[网络协议]【无标题】

第 二?章

计算机网络的性质

• 分散性
• 异构性
• 自治性

网络设备简介

• 集线器 - 物理层
• 交换机 - 数据链路层
• 三层交换机 - 传输层
• 路由器 - 传输层

网络拓扑结构

点对点：星型、树型、网状型

广播结构：总线型、环型、无线通信

?OSI参考模型

TCP/IP协议栈常见安全风险

物理层

• 设备破坏
• 线路侦听

链路层

• MAC欺骗：攻击者将自己的MAC地址 更改为受信任系统的地址。防范：在交换机上配置静态条目，将特定的MAC地址始终与特 定的端口绑定
• MAC泛洪：伪造大量的未知mac地址进 行通信，导致交换机无法正常工作。防范：配置静态MAC转发表 ，配置端口的MAC学习数目限制
• ARP欺骗：攻击者欺骗局域网内访问者PC的网关MAC地址

网络层

• IP欺骗：攻击者使用相同的IP地址可以模仿网络上合法主机，访问 关键信息
• Smurf攻击：该攻击通过使用将回复地址设置成受害网络的广播地址的 ICMP应答请求(ping)数据包，来淹没受害主机.
• ICMP攻击：伪造一条ICMP重定向信息并发送给被攻击的主机， 让该主机按照黑客的要求来修改路由表。
• IP地址扫描攻击：运用ICMP报文探测目标地址，或者使用TCP/UDP报 文对一定地址发起连接，通过判断是否有应答报文，以确 定哪些目标系统确实存活着并且连接在目标网络上。防范：设置防火墙

传输层

• TCP欺骗：利用IP地址并不是出厂与MAC地址固定在一起，攻击者通 过修改网络节点的IP地址达到欺骗的目的。
• TCP拒绝服务：攻击者通过大量 发送SYN报文，造成大量未完全建立的TCP链接，占 用被攻击者的资源
• UDP拒绝服务：攻击者通过向服务器发送大量的UDP报文，占用服务 器的链路带宽，导致服务器负担过重而不能正常向 外提供服务
• 端口扫描攻击：Port Scan攻击通过使用一些软件，向大范围的主机的一 系列TCP/UDP端口发送连接，根据应答报文判断主机是否 使用这些端口提供服务

应用层

• 缓冲区溢出攻击：攻击软件系统的行为中，最常见的一种方法
• WEB应用攻击：恶意代码网页、通过WEB服务器入侵数据库

网络接口层作用

物理层、数据链路层

集线器、交换机

网络数据在数据链路层的单位是帧，在物理层是bit流；

作用：负责将数据转换为数字信号在物理设备之间传输

网卡工作模式

广播、多播、单播、混杂模式

交换机表

三个字段

• 节点的MAC地址
• 该MAC地址对应的端口
• 该表项在表中的时间

工作原理：自学习功能，即通过观察帧的源MAC地址和到达端口来建立MAC地址和端口的映射关系

网络接口层安全威胁-窃听

交换机毒化

原因: 交换表的空间是有限的，新的“MAC地址——端口” 映射对的到达会替换旧的表项

攻击场景：

1. 攻击者发送大量的具有不同伪造源MAC地址的帧

2. 由于交换机的自学习功能，这些新的“MAC地址—端口” 映射对会填充整个交换机表，而这些表项都是无效的

3. 交换机完全退化为广播模式，攻击者达到窃听数据的目 的。

总结：

以太网所面临的安全威胁主要是窃听，即可能对数据通信的机密性造成威胁。对于使用集线器连接的以太网，这种威胁是难以避免的；对于通过交换机链接的以太网，可以在一定程度上降低这种风险。

ARP

简答题！！！

ARP（地址解析协议）是根据IP地址获取物理地址的一个TCP/IP协议。

原理：主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有 主机，并接收返回的ARP应答消息，以此确定目标的物理地址。

问：为什么要获取MAC地址呢？

答：是因为在TCP/IP的数据传输过程当中，物理层和数据链路层的设备他只知道所对应主机的物理地址，具体来说，就是这台主机的网卡所对应的地址（MAC地址）。

ARP缓存机制

• 为了减少执行ARP协议的通信开销和时间开销，主机一般会启用 ARP缓存（ARP Caching）机制。
• 所谓ARP缓存，就是当完成一次ARP请求和响应后，主机会将该过 程中所得到IP地址和MAC地址之间的映射保存在内地。
• 当执行ARP协议前，先查询本地ARP缓存中是否有目标IP地址和 MAC地址之间的映射关系。
• 只有本地ARP缓存中不存在该IP地址和MAC地址之间的映射关系数 据时，才需要在网络上广播ARP请求信息。

通信过程

?缺陷：

ARP协议信任以太网所有的节点，效率高但是不安全。 这份协议没有其它协议来保证以太网内部信息传输的安全，它不会检查自己是否接收或发送过请求包，只要它接收到ARP广播包，他就会把对应的IP-MAC更新到自己的缓存表。

攻击原理：

如果我们冒充网关主机C，不停的向以太网发送自己的ARP广播包，告知自己的 IP-MAC，此时其它主机就会被欺骗，更新我们C的IP-MAC为网关主机的IP-MAC ，那么其它主机的数据包就会发送到C主机上，因为没有发给真正的网关， 就会造成其它主机的网络中断。

主要安全威胁：

• ARP窃听：网络上所有主机均可以收到ARP请求消息，掌握网络中各节点IP地址、MAC地址、是否在线等信息。 ?为进一步发动其他攻击（如网络拓扑绘制、拒绝服务等）提供信息。
• ARP欺骗：无论节点收到ARP请求还是响应，该节点均会更新其ARP表。
• GARP滥用攻击：主动发送虚假的GARP请求信息（即伪造的IP地址和MAC地址 的映射）

?IP

基本功能：

• 寻址：IP协议可以根据数据报报头包括的目的地址将数据报传送到目的地址
• 分段：如果有些网络内只能传送小数据报，IP协议支持将数据报重新组装并在抱头域内注明

安全威胁：

• IP窃听：IP地址在传输过程中没有加密 ，IP头的信息及IP报文可能被攻击者窃听，可获得IP地址以及报 文等内容
• IP假冒：假冒可信的IP地址而非法 访问计算机资源，解决：采用安全的IP协议（IPSec）
• IP碎片攻击：发送大量小IP分片，导致 路由器重组消耗计算和存 储资源

传输层概念

使用TCP协议、UDP协议进行端点之间的数据传输

TCP

作用：用来标识发送方和接收方的应用程序（即进程）；用来标识TCP的包的类型和含义通过判断某个端口号是否“开放”， 可以判断该应用程序是否启动

常用字符：

• URG : 紧急指针有效
• PSH : 泛洪式发送?
• RST : 重置链接
• SYN : 同步有效，协商序列号
• ACK : 确认序列号有效
• ?FIN : 释放连接

特点：

• 全双工连接
• 面向连接
• 可靠性
• 面向字节流

三次握手

?四次挥手

?TCP协议的安全威胁

1. SYN 泛洪（Flooding）攻击

当客户端请求服务器时，客户端发起一个TCP SYN包，服务器端接收到该请求后，如果能够响 应该请求，即回复一个TCP ACK SYN包，在这个过程中，客户端可以不理会服务器端的TCP ACK SYN包，而是继续发送假冒的TCP SYN包，在没有超时之前服务器端都会分配资源保持客户端请求的状态信息。然而，服务器的资源总是有限的，如果到达足够多的假冒 TCP SYN包，则会造成服务器资源的枯竭

2. ACK泛洪攻击

在TCP连接建立之后，所有的数据传输TCP报文都是带有ACK标志位的，主机在接收到一个带有ACK 标志位的数据包时，需要检查该数据包所标识的连接四元组是否存在，如果存在则检查该数据包所标识的状态是否合法，若不合法，则查表和回应ACK/RST。

攻击者一定要用大流量ACK小包冲击才会对服务器造成影响。消耗服务器资源

3. 序列号预测攻击

背景：在一个TCP连接中，接收方接收到的给定序列号的数据包，不是接收方期望的数据包则会被丢弃。由于一旦建立连接后，端口号是不变的，因此攻击者的难点在于序列号预测

攻击者窃听一 个TCP会话中两端交互的流量，得出接收方期望的TCP包的序列号，再加上端口号，以构造一个TCP包发送出去并被接收方接受。 如果所构造的TCP包里包含的内容或者所设置的标志位并非发送方的后续行为，则形成攻击。

攻击者能够获得发送者的数据包，则可以对接收方的行为进行推理，则下一个所期望接受到的TCP包 的序列号是S，如果攻击包中包含非法的内容，则会破坏数据传输的完整性和可用性。攻击者也看可 以向会话的两端同时发送RST标志位置为1的TCP报文段，从而终止两端的连接。

4. LAND攻击

攻击者构造一种特殊的TCP SYN攻击包，该包的目的地址和源地址均为目的主机，结果被攻击主机又发回ACK消息并创建一个空连接，每一个这样的连接都将保持到超时为止，从而导致目的主机连续地 自我响应

UDP特点

• 无连接的协议
• 不可靠的协议
• 不保序的协议

UDP安全威胁

1. UDP假冒

本质上就是IP假冒。

攻击者可以构造UDP数据包，其源IP地址为某个可信节点的IP地址，通过这种方式向服务器发起请求， 从而触发服务器的某些操作。如果攻击者能够窃听UDP应答包，则攻击者能够从这样的攻击行为中获得所需的信息。

?2. UDP劫持

本质上也是UDP假冒

可信客户端发起UDP请求后，攻击者假冒服务器发出UDP应答，这种应答有可能造成错误的结果。虽然服务器的应答也能到达客户端，但是如果客户端的操作已经触发，则可能会造成损失。

?HTTP

• 超文本传输协议（HTTP）是一种用于分布式、协作式和超媒体信息系统的应用层协议
• HTTP是一个基于请求与响应模式的、无状态的应用层协议
• 常基于TCP的链接方式
• 绝大多数Web应用，都是构建在HTTP协议之上

HTTP安全威胁

1. 钓鱼攻击

原因：HTTP协议并没有考虑用户认证（用户并不能确定远端 服务器的真实身份）

实例：在深圳某公司推出的Web XX 2.0里，具有 Gmail应用程序入口，用户可以通过该页面 直接输入Gmail的用户名和密码登陆邮箱。 但是该页面没有直接将数据发给Google， 而是现将数据发给公司的服务器，再由公司的服务器返回邮箱内容

*防范

通常情况下，用户可以使用HTTPS代替HTTP，避 免一般的中间人攻击，因为HTTPS会对服务器 的身份进行验证，但是 这也不是绝对的，如果攻击者能够同时入侵并操作根证书发布者和域名服务器，那么中 间人攻击几乎不可避免

2. 跨站脚本攻击

脚本：小程序，可以被浏览器解释执行

脚本攻击：攻击者将具有攻击性的脚本发送给浏览器解释执行，从而获取用户数据破坏系统（通常是针对网页的)

分类：持久性跨站、非持久性跨站、文档对象模型跨站（如果客户端脚本，如js，动态生成HTML时，没有严格检查和过滤参数，则可以导致DOM跨站攻击）

?跨站脚本攻击漏洞修复：

• 输入过滤；对用户的输入进行检 测，过滤掉输入中的非法字符。
• 输出编码；在将输入输出到页面之前，将输入中未过滤的特殊字符进行转义，使其以文本形式展示，而不是被解析成页面结构或脚本。

DNS劫持方法

• 利用DNS服务器进 行DDOS攻击
• DNS缓存攻击
• DNS信息劫持：攻击者在 DNS服务器之前将虚假的响应交 给用户，从而欺骗客户端访问恶 意的网站。
• **DNS重定向：攻击者 如果将DNS名称查询重定 向到恶意DNS服务器，那么被劫持域名的解析就完 全置于攻击者的控制之下
• ARP欺骗：通过伪造IP地址和 MAC地址实现ARP欺骗
• 本机劫持：木马、流氓软件

第三章

隔离技术（疫情隔离?）

• 隔离技术是通过对具有不同安全需求的应用系统进行分类保护，从而有助于将风险较大的应用系统与其他应用系统隔离，达到安全保护的目的。
• 隔离技术一般通过隔离设备来实现。?
• 隔离设备可以是网络设备，也可以是专门的隔离设备

交换机基本功能

交换机可以识别连在网络上的节点的网卡MAC地址，并把它们放到一个 叫做MAC地址表的地方

交换机隔离技术-VLAN划分

• 基于端口划分的 VLAN
• 基于MAC 地址划分VLAN
• 基于网络层划分VLAN
• 根据IP 组播划分VLAN

路由器主要功能

选择填空

• 网络互连：路由器支持各种局域网和广域网接口，主要用于互连局域网 和广域网，实现不同网络互相通信。
• 数据处理：提供包括分组过滤、分组转发、优先级、复用、加密、压缩 和防火墙等功能。?
• 网络管理：路由器提供包括配置管理、性能管理、容错管理和流量控制 等功能。

路由器隔离技术?

安全组件

• 路由器作为唯一安全组件：相对交换机，集线器， 能提供更高层次的安全功能
• 路由器作为安全组件的一部分：在一个全面安全体系结构中，常用作屏蔽设备， 执行包过滤功能，而防火墙对能够通过路由器的数据包进行检查

不足：

• 路由器的默认配置对安全性的考虑不够
• 路由器的审计功能使用不便

防火墙

概念

• 防火墙（Firewall）是用一个或一组网络设备（计算机系统或路由器等）在两个或多个网络间加强访问控制，以保护一个网络不受来自另一个网络攻击的安全技术。
• ?防火墙作为外部网络数据进入内部网络数据的唯一出入口，能根据企业的访 问控制策略（允许通过、拒绝通过等），对出入网络的信息流进行控制。
• ?防止外部网络攻击，保证内部网络安全。

特征

• 所有进出网络的网络通信都应该通过防火墙。
• 所有穿过防火墙进入内部网络的网络通信都经过了安全策略的确认和授权。
• 理论上说，防火墙是穿不透的，即违反防火墙安全策略的网络通信无法进入内部网络

防火墙关键技术

大题

1. 包过滤防火墙-包过滤技术

分组过滤是一种访问控制机制，它控制哪些数据包可以进出网络而那些数据包 应被网络拒绝。分组过滤防火在OSI参考模型的网络层工作，能够准许或阻止IP地址和端口

?**包过滤中的过滤规则表：

一个纯包过滤器只关注下列信息：源IP地址、目的IP地址、源端口、目的端口、包类型

?规则库中有4条规则，

• 规则1允许内网的机器（10.1.1.*网段）访问外网服务；
• 规则2允许外界通过端口80访 问内网的服务器10.1.1.2，即打开的外部服务器10.1.1.2对外的HTTP服务；
• 规则3允许外界通过端口53访问内 网的服务器10.1.1.3，53号端口是DNS服务器；
• 规则4禁止了所有其他类型的数据包。

优点：

• 包过滤技术的优点在于简单、易于使用，实现成本低。
• ?处理开销小，因此对使用该技术的防火墙系统的性能影响不大。

缺点：

• 当过滤规则较多时，对过滤规则表的管理和维护较为麻烦?
• 无法识别入侵
• ?无法识别恶意代码
• ?易遭受IP地址欺骗

2. 应用代理防火墙

应用代理技术是使不具备访问权限的用户可以访问网络服务的一种代理服务技术。

例如：用户A本身不具备访问外部FTP服务的权限 ? 但一个主机B不仅具备访问外部FTP的权限，而且还提供代理服务 ? 基于应用代理技术，用户A可以借助于主机B的帮助而获得外部FTP服务的访问权限

3.?状态检测防火墙-状态检测技术

• 状态检测技术是根据协议数据的状态来实现包过滤功能的访问控制技术。
• 状态检测技术也叫状态包过滤技术 ，?顾名思义，状态检测既要根据IP包头信息也要根据协议的状态信息来制定过滤规则

什么是状态：在TCP/IP协议中，状态是指协议过去执行的历史信息。在TCP/IP协议簇中，有些协议是由状态的协议（如TCP协议等），有些协议是无 状态的协议（如UDP协议等）

一般采用连接状态表来存放状态信息，就是存放协议历史信息的信息表

对于无连接的应用（如UDP协议）状态检测技术通过虚连接的方法来建立起状态信息

虚连接：为保存协议的状态信息而虚构的网络连接

• ?例如，对于基于UDP应用的安全需求，状态检测技术通过在UDP通信之上保持一个虚拟连接
• ?保存通过防火墙的每一个虚连接的状态信息，允许穿过防火墙的UDP请求包被记录
• 当UDP包在相反方向上通过时，则可以依据连接状态表确定该UDP报是否被授权，若已被授权，则通过， 否则拒绝。
• 典型的组航太信息包包括超时检测、是否有以前的UDP数据包通过等

优点：安全性好 、灵活性强 、扩展性好 、?应用范围广

缺点：计算开销大 、?处理速度慢 、?规则管理复杂

防火墙三种结构

堡垒主机结构：也叫分组过滤防火墙结构、包过滤防火墙结构

屏蔽主机结构：单宿主堡垒主机防火墙，是只有一个网络接口的堡垒主机，通常采用应用代理技术

屏蔽子网结构：用了两个包过滤路由器和一个堡垒主机

网络地址转换

网络地址转换（NAT: Network Address Translation）是一种将一个或多个IP地址转换为另外一个IP或多个地址的技术。主要是将主机的内部私有IP地址转换为外部合法的IP地址，从而为 解决IP地址资源匮乏提供了一种技术手段

为了实现NAT转换，NAT设备维护一个NAT映射表，用来配置或记录非法的IP地址到合 法的IP地址之间的映射关系。

网络地址转换的三种具体方法

• 静态NAT(Static NAT)
• ?动态NAT（Dynamic NAT）
• 端口转换NAT（Port level NAT）

物理隔离

背景：如果用户在同一时间访问公网专网，会带来很多安全隐患，因此，如果因为需要访问公网和专网，则必须保证用户在同一时间只能连接到一个网络

如何实现：

物理隔离是通过物理隔离部件来实现的

• 物理隔离部件是在物理手段实现不同安全域之间信息断开的信息安全部件。
• ?从物理地址来看，隔离部件是处于不同安全域的网络之间的唯一连接点。
• 常见的物理隔离技术包括物理断开、单向隔离、网闸隔离等

第四章

网络安全模型

?预警处理过程

1. 数据采集
2. 数据提取
3. 事件分析
4. 安全预警
5. 结果处理

网络安全预警模型

• 基于入侵事件的预警模型
• 基于攻击过程的预警模型
• 基于流量监控的预警模型

加密应用模式

链路加密：

传输数据仅在物理层前的数据链路层进行加密。

优点：? 可以提供不安全信道上的安全传输服务 ? 可以隐藏通信的信源和信宿 ? 可以抵御业务流分析攻击

缺点：? 只适合于专用信道，每个节点均必须配置密码装置，因此成本高，实用性差 ? 需要在专用链路上进行同步，因此会带来额外的网络开销 ? 消息在链路节点以明文形式存在，必须依赖网络中每个节点的可信性 ? 密钥管理复杂

节点加密：

在节点处采用一个与节点相连的被保护密码装置

优点：? 提供不安全信道上的安全传输服务 ? 避免了中间节点易受攻击的问题，安全性较高 ? 不需要每个节点均配置密码装置，因此成本相对较低

缺点:? 提供不安全信道上的安全传输服务 ? 避免了中间节点易受攻击的问题，安全性较高 ? 不需要每个节点均配置密码装置，因此成本相对较低

端到端加密：

数据从源端节点传送到目的端节点提供的加密方式

优点：成本低

缺点：存在窃听安全威胁、无法抵御业务流分析攻击

内部攻击与外部攻击

传统网络安全防御技术（如防火墙等）主要考虑的是防范外网对内网的攻击

内部网络用户同样会带来安全威胁，员工拷贝硬盘

入侵监测

对入侵行为的发觉

漏洞成因

• 网络协议本身的缺陷。
• 设计时带来的安全缺陷。
• 配置不当带来的安全缺陷。

按漏洞成因分类：实现漏洞、设计漏洞、配置漏洞

安全响应

在系统受到安全威胁时，根据威胁等级及时对系统采取修正防御 策略，修复系统安全脆弱性，报 警、记录甚至追踪等应急响应措施的技术

被动响应、主动响应

蜜罐

分类：

按照部署的目的：产品型蜜罐、研究型蜜罐

按照交互度的等级：低交互度、中交互度、高交互度蜜罐

主要功能模块：

• 攻击诱骗
• 数据捕捉
• 数据控制

第六章

物理安全的内容

• 设备物理安全
• 环境安全
• 系统物理安全

机房线路安全

• 预防线路截获
• 探测线路截获
• 定位线路截获
• 对抗线路截获

第七章

计算机系统可用性

可用性（Availability）是指系统在规定条件下，完成规定的功能的能力

系统在t时刻处于正确状态的概率称为可用度，用A(t)来表示。其计算方法为：

A(t)=平均无故障时间 MTBF / (平均无故障时间MTBF +平均修复 时间 MTRF)

计算机系统可靠性

可靠性（Reliability）是指在特定时间内 和特定条件下系统正常工作的相应程度

A＝MTBF/（MTBF＋MTRF）

提高计算机的可靠性一般可采取两个措施：避错和容错。

容错系统

容错技术是指在一定程度上容忍故障的技术，也称为故障掩盖技术 (fault masking）。采用容错技术的系统称容错系统。

容错主要靠冗余设计来实现：

• 硬件冗余：通过硬件的重复使用来获得容错能力。
• 软件冗余：用多个不同软件执行同一功能，用软件设计差异实现容错。
• 信息冗余：利用在数据中外加的一部分信息位来检测或纠正信息在运算或传 输中的错误而达到容错。常用的可靠性编码包括：奇偶校验码、循环冗余码 CRC、汉明码等。
• 时间冗余：通过消耗时间资源来实现容错，其基本思想是重复运算以检测故 障。程序复算常用程序滚回技术。

容错系统工作：

• 自动帧测
• 自动切换
• 自动恢复

硬件冗余

• 增加设备（如增加线路、设备、部件等）
• 双机容错系统
• 多机容错系统
• 集群系统

硬件冗余数据备份策略?：

• 完全备份
• 差分备份
• 增量备份
• 按需备份

数据冗余

增加数据冗余的典型方法是数据备份，数据备份常用设备是磁盘阵列。

廉价磁盘冗余阵列（RAID：Redundant Arrays of Inexpensive Disks)），以多个低成 本磁盘构成磁盘子系统，提供比单一硬盘更完备的可靠性和高性能。

容灾分类

• 本地容灾
• 异地数据冷备份
• 异地数据热备份
• 异地应用级容灾

数据备份技术分类

• 主机备份
• 网络备份
• 专有存储网络备份

第八章 操作系统安全技术

计算机系统组成

• 硬件
• 操作系统内核
• 操作系统
• 服务
• 应用程序

进程安全分类

• 进程间的数据保护
• 进程的权限分配、控制
• 进程权限的继承

访问控制技术

三要素：主体、客体、控制策略

控制策略分类：

• 强制访问控制
• 自主访问控制
• 基于角色的访问控制

第九章 安全取证与计算机取证技术