?? 前言：隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)空間的斗爭(zhēng)可謂是兵家必爭(zhēng)之地，網(wǎng)絡(luò)攻擊的事件層出不窮。道高一尺魔高一丈，了解常見(jiàn)的網(wǎng)絡(luò)攻擊類型有利于我們?nèi)蘸蠊ぷ魃畹陌踩€(wěn)定。

?? 1. 網(wǎng)絡(luò)攻擊威脅

?? 1.1 網(wǎng)絡(luò)攻擊的基本步驟和方式

?? 記一次Vulnstack靶場(chǎng)內(nèi)網(wǎng)滲透（二）

?? 1.2 其他網(wǎng)絡(luò)攻擊常見(jiàn)手段

?? 1.2.1 欺騙攻擊

利用TCP/IP協(xié)議本身的一些缺陷對(duì)TCP/IP網(wǎng)絡(luò)進(jìn)行攻擊，主要方式有：ARP欺騙、DNS欺騙等。

?? 1.2.2 拒絕服務(wù)和分布式拒絕服務(wù)攻擊

這種攻擊行為通過(guò)發(fā)送一定數(shù)量一定序列的數(shù)據(jù)包，使網(wǎng)絡(luò)服務(wù)器中充斥了大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓、停止正常的網(wǎng)絡(luò)服務(wù)。

近些年，DoS攻擊有了新的發(fā)展，攻擊者通過(guò)入侵大量有安全漏洞的主機(jī)并獲取控制權(quán)，在多臺(tái)被入侵的主機(jī)上安裝攻擊程序，然后利用所控制的這些大量攻擊源，同時(shí)向目標(biāo)機(jī)發(fā)起拒絕服務(wù)攻擊，我們稱之為分布式拒絕服務(wù)（Distribute Denial of Service，DDoS）攻擊。

?? 1.2.3 Web腳本入侵

由于使用不同的Web網(wǎng)站服務(wù)器、不同的開(kāi)放語(yǔ)言，使網(wǎng)站存在的漏洞也不相同，所以使用 Web腳本攻擊的方式也很多。
Web腳本攻擊常見(jiàn)方式有：注入攻擊、上傳漏洞攻擊、跨站攻擊、數(shù)據(jù)庫(kù)入侵等。

黑客可以從網(wǎng)站的文章系統(tǒng)下載系統(tǒng)留言板等部分進(jìn)行攻擊；也可以針對(duì)網(wǎng)站后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行攻擊，還可以在網(wǎng)頁(yè)中寫入具有攻擊性的代碼；甚至可以通過(guò)圖片進(jìn)行攻擊。

?? 1.2.4 0 day攻擊

0 day通常是指還沒(méi)有補(bǔ)丁的漏洞，而0 day攻擊則是指利用這種漏洞進(jìn)行的攻擊。提供該漏洞細(xì)節(jié)或者利用程序的人通常是該漏洞的發(fā)現(xiàn)者。

0 day漏洞的利用程序?qū)W(wǎng)絡(luò)安全具有巨大威脅。

?? 1.3 APT攻擊

近些年，出現(xiàn)了一種有組織、有特定目標(biāo)、持續(xù)時(shí)間極長(zhǎng)的新型攻擊和威脅，通常稱之為高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）攻擊，或者稱之為“針對(duì)特定目標(biāo)的攻擊”。例如之前提到的震網(wǎng)病毒事件。

攻擊者掌握先進(jìn)的專業(yè)知識(shí)和有效的資源，通過(guò)多種攻擊途徑，在特定組織的信息技術(shù)基礎(chǔ)設(shè)施建立并轉(zhuǎn)移立足點(diǎn)，以竊取機(jī)密信息，破壞或阻礙任務(wù)、程序或組織的關(guān)鍵系統(tǒng)，或者駐留在組織的內(nèi)部網(wǎng)絡(luò)，進(jìn)行后續(xù)攻擊。

?? 1.3.1 定義

NIST對(duì)APT的定義:

1. A（Advanced）：技術(shù)高級(jí)
2. P（Persistent）：持續(xù)時(shí)間長(zhǎng)
3. T（Threat）：威脅性大

?? 1.3.2 產(chǎn)生背景

1. APT攻擊成為國(guó)家層面信息對(duì)抗的需求。

2. 社交網(wǎng)絡(luò)的廣泛應(yīng)用為APT攻擊提供了可能。

3. 復(fù)雜脆弱的IT環(huán)境還沒(méi)有做好應(yīng)對(duì)的準(zhǔn)備，造成APT攻擊事件頻發(fā)。

?? 1.3.3 攻擊一般過(guò)程

• 信息偵查
  • 對(duì)目標(biāo)網(wǎng)絡(luò)用戶的信息收集
  • 對(duì)目標(biāo)網(wǎng)絡(luò)脆弱點(diǎn)的信息收集
• 持續(xù)滲透
• 長(zhǎng)期潛伏
• 竊取信息

水坑攻擊：是指黑客通過(guò)分析被攻擊者的網(wǎng)絡(luò)活動(dòng)規(guī)律，尋找被攻擊者經(jīng)常訪問(wèn)的網(wǎng)站的弱點(diǎn)，先攻下該網(wǎng)站并植入攻擊代碼，等待被攻擊者來(lái)訪時(shí)實(shí)施攻擊。

?? 2. 網(wǎng)絡(luò)安全設(shè)備

?? 2.1 防火墻

防火墻是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的實(shí)施訪問(wèn)控制的系統(tǒng)。

在邏輯上，防火墻是一個(gè)網(wǎng)關(guān)，能有效地監(jiān)控流經(jīng)防火墻的數(shù)據(jù)，具有分隔、分析、過(guò)濾、限制等功能，保證受保護(hù)部分的安全

• 部署：是在不同安全控制域之間建立的安全控制點(diǎn)
• 工作原理：根據(jù)預(yù)先制定的訪問(wèn)控制策略和安全防護(hù)策略，解析和過(guò)濾流經(jīng)防火墻的數(shù)據(jù)流，實(shí)現(xiàn)向被保護(hù)的安全域提供訪問(wèn)控制、審計(jì)等服務(wù)請(qǐng)求。
• 保護(hù)的資產(chǎn)：是安全控制點(diǎn)內(nèi)部的網(wǎng)絡(luò)服務(wù)和資源等、防火墻本身及其內(nèi)部的重要數(shù)據(jù)。

?? 2.1.1 分類

軟件防火墻和硬件防火墻

?? 2.1.2 工作原理

?? 2.1.2.1 包過(guò)濾型

包過(guò)濾防火墻工作在網(wǎng)絡(luò)層和傳輸層，它根據(jù)通過(guò)防火墻的每個(gè)數(shù)據(jù)包的源IP地址、目標(biāo)IP地址、端口號(hào)、協(xié)議類型等信息來(lái)決定是將讓該數(shù)據(jù)包通過(guò)還是丟棄，從而達(dá)到對(duì)進(jìn)出防火墻的數(shù)據(jù)進(jìn)行檢測(cè)和限制的目的。

包過(guò)濾方式是一種通用、廉價(jià)和有效的安全手段

• 它不是針對(duì)各個(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式，而是適用于所有網(wǎng)絡(luò)服務(wù)
• 大多數(shù)路由器都提供數(shù)據(jù)包過(guò)濾功能，所以這類防火墻多數(shù)是由路由器集成的
• 它能很大程度上滿足了絕大多數(shù)企業(yè)安全要求

包過(guò)濾技術(shù)在發(fā)展中出現(xiàn)了兩種不同版本，第一代稱為靜態(tài)包過(guò)濾，第二代稱為動(dòng)態(tài)包過(guò)濾。

1）靜態(tài)包過(guò)濾技術(shù)

• 這類防火墻幾乎是與路由器同時(shí)產(chǎn)生的，它根據(jù)定義好的過(guò)濾規(guī)則審查每個(gè)數(shù)據(jù)包，以便確定其是否與某一條包過(guò)濾規(guī)則匹配。
• 過(guò)濾規(guī)則基于數(shù)據(jù)包的包頭信息進(jìn)行制訂。
• 這些規(guī)則常稱為數(shù)據(jù)包過(guò)濾訪問(wèn)控制列表（ACL）
• 在這張過(guò)濾規(guī)則樣表中包含了：規(guī)則執(zhí)行順序、源IP地址、目標(biāo)IP地址、協(xié)議類型、TCP或UDP包的源端口、TCP或UDP包的目的端口、TCP包頭的標(biāo)志位、對(duì)數(shù)據(jù)包的操作、數(shù)據(jù)流向

該表中的第1條規(guī)則允許內(nèi)部用戶向外部Web服務(wù)器發(fā)送數(shù)據(jù)包，并定向到80端口，
第2條規(guī)則允許外部網(wǎng)絡(luò)向內(nèi)部的高端口發(fā)送TCP包，只要ACK位置位，且入包的源端口為80。即允許外部Web服務(wù)器的應(yīng)答返回內(nèi)部網(wǎng)絡(luò)。
最后一條規(guī)則拒絕所有數(shù)據(jù)包，以確保除了先前規(guī)則所允許的數(shù)據(jù)包外，其他所有數(shù)據(jù)包都被丟棄。
當(dāng)數(shù)據(jù)流進(jìn)入包過(guò)濾防火墻后，防火墻檢查數(shù)據(jù)包的相關(guān)信息，開(kāi)始從上至下掃描過(guò)濾規(guī)則，如果匹配成功則按照規(guī)則設(shè)定的操作執(zhí)行，不再匹配后續(xù)規(guī)則。所以，在訪問(wèn)控制列表中規(guī)則的出現(xiàn)順序至關(guān)重要。

訪問(wèn)控制列表的配置有兩種方式：

• 嚴(yán)策略：接受受信任的IP包，拒絕其他所有IP包
  • 保守，但安全
• 寬策略：拒絕不受信任的IP包，接受其他所有IP包
  • 可以拒絕有限的可能造成安全隱患的IP包

缺陷：
對(duì)于過(guò)濾規(guī)則樣表的第二條，攻擊者可從外網(wǎng)發(fā)來(lái)的源端口為80的數(shù)據(jù)包

2）狀態(tài)包過(guò)濾技術(shù)

狀態(tài)包過(guò)濾（Stateful Packet Filter）是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，對(duì)接收到的數(shù)據(jù)包進(jìn)行分析，判斷其是否屬于當(dāng)前合法連接，從而進(jìn)行動(dòng)態(tài)的過(guò)濾。

跟傳統(tǒng)包過(guò)濾只有一張過(guò)濾規(guī)則表不同，狀態(tài)包過(guò)濾同時(shí)維護(hù)過(guò)濾規(guī)則表和狀態(tài)表。過(guò)濾規(guī)則表是靜態(tài)的，而狀態(tài)表中保留著當(dāng)前活動(dòng)的合法連接，它的內(nèi)容是動(dòng)態(tài)變化的，隨著數(shù)據(jù)包來(lái)回經(jīng)過(guò)設(shè)備而實(shí)時(shí)更新。

局限：
①.基于網(wǎng)絡(luò)層和傳輸層實(shí)現(xiàn)的包過(guò)濾防火墻難以實(shí)現(xiàn)對(duì)應(yīng)用層服務(wù)的過(guò)濾。所以難以了解數(shù)據(jù)包是由哪個(gè)應(yīng)用程序發(fā)起。

• 目前的網(wǎng)絡(luò)攻擊和木馬程序往往偽裝成常用的應(yīng)用層服務(wù)的數(shù)據(jù)包逃避包過(guò)濾防火墻的檢查
• 包過(guò)濾防火墻難以詳細(xì)了解主機(jī)之間的會(huì)話關(guān)系。包過(guò)濾防火墻處于網(wǎng)絡(luò)邊界并根據(jù)流經(jīng)防火墻的數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)會(huì)話分析，生成會(huì)話連接狀態(tài)表。由于包過(guò)濾防火墻并非會(huì)話連接的發(fā)起者，所以對(duì)網(wǎng)絡(luò)會(huì)話連接的上下文關(guān)系難以詳細(xì)了解，容易受到欺騙。
• 訪問(wèn)控制列表的配置和維護(hù)困難。包過(guò)濾技術(shù)的實(shí)現(xiàn)依賴于詳細(xì)和正確的訪問(wèn)控制列表。
  • 在實(shí)際應(yīng)用中，對(duì)于一個(gè)大型的網(wǎng)絡(luò)，由于可信任的IP數(shù)目巨大而且經(jīng)常變動(dòng)
  • 防火墻的安全性能與訪問(wèn)控制列表中的配置規(guī)則出現(xiàn)的先后順序有關(guān)，網(wǎng)絡(luò)安全策略維護(hù)將變得非常繁雜
  • 基于IP地址的包過(guò)濾技術(shù)，即使采用嚴(yán)策略的防火墻規(guī)則也無(wú)法避免IP地址欺騙的攻擊。
  • 對(duì)安全管理人員的要求高，在建立安全規(guī)則時(shí)，必須對(duì)協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的了解。

②.大多數(shù)過(guò)濾器中缺少審計(jì)和報(bào)警機(jī)制，只能依據(jù)包頭信息，而不能對(duì)用戶身份進(jìn)行驗(yàn)證，很容易遭受欺騙型攻擊。

?? 2.1.2.2 應(yīng)用代理型

采用應(yīng)用代理技術(shù)的防火墻工作在應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。

應(yīng)用代理技術(shù)的發(fā)展也經(jīng)歷了兩個(gè)版本：

• 第一代的應(yīng)用層網(wǎng)關(guān)技術(shù)
  • 采用這種技術(shù)的的防火墻通過(guò)代理參與到一個(gè)TCP連接的全過(guò)程。從內(nèi)部的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻處理完，像是源于防火墻外部網(wǎng)卡一樣，達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。
• 第二代的自適應(yīng)代理技術(shù)
  • 特點(diǎn)：采用這種技術(shù)的防火墻有兩個(gè)基本組件：自適應(yīng)代理服務(wù)器與動(dòng)態(tài)包過(guò)濾器。
  • 在“自適應(yīng)代理服務(wù)器”與“動(dòng)態(tài)包過(guò)濾器”之間存在一個(gè)控制通道。
  • 在對(duì)防火墻進(jìn)行配置時(shí)，用戶僅僅將所需要的服務(wù)類型、安全級(jí)別等信息通過(guò)相應(yīng)代理的管理界面進(jìn)行設(shè)置就可以了。
  • 然后，自適應(yīng)代理就可以根據(jù)用戶的配置信息，決定是使用代理服務(wù)從應(yīng)用層代理請(qǐng)求還是從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。
  • 優(yōu)點(diǎn)：安全性高
    • 由于它工作于最高層，所以它可以對(duì)網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過(guò)濾那樣，只是對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過(guò)濾。
    • 它可以為每一種應(yīng)用服務(wù)建立一個(gè)專門的代理，所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的，根本沒(méi)有給內(nèi)、外部網(wǎng)絡(luò)計(jì)算機(jī)任何直接會(huì)話的機(jī)會(huì)。
  • 缺點(diǎn)：速度相對(duì)比較慢
    • 當(dāng)用戶對(duì)內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)，代理防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。
    • 因?yàn)榉阑饓π枰獮椴煌木W(wǎng)絡(luò)服務(wù)建立專門的代理服務(wù)，在自己的代理程序?yàn)閮?nèi)、外部網(wǎng)絡(luò)用戶建立連接時(shí)需要時(shí)間。

?? 2.1.3 部署

部署方式：
這三種網(wǎng)關(guān)都要求有一臺(tái)主機(jī)，通常稱為“堡壘主機(jī)”（Bastion Host），它起著防火墻的作用，即隔離內(nèi)外網(wǎng)的作用。

	雙宿主主機(jī)網(wǎng)關(guān)	屏蔽主機(jī)網(wǎng)關(guān)	屏蔽子網(wǎng)網(wǎng)關(guān)
特點(diǎn)	堡壘主機(jī)充當(dāng)應(yīng)用層網(wǎng)關(guān)。在主機(jī)中需要插入兩塊網(wǎng)卡，用于將主機(jī)分別連接到被保護(hù)的內(nèi)網(wǎng)和外網(wǎng)上。在主機(jī)上運(yùn)行防火墻軟件，被保護(hù)內(nèi)網(wǎng)與外網(wǎng)間的通信必須通過(guò)主機(jī)，因而可以將內(nèi)網(wǎng)很好地屏蔽起來(lái)。	為了保護(hù)堡壘主機(jī)而將它置入被保護(hù)網(wǎng)的范圍中，在被保護(hù)內(nèi)網(wǎng)與外網(wǎng)之間設(shè)置一個(gè)屏蔽路由器。它不允許外網(wǎng)用戶對(duì)被保護(hù)內(nèi)網(wǎng)進(jìn)行直接訪問(wèn)，只允許對(duì)堡壘主機(jī)進(jìn)行訪問(wèn)，屏蔽路由器也只接收來(lái)自堡壘主機(jī)的數(shù)據(jù)。	不少被保護(hù)網(wǎng)有這樣一種要求，即它能向外網(wǎng)上的用戶提供部分信息。這部分存放在公用信息服務(wù)器上的信息，應(yīng)允許由外網(wǎng)的用戶直接讀取。針對(duì)這種情況，屏蔽子網(wǎng)網(wǎng)關(guān)結(jié)構(gòu)使用一個(gè)或者更多的屏蔽路由器和堡壘主機(jī)，同時(shí)在內(nèi)外網(wǎng)間建立一個(gè)DMZ。
優(yōu)點(diǎn)	有效地保護(hù)和屏蔽內(nèi)網(wǎng)，且要求的硬件較少，因而應(yīng)用較多	靈活，利用屏蔽路由器來(lái)做更進(jìn)一步的安全保護(hù)。	安全性很好，因?yàn)閬?lái)自外部網(wǎng)絡(luò)將要訪問(wèn)內(nèi)部網(wǎng)絡(luò)的流量，必須經(jīng)過(guò)這個(gè)由屏蔽路由器和堡壘主機(jī)組成的DMZ子網(wǎng)絡(luò)；可信網(wǎng)絡(luò)內(nèi)部流向外界的所有流量，也必須首先接收這個(gè)子網(wǎng)絡(luò)的審查。
缺點(diǎn)	堡壘主機(jī)本身缺乏保護(hù)，容易受到攻擊	此時(shí)的路由器又處于易受攻擊的地位。此外，網(wǎng)絡(luò)管理員應(yīng)該管理在路由器和堡壘主機(jī)中的訪問(wèn)控制表，使兩者協(xié)調(diào)一致，避免出現(xiàn)矛盾。	續(xù)：堡壘主機(jī)上運(yùn)行代理服務(wù)，它是一個(gè)連接外部非信任網(wǎng)絡(luò)和可信網(wǎng)絡(luò)的“橋梁”。堡壘主機(jī)是最容易受侵襲的，萬(wàn)一堡壘主機(jī)被控制，入侵者仍然不能直接侵襲內(nèi)部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)仍受到內(nèi)部屏蔽路由器的保護(hù)。
示例圖

?? 2.2 入侵檢測(cè)系統(tǒng)

?? 2.2.1 分類

入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）。

與防火墻類似，除了有基于PC架構(gòu)、主要功能由軟件實(shí)現(xiàn)的IDS，還有基于ASIC、NP以及FPGA架構(gòu)開(kāi)發(fā)的IDS。

根據(jù)檢測(cè)數(shù)據(jù)的不同，IDS分為主機(jī)型和網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)。

• 基于主機(jī)的IDS（HIDS），通過(guò)監(jiān)視和分析主機(jī)的審計(jì)記錄檢測(cè)入侵。
• 基于網(wǎng)絡(luò)的IDS（NIDS），通過(guò)在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽(tīng)，檢測(cè)入侵。

?? 2.2.2 工作原理

• 事件產(chǎn)生器：從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。
• 事件分析器：分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。
• 響應(yīng)單元：對(duì)分析結(jié)果作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)，也可以只是簡(jiǎn)單的報(bào)警。
• 事件數(shù)據(jù)庫(kù)：是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。

根據(jù)其采用的分析方法可分為異常檢測(cè)和誤用檢測(cè)。

?? 2.2.3 部署

與防火墻不同，入侵檢測(cè)主要是一個(gè)監(jiān)聽(tīng)和分析設(shè)備，不需要跨接在任何網(wǎng)絡(luò)鏈路上，無(wú)需網(wǎng)絡(luò)流量流經(jīng)它，便可正常工作。

對(duì)入侵檢測(cè)系統(tǒng)的部署，唯一的要求是：應(yīng)當(dāng)掛接在所有所關(guān)注的流量都必須流經(jīng)的鏈路上，即IDS采用旁路部署方式接入網(wǎng)絡(luò)。這些流量通常是指需要進(jìn)行監(jiān)視和統(tǒng)計(jì)的網(wǎng)絡(luò)報(bào)文。

IDS和防火墻均具備對(duì)方不可代替的功能，因此在很多應(yīng)用場(chǎng)景中，IDS與防火墻共存，形成互補(bǔ)。

一種簡(jiǎn)單的IDS部署如下圖所示，IDS旁路部署在因特網(wǎng)接入路由器之后的第一臺(tái)交換機(jī)上。

IDS在典型網(wǎng)絡(luò)環(huán)境中的一種部署下如圖所示。
控制臺(tái)位于公開(kāi)網(wǎng)段，它可以監(jiān)控位于各個(gè)內(nèi)網(wǎng)的檢測(cè)引擎。

?? 2.3 防護(hù)和檢測(cè)技術(shù)的發(fā)展與融合

?? 2.3.1 入侵防御系統(tǒng)

主動(dòng)防御能力：系統(tǒng)不僅要具有入侵檢測(cè)系統(tǒng)的入侵發(fā)現(xiàn)能力和防火墻的靜態(tài)防御能力，還要有針對(duì)當(dāng)前入侵行為動(dòng)態(tài)調(diào)整系統(tǒng)安全策略，阻止入侵和對(duì)入侵攻擊源進(jìn)行主動(dòng)追蹤和發(fā)現(xiàn)的能力。

入侵防御系統(tǒng)IPS（Intrusion Prevention System）作為IDS的替代技術(shù)誕生了。

IPS是一種主動(dòng)的、智能的入侵檢測(cè)、防范、阻止系統(tǒng)，其設(shè)計(jì)旨在預(yù)先入侵活動(dòng)和對(duì)攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。

IPS部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。

?? 2.3.2 下一代防火墻

2008年P(guān)alo Alto Networks公司發(fā)布了下一代防火墻NGFW(Next-Generation Firewall) ，可以對(duì)用戶、應(yīng)用和內(nèi)容進(jìn)行管控。

1）傳統(tǒng)防火墻。NGFW必須擁有傳統(tǒng)防火墻所提供的所有功能，如基于連接狀態(tài)的訪問(wèn)控制、NAT、VPN等等。雖然傳統(tǒng)防火墻已經(jīng)不能滿足需求，但它仍然是一種無(wú)可替代的基礎(chǔ)性訪問(wèn)控制手段。

2）支持與防火墻自動(dòng)聯(lián)動(dòng)的集成化IPS。NGFW內(nèi)置的防火墻與IPS之間應(yīng)該具有聯(lián)動(dòng)的功能，例如IPS檢測(cè)到某個(gè)IP地址不斷地發(fā)送惡意流量，可以直接告知防火墻并由其來(lái)做更簡(jiǎn)單有效的阻止。這個(gè)告知與防火墻策略生成的過(guò)程應(yīng)當(dāng)由NGFW自動(dòng)完成。

3）應(yīng)用識(shí)別、控制與可視化。
NGFW必須具有與傳統(tǒng)的基于端口和IP協(xié)議不同的方式進(jìn)行應(yīng)用識(shí)別的能力，并執(zhí)行訪問(wèn)控制策略。

4）智能化聯(lián)動(dòng)。
獲取來(lái)自“防火墻外面”的信息，這個(gè)“外面”是NGFW本體內(nèi)的其他安全業(yè)務(wù)，作出更合理的訪問(wèn)控制

例如從域控制器上獲取用戶身份信息，將權(quán)限與訪問(wèn)控制策略聯(lián)系起來(lái)，或是來(lái)自URL 過(guò)濾判定的惡意地址的流量直接由防火墻去阻擋，而不再浪費(fèi)IPS的資源去判定

?? 2.3.3 統(tǒng)一威脅管理UTM

UTM：是一類集成了常用安全功能的設(shè)備，可以說(shuō)是將防火墻、IDS系統(tǒng)、防病毒和脆弱性評(píng)估等技術(shù)的優(yōu)點(diǎn)與自動(dòng)阻止攻擊的功能融為一體。

發(fā)展趨勢(shì)：
由于網(wǎng)絡(luò)攻擊技術(shù)的不確定性，靠單一的產(chǎn)品往往不能夠滿足不同用戶的不同安全需求。信息安全產(chǎn)品的發(fā)展趨勢(shì)是不斷地走向融合，走向集中管理。

通過(guò)采用協(xié)同技術(shù)，讓網(wǎng)絡(luò)攻擊防御體系更加有效地應(yīng)對(duì)重大網(wǎng)絡(luò)安全事件，實(shí)現(xiàn)多種安全產(chǎn)品的統(tǒng)一管理和協(xié)同操作、分析，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行全面、深層次的有效管理，降低安全風(fēng)險(xiǎn)和管理成本，成為網(wǎng)絡(luò)攻擊防護(hù)產(chǎn)品發(fā)展的一個(gè)主要方向。

?? 3. 小結(jié)

把不同安全級(jí)別的網(wǎng)絡(luò)相連接，就產(chǎn)生了網(wǎng)絡(luò)邊界，為了防止來(lái)自網(wǎng)絡(luò)外界的入侵，就需要在網(wǎng)絡(luò)邊界上建立可靠的安全防御措施。

網(wǎng)絡(luò)邊界安全訪問(wèn)總體策略為：允許高級(jí)別的安全域訪問(wèn)低級(jí)別的安全域，限制低級(jí)別的安全域訪問(wèn)高級(jí)別的安全域。

不同安全域內(nèi)部分區(qū)進(jìn)行安全防護(hù)，做到安全可控。邊界可能包括以下一些部件：路由器、防火墻、IDS、IPS、VPN設(shè)備、防病毒網(wǎng)關(guān)等。上述部件和技術(shù)的不同組合，可以構(gòu)成不同級(jí)別的邊界防護(hù)機(jī)制。

1）基本安全防護(hù)。采用常規(guī)的邊界防護(hù)機(jī)制，如登錄、連接控制等，實(shí)現(xiàn)基本的信息系統(tǒng)邊界安全防護(hù)，可以使用路由器或者三層交換機(jī)來(lái)實(shí)現(xiàn)。
2）較嚴(yán)格安全防護(hù)。如較嚴(yán)格的登錄、連接控制，普通功能的防火墻、防病毒網(wǎng)關(guān)、IDS、信息過(guò)濾、邊界完整性檢查等。
3）嚴(yán)格安全防護(hù)。如嚴(yán)格的登錄、連接機(jī)制，高安全功能的防火墻、防病毒網(wǎng)關(guān)、IPS、信息過(guò)濾、邊界完整性檢查等。
4）特別安全防護(hù)。采用當(dāng)前較為先進(jìn)的邊界防護(hù)技術(shù)，必要時(shí)可以采用物理隔離安全機(jī)制，實(shí)現(xiàn)特別安全要求的邊界安全防護(hù)。

?? 4. 案例分析：西北工業(yè)大學(xué)遭受美國(guó)NSA網(wǎng)絡(luò)攻擊

2022年6月22日，西北工業(yè)大學(xué)曾發(fā)布聲明，稱有境外黑客組織和不法分子向?qū)W校發(fā)起了網(wǎng)絡(luò)攻擊行為，包括對(duì)師生發(fā)送包含木馬程序的釣魚郵件，企圖竊取相關(guān)師生郵件數(shù)據(jù)和公民個(gè)人信息，給學(xué)校正常工作和生活秩序造成重大風(fēng)險(xiǎn)隱患。

當(dāng)?shù)毓簿至⒓戳競(jìng)刹?，中?guó)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司也組成聯(lián)合技術(shù)團(tuán)隊(duì)，進(jìn)行全面技術(shù)分析工作，并于9月5日發(fā)布調(diào)查報(bào)告。報(bào)告顯示，美國(guó)國(guó)家安全局（NSA）下屬的特定入侵行動(dòng)辦公室（TAO），使用數(shù)十種專用網(wǎng)絡(luò)攻擊武器裝備，持續(xù)對(duì)西北工業(yè)大學(xué)開(kāi)展攻擊竊密，竊取該校關(guān)鍵網(wǎng)絡(luò)設(shè)備配置、網(wǎng)管數(shù)據(jù)、運(yùn)維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)。

?? 美國(guó)NSA網(wǎng)絡(luò)武器“飲茶”分析報(bào)告

?? 西北工業(yè)大學(xué)遭美國(guó)NSA網(wǎng)絡(luò)攻擊事件調(diào)查報(bào)告（之一）

?? 西北工業(yè)大學(xué)遭美國(guó)NSA網(wǎng)絡(luò)攻擊事件調(diào)查報(bào)告（之二）

OK，以上就是本期知識(shí)點(diǎn)“網(wǎng)絡(luò)攻擊分析”的知識(shí)啦~~ ，感謝友友們的閱讀。后續(xù)還會(huì)繼續(xù)更新，歡迎持續(xù)關(guān)注喲??~
??如果有錯(cuò)誤?，歡迎批評(píng)指正呀??~讓我們一起相互進(jìn)步??
??如果覺(jué)得收獲滿滿，可以點(diǎn)點(diǎn)贊??支持一下喲~

? 轉(zhuǎn)載請(qǐng)注明出處
作者：HinsCoder
博客鏈接：?? 作者博客主頁(yè)文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-717955.html

到了這里，關(guān)于【信息安全案例】——網(wǎng)絡(luò)攻擊分析（學(xué)習(xí)筆記）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！