2020年3月3日����,360安全大腦披露美國*情報局攻擊組織(APT-C-39)對我國大型互聯網公司����、**部門及相關企業進行長達11年的網絡攻擊滲透,該組織所使用的網絡武器和CIA“Vault7”項目中的網絡武器完全吻合����。如今隨著互聯網技術的蓬勃發展,網絡攻擊手段層出不窮���,如何較好的保護企業機密信息不被非法泄露�����,成為全世界科研人員共同的話題。
在互聯網設計初期,為了較好的對互聯網進行管理���,依照OSI標準�����,按照物理層��、數據鏈路層�����、網絡層�、傳輸層�、會話層、表示層和應用層對網絡進行了劃分���,網絡攻擊行為的發生�����,也是針對其中一層或多層的弱點進行展開的���。對此��,我們可以分析網絡各層不同的弱點分析存在的攻擊行為��,并總結防范手段�,對于我們的防范工作會有很好的借鑒意義:
一����、針對物理層的攻擊
針對物理層的攻擊方法就是比較暴力直接的攻擊方式,一般是針對其網絡硬件和基礎設施來進行物理破壞或者是強行改變路由器��,比如說要去攻擊一個公司����,就把他們公司的網線剪掉,讓他們無法訪問外網���。
防范手段:保護物理線路的可靠性��,對于物理設備的接入采用雙線�����、雙設備接入��,保證物理線路和物理設備的可靠性��,并處于監管的狀態�����。
二�����、針對數據鏈路層的攻擊
針對數據鏈路層的攻擊常見的是對基于mac地址的偽裝欺騙�����,在數據鏈路層有兩個重要的協議ARP(地址解析協議)和RARP協議(反向地址解析協議)���,常見的攻擊方式就是ARP欺騙(ARP偽裝),其攻擊原理為攻擊者利用自己偽造的mac地址來告訴被攻擊者自己是對方想要訪問的身份�,顯而易見這個身份是攻擊者自己偽造的,從而欺騙被攻擊者將數據流量轉發到自己偽造的身份地址上��,進而獲取數據��,達到欺騙的目的���。
防范手段:對于系統和通信網絡中關鍵的設備進行ARP地址綁定�����,可以在Windows中輸入arp-s gate-way-ip gate-way-mac固化ARP表���,也可以通過安裝ARP防護軟件-ARPGuard��,對ARP信息進行防護�����。
三����、針對網絡層的攻擊
針對網絡層的攻擊也是目前互聯網上常見的幾種主要的攻擊方式����,如Smurf攻擊(通過將回復地址設置為受害網絡的廣播地址,使用數據包淹沒目標主機)����、ICMP路由欺騙攻擊、IP分片攻擊�、ping of death(死亡之ping)、IP欺騙偽造攻擊�,其通性都是通過制造大量的無用數據包�,對目標服務器或者主機發動攻擊�����,使得目標對外拒絕服務����,可以理解為DDOS或者是類DDOS攻擊����。
防范手段:可以通過擴大帶寬并部署DDOS防御系統來防御拒絕攻擊,對于攻擊發生過的IP和確認安全的IP�,可以通過設置*墻上IP白名單和黑名單對通信主機的地址進行限制、綁定���,防止欺騙行為的發生����。
四����、針對傳輸層的攻擊
針對傳輸層的攻擊主要是利用TCP/UDP協議進行攻擊,而利用TCP協議攻擊主要是利用TCP協議的三次握手機制�����,向目標主機或者服務器發送大量連接請求但是不對其進行響應,使得占用大量目標服務器主機資源����,造成癱瘓的攻擊方式,常見的攻擊方式由Flooding洪泛攻擊�、ACK flooding洪范攻擊等,而利用UDP的攻擊主要是利用流量攻擊��,使用UDP的不可靠性����,大量發送數據包,造成目標拒絕服務的目的�,常見的攻擊方式有UDP flooding洪泛攻擊。
防范手段:在這里也可以通過部署抗DDOS防御系統進行防護����,并擴大帶寬,對數據包進行篩選�、防護。
五���、針對會話層的攻擊
針對會話層的攻擊主要是利用或者竊取合法用戶的cookie和session�����,然后冒用或者利用合法用戶的身份�,以達到非法授權訪問的目的,其主要攻擊目標為攻擊cookie和token���,常見的攻擊方式有XSS(跨站腳本攻擊)和CSRF(跨站請求偽造)�。
防范手段:針對會話層的攻擊防范�,主要是針對用戶登錄的cookie信息進行利用或盜取。為減少并防止該類攻擊事件的發生���。首先是應當在用戶登錄時,可采用雙因子的認證方式���,確認用戶信息���,并在cookice設置中啟動httponle屬性,并在代碼層面添加隨機產生的token認證�����,認證用戶數據包信息�����,防止用戶身份認證信息被竊取并盜用。
六����、針對表示層的攻擊
針對表示層的攻擊主要是針對格式翻譯和數據處理來進行的,攻擊方式有Unicode攻擊和計算溢出攻擊����。
防范手段:在系統設計層面,應考慮擁有足夠充足的緩沖區�����,保證數據不會溢出被修改�����、覆蓋����。嚴格而控制服務器上文件和文件夾的權限,對登錄用戶和后臺管理人員的權限進行合理的分配���,防止服務器文件和文件夾被非法利用�。
七、針對應用層的攻擊
針對應用層的攻擊主要是針對應用程序的設計漏洞進行的對應用協議漏洞的攻擊����、對應用數據的攻擊、對應用操作系統平臺的攻擊等��。其方法包括未經審查的WEB方式的信息錄入��、應用權限的訪問控制被攻破�、身份認證和會話管理被攻破、跨站點的執行代碼漏洞�����、緩存溢出漏洞�、彈出漏洞����、錯誤處理不當、不安全存儲�����、拒絕服務、不安全配置管理等��。
防范手段:針對服務器的訪問控制權限進行嚴格劃分分配�����,防止管理員權限過大�,可以采用基于角色的訪問控制策略,保證用戶的較小特權化����。對服務器系統及時修補補丁,保證信息系統的一個安全狀態�,并對系統內用戶行為和安全事件進行審計記錄。
以上是針對OSI網絡七層的攻擊方式和防范方法的總結�,構建信息安全防御體系,不僅需要從安全技術角度進行挖掘����,還需要針對管理體系進行建設,華清信安除了提供安全技術支持����,也提供配套的安全管理制度建設方案,希望大家持續關注�。
http://www.lezhuanke.cc
