2020年3月3日，360安全大腦披露美國(guó)中央情報(bào)局攻擊組織（APT-C-39）對(duì)我國(guó)大型互聯(lián)網(wǎng)公司、政府部門及相關(guān)企業(yè)進(jìn)行長(zhǎng)達(dá)11年的網(wǎng)絡(luò)攻擊滲透，該組織所使用的網(wǎng)絡(luò)武器和CIA“Vault7”項(xiàng)目中的網(wǎng)絡(luò)武器完全吻合。如今隨著互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展，網(wǎng)絡(luò)攻擊手段層出不窮，如何更好的保護(hù)企業(yè)機(jī)密信息不被非法泄露，成為全世界科研人員共同的話題。

在互聯(lián)網(wǎng)設(shè)計(jì)初期，為了更好的對(duì)互聯(lián)網(wǎng)進(jìn)行管理，依照OSI標(biāo)準(zhǔn)，按照物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層對(duì)網(wǎng)絡(luò)進(jìn)行了劃分，網(wǎng)絡(luò)攻擊行為的發(fā)生，也是針對(duì)其中一層或多層的弱點(diǎn)進(jìn)行展開的。對(duì)此，我們可以分析網(wǎng)絡(luò)各層不同的弱點(diǎn)分析存在的攻擊行為，并總結(jié)防范手段，對(duì)于我們的防范工作會(huì)有很好的借鑒意義：

一、針對(duì)物理層的攻擊

針對(duì)物理層的攻擊方法就是比較暴力直接的攻擊方式，一般是針對(duì)其網(wǎng)絡(luò)硬件和基礎(chǔ)設(shè)施來進(jìn)行物理破壞或者是強(qiáng)行改變路由器，比如說要去攻擊一個(gè)公司，就把他們公司的網(wǎng)線剪掉，讓他們無法訪問外網(wǎng)。

防范手段：保護(hù)物理線路的可靠性，對(duì)于物理設(shè)備的接入采用雙線、雙設(shè)備接入，保證物理線路和物理設(shè)備的可靠性，并處于監(jiān)管的狀態(tài)。

二、針對(duì)數(shù)據(jù)鏈路層的攻擊

針對(duì)數(shù)據(jù)鏈路層的攻擊常見的是對(duì)基于mac地址的偽裝欺騙，在數(shù)據(jù)鏈路層有兩個(gè)重要的協(xié)議ARP（地址解析協(xié)議）和RARP協(xié)議（反向地址解析協(xié)議），常見的攻擊方式就是ARP欺騙（ARP偽裝），其攻擊原理為攻擊者利用自己偽造的mac地址來告訴被攻擊者自己是對(duì)方想要訪問的身份，顯而易見這個(gè)身份是攻擊者自己偽造的，從而欺騙被攻擊者將數(shù)據(jù)流量轉(zhuǎn)發(fā)到自己偽造的身份地址上，進(jìn)而獲取數(shù)據(jù)，達(dá)到欺騙的目的。

防范手段：對(duì)于系統(tǒng)和通信網(wǎng)絡(luò)中關(guān)鍵的設(shè)備進(jìn)行ARP地址綁定，可以在Windows中輸入arp-s gate-way-ip gate-way-mac固化ARP表，也可以通過安裝ARP防護(hù)軟件對(duì)ARP信息進(jìn)行防護(hù)。

三、針對(duì)網(wǎng)絡(luò)層的攻擊

針對(duì)網(wǎng)絡(luò)層的攻擊也是目前互聯(lián)網(wǎng)上常見的幾種主要的攻擊方式，如Smurf攻擊（通過將回復(fù)地址設(shè)置為受害網(wǎng)絡(luò)的廣播地址，使用數(shù)據(jù)包淹沒目標(biāo)主機(jī)）、ICMP路由欺騙攻擊、IP分片攻擊、ping of death（死亡之ping）、IP欺騙偽造攻擊，其通性都是通過制造大量的無用數(shù)據(jù)包，對(duì)目標(biāo)服務(wù)器或者主機(jī)發(fā)動(dòng)攻擊，使得目標(biāo)對(duì)外拒絕服務(wù)，可以理解為DDOS或者是類DDOS攻擊。

防范手段：可以通過擴(kuò)大帶寬并部署DDOS防御系統(tǒng)來防御拒絕攻擊，對(duì)于攻擊發(fā)生過的IP和確認(rèn)安全的IP，可以通過設(shè)置防火墻上IP白名單和黑名單對(duì)通信主機(jī)的地址進(jìn)行限制、綁定，防止欺騙行為的發(fā)生。

四、針對(duì)傳輸層的攻擊

針對(duì)傳輸層的攻擊主要是利用TCP/UDP協(xié)議進(jìn)行攻擊，而利用TCP協(xié)議攻擊主要是利用TCP協(xié)議的三次握手機(jī)制，向目標(biāo)主機(jī)或者服務(wù)器發(fā)送大量連接請(qǐng)求但是不對(duì)其進(jìn)行響應(yīng)，使得占用大量目標(biāo)服務(wù)器主機(jī)資源，造成癱瘓的攻擊方式，常見的攻擊方式由Flooding洪泛攻擊、ACK flooding洪范攻擊等，而利用UDP的攻擊主要是利用流量攻擊，使用UDP的不可靠性，大量發(fā)送數(shù)據(jù)包，造成目標(biāo)拒絕服務(wù)的目的，常見的攻擊方式有UDP flooding洪泛攻擊。

防范手段：在這里也可以通過部署抗DDOS防御系統(tǒng)進(jìn)行防護(hù)，并擴(kuò)大帶寬，對(duì)數(shù)據(jù)包進(jìn)行篩選、防護(hù)。

五、針對(duì)會(huì)話層的攻擊

針對(duì)會(huì)話層的攻擊主要是利用或者竊取合法用戶的cookie和session，然后冒用或者利用合法用戶的身份，以達(dá)到非法授權(quán)訪問的目的，其主要攻擊目標(biāo)為攻擊cookie和token，常見的攻擊方式有XSS（跨站腳本攻擊）和CSRF（跨站請(qǐng)求偽造）。

防范手段：針對(duì)會(huì)話層的攻擊防范，主要是針對(duì)用戶登錄的cookie信息進(jìn)行利用或盜取。為減少并防止該類攻擊事件的發(fā)生。首先是應(yīng)當(dāng)在用戶登錄時(shí)，可采用雙因子的認(rèn)證方式，確認(rèn)用戶信息，并在cookice設(shè)置中啟動(dòng)httponle屬性，并在代碼層面添加隨機(jī)產(chǎn)生的token認(rèn)證，認(rèn)證用戶數(shù)據(jù)包信息，防止用戶身份認(rèn)證信息被竊取并盜用。

六、針對(duì)表示層的攻擊

針對(duì)表示層的攻擊主要是針對(duì)格式翻譯和數(shù)據(jù)處理來進(jìn)行的，攻擊方式有Unicode攻擊和計(jì)算溢出攻擊。

防范手段：在系統(tǒng)設(shè)計(jì)層面，應(yīng)考慮擁有足夠充足的緩沖區(qū)，保證數(shù)據(jù)不會(huì)溢出被修改、覆蓋。嚴(yán)格而控制服務(wù)器上文件和文件夾的權(quán)限，對(duì)登錄用戶和后臺(tái)管理人員的權(quán)限進(jìn)行合理的分配，防止服務(wù)器文件和文件夾被非法利用。

七、針對(duì)應(yīng)用層的攻擊

針對(duì)應(yīng)用層的攻擊主要是針對(duì)應(yīng)用程序的設(shè)計(jì)漏洞進(jìn)行的對(duì)應(yīng)用協(xié)議漏洞的攻擊、對(duì)應(yīng)用數(shù)據(jù)的攻擊、對(duì)應(yīng)用操作系統(tǒng)平臺(tái)的攻擊等。其方法包括未經(jīng)審查的WEB方式的信息錄入、應(yīng)用權(quán)限的訪問控制被攻破、身份認(rèn)證和會(huì)話管理被攻破、跨站點(diǎn)的執(zhí)行代碼漏洞、緩存溢出漏洞、彈出漏洞、錯(cuò)誤處理不當(dāng)、不安全存儲(chǔ)、拒絕服務(wù)、不安全配置管理等。

防范手段：針對(duì)服務(wù)器的訪問控制權(quán)限進(jìn)行嚴(yán)格劃分分配，防止管理員權(quán)限過大，可以采用基于角色的訪問控制策略，保證用戶的最小特權(quán)化。對(duì)服務(wù)器系統(tǒng)及時(shí)修補(bǔ)補(bǔ)丁，保證信息系統(tǒng)的一個(gè)安全狀態(tài)，并對(duì)系統(tǒng)內(nèi)用戶行為和安全事件進(jìn)行審計(jì)記錄。

除此之外，WAAP全站防護(hù)也是非常符合osi七層網(wǎng)絡(luò)攻擊的防護(hù)，全站防護(hù)是基于風(fēng)險(xiǎn)管理和WAAP理念打造的安全方案，以“體系化主動(dòng)安全” 取代安全產(chǎn)品的簡(jiǎn)單疊加，為各類Web、API業(yè)務(wù)等防御來自網(wǎng)絡(luò)層和應(yīng)用層的攻擊，幫助企業(yè)全面提升Web安全水位和安全運(yùn)營(yíng)效率。全站防護(hù)的特性在于：

1.全周期風(fēng)險(xiǎn)管理

基于事前-事中-事后全流程，通過資產(chǎn)發(fā)現(xiàn)→策略布防→體系化運(yùn)營(yíng)，實(shí)現(xiàn)風(fēng)險(xiǎn)管理閉環(huán)

2.全方位防護(hù)

聚合DDoS云清洗、Web攻擊防護(hù)、業(yè)務(wù)安全、API安全、全站隔離5大模塊，實(shí)現(xiàn)覆蓋L3-L7層的全站防護(hù)

3.簡(jiǎn)化安全運(yùn)營(yíng)

統(tǒng)一納管多云環(huán)境所有Web業(yè)務(wù)、一個(gè)后臺(tái)統(tǒng)一控制、打破數(shù)據(jù)孤島，大幅降低安全運(yùn)營(yíng)復(fù)雜度和人力成本

4.防護(hù)效果卓越

多模塊數(shù)據(jù)聯(lián)動(dòng)，秒級(jí)識(shí)別低頻DDoS、業(yè)務(wù)欺詐等隱藏惡意行為；主動(dòng)威脅情報(bào)和全站隔離技術(shù)實(shí)現(xiàn)主動(dòng)防護(hù)、屏蔽0day漏洞威脅

體系化防護(hù)架構(gòu)：引擎融合+風(fēng)險(xiǎn)閉環(huán)，并且擁有四大功能：云端部署、風(fēng)險(xiǎn)管理、全站防護(hù)以及安全運(yùn)營(yíng)。

一、云端部署

一鍵接入，無需改造現(xiàn)有架構(gòu)，專家7*24小時(shí)在線支撐，實(shí)時(shí)解決問題

二、風(fēng)險(xiǎn)管理

在事前階段，結(jié)合安全專家服務(wù)，幫助企業(yè)發(fā)現(xiàn)并收斂Web業(yè)務(wù)安全風(fēng)險(xiǎn)

1.漏洞掃描

通過漏洞掃描器對(duì)Web應(yīng)用資產(chǎn)進(jìn)行安全掃描，發(fā)現(xiàn)Web應(yīng)用中存在的安全漏洞(OWASP TOP10、弱口令、CVE漏洞等)；

2.滲透測(cè)試

派出安全專家，以黑客視角對(duì)目標(biāo)系統(tǒng)進(jìn)行非破壞性漏洞挖掘，清查目標(biāo)系統(tǒng)潛在的安全隱患；

3.智能化防護(hù)策略

平臺(tái)基于客戶業(yè)務(wù)的智能化分析，可自動(dòng)適配防護(hù)策略，實(shí)現(xiàn)開箱即用；

4.API資產(chǎn)盤點(diǎn)

基于流量分析，幫助企業(yè)從流量數(shù)據(jù)中發(fā)現(xiàn)尚未掌握的API業(yè)務(wù)，形成API資產(chǎn)清單，為后續(xù)的防護(hù)工作做好資產(chǎn)盤點(diǎn)；

5.互聯(lián)網(wǎng)暴露面資產(chǎn)發(fā)現(xiàn)

通過平臺(tái)和人工服務(wù)的方式，對(duì)域名、IP及關(guān)鍵字的綜合查詢及關(guān)聯(lián)分析，提供互聯(lián)網(wǎng)資產(chǎn)的發(fā)現(xiàn)、識(shí) 別、監(jiān)測(cè)、稽核等服務(wù)，幫助用戶發(fā)現(xiàn)和梳理互聯(lián)網(wǎng)資產(chǎn)；

三、全站防護(hù)

在事中階段，從網(wǎng)絡(luò)安全、應(yīng)用安全、業(yè)務(wù)安全、API安全各層面，為Web應(yīng)用提供全面安全防護(hù)閉環(huán)

1.DDoS防護(hù)

秒級(jí)檢測(cè)專利技術(shù)，在邊緣實(shí)時(shí)清洗網(wǎng)絡(luò)層DDoS攻擊；

2.CC防護(hù)

基于AI的流量行為分析技術(shù)，實(shí)現(xiàn)對(duì)應(yīng)用層CC攻擊的秒級(jí)檢測(cè)及防御；

3.業(yè)務(wù)安全

針對(duì)業(yè)務(wù)層面，提供輕量化的信息防爬和場(chǎng)景化風(fēng)控能力；

4.API安全

針對(duì)API應(yīng)用進(jìn)行精細(xì)化的管理和防護(hù)，規(guī)避API濫用行為、防止數(shù)據(jù)泄露；

5.Web攻擊防護(hù)

覆蓋OWASP Top10的各類Web攻擊防護(hù)，基于CDN的分布式算力提供彈性防護(hù)和海量IP封禁，同時(shí)支持與源站本地防護(hù)聯(lián)合決策提高防御精度；

6.全站隔離

基于遠(yuǎn)程瀏覽器隔離技術(shù)使網(wǎng)站源代碼不可見，從而主動(dòng)隱藏網(wǎng)站攻擊面，同時(shí)結(jié)合混淆訪問路徑、加密交互內(nèi)容等技術(shù)，實(shí)現(xiàn)對(duì)0day漏洞攻擊的有效屏蔽；

7.協(xié)同防護(hù)

通過全站防護(hù)管理平臺(tái)，對(duì)網(wǎng)絡(luò)L3-L7層各防護(hù)模塊的安全策略進(jìn)行統(tǒng)一管理，并通過數(shù)據(jù)聚合、情報(bào)協(xié)同，形成真正的縱深防護(hù)，簡(jiǎn)化運(yùn)營(yíng)工作的同時(shí)進(jìn)一步提升整體安全的防護(hù)水位。

四、安全運(yùn)營(yíng)

在事后階段，以降低風(fēng)險(xiǎn)為目標(biāo)，全站防護(hù)管理平臺(tái)提供體系化的安全運(yùn)營(yíng)能力，幫助企業(yè)夯實(shí)全周期風(fēng)險(xiǎn)管理閉環(huán)

1.全面的安全態(tài)勢(shì)

聚合各防護(hù)模塊數(shù)據(jù)，以簡(jiǎn)潔、貼近業(yè)務(wù)的形式呈現(xiàn)，用戶可總覽web安全態(tài)勢(shì)，主動(dòng)感知和響應(yīng)已知安全事件；

2.持續(xù)優(yōu)化的托管策略

結(jié)合平臺(tái)實(shí)戰(zhàn)對(duì)抗經(jīng)驗(yàn)和持續(xù)的攻防研究成果，管理平臺(tái)持續(xù)提供推送更高質(zhì)量的防護(hù)規(guī)則和策略建議，對(duì)業(yè)務(wù)防護(hù)策略進(jìn)行優(yōu)化，與黑產(chǎn)持續(xù)對(duì)抗；

3.安全專家運(yùn)營(yíng)

資深安全專家提供策略優(yōu)化、應(yīng)急響應(yīng)、重保等專項(xiàng)安全服務(wù)，同時(shí)對(duì)客戶風(fēng)險(xiǎn)的持續(xù)監(jiān)測(cè)與防護(hù)管理。

以上是針對(duì)OSI網(wǎng)絡(luò)七層的攻擊方式和防范方法的總結(jié)，構(gòu)建信息安全防御體系，不僅需要從安全技術(shù)角度進(jìn)行挖掘，還需要針對(duì)管理體系進(jìn)行建設(shè)。只有這樣，才會(huì)有一個(gè)綠色安全的網(wǎng)絡(luò)環(huán)境。