| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 网络协议 -> 网络安全复习笔记 -> 正文阅读 |
|
[网络协议]网络安全复习笔记 |
攻击技术:(5种) 1.网络监听:只是监听B和C的通信数据 2.网络扫描:利用程序去扫描B开发的端口等 3.网络入侵:探测到漏洞后,入侵到B获取信息 4.网络后门:在B种植木马等后门 5.网络隐身:入侵完毕后退出B,清除入侵痕迹,防止被B的管理员发现 网络安全处理过程(5个阶段): 1.评估阶段 2.策略制定阶段 3.实施阶段 4.培训阶段 5.审计阶段 IDS与扫描关系 攻击技术分析: 拒绝服务攻击(DoS):1.基于错误配置或软件弱点,可以补丁解决 如:Tear dorp (收到含有重叠偏移的伪造分段时将崩溃); Land(自己和自己对话ACK-SYN) ; Kiss of Death(逆序发送11个ICMP分片) ??? 2.利用合理的服务请求占用过多资源,服务器超载,无法响应其他请求 如:PING OF DEATH (超大ICMP数据包); SYN FLOOD ; SMURF(ICMP 目的为广播地址,源会受到所有的回复) ANTI-sniffer技术: sniffer:混杂模式计算机接受IP正确,MAC错误包 ANTI-SNIFFER:发现网络中哪些主机是在混杂模式下,用这种方式发现入侵者。IDS使用了与sniffer一样的混杂技术,所以攻击者可以用ANTI-SNIFFER发现哪些主机装了IDS 1.DNS TEST: 创建大量假TCP连接,垃圾的sniffer就会对不存在的IP地址做DNSS查询。通过监听?? DNS查询,确认对方是否进行网络窃听 2.Etherping Test: 发送ICMP ECHO包给B,正确IP,错误MAC,混杂就会接受 3.ARP test:(地址解析协议,IP-MAC) 发送ARP请求,只有MAC错误,混杂会接收 缓冲区溢出: 栈的作用①传参②返回地址③子程序变量 通过灌注大量nop指令,好命中shellcode,注入shellcode,可执行程序,通过自己指定的重复返回地址来命中nop+shellcode 使入侵代码得以执行 格式化字符串攻击: 可以利用不规范printf获取任意地址信息内容,访问栈中原本不能访问的内容
多用户权限: linux为多用户系统,将所有特权给ROOT的管理员用户 进程的识别号: 真实用户ID-?????? real user ID 真实用户组ID- real group ID 有效用户ID-???? effective user ID 有效用户组ID-? effective group ID 通常:真实用户ID=有效用户ID=运行进程的用户ID 当设置set-user-id标志位后:真实用户ID=运行进程用户ID ?????? 有效用户ID=文件所有者ID 组同理 Ruid=我们 ;Euid=uucp;保存设置用户id=uucp(有效用户id副本,恢复用) || \/ Ruid=我们;euid=我们;保存设置用户id=uucp | | \/ Ruid = 我们;euid=uucp ;保存设置用户id=uucp 授予用户root特权:像root用户一样执行程序 Suid权限的程序:执行时:euid=所有者uid ?? 完成后:euid=原本的uid Usr/bin/passwd: root的suid权限程序 如果程序流程可以改变执行任意一段攻击者注入的代码,即用root身份执行任意代码 入侵检测:入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一种网络安全技术。 目的:发现非授权的或恶意的系统及网络行为 问题:充分可靠提取描述行为特征的数据,准确判断行为的性质 术语: 警报:IDS向操作人员报告被入侵 异常:用户行为或网络行为超过轮廓距离阈值为异常,需要发出警报 网络入侵特征数据库:入侵行为抽象成的特定的字符集合,可用于发现网络入侵。误用检测重要组成 构造数据包:不遵守数据包结构,构造数据包,进行欺骗,or接受者无法处理这样的数据包 自动响应:IDS能对攻击作出防御反应(reset切断/重置路由or防火墙,拒绝来自相同地址的流量) 攻击者可以利用自动响应达成DOS攻击 蜜罐:模拟漏洞系统,作为被攻击者。有道攻击者在上面浪费时间,延缓真正目标的攻击 安全策略:事先定义的正式文档声明,定义服务-网段-支持组织。包括哪些主机不许外部网络访问 感应器:从数据源收集数据 分类: 误用检测(滥用):用网络入侵特征数据库,高效的入侵检测系统,精确性高,不能发现未知的入侵,不能检测变种的入侵,发生漏报 异常检测:建立正常活动模型,对系统/用户的实际活动审计,判断用户是否不是好人,是否对系统构成威胁 数据源: 基于主机的数据源: 操作系统审计日志:操作系统内部产生,反应系统活动,审计记录组成 缺点:可读差,特异性强,不兼容,无关信息多 特点:信源可信度高(操作系统保护),细节多-精确模式匹配,入侵者难改变审计日志 系统日志(文本存放):反映系统事件和系统设置,系统不保护,软件产生,容易被篡改,需要备份 特点:可读强,无法得到审计就可用系统日志,提供更多角度 基于网络的数据源: 网络监听对受保护系统影响小/几乎没有; 网络监视器对用户是透明的,受攻击可能性小 发现对主机的基于网络协议的攻击方法(畸形数据包) 与受保护的主机操作系统无关 基于统计的模型:刻画正常模型 CIDF规格文档: 1.体系结构:IDS的通用模型 2.规范语言:描述各种检测信息的标准语言 事件:需要分析的数据(网络/主机) 3.内部通讯:IDS组件间通信的标准协议 通用入侵检测对象GIDO,特定时刻发生的特定事件/执行某个行动的指令 4.程序接口:提供一整套标准的应用程序接口 事件产生器 ||GIDO \ / 事件分析器??? ||GIDO \ / ? 响应器 IDS:简单模式匹配技术 IDS在安全体系结构中层次的两种观点: 1.检测与保护不交叉,与OS无关,可靠性好,但是IDS需要协议还原,Unicode解码工作等原本OS/程序完成的工作,加重IDS负担,IDS对协议理解可能和OS/程序不一样,产生误报漏报 2.检测与保护紧密结合,有机结合,内核补丁/驱动程序形式,简洁方式准确检测 响应类型: 1.被动响应:只记录问题和报告问题 警报和通知 2.主动响应:用自动/用户指定的方式阻断攻击过程 类别: 1.针对入侵者采取的措施 联动响应:检测到需要阻断的入侵行为,启动联动机制,通知防火墙和其他安全控制设备对攻击源封堵,达到整体安全(防火墙-封堵外部网络;网络管理系统-封掉攻击者利用的网络设备和主机;操作系统-封掉有恶意的用户账号) 2.修正系统 3.收集更详细的信息 入侵响应按时间和紧急程度分类: 即时措施:入侵发生时 及时措施:入侵被完全检测出来时 本地长期措施:处于本地安全的长期考虑 全局长期措施:对社会安全状况很重要 数据生成:自动完成;可重复性;健壮性 方法:1.抓取正常/被攻击时的运行通信数据,处于隐私和安全,不可行 ? 2.从实际运行数据中清除秘密信息,在其中加入攻击,不可行,难清除秘密信息 ? 3.在内部网中重建正常通信和攻击数据,√ 防火墙: 概念 防火墙:位于两个或多个网络之间,执行访问控制策略的一个或一组系统,是一类防范措施的总称 应具备:内-外网之间数据数据流通都经过防火墙;只有符合安全策略数据流才能通过防火墙;防火墙自身应对渗透(攻击)免疫 堡垒主机:配置了安全防范措施的网络上的计算机,网络间通信阻塞点,没有堡垒主机,网络之间不能相互访问,最显露,最安全,防火墙/内部网络应用代理 双宿主机:有两个网络接口的计算机系统,一个接内部网,一个接外部网 DMZ非军事区/停火区:在内部网与外部网之间增加的一个子网,旁边路由器,阻塞路由器,缓冲区,进一步隔离公网-内部网,放置必须公开的服务器 局限性: 1.为了安全,要关掉有用但可能有安全缺陷的网络服务 2.对内部网络攻击无能为力 3.不能防范不经过防火墙的攻击,如内部通过SLIP/PPP直接进入外部网 4.防火墙对用户不透明,传输延迟,瓶颈,单点失效 5.不能完全防止病毒文件/软件传播,不可能细致的检查,不然效率太低了 6.不能有效防范数据驱动式攻击 7.被动防护手段,不能防范新威胁和攻击 种类: 1.包过滤防火墙: 一台路由器实现,对接受的数据包检查,通过过滤规则决定转发/丢弃(双向)(规则:IP源/目的;TCP/UDP端口;ICMP消息类型;TCP中的ACK位),不匹配的缺省策略(没有被拒绝都通过-危险-新攻击-新策略;没有被允许都拒绝-保守-根据需要逐渐开发) 优点:简单,费用低,透明,效率高 缺点:维护困难,不支持用户鉴别 2.双宿/多宿主机模式: 堡垒主机用多个网卡和多个受保护子网连,每个网卡都有独立IP,必须禁止网络层的路由功能 3.屏蔽主机模式: 外部网-一堆过滤路由器-堡垒主机-内部网络,堡垒主机是外部网络唯一可直达的主机。保护内部网络不收未授权的外部用户攻击。网络层和应用层的安全。过滤路由器配置正确很重要,路由表不能被破坏,堡垒主机不能被越过,不然内部网就会暴露。 4.屏蔽子网模式: 外部网-一个外部过滤路由器-子网(非军事区/周边网)-一个内部过滤路由器-内部网 内部/外部都能访问非军事区,但是禁止他们穿过军事区。 外部入侵到堡垒主机,只能看到堡垒主机-内部过滤路由器的信息流,不知道内部网络的具体信息流,要访问内部还是要经过内部过滤路由器 过滤子网:可以只包含堡垒主机,也可以增加需要对外提供服务的web服务器,不通过外部网络和内部网络之间的通路。 外部路由器:保护过滤子网+内部网,只做小部分包过滤,对过滤子网的主机提供保护。有效任务为阻隔外部伪造内部的数据包。 内部路由器:保护内网,完成大部分包过滤工作 优点:堡垒主机运行各自代理服务,更有效提供服务 相关技术: 1.静态包过滤(通过数据包地址信息,固定决定是否通过)(IP层) 2.动态包过滤(临时通过,动态过滤,身份验证,动态开发数据通道) 3.应用程序网关* 4.网络地址翻译(NAT,解决IPv4网络地址空间不足的问题,向外部隐藏内部网络,解决地址交迭,负载均衡,静态网络地址翻译(人工);动态网络地址翻译) 5.虚拟专用网* PKI系统主要组成: 认证机构CA 证书库:证书-用ca的私钥签名 密钥备份和恢复系统 证书撤销处理系统:CRL撤销证书列表,定期公布 PKI应用程序接口 数字证书验证流程: 验证签名-检查有效期-检查证书的预期用途是否符合CA在本证书指定的策略限制-确认没有在CRL里 使用证书的应用程序: 1.安全套接字层SSL:web C/S 服务器发证书给Web浏览器供其认证/web请求用户证书认证 2.安全的电子邮件:发送者签名随邮件发送/用接受者的公钥加密 3.虚拟专用网:信息加密 IPsec IETF设计的端到端的确保IP层通信安全的机制,一组协议,IPv6必须支持,IPv4可选 IP可能的攻击:窃听、篡改、IP欺骗、重放 IPsec:透明,预防窃听、篡改,保证完整性、机密性 功能: 1.作为隧道协议实现VPN通信:第三层隧道协议,在IP层建立安全的隧道 2.保证数据来源可靠:IKE认证对方身份并协商密钥,只有IKE认证成功后才能通信。第三方无法冒充发送方(不知道验证和加密算法以及相关密钥) 3.保证数据完整性:验证算法,传输过程中的数据篡改,丢失都被检测 4.保证数据机密性:真正接收方才知道真正内容,其他人无法知道 结构: (对于进出的每个数据包=丢弃、绕过、应用IPsec) 主报头后面扩展报头:AH(鉴别)|ESP header(加密和鉴别(可选))? 策略:SA+SAD+SPD,唯一尚未成为标准的组件 SPD:安全策略库(每条记录对应一个安全策略), 对于外出数据报,先检索SPD,决定提供给他的安全服务;对于进入数据报,查阅SPD,判断为期提供的安全保护是否和安全策略规定的安全保护相符;有序的 SAD:安全关联库, 无序的,为进出数据报维持活动的SA列表,外出SA保障外出数据包安全,进入SA处理进入数据报 SA:安全关联, 一个关联=发送者->接受者的一个单向关系; SA=SPI(安全参数索引,由AH和ESP携带,使接受系统可以选择合适SA处理接收包)+对方IP地址(单一地址,可是用户/末端系统/防火墙/路由器)+安全协议标识(AH安全关联/ESP安全关联) 安全关联的字段包括: 序号计数器 计数器溢出位 反重放窗口 AH信息 ESP信息 SA的生存期 IPsec协议模式:隧道/运输/通配符 路径MTU 手动or自动IKE管理安全关联,如果没有相应SA,IPsec内核就会启动/触发IKE协商 AH:与NAT冲突 3种服务: 1.数据完整性验证(哈希函数校验) 2.数据源身份认证(计算验证码时加入共享密钥) 3.防重放攻击(AH报头序列号) 传输模式:插入报头内,与NAT冲突,验证区域为整个IP包,源/目的IP地址不能改变 隧道模式:插入原始头前,在AH之前增加一个新IP头,也与NAT冲突,在隧道模式可以单独用,也可以和ESP嵌套 ESP 除了AH的三种额外2种,加密是ESP的基本功能,上面三个是可选: 1.数据包加密:可选整个IP包/IP包载荷加密 2.数据流加密:对整个IP包加密后传输,目的端路由器解密后将原始包转发 传输模式:验证不包括IP头,不会NAT冲突;加密不包括验证数据;加密不包括SPI和序号字段 缺点:除了ESP,任何IP头部字段都可以修改,只要校验和正确,就检测不出来,验证比AH弱 隧道模式:保护整个IP包,对整个包加密,ESP插入原IP头前,再在ESP前面加新IP头 特点:增加带宽(因为新IP头),流加密(源/目的地址也加密) AH/ESP可单独使用,也可嵌套使用。-->主机-主机;安全网关-安全网关;主机-安全网关 IPsec模式: 1.隧道模式:保护整个IP包,只要IPsec双方有一方是安全网关/路由器,就必须使用隧道模式 短的在外面,因为如果只查看最前面的报头,会把加密信息转发出去,并没有解开 IPsec处理: 1.外出处理,检索SPD数据库,判断服务类型 丢弃:简单丢弃 绕过安全服务:为载荷添加IP头,然后分发IP包 应用安全服务:若有SA,返回指向SA指针;若无SA,调用IKE建立SA,(如果强制IPsec应用,SA没建立好,包不会被传出出去),SA建好后,按正确顺序增添AH和ESP头 2.进入处理, 如果包内没有IPsec,根据安全策略进行检查 丢弃:直接丢弃 应用安全服务:SA没有建立,包一样被丢弃 把包给上层 如果有IPsec包 提取三元组(SPI+目的地址+协议),在SAD检索。根据协议值交给AH/ESP层处理。协议载荷处理完后,在SPD中查询策略,验证SA使用是否得当 源/目的=主机;处理=ESP/AH;端点=开始/结束点 组成(阶段):(IP通信分为两个阶段) 1.协商阶段:通信双方互相认证对方身份,根据安全策略使用的加密、认证算法,生成会话密钥 2.数据交互阶段:利用协商好的算法和密钥对数据进行安全处理 IKE(Internet密钥交换): 用于动态建立SA ISAKMP协商阶段: 阶段1:本阶段协商的SA=>ISAKMP SA(IKE SA)--->保证阶段2的安全通信 阶段2:本阶段协商的SA=>最终要协商的SA(Ipsec SA)--->保证AH/ESP的安全通信 阶段1产生的SA可以用于协商多个阶段2的SA,阶段2的安全有阶段1的协商结果来保证 IKE交换模式: 第一阶段:建立IKE SA,建立验证过的密钥 主模式: 1.协商建立IKE SA的参数:A->B提议;B->确认提议(加密算法,hash算法,认证方法,DH组选择)(明文) 2.交换密钥相关信息:diffe-hellman密钥交换,大数,随机数,身份标识(签名) 密钥信息推导出4个密钥 SKEYID基础密钥,推导出aed SKEYID_a :为ISAKMP消息完整性验证密钥 SKEYID_e:为ISAKMP消息加密密钥 SKEYID_d:衍生出IPsec报文加密、验证密钥 3.交换身份信息认证对方身份:标识,证书,签名(SKEYID_e加密) 身份验证方法:预共享密钥;RSA签名;RSA加密认证;数字信封认证 积极模式/野蛮模式:无身份保护(因为密钥和身份一起进行);但是快 1.A->B:安全提议,密钥相关,身份信息 2.B->A: 密钥相关,身份信息,本地认证信息 3.A->B:回应验证结果,建立IKESA 第二阶段:为IPsec协商安全服务 快速模式:(用e加密,a验证完整性和身份验证) 1.A->B:发送本地IKE安全提议、密钥相关信息、身份信息 2.B->A:查找提议,发送密钥相关信息、身份信息、本端认证信息 3.A->B:返回本端认证信息,进行认证 容侵: 密码技术+容错技术,具有容侵能力的系统在受到攻击时,甚至系统的某些部分已经受到破坏、或者被恶意攻击者操控时,仍然能够对合法用户继续提供服务或降级服务,保持系统数据的机密性和完整性,并且具备自诊断、自恢复以及重新构造的能力。 分类: 基于攻击屏蔽的入侵容忍:,设计时就考虑被入侵的可能,成功屏蔽入侵,仿佛好像没有发生入侵一样。不要求检测,响应,全部依赖于预先采取的安全措施 基于攻击响应的入侵容忍:入侵检测识别入侵,根据具体入侵行为以及系统在入侵状态下的具体情况,选择合适的安全措施(进程清除/拒绝服务请求/资源重分配/系统重构) 计算机网络体系结构的脆弱性: 网络体系结构分析:分组交换、认证与可追踪、尽力而为的服务策略、匿名与隐私、无尺度网络、级联结构、互联网的级联特性、中间盒子 IPv4安全性分析: IPv4协议没有认证机制: 无消息源认证:源地址假冒 无完整性认证:篡改 IPv4没有加密机制: 无机密性:监听应用数据 泄露拓扑等信息:网络侦察 无带宽控制: DDos攻击 IPv6安全分析: IPv4向IPv6过渡技术的安全风险: 协调攻击,利用协议不足来逃避检测;协议漏洞互相影响;隧道只是简单封装,不进行任何严格检查,复杂安全问题 无状态地址自动配置的安全风险: NDP邻居发现协议实现IPv6节点无状态地址的自动配置和节点的即插即用。攻击者可以假冒合法路由器,伪造RA报文,使得IPv6节点选择恶意主机为默认网关,实现中间人攻击 PKI管理系统的安全风险 IPv6编址机制的隐患 ICMP安全分析: 利用伪造目的不可达报文对目标发起Dos攻击 利用改变路由报文破坏路由表,导致网络瘫痪 木马利用ICMP协议报文隐蔽通信 利用Echo请求/回答报文进行网络扫描或拒绝服务攻击 RIP协议安全分析: 不支持认证,UDP不靠谱 没有认证,攻击者可以伪造RIP路由更新信息,向邻居发送伪造信息(目的网络地址-子网掩码-下一条地址,结果若干轮路由更新,网络通信可能面临瘫痪 的风险 OSPF安全分析(内部网关路由协议) 攻击类型: 最大年龄攻击(MAX AGE attack): LSA(链路状态通告)的最大年龄为1h,攻击者发送带有最大年龄设置的LSA信息报文,最开始的路由器通过产生刷新来发送这个LSA,而后引起age项中突然改变值的竞争。攻击者持续插入这个报文给整个路由器,导致网络混乱和DOS 序列号加一攻击: OSPF根据LSA的序号字段判断是否是旧的LSA,序列号越大越新,攻击者持续插入较大的LSA,最开始的路由器就会产生、发生更新的LSA来与攻击者序列号竞争,导致网络不稳定和DOS 最大序列号攻击: 发送最大序列号的网络设备再次发送报文前,其他设备也将序列号重置,OSPF停15min 攻击者插入最大序列号的LSA报文,触发初始化过程。不断修改发出的LSA序列号->网络运行不稳定 BGP数字大炮攻击: 利用BPG路由表更新机制,在网络上制造某些通信链路的时断时续的震荡效应->网络频繁更新路由表->足够多,瘫痪 TCP协议安全分析: 网络扫描 DoS攻击 TCP会话劫持攻击 DNS安全威胁分类:(域名协议) HTTP协议安全问题: 简单无状态 基于ASCII码,攻击者易于了解协议中的明文信息 中间盒子的理解不一致,可能导致新攻击 Cookie安全分析: 包含敏感信息,攻击者可以利用cookie进行窃密和欺骗攻击 SQL注入: web应用程序对特殊字符串过滤不完全缺陷,一般发生在用户输入和sql语句拼接动作访问数据库时 --- 整形参数SQL注入漏洞探测: Select * from 表名 where 字段=YY http://xxx.xxx.xxx/abc.asp?id=YY ’????????? =>>>在URL链接中附加一个单引号,运行异常 http://xxx.xxx.xxx/abc.asp?id=YY? and 1=1????? ====>>>在URL链接中附加一个and 1=1 ,运行正常 http://xxx.xxx.xxx/abc.asp?id=YY? and 1=2????? =====>>>>附加一个and 1=2,运行异常 说明后面的语句都会被识别进入数据库SQL 字符参数SQL注入漏洞探测: Select * from 表名 where 字段=‘YY’ http://xxx.xxx.xxx/abc.asp?id=YY ’???????? ====>>,f附加单引号,运行异常 http://xxx.xxx.xxx/abc.asp?id=YY ‘and ’ 1‘=’1??? ===>>运行正常'1'='1' http://xxx.xxx.xxx/abc.asp?id=YY ‘and ’ 1‘=’2??? ===>>运行异常'1'!='2' 防护SQL注入漏洞: 1.字符串长度验证 2.对单引号,双--,下划线_,百分号等sql注释符号转义 3.对接受的参数类型格式化,如id获取后直接转化int 4.不适用动态拼装,使用参数化sql/直接使用存储过程进行数据查询 5.不要用管理员权限连接数据库 6.不要把机密信息明文存放 7.少给应用异常提示,不要把原始异常提示给页面 8.做好xss跨站攻击防护,防止攻击者伪造管理员信息进入后台 9.服务端必须有数据校验(长度/格式/是否必填) |
|
网络协议 最新文章 |
使用Easyswoole 搭建简单的Websoket服务 |
常见的数据通信方式有哪些? |
Openssl 1024bit RSA算法---公私钥获取和处 |
HTTPS协议的密钥交换流程 |
《小白WEB安全入门》03. 漏洞篇 |
HttpRunner4.x 安装与使用 |
2021-07-04 |
手写RPC学习笔记 |
K8S高可用版本部署 |
mySQL计算IP地址范围 |
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 | -2024/11/26 1:56:41- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |