OSI七层网络攻击行为及防范手段
2020年3月3日,360安全大脑披露美国中央情报局攻击组织(APT-C-39)对我国大型互联网公司、政府部门及相关企业进行长达11年的网络攻击渗透,该组织所使用的网络武器和CIA“Vault7”项目中的网络武器完全吻合。如今随着互联网技术的蓬勃发展,网络攻击手段层出不穷,如何更好的保护企业机密信息不被非法泄露,成为全世界科研人员共同的话题。
在互联网设计初期,为了更好的对互联网进行管理,依照OSI标准,按照物理层、数据链路层、网络层、传输层、会话层、表示层和应用层对网络进行了划分,网络攻击行为的发生,也是针对其中一层或多层的弱点进行展开的。对此,我们可以分析网络各层不同的弱点分析存在的攻击行为,并总结防范手段,对于我们的防范工作会有很好的借鉴意义:
一、针对物理层的攻击
针对物理层的攻击方法就是比较暴力直接的攻击方式,一般是针对其网络硬件和基础设施来进行物理破坏或者是强行改变路由器,比如说要去攻击一个公司,就把他们公司的网线剪掉,让他们无法访问外网。
防范手段:保护物理线路的可靠性,对于物理设备的接入采用双线、双设备接入,保证物理线路和物理设备的可靠性,并处于监管的状态。
二、针对数据链路层的攻击
针对数据链路层的攻击常见的是对基于mac地址的伪装欺骗,在数据链路层有两个重要的协议ARP(地址解析协议)和RARP协议(反向地址解析协议),常见的攻击方式就是ARP欺骗(ARP伪装),其攻击原理为攻击者利用自己伪造的mac地址来告诉被攻击者自己是对方想要访问的身份,显而易见这个身份是攻击者自己伪造的,从而欺骗被攻击者将数据流量转发到自己伪造的身份地址上,进而获取数据,达到欺骗的目的。
防范手段:对于系统和通信网络中关键的设备进行ARP地址绑定,可以在Windows中输入arp-s gate-way-ip gate-way-mac固化ARP表,也可以通过安装ARP防护软件对ARP信息进行防护。
三、针对网络层的攻击
针对网络层的攻击也是目前互联网上常见的几种主要的攻击方式,如Smurf攻击(通过将回复地址设置为受害网络的广播地址,使用数据包淹没目标主机)、ICMP路由欺骗攻击、IP分片攻击、ping of death(死亡之ping)、IP欺骗伪造攻击,其通性都是通过制造大量的无用数据包,对目标服务器或者主机发动攻击,使得目标对外拒绝服务,可以理解为DDOS或者是类DDOS攻击。
防范手段:可以通过扩大带宽并部署DDOS防御系统来防御拒绝攻击,对于攻击发生过的IP和确认安全的IP,可以通过设置防火墙上IP白名单和黑名单对通信主机的地址进行限制、绑定,防止欺骗行为的发生。
四、针对传输层的攻击
针对传输层的攻击主要是利用TCP/UDP协议进行攻击,而利用TCP协议攻击主要是利用TCP协议的三次握手机制,向目标主机或者服务器发送大量连接请求但是不对其进行响应,使得占用大量目标服务器主机资源,造成瘫痪的攻击方式,常见的攻击方式由Flooding洪泛攻击、ACK flooding洪范攻击等,而利用UDP的攻击主要是利用流量攻击,使用UDP的不可靠性,大量发送数据包,造成目标拒绝服务的目的,常见的攻击方式有UDP flooding洪泛攻击。
防范手段:在这里也可以通过部署抗DDOS防御系统进行防护,并扩大带宽,对数据包进行筛选、防护。
五、针对会话层的攻击
针对会话层的攻击主要是利用或者窃取合法用户的cookie和session,然后冒用或者利用合法用户的身份,以达到非法授权访问的目的,其主要攻击目标为攻击cookie和token,常见的攻击方式有XSS(跨站脚本攻击)和CSRF(跨站请求伪造)。
防范手段:针对会话层的攻击防范,主要是针对用户登录的cookie信息进行利用或盗取。为减少并防止该类攻击事件的发生。首先是应当在用户登录时,可采用双因子的认证方式,确认用户信息,并在cookice设置中启动httponle属性,并在代码层面添加随机产生的token认证,认证用户数据包信息,防止用户身份认证信息被窃取并盗用。
六、针对表示层的攻击
针对表示层的攻击主要是针对格式翻译和数据处理来进行的,攻击方式有Unicode攻击和计算溢出攻击。
防范手段:在系统设计层面,应考虑拥有足够充足的缓冲区,保证数据不会溢出被修改、覆盖。严格而控制服务器上文件和文件夹的权限,对登录用户和后台管理人员的权限进行合理的分配,防止服务器文件和文件夹被非法利用。
七、针对应用层的攻击
针对应用层的攻击主要是针对应用程序的设计漏洞进行的对应用协议漏洞的攻击、对应用数据的攻击、对应用操作系统平台的攻击等。其方法包括未经审查的WEB方式的信息录入、应用权限的访问控制被攻破、身份认证和会话管理被攻破、跨站点的执行代码漏洞、缓存溢出漏洞、弹出漏洞、错误处理不当、不安全存储、拒绝服务、不安全配置管理等。
防范手段:针对服务器的访问控制权限进行严格划分分配,防止管理员权限过大,可以采用基于角色的访问控制策略,保证用户的最小特权化。对服务器系统及时修补补丁,保证信息系统的一个安全状态,并对系统内用户行为和安全事件进行审计记录。
除此之外,WAAP全站防护也是非常符合osi七层网络攻击的防护,全站防护是基于风险管理和WAAP理念打造的安全方案,以“体系化主动安全” 取代安全产品的简单叠加,为各类Web、API业务等防御来自网络层和应用层的攻击,帮助企业全面提升Web安全水位和安全运营效率。全站防护的特性在于:
1.全周期风险管理
基于事前-事中-事后全流程,通过资产发现→策略布防→体系化运营,实现风险管理闭环
2.全方位防护
聚合DDoS云清洗、Web攻击防护、业务安全、API安全、全站隔离5大模块,实现覆盖L3-L7层的全站防护
3.简化安全运营
统一纳管多云环境所有Web业务、一个后台统一控制、打破数据孤岛,大幅降低安全运营复杂度和人力成本
4.防护效果卓越
多模块数据联动,秒级识别低频DDoS、业务欺诈等隐藏恶意行为;主动威胁情报和全站隔离技术实现主动防护、屏蔽0day漏洞威胁
体系化防护架构:引擎融合+风险闭环,并且拥有四大功能:云端部署、风险管理、全站防护以及安全运营。
一、云端部署
一键接入,无需改造现有架构,专家7*24小时在线支撑,实时解决问题
二、风险管理
在事前阶段,结合安全专家服务,帮助企业发现并收敛Web业务安全风险
1.漏洞扫描
通过漏洞扫描器对Web应用资产进行安全扫描,发现Web应用中存在的安全漏洞(OWASP TOP10、弱口令、CVE漏洞等);
2.渗透测试
派出安全专家,以黑客视角对目标系统进行非破坏性漏洞挖掘,清查目标系统潜在的安全隐患;
3.智能化防护策略
平台基于客户业务的智能化分析,可自动适配防护策略,实现开箱即用;
4.API资产盘点
基于流量分析,帮助企业从流量数据中发现尚未掌握的API业务,形成API资产清单,为后续的防护工作做好资产盘点;
5.互联网暴露面资产发现
通过平台和人工服务的方式,对域名、IP及关键字的综合查询及关联分析,提供互联网资产的发现、识 别、监测、稽核等服务,帮助用户发现和梳理互联网资产;
三、全站防护
在事中阶段,从网络安全、应用安全、业务安全、API安全各层面,为Web应用提供全面安全防护闭环
1.DDoS防护
秒级检测专利技术,在边缘实时清洗网络层DDoS攻击;
2.CC防护
基于AI的流量行为分析技术,实现对应用层CC攻击的秒级检测及防御;
3.业务安全
针对业务层面,提供轻量化的信息防爬和场景化风控能力;
4.API安全
针对API应用进行精细化的管理和防护,规避API滥用行为、防止数据泄露;
5.Web攻击防护
覆盖OWASP Top10的各类Web攻击防护,基于CDN的分布式算力提供弹性防护和海量IP封禁,同时支持与源站本地防护联合决策提高防御精度;
6.全站隔离
基于远程浏览器隔离技术使网站源代码不可见,从而主动隐藏网站攻击面,同时结合混淆访问路径、加密交互内容等技术,实现对0day漏洞攻击的有效屏蔽;
7.协同防护
通过全站防护管理平台,对网络L3-L7层各防护模块的安全策略进行统一管理,并通过数据聚合、情报协同,形成真正的纵深防护,简化运营工作的同时进一步提升整体安全的防护水位。
四、安全运营
在事后阶段,以降低风险为目标,全站防护管理平台提供体系化的安全运营能力,帮助企业夯实全周期风险管理闭环
1.全面的安全态势
聚合各防护模块数据,以简洁、贴近业务的形式呈现,用户可总览web安全态势,主动感知和响应已知安全事件;
2.持续优化的托管策略
结合平台实战对抗经验和持续的攻防研究成果,管理平台持续提供推送更高质量的防护规则和策略建议,对业务防护策略进行优化,与黑产持续对抗;
3.安全专家运营
资深安全专家提供策略优化、应急响应、重保等专项安全服务,同时对客户风险的持续监测与防护管理。
以上是针对OSI网络七层的攻击方式和防范方法的总结,构建信息安全防御体系,不仅需要从安全技术角度进行挖掘,还需要针对管理体系进行建设。只有这样,才会有一个绿色安全的网络环境。
相关文章:
OSI七层网络攻击行为及防范手段
2020年3月3日,360安全大脑披露美国中央情报局攻击组织(APT-C-39)对我国大型互联网公司、政府部门及相关企业进行长达11年的网络攻击渗透,该组织所使用的网络武器和CIA“Vault7”项目中的网络武器完全吻合。如今随着互联网技术的蓬…...
第100+5步 ChatGPT文献复现:ARIMAX预测肺结核 vol. 5
基于WIN10的64位系统演示 一、写在前面 我们继续往下看,首先例行回顾文章: 《PLoS One》杂志的2023年一篇题目为《A comparative study of three models to analyze the impact of air pollutants on the number of pulmonary tuberculosis cases in …...
论文| Convolutional Neural Network-based Place Recognition - 2014
2014-Convolutional Neural Network-based Place Recognition...
基于微信小程序的自习室预约系统的设计与实现
个人介绍 hello hello~ ,这里是 code袁~💖💖 ,欢迎大家点赞🥳🥳关注💥💥收藏🌹🌹🌹 🦁作者简介:一名喜欢分享和记录学习的…...
【机器学习】《机器学习算法竞赛实战》第7章用户画像
文章目录 第7章 用户画像7.1 什么是用户画像7.2 标签系统7.2.1 标签分类方式7.2.2 多渠道获取标签7.2.3 标签体系框架 7.3 用户画像数据特征7.3.1 常见的数据形式7.3.2 文本挖掘算法7.3.3 神奇的嵌入表示7.3.4 相似度计算方法 7.4 用户画像的应用7.4.1 用户分析7.4.2 精准营销7…...
vue3新手笔记
setup(){}函数,是启动页面后,自动执行的一个函数。所有数据(常量、变量)、函数等等,都要return 出去。 ref函数(可用于基本数据类型,也可以用于复杂数据类型):让页面上的…...
互联网大厂ssp面经之路:计算机网络part1
1. 计算机网络的组成部分有哪些? a. 硬件设备:计算机网络由各种硬件设备组成,包括计算机、服务器、路由器、交换机、网卡等。这些设备通过物理连接(如网线、光纤)相互连接。 b. 协议:计算机网络中的通信需…...
C语言程序设计每日一练(1)
探索数字组合的奇妙世界:如何生成所有独特的三位数 当我们想要探索由1、2、3、4这四个数字能组成多少个不同的三位数时,我们实际上是在解决一个排列组合的问题。这不仅是一个数学问题,也是编程领域经常遇到的挑战,特别是在数据处…...
Spring 统一功能处理
前言:为什么要有统一功能处理? 我们在进行数据的返回的时候,不同的方法返回的数据类型也不一样,但是我们前端有时候期望拿到是一样的数据类型。就好比买菜的时候期望最后是用一个大的塑料袋进行包装的。 那么我们可以在HTTP进行响应的之前,做一些事情,让我们返回的数据统…...
【软设】知识点速记2
1.安全性、可靠性与系统性能评测基础知识 1.1计算机和网络安全 1.1.1 安全威胁 网络安全威胁是指任何可能损害网络系统的保密性、完整性和可用性的因素或行为。这些威胁可能来自内部或外部,包括恶意软件、信息泄露、DDoS攻击、社交工程、网络钓鱼、黑客攻击和资源滥用等多种…...
激光雷达和相机的联合标定工具箱[cam_lidar_calibration]介绍
激光雷达和相机的联合标定工具箱[cam_lidar_calibration]介绍 写在前面安装过程调试过程标定成功可视化展示 写在前面 激光雷达和相机联合标定工具 论文地址:https://ieeexplore.ieee.org/stamp/stamp.jsp?tp&arnumber9564700 github地址: https://github.com…...
ML.NET(二) 使用机器学习预测表情分析
这个例子使用模型进行表情分析: 准备数据: happy,sad 等; using Common; using ConsoleApp2; using Microsoft.ML; using Microsoft.ML.Data; using System.Diagnostics; using static Microsoft.ML.Transforms.ValueToKeyMappingEstimator;…...
YOLOv9最新改进系列:YOLOv9改进之添加注意力-ContextAggregation,有效涨点!!!
YOLOv9最新改进系列:YOLOv9改进之添加注意力-ContextAggregation,有效涨点!!! YOLOv9原文链接戳这里,原文全文翻译请关注B站Ai学术叫叫首er B站全文戳这里! 详细的改进教程以及源码ÿ…...
【数据结构】初识数据结构与复杂度总结
前言 C语言这块算是总结完了,那从本篇开始就是步入一个新的大章——数据结构,这篇我们先来认识一下数据结构有关知识,以及复杂度的相关知识 个人主页:小张同学zkf 若有问题 评论区见 感兴趣就关注一下吧 目录 1.什么是数据结构 2.…...
子域名是什么?有什么作用?
在互联网世界中,域名是我们访问网站的关键。每一个公司的网站都需要拥有自己的域名,其中有些大型公司的网站还不止一个域名,除了主域名外还拥有子域名。有些人感到非常困惑,不知道子域名是什么。其实子域名也就是平时所说的二级域…...
学习 Rust 的第一天:基础知识
如果你对 Rust 一无所知,那我来解释一下。 “Rust 是一种系统编程语言,其优先考虑性能、内存安全和零成本抽象。” 你好,世界 我之前研究过 Rust,并且对 Java、C、C 和 Python 的基本编程概念有相当了解。 今天,我…...
电商技术揭秘七:搜索引擎中的SEO关键词策略与内容优化技术
文章目录 引言一、关键词策略1.1 关键词研究与选择1. 确定目标受众2. 使用关键词研究工具3. 分析搜索量和竞争程度4. 考虑长尾关键词5. 关键词的商业意图6. 创建关键词列表7. 持续监控和调整 1.2 关键词布局与密度1. 关键词自然分布2. 标题标签的使用3. 首次段落的重要性4. 关键…...
系统开发实训小组作业week7 —— 优化系统开发计划
目录 1. 建立规则,仪式,流程,模式 2. 给好行为正面的反馈 3. 明确指出不合适的行为,必要时调整人员 在 “系统开发实训课程” 中,我们小组的项目是 “电影院会员管理系统” 。在项目的开发过程中,我们遇…...
golang的引用和非引用总结
目录 概述 一、基本概念 指针类型(Pointer type) 非引用类型(值类型) 引用类型(Reference Types) 解引用(dereference) 二、引用类型和非引用类型的区别 三、golang数据类型…...
2024认证杯数学建模B题思路模型代码
目录 2024认证杯数学建模B题思路模型代码:4.11开赛后第一时间更新,获取见文末名片 第十三届“认证杯”数学中国数学建模比赛赛后体会 2024认证杯数学建模B题思路模型代码:4.11开赛后第一时间更新,获取见文末名片 第十三届“认证杯”数学中国数学建模比…...
一种快速移植 OpenHarmony Linux 内核的方法
移植概述 本文面向希望将 OpenHarmony 移植到三方芯片平台硬件的开发者,介绍一种借助三方芯片平台自带 Linux 内核的现有能力,快速移植 OpenHarmony 到三方芯片平台的方法。 移植到三方芯片平台的整体思路 内核态层和用户态层 为了更好的解释整个内核…...
java的jar包jakarta.jakartaee-web-api和jakarta.servlet-api有什么区别
jakarta.jakartaee-web-api和jakarta.servlet-api都是Java EE(现在是 Jakarta EE)中的一部分,用于开发基于Java EE平台的Web应用程序。它们之间的区别在于以下几点: 命名空间: jakarta.servlet-api是Java EE 8之前版本…...
QT_day2
使用手动连接,将登录框中的取消按钮使用qt4版本的连接到自定义的槽函数中,在自定义的槽函数中调用关闭函数 将登录按钮使用qt4版本的连接到自定义的槽函数中,在槽函数中判断ui界面上输入的账号是否为"admin",密码是否为…...
Advanced RAG 02:揭开 PDF 文档解析的神秘面纱
编者按: 自 2023 年以来,RAG 已成为基于 LLM 的人工智能系统中应用最为广泛的架构之一。由于诸多产品的关键功能(如:领域智能问答、知识库构建等)严重依赖RAG,优化其性能、提高检索效率和准确性迫在眉睫&am…...
Spring面试题pro版-1
Spring框架是由于软件开发的复杂性而创建的。Spring使用的是基本的JavaBean来完成以前只可能由EJB完成的事情。然而,Spring的用途不仅仅限于服务器端的开发。从简单性、可测试性和松耦合性角度而言,绝大部分Java应用都可以从Spring中受益。 Spring是什么…...
6 Reverse Linked List
分数 20 作者 陈越 单位 浙江大学 Write a nonrecursive procedure to reverse a singly linked list in O(N) time using constant extra space. Format of functions: List Reverse( List L ); where List is defined as the following: typedef struct Node *PtrToNo…...
【随笔】Git 高级篇 -- 相对引用2 HEAD~n(十三)
💌 所属专栏:【Git】 😀 作 者:我是夜阑的狗🐶 🚀 个人简介:一个正在努力学技术的CV工程师,专注基础和实战分享 ,欢迎咨询! 💖 欢迎大…...
2024免费Mac电脑用户的系统清理和优化软件CleanMyMac
作为产品营销专家,对于各类产品的特性与优势有着深入的了解。CleanMyMac是一款针对Mac电脑用户的系统清理和优化软件,旨在帮助用户轻松管理、优化和保护Mac电脑。以下是关于CleanMyMac的详细介绍: CleanMyMac X2024全新版下载如下: https://…...
Centos7源码方式安装Elasticsearch 7.10.2单机版
版本选择参考:Elasticsearch如何选择版本-CSDN博客 下载 任选一种方式下载 官网7.10.2版本下载地址: https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.10.2-linux-x86_64.tar.gz 网盘下载链接 链接:https://pan…...
mysql的安装和部署
##官网下载mysql 我下载的是一个mysql-5.7.38-linux-glibc2.12-x86_64.tar.gz 可以通过xshell 或者xftp传送 xshell则是先下载一个lrzsz 执行以下的命令 yum install lrzsz -y #安装好我下面有个一键安装的脚本 #!/bin/bash#解决软件的依赖关系 yum install cmake ncurses…...