Web应用程序的威胁与对策(6)

组成网络基础结构的主要组件是路由器、防火墙和交换机。它们就像看门人一样保护服务器和应用程序免受攻击和入侵。攻击者可能会利用未正确配置的网络设备。通常的漏洞包括默认安装设置很脆弱、访问控制广泛开放以及设备缺少最新的安全修补程序。最危险的网络级别威胁包括：

信息收集 信息搜集 侦听 哄骗 会话劫持 拒绝服务

网络设备和其他类型的系统一样可以被发现和分析。攻击者通常从端口扫描开始。他们在识别开放端口后，使用标志攫取和枚举来检测设备类型和确定操作系统及应用程序版本。具备了这些信息后，攻击者可以攻击那些可能未使用安全修补程序更新的已知漏洞。 防止收集信息的对策包括：

侦听 配置路由器以限制它们对于跟踪足迹请求的响应。 配置网络软件（如软件防火墙）所驻留的操作系统，通过禁用不使用的协议和不需要的端口来防止跟踪足迹。

侦听或偷听是指监视网络传输以获取纯文本形式的密码或配置信息的行为。采用简单的数据包侦听器，攻击者可以轻易读取所有纯文本通信。而且，攻击者可以解开采用轻量级哈希算法加密的数据包，并可以破译您认为安全的有效负荷。侦听数据包要求在服务器/客户端通讯路径中有一个数据包侦听器。

有助于防止侦听的对策包括：

使用增强的物理安全和合适的网络分段。这是防止从本地收集通信的第一步。 将通讯完全加密，包括身份验证凭证。这样即可防止攻击者使用侦听的数据包。SSL 和 IPSec（Internet 协议安全）

是加密解决方案的示例。

哄骗

哄骗是在网络上隐藏真实身份的方法。为创建哄骗身份，攻击者使用并不代表数据包真实地址的假的源地址。哄骗可用来隐藏攻击者的原始来源，或者规避网络访问控制列表 (ACL)，该列表用以限制基于源地址规则的主机访问。

尽管从来也无法追踪到精心设计的哄骗数据包的发信人，但组合使用各种筛选规则可以防止在您的网络上生成哄骗数据包，从而使您可以显著地阻止哄骗数据包。

防止哄骗的对策包括：

筛选从您的外围的内部 IP 地址进入的数据包。