食品企业必须qs认证:网络安全基础——网络攻防、协议与安全
网络安全基础
——网络攻防、协议与安全
Douglas Jacobson
仰礼友 赵红宇 译
电子工业出版社
2011-09-21
2011-07-26:
第一部分 网络概念与威胁入门
第1章 网络体系结构
1988:首次出现针对网络上的计算机的攻击
推动网络的创新与增长的因素是网络的简单易用与互连,而非安全
1.1 网络的层次结构
层,功能模块;软件,硬件
服务:子程序的调用
拆分与重组:缓冲区、头部空间、物理链路等限制
封装
连接控制
顺序递交
流控制
出错控制
复用
1.2 协议概述
协议图
1.3 层次网络模型
第2章 网络协议
2.1 协议规范
开方协议:健壮性好,缺陷最小;但是更容易发现协议中的安全缺陷
专利协议:应用层常用之
RFC ANSI IEEE ISO ITU-T IETF
2.2 地址
区分网络中不同设备的寻址方法
2.3 头部
头部定义是协议规范的一部分
第3章 互联网
用户眼中的互联网:计算机、网络、接入点
技术视图:ISP
3.1 寻址
地址欺骗,虚假源地址
IP地址:网络掩码,网络号,主机号
主机名与IP地址的匹配,DNS
客户-服务器模式
服务器程序:等待另一个应用请求连接;如何处理多个连接请求的
路由
第4章 网络漏洞的分类
4.1 网络安全威胁模型
威胁模型
漏洞、试探、攻击代码、攻击
设计上的漏洞
实现漏洞
配置漏洞
0日试探
攻击代码,首次公开到普遍使用,本身也有漏洞
1982:第1个计算机病毒
1986:第一个PC病毒
脚本小子
风险评估:确定重要程度、保护难度
4.2 分类
基于头部的漏洞和攻击:死亡之ping
基于协议的漏洞和攻击
SYN雪崩式攻击:连续发送请求,服务器的缓冲区满
基于验证的漏洞和攻击
用户到主机的验证
主机到主机的验证,越来越多地使用网络来携带验证信息,因而引入了安全风险
主机到用户的验证
基于流量的漏洞和攻击
截取流量、窃听信息
大量数据包导致丢包、不能处理
发送单数据包引起多个回应、产生雪崩流量
数据包嗅探
2011-09-21:
第二部分 低层网络安全
第五章 物理网络层概述
5.1 觉的攻击方法
5.1.1 硬件地址欺骗
产生具有源硬件地址的数据包,但这个地址并不是发送设备的源地址,通常这个非法地址与网络上另一台设备的地址相同。
攻击1产生一个数据包,其目标地址和任何设备地址都不匹配,这可能引起交换机出现问题,或者只是引起产生大量的流量。
大多数设备中,硬件地址是在系统启动时写到硬件控制器的,因而可以在系统启动时通过软件去修改它。
5.1.2 网络嗅探
处捕捉与目标地址无关的数据包,当某台设备配置为嗅探流量时,这时即处于所谓的混杂模式。
网络访问控制器可以读取它收到的每一人数据包,这就是地址嗅探。
典型的骨干网物理皮保护的,嗅探很困难,一般来说,一旦流量进入互联网服务提供商就不担心嗅探了,大多数数据包嗅探发生的地方是采用无线方式访问互联网的咖啡屋。
5.1.3 物理攻击
为了减少物理攻击,对连接到某个ISP的网络互联损失的保护,许多机构采用与多个ISP的多个连接。为了安全起见,它们决定离开建筑物的连接采用多个通道连接。
5.2 有线网络协议
5.2.1 以太网协议
早期:使用同轴电缆连接设备
双绞线系统时代:可以使用双绞线,使用集线器
网络交换机时代:每一台设备和交换机之间形成了一个独立的以太网;硬件地址表;改进了以太网的性能,隔离流量,因为冲突减少,流量只发送到需要它的设备上;全双工,允许同时发送和接收;由于一个设备只能看到目标是自己的流量,这使得其他设备的偷听很难,因为在交换机内具有伪码表,从而使得嗅探交换网络上的流量也是不可能的。
网管为了网络诊断或者性能监控需要监听网络上的流量:
许多交换机支持生成树端口(spanning port)或者镜像端口(mirrored port)
使用带交换机的集线器,但它的峰值是100Mbps,且为半双工
使用网络捕捉器,只能对进入和离开一个机构的流量监控,不能跨单位间的流量监控
5.2.2 基于头部的攻击
设置源和目标地址
产生过长或者过短的数据包
5.2.3 基于协议的攻击
针对CSMA/CD协议有冲突的攻击
5.2.4 基于验证的攻击
ARP中毒(piosoning),ARP欺骗,ARP攻击
只有也在局域网中的攻击者才能利用ARP的缺陷 (因为ARP协议只会在局域网(子网)中进行) 。黑客他要不是在你的网络中找个接口插入而连接上你的局域网,要不就是控制一个局域网内的机器,这样才能进行ARP缓存中毒攻击。ARP的缺陷不能在被远程利用。
方法之一:网络访问控制(network access control, NAC)
另外一种源地址基本于验证的攻击是发送带不同源地址的数据包,试图填满以太网交换机地址表,或让交换机相信是另一台设备发来的数据包
5.2.5 基于流量的攻击
流量嗅探
减灾依法:
采用交换式网络环境,即每个端口一台设备
虚拟局域网(VLAN),将流量隔离在虚拟网络
加密
另一种攻击:使用大量的流量造成网络崩溃
5.3 无线网络协议(翻译的文字很难懂)
常见:无线以太网
第一步:发现
探测包
第二步:接入
联系请求包
第三步:传输流量
5.3.1 基于头部的攻击
5.3.2 探测或钓鱼(wardriving)
5.4 常用对策
5.4.1 虚拟局域网(VLAN)
不同VLAN上的两台主机通信,其流量必须经过路由器。
静态VLAN:基于固定的交换机端口划分
动态VLAN:基于设备的硬件地址划分
5.4.2 网络访问控制(NAC)
第6章 网络层协议
6.1 IPv4协议
6.1.7基于头部的攻击
IP头部字段可分成两类:
第一类是端点字段主要由端点使用的端点字段构成,在传递过程中是不进行检测的。
第二类是传递字段主要由各个路由器进行检测,并且在传递过程中可能被修改的字段构成。
死亡之ping
6.1.8 基于协议的攻击
大多数针对IP和ICMP的攻击瞄向数据包的路由,并且高潮引起数据包错误路由
攻击者使用ICMP错误消息引起服务拒绝,或者将流量重定向到错误的地方。
ARP缓存区中毒
6.1.9 基于认证的攻击
IP地址欺骗
IP会话欺骗(IP session spoofing)
6.1.10 基于流量的攻击
雪崩攻击
6.2 引导协议bootp和动态主机配置协议dhcp
使用虚假的硬件发送多个查找数据包,消耗动态池中所有IP地址
伪装成获得释放的一个客户端,并向服务器发送一个DHCP释放数据包
欺骗性DHCP服务器
6.3 IPv6协议
6.4 常用的IP层对策
IP过滤
例如,阻止进入的ICMP回应请求以防止互联网中某些人确定哪些IP地址是在线的
网络地址转换NAT
虚拟专用网VPN
三类:网络到网络、客户端到客户端、客户端到网络
IP安全(IPsec)
第7章 传输层协议
7.1 传输控制协议TCP
基于头部的攻击
第一类:攻击者发送无效的头部信息,以扰乱TCP层的运行
第二类:攻击者使用回应发送无效头部,作为探测操作系统类型的一种方法,称为探测攻击
最常被攻击的字段是标志字段,例如把所有标志设成1或0;在一个已经打开的连接中发送无效序列号,致使单个连接中断
基于协议的攻击
第一类:攻击者在端点,与攻击目标进行不正确的通信。
第二类:攻击者能嗅探流量,并将数据包插入到TCP协议流中
SYN雪崩(flood)
RST连接切断
会话劫持(session hijacking)
被动网络过滤器:使用复位连接终止和会议劫持手段,阻止不希望的连接,而流量并不经过安全设备
流量整形器(traffic shaper):用于减小两个低优先级应用间的流量
7.2 用户数据报协议UDP
7.3 域名服务DNS
7.4 常用对策
传输层安全TLS/安全套接层SSL
第三部分 应用层安全
第8章 应用层概述
8.1 套接字
8.2 常见攻击方法
缓冲区溢出:使接收到的数据比能承受的数据多;造成的结果取决于其他可变字段是如何使用的;接收数据包括有效数据、过滤器、攻击代码;过滤器数据用于将攻击代码定位到内存的一个合适地方使其执行;攻击的行为随操作系统的不同而不同
对要求验证的应用的攻击的两种常见类型:直接攻击和间接攻击
拒绝服务攻击(DoS)
第9章 电子邮件
9.1.1SMTP漏洞、攻击和对策
基于验证的攻击
对电子邮件最常见的攻击
电子邮件欺骗
电子邮件地址欺骗:没有对发送者邮箱地址进行验证的过程和协议
用户名探测:
嗅探SMTP流量
9.2.1POP和IMAP漏洞、攻击和对策
9.4 一般电子邮件对策
加密和验证
电子邮件过滤
内容过滤处理
电子邮件取证
第10章 WEB安全
第11章 远程访问安全
第四部分
第12章 常用网络安全设备
网络防火墙
基于网络的入侵检测和防护
基于网络的数据丢失保护