一、来自外部的安全威胁
(1)、攻击者不需要物理接触到内部网络(比如通过Internet连入内部网络)
(2)、需要掌握较多技术手段可实现(比如攻击者使用扫描软件探测弱点)
(3)、相对容易通过技术手段防御(在网络边界部署防火墙,入侵检测系统等)
(4)、容易获得关注(防御重点)
二、来自内部的安全威胁
(1)、用户已经接入内部网络,或者了解内部网络结构(内鬼,或对企业心存不满的员工)
(2)、通常无需掌握过多技术手段即可实现(直接物理盗取数据)
(3)、更难通过技术手段防御(物理安全凌驾于技术手段之上)
(4)、需要通过额外的管理手段或物理管控措施来防御(门禁、摄像头、身份卡、制度等)
攻击缓解-----------------------预防或者对已经发生的安全入侵进行相应的一系列处理过程
事前防御(未雨绸缪,先发制人):防火墙设置流量放行规则
事后防御(被动防御,攻击触发):IPS设置动态黑名单过滤策略
三、Dos(拒绝服务攻击)、DDoS(分布式拒绝服务攻击)
通过消耗关键资源,或者致使系统宕机,试图令计算机或者网络资源不可用,正常业务就无法继续运行,从而达到攻击目的。
多种实现手段:TCP SYN泛洪攻击、UDP泛洪攻击、ICMP泛洪攻击、IGMP泛洪攻击、DNS泛洪攻击等
四、欺骗攻击
产生看起来是从其他系统发起的流量,从而隐藏攻击者的真实身份完成攻击。或产生虚假内容报文流量,误导事实。
(1)、DoS/DDoS:源IP地址伪装,Smurf攻击、碎片攻击、反射和放大(Reflection and Amplification)攻击等
(2)、控制平面攻击:路由注入、删除、TCP劫持
(3)、中间人攻击:ARP毒化、源路由、DNS劫持、DHCP欺骗等
五、密码攻击
(1)、猜测(包括社工学)
(2)、暴力破解(穷举法)
(3)、字典攻击(常见密码组合的数据库)
(4)、密码嗅探(键盘记录、隐蔽摄像头等)
六、侦查攻击
攻击者首先通过各种侦查手段,获取更多的潜在受害人信息后,再进行更有侵略性的攻击。
手段包括:
(1)、使用常规的网络拍错工具(dig、nslookup、whois等)来获取域名持有人的信息以及IP地址
(2)、执行ping扫描来发现有哪些地址是在用的(存在活动主机)
(3)、执行端口扫描来判定活动主机开放了哪些服务
(4)、通过获取到的这些信息来决定有哪些弱点是可以利用来攻击的
弱点扫描软件也可以用来发现自己的网络弱点,并在受到攻击之前补丁加固。
C:UsersHP>Nslookup www.sohu.com 服务器群的IP地址列表
C:UsersHP>Nslookup -q=mx sohu.com 接着查询www.soho.com的MX记录
C:UsersHP>Nslookup sohu.com 查询www.soho.com的A记录
[root@centoszhu ~]# dig www.baidu.com linux查询方法