阶段二:1-信息技术概述
信息安全概述
一 信息安全现状及挑战
1 信息安全现状
网络空间安全市场在中国,潜力无穷
数字化时代威胁升级
- 网络空间安全
- APT攻击
- 勒索病毒
- 个人信息外泄
- 数据泄露
传统安全防护逐步失效
- 传统防火墙、IPS、杀毒软件等基于特征库的安全检测,无法过滤:
- 变种僵尸/木马/蠕虫
- 恶意代码:指在未经授权的情况下,旨在破坏计算机系统、窃取数据、干扰正常运行或实施其他恶意行为的程序或代码
- U盘带入
- U盘带入:将 U 盘携带进入特定场所的行为
- BYOD带入
- BYOD 带入:将个人所有的智能设备携带进入特定场所(如工作单位、校园、涉密区域等)的行为
- 零日漏洞
- 漏洞:计算机系统、软件或网络协议中存在的设计缺陷、编程错误或配置不当,可能被恶意利用以破坏系统、窃取数据或干扰正常运行的安全隐患
- 零日漏洞:指软件、硬件或操作系统中存在的未被开发商或供应商所知,且尚未被修补或缓解的安全漏洞
- APT攻击
- APT 攻击:有组织、长期针对特定目标,通过多种手段渗透并窃取信息或长期控制的高级网络攻击
- 恶意的内部用户
- 主观:指内部用户出于主动意愿,故意利用自身权限或对组织的了解,实施破坏系统、窃取数据、泄露机密等危害行为,主观恶意性明确
- 被动:指内部用户并非主动作恶,但因疏忽、操作失误(如误点钓鱼链接、泄露密码、违规传输文件等)或被外部攻击者诱导、利用,间接导致组织信息安全受损的情况,缺乏主观恶意
- 特征库:软件的代码特征和行为特征
- 代码加密:shell壳
安全风险能见度不足
缺乏自动化防御手段
网络安全监管标准愈发严苛
2 信息安全概述
信息安全
- 防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性
网络安全
- 计算机网络环境下的信息安全
常见网络安全术语
术语 定义 特点 漏洞(脆弱性) 系统、设备或应用程序中存在的弱点,可能被威胁利用导致安全事件 隐蔽性强,需通过检测发现,可被修复 攻击 试图破坏、泄露、篡改、损伤、窃取、未授权访问或使用资产的行为 目的性明确,手段多样(如漏洞利用、钓鱼等) 入侵 对网络或联网系统的未授权访问,含恶意活动或未授权使用系统资源 突破安全边界,属于主动攻击行为 0day 漏洞 尚未被官方发现或未发布安全补丁的漏洞 危害极大,无补丁可修复,易被攻击者利用 后门 绕过正常安全控制机制,用于非法获取系统访问权限的方法或程序 隐蔽性高,可长期控制目标系统 WEBSHELL 以网页文件形式存在的网页后门,用于在网页服务器上执行命令 伪装成正常网页文件,便于攻击者远程控制服务器 社会工程学 利用人的心理弱点(如好奇心、信任),通过欺骗手段获取利益或实施攻击 针对人性弱点,无需复杂技术,成功率高 exploit 用于利用系统或应用程序漏洞执行恶意操作的漏洞利用程序 针对性强,需与特定漏洞匹配,是攻击的重要工具 APT 攻击 高级持续性威胁,通过长期、有组织、针对性手段渗透目标,窃取信息或控制 目标明确、持续时间长、隐蔽性强、技术先进 网络安全事件发生的必要条件
- 存在漏洞/弱点
- 指系统、网络、应用程序或人员操作中存在的弱点,例如软件漏洞、配置错误、密码管理不当、权限设置不合理等
- 安全事件发生的 “基础条件”,为威胁的利用提供了可能性
- 存在威胁源
- 包括主动实施攻击的主体(如黑客组织、恶意内部人员、竞争对手)或被动触发风险的因素(如恶意代码、钓鱼邮件)
- 威胁源的存在是推动安全事件发生的 “动力”,其目的通常是窃取数据、破坏系统、谋取利益等
二 信息安全的脆弱性及常见安全攻击
1 网络环境的开放性
“ INTERNET的美妙之处在于你和每个人都能互相连接, INTERNET的可怕之处在于每个人都能和你互相连接 ”
2 协议栈的脆弱性及常见攻击
2.1协议栈的脆弱性
- 缺乏数据源验证机制
- 协议栈在设计上可能没有对数据来源进行严格验证,导致攻击者可以伪造数据来源,进行欺骗性攻击,如 IP 地址欺骗等
- 缺乏完整性验证机制
- 数据在传输过程中可能没有有效的完整性校验手段,使得攻击者可以篡改数据内容而不被发现,破坏数据的真实性和可靠性
- 缺乏机密性保障机制
- 没有足够的加密等机密性保护措施,数据在传输或存储过程中容易被窃取和泄露,威胁数据的安全性
2.2 协议栈常见攻击
常见安全风险
网络的基本攻击模式
被动威胁 - 截获(机密性)
嗅探(sniffing)
- 攻击者通过工具或技术手段,在网络中捕获和分析数据流量,以获取敏感信息
- 如用户密码、信用卡号等
监听(eavesdropping)
- 攻击者在通信过程中窃听双方的对话或数据传输,以获取机密信息
- 例如在公共 Wi-Fi 网络中监听他人的网络通信
主动威胁 - 篡改(完整性)
- 数据包篡改(tampering)
- 攻击者在数据传输过程中截获数据包,并对其内容进行修改后再发送给接收方,以达到欺骗或破坏的目的
- 例如修改金融交易数据
主动威胁 - 中断(可用性)
- 拒绝服务(dosing)
- 攻击者通过向目标系统发送大量的请求或数据,使系统资源耗尽,无法正常提供服务
- 例如常见的 DDoS(分布式拒绝服务)攻击
主动威胁 - 伪造(真实性)
- 欺骗(spoofing)
- 攻击者伪造身份或数据,以欺骗目标系统或用户
- 例如伪造电子邮件地址发送钓鱼邮件,或者伪造 IP 地址进行网络攻击
2.2.1 物理层
物理层主要攻击类型
物理设备破坏
指攻击者直接破坏网络的各种物理设施,比如服务器设施,或者网络的传输通信设施等
设备破坏攻击的目的主要是为了中断网络服务
物理设备窃听
光纤监听
红外监听
自然灾害
- 高温、低温、洪涝、龙卷风、暴雨、地震、海啸、雷电等
常见处理办法及备份策略
常见处理办法
- 建设异地灾备数据中心
- 作用:应对物理破坏、自然灾害等导致的本地系统瘫痪,保障数据和服务的可恢复性
备份分类及特点
本地备份
- 在本地存储数据副本,便于快速恢复,但无法抵御区域性灾害或物理破坏
异地备份
- 安全性更高,可规避本地灾害或破坏的影响,灾备首选方案
- 备份间隔:需明确本地服务器的备份时间及间隔,确保数据时效性
- 备份恢复:本地服务器恢复后,异地数据同步至本地的方式包括:
- 分步恢复:先恢复核心数据,后续逐步同步剩余内容。
- 异地搬迁:直接用异地服务器替换本地受损设备,快速恢复服务
如今网络攻击的趋势确实更倾向于无线层或逻辑层攻击,而不是传统的物理攻击
场景 无线设备 简要介绍 家庭 无线路由器 将宽带信号转为 Wi-Fi,供手机、电视等设备连接,是家庭无线网络的核心设备 校园 无线接入点(AP) 部署在教学楼、图书馆等区域,提供大范围的 Wi-Fi 覆盖,支持高密度接入 运营商 5G 基站 提供移动通信服务,通过无线信号连接用户设备与核心网络,实现高速上网和通话功能
2.2.2 链路层
链路层主要攻击类型
- MAC洪泛攻击
只能实现同一广播域中
交换机 MAC 表机制
- 交换机中维护一张 MAC 地址表(也称为 CAM 表)
- 用于将 MAC 地址与交换端口映射,从而进行快速转发
- 该表具有 自动学习机制:当交换机收到某帧时,会记录源 MAC 地址和对应的接口
- 一般来说,MAC 表容量有限(如几千条记录)
攻击原理
- 攻击者构造大量伪造的源 MAC 地址并发送到交换机
- 交换机不断学习新地址,导致 MAC 表迅速被填满(溢出)
- 一旦表满,交换机将无法定位目的 MAC 地址,改为广播所有帧到每个端口
- 攻击者通过监听广播帧,即可窃听局域网内其他主机的通信内容,从而实施中间人攻击或数据窃取
攻击手段
在kail武器库终端输入
macofARP欺骗
只能实现同一广播域中
ARP(地址解析协议) 负责将 IP 地址解析为对应的 MAC 地址
- 由于 ARP 本身是无验证机制的,攻击者可以通过伪造 ARP 回复,欺骗主机的 ARP 缓存表,将目标 IP 地址错误地映射为自己的 MAC,从而实现数据劫持或中间人攻击
攻击过程
- 攻击者监听局域网中的 ARP 请求和应答数据包
- 伪造 ARP 响应,向目标主机发送错误的 IP-MAC 对应关系
- 例如:将网关 IP
192.168.1.1对应到攻击者的 MAC 地址上- 受害主机将伪造的 IP-MAC 对写入本地 ARP 缓存
- 之后所有发往网关的数据都会先发送到攻击者机器
⚠️ 注:ARP 是双向的,攻击者通常同时欺骗目标主机和网关,从而建立完整的中间人链路
⚠️ 注:防火墙工作在三层及以上,无法识别和过滤链路层的ARP报文,因此ARP欺骗具备较高的隐蔽性和攻击效率
结果与危害
结果 描述 流量劫持 攻击者可以看到、篡改或重放目标主机的网络流量。 中间人攻击 攻击者在网关和目标之间建立中转桥梁,隐蔽监听双方通信内容。 会话劫持 可截获如 HTTP 登录信息、Cookie 等敏感数据。 拒绝服务(DoS) 将目标 IP 映射为一个无效的 MAC,使通信中断。 常见处理办法
- MAC洪泛–DHCP Snooping
- 定义
- DHCP Snooping 是一种 二层安全机制,用于监控和控制 DHCP 报文,防止恶意主机伪造 DHCP 服务器、分发非法 IP 地址等行为
- 工作原理
- 信任端口(trusted port):允许转发 DHCP 服务器发出的响应报文(如 DHCP Offer、ACK)
- 非信任端口(untrusted port):仅允许客户端发送请求(如 DHCP Discover、Request),不允许发送 DHCP 响应
- 绑定表(binding table):DHCP Snooping 在交换机中建立一张动态绑定表,记录每个设备的 MAC地址、IP地址、接口号、VLAN号 等信息
- 只允许符合绑定表项的 MAC 地址数据帧通过,从而有效防止非法 MAC 地址的泛洪攻击;非法或异常的 DHCP 报文将被直接丢弃
- ARP欺骗
- 动态 ARP 检查(DAI)
- 基于 DHCP Snooping 构建的合法 ARP 映射,拒绝非法 ARP 响应
- 静态 ARP 表
- 为关键设备(如网关)手动绑定固定 IP-MAC 映射
- 开启交换机安全功能
- 如 Cisco 的 ARP Inspection、IP Source Guard
- 使用加密协议
- 如 HTTPS、SSH,防止敏感信息被劫持
2.2.2 网络层
常见的攻击
- ICMP攻击
攻击类型 攻击原理 发送方式 ICMP洪泛攻击(Ping Flood) 发送大量ICMP Echo请求,消耗目标带宽和资源,造成拒绝服务(DoS) 单播,直接发送到目标IP Smurf攻击 利用定向广播地址,将伪造源地址为目标IP的ICMP Echo请求广播,放大攻击流量 定向广播(子网广播地址) ICMP重定向攻击(Redirect Attack) 伪造ICMP重定向报文,误导目标修改路由表,截获或篡改通信 单播,发送到目标主机 ICMP目的不可达攻击(Destination Unreachable) 发送大量伪造的“目的不可达”ICMP报文,扰乱网络通信 单播,发送到目标IP或设备 Ping of Death(死亡之ping) 发送异常超大ICMP包(分片重组时出错),导致目标系统崩溃或重启 单播,发送到目标IP ICMP时间戳攻击(Timestamp Attack) 利用ICMP时间戳请求回复探测网络时间信息,用于信息收集 单播,发送到目标IP ICMP扫描/探测攻击 发送ICMP Echo请求或其他类型ICMP报文,探测网络存活主机或操作系统 单播,针对扫描目标IP范围
- 多数操作系统默认由内核直接处理 ICMP 报文,服务器不会主动拒绝,易被攻击者利用进行如 Ping Flood、Smurf 等攻击
Smurf攻击
- 工作原理
- Smurf攻击利用了网络设备对广播地址的响应机制。攻击者伪造受害者IP地址为源地址,向某个网络的定向广播地址发送大量ICMP Echo请求(ping请求)。该网络中的所有主机都会收到广播请求并向伪造的源地址(即受害者)回复大量ICMP Echo响应,从而放大了攻击流量,淹没了受害者的网络带宽和资源,造成拒绝服务
- 攻击过程
- 攻击者选择目标IP(受害者IP)
- 攻击者伪造ICMP Echo请求的源IP为受害者IP
- 向目标子网的定向广播地址(例如192.168.1.255)发送大量ICMP Echo请求
- 该子网中所有主机收到请求后,向伪造的源IP(受害者IP)回复Echo响应
- 受害者收到大量回复包,网络带宽和处理能力被耗尽,导致服务不可用
ICMP重定向攻击
工作原理
- ICMP重定向消息是正常网络中路由器告诉主机更新其路由表的机制。攻击者伪造ICMP重定向报文,诱导主机将数据包的转发路径改为攻击者控制的机器,从而实现中间人攻击、数据监听或流量劫持
攻击过程
攻击者伪造一条ICMP重定向报文,告知目标主机某条更优路由路径(通常是攻击者控制的IP)
目标主机接收该重定向报文,更新路由表,将原本发往某网络的流量改道到攻击者指定的路径
攻击者借此可以截获、篡改或阻断目标主机的通信
常见处理办法
- 禁用ICMP重定向功能
- 防止被伪造的ICMP重定向报文误导,避免路由被篡改
- 禁用定向广播功能
- 防止Smurf攻击,关闭网络设备对定向广播地址的响应
- 限制ICMP报文速率(限流)
- 控制ICMP包的接收和发送频率,防止洪泛攻击
- 使用防火墙规则过滤异常ICMP报文
- 丢弃来源异常或类型异常的ICMP消息
- 部署入侵检测与防御系统(IDS/IPS)
- 监测和阻断异常流量
2.2.2 传输层
传输主要攻击类型
TCP SYN Flood攻击(SYN洪水攻击)
- SYN报文是TCP连接的第一个报文,攻击者通过大量发送SYN报文,造成大量未完全建立的TCP连接,占用被攻击者的资源。----拒绝服务攻击
工作原理
TCP连接建立采用三次握手(Three-way Handshake):
- 客户端发送SYN请求连接
- 服务器回复SYN-ACK确认
- 客户端回复ACK,连接建立
SYN Flood攻击中,攻击者发送大量伪造源地址的SYN请求,服务器为每个请求分配资源并等待第三步ACK响应,但攻击者不回应,导致服务器大量半开连接(Half-open Connection),消耗服务器资源,最终无法处理正常请求,造成拒绝服务(DoS)
攻击过程
- 攻击者向目标服务器发送大量SYN请求包,且源IP多为伪造
- 服务器为每个请求分配内存和状态,回复SYN-ACK
- 因为源IP不存在或不响应,服务器一直等待ACK超时
- 半开连接积累,服务器资源耗尽,拒绝正常连接请求
主要特点
- 主流攻击方式:是最常见和经典的拒绝服务攻击之一
- 成本低:攻击者只需发送大量伪造SYN包,不需要完成完整连接,流量生成效率高,成本较低
- 效率高:通过占用服务器半开连接资源,能快速耗尽目标资源,导致服务瘫痪
- 隐蔽性强:源IP多为伪造,难以追踪攻击源。
- 利用协议缺陷:利用了TCP三次握手设计上的半开连接机制
分布式拒绝服务攻击(DDoS)
- 定义
- DDoS攻击是指攻击者通过控制大量分布在不同网络的“僵尸主机”(Botnet),同时向目标发起海量攻击流量或请求,导致目标网络、服务器或服务资源耗尽,无法正常响应合法用户请求
- 特点
- 攻击源分布广泛,难以阻断单一来源
- 攻击流量巨大且复杂,能绕过普通防护措施
- 破坏性强,影响范围广泛
- 多种攻击方式结合,如SYN Flood、UDP Flood、HTTP Flood等
- 攻击过程
- 攻击者先通过病毒、木马控制大量僵尸主机
- 通过控制中心(C&C服务器)统一指挥僵尸主机发起攻击
- 僵尸主机向目标发送大量攻击流量,压垮目标资源
DDoS攻击风险防护方案
- 网络设备性能充裕
- 防火墙、路由器、交换机等网络设备需具备富余性能,以承受DDoS攻击时的大流量冲击,避免设备成为瓶颈
- 网络带宽资源充裕
- 保持一定比例的带宽余量,确保在遭受DDoS攻击时,正常业务流量仍有足够带宽,保障服务可用性
- 异常流量清洗
- 通过专门的抗DDoS设备(流量清洗设备、WAF等)检测并过滤异常攻击流量,保障正常流量通畅
- 通过CDN分流
- 利用内容分发网络(CDN)多节点分布特性,将用户请求分散到多个节点,分担攻击流量,减轻源站压力
- 分布式集群架构
- 构建分布式集群,分配充足资源,使用数据同步和冗余技术,提高系统整体抗攻击能力和容错性
2.2.2 应用层
常见攻击手段
DNS欺骗攻击
定义
- DNS欺骗攻击是指攻击者伪造DNS响应,将用户请求的域名解析为错误的IP地址,从而引导用户访问伪造的恶意网站,实现流量劫持、信息窃取或传播恶意软件的目的
特点
- 隐蔽性强:用户表面上访问的是正常域名,难以察觉已被劫持
- 影响范围广:一旦缓存污染,影响同一DNS服务器下所有用户
- 实施难度中等:不需控制用户终端,只需向DNS服务器注入伪造数据即可
- 攻击成本较低:可远程发起,不依赖高带宽
工作原理
- DNS解析流程存在“信任模型”
- 本地DNS服务器通常会缓存上游DNS的解析结果,一旦攻击者能伪造“权威回应”,并在DNS服务器接收到正确回应前将其接收,就能将错误IP缓存入DNS缓存中
- 攻击利用了
- UDP协议无连接、无验证特性
- DNS响应中 事务ID可预测 或 验证机制不足
- DNS服务器 无完善认证机制,容易缓存错误结果
工作过程
- 用户向本地DNS服务器请求
www.example.com- 本地DNS服务器向外部权威DNS请求解析
- 攻击者伪造一个带有正确事务ID的DNS响应,提前返回给本地DNS
- 本地DNS将攻击者伪造的IP地址缓存下来(如:恶意IP)
- 用户后续访问
www.example.com,会被指向攻击者控制的网站
3 操作系统的脆弱性及常见攻击
3.1 操作系统自身的漏洞
人为原因
- ➢ 在程序编写过程中,为实现不可告人的目的,在程序代码的隐藏处保留后门。
客观原因
- ➢ 受编程人员的能力,经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升。
硬件原因
- ➢ 由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现
3.2 缓冲区溢出攻击
缓冲区溢出攻击原理
- ➢ 缓冲区溢出攻击利用编写不够严谨的程序,通过向程序的缓冲区写入超过预定长度的数据,造成缓存的溢出,从而破坏程序的堆栈,导致程序执行流程的改变
缓冲区溢出的危害
➢ 最大数量的漏洞类型
➢ 漏洞危害等级高
3.3 缓冲区溢出攻击过程及防御
- 如果可精确控制内存跳转地址,就可以执行指定代码,获得权限或破坏系统
- 缓冲区溢出的防范可以从以下三个方面考虑
4 终端的脆弱性及常见攻击
4.1 勒索病毒
勒索病毒
定义:
- ➢ 一种恶意程序,可以感染设备、网络与数据中心并使其瘫痪,直至用户支付赎金使系统解锁。
特点:
- ➢ 调用加密算法库、通过脚本文件进行Http请求、通过脚本文件下载文件、读取远程服务器文件、通过wscript执行文件、收集计算机信息、遍历文件
危害:
- ➢ 勒索病毒会将电脑中的各类文档进行加密,让用户无法打开,并弹窗限时勒索付款提示信息,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将永远无法恢复cms==新闻网络平台
勒索病毒发展
勒索病毒第一阶段:锁定设备,不加密数据
**时间:**2008年以前
**勒索方式:**主要是锁定设备
**主要家族:**LockScreen
简介:
➢ 2008年以前,勒索病毒一般不加密用户数据,只锁住用户设备,需提供赎金才能解锁。
➢ 期间以LockScreen 家族为主。
➢ 由于它不加密用户数据,所以只要清除病毒就不会给用户造成除勒索资金外的其他损失。
➢ 该类勒索病毒带来的危害较小,所以该类型的勒索软件只是昙花一现,很快便消失了
勒索病毒第二阶段:加密数据,交付赎金后解密
**时间:**2013年前后
**勒索方式:**加密用户数据
**主要家族:**CTB-Locker、TeslaCrypt、Cerber
简介:
➢ 2013年,以加密用户数据勒索赎金的勒索软件出现在公众视野;
➢ 勒索软件采用高强度对称和非对称的加密算法;
➢ 因当时的算力不足无法解密,受害用户只能支付赎金
勒索病毒第三阶段:攻陷单点后,横向扩散
**时间:**2017年前后
**勒索方式:**加密用户数据
**主要家族:**WannaCry、Satan等
简介:
➢ 此阶段,勒索病毒开始通过漏洞或弱口令等方式发起蠕虫式攻击, 典型的如WannaCry;
➢ 另外,如 Satan 病毒,除使用永恒之蓝漏洞传播外,还内置多种web漏洞攻击功能,相比传统的勒索病毒传播能力更强、速度更快。此类病毒利用的传播手法非常危险
勒索病毒第四阶段:加密货币的出现改变勒索格局
- 加密货币特点
- 去中心化
- 跨境无国界
- 隐私性强
勒索病毒第五阶段:RaaS模式初见规模
4.1.1 勒索病毒感染与传播方式
传播方式 原理 典型案例 主要对象 传播方向 钓鱼邮件 恶意代码伪装在邮件附件中,诱使用户打开附件 Hermes、Petya 个人 PC 外到内 蠕虫式传播 通过漏洞进行网络空间中的蠕虫式传播 WannaCry、Petya 变种 无定向,自动传播都有可能 横向 恶意软件捆绑 通过捆绑正常软件或恶意软件来分发勒索软件 Globelmposter 个人 PC 外到内 暴力破解 通过暴力破解 RDP 端口、SSH 端口、数据库端口 Matrix、Planetary、Crysis 开放远程管理的 Server 横向、外到内 Exploit Kit 分发 通过黑色产业链中的 Exploit Kit 来分发勒索软件 Cerber 有漏洞的业务 Server 外到内
4.1.2 勒索病毒攻击链分析
阶段 关键技术或手段 感染媒介 钓鱼软件、蠕虫病毒、恶意邮件 C&C 通信 匿名通信、下载载荷、DGA 通信 文件加密 混合加密体系、弹出勒索对话框 横向移动 弱点横向探测、蠕虫式传播、MS17-010 永恒之蓝漏洞 复盘一次勒索病毒
4.1.3 勒索病毒的特点
攻击者
特点 说明 传播入口多 - 利用邮件、网站挂马、远程桌面、漏洞、U盘、供应链等多种方式入侵
- 攻击面广泛、难以完全封堵传播技术隐蔽 - 加壳混淆、绕过杀软、防沙箱检测、延时触发等手段
- 借助合法工具(如PowerShell、VBS)隐藏行为勒索产业化发展 - 存在“勒索即服务”(RaaS)模式,黑客无需技术即可发起攻击
- 分工明确:开发者、传播者、洗钱者、客服受害者
困境 说明 安全状况看不清 - 网络资产分布不清楚,缺乏统一监控
- 很难发现潜伏中的攻击行为安全设备防不住 - 传统防火墙、杀毒软件对变种病毒无效
- 未部署专用终端检测与响应(EDR)等问题处置不及时 - 缺乏应急机制,发现时文件已加密
- 不知如何隔离、恢复或联系专业人员
4.1.4 勒索病毒的防护
构建高效的勒索病毒协同防护体系
威胁来源
来源类型 描述 恶意链接下载 攻击者利用挂马网站、伪装下载链接注入恶意代码(如http钓鱼) 邮件病毒传播 通过钓鱼邮件、带病毒附件或恶意链接的邮件进行传播 APT攻击组织 高级持续性威胁组织具备强大的资源和渗透能力 黑客工具与平台 包括病毒木马工具包、勒索即服务(RaaS)等产业化工具 整体防护逻辑
云端情报联动防护
接入全球威胁情报中心与APT检测服务
实时同步病毒特征、C&C地址、恶意行为模式
快速识别新型变种勒索病毒
边界防护设备联合阻断
利用下一代防火墙+IPS+AF+策略网关等,融合检测能力
一键隔离恶意主机、阻断外联
智能封堵攻击源IP
终端安全防护(EDR)
在办公区、数据区、分支区部署EDR终端检测响应系统
实时监测文件加密行为、勒索软件启动、权限提升等异常
支持终端隔离、杀进程、回滚文件操作
沙箱分析与平台响应
将可疑样本上传“安全威胁平台”(如SIP)进行动态行为分析
联动DGA检测、异常外联识别,精准阻断C&C通道
可视化监测与自动响应
联动可视化界面,识别数据中心、办公终端中的潜伏主机行为
自动触发告警、流量分析、命令控制链溯源
防护关键点
防护环节 防护方式 入侵阻断 NGFW/IPS/AF/策略网关,封锁入口流量与恶意访问 传播控制 端口隔离、横向行为分析,阻止内网扩散 行为检测 EDR、行为监测平台,识别加密行为、异常执行 沙箱分析 可疑文件上传沙箱自动化分析,精准识别新型病毒 自动响应 自动隔离终端、阻断外联、终端回滚等能力 情报联动 云端威胁情报+本地策略快速更新,及时应对新变种
4.2 挖矿病毒
定义
- ➢ 一种恶意程序,可自动传播,在未授权的情况下,占用系统资源,为攻击者谋利,使得受害者机器性能明显下降,影响正常使用
- 属于资源滥用型恶意代码,以低风险方式获利,持续性强,目标多为服务器、云主机、办公终端等
特点
➢ 占用CPU或GPU等计算资源、自动建立后门、创建混淆进程、定期改变进程名与PID、扫描ssh文件感染其他机器
特点 说明 高资源占用 占用CPU/GPU/内存资源,严重影响性能 自动后门建立 利用漏洞(如SSH爆破、Redis未授权访问)在目标中植入后门 进程混淆与伪装 伪装成系统进程,如 svchost.exe、httpd,隐藏真实行为动态变换策略 会周期性更改进程名/PID,规避监控系统 连接矿池服务器 后台与攻击者指定的加密货币矿池服务器(如Monero)通信挖矿 横向传播 扫描内网 SSH 密钥、未授权 Redis、漏洞等,感染其他主机 多平台支持 支持 Linux、Windows、Docker 容器,甚至安卓平台 危害
占用系统资源、影响系统正常使用
危害类型 说明 系统资源滥用 CPU/GPU占满,导致系统卡顿、风扇狂转 硬件寿命缩短 长时间高负荷运行导致设备过热、老化 业务中断风险 服务器响应慢,严重时业务系统宕机 安全隐患升级 后门存在,容易引入二次攻击(如勒索、数据泄露) 云资源经济损失 在云平台(如阿里云、AWS)上中毒,会导致巨额计算费用被攻击者挖矿产生
4.3 特洛伊木马
定义
木马是一种伪装成合法程序,诱使用户运行,在后台悄悄执行恶意操作的程序
➢ 完整的木马程序一般由两个部份组成:服务器程序与控制器程序
- 服务端(植入受害主机):开启监听或连接外部控制者
- 控制端(攻击者持有):用于远程指令下发与监控操作
➢ “中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制装有服务器程序的电脑
特点:
➢ 注入正常程序中,当用户执行正常程序时,启动自身
➢ 自动在任务管理器中隐藏,并以“系统服务”的方式欺骗操作系统。包含具有未公开并且可能产生危险后果的功能的程序。具备自动恢复功能且打开特殊端口
特点 说明 伪装性强 常嵌入合法程序(如游戏、办公软件)或文件(如图像、文档)中 启动隐蔽 自动随系统启动、后台运行,难以被用户察觉 隐藏进程/伪装服务名 在任务管理器中以系统服务名运行,例如 svchost.exe端口监听/反向连接 开启端口等待连接,或反向连接攻击者主机 自动恢复功能 木马被杀后,其他辅助程序可重新释放其主体 绕过杀软 利用加壳、混淆、数字签名欺骗防病毒软件 模块化设计 常集成键盘记录、屏幕监听、摄像头监控、文件操作等功能 危害
个人隐私数据泄露,占用系统资源
危害类型 描述 远程控制 攻击者可远程操作受害主机(上传、下载、关机、执行命令) 隐私泄露 窃取用户账号、密码、银行信息、文件资料等 系统资源占用 后台运行程序增多,占用内存、CPU,影响性能 构建肉鸡网络 被控制的主机可能被用于DDoS攻击、传播病毒、挖矿等 传播木马工具 攻击者进一步扩散木马至局域网或U盘传播 木马的区别
木马的最大特点? → 伪装性强、隐藏性好、可远程控制
木马和蠕虫的区别?→ 木马不自我传播,蠕虫可自动扩散
木马的传播方式?→ 邮件、U盘、网站、破解软件、社工
4.4 蠕虫病毒
定义
➢ 蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机
项目 内容 定义 一种 不依赖宿主程序、可通过网络自我复制与传播的恶意程序,常常利用操作系统或软件漏洞实现入侵与横向移动。 区别于病毒 病毒一般依附于宿主文件传播,蠕虫独立运行,传播速度更快。 特点
➢ 不依赖宿主程序、利用漏洞主动攻击、通过蠕虫网络隐藏攻击者的位置
特点 说明 无需宿主程序 可以作为独立程序运行,不像普通病毒依赖文件寄生。 网络传播能力强 借助 TCP/IP 网络协议栈,自动扫描主机漏洞传播。 自动复制与传播 无需用户操作,即可扩散至其他设备。 利用系统漏洞 常用“零日漏洞”“未打补丁漏洞”实现入侵。 构建控制网络 形成“僵尸网络”(botnet),隐匿攻击源地址。 危害
危害类型 说明 拒绝服务攻击 大量占用带宽/资源,瘫痪系统(如SQL Slammer、Blaster) 隐私泄露 收集系统信息、密码、日志等发送给攻击者 植入后门 控制主机执行远程命令,成为“肉鸡” 横向渗透 自动扫描感染同网段或互联网上的主机,实现“爆炸式传播” 防护手段
措施类别 内容 系统补丁 及时打补丁、关闭不必要端口(如135、445) 边界防护 防火墙、IPS/IDS,检测异常扫描行为 行为分析 采用EDR、NDR识别异常网络连接与高频文件操作 访问控制 限制权限、启用最小权限原则 网络隔离 划分VLAN,防止横向移动 教育培训 不随意点开未知邮件、禁用USB传播路径等
4.5 宏病毒
定义
- ➢ 宏病毒是一种寄存在文档或模板的宏中的计算机病毒
特点:
- ➢ 感染文档、传播速度极快、病毒制作周期短、多平台交叉感染
危害:
➢ 感染了宏病毒的文档不能正常打印
➢ 封闭或改变文件存储路径,将文件改名
➢ 非法复制文件,封闭有关菜单,文件无法正常编辑
➢ 调用系统命令,造成系统破坏
病毒行为
- 自我复制到“启动”文件夹,随系统启动
- 感染所有新建文档,扩大传播面
- 禁用工具栏/菜单项,阻止用户操作
- 修改注册表、调用系统命令行,破坏性强
4.6 流氓软件/间谍软件
定义
➢ 流氓软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵害用户合法权益的软件,但不包含中国法律法规规定的计算机病毒。
➢ 间谍软件是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用经验、隐私和系统安全的物质控制能力。
特点:
- ➢ 强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑、恶意安装等。
危害:
- ➢ 窃取隐私,影响用户使用体验。
流氓软件和间谍软件的区别
- 流氓软件通常以欺骗、捆绑或强制安装的形式出现,目的主要是盈利(如弹广告、推广等),但不一定直接破坏系统
- 间谍软件更侧重于秘密监视和数据窃取,通常安装后会偷偷收集用户敏感信息,比如账号密码、浏览记录、位置数据等
传播途径
- 捆绑软件(比如免费软件捆绑安装)
- 网络钓鱼邮件或恶意网站
- 伪装成正常软件或插件
- 利用系统或软件漏洞自动安装
4.7 僵尸网络
定义:
➢ 采用一种或多种传播手段,将大量主机感染僵尸程序,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
➢ 僵尸程序:指实现恶意控制功能的程序代码;
➢ 控制服务器:指控制和通信(C&C)的中心服务器
特点:
- ➢ 可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来,可以一对多地执行相同的恶意行为
危害:
- ➢ 拒绝服务攻击;发送垃圾邮件;窃取秘密;滥用资源;僵尸网络挖矿
僵尸网络结构及工作原理
- 感染传播:攻击者通过漏洞、钓鱼、木马等手段感染大量主机,植入“僵尸程序”。
- C&C(Command and Control)服务器:攻击者通过C&C服务器向僵尸主机发送指令,控制其行为。
- 分布式架构:现代僵尸网络多采用分布式架构,甚至P2P控制,增加追踪难度
传播手段具体示例
- 利用操作系统或应用漏洞远程执行代码
- 邮件钓鱼附件或链接
- 恶意软件下载捆绑
- 社交工程攻击
常见攻击类型及危害
- DDoS攻击:利用大量僵尸主机同时向目标发起流量攻击,导致目标瘫痪
- 垃圾邮件发送:利用僵尸主机批量发送垃圾邮件,进行诈骗或传播恶意软件
- 数据窃取:窃取用户密码、信用卡信息、商业机密等
- 资源滥用:如未经授权的加密货币挖矿,占用计算资源和电力
- 隐蔽性强:僵尸网络往往伪装流量,隐藏控制指令,难以发现
防范与检测
- 终端安全:定期更新系统和软件补丁,安装杀毒和反恶意软件。
- 网络监控:通过流量异常检测,识别异常C&C通信。
- 黑名单技术:封禁已知的C&C服务器IP地址或域名。
- 行为分析:基于主机行为检测潜在感染迹象。
- 用户安全意识:避免点击不明邮件和链接。
4.8 终端安全防范措施
5 其他常见攻击
5.1 社工攻击
原理:
➢ 社会工程攻击,是一种利用"社会工程学" 来实施的网络攻击行为
➢ 在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为
社工攻击常见类型
- 钓鱼攻击(Phishing):通过伪装成可信实体,诱骗用户点击恶意链接或提供账号密码。
- 电话欺诈(Vishing):攻击者通过电话冒充内部人员或客户,骗取机密信息。
- 假冒身份(Impersonation):冒充权威人员获得信任,从而绕过安全控制。
- 诱导操作:诱导用户执行危险操作,比如下载恶意软件、修改配置等。
- 肩窥(Shoulder surfing):通过直接观察用户输入敏感信息
防御手段:
- ➢ 定期更换各种系统账号密码,使用高强度密码等
- 安全意识培训:定期对员工进行安全教育,模拟钓鱼演练,提升识别能力
- 多因素认证(MFA):即使密码泄露,也能通过第二认证层阻止非法登录
- 严格的访问控制:最小权限原则,避免因信息泄露导致大范围影响
- 监控和报警:及时检测异常行为,快速响应
- 信息分类与保密:避免不必要地透露敏感信息
- 验证身份:电话、邮件中的请求需多渠道核实,避免直接执行敏感操作
5.2 人为因素
无意的行为
➢ 工作失误——如按错按钮;
➢ 经验问题——不是每个人都能成为系统管理员,因此并不了解贸然运行一个不知作用的程序时会怎么样;
➢ 体制不健全——当好心把自己的账号告诉朋友时,你却无法了解他会如何使用这一礼物;
恶意的行为
➢ 出于政治的、经济的、商业的、或者个人的目的
➢ 病毒及破坏性程序、网络黑客
➢ 在Internet上大量公开的攻击手段和攻击程序
防范措施
1.提升安全意识,定期对非IT人员进行安全意识培训和业务培训
2.设置足够强的授权和信任方式,完善最低权限访问模式
3.组织需要完善和落地管理措施,保障安全管理制度是实际存在的
4.善于利用已有的安全手段对核心资产进行安全保护等
5.3 拖库、洗库、撞库
原理
➢ 拖库:是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为
➢ 洗库:在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作洗库
➢ 最后黑客将得到的数据在其它网站上进行尝试登陆,叫做撞库,因为很多用户喜欢使用统一的用户名密码。
防御手段
- 重要网站/APP的密码一定要独立
- 电脑勤打补丁,安装一款杀毒软件
- 尽量不使用IE浏览器,使用正版软件
- 不要在公共场合使用公共无线做有关私密信息的事
- 自己的无线AP,用安全的加密方式(如WPA2),密码复杂些
- 电脑习惯锁屏等
5.4 跳板攻击
原理
➢ 攻击者通常并不直接从自己的系统向目标发动攻击,而是先攻破若干中间系统,让它们成为“跳板”,再通过这些“跳板”完成攻击行动
➢ 跳板攻击就是通过他人的计算机攻击目标.通过跳板实施攻击
步骤 说明 1. 攻击者入侵第一个目标 比如公网暴露的弱口令服务器、开放端口设备等 2. 利用被入侵主机作为跳板 作为中转代理隐藏真实IP,通过该主机继续攻击其他内网主机 3. 横向移动 在内网中利用漏洞、弱密码、共享资源逐步向核心系统渗透 4. 实施攻击或数据外传 从核心系统导出数据或植入恶意程序 风险与危害
- 真实攻击者隐藏身份,难以溯源
- 入侵链条复杂,攻击路径长
- 可穿透多层防御,造成深度破坏
- 配合社工、钓鱼等方式可入侵权限更高的系统
防御手段
- 安装防火墙,控制流量进出
- 系统默认不使用超级管理员用户登录,使用普通用户登录,且做好权限控制
5.5 钓鱼式攻击/鱼叉式钓鱼攻击
原理:
➢ 钓鱼式攻击是一种企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程
➢ 鱼叉式网络钓鱼指针对特定目标进行攻击的网络钓鱼攻击
攻击手段
伪造邮件/短信/网站:
- 如假冒“微信安全中心”、“网银提醒”,引导用户点进钓鱼网站并输入账号密码
带有恶意附件:
- 附带
.exe、.docm、仿冒登录页面:
- 页面外观和URL极为相似(如 paypai.com 仿冒 paypal.com),难以分辨
社交钓鱼(Social Phishing):
- 在社交媒体伪装为好友、领导等身份,骗取信任后下手
鱼叉式攻击实际例子:
- 攻击者收集你参加的公司活动信息,发送伪造内部邮件让你点击会议资料链接,诱导中招
防御手段
- ➢ 保证网络站点与用户之间的安全传输,加强网络站点的认证过程,即时清除网钓邮件,加强网络站点的监管
- ➢安全意识培训:对员工进行定期钓鱼模拟演练
5.6 水坑攻击
原理:
- ➢ 攻击者首先通过猜测(或观察)确定特定目标经常访问的网站,并入侵其中一个或多个网站,植入恶意软件。最后,达到感染目标的目的
防御手段:
➢ 在浏览器或其他软件上,通常会通过零日漏洞感染网站
➢ 针对已知漏洞的防御措施是应用最新的软件修补程序来消除允许该网站受到感染的漏洞。用户监控可以帮助确保他们的所有软件都运行最新版本
➢ 如果恶意内容被检测到,运维人员可以监控他们的网站
Web应用防火墙
及时更新浏览器和插件
水坑攻击VS钓鱼攻击
项目 水坑攻击 钓鱼攻击 攻击路径 间接攻击,先攻网站 直接诱导用户点击链接 针对性 高度针对特定群体 可广泛或定向 信任利用 利用“可信网站” 利用“伪装身份” 技术手段 注入脚本/漏洞利用 仿冒邮件/网页
三 信息安全要素
1 信息安全的五要素
保密性—confidentiality
完整性—integrity
可用性—availability
可控性—controllability
不可否认性—Non-repudiation
1.1 保密性
保密性:确保信息不暴露给未授权的实体或进程。
目的:即使信息被窃听或者截取,攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动攻击
例:通过加密技术保障信息的保密性
1.2 完整性
- 只有得到允许的人才能修改实体或进程,并且能够判别出实体或进程是否已被修改。
- 完整性鉴别机制,保证只有得到允许的人才能修改数据 。可以防篡改
1.3 可用性
- 得到授权的实体可获得服务,攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制,阻止非授权用户进入网络。使静态信息可见,动态信息可操作,防止业务突然中断
- 洪水攻击就是为了破坏可用性
1.4 可控性
- 可控性主要指对危害国家信息(包括利用加密的非法通信活动)的监视审计
- 控制授权范围内的信息流向及行为方式。使用授权机制,控制信息传播范围、内容,必要时能恢复密钥,实现对网络资源及信息的可控性
1.5 不可否认性
- 不可否认性:对出现的安全问题提供调查的依据和手段。使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“逃不脱",并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性
- 一般使用日志来记录
2 信息安全的五要素案例
四 整体安全解决方案
1 企业规划
企业信息安全建设规划目标
网络安全行业对风险的应对
传统安全方案痛点
安全建设思路
深信服APDRO智安全架构
企业级安全体系整体框架
安全产品矩阵
2 网络安全
- 进一步划分好安全域,缩小攻击面
- 加强上网行为管控,减少内部风险
- 纵深边界安全防护最佳实践
- 构建统一的安全接入平台
- 端点安全:加强端点安全建设,筑牢最后一道防线
- 端到端的边界安全重构
- 构建“自动响应、快速闭环”安全大脑
- “安全大脑”全局可视化能力
3 网络安全拓扑参考
知识拓展
1 畸形数据包
| 类型名称 | 中文名称 | 协议层级 | 中文原理解释 | 常见影响 |
|---|---|---|---|---|
| Ping of Death | 死亡之Ping | ICMP(网络层) | 构造超出IP协议最大长度(65535字节)的ICMP包,导致缓冲区溢出 | 导致系统崩溃、蓝屏或重启 |
| Teardrop | 撕裂攻击 | IP(网络层) | 构造片段偏移字段错误的IP数据包,重组失败 | 系统崩溃、蓝屏或服务中断 |
| Land Attack | 土地攻击 | TCP(传输层) | 将源IP和目标IP、端口都设置为目标自身 | 资源消耗、系统崩溃或重启 |
| Smurf Attack | 小丑攻击 | ICMP(网络层) | 伪造源IP为目标,向广播地址发送Ping请求,引发放大回应 | 带宽耗尽、服务不可用(DoS) |
| WinNuke | Windows轰炸 | TCP(传输层) | 向TCP端口139发送带外数据(OOB) | Windows 95/98 系统崩溃或死机 |
| Oversized Packet | 超大数据包攻击 | 各层 | 发送超过协议标准长度的数据包 | 缓冲区溢出、系统异常或死机 |
| Invalid Flag TCP Packet | 非法TCP标志位 | TCP(传输层) | 构造无效或冲突标志位(如 SYN+FIN)数据包 | 绕过防火墙或探测主机状态 |
| Fragment Overlap | 分片重叠攻击 | IP(网络层) | 发送多个有重叠数据的IP分片,绕过检测或造成重组错误 | 触发漏洞、绕过安全检测系统 |
2 洪水攻击
📌 TCP SYN Flood攻击手段
🔹 攻击原理:
- TCP SYN Flood 是一种典型的 DoS(拒绝服务)攻击,利用 TCP 三次握手机制中的漏洞:
- 攻击者伪造大量的 SYN 包(首次握手)发送给目标主机;
- 目标主机会回复 SYN-ACK 并等待 ACK(第三次握手);
- 攻击者不回复 ACK,目标主机大量连接处于 半连接状态(SYN_RECV);
- 资源耗尽,合法用户无法建立连接,系统拒绝服务。
🔹 攻击工具:hping3
Kali Linux 自带的高级网络测试工具,可构造任意 TCP/IP 包
✅ 示例命令(使用 hping3 发起 SYN Flood):
sudo hping3 -S --flood -V -p 80 <目标IP地址>
- 📌 参数解释
参数 含义 -S发送 SYN 标志的 TCP 包(表示这是个连接请求) --flood快速连续发送包(洪泛攻击) -V显示详细输出(Verbose) -p 80目标端口为 80(可以修改为任意端口) <目标IP地址>被攻击目标 IP
🔹 示例命令(伪造源地址加大攻击效果)
sudo hping3 -S --flood -a 192.168.1.100 -p 80 <目标IP地址>
参数 说明 -a伪造源IP地址(如 192.168.1.100),使目标无法追踪攻击源 常见的洪水攻击类型
类型名称 中文名称 简要说明 UDP Flood UDP洪水攻击 向目标发送大量伪造的UDP数据包,目标不断处理“端口不可达”响应,耗尽资源。 ICMP Flood ICMP洪水攻击 发送大量ICMP Echo Request(ping)请求,目标系统资源被消耗在回复ICMP Echo Reply上。 Ping of Death 致命Ping攻击 构造超过合法长度的ICMP包,分段传送后重组,导致系统崩溃或异常(现代系统已基本防御)。 Smurf Attack Smurf攻击 向广播地址发送伪造源IP为受害者的ICMP请求,使大量主机回应,从而淹没受害者。 HTTP Flood HTTP洪水攻击 模拟大量合法HTTP请求(如GET、POST),使Web服务器处理不过来,影响正常访问。 DNS Flood DNS洪水攻击 向DNS服务器发送大量请求,占满解析资源,导致无法解析正常域名请求。 NTP Amplification NTP放大攻击 利用NTP服务器的响应包远大于请求包特点,放大攻击流量冲击目标。 DNS Amplification DNS放大攻击 类似NTP放大,向开放的DNS服务器发送小查询请求,诱导其向目标发送大量数据。 SNMP Flood SNMP洪水攻击 向SNMP端口发送大量请求,占用设备管理资源,影响设备正常通信。 ACK Flood ACK洪水攻击 发送大量TCP ACK包,使目标处理大量不存在的连接,浪费带宽和CPU资源。 攻击手段
攻击类型 工具 示例命令(仅限测试用途) ICMP Flood hping3/pingsudo hping3 -1 --flood <目标IP>UDP Flood hping3sudo hping3 --udp --flood -p 53 <目标IP>HTTP Flood slowloris,hulkpython3 hulk.py <URL>DNS Flood dnsmasq,dnsflood自定义脚本或工具进行测试
3 DNS服务器
两大主流公共DNS服务器,也就是平时常用的公共DNS解析服务:
- 114.114.114.114
- 这是中国电信推出的公共DNS服务器,速度快且稳定,特别适合中国大陆用户。
- 主要服务于国内用户,解析效率高,防止污染。
- 8.8.8.8
- 这是谷歌(Google)提供的公共DNS服务器,全球广泛使用。
- 以速度快、安全性高、稳定著称,支持DNSSEC。
| HTTP洪水攻击 | 模拟大量合法HTTP请求(如GET、POST),使Web服务器处理不过来,影响正常访问。 |
| DNS Flood | DNS洪水攻击 | 向DNS服务器发送大量请求,占满解析资源,导致无法解析正常域名请求。 |
| NTP Amplification | NTP放大攻击 | 利用NTP服务器的响应包远大于请求包特点,放大攻击流量冲击目标。 |
| DNS Amplification | DNS放大攻击 | 类似NTP放大,向开放的DNS服务器发送小查询请求,诱导其向目标发送大量数据。 |
| SNMP Flood | SNMP洪水攻击 | 向SNMP端口发送大量请求,占用设备管理资源,影响设备正常通信。 |
| ACK Flood | ACK洪水攻击 | 发送大量TCP ACK包,使目标处理大量不存在的连接,浪费带宽和CPU资源。 |攻击手段
攻击类型 工具 示例命令(仅限测试用途) ICMP Flood hping3/pingsudo hping3 -1 --flood <目标IP>UDP Flood hping3sudo hping3 --udp --flood -p 53 <目标IP>HTTP Flood slowloris,hulkpython3 hulk.py <URL>DNS Flood dnsmasq,dnsflood自定义脚本或工具进行测试
3 DNS服务器
两大主流公共DNS服务器,也就是平时常用的公共DNS解析服务:
- 114.114.114.114
- 这是中国电信推出的公共DNS服务器,速度快且稳定,特别适合中国大陆用户。
- 主要服务于国内用户,解析效率高,防止污染。
- 8.8.8.8
- 这是谷歌(Google)提供的公共DNS服务器,全球广泛使用。
- 以速度快、安全性高、稳定著称,支持DNSSEC。
- 适合国际用户或需要访问国外网站时使用