信息安全概述

名词解释

大数据：指的是所涉及的资料量规模巨大到无法透过主流软件工具，在合理时间内达到撷取、管理、处理、并整理成为帮助企业经营决策更积极目的的资讯。

云计算：是指通过网络提供计算资源（如服务器、存储、数据库、软件开发平台等）和服务的一种模式，用户无需直接管理和控制这些资源，而是按需获取和使用这些资源。这种服务方式可以发发提高计算机资源的灵活性和可扩展性，降低用户的IT成本和维护难度

云服务器：是提供云计算服务的虚拟化服务器，通过互联网提供计算、存储、网络等资源，用户可按需使用

人工智能：是研究、开发用于模拟、延伸和扩展人的智能的理论、方法、技术及应用系统的一门新的技术科学

网络空间：一个由信息基础设施组成相互依赖的网络。

信息安全：防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。

网络安全：计算机网络环境下的信息安全。

漏洞（脆弱性）：可能被一个或多个威胁利用的资产或控制的弱点

攻击：企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为

入侵：对网络或联网系统的未授权访问，即对信息系统进行有意或无意的未授权访问，包括针对信息系统的恶意活动或对信息系统内资源的未授权使用。

0day漏洞（零日漏洞）：通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是还没有开发出安全补丁的漏洞

后门：绕过安全控制而获取对程序或系统访问权的方法

WEBSHELL：以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称为一种网页后门

社会工程学：通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进入注入欺骗、受伤等危害手段取得自身利益的手法

exploit：简称exp，漏洞利用

APT攻击：高级持续威胁。利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式

1、协议栈的脆弱性和常见安全风险

协议栈自身的脆弱性体现于：

1. 缺乏数据源验证机制

2. 缺乏完整性验证机制

3. 缺乏机密性保障机制

网络的基本攻击模式：

1、截获：嗅探（sniffing）和监听（eavesdropping）

2、篡改：数据包篡改（tampering）

、中断：拒绝服务（dosing）

4、伪造：欺骗（spoofing）

被动威胁：拦截（机密性）

主动威胁：篡改（完整性）、中断（可用性）、伪造（真实性）

1.1 物理攻击

物理设备破坏：

• 指攻击者直接破坏网络的各种物理设施，比如服务器设施，或者网络的传输通信设施等

• 设备破坏攻击的目的主要是为了中断网络服务

物理设备窃听：

• 光纤监听

• 红外监听

2.1 MAC洪泛攻击

• 交换机中存在着一张记录着MAC地址的表，为了完成数据的快速转发，该表具有自动学习机制；

• 泛洪攻击即是攻击者利用这种学习机制不断发送不同的MAC地址给交换机，填满整个MAC表，此时交换机只能进行数据广播，攻击者凭此获得信息。

交换机的工作原理：交换机收到数据后，会先记录数据帧中的源MAC地址和交换机端口的映射并保存到MAC地址表中。然后将目标MAC地址同MAC地址表中的记录对比，以决定由哪个端口转发，如果不在表中则泛洪（flood）

MAC洪泛攻击原理：攻击者通过发送大量虚假MAC地址来占满交换机中的MAC地址表，因此其他主机发送数据帧时，会被交换机洪泛处理，所以攻击者就可以就接收到其他主机的数据帧。

特点：由于攻击者需要发送大量的虚假MAC地址和交换机洪泛大量的数据帧，会导致大量占用自己的带宽和交换机的带宽，伤人也伤已。

2.2 ARP欺骗

当A与B需要通讯时：

• A发送ARP Request询问B的MAC地址

• Hacker冒充B持续发送ARP Reply给A（此时，A会以为接收到的MAC地址是B的，但是实际上是Hacker的）

• 之后A发送给B的正常数据包都会发给Hacker

ARP协议：通过广播请求来获取目标设备的MAC地址。当一个设备需要发送数据到另一个设备时，它会发送一个ARP请求，询问局域网内的所有设备，是否由指定IP地址对应的MAC地址，目标设备收到该请求后，会回复一个ARP应答告诉请求者它的MAC地址

ARP欺骗原理：通过发送伪造的ARP数据包，让目标设备误以为攻击者是其网关或其他设备，从而达到欺骗目标设备的目的。这样攻击者就可以收到目标设备发出的数据包并进行截获，甚至篡改数据包中的内容。

.1 ICMP攻击

ICMP协议：是TCP/IP协议簇中的一个子协议，用于在IP主机和路由器之间传递控制信息。这些控制消息用于处理网络不通、主机是否可达、路由是否可用等网络本身的消息。

ICMP攻击原理：利用ICMP协议的特点，从而伪装成受害设备向目标设备发送大量无效或高流量的ICMP数据包，从而耗尽目标设备的资源，造成目标设备的瘫痪。

4.1 TCP SY Flood攻击

SY报文是TCP连接的第一个报文，攻击者通过大量发送SY报文，造成大量未完全建立的TCP连接，占用被攻击者的资源。----拒绝服务攻击

TCP协议是带状态的协议

TCP SY Flood攻击原理：客户机通过不断向目标设备发送建立连接的SY请求，而目标设备向客户机回复ACK并发送SY请求后，在目标设备等待客户机的ACK的这段时间里，会占用目标设备的资源。而建立的会话过多会耗尽目标设备的资源。

SY