简简单单过一遍网络安全
引言
要考试了,偷偷复(预)习一下《网络安全技术》相关知识。当然,这些介绍都是入门级别的,对于这方面感兴趣的同学也可以看看。文末会附上非常详细的思维导图,可以结合着思维导图来看,有错误的地方也欢迎指出~
文章导读
- 网络安全概述
- 网络安全基础
- 网络攻击
- 计算机病毒
- 密码学
- 身份认证与访问控制技术
- 防火墙技术与入侵检测技术
- 网络安全方案设计
- 总结+思维导图
一、网络安全概述
这一章过于概念化,酌情记忆,重点的会加粗。
网络安全的三个基本属性包括保密性,完整性,可用性。
P2DR2安全模型指的是:
- 策略(Policy)
- 防护(Protection)
- 检测(Detection)
- 响应(Response)
- 恢复(Recovery)
信息安全概念
国际标准化组织ISO提出的信息安全定义是,为数据处理系统简历和采取的技术及管理保护,保护计算机硬件,软件,数据不因偶然及恶意原因而遭到破坏,更改和泄漏。
计算机系统安全
TCSEC将网络安全性等级划分为四个等级七个级别,从低到高分别是D、C1、C2、C3、B1、B2、B3、A1。
OSI安全系统结构中,定义了5类安全服务,分别是:
- 鉴别服务
- 访问控制服务
- 数据机密性服务
- 数据完整性服务
- 抗抵赖性服务
OSI系统中定义了8中特定的安全机制是:
- 加密机制
- 数字签名机制
- 访问控制机制
- 数据完整性机制
- 鉴别交换机制
- 通信业务机制
- 路由控制机制
- 公证机制
二、网络安全基础
内容比较多,算是一个重点吧!先了解一下计算机网络模型。
2.1 OSI七层模型(由低到高)
- 物理层
- 数据链路层
- 网络层
- 传输层
- 会话层
- 表示层
- 应用层
2.2 TCP/IP四层模型(由低到高)
- 网络接口层(物理层+数据链路层)
- 网络层
- 传输层
- 应用层(会话层+表示层+应用层)
2.3 TCP/IP网络模型中各层存在的威胁
2.3.1 网络接口层
先了解一下网卡的工作模式:广播模式,多播模式,直接模式,混杂模式。
存在的威胁:
- 网络设施和线路的安全
- 网络监听
- MAC洪水攻击
黑客利用混杂模式可以监听所有的数据包,如何预防网络监听?
可以用数据链路层的交换机替换物理层的HUB集线器。
如何预防MAC洪水攻击?
使用交换机,交换机(工作于网络层)中维护了交换表,是MAC与端口的映射。出现MAC洪水攻击,交换机就类似于HUB了,所有数据包可以被监听。可以限制每个端口的MAC的上限,超过该阈值的MAC就不能够注册到交换机中。
2.3.2 网络层
网络层的威胁主要是针对一些协议的漏洞,从几个协议入手吧!
存在的威胁:
- IP窃听
- IP地址假冒
- IP碎片攻击
- ARP欺骗
- ......
IP协议
又称网际协议,是支持网间互联的数据报协议。IP数据报由首部和数据组成。其中首部的前一部分是固定长度,20字节,是所有IP数据报必须具有的。
如何解决IP协议的不安全性?
防火墙IP分组过滤,用IPV6,使用IPSec方式
简单来说,IPSec分为两种模式:传输模式和隧道模式。传输模式保护的只有数据部分(主机-主机),隧道模式保护整个IP数据报(网关-网关)。
ARP协议
ARP协议是根据IP地址获取MAC地址(物理地址)的协议。ARP欺骗的实质是提供虚假的MAC地址和IP地址的组合。
arp相关命令
- arp -a(查看主机的ARP缓存表)
- arp -s(对网关IP和MAC地址进行绑定)
- arp -d(删除ARP表中的所有内容)
如何预防ARP欺骗?
- 将IP与MAC地址静态绑定。命令:arp -s 网关IP 网关MAC
- 使用ARP防火墙
- 在网关绑定主机MAC与IP地址
ICMP协议
是TCP/IP协议簇的子协议,用于在IP主机,路由器之间传递控制报文。
2.3.3 传输层
TCP协议
可以提供面向连接的,可靠的,点到点的全双工传输。
UDP协议
可以提供面向无连接的,不可靠,支持点对点,点对多点的快速传输。
UDP协议存在的威胁:
- 假冒攻击
- 泛洪攻击
- 劫持攻击
2.3.4 应用层
应用层的协议有HTTP协议,DNS协议,SMTP协议,POP3协议等。是最容易受到攻击的一层,木马,计算机病毒等都会作用在这一层。
三、网络攻击
3.1 网络攻击的分类
网络攻击分为被动攻击和主动攻击。其中,被动攻击分为:
- 窃听攻击
- 流量分析
主动攻击分为:
- 伪装攻击
- 重放攻击
- 消息篡改
- 拒绝服务攻击
我们重点来看一下拒绝服务攻击~
3.1.1 DOS(拒绝服务攻击)
DOS是黑客利用合理的服务请求来占用过多的服务资源,是合法用户无法得到服务的响应,直至瘫痪而停止提供正常的网络服务的攻击方式。它的表现形式有资源消耗,配置修改,物理破坏,服务利用。
3.1.2 DDOS(分布式拒绝服务攻击)
借助于客户/服务器技术将网络多个计算机联合作为攻击平台,对一个或多个目标发送DOS攻击,从而成倍地提高拒绝服务攻击的威力。
DDOS的四个组成部分是:
- 攻击控制台
- 攻击服务器
- 攻击器
- 目标主机
3.1.3 拒绝服务攻击技术
拒绝服务攻击技术有:
- Flooding攻击
- SYN flood攻击
- LANF攻击
- ICMP floods攻击(比如Smurf攻击)
- Application level Flood攻击
SYN flood攻击
其实就是向目标机发送大量源地址和目标地址相同的SYN包。
SYN flood攻击预防方式有:
- 缩短SYN Timeout时间
- 设置SYNCookie
- 负反馈策略
- 退让策略
LAND攻击
LAND攻击报文的源IP地址和目的IP地址是相同的。
Smurf攻击
发送源IP为目标主机,目的IP为对应子网的广播地址的ICMP ECHO请求报文。
如何预防拒绝服务攻击?
- 有效完善的设计
- 带宽限制
- 及时给系统安装补丁
- 运行尽可能少的服务
- 只允许必要的通信
- 封锁敌意IP地址
3.2 计算机安全漏洞
又称缺陷,是在硬件,软件协议的具体实现或系统安全策略上存在的缺陷,从而可使攻击者能够在未授权的情况下访问或破坏系统。
3.3 黑客攻击的5个步骤
简单来说是隐藏IP,信息搜集,实施入侵,保存访问,隐藏踪迹。下面具体的看一下每个步骤。
3.3.1 隐藏IP
隐藏IP技术主要有IP欺骗和网络代理跳板。
IP欺骗就是伪造IP地址的技术,实质就是让一台机器来扮演另一台机器,以达到隐藏自己的目的。
3.3.2 信息搜集
主要应用是扫描技术,扫描技术可分为:
- PING扫描技术(ICMP扫描,回显ICMP扫描,TCP扫描,UDP扫描)
- 操作系统探测技术
- 端口扫描技术(全连接,半连接,无连接)
- 漏洞扫描技术
端口扫描的基本原理
向目标主机的TCP/IP端口发送探测数据包,并记录目标主机的响应,通过分析响应来判断端口是打开还是关闭等状态信息。
网络扫描步骤:
1)发现目标主机或网络
2)发现操作系统,运行的服务以及服务软件版本
3)发现安全漏洞
3.3.3 实施入侵
获取权限时,可以有字典攻击和欺骗攻击。
字典攻击
一种将一切可能成为口令的字符串集合作为字典文件,并且程序自动地逐个尝试字段文件的字符串登录目标主机的攻击行为。
字典攻击的方式有词典攻击,强行攻击,组合攻击,社会工程学攻击。
欺骗攻击
一种冒充身份通过认证骗取信任的攻击方式。
欺骗攻击的方式有ARP欺骗(之前讲过),IP欺骗,电子邮件欺骗,DNS欺骗,Web欺骗。
IP欺骗
单向攻击,源路由攻击,利用Unix系统的信任关系。
单向攻击防御方法:入口过滤,出口过滤。
源路由攻击防御方法:禁止比对IP报文可变字段。
电子邮件欺骗的防御方法:
- 邮件接收者显示出完整的电子邮件地址
- 邮件发送者防止设置进行修改
- 邮件服务器提供方采用有效的SMTP身份验证机制
- 邮件加密,使用PGP为邮件进行加密
DNS欺骗
DNS欺骗就是攻击者冒充域名服务器的欺骗行为。
Web欺骗
分为利用web服务器的漏洞进行攻击(Unicode漏洞)和利用网站自身的安全漏洞进行攻击(SQL注入,缓冲区溢出)。
Unicode漏洞
攻击者可以通过IE浏览器远程运行被攻击计算机的cmd.exe文件,从而使该计算机文件暴露,且可随意执行和更改文件的漏洞。
SQL注入
通过把SQL命令插入到web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
缓冲区溢出
当计算机向缓冲区内填充数据时,超过了缓冲区本身容量,溢出的数据覆盖在合法数据上。缓冲区溢出是最主要的主机系统漏洞。
缓冲区溢出对应的预防策略:
- 编写程序中应注意
- 改进编译器
- 检查输入字段
- 程序指针完整性检查
3.3.4 保持访问
安装后门软件。
3.3.5 隐藏踪迹
清除IIS日志,清除主机日志。
3.4 木马
系统中被植入的,人为设计的程序,目的包括通过网络远程控制其他用户的计算机系统,窃取信息资料,并恶意致使计算机系统瘫痪。
特性:伪装行,潜伏性,隐蔽性,顽固性,通用性。
木马的演变:
- 第一代木马:是伪装型病毒,将病毒伪装成一个合法的程序。
- 第二代木马:增加隐藏,自启动和操纵服务器的技术。
- 第三代木马:改变客户端与服务器的连接(反弹端口技术)。
- 第四代木马:增加了进程隐藏技术。
木马的连接方式有传统连接方式和反弹端口连接方式。
木马攻击的5个步骤:
- 植入木马
- 运行木马
- 隐藏木马
- 建立连接
- 远程控制
四、计算机病毒
计算机病毒是编制者在计算机程序中插入破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令代码。
4.1 病毒的组织机构
可以分为引导模块,传播模块,表现模块。
4.2 病毒的特征
有非授权可行性,隐蔽性,传染性,潜伏性,破坏性,可触发性。
4.3 病毒的命名
命名可以分为前缀(病毒类型),病毒名,后缀(病毒的变种特征)。
前缀有这些:
1)系统病毒:Win32,PE
2)蠕虫病毒:Worm。利用网络进行复制和传播。而且由于局域网本身的特性,蠕虫在局域网上传播速度更快,危害更大。
3)木马病毒:Trojan
4)脚本病毒:Script
5)宏病毒:Macro。主要感染目标是word,Excel文件。
6)后门病毒:Back Door
7)捆绑机病毒:Binner
8)玩笑病毒:Joker
4.4 病毒寄生技术
病毒寄生技术是文件型病毒最常用的传染方法。其中有头寄生,尾寄生,插入寄生,空洞利用。
4.5 病毒检测方法
1)特征代码法
是检测已知病毒最简单、开销较小、误报率低的方法。不可以检测出多态型病毒。
2)校验和法
能发现未知病毒,但常常误报。
3)行为检测法
主要用于检测已知病毒,会检测以下行为:占有INT 13H,修改DOS系统内存总量,病毒程序与宿主程序的切换等。
4)软件模拟法
五、密码学
现代密码系统(密码体制)可以分为明文空间,密文空间,密钥空间,加密算法,解密算法。
基本术语
密钥:为了有效地控制加密和解密算法的实现,在处理过程中要有通信双方掌握的专门信息参与加密与解密操作,这种专门信息称为密钥。
明文:信息的原始形式称为明文。
加密:由明文->密文。
解密:由密文->明文。
加密算法分类
加密算法分为对称加密(DES算法,3DES算法)和非对称加密。
对称加密技术对信息的加密与解密都使用相同的密钥,因此又称为密钥技术。
非对称加密技术对信息的加密与解密使用不同的密钥,用来加密的密钥是可以公开的公钥,用来解密的密钥是需要保密的私钥,因此又被称为公钥密码技术。
六、身份认证与访问控制技术
身份认证是计算机网络系统的用户进入系统或访问不同保护级别的系统资源时,系统确认该用户的身份是否真实,合法,唯一的过程。
访问控制3要素:
- 主体
- 客体
- 控制策略
访问控制模式:
1)自主访问控制模式
自主访问控制一般采用访问控制矩阵访问控制列表和访问控制能力列表三种机制来存放不同主体的访问控制权限。
2)强制访问控制模式
定义几个特定的信息安全级别,将资源归属于这些安全级别中。
3)基于角色的访问控制模式
数字签名
用户用私钥对原始数据加密所得的特殊数字串。用于保证信息来源的真实性,数据传输的完整性和防抵赖性。
数字信封
用来解决对称密钥的传输问题。一般使用接收方的公钥加密对称密钥,然后传输。
七、防火墙技术与入侵检测技术
7.1 防火墙技术
防火墙是一种位于两个(或多个)网络之间,通过执行访问控制策略来保护网络安全的设备。
防火墙的分类有软件防火墙,硬件防火墙,芯片级防火墙。
体系结构:
- 双重宿主机体系结构
- 屏蔽主机体系结构
- 屏蔽子网体系结构
防火墙的功能:
- 建立一个集中的监视点
- 监视网络的安全性,并产生报警
- 网络地址转换
- 审计和记录Internet使用量
- 强化网络安全策略
7.2 入侵检测技术
分类:事件产生器,事件分析器,响应单元,事件数据库。
模块划分:采集模块,分析模块,管理模块。
入侵检测系统(IDS)
对入侵行为自动进行检测,监控和分析的软件与硬件的组合系统,是一种自动检测信息系统内,外入侵事件的安全设备。
IDS使用统计分析方法进行分析。
误用检测IDS的特点是误报低,漏报高。
IDS分类:基于主机的入侵检测(日志)和基于网络的入侵检测(数据包)。
检测分析技术分为异常检测技术和误用检测技术。
异常检测技术
异常检测技术指的是基于行为的入侵检测技术,用来识别主机或网络异常的行为。
分类有:
- 基于概率统计的检测
- 基于神经网络的检测
- 基于免疫的检测
误用检测技术的分类:
- 基于专家系统的检测
- 基于模型推理的检测
八、网络安全方案设计
网络安全方案包括安全风险概要分析,实际安全风险分析,网络系统的安全原则,安全产品,风险评估,安全服务。
总结
复习完了,准备考试。基本上都是点到为止,想要追求深度的同学可以从某个点切入深挖一下~
思维导图登场!
最后,如果喜欢我的文章,欢迎关注我的知乎专栏Java修仙道路~