网络安全随手记

互联网的设计初衷是在互相共享资源，因此考虑更多的是尽可能地开放以方便计算机间的互连和资源共享，对安全性考虑较少。
这导致其存在一些固有的安全缺陷，即具有一些容易被攻击者利用的特性。

网络安全技术的发展，可以这么来分为几代：
第一代，最早的，以保护为目的，以划分明确的网络边界为手段。也可以说就是隔离，有点像三打白骨精里面孙悟空用金箍棒画的那个圈。

第二代，为保障为目的，以检测技术为核心，以恢复技术为后盾。基本假设是，如果挡不住敌人，至少要能发现敌人或敌人的破坏。

第三代，是以生存（Survivable）为目的。即系统再遭受攻击、故障和意外事故的情况下，在一定时间内仍然具有继续执行全部或关键使命的能力。

可以看到，这几代的发展，是往着务实和实事求是的方向在发展的。

大多数网络攻击过程具有共同点，一般有网络侦察、网络扫描、获取权限、维持访问和掩盖踪迹五个阶段。

下面从第3阶段开始进行简单说明，

3. 获取权限
在情报收集好之后，攻击者正式实施攻击来获取系统权限。一般在操作系级别、应用程序级别和网络级别上使用各种手段获得系统访问权限，进入目标系统。
方法有缓冲区溢出漏洞攻击、囗令攻击、恶意程序、网络监听等。其中利用缓冲区溢出漏洞进行攻击最为普遍，据统计占到80％以上的成功的攻击。由于攻击获取的权限往往只是普通用户权限，需要进一步利用系统本地漏洞、解密囗令文件、利用安全管理配置缺陷、猜测、窃听等手段获取系统的管理员或特权用户权限，从而得到权限的扩大和提升，进而可以做网络监听、清除痕迹、安装木马等工作。

4. 维持访问
攻击者在成功攻占系统后，接下来要做的是维持访问权限的工作，为下次方便进入系统做好准备。一般利用特洛伊木马、后门程序和Rootkit等恶意程序或技术来达到目的，这个过程强调的是隐蔽性。

5. 掩盖踪迹
攻击者得手后，离开系统时需要掩盖攻击留下的痕迹，否则他的行踪将很快被发现。主要的工作是清除相关日志内容、隐藏相关的文件与进程、消除信息回送痕迹等。

然后再具体说一说第2阶段网络扫描，网络扫描要达到的目的有：
判断主机是否在网络上存活（主机发现）
端口工作状态
主机的OS类型
判断主机可能存在的安全漏洞

主机发现技术分为2类，基于ICMP和基于IP
基于ICMP是最基础的技术，比如常用的Ping。它存在严重缺陷，那就是防火墙可以对ICMP查询报文过滤。
而基于IP的技术，可以解决这个问题，获取更准确的发现结果。
它是发送特意设计的IP包（比如首部异常、分片超时），使目标主机反馈ICMP差错报告报文，而暴露自己的存活状态。
防火墙一般不会过滤这种正常通信所需要的ICMP差错报告报文。