网络信息安全——网络阶段笔记总结--jf
网络信息安全——网络阶段笔记总结
基础知识:
OSI七层模型: 应用层-表示层-会话层-传输层-网络层数据链路层-物理层
tcp/ip四层模型:应用层-传输层-网络层-网络接口层
tcp/ip五层模型:应用层-传输层-网络层-数据链路层-物理层
数据的封装:
应用层 高层数据 单位:pdu
传输层 (源端口,目的端口)tco/udp包头+高层数据 单位:数据段
网络层 (源IP,目的IP)IP包头+(源端口,目的端口)tcp/udp包头+高层数据 单位:报文/包
数据链路层(目的mac地址,源mac地址)mac子层+ip包头+tcp/udp包头+高层数据+帧尾 单位:帧
物理层 脉冲 单位:比特
tcp对应的协议:
http(80) https(443) ssh(22) ftp(20/21) dns(53) smtp(25) pop3(110) telnet(23)
udp对应的协议:
dns(53) tftp(69) server(445)
各层对应的设备:
应用层:计算机/防火墙
传输层:防火墙
网络层:路由器
数据链路层:交换机/网卡
物理层:网线
计算机网络发展:1、事件:arpanet 技术—分组交换
2、事件:网络统一 技术–tcp/ip协议簇/栈
3、事件:浏览器mosaic 技术:web技术
IP地址: 网络位+主机位
子网掩码:决定网络位,并决定一个IP地址所属的网段
广播地址:主机位全部置一
网段:主机位为0
IP分类:A类;1-126 B类:128-191 C类:192-223 D类:224-239 组播地址 E类:240-254 科研
私有地址:10.0.0.0/8 172.16.0.0/16-172.31.0.0/16 192.168.0.0/16
命令:ping
-a 返回计算机名 -l 设置包大小 -n 设置数量 -t 一直ping
划分子网的原因:
1、满足不同网络对IP地址的需求 2、实现网络的层次性 3、节省IP地址
可变子网掩码(VLSM)通过借位实现,
子网数量:2^n(n代表借的位数)
主机数:2^n-2(n代表主机数)
物理层
网线类型:直通线:两端水晶头线序一样
交叉线:一头568A线序,一头是568B线序
全反线:console线初始化网络设备的一般网络线
水晶头线序标准:
568A:白绿,绿,白橙,蓝,白蓝,橙,白棕,棕
568B:白橙,橙,白绿,蓝,白蓝,绿,白棕,棕
以太网的MAC地址:前24比特(供应商标识)后24比特(供应商对网卡的唯一编号)
帧格式:目的地址(6字节) 源地址(6字节) 类型(2字节) 数据(46-1500字节)(专业术语:mtu 最大传输帧) 帧校验序列(4字节)
IP协议:0x0800 ARP协议:0x0806协议
思科软件模拟器的一些基本命令:
交换机工作原理:
通过学习帧中的源mac地址,来形成,MAC地址表
通过目标MAC地址,并匹配MAC地址来转发数据,匹配成功则进行单播转发,失败,则进 行广播转发数据。
MAC地址表老化时间:300S
交换机模式及命令:
用户模式:可以查看部分简单的信息,不能做任何配置。
switch>
特权模式:可产看所有配置信息,但不能做配置修改,设时间,保存配置,初始化等。
switch#
全局配置模式:可以做任何配置,对全局生效
switch(config)#
控制台模式:
Switch(config)#line console 0
Switch(config-line)#
查看MAC地址表:
show mac-address-table
查看running-config 文件:
show running-config
查看startup-config文件:
show startup-config
保存:copy running-config startup-config
关闭自动解析功能:no ip domain-lookup
配置用户密码:
line co 0
password 密码
login
exit
配置特权密码:
conf t
enable password 密码 / enable secret 密码 (加密的特权密码)
查看running-config中所有加密的密码:
全局:service password-encryption
恢复出厂设置:
erase startup-config
开启telnet功能:
line vty 0 4
password 密码
login
exit
给交换机配置管理IP:
int vlan 1
ip add \\
no shut
关闭超时踢出:line vty 0 4 no exec-timeout 分钟 秒
ip包头内的具体作用:
IP包头(共20字节):
版本:IPv4/IPv6(32位/128位)
首部长度:判断是否读取可选项
总长度:上三层的数据总长
标识符:区分不同IP分片数据流
标志:标志第一 最后一个数据包 是否还有数据包
段偏移量:决定数据的先后顺序(ip分片攻击)
ttl:生存时间(共十跳) tracenrt跟踪
首部校验和:验证IP包头的
源地址
目标地址
可选项
数据
路由器原理:
根据路由表来转发数据(且路由表是唯一转发依据)
匹配成功,则路由出去,匹配不成功,则丢弃数据,并返回错误信息
路由表:
直连路由条目,接口配置IP则形成
非直连路由条目,通过静态或动态形成
静态路由:ip route 目标网段 子网掩码 下一跳IP地址 [2]
默认路由:ip route 0.0.0.0 0.0.0.0 下一跳IP地址
直连路由:C
静态路由:S
默认路由:s*
路由类型 管理距离
C 0
S 1
S* 1(无穷大)
ICMP 协议:错误侦测与回馈机制,用来发送错误和控制消息
ICMP协议的数据封装过程:
icmp头部 icmp数据
IP头部 + 上层数据(udp报文)
帧头部 + IP头部 + 上层数据 (udp报文)
ping 请求:头部类型为8 ping 回复:类型为0 目标不可达:类型为3
ICMP协议功能:错误侦测回馈机制 路由跟踪(tracert tracertout)
arp报文封装:
arp报文
帧头部+ 上层数据 + 帧尾部
arp协议:(地址解析协议)
作用:已知对方的IP地址解析对方的MAC地址
原理:发送ARP广播请求报文
接受ARP单播应答报文
ARP协议漏洞:ARP缓存表可以通过学习ARP应答或广播报文形成,无需验证,以最后学习到的为准,并更新缓存表。
ARP详细分析:
1、pc与其他主机通信时,先判断与自己是否在同一网段
2、若在同一网段,则发送ARP广播求IP地址的MAC地址
3、不在同一网段,则发送ARP广播寻求网关的mac地址(pc配置了网关)
对交换机:
查看mac地址表,如果存在mac地址则单播回应,肉不存在则广播查找再回应。
总结:在一个pc中的arp缓存表中只会出现本网段中的IP机MAC对应关系!
ARP攻击:
目的:终止通信;
方法:通过发送虚假的ARP广播或ARP单播报文,其中虚假的mac地址是不存在的。
ARP欺骗:(中间人攻击)
目的:监听,窃取数据,控制数据
方法:通过发送虚假的ARP广播或单播报文,其中虚假的mac地址是攻击者的mac地址。
路由器工作原理:
1、一个帧到达路由器后,首先检查目标mac是否本接口mac,如不是则丢弃,如是则解封装并将IP包移动到路由器内部
2、将IP包中的目标IP与路由表进行匹配,如匹配不成功,则丢弃并返回ICMP错误信息,成功则路由到相应的接口
(一个帧经过路由器后,帧头尾会发生变化,TTL值会发生变化)
进入一组接口:
int range f0/1-10
switchport trunk encapsulation dot1q
switchport mode trunk
配置vlan:
vtp domain 域名
vlan10
exit
服务器模式(server:可以创建,删除域,同步最新域
客户端模式(clinet):同步服务器的域。
透明模式(transparent):相当于没有任何作用 ,不受影响
trunk链路(中继电路):运行所有vlan数据(打标签) access链路(接入链路):接入pc
单臂路由:
int f0/0.1
encapsulation dot1q 10
ip add …
exit
int f0/.0.1
encapsulation dot1q 20
ip add …
exit
int f0/0
no shut
三层交换机命令:
路由功能: ip routing
配置虚接口:int vlan 10 ip add… no shut
升级: int f0/2 no switchport
单臂路由的缺点:
1、瓶颈
2、单点故障,子接口依赖物理接口
3、每个包进行单独路由及封装,降低转发效率
三层交换机特点:
1、没有网络带宽瓶颈
2、不会发生虚拟端口单点故障,虚拟端口不依赖物理接口
3、传统型三层交换机:一次转发,多次交换
CEF三层交换机:一次路由,永久交换
CEF快速转发
路由器配置dhcp:
ip dhcp excluded-address 192.168.1.1 192.168.1.10
ip dhcp pool v 10
network 192.168.1.0 255.255.255.0
default-route 192.168.1.254
dns-server 1.1.1.1
exit
dhcp中继:
int f0/0.1
ip helper-address dhcp服务器的IP
exit
ACL访问控制列表:ACL是一种包过滤技术
读取第三四层包头信息:IP包头 源地址 目的地址
标准访问控制列表:
表号:1-99 或者 1300-1999
特点:只能依据IP对包进行过滤
扩展ACL列表:
表号:100-199 或者 2000-2699
特点:可依据源IP,目标IP,端口号,及协议等条件对包进行过滤。
ACL表配置完毕后,必须应用到接口的in或out上
所有ACL表最后都有一条隐藏的拒绝所有条目
ACL表都是自上而下匹配
标准ACL靠近目标端,扩展ACL在靠近源端
一个接口方向只能用一张表
路由器上的ACL表对自身数据不起作用
编写规则:若只允许小部分,则先写允许即可,若拒绝小部分,则先写拒绝小部分再写允许所有。
标准acl的命令:
access-list 表号 permit/deny 源网段或IP 反子网掩码
扩展ACL列表:
acc 101 permit/deny 协议名 源IP或网段 反掩码 目标IP或网段 反掩码[eq端口号]
应用到接口上:
int f0/0
ip access-group 表名 in/out
查看接口是否应用ACL表:
show ip int f0/0
命名:
公式:
ip access-list standard/extended 表名
开始从deny/permit 编辑每条
int f0/0
ip access-group 表名 in
exit
vtp作用:
1、可以实现通过在一个点上控制整个网络VLAN的添加,删除等操作。
2、Cisco私有的
3、通过trunk相连且vtp域名相同的一组交换机,即可互相学习
4、交换机在vtp中有2种常见模式:
服务器模式:默认
客户机模式
命令:
vtp domain 域名
vtp mode server/client
vtp version 1/2
show vtp status
VPN (virtual private network)
虚拟专网
优点:在两个网络实体间安全的传递信息,类似于专网。
VPN三要素:机密性 完整性 身份验证
VPN隧道模式/连接模式:
传输模式:不包含私有IP包头。传输效率高,安全较低(45层数据)
隧道模式:保护私有IP包头,传输效率较低。安全高(345层数据)
VPN类型:
站点到站点VPN:IPsec
远程访问:PPTP VPN , L2TP VPN ,SSTP VPN ,SSL VPN (web )
加密技术:(机密性)
加密算法:1、对称加密算法:DES 3DES AES
特点:加密速度快,密钥容易丢失
2、非对称加密算法:DSA DH
特点:加密和解密使用的密钥不一样,使用一对密钥(公钥和私钥)互为加密和解密关系
已知其一无法推出另一个。
3、IKE密钥交换策略
先使用非对称加密算法加密对称加密算法的对称密钥,再使用对称算法加密要传输的数据。
实现身份验证:使用公钥加密,对方使用私钥解密。
数据完整性验证技术:(hash哈希算法)
MD5 SHA
身份验证:HMAC 技术 MD5-HMAC SHA-HMAC
IPsec VPN:
1、主要用在两个局域网之间建立VPN隧道
2、IPsecVPN 的实现步骤:
一:管理连接(用非对称加密对称加密的密钥)
二:数据连接(加密后的对称加密密钥加密要传输的数据)
命令:
一:
crypto isakmp policy 1
encryption des/3des/aes
hash md5/sha
group 1/2/5
aythentication pre-share
lifetime 秒 (默认是86400)
exit
crypto isakmp key 共享密钥 adress 对方的公网IP
二:
crypto ipsec transform-set 传输集名称 esp-des/3des/aes esp-md5/sha-hmac
acc 100 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
crypto map 映射名 1 ipsec-isakmp
set peer 对方的公网IP
match adress 100
set transform-set 传输集名称
exit
int f0/1
crypto map 映射名称
exit
阶段1的状态:
show crypto isakmp sa
阶段2状态:
show crypto ipsec sa
动态路由协议依据:跳数,带宽,负载,延时,可靠性,成本
收敛性:使所有路由表达到一致的状态
动态路由协议的分类:
距离矢量路由协议:源网络到目标网络的路由器个数 RIP IGRP
链路状态路由协议:源网络到目标网络的各条路径选择 OSPF IS-IS
类型1:有类路由协议(宣告时不携带掩码)
router rip
version 1
network 192.168.1.0
network 192.168.2.0
exiit
类型2:无类路由协议(宣告时携带掩码)
router rip
version 2
network 192.168.1.0
network 192.168.2.0
exit
tcp报文段:
源端口号 16
目标端口 16
序号 32
确认号 32
首部长度 4 保留 6 URG ACK PSH RST SYN FIN 窗口大小 16
校验和 16 紧急指针 16
选项
seq 序列号 为每个数据报文进行唯一编号
ack 确认号 对每个报文进行确认,确认方式seq+1
首都长度:20-60字节
控制位: SYN 请求建立连接
FIN 请求断开连接
ACK 确认位 0或1
URG 紧急位 (应用层紧急数据,配合紧急指针为1使用)
PSH 推送位
RST 重置位 (强制请求断开)
tcp三次握手:
1发送SYN报文请求建立连接(seq=x.SYN=1)
2发送SYN报文请求建立连接(Seq=x,SYN=1)
1服务器回复发送SYN+ACK报文(seq=y,ack=x+1,SYN=1,ACK=1)
2回复ACK报文(seq=x+1,ack=y+1,ACK=1)
TCP四次握手:
1发送FIN/ACK请求断开连接(FIN=1,ACK=1)
2 发送ACK报文确认信息
2发送FIN/ACK报文请求断开(FIN=1,ACK=1)
1 发送回复ACK报文确认(ACK=1)
SYN flooding攻击:利用半连接原理,伪造大量syn请求包,只请求不回复
DDOS攻击:控制大量的肉机,发送数据包进行连接,造成服务器死机
基于tcp协议:
http 80 https 443 ftp 20/21 dns 53 telent 23 ssh 22 smtp 25 pop3 110 server 445
udp协议:
无连接,不可靠的传输协议 花费的开销小
源端口号 16
目标端口号 16
udp长度 16 (用来指出udp的总长度,为首部加上数据)
udp校验和 16 (用来完成对udp数据的差错检验,是udp协议提供的唯一的可靠机制)
基于udp的协议:
Dns 53 ftpt 69 server 445 dhcp 67/68
文件系统类型:
NTFS:支持单个文件大于4G,支持文件权限列表
FAT32:不支持单个文件大于4G,不支持文件权限设置
DNS:
作用:知域名解析IP 端口:53
原理:客户机:缓存 — 本地host文件 — 本地dns服务器
服务器:缓存 —— 本地解析文件 —— (转发器)—— 根服务器(迭代查询)
PE-Ghost-系统/数据备份/还原(PE微型系统)
Ghost-幽灵
作用:备份分区partition 或硬盘disk
方法:将分区或硬盘克隆成一个Ghost文件
步骤: partition –to image 将分区备份克隆为一个人gho文件
Partition —from image 还原一个系统从gho文件
磁盘管理:
MBR 硬盘在2T以下适应MBR方式,最多4个主分区
GPT 单个硬盘在2T以上,支持至少128个分区
引导方式:
mbr引导扇区占512个字节,从0扇区开始到512字节是最多支持建4个主分区,主分区可安装操作系统扩展
分区(需占一个主分区),逻辑分区可以创建多个。
基本磁盘:不能随意扩展卷,没有冗余功能,没有提速功能等
动态磁盘:基本–动态:数据不丢失
动态–基本:数据一定丢失
磁盘数量 空间要求 I/O性能 容错 磁盘利用率
简单卷 1 ------ 一般 无 100%
跨区卷 至少2块 无需一致 一般 无 100%
带区卷 至少2块 一致 快 无
IIS发布不同web站点:
不同IP,相同端口号
相同IP,不同端口号
相同IP和端口号,不同主机头值
ftp 服务器:
监听端口号;tcp 20/21 (20:数据端口,,21:控制端口/命令端口)
主动模式:客户机通过随机端口请求数据要求主动模式,服务器通过21端口回复并建立连接,并通过20端口主动向客户机发送数据
(ftp服务器开启防火墙)
被动模式:客户机通过随机端口请求数据要求被动模式,服务器通过21端口回复并建立连接,通过随机端口向客户机发送数据。
(客户机防火墙开启)
DHCP服务器:
作用:自动分配IP 端口号:udp 67/68
优点:减少工作量,避免IP冲突,提高地址利用率
原理: 1、客户机发discovery 广播包请求IP地址
2、服务器回复 offer 单播提供IP地址
3、客户机发送request单播请求IP地址
4、服务器发送ack单播包确认,提供租约,IP,掩码,网关,dns,租期等。
续约:50%------87.5%无回应,释放IP重新广播获取IP地址
域:Domain
微软技术:1、工作组:平等
2、域:有管理
主要优点:
集中管理/统一管理
AD域实际是一个数据库,AD中包含域资源(域用户,域组,域共享,域计算机)AD域需要与DNS服务器配合使用,起着定位的作用。
安装活动目录要求:
1、必须有固定的静态IP地址
2、系统版本必须为服务器版本
3、安装AD域必须是管理员身份
4、修改计算机名并重启生效
安装:
1、dcpromo
2、勾选安装DNS,新林中新建域
3、设置域名
4、设置林功能级别,域功能级别
5、设置目录还原密码
6、安装并重启
DNS指向DC
验证查看:DNS上自动出现解析记录 AD域中,电脑自动生成计算机名
在AD域中做文件共享服务器:
赋权限:给域用户域组权限
ou组织单位:
作用:用于归类域资源(域用户,域计算机,域组)
组策略:group policy =GPO
作用:通过组策略可以修改计算机的各种属性
组策略在域中,是基于ou来下发的
组策略在域中下发后,用户的应用顺序是:LSDOU
应用过程中,如果出现冲突,后应用的生效
若有强制继承级阻止继承,上一级的优先级高于下一级的优先级
组策略中下发软件:
只能是微软格式的安装包: .msi
建一个共享文件夹,保证域用户有权限,并将要下发的软件放到共享文件夹中
在组策略中添加下发安装包:1、基于用户 2、基于计算机
组策略中包含两部分:
计算机配置:只对OU中计算机资源生效
用户配置:只对OU中的用户资源生效
VPN 技术:
流行的技术:ipsec VPN技术 远程访问:
VPN 作用:在不安全的网络上安全的传递信息。
私有IP: 192.168. 开头 172.16. - 172.31. 10.开头
VPN 种类:
远程访问VPN:PPTP VPN, L2TP VPN,Openssl , SSL VPN 最流行
点到点VPN: IPsec VPN 端口号:tcp 1723
系统加固:
1、系统管理
2、补丁管理(补丁安装)
3、账号口令(优化账号,口令策略)
4、网络服务(关闭共享,网络限制)
5、文件系统(使用NTFS,检查每个人的权限,限制命令权限)
Mstsc 远程桌面客户端
3389 远程桌面端口号
6、日志审核(增强日志和日志审核)
PKI 公钥基础结构:
功能:确保数据信息的机密性/安全性,完整性身份验证,不可否认性。
支持协议:SSL、HTTPS、SSH、IPsecVPN
证书:数字证书(公钥,身份标识,公司名称,注册地址,电话、、、、)
CA:证书颁发机构
RA:证书机构分支
serverteen day
WDS 可以通过网络绝对客户机远程安装操作系统
要求:
1、服务器上必须安装AD、DNS,DHCP 服务器及Windows部署服务
存储系统镜像的盘必须是NTFS分区
2、建立作用域
添加启动映像文件在光盘上名字叫boot.wim
防火墙:一款具有安全防护功能的设备
网络隔离
控制流量
记录分析
基本功能:访问控制 攻击防护 冗余设计 日志记录
防火墙发展历史:
包过滤防火墙:据数据包源,目的地址,端口号及协议类型标志位确定是否允许通过
优点:高效,透明 缺点:对管理员要求能力高,处理信息能力有限
应用代理防火墙:需要一个服务程序,对每个新的应用必须添加针对的服务程序,否则不能使用该服务
优点:安全性高,检测内容 缺点:连接性能差,支持的应用少
状态检测防火墙:除包过滤检测的特性外,对网络连接设置状态特性加以检测。
优点:减少检查工作量,提高效率连接状态可以简化规则
防火墙工作模式:
透明模式(桥接模式):用于网络已建设完毕网络功能已基本实现,用户需加装防火墙实现安全区域隔离的要求
路由模式(NAT模式):用于防火墙当路由器和nat设备连接上网时,提供安全模式过滤功能。
混杂模式:透明模式和路由模式混合。