部分支持restful接口,可以基于此做策略开通的自动化,省去了人为的操作。
WEB 应用防火墙WAF
WEB应用防火墙 (WAF) 旨在提供7层应用层级别的防护,主要是对web类型的应用的保护,好比web应用的贴身保镖,waf的安全能力是强大的,可对SQL注入、XSS跨站、CSRF,获取敏感信息、利用开源组件漏洞 ,暴力破解,爬虫,0day,webshell进行防护。
原文地址:https://blog.csdn.net/chaotiantian/article/details/137914486
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!