思唯网络CCNA安全课笔记01

什么是网络安全：
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。
一个安全网络的基本原则
-网络安全的演进：
2001年7月，一个名为“Cord Red”的蠕虫攻击事件，震惊了全世界，当时全球约35万台主机感染了Cord Red。此蠕虫不仅使被感染的服务器停止工作，而且影响服务器所在的本地网络（这也是蠕虫和病毒的区别，下章会详细介绍）。
Cord Red为一种Dos攻击，它的出现使网络工作者的世界发生了变化。用户对网络的需求已经不仅仅是设计与构建，而更多的是维护与安全。
最早的网络安全工具之一是入侵检测系统（Intrusion Detection System，IDS），诞生与1984年，它可以提供对特定类型攻击发生时的实时探测，这样网络工程师可以迅速的判断出攻击并消除，从而可以减轻攻击给网络带来得负面影响。
20世纪90年代末，入侵防御系统（Intrusion Pervention System or Sensor , IPS）它与IDS的区别在于，IPS不仅可以针对特定的攻击类型发生时进行实时探测，并能自动实时阻断攻击。
除了IDS和IPS以外，在1988年DEC公司发明了第一台报文过滤防火墙（其实就是ACL），1989年AT&T贝尔实验室发明了第一台状态化防火墙，不同于报文过滤防火墙的区别在于，状态防火墙跟踪已经建立的连接并判断报文是否属于一个已经存在的数据流，从而提供更高的安全性和更快的处理。简单的说就是，从内部主动发起的流量允许返回，从外部主动发起的流量会被拒绝。
最早的防火墙是向已有的设备中添加软件特性，如路由器或者交换机上使用ACL。随着时间的推移，一些公司开发出独立的或专用的防火墙，如：Cisco的ASA、Juniper的SSG、微软的ISA、诺基亚等一些硬件防火墙。对于一些不需要使用专业性的公司，可以使用现在路由器，如:Cisco的ISR，一个使用高级IOS的ISR路由，可以做很多安全功能，比如IOS防火墙（典型的是CBAC、ZFW），IOS的IPS等等。
以上介绍的DOS攻击，以及使用IDS、IPS、防火墙防御，这些都是关于外网的攻击，其实在于个网络当中，外网的威胁仅占20%不到，大多的攻击来自内网，下面我们简单来看下内网的攻击（关于内网的攻击，我们后面会有大量的篇幅来介绍）
内网的攻击基本上可以归纳为两类：一个是Dos，另一个是欺骗（spoofing）。
Dos攻击可以使网络资源无法访问，从而达到网络可用性的攻击；
欺骗：如ARP的欺骗，通过ARP的欺骗可以对受害者的数据包进行查看，从而了解别人的信息，这也是网络机密性的攻击；如果把得到的数据进行篡改，然后再次发送出去，这就是网络完整性的攻击。
以上也就是网络安全的三角模型，机密性、完整性、可用性。所有的网络完全都可以围绕这三点来完善，在以后的内容中也会重点围绕此安全模型讲解。
-网络安全的驱动者：Hacker黑客（略）
-网络安全组织：
系统管理、审计、网络、安全组织[SANS]
计算机应急反应组[CERT]
国际信息系统安全认证联盟[ISC]
病毒、蠕虫和特洛伊木马
-病毒是恶意软件，它依赖于其它程序，在一台计算机上执行某些的破坏功能。病毒可以是无害的，例如在电脑的桌面上显示一副图片；病毒也可以是有害的，它可以删除或修改磁盘中的文件
-蠕虫执行恶意代码并将自身的副本安装进被感染计算机的内存，被感染的计算机再次感染其它计算机。蠕虫的功能和病毒类似，区别在于，病毒是针对一台计算机而言，而蠕虫可以复制给很多计算机。
蠕虫的攻击主要分为三个组成部分：
1、启动漏洞–蠕虫在容易受攻击的系统上利用载体（如：电子邮件的附件、可执行文件等）安装自身；
2、传播机制–进入设备后，蠕虫复制自身并定位新目标；
3、有效载荷–在被感染的主机上创建一个后门。
病毒和蠕虫的共同点：
不论是病毒还是蠕虫，都分为5个基本的攻击阶段：
1、探测阶段：识别容易攻击的目标，找到可以破坏的计算机，如使用ICMP的ping来扫描网络中激活的主机
2、穿透阶段：传送恶意代码到容易受攻击的目标，使目标通过一个攻击向量执行恶意代码。
3、留存阶段：当攻击成功的从内存发起后，代码会尽力的留存在目标系统上，以确保即使系统重启，攻击代码仍运行并对攻击者可用。
4、传播阶段：攻击者通过寻找易受攻击的邻近机器试图将攻击延伸到其它目标。
5、瘫痪阶段：对系统进行实际性的破坏，文件可能被删除、系统可能会奔溃、信息可能被盗取、并可能会发起DOS攻击。
-特洛伊木马是一款经过伪装的应用程序，当一个特洛伊木马被下载并打开时，它从内部攻击终端用户计算机，并窃取内部数据。特洛伊木马源于一个希腊的神话（故事略），木马与病毒和蠕虫的区别在于，木马并不对文件进行破坏，它只是对文件进行窃取。
网络攻击的思路
攻击方法主要分三种：
-侦查攻击（Reconnaissance Attack）
侦查攻击一般使用多种工具获得网络接入：
1、报文嗅探器（Packet sniffer）
2、Ping 扫描（Ping sweep）
3、端口扫描（port scan）
4、互联网信息查询（Internet information query）
-接入攻击（Access Attack）
黑客进行接入攻击的目的：获取信息、获得访问权限和提升访问权限。
接入攻击的类型有5种：
1、密码攻击：攻击者试图猜测系统密码，常见的例子是字典攻击；
2、信任利用：攻击者使用提升访问权限的方法对未经授权的数据进行攻击；
3、端口重定向：使用曾经攻击下的主机做跳板，再对其他主机进行攻击；
4、中间人攻击：攻击者位于两个合法实体间通信的中间位置，以读取或者修改双方传递的数据；
5、缓冲区溢出：在分配的缓冲区内存外写数据的程序。
-拒绝服务攻击（Denial of Service Attack）
Dos攻击时导致对用户、设备或应用程序的某种服务中断的网络攻击。
常见的三种DOS攻击：
1、死亡之ping（Ping of Death）
发送一个为65535字节的报文请求对方的回应，这种攻击的一个变种是使用ICMP分片来填满目标缓冲区，从而是其崩溃。
2、放大攻击（Smurf Attack）
攻击者向定向的广播地址发送大量的ICMP报文，这些ICMP请求的源地址都是同一个网段的伪造地址，这时所有的主机都会对该ICMP应答，从而使流量按网络上的主机数翻倍，最终使一个网络瘫痪。
3、TCP SYN Flood
攻击者使用一个伪造地址，对服务器发起一个TCP SYN请求，而服务器必须回应一个SYN-ACK，并等待客户机的再次回应，由于攻击者的地址是伪造的，所以不可能会对服务器做最后一个ACK确认，从而导致服务器一直在维护着大量的TCP半开连接。最终使服务器的资源耗尽，无法应答正常的TCP请求。
保障网络安全的10步：
1、每周，最好是每天安装最新补丁，以防止缓冲区溢出和权限提升攻击
2、关闭不必要的服务和端口
3、使用强密码并经常更换 https://howsecureismypassword.net/
4、控制对网络的物理接入
5、避免不必要的web页面输入
6、定期备份和测试已经备份的文件
7、对员工进行网络安全教育，并对访问网络做身份认证
8、对敏感数据加密及进行密码保护
9、使用安全的硬件及软件，如防火墙、IPS、VPN等
10、为公司制定书面的安全策略