网络攻防原理(更新中)
网络安全知识点合辑
- 绪论
-
-
- 网络空间的保护对象
- 网络空间的安全属性
- 网络安全事件的作用空间
- 网络攻击分类
-
- 从发起攻击的来源分类:
- 从攻击对被攻击对象的影响来分:
- 攻击的一般过程
- 网络安全模型
- ISO7498-2安全体系
-
- 安全服务
- 安全机制
- 5种普遍安全机制
- 网络安全技术发展史
-
- 网络协议脆弱性分析
-
- IP分析
-
- IPv4协议分析
- IPv6协议分析
- ICMP分析
-
- 威胁
- ARP分析
-
- 网络嗅探
- 阻止目标的数据包通过网关
- RIP分析
-
- 处理策略
- 安全分析
- OSPF分析
-
- 处理策略
- 安全分析
- OSPF的三种认证方式
- 常见攻击手段
- BGP分析
-
- 安全分析
- TCP安全分析
- DNS安全分析
-
- 域名欺骗
-
- 事务ID欺骗:
- 缓存投毒:
- 网络通信攻击
绪论
APT: 作为网络战时代的一个重要标志,高级持续性威胁(APT)快速发展。APT攻击是一种针对特定对象的长期,有计划的,有组织的网络攻击行为。
网络空间的保护对象
包括设施,数据,用户,操作。
网络空间的安全属性
安全属性主要包括机密性,完整性,可用性,简称CIA
随诊发展,又增加了不可否认性和可靠性、
(可靠性指系统无故障的持续运行)
总结:主要包括四个基本元属性:机密性,可鉴别性,可用性,可控性。
机密性和可鉴别性属于以保护信息为主 的属性,可用性和可控性属于以保护信息系统为主的属性。
网络安全事件的作用空间
1.硬件层
2.代码层
3.数据层
4.应用层
(应用层的安全问题主要表现为数据挖掘,主要通过大数据处理手段,从公开信息中去挖掘脱敏信息所导致的信息泄露)
网络攻击分类
从发起攻击的来源分类:
1.外部攻击
2.内部攻击
3.行为滥用
从攻击对被攻击对象的影响来分:
1.被动攻击
主要包括内容监听(或截取)和通信流量分析
2.主动攻击
主要包括中断,伪造,重放,修改。
攻击的一般过程
1.网络侦察
2.网络扫描
3.网络渗透
4.权限提升
5.维持及破坏
6.毁踪灭迹
网络安全模型
1.PDRR模型
防护,检测,恢复,响应
2.P2DR模型
攻击时间Pt
检测时间Dt
响应时间Rt
暴露时间Et=Dt+Rt-Pt
ISO7498-2安全体系
安全服务
1.鉴别
2.访问控制
3.数据机密性服务
4.数据完整性服务
5.抗抵赖服务
安全机制
1.加密
2.数字签名
3.访问控制
4.数据完整性保护
5.认证交换
6.通信业务填充
7.路由选择控制
8.公证
5种普遍安全机制
1.可信功能度
2.安全标识
3.事件检测
4.安全审计跟踪
5.安全恢复
网络安全技术发展史
1.第一代安全技术,以保护为目的,划分明确的网络边界,利用各种保护和隔离手段。
2.第二代安全技术,以保障为目的,以检测技术为核心,以恢复技术为后盾,融合了防护,检测,响应,恢复四大类技术。包括防火墙,入侵检测系统(IDS),虚拟专用网(VPN),公钥基础设施(PKI)
第二代技术又称信息保障技术(IA)
3.第三代安全技术,以顽存为目的,即系统在遭受攻击,故障或意外事故的情况下,在一定时间内仍然具有继续执行全部或关键使命的能力。
核心:入侵容忍技术
网络协议脆弱性分析
IP分析
IPv4协议分析
没有认证机制
没有加密机制
无带宽控制
解决方案:IPsec标准(但主要为IPv6设计的)
IPv6协议分析
IPv4 到 IPv6的过渡
• 双协议栈
• 隧道
• 将IPv6的数据包封装在IPv4的数据中
• 网络地址转换(NAT)
安全隐患
• IPv4 到 IPv6 过渡技术的安全隐患
• 无状态地址自动配置的安全风险
• IPv6中PKI管理系统的安全风险
• IPv6编址机制的隐患
• 安全机制给网络安全体系带来的安全风险
• 对传统防火墙和入侵检测系统的不友好
ICMP分析
IPv4版本和IPv6版本
威胁
利用目的不可达报文发起拒绝服务攻击
利用改变路由报文破坏路由表
木马利用ICMP报文进行隐秘通信
利用回送请求或回答报文进行网络扫描或拒绝服务攻击
ARP分析
网络嗅探
伪造arp响应发送给主机,修改arp缓存,从而重定向 IP数据流到攻击者主机
阻止目标的数据包通过网关
实际上原理也是修改被攻击主机的arp缓存
RIP分析
处理策略
仅与相邻路由器交换信息
交换信息是自己的路由表
按固定时间间隔交换信息
安全分析
RIPv1不支持认证并且使用不可靠的UDP作为传输协议,安全性极差
• 导致攻击者可以轻易伪造RIP路由更新信息,向邻居路由发送
RIPv2支持明文认证和MD5认证,认证以单向为主,但明文认证的安全性依然比较弱
RIPng为IPv6环境下运行的RIP,利用IPsec提供的安全机制保证了交换路由信息的安全性
OSPF分析
处理策略
向本系统所有路由器发送消息(泛洪法)
发送的是与本路由器相邻的所有路由器的状态
只有当链路状态发生改变时才发送消息
安全分析
OSPF的三种认证方式
• 默认认证方式是不认证
• 简单口令认证(明文传输)
• MD5加密身份认证(使用非递减的加密序列一定程度防止重放攻击,但序列号从最大值回滚回初值或路由器重启后仍能进行重放攻击)
• 容易遭受重放或伪造攻击
常见攻击手段
• 最大年龄攻击
• 序列号加 1 攻击
• 最大序列号攻击
• 重放攻击
• 篡改攻击
BGP分析
https://zhuanlan.zhihu.com/p/25433049 (BGP分析)
安全分析
缺乏一个安全可信的路由认证机制(一个自治系统对外通告不属于自己的地址快前缀)
面临因使用TCP而产生的安全问题
管理员密码泄露导致路由表更改
数字大炮,利用路由表更新机制造成主干网络路由器瘫痪
TCP安全分析
拒绝服务攻击(例如SYN Flood攻击,TCP链接耗尽攻击)
序号预测,TCP会话劫持
网络扫描
DNS安全分析
域名欺骗
事务ID欺骗:
通过网络监听或序列号预测发送相同数据包id的响应报文给目标主机,并是在正确的报文返回前就要发送给目标主机
缓存投毒:
将污染的记录插入到DNS服务器的缓存记录中。
网络通信攻击
分布式拒绝服务攻击(DDos)
恶意网址重定向
中间人攻击(MITM)
¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥
IGP(Interior Gateway Protocol):内部网关协议,在一个AS内部所使用的一种路由协议。一个AS内部也可以有多个路由器管理多个网络。各个路由器之间需要路由信息以知道子网络的可达信息。IGP就是用来管理这些路由。代表的实现有RIP和OSPF。EGP(Exterior Gateway Protocol):外部网关协议,在多个AS之间使用的一种路由协议,现在已经淘汰,被BGP取而代之。
都是IGP
¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥
– 若图片不清晰可私聊要原文件