最佳拓扑决定要素:交互节点、协议、应用程序、物理布局、现有布线
1、 环形拓扑
通过单向传输链路连接一些列设备,组成闭合回路。
2、 总线型拓扑
线性和树状。通常以太网采用总线型和星型。一根线缆会成为单一故障点
3、 星型拓扑
所有节点连接到一台集中式设备如交换机。每个节点到集中式设备都有一条专用链路。
4、 网状型拓扑
每个节点都与其他节点相连接,提供冗余路径。Internet就是部分网状型的一个例子。
介质访问技术会处理系统如何在这个介质上通信的问题,表示为协议、NIC驱动程序和接口。
MTU是在特定的网络上规定一个数据帧能运载多少数据的参数。
OSI模型中的数据链路层。NIC工作在物理层
基于LAN的技术有以太网、令牌网和FDDI。与WAN相比,LAN更加关注物理介质、封装技术和介质访问技术。两者技术差别大多在数据链路层。
如果两个lan使用不同的数据链路层技术如帧中继或ATM,那么就成为一个WAN。
1、 以太网IEEE802.3
广播和冲突域、带冲突检测的载波侦听多路访问(CSMA/CD)、全双工、同轴电缆、5类双绞线、光纤。1000Base-T不超过100米,其他185米
2、 令牌环IEEE802.5
通信速度慢、连接至多站访问单元(MAU)、星型结构
3、 FDDI IEEE802.4
高速令牌传递访问控制技术、100Mbps传输速率、(双环架构)主环顺时针、副环逆时针、用于主干网络、最长作用距离100公里,常用在城域网(MAN)
4、 介质共享
所有的介质访问技术,网络传输通道是网络上所有系统和设备所必须共享的资源。
(1)令牌传递:令牌决定哪台计算机在哪个时间区间通信的24位控制帧。
只有消息发起者才能从令牌网络中去除消息。
该技术被令牌环和FDDI技术采用
(2)CSMA:
CSMA/CD:侦听载波结束,同时发送数据后产生冲突,它们会放弃发送,并广播,所有工作站执行一段随机的冲突计时,强制延时一段时间(后退算法);
利用路由和交换机分隔网络可以减少冲突
CSMA/CA:侦听共享介质,在发送前广播将要发送数据,无线LAN技术802.11实现
冲突域:抢夺或竞争相同的共享通信介质的一组计算机
以太网具有广播域和冲突域,可以由交换机、路由器、网桥来隔开。另一个好处是,攻击者更加难以进入网络侦听获取有用的数据(网络嗅探)。
(3)轮询:某些系统配置为主站、其他系统为从站。在预定的时间内,主站会询问是否有内容要发送。主要用于大型机系统环境中。
介质共享技术:以太网(CSMA/CD)、Wi-Fi(CSMA/CA)、FDDI(令牌)、令牌环(令牌)、大型主机(轮询)。
5、 传输方法
单播、多播、组播
NIC要捕获特定MAC地址的数据包、获取包含特定多播地址的数据包。
多播地址使用D类地址,发送信息、多媒体数据以及实时视频和语音剪辑。
Internet组管理协议(IGMP)用于向路由器报告多播组成员关系。
1、地址解析协议ARP
映射IP与MAC地址(48位,前24为表示厂商,后24位制造商分配)
广播数据帧,请求与目标IP地址相对应的MAC地址。接收后缓存起来。
缺点:ARP中毒/欺骗
2、动态主机配置协议DHCP
Udp协议,为客户端实施分配IP地址、Discover-Offer-Response-Ack四个阶段:查找DHCP服务器->提供IP->确认->分配参数(有效期等)。
缺点:(1)容易伪装成合法系统(2)攻击者控制DHCP服务器会破坏客户端系统的配置,执行中间人攻击,将流量路由到未授权的网络。
DHCPsnoopingDHCP窥探确保DHCP只为由其MAC地址标识的系统分配IP地址。
无盘工作站、启动协议(Boot Protocol,BOOTP),增强了RARP为无盘工作站提供的性能。RARP-> BOOTP->DHCP
3、Internet控制消息协议(ICMP)
递送状态报告,报告错误,回答某些请求,报告路由信息,并且常用于测试IP网络连通性和排查问题。
ping发送ICMP ECHO REQUEST数据帧,用户屏幕收到ICMP ECHO REPLY。
Loki:由于大部分安防设备放行ICMP,黑客可利用ICMP数据包进行系统通信。
ICMP也用在Traceroute的网络工具中。
死亡之ping:基于对超大型ICMP数据包的使用。超过常规的65536字节。
Smurf攻击:发送带欺骗源地址的ICMP回波数据包到受害计算机的网络广播地址。
Fraggle攻击:类似于Smurf,利用的是UDP协议
4、简单网络管理协议SNMP (udp 161、162)
SNMP内的两个主要主件是:管理器和代理。
管理器是服务器部分,主要轮询不同设备来检查状态信息;也从代理那接受陷阱消息(SNMP trap,采用主动推送的方式报告异常,而不是通过服务器的轮询),提供一个集中地点来装载网络信息。
代理,运行在设备上的软件,通常集成到操作系统。代理中存在一个跟踪记录的对象名单(管理信息库,MIB),当管理器轮询时,代理从MIB中收集数据上报。
社区(communities):来在特定代理和管理器之间建立信任。
社区字符串是管理器用来从代理那儿请求数据的密码,主要有两种级别:只读与读写。允许对MIB的操作。
缺点:默认的只读社区字符串是公开的,读写字符串是秘密的。SNMP v1 v2中使用明文发送,容易被嗅探。V3提供加密、消息完整性和身份验证。
攻击者关心的数据集:运行的服务、共享名称、共享路径及其解释、用户名、域名
冗余和容错能力(建议一台主DNS服务器、一台为从DNS服务器),它们通过区传送(zone transfer)来同步信息。攻击者通过未授权的的区传送,可以获得每个系统的主机名、IP地址、系统别名、PKI服务器、DHCP服务器和DNS服务器等。
一个区保存文件的DNS服务器称为特定区域的权威名称服务器;一个区可能包含一个或多个域,保存这些主机记录的DNS服务器就是这些域的权威名称服务器。
资源记录:主机名映射为IP地址的记录。
1、 Internet DNS和域
Internet命名方案像一棵倒立的树、根服务器在顶部,下面依次为顶级域、二级域。
常见的顶级域:com\edu\mil\int(国际公约组织)\gov\org\net
(1) 缓存(2)本地hosts文件(3)DNS服务器
2、 DNS威胁
场景:(1)侦听DNS服务器A发出的DNS请求(2)攻击者立即向A发送消息。
DNS安全(DNSSEC)应用了PKI和数字签名,进行数据来源认证。美国等已经将.gov以及.mil采用DNSSEC。
DNS拆分:DMZ中的DNS服务器和内部的DNS服务器分开,确保内部DNS多层防护。
攻击者将目标主机名映射成回环接口127.0.0.1,阻止反病毒程序的更新。
代码注入:URL隐藏,字符编码掩盖。
域抢注、恶意抢注:internet名称与数字地址机构(ICANN)策划了先到先服务策略模式。
同时注册临近的域名。
在电子邮件客户端,SMTP作为消息代理来工作。
一个消息交换的寻址标准,寻址模式[email protected]
同另外两个邮件服务器POP和IMAP紧密合作。
Unix:Sendmail Windows:Microsoft Exchange Novell:GroupWise
1、 邮局协议(POP)
是邮件服务器协议,支持传入和传出消息。除了存储和转发电子邮件消息之外,还与SMTP协议一起工作,实现消息在邮件服务器间的移动。POP3整合“简单验证和安全层SASL“,它是一个开展认证而独立于协议的框架,支持如IMAP、IRC、LDAP和SMTP.
2、 互联网消息访问协议(IMAP)
IMAP提供了POP的所有功能,是一种存储-转发邮件服务器协议。
POP常用于基于互联网的电子邮件帐户,而IMAP通常用于企业电子邮件帐户。
3、电子邮件中继
简单系统网络架构(SNA)和ASCII格式,DMZ中有自己的公共邮件服务器,内部一个或多个邮件服务器。邮件服务器间使用中继代理机制,实现从一个邮件服务器发送消息到另一个邮件服务器。反垃圾邮件功能,一种反中继功能。防病毒和内容过滤应用程序,让不可接受的消息不能通过电子邮件网关。
3、 电子邮件威胁
电子邮件伪装:假凭证、假网站。
由于SMTP缺乏安全功能,通过修改电子邮件头部字段来完成,如From(来源)、Return-Path(回复路径)和Replay-To(回复到),使得电子邮件看起来是一个值得信赖的来源。
缓解技术:
(1)SMTP-AUTH用来在邮件传输协议中提供访问控制机制。包括了身份验证功能,
(2)发件人策略框架(SPF):电子邮件 验证系统,通过域管理员在DNS上创建特定的SPF记录,指定一个指定域中主机可以发送电子邮件。
网络钓鱼:鱼叉式、捕鲸攻击
6.6.6网络地址转换NAT
执行透明路由和地址转换。防火墙在产品中都实现了NAT。3种基本类型:
1、静态映射:每个私有地址都被静态地映射到一个特定的公共地址上(IP到IP)
2、动态映射:配置IP地址池,不将公共地址映射到特定的私有地址上,先到先服务
3、端口地址转换(PAT):拥有一个公共IP时。
NAT通常在公司屏蔽子网内的路由器或防火墙上执行服务。
自治系统(AS):一个AS由许多路由器组成,这些路由器由一个实体管理,并且使用AS边界内的公共内部网关协议(IGP)。
路由器使用路由协议来确定源系统和目标系统之间的一条路径。动态路由和静态路由。
动态路由:能够发现路由路径并建立一个路由表,选定最佳路径。可以根据不同路径上的变化修改路由表中的条目。
静态路由表:管理员手动配置路由器的路由表。不能自行调整更好的路线。
路由抖动:路由器可用性的持续改变。
黑洞:某个路由器没有接收到链路已经失效的更新消息,那么该路由将会继续将数据包转发至这条路径。
路由协议:距离向量和链路状态路由算法
距离向量路由算法RIP采用):基于距离(跳数)和向量(方向)决定他们的路由路径。
链路状态路由算法(OSPF采用):构建一个更加准确的路由表,建立网络拓扑数据库。包含的变量有:跳数、数据包大小、链路状态、延迟、网络负荷和可靠性。
RIP(路由信息协议):速度慢、缺乏功能,小型网络、作为遗留协议,v1.0不具备身份验证;v2.0以明文发送密码或MD5进行散列。
OSPF(开放最短路径优先):实现更小、更频繁的路由表更新。实现层次化路由网络,取代了RIP。
大多数路由协议都具有身份验证功能,但很多都没有开启这项功能。路由器能接受任何路由更新。
外部网关协议(EGP):连接不同AS的路由器所使用的外部路由协议。
边界网关协议(BGP):支持不同AS上的路由器共享路由信息,确保在不同AS网络之间进行高效的路由。
BGP组合使用了距离向量和链路状态算法,它应用链路状态功能创建网络拓扑,并以定期而非连续的方式传送更新(距离向量协议原理)。在决定最佳路由时,对链路状态路由协议使用的不同变量应用权衡。这些配置称为路由策略。
虫洞攻击:攻击者A在网络中的某个位置捕获数据包,并通过隧道方式传送到另外一个位置给B,随后攻击者B利用它来获取某个资源的未授权访问。
缓解方案:大多数涉及共享密钥或IPSec对进出路由数据进行身份验证和加密。