网络攻防的概念_网络攻防态势形象比喻

什么是网络安全攻防演练?有什么意义？

攻防演练也称为护网行为，是针对全国范围的真实网络目标为对象的实战攻防活动，旨在发现、暴露和解决安全问题，更是检验我国各大企事业单位、部属机关的网络安全防护水平和应急处置能力。那么什么是网络安全攻防演练?攻防演练的意义是什么?具体内容请看下文。

网络安全攻防演练是以获取指定目标系统的管理权限为目标的攻防演练，由攻防领域经验丰富的红队专家组成攻击队，在保障业务系统稳定运行的前提下，采用不限攻击路径，不限制攻击手段的贴合实战方式，而形成的有组织的网络攻击行动。攻防演练通常是真实网络环境下对参演单位目标系统进行全程可控、可审计的实战攻击，拟通过演练检验参演单位的安全防护和应急处置能力，提高网络安全的综合防控能力。

攻防演练的组织结构，由国家、行业主管机构、监督机构、大中型企事业单位自行组织。各级公安机关、网信部门、政府、金融、交通、卫生、教育、电力、运营商等国家行业主管机构或监管机构，针对要点行业和要点系统组织单位的攻击队和行业内企业单位的防御队进行实战攻防演练。

蓝队：模拟黑客的动机与行为，探测企业网络存在的薄弱点，加以利用并深入扩展，在授权范围内获得业务数据、服务器控制权限、业务控制权限。

红队：通过设备监测和日志及流量分析等手段，监测攻击行为并响应和处置。

网络安全攻防演练的意义

①攻防演练，实质是人与人之间的对抗。网络安全需网络安全人才来维护，是白帽和黑帽之间的较量，而白帽是建设网络强国的重要资源。攻防演练能够发现网络安全人才，清楚自身技术短板所在，并加以改进，提升安全技术。

②开展攻防演练，能够提早发现企业网络安全问题所在。针对问题及时整改，加强网络安全建设力度，提升企业的网络安全防护能力。

网络安全攻防演练的价值

①发现企业潜在安全威胁：通过模拟入侵来验证企业内部IT资产是否存在安全风险，从而寻求应对措施。

②强化企业安全意识：通过攻防演练，提高企业内部协同处置能力，预防风险事件的发生，确保企业的高度安全性。

③提升团队能力：通过攻防演练，以实际网络和业务环境为战场，真实模拟黑客攻击行为，防守方通过企业中多部门协同作战，实战大规模攻击情况下的防护流程及运营状态，提升应急处置效率和实战能力。

军事理论考试里网络战,解释概念

在发展至目前的网络战中，这些基本的判断还仍然存在吗？

审视网络攻击特点，树立“网络积极防御”作战思想

由于网络作战的瞬时性、交互性、脆弱性和复杂性等，网络攻击也具有着自己的鲜明特点。

一是作战行动的无时空限制性。网络战几乎不受自然时间和天候的影响，具有全天候、全时域等特性，使得网络攻击更加主动、突然，只要能进入对方网络并发出指令，哪怕万里之遥，也能一击中的。此外，网络及其空间的大小随计算机网络的延伸而拓展，只要计算机网络可及的地方，就是网络作战空间的延伸之处。

二是作战手段的多样性。计算机网络系统的复杂性，使得网络攻击的作战手段还具有超越网络的多样性。既可以利用电磁压制、病毒攻击、木马植入、网络渗透、拒绝服务等进行“软瘫痪”，也可以利用电子武器攻击、特种兵力破坏、火力打击等实施“硬摧毁”。

三是作战的效费比畸高。网络攻击的范围广、速度快、破坏力强，攻击本身的成本却相对较低：研制一种新型病毒进行网络攻击，费用远比研制其它高技术武器装备低得多。

当前网络战中普遍存在的“重攻轻防”思想，可能也主要是基于网络攻击的这些特点而产生的。这样的考虑也许有一定道理，但其偏颇之处也在于过分夸大了主动网络攻击的可操作性。

第一，无法确保己方能够首先对对方实施网络攻击作战。通常，主动的网络攻击应基于“敌对双方明确开战”这一条件，但历史上不宣而战的战例比比皆是，谁能保证对方也不会不宣而战呢？即便是敌对双方同时宣战，由于网络战的瞬时性等特点，谁又能保证己方的网络攻击一定会比对方早那么“一个瞬间”呢？

第二，即便占有先机，也难以确保对方不会进行有效的反击。如果对方的网络防御能力稍强，己方的首次网络攻击便未必能全部摧毁对方的网络反击能力，因而也就无法确保对方不会进行有效的反击并被一击“致命”。

所以，“进攻是最好的防御”这一经典论断，在网络战中的合理表述就应修改为：当对方还没有发动网络进攻时，己方的网络进攻可能是最好的防御。之所以只是“可能”，是因为当己方第一波次网络攻击完毕或在己方发起第一波次网络攻击的同时，对方就可以凭借稍强的防御能力启动应急方案施以精确反击；此时，如果己方自身的网络防御能力跟不上，则必会遭受对方的网络反击而损失较大。因此，任何时候都不能因为网络防御太难就忽视防御，更不能因为网络防御的建设成本较高就将网络作战主要寄望于进攻，只有积极防御下的进攻才可能真正握有主动。

所以，越是在网络防御很难的情况下，越要加大对网络防御的研究，建设和保持一支符合足够原则的网络战反击力量，保证在遭受对方首次网络攻击时仍能实时进行网络反击，这正是积极防御的网络战作战思想，即必须强调在网络总体防御的态势下，寓攻于防，攻防结合，以积极的攻势作战达成防御目的，使网络战在开局上是防御，但在作战过程中却又不局限于防御。

创新理论研究，加强系统建设，追求新的攻防平衡

除少数强国的军队之外，当前的网络防御作战研究，还大多徘徊在重技术、轻管理，重平时建设、轻实战运用的初始阶段；对网络防御作战的指挥控制、战法谋略、训练保障等一系列重要问题，还没有一套科学实用的理论指导。随着网络技术的迅猛发展和信息化战争对网络依存度的飞速提高，必须适时地提出“网络防御作战”概念，深刻认识并把握计算机网络防御作战的发展规律。

网络防御作战是以积极防御的作战思想为指导，为保护和增强己方实时、准确、可靠的收集、处理及利用信息的能力，而采取的一系列连续性军事行动。网络防御作战应可分为评估侦查、拟制计划、应急处置和精确反制等必须的阶段。作为从实战视角提出的网络防御作战，其研究内容除了应科学地界定网络防御作战的概念、系统地分析网络防御作战的特点、合理地提出网络防御作战的指导思想和作战原则、实用地区分网络防御作战的作战阶段，更应系统地研究网络防御作战的指挥活动，有效牵引网络防御作战的技术开发，不断创新网络防御作战的战法和谋略，积极探索网络防御作战的训练模式和保障思路。

尽管目前网络防御作战方面的研究还很不成熟，但随着网络战能力和社会对网络依存度的不断提高，已经出现了一定程度的网络战威慑。消除信息网络霸权国家的网络战威慑，不仅要注意提高网络战攻击作战能力，更要注重提高网络战的防御作战能力。因为按照一般的理论推断，只有网络防御作战能力的提高，网络攻防作战能力大致相对平衡，才有可能带来网络攻防双方的相互遏制。因此，在“无网不在”的信息社会，只有扎实地搞好积极防御，才能确保在网络战中赢得主动。而从网络技术和系统建设及相应的网络防御作战研究和应用上不懈地追求先机，才有可能尽快实现网络战攻防的新的平衡态势，创造信息社会的新的相对和平。

网络攻击类型

1、服务拒绝攻击

服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务，服务拒绝攻击是最容易实施的攻击行为，主要包括：

死亡之ping （ping of death）

概览：由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。

防御：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括：从windows98之后的windows,NT(service pack 3之后)，linux、Solaris、和Mac OS都具有抵抗一般ping of death攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都讲防止此类攻击。

泪滴（teardrop）

概览：泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP（包括service pack 4以前的NT）在收到含有重叠偏移的伪造分段时将崩溃。

防御：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。

UDP洪水（UDP flood）

概览：各种各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。

防御：关掉不必要的TCP/IP服务，或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。

SYN洪水（SYN flood）

概览：一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里，SYN洪水具有类似的影响。

防御：在防火墙上过滤来自同一主机的后续连接。

未来的SYN洪水令人担忧，由于释放洪水的并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。

Land攻击

概览：在Land攻击中，一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢（大约持续五分钟）。

防御：打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有内部源地址滤掉。（包括 10域、127域、192.168域、172.16到172.31域）

Smurf攻击

概览：一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（ping）数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，比ping of death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方雪崩。

防御：为了防止黑客利用你的网络攻击他人，关闭外部路由器或防火墙的广播地址特性。为防止被攻击，在防火墙上设置规则，丢弃掉ICMP包。

Fraggle攻击

概览：Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP

防御：在防火墙上过滤掉UDP应答消息

电子邮件炸弹

概览：电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。

防御：对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。

畸形消息攻击

概览：各类操作系统上的许多服务都存在此类问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，在收到畸形的信息可能会崩溃。

防御：打最新的服务补丁。

2、利用型攻击

利用型攻击是一类试图直接对你的机器进行控制的攻击，最常见的有三种：

口令猜测

概览：一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号，成功的口令猜测能提供对机器的控制。

防御：要选用难以猜测的口令，比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。

特洛伊木马

概览：特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。最有效的一种叫做后门程序，恶意程序包括：NetBus、BackOrifice和BO2k,用于控制系统的良性程序如：netcat、VNC、pcAnywhere。理想的后门程序透明运行。

防御：避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。

缓冲区溢出

概览：由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。

防御：利用SafeLib、tripwire这样的程序保护系统，或者浏览最新的安全公告不断更新操作系统。

3、信息收集型攻击

信息收集型攻击并不对目标本身造成危害，如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构刺探、利用信息服务

扫描技术

地址扫描

概览：运用ping这样的程序探测目标地址，对此作出响应的表示其存在。

防御：在防火墙上过滤掉ICMP应答消息。

端口扫描

概览：通常使用一些软件，向大范围的主机连接一系列的TCP端口，扫描软件报告它成功的建立了连接的主机所开的端口。

防御：许多防火墙能检测到是否被扫描，并自动阻断扫描企图。

反响映射

概览：黑客向主机发送虚假消息，然后根据返回“host unreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到，黑客转而使用不会触发防火墙规则的常见消息类型，这些类型包括：RESET消息、SYN-ACK消息、DNS响应包。

防御：NAT和非路由代理服务器能够自动抵御此类攻击，也可以在防火墙上过滤“host unreachable”ICMP应答。

慢速扫描

概览：由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目（例如每秒10次）来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

防御：通过引诱服务来对慢速扫描进行侦测。

体系结构探测

概览：黑客使用具有已知响应类型的数据库的自动工具，对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法（例NT和Solaris的TCP/IP堆栈具体实现有所不同），通过将此独特的响应与数据库中的已知响应进行对比，黑客经常能够确定出目标主机所运行的操作系统。

防御：去掉或修改各种Banner，包括操作系统和各种应用服务的，阻断用于识别的端口扰乱对方的攻击计划。

利用信息服务

DNS域转换

概览：DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器，黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。

防御：在防火墙处过滤掉域转换请求。

Finger服务

概览：黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。

防御：关闭finger服务并记录尝试连接该服务的对方IP地址，或者在防火墙上进行过滤。

LDAP服务

概览：黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。

防御：对于刺探内部网络的LDAP进行阻断并记录，如果在公共机器上提供LDAP服务，那么应把LDAP服务器放入DMZ。

4、假消息攻击

用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。

DNS高速缓存污染

概览：由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。

防御：在防火墙上过滤入站的DNS更新，外部DNS服务器不应能更改你的内部服务器对内部机器的认识。

伪造电子邮件

概览：由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。

防御：使用PGP等安全工具并安装电子邮件证书。

什么是网络安全态势感知？

在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示并据此预测未来的网络安全发展趋势。简而言之就是根据网络安全数据，预测未来网络安全的趋势。