网络安全——技术与实践 刘建伟版 重点和笔记
华中科技大学网络安全学院考研复试笔试部分:《网络安全——技术与实践》重点和笔记,全是图和表格总结的重点,方便复习
文章目录
一、第一章:绪论
1. 信息安全目标*4以及安全威胁
理解和对应
(1) 信息安全目标/基本威胁/潜在威胁:
| 信息安全目标 | 基本威胁 | 潜在威胁 |
|---|---|---|
| 保密性: 保证数据秘密性 | 信息泄露 | 窃听:流量分析,报文分析,射频截获 |
| 完整性: 保证数据不被篡改 | 完整性损害 | 截获/篡改 |
| 可用性: 允许合法用户正常访问 | 拒绝服务 | 资源耗尽/完整性侵犯 |
| 合法使用: 保证资源授权使用(访问控制?) | 非法使用 | 窃取 |
(2) 可实现威胁: 可以导致所有基本威胁的威胁
0x00: 渗入
- 假冒: 假冒成授权实体等
- 授权攻击: 获取授权
- 旁路攻击: 漏洞利用
- 物理侵入: 拔网线
0x01: 植入
- 木马
- 蠕虫:依附其他进程传播
- 病毒:自行传播
- 陷门(权限保持):在别人系统开后门
2. 安全攻击分类
区分,了解类别中有哪些攻击方法
| 被动攻击:不直接造成破坏 | 主动攻击:造成破坏 |
|---|---|
| 窃听 | 截获 |
| 流量分析 | 重放攻击 |
| 伪装/欺骗 | |
| 拒绝服务 |
3. OSI安全体系
了解每个安全机制能提供的安全服务
- 安全服务(X.800): 要达到的目标
- 保密性
- 完整性
- 访问控制:保证授权使用
- 认证
- 不可抵赖:发送方不可抵赖已发送的数据
- 安全机制(X.800): 具体的手段和技术
- 加密:加密算法如:
- 对称密码体系:流密码,DES,AES(组合密码),
- 非对称密码体系(公钥体系):RSA(大数质因数分解),ElGamal(乘法群离散对数),椭圆曲线(加法群离散对数)
- 数字签名:先解密后加密,可以保证完整性和不可抵赖
- 完整性保护:如哈希检错:HMAC(MD5,SHA等)
- 访问控制:基于各种策略的授权访问
- 认证交换:交换认证信息如交换PKI证书等
- 流量填充:数据流空隙加没用的位防止流量分析
- 路由控制:只使用信任的路由
- 公证:可信的第三方公证,如PKI证书
- 加密:加密算法如:
| 加密 | 数字签名 | 完整性保护 | 访问控制 | 认证交换 | 流量填充 | 路由控制 | 公证 | |
|---|---|---|---|---|---|---|---|---|
| 保密性–数据保密 | o | o | ||||||
| 保密性–流量保密 | o | o | o | |||||
| 完整性 | o | o | o | |||||
| 访问控制 | o | |||||||
| 不可抵赖 | o | o | o | |||||
| 认证–数据源认证 | o | o | ||||||
| 认证–实体认证 | o | o | o |
二、第三章:Internet协议的安全性
每层,每种协议,了解常见攻击和防御手段
1. 网络层:IP,ICMP,ARP
(1)IP*6:窃听, 篡改, 欺骗, 分片攻击, 路由改变, 定向广播
| 攻击,原理 | 防御 |
|---|---|
| 窃听:IP无加密 | 检测如PingTest(源地址无效的ping,只有监听机会回应),加密如IPsecESP协议 |
| 篡改:IP仅校验头部 并且只防随机错误,不防人为篡改 |
加校验如IPsec的AH&ESP |
| 源地址欺骗:IP无源端认证 | 采用认证如IPsec的AH&ESP |
| 路由改变:IP支持指定往返路由 | 在路由器上禁止此选项 |
| 分片攻击 1. Overlap:故意构造错误偏移地址把恶意信息折叠 2. 大包攻击:Ping最大数据缓冲区65530 3. 小包攻击:把头放在多个分片绕过包过滤防火墙 |
禁止分片,或使用序号机制如IPsec |
| 定向广播:IP支持广播 | 禁止定向广播 |
(2)ARP*3:ARP欺骗,ARP重定向,MACFlood
| 攻击,原理 | 防御 |
|---|---|
| ARP欺骗:相应别人的ARP请求做中间人 | 静态ARP |
| ARP重定向:不停告诉别人我是网关 | 静态ARP |
| MAC泛洪: 发一堆ARP填满交换机的映射表,导致交换机变集线器 |
不知 |
(3)ICMP*3:ICMP DoS,ICMP重定向
| 攻击,原理 | 防御 |
|---|---|
| ICMP重定向: 发重定向报文改变某主机路由表,自己伪装成路由器 |
阻止一些类型的ICMP |
| ICMP拒绝服务-针对带宽DOS: 狂ping |
防火墙设置允许单向ping |
| ICMP拒绝服务-针对连接DOS: 发不可达报文,中断别人的连接 |
阻止一些类型的ICMP |
2. 传输层:TCP,UDP
(1)TCP*3:SYNflood,序号攻击,拥塞攻击
| 攻击,原理 | 防御 |
|---|---|
| SYN-Flood: 1. 原理:语义DoS(利用协议设计缺陷DoS) 发一堆SYN,由于Server在第一次连接就分配TCB(保持连接的资源) 形成一堆半连接,耗费Server的资源 2. 攻击方式和防止攻击到自己: 源地址欺骗:防止返回的ACK攻击到自己 反射攻击:源地址填受害者,狂发给某些Server利用返回报文攻击 放大攻击:利用如DNS协议,请求报文小,相应报文大 |
检测,包过滤,高防 1. 检测连接状态和速率 释放半连接和不活动的连接 2. 源地址过滤 配合包过滤防火墙 3. 延缓TCB,如代理(高防) (1)SYNproxy: 窗口设置为0 (2)SYNcache: SYN1用cache保存连接 不分配TCB且窗口为0 (3)SYNcookie: SYN2发cookie 无TCB (4)SYNreset: SYN2发cookie 让主机重连被保护Server 后面高防不代理 |
| 序号猜测: A被攻击者 B与A连接者 X攻击者 1. 使B拒绝服务 2. 连接A的其他端口看序号规律 3. 猜测A的序号连接要攻击的端口 |
采用复杂的序号模式 |
| 拥塞控制: 故意制造拥塞来DoS |
检测异常流量 |
(2)UDP*2:UDPflood,UDP欺骗
| 攻击,原理 |
|---|
| UDP-Flood:UDP无拥塞控制,狂发,暴力DoS |
| UDP欺骗:UDP无认证 |
3. 应用层:FTP,DNS,Email相关,Telnet
(1)DNS*3:DNS劫持,DNS污染,DNS中毒
| 攻击,原理 | 现象 |
|---|---|
| DNS劫持: 劫持DNS服务器 |
解析不正确返回假网站 |
| DNS污染: 伪装成DNS服务器 解析出假网站,常配合ARP欺骗 要自己运行DNS和Web服务 |
解析不正确返回假网站 |
| DNS中毒: 伪装DNS的响应 |
解析不正确返回假网站 |
(2)FTP*5:窃听, port,越权,反射攻击,匿名攻击
port模式:Client自己指定端口
pasv模式:Server相应时会把端口发过去
如果两个模式都开着用户自己可以选择的
| 攻击,原理 | 防御 |
|---|---|
| 窃听:FTP无加密 | 加密,如SFTP |
| port模式指定端口绕过访问控制/包过滤 | 1. 关闭port 2. 使用SFTP:加密且使用SSH(固定22端口) |
| FTP反射攻击 | 1. 关闭port 2. 使用SFTP |
| FTP匿名垃圾文件:在公共区放垃圾 | 关闭公共访问区 |
| 越权 | 不要在root用户运行FTP,最小权限原则 防止被劫持后造成更大破坏 |
(3)Email*3:垃圾邮件,邮件炸弹,社工
| 攻击,原理 |
|---|
| 垃圾邮件 |
| 邮件炸弹:狂发邮件填满你的小邮箱 |
| 社会工程学:电诈 |
(4)Telnet
不安全,不加密,无认证,请用SSH
4. 路由协议: RIP(应用层),OSPF(网络层),BGP(应用层)
1. RIP*2: RIP更新报文欺骗, 嗅探截获重放
| 攻击, 原理 | 防御 |
|---|---|
| RIP路由更新报文欺骗: RIPv1无认证,RIPv2MD5已被破解 |
访问控制,认证 |
| 嗅探,截获并重放: RIP用不可靠不加密的UDP |
开被动模式(只进不出) |
2. OSPF
协议缺陷:
- 虽然有认证但是有些采用口令,可以针对口令进行攻击
- 有泛洪,攻击容易扩散
3. BGP
协议缺陷:
- 无认证: 增加认证的改进协议如MD5-BGP,SBGP
X. 网络监听:总线式LAN,交换式LAN,WAN,WLAN
如何在如下四种网络中监听
| 网络拓扑 | 监听方法 |
|---|---|
| 总线式局域网 集线器Hub |
1. 打开NIC(网卡)的混杂模式 2. ARP欺骗 |
| 交换式局域网 交换机Switch |
1. MAC-Flood 2. ARP欺骗 3. ICMP重定向 |
| 广域网 路由器网关等 |
1. 劫持路由器 2. 光纤分流 3. 直接攻击主机 - 如DNS污染,漏洞利用,等植入和渗入手段 |
| WLAN | 1. 对无加密协议直接监听 2. 破解弱口令 3. 自建热点监听 |
三、第十二章:防火墙
1. 防火墙分类
| 静态包过滤 | 动态包过滤 | 电路级网关 | 应用级网关 | 状态检测 | 空气隙 | |
|---|---|---|---|---|---|---|
| 原理 | 基于检查内容 配置访问限制 以过滤 |
维护链接表 并进行包过滤 |
先包过滤 做代理 |
先包过滤 做代理 为指定 应用专用 |
维护很多状态 对无连接协议 也构造虚拟连接 |
共享磁盘 做代理 一般防火 墙是共 享主存 |
| 工作层级 | 网络层 | 网络层 /传输层 |
传输层 | 应用层 | 所有层 | 若搭配 应用级网关 应用层 |
| 检查内容 | s/dIP, s/dPort, Protocol |
s/dIP, s/dPort, Protocol |
s/dIP, s/dPort, Protocol SYN, ACK, seq |
针对某一应 用专门设计 |
状态: 保存每层 各种信息 事无巨细 |
若搭配 应用级网关: 专门设计 |
| 性能 安全性 |
= = |
>静态 >静态 |
<包过滤 >包过滤 |
<电路级 >电路级 |
<应用级 >应用级 |
不知 |
| 对用户 /应用透明 |
透明 | 透明 | 对应用透明 | 不透明 | 不透明 | 不透明 |
| 强代理 | 无代理 | 无代理 | 有代理 但非强代理 |
强代理 | 强代理 | 强代理 |
| 认证 | 无 | 无 | 连接 前认证 |
有 | 有 | 有 |
| 状态感知 | 无 | 有 | 有 | 有 | 有 | 有 |
| 屏蔽内部ip | 无 | 无 | 有 | 有 | 有 | 有 |
| 多端口协 议支持 |
无 为了妥协 FTP要开 很多端口 |
无 同静态 |
有 开了socks 代理才有 |
有 | 有可以检查 FTP报文动 态开端口, 连接断了 就关掉 |
有 |
| IP分片攻击 IP欺骗 |
不防 | 不防 | 防 | 防 | 防 | 防 |
| 隐信道攻击 | 不防 | 不防 | 不防 | 防 | 防 | 防 |
| 应用层攻击 | 不防 | 不防 | 不防 | 防 | 防 | 防 |
| 缓冲区 溢出攻击 |
不防 | 不防 | 不防 | 防 (有强代理) |
防 (有强代理) |
防 (有强代理) |
2. 防火墙部署
1. DMZ
一片非真正可信的网络,供外部和内网访问,但不能访问内网
0x00: 单防火墙体系
0x01: 双防火墙体系
2. 堡垒主机
一台在内网边界,保护内网,有时要作为防御的牺牲品保护内网的主机
0x00:单宿主堡垒主机模型
和内网在一起
0x01:双宿主堡垒主机模型
作为内网的入口,进入内网的所有消息都经过堡垒主机
0x02:屏蔽子网模型
堡垒主机放在DMZ
3. 防火墙局限性和攻防
四、第十三章:入侵检测技术IDS
1. IDS评价标准和功能
(1)评价标准
- 误分率:正常行为判断为攻击
- 漏分率:攻击判断为正常行为
(2)功能和结构
数据收集
- 系统日志
- 网络
- 进程
- 文件系统,文件/目录的增减
- 物理入侵
数据分析
- 模式匹配:误用检测
- 统计分析:异常检测
- 完整性分析:一般是受攻击后的检测,检查文件什么的还在不在
安全响应
- 被动响应:报警鸣笛发短信什么的,不实际控制系统
- 主动响应:主动做出控制清除攻击
2. IDS分类
(1)按分析方法: 误用检测,异常检测
误用检测:就是保存好已知的攻击,如果特征与其一样就判定为攻击
异常检测:勾勒出系统正常运行的指标范围,如果超出这个范围就判定为攻击
| 误用检测 | 异常检测 | |
|---|---|---|
| 误分率 | 低 | 高 |
| 漏分率 | 高 | 低 |
| 特点 | 无法检测新攻击 完全依赖误用库 |
可以检测新攻击 范围难以界定 难以对攻击区分 在范围形成过程中有机可乘 |
(2)按数据来源:NIDS,HIDS,DIDS(DIDS非重点)
0x00:NIDS和HIDS对比
a. 关键技术:NIDS*3, HIDS*2
| NIDS | HIDS |
|---|---|
| 协议分析:重组分片进行分析 | 网络连接检测 |
| 零复制技术:和检测的主机共享内存 | 主机系统检测 |
| 蜜罐技术:故意弄靶机引诱别人攻击 |
b. 特点
| NIDS | HIDS | |
|---|---|---|
| 视野 | 宽 | 集中 |
| 占资源 | 少 | 多 |
| 隐蔽性 | 高 | 低 |
| 实时性 | 高 | 低 |
| 加密数据 | 不支持 | 支持 |
| 交换式网络 | 难配置 | 支持 |
| 针对主机攻击检测 | 不能 | 能 |
| 缓冲区溢出检测 | 不能 | 能 |
3. IDS的部署
(1)NIDS*4: 内网主干,外网入口,DMZ,关键子网
| 内网主干 | 外网入口 | DMZ | 关键子网 |
|---|---|---|---|
| 由于防火墙,不能检测到所有攻击 | 可以得到最原始攻击 | 可以检测防火墙性能 由于防火墙,不能检测所有攻击 |
集中检测,流量小 |
(2)HIDS
在部分重要主机上部署比如DB,WebServer,FTPServer等