常見的漏洞掃描技術有以下這些:
基于應用的檢測技術:它采用被動的、非破壞性的辦法檢查應用軟件包的設置,發現安全漏洞。
基于主機的檢測技術:它采用被動的、非破壞性的辦法對系統進行檢測。通常,它涉及到系統的內核、文件的屬性、操作系統的補丁等。這種技術還包括口令解密、把一些簡單的口令剔除。因此,這種技術可以非常準確地定位系統的問題,發現系統的漏洞。它的缺點是與平臺相關,升級復雜。
基于目標的漏洞檢測:它采用被動的、非破壞性的辦法檢查系統屬性和文件屬性,如數據庫、注冊號等。通過消息文摘算法,對文件的加密數進行檢驗。這種技術的實現是運行在一個閉環上,不斷地處理文件、系統目標、系統目標屬性,然后產生檢驗數,把這些檢驗數同原來的檢驗數相比較。一旦發現改變就通知管理員。
基于網絡的檢測技術:它采用積極的、非破壞性的辦法來檢驗系統是否有可能被攻擊崩潰。它利用了一系列的腳本模擬對系統進行攻擊的行為,然后對結果進行分析。它還針對已知的網絡漏洞進行檢驗。網絡檢測技術常被用來進行穿透實驗和安全審記。這種技術可以發現一系列平臺的漏洞,也容易安裝。但是,它可能會影響網絡的性能。
XSS跨站腳本漏洞產生的原因是網站應用程序在編寫時未對用戶提交至服務器的數據進行合法性校驗,即沒有進行有效地特殊字符過濾,導致網站服務器存在安全風險,這就是XSS跨站腳本。
遠程代碼執行漏洞,用戶通過瀏覽器提交執行命令,由于服務器端沒有針對執行函數做過濾,導致服務器端程序執行一個惡意構造的代碼。
跨站請求偽造,即CSRF,攻擊者通過偽造來受信任用戶的請求,達到增加,輸出,篡改網站內容的目的。
在業務上出現邏輯問題導致的漏洞,通常不是程序員設計上出錯的問題,漏洞危害體現,被一些羊毛黨拿來利用。(業務漏洞)
邏輯漏洞,是因為代碼之后是人的邏輯,人更容易犯錯,是編寫完程序后隨著人的思維邏輯產生的不足。sql注入、xss等漏洞可以通過安全框架等避免,這種攻擊流量非法,對原始程序進行了破壞,防火墻可以檢測,而邏輯漏洞是通過合法合理的方式達到破壞,比如密碼找回由于程序設計不足,會產生很多問題,破壞方式并非向程序添加破壞內容,而是利用固有不足。這樣并不影響程序運行,在邏輯上是順利執行的。這種漏洞一般的防護手段或設備無法阻止,因為走的都是合法流量。也沒有防護標準。
由于網站運維人員疏忽,存放敏感信息的文件被泄露或由于網站運行出差導致敏感信息泄露(后臺地址,配置文件,數據庫備份文件,網站備份文件,phpinfo,svn/github,用戶信息泄露)
SQL注入漏洞產生的原因是網站應用程序在編寫時未對用戶提交至服務器的數據進行合法性校驗,即沒有進行有效地特殊字符過濾,導致網站服務器存在安全風險,這就是SQL Injection,即SQL注入漏洞
SSRF(Server-Side Request Forgery:服務器端請求偽造) 是一種由攻擊者構造形成由服務端發起請求的一個安全漏洞。一般情況下,SSRF攻擊的目標是從外網無法訪問的內部系統。(正是因為它是由服務端發起的,所以它能夠請求到與它相連而與外網隔離的內部系統)
XXE漏洞全稱XML External Entity Injection即XML外部實體注入漏洞,XXE漏洞發生在應用程序解析XML輸入時,沒有禁止外部實體的加載,導致可加載惡意外部文件,造成文件讀取、命令執行、內網端口掃描、×××內網網站、發起dos×××等危害。xxe漏洞觸發的點往往是可以上傳xml文件的位置,沒有對上傳的xml文件進行過濾,導致可上傳惡意xml文件。
通過該漏洞可以獲取系統文件及服務器的配置文件。利用服務器API,文件標準權限進行攻擊。
弱口令(weak password) 沒有嚴格和準確的定義,通常認為容易被別人(他們有可能對你很了解)猜測到或被破解工具破解的口令均為弱口令。有后臺管理員弱口令,用戶弱口令,主機系統弱口令(linux,win),路由器弱口令,交換機弱口令等等。
網站存在任意文件上傳漏洞,文件上傳功能沒有進行格式限制,容易被黑客利用上傳惡意腳本文件。
命令執行漏洞是指代碼未對用戶可控參數做過濾,導致直接帶入執行命令的代碼中,對惡意構造的語句,可被用來執行任意命令。
URL重定向漏洞,通過URL修改為指定惡意站點,攻擊者可以成功發起網絡釣魚詐騙并竊取用戶憑證。
文件包含漏洞多數情況出現在PHP中,當然JSP中也存在,文件包含分為本地包含與遠程包含。
根據PasswordManagers.co在108個國家\地區對惡意攻擊的頻率和他們自己的網絡安全水平總結出以下結論:
堡壘機有以下職責:
授權控制職責:創建并維護IT資產使用者及維護者的用戶體系,并進行授權管理和登錄管理,保障相關用戶的IT資產使用能力及運維能力。必須對企業眾多的IT資產進行清晰劃分,明確其使用者和維護者,并授予使用者和運維者相應的訪問和運維權限,使得使用者能夠合理利用IT資源的計算能力充分發揮IT資源的作用,運維者能夠有效的對IT資源進行運維操作。針對不同的IT資源、不同的使用人員和運維人員,制定并實施不同的訪問及運維策略,從而更有效地對IT資源進行訪問和運維,保障IT資源的安全。
訪問控制職責:作為IT資源連接和訪問的唯一入口,堡壘機需要能夠訪問不同類型的IT資源,需要能夠以不同的協議訪問不同的操作系統、數據庫、應用、網絡設備等IT資源。為滿足不同的使用場景和適應優劣各異的訪問者環境,堡壘機需要提供各種IT資源訪問方式,使得IT資源訪問者及運維者能夠免受環境限制,隨時隨地對IT資源進行訪問和運維。對于IT資源訪問者及運維者的訪問和運維行為,管理者需要可隨時監控、介入甚至終止,以確保訪問和運維行為安全、合規、可控。可以預見高危操作,并針對高危操作指定安全策略,保障IT資產安全,免受訪問和運維操作過程中的誤操作、惡意操作所破壞。
操作審計職責:堡壘機需要負責對訪問和運維IT資源的全過程進行審計,記錄審計日志,為操作事故的事后回溯和追責提供依據,為故障分析提供支撐。堡壘機需要為操作事故提供故障分析手段,可對操作過程審計日志進行全文檢索,快速查找并定位指令操作的時間點和上下文等內容,從而協助故障排除和系統能力恢復。
杜絕越權訪問職責:堡壘機明確賦予用戶權限,按照用戶管理權限劃分用戶操作權限,防止低權限用戶行駛高權限操作,給系統和數據造成不可修復的損傷,也防止黑客攻破系統低用戶權限后,對系統進行高危險操作。
阻止高危操作職責:堡壘機通過審查系統日志和識別用戶輸入的命令行等,根據用戶的權限分析用戶是否進行違規操作或違法操作。并通過事先設定的策略實現對某些高危操作如刪除數據庫等的命令阻止。
禁止賬號共用職責:堡壘機明確分配用戶角色權限,使得各個權限用戶只能行使本權限下的操作,避免了濫用權限做成的后果。
防止無法回溯職責:堡壘機通過記錄用戶操作對用戶操作進行錄像,事件發生后可第一時間查看錄像,第一為找出之前哪一步操作造成了事故的發生,更好更快的解決問題。第二為找到相關操作的責任人,并進行追責,防止下次再犯。
設計信息安全策略時九大原則如下:
最小特權原則:最小特權原則是信息系統安全的最基本原則。最小特權原則的實質是任何實體僅擁有該主體需要完成其被指定任務所必需的特權,此外沒有更多的特權。最小特權可以盡量避免將信息系統資源暴露在侵襲之下,并減少因特別的侵襲造成的破壞。
建立阻塞點原則:阻塞點就是在網絡系統對外連接通道內,可以被系統管理人員進行監控的連接控制點。在那里系統管理人員可以對攻擊者進行監視和控制。
縱深防御原則:安全體系不應只依靠單一安全機制和多種安全服務的堆砌,而應該建立相互支撐的多種安全機制,建立具有協議層次和縱向結構層次的完備體系。通過多層機制互相支撐來獲取整個信息系統的安全。在網絡信息系統中常常需要建立防火墻,用于網絡內部與外部以及內部的子網之間的隔離,并滿足不同程度需求的訪問控制。但不能把防火墻作為解決網絡信息系統安全問題的唯一辦法,要知道攻擊者會使用各種手段來進行破壞,甚至有的手段是無法想象的。這就需要采用多種機制互相支持,例如,安全防御(建立防火墻)、主機安全(采用堡壘主機)以及加強保安教育和安全管理,只有這樣才能更好她抵御攻擊者的破壞。
監測和消除最弱點連接原則:系統安全鏈的強度取決于系統連接的最薄弱環節的安全態勢。防火墻的堅固程度取決于它最薄弱點的堅固程度。侵襲者通常是找出系統中最弱的一個點并集中力量對其進行攻擊。系統管理人員應該意識到網絡系統防御中的弱點,以便采取措施進行加固或消除它們的存在,同時也要監測那些無法消除的缺陷的安全態勢,對待安全的各個方面要同樣重視而不能有所偏重。
失效保護原則:安全保護的另一個基本原則就是失效保護原則。一旦系統運行錯誤,當其發生故障必須拒絕侵襲者的訪問,更不允許侵襲者跨人內部網絡。當然也存在一旦出現故障,可能導致合法用戶也無法使用信息資源的情況,這是確保系統安全必須付出的代價。
普遍參與原則:為了使安全機制更為有效,絕大部分安全系統要求員工普遍參與,以便集思廣益來規劃網絡的安全體系和安全策略,發現問題,使網絡系統的安全設計更加完善。一個安全系統的運行需要全體人員共同維護。
防御多樣化原則:像通過使用大量不同的系統提供縱深防御而獲得額外的安全保護一樣,也能通過使用大量不同類型、不同等級的系統得到額外的安全保護。如果配置的系統相同,那么只要知道如何侵入一個系統,也就會知道如何侵入所有的系統。
簡單化原則:簡單化作為安全保護策略有兩方面的含義:一是讓事物簡單便于理解;二是復雜化會為所有的安全帶來隱藏的漏洞,直接威脅網絡安全。
動態化原則:網絡信息安全問題是一個動態的問題,因此對安全需求和事件應進行周期化的管理,對安全需求的變化應及時反映到安全策略中去,并對安全策略的實施加以評審和審計。首先,網絡本身具有動態性,其次,信息安全問題具有動態性,這些動態性都決定了不存在一勞永逸的安全解決問題。因此,網絡系統需要以動制動。一是安全策略要適應動態網絡環境發展和安全威脅的變化。二是安全設備要滿足安全策略的動態需要。三是安全技術要不斷發展,以充實安全設備。
企業數據安全管理的難點有以下這些:
認知不足:安全建設發展很多年,但數據安全確是剛剛起步,造成企業對數據安全重要性的認知不足。但隨著行業的不斷發展,現在已經逐漸改善。
管理思路:很多企業在進行數據安全治理時,注意力更多的集中在對外管理上,造成了“對外鐵桶一塊,對內千瘡百孔”。數據安全管理要解決的最突出的問題之一就是敏感數據的泄露,但造成數據泄露的原因很多情況下都是由于企業內部人員導致的。比如,企業內部人員權限過高導致違規訪問、內部人員繞開企業內容安全管控建設,直接登錄系統進而竊取信息等。對企業員工內控的忽視是造成安全風險的重要原因。
數據庫本身存在安全隱患:一般來說,很多企業的數據庫系統都會提供一些安全防護策略,這導致企業本身過度信賴數據庫的安全防護能力,而忽略掉它的安全漏洞,同時這些漏洞也可能是造成員工過度訪問的原因之一。
不明確自身網絡的風險:很多企業在進行數據安全防護之前完全不清楚自身面臨著哪些安全威脅,更有甚者不清楚自身有哪些數據庫、敏感數據存于何處、敏感數據的體量有多大、哪些員工擁有這些敏感數據的訪問和使用權限等。
難以持續性防護:企業在建立安全體系之后,很難實現持續性地安全防護,并進行常態化管理。很多企業在部署了安全廠商的安全設備和安全體系后,對于后續新增日常攻擊事件的梳理、日常攻擊行為的響應工作并沒有持續關注和妥善處理,虎頭蛇尾。
提升企業數據管理加強網絡安全的措施有以下這些:
發現資產:識別駐留在主要云服務提供商中的所有影子數據和原生數據資產至關重要。一旦檢測出這些數據,企業就必須將它們提取到資產目錄中。
檢測風險:企業還必須識別與暗數據資產相關的任何安全狀況和合規風險,并消除風險。
摸清敏感數據:一旦對數據進行了分類和標記,企業就可以檢索和直觀顯示結構化數據和非結構化數據系統中分布的敏感數據元素。同時,還可以將元數據與第三方目錄同步起來,以便填充與表或列關聯的元數據。
保護系統和管理訪問數據:企業可以在發現的個人數據與所有者之間建立起相應的關系,有了這種可見性,企業就可以充分了解其面臨的安全風險,并精細化管理訪問數據。
履行隱私義務:如果個人數據映射機制到位,企業就可以及時準確地執行數據主體請求(DSR)、安全泄密通知和同意管理等。
遵守規定:企業可以確立自動化流程和工作流,以遵守全球數據隱私法律,以及針對特定行業,如醫療、金融和人力資源等更多領域的法規。
注入攻擊一般所支持的類型有以下幾種:
union注入:搭配order by聯合語句使用。
information_schema注入:系統自帶的數據庫。
基于函數報錯注入:extractvalue注入、floor注入、updatexml注入。updatexml注入又分為 insert注入:(注冊中易出現) 、update注入:(更新中易出現)、delete注入:(留言,刪除中易出現)、select注入。
insert注入:就是前端注冊的信息最終會被后臺通過insert這個操作插入數據庫,后臺在接受前端的注冊數據時,沒有做防SQL注入的處理,導致前端的輸入可以直接拼接SQL到后端的insert相關內容中,導致了insert注入。
update注入:與insert注入的方法大體相同,區別在于update用于用戶登錄端,insert用于用戶注冊端。一般登錄網站前臺或后臺更新用戶信息的地方,填寫用戶需求修改相關信息,通過Burp抓包在用戶名輸入相關payload。
delete注入:一般應用于前后端發帖、留言、用戶等相關刪除操作,點擊刪除按鈕時可通過burpsuite抓包,對數據相關delete闡述進行注入。
http header注入:各種http請求頭(refere等等)。
cookie注入:后端獲取cookie后放在數據庫中進行拼接。
盲注:基于布爾類型的SQL盲注、基于時間型的SQL盲注、基于報錯的SQL盲注。
寬字節(繞過)注入:%df’or 1=1
常用的備份介質有以下這些:
磁帶:磁帶為各種場合的需要提供了兼顧容量和性能的出色的數據備份。端數字線性磁帶(DLT)每盒能處理35GB的數據量,它每秒鐘提供5MB的數據吞吐量。在其它場合應用的是像DAT這樣的主流磁帶技術。在壓縮數據模式下,所有的存儲容量和數據吞吐速率都可以加倍。
磁帶庫:本質上是使用磁帶進程存儲數據,但是磁帶庫是一種自動存儲設備,磁帶庫同設備有多個磁帶插槽,一個或多個磁帶機和一個(多個)由SCSI指令控制的機械臂,存儲量大,配合數據存儲管理軟件實現存儲管理的全自動化。
WORM:可重寫(可擦除)介質能夠取代日常備份用的磁帶,在數據短期存儲的情況下可以進行擦除或修改操作,于是記錄介質得到重復使用。這里有多種類型的WORM和可重寫光盤可供使用。通常使用的5.25英寸介質每盤提供2.6GB的存儲容量,12英寸盤可存儲15GB的數據。
光盤機:最大特點是讀寫速度快,相對普通磁帶機而言MO采用隨機存儲方式。此外,MO的數據保存時間長,由于MO只有在極高溫度下(如激光照射)才能夠修改數據,加上有外殼保護,不像CD-ROM容易被劃傷,數據可保存 20年以上。
硬盤(磁盤冗余陣列):廉價磁盤冗余陣列(RAID)提供了相當的基于服務器網絡的數據保護和可靠性。RAID同時提供對千兆字節存儲信息的快速訪問。如果其中某個器件(驅動器、磁盤等)出現故障時,RAID的冗余設計可保證磁盤陣列操作正常進行。盡管RAID比光介質存儲設備和磁帶昂貴,然而在任何需要容錯性和快速在線數據訪問的地方,它能提供最佳的數據保護,比如在一個在線數據庫或業務處理環境中。
企業云計算專屬服務器需具備以下功能:
生命周期管理:類似于普通云服務器,專屬云服務器可以進行創建、關機、開機、擴/縮容、釋放、重置密碼等操作。
資源監控:可以通過云監控Argus服務監控專屬云服務器實例的CPU、內存、磁盤、網絡等性能指標,設置告警模板等。
VPC支持:專屬云服務器和普通云服務器一樣,支持基于平安云VPC進行安全隔離,可以配置NAT網關實現互聯網連接、配置VPN實現和本地IDC互聯、配置高速通道實現跨VPC互聯、作為ELB后端資源池實例實現負載均衡和高可用等。同時,可以利用安全組策略進行專屬云服務器之間的安全隔離,如圖4.26所示。
鏡像:可以對專屬云服務器制作系統鏡像,基于自定義鏡像復制云服務器實例,實現快速部署。
快照:支持自定義快照策略,對專屬云硬盤建立快照和回滾,有效保障數據一致性。
運維管理:可以配置互聯網連接遠程登錄到專屬云服務器上進行操作,也可以通過遠程控制臺連接。遠程控制臺是一種云主機救援模式,可在使用遠程連接無法連接到云服務器的情況下使用。同時,專屬云服務器和普通云服務器一樣,可提供服務器安全PHS、DDoS防護等安全防護功能。
專屬云硬盤掛載:支持對專屬云服務器實例在線進行專屬云硬盤(本地磁盤)的掛載、卸載,滿足彈性存儲的要求。
攻防對抗主要是三個層面的對抗:信息對抗、技術對抗、運營能力對抗。
信息對抗
信息對抗的目的是知己知彼,從兩方面進行:數據化和社會化。
數據化指的是企業自身安全風險數據建設與分析,需要根據基線數據、拓撲數據、業務數據梳理清楚可能存在的攻擊路徑與攻擊面,針對性設防。攻擊者得手的原因往往并非我們沒有設防,而是不清楚存在哪些攻擊面與路徑。同時需要注意的是,這些數據是動態變化的,需要持續運營,對于業務環境變更帶來的新的攻擊面與路徑需要及時補防,往往紕漏也出現在對業務變更跟進不夠及時的情況下。
技術對抗
在攻防技術對抗方面,業界通常是一片悲觀情緒,認為防守方總是處于劣勢。在通用的安全技術方面確實如此,因為防守者面對的是一個開放性的安全防御難題,建設的防御體系往往如同“馬其諾防線”一樣被攻擊者繞開。
運營能力對抗
運營能力主要體現在兩方面:
風險閉環。簡單說就是“一個問題不能犯兩次”,通過閉環運營讓企業自身安全能力不可逆地走向更好。
執行力。因為涉及管理方面,就不細說了。
域名服務的常見安全風險主要有以下方面:
域名信息篡改:域名解析系統與域名注冊、 WHOIS 等系統相關,任一環節的漏洞都可能被黑客利用,導致域名解析數據被篡改。
域名解析配置錯誤:權威域名解析服務的主服務器或輔服務器如配置不當,會造成權威解析服務故障。
域名劫持:黑客通過各種攻擊手段控制了域名管理密碼和域名管理郵箱,然后將該域名的 NS 記錄指向黑客可以控制的服務器。
域名軟件安全漏洞:域名服務系統軟件的漏洞導致域名服務受損。
域名服務常見風險的安全保護措施如下:
使用安全賬戶登記域名:使用安全的賬戶,并且用站長自己的身份注冊域名是對于保護域名安全很重要的操作。站長可以讓技術人員或者管理員對域名進行訪問和管理,但是不要輕易把域名的賬戶告知無關人員。這樣的操作在于技術人員可以訪問搭建的網站,但是無法從域名賬戶中刪除任何的產品 ,保障了域名的安全。
使用安全系數高的密碼:域名賬戶必須使用一個安全系數高的密碼,讓黑客也無法輕易破解訪問域名賬戶密碼而盜走域名,理論上來說密碼長度越長,安全系數越高。
啟用雙因素身份驗證:當然僅僅依靠一個復雜的密碼來保障域名安全還是不夠的,所以需要啟用雙因素驗證來提高域名的安全性,例如可以設置當輸入域名賬號密碼時,便會發送驗證碼到站長的注冊手機上,然后過手機驗證碼才能正常登陸,這樣便能有效提高域名的安全系數。
保護電子郵件地址:電子郵箱同樣需要使用安全系數高的電子郵箱,大部分情況下域名被盜黑客都是先從郵箱入手的,保護電子郵件地址也可以防止黑客直接攻破賬戶,重置密碼。
謹慎黑客陷阱:謹防收到的任何電子郵件,如果收到陌生鏈接需要輸入用戶名和密碼,這時一定要反復核查郵件來源,慎重填寫內容,以防誤進客黑客的陷阱郵件。
預防和檢測宏病毒的措施有以下這些:
安裝和維護防病毒軟件:防病毒軟件可識別惡意軟件并保護我們的計算機免受惡意軟件侵害。安裝來自信譽良好的供應商的防病毒軟件是預防和檢測感染的重要步驟。始終直接訪問供應商網站,而不是點擊廣告或電子郵件鏈接。由于攻擊者不斷地制造新病毒和其他形式的惡意代碼,因此保持我們使用的防病毒軟件保持最新非常重要。
謹慎使用鏈接和附件:在使用電子郵件和網絡瀏覽器時采取適當的預防措施以降低感染風險。警惕未經請求的電子郵件附件,并在單擊電子郵件鏈接時小心謹慎,即使它們貌似來自我們認識的人。
阻止彈出廣告:彈出窗口阻止程序禁用可能包含惡意代碼的窗口。大多數瀏覽器都有一個免費功能,可以啟用它來阻止彈出廣告。
使用權限有限的帳戶:瀏覽網頁時,使用權限有限的賬戶是一種很好的安全做法。如果我們確實受到感染,受限權限可防止惡意代碼傳播并升級到管理賬戶。
禁用外部媒體自動運行和自動播放功能:禁用自動運行和自動播放功能可防止感染惡意代碼的外部媒體在我們的計算機上自動運行。
更改密碼:如果我們認為我們的計算機受到感染,應該及時更改我們的密碼(口令)。這包括可能已緩存在我們的網絡瀏覽器中的任何網站密碼。創建和使用強密碼,使攻擊者難以猜測。
保持軟件更新:在我們的計算機上安裝軟件補丁,這樣攻擊者就不會利用已知漏洞。如果可用,請考慮啟用自動更新。
資料備份:定期將我們的文檔、照片和重要電子郵件備份到云或外部硬盤驅動器。如果發生感染,我們的信息不會丟失。
安裝或啟用防火墻:防火墻可以通過在惡意流量進入我們的計算機之前阻止它來防止某些類型的感染。一些操作系統包括防火墻;如果我們使用的操作系統包含一個防火墻,請啟用它。
使用反間諜軟件工具:間諜軟件是一種常見的病毒源,但可以通過使用識別和刪除間諜軟件的程序來最大程度地減少感染。大多數防病毒軟件都包含反間諜軟件選項,確保啟用。
監控賬戶:尋找任何未經授權的使用或異常活動,尤其是銀行賬戶。如果我們發現未經授權或異常的活動,請立即聯系我們的賬戶提供商。
避免使用公共Wi-Fi:不安全的公共Wi-Fi可能允許攻擊者攔截我們設備的網絡流量并訪問我們的個人信息。
無線網絡面臨的安全威脅有:
竊聽
無線網絡易遭受匿名黑客的攻擊,攻擊者可以截獲無線電信號并解析出數據。用于無線竊聽的設備與用于無線網絡接入的設備相同,這些設備經過很小的改動就可以被設置成截獲特定無線信道或頻率的數據的設備。這種攻擊行為幾乎不可能被檢測到。通過使用天線,攻擊者可以在距離目標很遠的地方進行攻擊。竊聽主要用于收集目標網絡的信息,包括誰在使用網絡、能訪問什么信息及網絡設備的性能等。很多常用協議通過明文傳送用戶名和密碼等敏感信息,使攻擊者可以通過截獲數據獲得對網絡資源的訪問。即使通信被加密,攻擊者仍可以收集加密信息用于以后的分析。很多加密算法(如微軟的NTLM)很容易被破解。如果攻擊者可以連接到無線網絡上,他還可以使用ARP欺騙進行主動竊聽。ARP欺騙實際上是一種作用在數據鏈路層的中間人攻擊,攻擊者通過給目標主機發送欺騙ARP數據包來旁路通信。當攻擊者收到目標主機的數據后,再將它轉發給真正的目標主機。這樣,攻擊者可以竊聽無線網絡或有線網絡中主機間的通信數據。
通信阻斷
有意或無意的干擾源可以阻斷通信。對整個網絡進行DoS攻擊可以造成通信阻斷,使包括客戶端和基站在內的整個區域的通信線路堵塞,造成設備之間不能正常通信。針對無線網絡的DoS攻擊則很難預防。此外,大部分無線網絡通信都采用公共頻段,很容易受到來自其他設備的干擾。攻擊者可以采用客戶端阻斷和基站阻斷方式來阻斷通信。攻擊者可能通過客戶端阻斷占用或假冒被阻斷的客戶端,也可能只是對客戶端發動DoS攻擊;攻擊者可能通過基站阻斷假冒被阻斷的基站。有很多設備(如無繩電話、無線集群設備)都采用公共頻段進行通信,它們都可以對無線網絡形成干擾。所以,在部署無線網絡前,電信運營商一定要進行站點調查,以驗證現有設備不會對無線網絡形成干擾。
數據的注入和篡改
黑客通過向已有連接中注入數據來截獲連接或發送惡意數據和命令。攻擊者能夠通過向基站插入數據或命令來篡改控制信息,造成用戶連接中斷。數據注入可被用做DoS攻擊。攻擊者可以向網絡接入點發送大量連接請求包,使接入點用戶連接數超標,以此造成接入點拒絕合法用戶的訪問。如果上層協議沒有提供實時數據完整性檢測,在連接中注入數據也是可能的。
中間人攻擊
中間人攻擊與數據注入攻擊類似,所不同的是它可以采取多種形式,主要是為了破壞會話的機密性和完整性。中間人攻擊比大多數攻擊更復雜,攻擊者需要對網絡有深入的了解。攻擊者通常偽裝成網絡資源,當受害者開始建立連接時,攻擊者會截取連接,并與目的端建立連接,同時將所有通信經攻擊主機代理到目的端。這時,攻擊者就可以注入數據、修改通信數據或進行竊聽攻擊。
客戶端偽裝
通過對客戶端的研究,攻擊者可以模仿或克隆客戶端的身份信息,以試圖獲得對網絡或服務的訪問。攻擊者也可以通過竊取的訪問設備來訪問網絡。保證所有設備的物理安全非常困難。當攻擊者通過竊取的設備發起攻擊時,通過鏈路層訪問控制手段來限制對資源的訪問(如蜂窩網采用的通過電子序列碼或WLAN網絡采用的MAC地址驗證等手段)都將失去作用。
接入點偽裝
高超的攻擊者可以偽裝接入點。客戶端可能在未察覺的情況下連接到該接入點,并泄露機密認證信息。這種攻擊方式可以與上面描述的接入點通信阻斷攻擊方式結合起來使用。
匿名攻擊
攻擊者可以隱藏在無線網絡覆蓋的任何角落,并保持匿名狀態,這使定位和犯罪調查變得異常困難。一種常見的匿名攻擊稱為沿街掃描(War Driving),指攻擊者在特定的區域掃描并尋找開放的無線網絡。這個名稱來自一種古老的撥號攻擊方式——沿街掃描,即通過撥打不同的電話號碼來查找MODEM或其他網絡入口。值得注意的是,許多攻擊者發動匿名攻擊不是為了攻擊無線網絡本身,只是為了找到接入Internet并攻擊其他機器的跳板。因此,隨著匿名接入者的增多,針對Internet網絡的攻擊也會增加。
客戶端對客戶端的攻擊
在無線網絡上,一個客戶端可以對另一客戶端進行攻擊。沒有部署個人防火墻或進行加固的客戶端如果受到攻擊,很可能會泄露用戶名和密碼等機密信息。攻擊者可以利用這些信息獲得對其他網絡資源的訪問權限。在對等模式下,攻擊者可以通過發送偽造路由協議報文以產生通路循環來實施拒絕服務攻擊,或者通過發送偽造路由協議報文生成黑洞(吸收和扔掉數據報文)來實現各種形式的攻擊。
隱匿無線信道
網絡的部署者在設計和評估網絡時,需要考慮隱匿無線信道的問題。由于硬件無線接入點的價格逐漸降低,以及可以通過在裝有無線網卡的機器上安裝軟件來實現無線接入點的功能,隱匿無線信道的問題日趨嚴重。網絡管理員應該及時檢查網絡上存在的一些設置有問題或非法部署的無線網絡設備。這些設備可以在有線網絡上制造黑客入侵的后門,使攻擊者可以在離網絡很遠的地點實施攻擊。
服務區標志符的安全問題
點用于標識本地無線子網的標志符。如果一個客戶端不知道服務區標志符,接入點會拒絕該客戶端對本地子網的訪問。當客戶端連接到接入點上時,服務區標志符的作用相當于一個簡單的口令,起到一定的安全防護作用。如果接入點被設置成對SSID進行廣播,那么所有的客戶端都可以接收到它并用其訪問無線網絡。而且,很多接入點都采用出廠時默認設置的SSID值,黑客很容易通過Internet查到這些默認值。黑客獲取這些SSID值后,就可以對網絡實施攻擊。因此,SSID不能作為保障安全的主要手段。
漫游造成的問題
無線網絡與有線網絡的主要區別在于無線終端的移動性。在CDMA、GSM和無線以太網中,漫游機制都是相似的。很多TCP/IP服務都要求客戶端和服務器的IP地址保持不變,但是,當用戶在網絡中移動時,不可避免地會離開一個子網而加入另一個子網,這就要求無線網絡提供漫游機制。移動IP的基本原理在于地點注冊和報文轉發,一個與地點無關的地址用于保持TCP/IP連接,而另一個隨地點變化的臨時地址用于訪問本地網絡資源。在移動IP系統中,當一個移動節點漫游到一個網絡時,就會獲得一個與地點有關的臨時地址,并注冊到外地代理上;外地代理會與所屬地代理聯系,通知所屬地代理有關移動節點的接入情況。所屬地代理將所有發往移動節點的數據包轉發到外地代理上。這種機制會帶來一些問題:首先,攻擊者可以通過對注冊過程的重放來獲取發送到移動節點的數據;其次,攻擊者也可以模擬移動節點以非法獲取網絡資源。
為了有效防范宏病毒建議采取以下措施:
提高安全級別:目前較高版本的Word軟件都為用戶提供3~4個安全級別來進行宏病毒的防范。在不影響正常工作學習的前提下,建議用戶使用較高的安全級別來避免宏病毒的感染。
按照自己的使用習慣設置模板并進行備份:當被病毒感染時,用備份的Normal.dot模板覆蓋當前的Normal.dot模板可以起到消除宏病毒的作用。
可以先用不調用任何宏的寫字板打開文件:如果懷疑外來的不明文件含有宏病毒,可以先用不調用任何宏的寫字板打開該文件,然后再將文本粘貼到Word中。轉換后的文檔是不含有任何宏的。
設置“提示保存Normal模板”功能:如果用戶平時只進行普通的文字處理,很少使用宏編程,對Normal.dot模板也很少修改,可以設置“提示保存Normal模板”功能。如果宏病毒感染了Word文檔,當用戶從Word退出時,Word會給出“更改的內容會影響到公用模板Normal,是否保存這些修改內容?”的提示,這說明Word已感染了宏病毒。這時應選擇“否”,退出后用其他方法殺毒。
刪除既不是自定義的也不是Word默認提供的宏。
傳輸層協議面臨的安全問題有以下這些:
SYN泛洪攻擊:服務器端的資源是在第二次握手之后分配的,客戶端資源是在第三次握手之后分配的。攻擊者發送大量第一次握手的數據包,對服務器回復的ACK不予確認。導致服務器所有的連接處于掛起狀態,消耗服務器資源。
RST復位攻擊:攻擊者創建tcp復位數據報,將數據報發送給受害者和服務器,終止兩者的連接。復位數據報的偽造要求【源IP、源端口、目標IP、目標端口、序號】都要正確,而且序號要落在窗口內,因此窗口越大,越容易發起復位攻擊。
會話劫持:擾亂客戶和服務器之間的同步狀態,改寫客戶與服務器之間的會話。
ACK風暴:主機會在接收到一個它不期望的報文后,向對方返回一個ACK報文,告知對方它想接收什么報文,希望重新與對方同步。而對方在收到報文之后,也發現報文的序號不對,它又會向主機發送ACK報文。這樣就構成死循環,使網絡上充滿ACK報文,導致網絡擁塞。
UDPFlood攻擊:是日漸猖厥的流量型DoS攻擊,原理也很簡單。常見的情況是利用大量UDP小包沖擊DNS服務器或Radius認證服務器、流媒體視頻服務器。
