网络安全基础 ——网络攻防、协议与安全 Douglas Jacobson 仰礼友 赵红宇 译 电子工业出版社 2011-09-21 2011-07-26: 第一部分 网络概念与威胁入门 第1章 网络体系结构 1988:首次出现针对网络上的计算机的攻击 推动网络的创新与增长的因素是网络的简单易用与互连,而非安全 1.1 网络的层次结构 层,功能模块;软件,硬件 服务:子程序的调用 拆分与重组:缓冲区、头部空间、物理链路等限制 封装 连接控制 顺序递交 流控制 出错控制 复用 1.2 协议概述 协议图 1.3 层次网络模型 第2章 网络协议 2.1 协议规范 开方协议:健壮性好,缺陷最小;但是更容易发现协议中的安全缺陷 专利协议:应用层常用之 RFC ANSI IEEE ISO ITU-T IETF 2.2 地址 区分网络中不同设备的寻址方法 2.3 头部 头部定义是协议规范的一部分 第3章 互联网 用户眼中的互联网:计算机、网络、接入点 技术视图:ISP 3.1 寻址 地址欺骗,虚假源地址 IP地址:网络掩码,网络号,主机号 主机名与IP地址的匹配,DNS 客户-服务器模式 服务器程序:等待另一个应用请求连接;如何处理多个连接请求的 路由 第4章 网络漏洞的分类 4.1 网络安全威胁模型 威胁模型 漏洞、试探、攻击代码、攻击 设计上的漏洞 实现漏洞 配置漏洞 0日试探 攻击代码,首次公开到普遍使用,本身也有漏洞 1982:第1个计算机病毒 1986:第一个PC病毒 脚本小子 风险评估:确定重要程度、保护难度 4.2 分类 基于头部的漏洞和攻击:死亡之ping 基于协议的漏洞和攻击 SYN雪崩式攻击:连续发送请求,服务器的缓冲区满 基于验证的漏洞和攻击 用户到主机的验证 主机到主机的验证,越来越多地使用网络来携带验证信息,因而引入了安全风险 主机到用户的验证 基于流量的漏洞和攻击 截取流量、窃听信息 大量数据包导致丢包、不能处理 发送单数据包引起多个回应、产生雪崩流量 数据包嗅探 2011-09-21: 第二部分 低层网络安全 第五章 物理网络层概述 5.1 觉的攻击方法 5.1.1 硬件地址欺骗 产生具有源硬件地址的数据包,但这个地址并不是发送设备的源地址,通常这个非法地址与网络上另一台设备的地址相同。 攻击1产生一个数据包,其目标地址和任何设备地址都不匹配,这可能引起交换机出现问题,或者只是引起产生大量的流量。 大多数设备中,硬件地址是在系统启动时写到硬件控制器的,因而可以在系统启动时通过软件去修改它。 5.1.2 网络嗅探 处捕捉与目标地址无关的数据包,当某台设备配置为嗅探流量时,这时即处于所谓的混杂模式。 网络访问控制器可以读取它收到的每一人数据包,这就是地址嗅探。 典型的骨干网物理皮保护的,嗅探很困难,一般来说,一旦流量进入互联网服务提供商就不担心嗅探了,大多数数据包嗅探发生的地方是采用无线方式访问互联网的咖啡屋。 5.1.3 物理攻击 为了减少物理攻击,对连接到某个ISP的网络互联损失的保护,许多机构采用与多个ISP的多个连接。为了安全起见,它们决定离开建筑物的连接采用多个通道连接。 5.2 有线网络协议 5.2.1 以太网协议 早期:使用同轴电缆连接设备 双绞线系统时代:可以使用双绞线,使用集线器 网络交换机时代:每一台设备和交换机之间形成了一个独立的以太网;硬件地址表;改进了以太网的性能,隔离流量,因为冲突减少,流量只发送到需要它的设备上;全双工,允许同时发送和接收;由于一个设备只能看到目标是自己的流量,这使得其他设备的偷听很难,因为在交换机内具有伪码表,从而使得嗅探交换网络上的流量也是不可能的。 网管为了网络诊断或者性能监控需要监听网络上的流量: 许多交换机支持生成树端口(spanning port)或者镜像端口(mirrored port) 使用带交换机的集线器,但它的峰值是100Mbps,且为半双工 使用网络捕捉器,只能对进入和离开一个机构的流量监控,不能跨单位间的流量监控 5.2.2 基于头部的攻击 设置源和目标地址 产生过长或者过短的数据包 5.2.3 基于协议的攻击 针对CSMA/CD协议有冲突的攻击 5.2.4 基于验证的攻击 ARP中毒(piosoning),ARP欺骗,ARP攻击 只有也在局域网中的攻击者才能利用ARP的缺陷 (因为ARP协议只会在局域网(子网)中进行) 。黑客他要不是在你的网络中找个接口插入而连接上你的局域网,要不就是控制一个局域网内的机器,这样才能进行ARP缓存中毒攻击。ARP的缺陷不能在被远程利用。 方法之一:网络访问控制(network access control, NAC) 另外一种源地址基本于验证的攻击是发送带不同源地址的数据包,试图填满以太网交换机地址表,或让交换机相信是另一台设备发来的数据包 5.2.5 基于流量的攻击 流量嗅探 减灾依法: 采用交换式网络环境,即每个端口一台设备 虚拟局域网(VLAN),将流量隔离在虚拟网络 加密 另一种攻击:使用大量的流量造成网络崩溃 5.3 无线网络协议(翻译的文字很难懂) 常见:无线以太网 第一步:发现 探测包 第二步:接入 联系请求包 第三步:传输流量 5.3.1 基于头部的攻击 5.3.2 探测或钓鱼(wardriving) 5.4 常用对策 5.4.1 虚拟局域网(VLAN) 不同VLAN上的两台主机通信,其流量必须经过路由器。 静态VLAN:基于固定的交换机端口划分 动态VLAN:基于设备的硬件地址划分 5.4.2 网络访问控制(NAC) 第6章 网络层协议 6.1 IPv4协议 6.1.7基于头部的攻击 IP头部字段可分成两类: 第一类是端点字段主要由端点使用的端点字段构成,在传递过程中是不进行检测的。 第二类是传递字段主要由各个路由器进行检测,并且在传递过程中可能被修改的字段构成。 死亡之ping 6.1.8 基于协议的攻击 大多数针对IP和ICMP的攻击瞄向数据包的路由,并且高潮引起数据包错误路由 攻击者使用ICMP错误消息引起服务拒绝,或者将流量重定向到错误的地方。 ARP缓存区中毒 6.1.9 基于认证的攻击 IP地址欺骗 IP会话欺骗(IP session spoofing) 6.1.10 基于流量的攻击 雪崩攻击 6.2 引导协议bootp和动态主机配置协议dhcp 使用虚假的硬件发送多个查找数据包,消耗动态池中所有IP地址 伪装成获得释放的一个客户端,并向服务器发送一个DHCP释放数据包 欺骗性DHCP服务器 6.3 IPv6协议 6.4 常用的IP层对策 IP过滤 例如,阻止进入的ICMP回应请求以防止互联网中某些人确定哪些IP地址是在线的 网络地址转换NAT 虚拟专用网VPN 三类:网络到网络、客户端到客户端、客户端到网络 IP安全(IPsec) 第7章 传输层协议 7.1 传输控制协议TCP 基于头部的攻击 第一类:攻击者发送无效的头部信息,以扰乱TCP层的运行 第二类:攻击者使用回应发送无效头部,作为探测操作系统类型的一种方法,称为探测攻击 最常被攻击的字段是标志字段,例如把所有标志设成1或0;在一个已经打开的连接中发送无效序列号,致使单个连接中断 基于协议的攻击 第一类:攻击者在端点,与攻击目标进行不正确的通信。 第二类:攻击者能嗅探流量,并将数据包插入到TCP协议流中 SYN雪崩(flood) RST连接切断 会话劫持(session hijacking) 被动网络过滤器:使用复位连接终止和会议劫持手段,阻止不希望的连接,而流量并不经过安全设备 流量整形器(traffic shaper):用于减小两个低优先级应用间的流量 7.2 用户数据报协议UDP 7.3 域名服务DNS 7.4 常用对策 传输层安全TLS/安全套接层SSL 第三部分 应用层安全 第8章 应用层概述 8.1 套接字 8.2 常见攻击方法 缓冲区溢出:使接收到的数据比能承受的数据多;造成的结果取决于其他可变字段是如何使用的;接收数据包括有效数据、过滤器、攻击代码;过滤器数据用于将攻击代码定位到内存的一个合适地方使其执行;攻击的行为随操作系统的不同而不同 对要求验证的应用的攻击的两种常见类型:直接攻击和间接攻击 拒绝服务攻击(DoS) 第9章 电子邮件 9.1.1SMTP漏洞、攻击和对策 基于验证的攻击 对电子邮件最常见的攻击 电子邮件欺骗 电子邮件地址欺骗:没有对发送者邮箱地址进行验证的过程和协议 用户名探测: 嗅探SMTP流量 9.2.1POP和IMAP漏洞、攻击和对策 9.4 一般电子邮件对策 加密和验证 电子邮件过滤 内容过滤处理 电子邮件取证 第10章 WEB安全 第11章 远程访问安全 第四部分 第12章 常用网络安全设备 网络防火墙 基于网络的入侵检测和防护 基于网络的数据丢失保护 |
|
来自: Robin Garden > 《计算机网络》