网络安全技术--攻与防
写在最前面:很多技术的学习都需要一定的方法,而关于信息安全的相关知识我的学习方法就是先完善体系框架,而后通过实践的方式熟悉各种网络安全技术,并分而记之。
网络安全知识的学习无非三个字:攻与防。本文会以时间线的方式梳理网络防护技术的发展历程与不同的网络攻击技术,为后续具体技术的学习和实践打下基础。
如何判断是否安全?
在介绍网络信息的攻与防之前,我们需要明确一个概念,即如何判断是否安全?这就要从安全属性讲起。
安全属性
信息、网络或系统是否安全,主要通过安全属性来评估,主要包括以下几个:
- 机密性。即数据或系统不被非授权者获取和泄露。
- 完整性。包括系统完整性和数据完整性,前者指保证系统不被非授权者使用,后者指保证数据不被非授权者修改。
- 可用性。即保证系统可以快速、准确的为授权者服务。
- 不可否认性。通信双方无法否认已经发生的行为,或者说通信双方对各自接收和发生的消息不可抵赖。
攻击与防御
网络攻击技术就是为了破坏上述安全属性,而网络防护技术就是为了保证这些安全属性不被破坏。
网络安全防护技术
下面我们会介绍网络安全防护技术的发展历程,总共可以分为三个阶段。
第一代技术:保护
目标:以保护
为目的,划分明确的网络边界
,并采用各种保护和隔离措施在网络边界上阻止非法入侵。
技术:身份认证、访问控制、可信计算基、权限管理、信息加解密等
缺点:无法全面保证信息系统的安全,总有一些入侵会进入网络内部。
第二代技术:保障
目的:既然无法将入侵隔绝在网络边界之外,就要想办法检测到内部的威胁,并采取一定的恢复措施加以应对。
技术:以检测技术
为核心、恢复技术
为后盾,融合了保护、检测、响应、恢复
四大类技术,例如防火墙、入侵检测系统、虚拟专用网、公钥基础设施、漏洞扫描等
缺点:第二代技术发挥作用的前提在于检测技术可以精确的检测到入侵,但是这是不可能的。也就是说总会存在一些威胁无法被发现。
第三代技术:顽存
目的:如果无法检测到内部的所有威胁,就再退一步,保证系统可以在遭受攻击、故障或意外事故的情况下,在一定时间内仍具有继续执行全部或关键使命的能力。
技术:以入侵容忍技术
为核心,何为入侵容忍,即在攻击者到达系统甚至已经控制部分子系统时,系统不能丧失其应有的保密性、完整性、真实性、可用性、不可否认性。
未来发展趋势
为了应对网络发展的各种挑战,网络安全防护技术将向可信化、网络化、集成化和可视化方向
发展。
可信化:从传统的计算机安全理念过渡到以可信计算理念为核心的计算机安全,并以此为基础来引发安全理论和技术的创新发展。
主要思想:在硬件平台上引入安全芯片,从而将部分或整个计算平台变为可信的计算平台。
网络化:因为网络类型和应用的不断变化,如无线网络到传感器网络到卫星网络,这些网络的发展也会为网络安全带来新的挑战。
典型实例:云计算。
集成化:即各种信息安全产品和系统开始从单一功能向多功能合一的方向发展。
可视化:将海量的网络安全态势信息以图形化方式呈现出来。区别于日志信息的简单分类和归集,可视化的方式可以帮助更好的看清攻击全貌。
承上启下:上文介绍了网络安全防护技术的发展历程与发展趋势,
网络威胁
在这一节会从一些基本的安全概念出发,而后介绍一些网络威胁的分类和演化历程,这里不会涉及到具体的网络攻击技术,但是以后学习的各种技术都可以归结到这个体系中。
一些基础概念
安全威胁
是指某个人、物、事件或概念对某一资源的机密性、完整性、可用性或合法使用所造成的危险。某种攻击就是某种威胁的具体实现。
注:这里要区分一下攻击和威胁,二者是不同的概念。
攻击是已经发生的事件,而威胁是潜在的漏洞。攻击往往要利用一个或者多个威胁。
漏洞
,也称系统脆弱性。是指在防护措施中和在缺少防护措施时系统所具有的弱点
风险
是关于某个已知的、可能引发某种成功攻击的脆弱性的代价的测度。
防护措施
是指保护资源免受威胁的一些物理的控制、机制、策略和过程。
威胁的分类
具体如下图,根据不同的分类依据可以有很多划分。
下面给出一个比较具体的分类方法:从攻击目的分类
中断攻击
窃听攻击
篡改攻击
伪造攻击
网络威胁的原因
网络威胁的产生有如下几个原因:
- 人们认识能力和实践能力的局限性。计算机的功能远远超出了当初设计计算机的功能,超出了当初的想象。计算机网络的应用远远超出当初网络设计的想象。
- 随着计算机应用的普及和深入,软件系统的规模越来越大,越来越复杂,以至于其复杂性超出了人们控制和理解范围,软件中的漏洞不可避免。尽管软件工程理论与方法不断完善,但远远不能满足软件应用的安全需求。
- 在计算机系统方面,还面临着硬件、网络等方面的安全隐患。
- 除了技术因素外,管理疏漏也是造成信息安全问题的主要原因之一
网络威胁演化
如上图所示,将网络威胁进行了分类,也是网络威胁的演化历程。
网络空间单点攻击
- 人员数量较少:一般由个人或小规模团队组成。
- 目标规模较小:一般针对个人账号(邮箱账号、论坛账号)、主机终端(windows终端、Linux终端、MAC终端)移动终端(Android、iPhone)、应用服务器(web服务器、邮件服务器)、网络设备(路由器、防火墙、安防设备)等有限目标实施攻击。
- 装备性能一般:一般使用公开漏洞或开源渗透工具作为主要实施作战。
- 攻击协同不多:攻击人员一般全程参与攻击全过程,较少配合。
- 支撑资源有限:一般通过虚拟专用网、邮箱、DNS等资源开展行动。
- 作战目标单一:以获取网络目标情报信息为主要目的。
网络空间系统攻击
- 攻击力量协同更加频繁:参与攻击人员分工更加细致,除了渗透人员、情报分析人员、漏洞分析工具研发人员之外,还有行业机构专家参与其中,实施攻击前往往需要在模拟环境下进行演练。
- 目标环境更加复杂多样:大型机构一般采用跨网跨域网络环境,包含互联网、DMZ、办公内网、核心业务网等多种场景,在这些这些场景下网络资产类型、网络防护机制、网络组网方式都不尽相同,如图所示。
- 攻击装备品类全性能高:往往利用0Day漏洞利用工具突破大型机构的内部网络和核心系统资产,此外进入内网通过后横向移动和持久化工具完成后续操作。
网络空间系统攻击对抗
网络空间体系攻击对抗态势
- 投入巨大:体系建设需要投入大量人力、物力和财力,同时还要具有相当强的技术储备,以美国为例,其在网络空间体系建设方面投入了数百亿美元,才建立起相对完整的体系。
- 体系庞大:以美国为例,无论是攻击体系还是防御体系均由众多项目组成;其中最大的支撑架构称为“湍流”(TURBULENCE),由多个系统组成,包括主动情报采集系统 TUMULT、被动情报采集系统 TURMOIL、任务逻辑控制系统 TURBINE、进攻性网空行动系统“量 子”(QUANTUM)、主动防御系统 TUTELAGE(带有积极防御的 CND主要实现)、密码服务 LONGHAUL、数据仓库 PRESSUREWAVE、网络流量分析系统 TRAFFICTHIEF 和信号情报分析系统CLUSTER WEALTH-2 等。这些系统各司其职,共同支撑信息收集、情报分析、积极防御、决策控制、网络作业等网空行动的攻击性行动环节,共同构成了美国强大的网络空间进攻性能力支撑体系。
- 目标多样:无论是个体目标还是关键基础设施目标,无论是单一场景还是复杂场景,均能体系中找到对应能力支撑。
网络空间联合攻击对抗态势
- 军种联合协同:海陆空天网多军种联合作战,网络攻击作为军事作战行动的一部分,能够为其他军种提供行动配合、情报支持、舆论引导等作用。
- 突出军事效益:网络攻击目标往往是军事指挥系统或者能够对军事行动造成影响的各种目标。
- 攻击样式多样:网络联合作战主要开展对目标的致瘫、拒绝、扰乱、欺骗等软杀伤和硬损毁网络攻击。
网络空间总体攻击对抗态势
- 战略驱动:网络攻击行动与各个国家战略目标相衔接,可以作为实现国家战略意图的一种新型手段。
- 全维对抗:和军事战、政治战、外交战、经济战、心理战、媒体战、文化战等多种斗争形态配合,在全方位对抗中发挥突出作用。
本小节总结:这里对于网络威胁的演化分析不是基于技术的,而是从全局、实际出发,这里只需要有一个大体了解即可,对于学生来说还是要落到具体的技术上。
TCP/IP协议栈的安全性
这里把TCP\IP协议栈的安全性从网络安全威胁中独立出来,因为这些知识具备整体性,可以单独作为一个知识体系进行学习。
TCP\IP协议栈
注意“栈”不是两个协议,而是一族协议。在一个问题一个协议的原则指导下,已被正式记录在案的TCP/IP协议数量接近4000多个。并且每个协议的实现也不一样,并且良莠不齐。
这里我们主要介绍的是以下协议:
TCP/IP协议脆弱性表现
- 因特网体系结构安全问题
- IP协议及其安全缺陷
- ICMP协议及其安全缺陷
- UDP协议及其安全缺陷
- TCP协议及其安全缺陷
- ARP协议及其安全缺陷
每一个协议都有其可以被攻击者利用的点。
如果只是想理解的话,举个例子也许更合适,现在的网络可以理解成交通网络,包括海陆空、高速、省县等路, 而TCP/IP则可以理解成相就的交通法规, 网络安全则理解成交通安全。
因为路网本身是有交规管理的,但是否安全,则还取决于人和交通工具
因特网体系结构安全问题
- 资源共享与分组交换
- 认证与可追踪性
- 尽力而为的服务策略
- 匿名与隐私
- 全球网络基础实施的脆弱性
- 无尺度网络(CDN Loop攻击)
- 级联结构(数字大炮)
- 端到端原则
IP协议及其安全缺陷
- IP协议没有认证机制
- 数据包分片
- 寻址与协议选项
- 访问控制与带宽控制
ICMP协议及其安全缺陷
- 利用“目的不可达”报文对攻击目标发起DOS攻击
- 利用“改变路由”报文破坏路由表,导致网络瘫痪
- 木马利用ICMP协议报文进行隐蔽通信
- 利用“回送(Echo)请求或回答”报文进行网络扫描或DOS攻击
UDP协议及其安全缺陷
UDP协议可以用来发起风暴型DOS攻击
TCP协议及其安全缺陷
- 由于主机或服务器所允许建立的TCP连接数是有限的,因此攻击者常常利用TCP全连接或半连接来对目标发起DOS攻击,如SYN Flood攻击、TCP连接耗尽型攻击等。
- 序号预测。
- 网络扫描。
ARP协议及其安全缺陷
- 网络嗅探。
- 阻止目标的数据包通过网关。
注:这里只是简要介绍一下协议的缺陷,具体的含义和实现方法在后续学习中会逐步深入。
写在最后:本篇文章从理论上介绍了网络安全的基本概念,又介绍了网络安全防护技术的发展历程和网络威胁的演化,其中并没有涉及到具体的技术细节,但是一个初始的框架已经搭好,后续会不断完善。最后,网络安全技术的学习
重在实践,不可流于表面
。