网络攻击与防御服务器防御高防

网络安全技术涉及从物理层到业务层的各个层面，贯穿产品设计到产品上线运营的全流程。现阶段网络攻击的方式和种类也随着互联网技术的发展而不断迭代，做好网络安全防护的前提是我们要对网络攻击有充分的了解。下文将抛砖引玉对常见的网络安全攻击及防御技术进行简单介绍。

拒绝服务攻击可以理解为攻击者以消耗被攻击者可用资源为手段，以达到网络资源和系统资源消耗殆尽为目的，从而使被攻击者无法响应正常的业务请求。拒绝服务攻击是黑客常用的攻击手段之
一，一般我们把拒绝服务攻击分为网络资源类和系统资源类。

对于拒绝服务攻击的防护：一是使用电信运营商DDoS服务，运营商具有互联网高带宽，配合流量清洗设备，可以在运营商侧抵御来自互联网的各种拒绝服务攻击；二是在互联网前置区域内部部署抗DDoS防火墙、黑洞等设备对恶意攻击进行流量清洗，防御Flood等攻击；三是优化系统层参数限制，调整可使用的最大内存，增强操作系统TCP/IP栈及可以生成的最大文件数等。另外，对于网站类应用，通过把静态内容部署到CDN，也可以抵御部分DDoS攻击。

在互联网前置区域部署全流量入侵检测系统，可对互联网入口和出口的所有访问进行通信数据流的实时检测、分析，特别是对报文中涉及的敏感字段和网络活动中的异常情况进行检测。通过全网的实时检测、分析，能够及时发现违规行为并及时处理。网络入侵检测系统IDS系统可实现以下功能。

应用层攻击通常会在请求URL、请求报文中带上攻击请求。通过应用协议分析技术可以实现应用层特诊检测，实时检测数据流中符合IDS攻击特诊库的攻击行为；通过匹配可以识别为应用层攻击，从而进行检测通知、主动防护。为确保能够检测到最新的攻击事件，IDS特征库需要定期更新。

通过对特定时间间隔内出现的超流量、超链接的数据包进行检测，实现对DDoS、扫描等异常攻击事件的检测。

通过卸载SSL证书、解码通信数据，对加密报文进行分析、检测基于SSL加密通信的攻击行为，可以保护基于SSL加密访问的前置服务器的安全性。需要注意的是，在部署IDS设备时，需要考虑合适的网络位置。为分析SSL加密后的通信数据，入口IDS部署可以放置在SSL卸载设备之后；为追溯攻击者源IP地址，建议部署在NAT地址转换设备之前。

在生产前置区与核心区之间部署入侵防御系统（IPS），可作为防火墙的安全补充。防火墙可以通过IP、端口五元组进行访问控制，但无法识别和阻隔对合法IP地址和端口的攻击行为。IPS工作在第2～7层，深入网络数据内部，通常使用特征库匹配和异常分析等方法来识别网络攻击行为，能够及时中断、调整和隔离具有攻击性的网络行为，并产生日志报告报警信息。

漏洞扫描系统主动进行网络探测、主机探测、端口探测扫描和硬件特性及版本信息检测。通过漏洞扫描可以了解主机操作系统、网络设备版本和配置，以及安全设备、数据库、中间件和应用组件等资产的安全状态信息。通过匹配在线最新漏洞库，可检测并匹配内网环境CVE、OWASP等漏洞类型，并提供相应解决方案。

数据库审计系统主要用于监视并记录对数据库服务器的各类操作行为，通过对网络数据的分析，实时、智能地解析对数据库服务器的各种操作，并记入审计数据库中以便日后查询、分析、过滤，实现对目标数据库系统用户操作的监控和审计。

针对Web应用及静态资源部署防篡改系统，可避免因应用权限配置不当、恶意程序失察、脆弱方案控制等因素带来的风险。防篡改系统一般分为管理服务、发布服务、客户端服务，可防止静态文件被发布服务以外的任何方式修改，即使被修改也能被检测和立刻恢复。防篡改系统一般作为网站、H5页面等面向互联网应用系统的重要防护手段，可以有效阻止安全事件的发生。

在完成以上基础性防护、被动式响应安全体系建设后，需要建立完整的信息安全防护体系，需要化被动为主动，建立以大数据平台为基础的态势感知系统，从全局视角对安全威胁进行发现识别、理解分析和响应处理，做到安全风险预测。

本文一共列举了五种描述攻击的方法

1.HansmanandHunt[1]等，将攻击以四个维度描述，攻击向量，攻击目标，使用漏洞，有效payload。对攻击向量的分类如下：①病毒：通过某种形式的受感染…

1.泪滴攻击(TearDrop)一种畸形报文攻击，向目标机器发送损坏的IP包，诸如重叠的包或过大的包载荷。借由这些手段，该攻击可以通过TCP/IP协议栈中分片重组代码中的bug来瘫痪各种不同的操作系…

一概述常见的网络攻击，按照osi七层协议，可以分为：

1、物理层线路侦听；

2、数据链路层mac_flood；

3、网络层arp_poison，icmp_redirection；

4、传输层tcp_flood(包含ack_flood和…