网络安全复习笔记

攻击技术:(5种)

1.网络监听:只是监听B和C的通信数据

2.网络扫描:利用程序去扫描B开发的端口等

3.网络入侵:探测到漏洞后,入侵到B获取信息

4.网络后门:在B种植木马等后门

5.网络隐身:入侵完毕后退出B,清除入侵痕迹,防止被B的管理员发现

网络安全处理过程(5个阶段):

1.评估阶段

2.策略制定阶段

3.实施阶段

4.培训阶段

5.审计阶段

IDS与扫描关系

攻击技术分析:

拒绝服务攻击(DoS):1.基于错误配置或软件弱点,可以补丁解决

如:Tear dorp (收到含有重叠偏移的伪造分段时将崩溃); Land(自己和自己对话ACK-SYN) ; Kiss of Death(逆序发送11个ICMP分片)

    2.利用合理的服务请求占用过多资源,服务器超载,无法响应其他请求

如:PING OF DEATH (超大ICMP数据包); SYN FLOOD ; SMURF(ICMP 目的为广播地址,源会受到所有的回复)

ANTI-sniffer技术:

sniffer:混杂模式计算机接受IP正确,MAC错误包

ANTI-SNIFFER:发现网络中哪些主机是在混杂模式下,用这种方式发现入侵者。IDS使用了与sniffer一样的混杂技术,所以攻击者可以用ANTI-SNIFFER发现哪些主机装了IDS

1.DNS TEST:

创建大量假TCP连接,垃圾的sniffer就会对不存在的IP地址做DNSS查询。通过监听   DNS查询,确认对方是否进行网络窃听

2.Etherping Test:

发送ICMP ECHO包给B,正确IP,错误MAC,混杂就会接受

3.ARP test:(地址解析协议,IP-MAC)

发送ARP请求,只有MAC错误,混杂会接收

缓冲区溢出:

栈的作用①传参②返回地址③子程序变量

通过灌注大量nop指令,好命中shellcode,注入shellcode,可执行程序,通过自己指定的重复返回地址来命中nop+shellcode 使入侵代码得以执行

格式化字符串攻击:

可以利用不规范printf获取任意地址信息内容,访问栈中原本不能访问的内容

printf

格式化字符串的地址

A的地址

B的地址

A

B

格式化字符串%A%B

多用户权限:

linux为多用户系统,将所有特权给ROOT的管理员用户

进程的识别号:

真实用户ID-       real user ID

真实用户组ID- real group ID

有效用户ID-     effective user ID

有效用户组ID-  effective group ID

通常:真实用户ID=有效用户ID=运行进程的用户ID

当设置set-user-id标志位后:真实用户ID=运行进程用户ID

       有效用户ID=文件所有者ID

组同理

Ruid=我们 ;Euid=uucp;保存设置用户id=uucp(有效用户id副本,恢复用)

||

\/

Ruid=我们;euid=我们;保存设置用户id=uucp

| |

\/

Ruid = 我们;euid=uucp ;保存设置用户id=uucp

授予用户root特权:像root用户一样执行程序

Suid权限的程序:执行时:euid=所有者uid

   完成后:euid=原本的uid

Usr/bin/passwd: root的suid权限程序

如果程序流程可以改变执行任意一段攻击者注入的代码,即用root身份执行任意代码

入侵检测:入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一种网络安全技术。

目的:发现非授权的或恶意的系统及网络行为

问题:充分可靠提取描述行为特征的数据,准确判断行为的性质

术语:

警报:IDS向操作人员报告被入侵

异常:用户行为或网络行为超过轮廓距离阈值为异常,需要发出警报

网络入侵特征数据库:入侵行为抽象成的特定的字符集合,可用于发现网络入侵。误用检测重要组成

构造数据包:不遵守数据包结构,构造数据包,进行欺骗,or接受者无法处理这样的数据包

自动响应:IDS能对攻击作出防御反应(reset切断/重置路由or防火墙,拒绝来自相同地址的流量)

攻击者可以利用自动响应达成DOS攻击

蜜罐:模拟漏洞系统,作为被攻击者。有道攻击者在上面浪费时间,延缓真正目标的攻击

安全策略:事先定义的正式文档声明,定义服务-网段-支持组织。包括哪些主机不许外部网络访问

感应器:从数据源收集数据

分类:

误用检测(滥用):用网络入侵特征数据库,高效的入侵检测系统,精确性高,不能发现未知的入侵,不能检测变种的入侵,发生漏报

异常检测:建立正常活动模型,对系统/用户的实际活动审计,判断用户是否不是好人,是否对系统构成威胁

数据源:

基于主机的数据源:

操作系统审计日志:操作系统内部产生,反应系统活动,审计记录组成

缺点:可读差,特异性强,不兼容,无关信息多

特点:信源可信度高(操作系统保护),细节多-精确模式匹配,入侵者难改变审计日志

系统日志(文本存放):反映系统事件和系统设置,系统不保护,软件产生,容易被篡改,需要备份

特点:可读强,无法得到审计就可用系统日志,提供更多角度

基于网络的数据源:

网络监听对受保护系统影响小/几乎没有;

网络监视器对用户是透明的,受攻击可能性小

发现对主机的基于网络协议的攻击方法(畸形数据包)

与受保护的主机操作系统无关

基于统计的模型:刻画正常模型

CIDF规格文档:

1.体系结构:IDS的通用模型

2.规范语言:描述各种检测信息的标准语言

事件:需要分析的数据(网络/主机)

3.内部通讯:IDS组件间通信的标准协议

通用入侵检测对象GIDO,特定时刻发生的特定事件/执行某个行动的指令

4.程序接口:提供一整套标准的应用程序接口

事件产生器

||GIDO

\ /

事件分析器   

||GIDO

\ /

  响应器

IDS:简单模式匹配技术

IDS在安全体系结构中层次的两种观点:

1.检测与保护不交叉,与OS无关,可靠性好,但是IDS需要协议还原,Unicode解码工作等原本OS/程序完成的工作,加重IDS负担,IDS对协议理解可能和OS/程序不一样,产生误报漏报

2.检测与保护紧密结合,有机结合,内核补丁/驱动程序形式,简洁方式准确检测

响应类型:

1.被动响应:只记录问题和报告问题

警报和通知

2.主动响应:用自动/用户指定的方式阻断攻击过程

类别:

1.针对入侵者采取的措施

联动响应:检测到需要阻断的入侵行为,启动联动机制,通知防火墙和其他安全控制设备对攻击源封堵,达到整体安全(防火墙-封堵外部网络;网络管理系统-封掉攻击者利用的网络设备和主机;操作系统-封掉有恶意的用户账号)

2.修正系统

3.收集更详细的信息

入侵响应按时间和紧急程度分类:

即时措施:入侵发生时

及时措施:入侵被完全检测出来时

本地长期措施:处于本地安全的长期考虑

全局长期措施:对社会安全状况很重要

数据生成:自动完成;可重复性;健壮性

方法:1.抓取正常/被攻击时的运行通信数据,处于隐私和安全,不可行

  2.从实际运行数据中清除秘密信息,在其中加入攻击,不可行,难清除秘密信息

  3.在内部网中重建正常通信和攻击数据,√

防火墙:

概念

防火墙:位于两个或多个网络之间,执行访问控制策略的一个或一组系统,是一类防范措施的总称

应具备:内-外网之间数据数据流通都经过防火墙;只有符合安全策略数据流才能通过防火墙;防火墙自身应对渗透(攻击)免疫

堡垒主机:配置了安全防范措施的网络上的计算机,网络间通信阻塞点,没有堡垒主机,网络之间不能相互访问,最显露,最安全,防火墙/内部网络应用代理

双宿主机:有两个网络接口的计算机系统,一个接内部网,一个接外部网

DMZ非军事区/停火区:在内部网与外部网之间增加的一个子网,旁边路由器,阻塞路由器,缓冲区,进一步隔离公网-内部网,放置必须公开的服务器

局限性:

1.为了安全,要关掉有用但可能有安全缺陷的网络服务

2.对内部网络攻击无能为力

3.不能防范不经过防火墙的攻击,如内部通过SLIP/PPP直接进入外部网

4.防火墙对用户不透明,传输延迟,瓶颈,单点失效

5.不能完全防止病毒文件/软件传播,不可能细致的检查,不然效率太低了

6.不能有效防范数据驱动式攻击

7.被动防护手段,不能防范新威胁和攻击

种类:

1.包过滤防火墙:

一台路由器实现,对接受的数据包检查,通过过滤规则决定转发/丢弃(双向)(规则:IP源/目的;TCP/UDP端口;ICMP消息类型;TCP中的ACK位),不匹配的缺省策略(没有被拒绝都通过-危险-新攻击-新策略;没有被允许都拒绝-保守-根据需要逐渐开发)

优点:简单,费用低,透明,效率高

缺点:维护困难,不支持用户鉴别

2.双宿/多宿主机模式:

堡垒主机用多个网卡和多个受保护子网连,每个网卡都有独立IP,必须禁止网络层的路由功能

3.屏蔽主机模式:

外部网-一堆过滤路由器-堡垒主机-内部网络,堡垒主机是外部网络唯一可直达的主机。保护内部网络不收未授权的外部用户攻击。网络层和应用层的安全。过滤路由器配置正确很重要,路由表不能被破坏,堡垒主机不能被越过,不然内部网就会暴露。

4.屏蔽子网模式:

外部网-一个外部过滤路由器-子网(非军事区/周边网)-一个内部过滤路由器-内部网

内部/外部都能访问非军事区,但是禁止他们穿过军事区。

外部入侵到堡垒主机,只能看到堡垒主机-内部过滤路由器的信息流,不知道内部网络的具体信息流,要访问内部还是要经过内部过滤路由器

过滤子网:可以只包含堡垒主机,也可以增加需要对外提供服务的web服务器,不通过外部网络和内部网络之间的通路。

外部路由器:保护过滤子网+内部网,只做小部分包过滤,对过滤子网的主机提供保护。有效任务为阻隔外部伪造内部的数据包。

内部路由器:保护内网,完成大部分包过滤工作

优点:堡垒主机运行各自代理服务,更有效提供服务

相关技术:

1.静态包过滤(通过数据包地址信息,固定决定是否通过)(IP层)

2.动态包过滤(临时通过,动态过滤,身份验证,动态开发数据通道)

3.应用程序网关*

4.网络地址翻译(NAT,解决IPv4网络地址空间不足的问题,向外部隐藏内部网络,解决地址交迭,负载均衡,静态网络地址翻译(人工);动态网络地址翻译)

5.虚拟专用网*

PKI系统主要组成:

认证机构CA

证书库:证书-用ca的私钥签名

密钥备份和恢复系统

证书撤销处理系统:CRL撤销证书列表,定期公布

PKI应用程序接口

数字证书验证流程:

验证签名-检查有效期-检查证书的预期用途是否符合CA在本证书指定的策略限制-确认没有在CRL里

使用证书的应用程序:

1.安全套接字层SSL:web C/S 服务器发证书给Web浏览器供其认证/web请求用户证书认证

2.安全的电子邮件:发送者签名随邮件发送/用接受者的公钥加密

3.虚拟专用网:信息加密

IPsec

IETF设计的端到端的确保IP层通信安全的机制,一组协议,IPv6必须支持,IPv4可选

IP可能的攻击:窃听、篡改、IP欺骗、重放

IPsec:透明,预防窃听、篡改,保证完整性、机密性

功能:

1.作为隧道协议实现VPN通信:第三层隧道协议,在IP层建立安全的隧道

2.保证数据来源可靠:IKE认证对方身份并协商密钥,只有IKE认证成功后才能通信。第三方无法冒充发送方(不知道验证和加密算法以及相关密钥)

3.保证数据完整性:验证算法,传输过程中的数据篡改,丢失都被检测

4.保证数据机密性:真正接收方才知道真正内容,其他人无法知道

结构:

(对于进出的每个数据包=丢弃、绕过、应用IPsec)

主报头后面扩展报头:AH(鉴别)|ESP header(加密和鉴别(可选)) 

策略:SA+SAD+SPD,唯一尚未成为标准的组件

SPD:安全策略库(每条记录对应一个安全策略),

对于外出数据报,先检索SPD,决定提供给他的安全服务;对于进入数据报,查阅SPD,判断为期提供的安全保护是否和安全策略规定的安全保护相符;有序的

SAD:安全关联库,

无序的,为进出数据报维持活动的SA列表,外出SA保障外出数据包安全,进入SA处理进入数据报

SA:安全关联,

一个关联=发送者->接受者的一个单向关系;

SA=SPI(安全参数索引,由AH和ESP携带,使接受系统可以选择合适SA处理接收包)+对方IP地址(单一地址,可是用户/末端系统/防火墙/路由器)+安全协议标识(AH安全关联/ESP安全关联)

安全关联的字段包括:

序号计数器

计数器溢出位

反重放窗口

AH信息

ESP信息

SA的生存期

IPsec协议模式:隧道/运输/通配符

路径MTU

手动or自动IKE管理安全关联,如果没有相应SA,IPsec内核就会启动/触发IKE协商

AH:与NAT冲突

3种服务:

1.数据完整性验证(哈希函数校验)

2.数据源身份认证(计算验证码时加入共享密钥)

3.防重放攻击(AH报头序列号)

传输模式:插入报头内,与NAT冲突,验证区域为整个IP包,源/目的IP地址不能改变

隧道模式:插入原始头前,在AH之前增加一个新IP头,也与NAT冲突,在隧道模式可以单独用,也可以和ESP嵌套

ESP

除了AH的三种额外2种,加密是ESP的基本功能,上面三个是可选:

1.数据包加密:可选整个IP包/IP包载荷加密

2.数据流加密:对整个IP包加密后传输,目的端路由器解密后将原始包转发

传输模式:验证不包括IP头,不会NAT冲突;加密不包括验证数据;加密不包括SPI和序号字段

缺点:除了ESP,任何IP头部字段都可以修改,只要校验和正确,就检测不出来,验证比AH弱

隧道模式:保护整个IP包,对整个包加密,ESP插入原IP头前,再在ESP前面加新IP头

特点:增加带宽(因为新IP头),流加密(源/目的地址也加密)

AH/ESP可单独使用,也可嵌套使用。-->主机-主机;安全网关-安全网关;主机-安全网关

IPsec模式:

1.隧道模式:保护整个IP包,只要IPsec双方有一方是安全网关/路由器,就必须使用隧道模式

短的在外面,因为如果只查看最前面的报头,会把加密信息转发出去,并没有解开

IPsec处理:

1.外出处理,检索SPD数据库,判断服务类型

丢弃:简单丢弃

绕过安全服务:为载荷添加IP头,然后分发IP包

应用安全服务:若有SA,返回指向SA指针;若无SA,调用IKE建立SA,(如果强制IPsec应用,SA没建立好,包不会被传出出去),SA建好后,按正确顺序增添AH和ESP头

2.进入处理,

如果包内没有IPsec,根据安全策略进行检查

丢弃:直接丢弃

应用安全服务:SA没有建立,包一样被丢弃

把包给上层

如果有IPsec包

提取三元组(SPI+目的地址+协议),在SAD检索。根据协议值交给AH/ESP层处理。协议载荷处理完后,在SPD中查询策略,验证SA使用是否得当

源/目的=主机;处理=ESP/AH;端点=开始/结束点

组成(阶段):(IP通信分为两个阶段)

1.协商阶段:通信双方互相认证对方身份,根据安全策略使用的加密、认证算法,生成会话密钥

2.数据交互阶段:利用协商好的算法和密钥对数据进行安全处理

IKE(Internet密钥交换):

用于动态建立SA

ISAKMP协商阶段:

阶段1:本阶段协商的SA=>ISAKMP SA(IKE SA)--->保证阶段2的安全通信

阶段2:本阶段协商的SA=>最终要协商的SA(Ipsec SA)--->保证AH/ESP的安全通信

阶段1产生的SA可以用于协商多个阶段2的SA,阶段2的安全有阶段1的协商结果来保证

IKE交换模式:

第一阶段:建立IKE SA,建立验证过的密钥

主模式:

1.协商建立IKE SA的参数:A->B提议;B->确认提议(加密算法,hash算法,认证方法,DH组选择)(明文)

2.交换密钥相关信息:diffe-hellman密钥交换,大数,随机数,身份标识(签名)

密钥信息推导出4个密钥

SKEYID基础密钥,推导出aed

SKEYID_a :为ISAKMP消息完整性验证密钥

SKEYID_e:为ISAKMP消息加密密钥

SKEYID_d:衍生出IPsec报文加密、验证密钥

3.交换身份信息认证对方身份:标识,证书,签名(SKEYID_e加密)

身份验证方法:预共享密钥;RSA签名;RSA加密认证;数字信封认证

积极模式/野蛮模式:无身份保护(因为密钥和身份一起进行);但是快

1.A->B:安全提议,密钥相关,身份信息

2.B->A: 密钥相关,身份信息,本地认证信息

3.A->B:回应验证结果,建立IKESA

第二阶段:为IPsec协商安全服务

快速模式:(用e加密,a验证完整性和身份验证)

1.A->B:发送本地IKE安全提议、密钥相关信息、身份信息

2.B->A:查找提议,发送密钥相关信息、身份信息、本端认证信息

3.A->B:返回本端认证信息,进行认证

容侵:

密码技术+容错技术,具有容侵能力的系统在受到攻击时,甚至系统的某些部分已经受到破坏、或者被恶意攻击者操控时,仍然能够对合法用户继续提供服务或降级服务,保持系统数据的机密性和完整性,并且具备自诊断、自恢复以及重新构造的能力。

分类:

基于攻击屏蔽的入侵容忍:,设计时就考虑被入侵的可能,成功屏蔽入侵,仿佛好像没有发生入侵一样。不要求检测,响应,全部依赖于预先采取的安全措施

基于攻击响应的入侵容忍:入侵检测识别入侵,根据具体入侵行为以及系统在入侵状态下的具体情况,选择合适的安全措施(进程清除/拒绝服务请求/资源重分配/系统重构)

计算机网络体系结构的脆弱性:

网络体系结构分析:分组交换、认证与可追踪、尽力而为的服务策略、匿名与隐私、无尺度网络、级联结构、互联网的级联特性、中间盒子

IPv4安全性分析:

IPv4协议没有认证机制:

无消息源认证:源地址假冒

无完整性认证:篡改

IPv4没有加密机制:

无机密性:监听应用数据

泄露拓扑等信息:网络侦察

无带宽控制:

DDos攻击

IPv6安全分析:

IPv4向IPv6过渡技术的安全风险:

协调攻击,利用协议不足来逃避检测;协议漏洞互相影响;隧道只是简单封装,不进行任何严格检查,复杂安全问题

无状态地址自动配置的安全风险:

NDP邻居发现协议实现IPv6节点无状态地址的自动配置和节点的即插即用。攻击者可以假冒合法路由器,伪造RA报文,使得IPv6节点选择恶意主机为默认网关,实现中间人攻击

PKI管理系统的安全风险

IPv6编址机制的隐患

ICMP安全分析:

利用伪造目的不可达报文对目标发起Dos攻击

利用改变路由报文破坏路由表,导致网络瘫痪

木马利用ICMP协议报文隐蔽通信

利用Echo请求/回答报文进行网络扫描或拒绝服务攻击

RIP协议安全分析:

不支持认证,UDP不靠谱

没有认证,攻击者可以伪造RIP路由更新信息,向邻居发送伪造信息(目的网络地址-子网掩码-下一条地址,结果若干轮路由更新,网络通信可能面临瘫痪 的风险

OSPF安全分析(内部网关路由协议)

攻击类型:

最大年龄攻击(MAX AGE attack):

LSA(链路状态通告)的最大年龄为1h,攻击者发送带有最大年龄设置的LSA信息报文,最开始的路由器通过产生刷新来发送这个LSA,而后引起age项中突然改变值的竞争。攻击者持续插入这个报文给整个路由器,导致网络混乱和DOS

序列号加一攻击:

OSPF根据LSA的序号字段判断是否是旧的LSA,序列号越大越新,攻击者持续插入较大的LSA,最开始的路由器就会产生、发生更新的LSA来与攻击者序列号竞争,导致网络不稳定和DOS

最大序列号攻击:

发送最大序列号的网络设备再次发送报文前,其他设备也将序列号重置,OSPF停15min

攻击者插入最大序列号的LSA报文,触发初始化过程。不断修改发出的LSA序列号->网络运行不稳定

BGP数字大炮攻击:

利用BPG路由表更新机制,在网络上制造某些通信链路的时断时续的震荡效应->网络频繁更新路由表->足够多,瘫痪

TCP协议安全分析:

网络扫描

DoS攻击

TCP会话劫持攻击

DNS安全威胁分类:(域名协议)

HTTP协议安全问题:

简单无状态

基于ASCII码,攻击者易于了解协议中的明文信息

中间盒子的理解不一致,可能导致新攻击

Cookie安全分析:

包含敏感信息,攻击者可以利用cookie进行窃密和欺骗攻击

SQL注入:

web应用程序对特殊字符串过滤不完全缺陷,一般发生在用户输入和sql语句拼接动作访问数据库时

---

整形参数SQL注入漏洞探测:

Select * from 表名 where 字段=YY

http://xxx.xxx.xxx/abc.asp?id=YY ’          =>>>在URL链接中附加一个单引号,运行异常

http://xxx.xxx.xxx/abc.asp?id=YY  and 1=1      ====>>>在URL链接中附加一个and 1=1 ,运行正常

http://xxx.xxx.xxx/abc.asp?id=YY  and 1=2      =====>>>>附加一个and 1=2,运行异常

说明后面的语句都会被识别进入数据库SQL

字符参数SQL注入漏洞探测:

Select * from 表名 where 字段=‘YY’

http://xxx.xxx.xxx/abc.asp?id=YY ’         ====>>,f附加单引号,运行异常

http://xxx.xxx.xxx/abc.asp?id=YY ‘and ’ 1‘=’1    ===>>运行正常'1'='1'

http://xxx.xxx.xxx/abc.asp?id=YY ‘and ’ 1‘=’2    ===>>运行异常'1'!='2'

防护SQL注入漏洞:

1.字符串长度验证

2.对单引号,双--,下划线_,百分号等sql注释符号转义

3.对接受的参数类型格式化,如id获取后直接转化int

4.不适用动态拼装,使用参数化sql/直接使用存储过程进行数据查询

5.不要用管理员权限连接数据库

6.不要把机密信息明文存放

7.少给应用异常提示,不要把原始异常提示给页面

8.做好xss跨站攻击防护,防止攻击者伪造管理员信息进入后台

9.服务端必须有数据校验(长度/格式/是否必填)

你可能感兴趣的:(网络安全)