网络安全基础--网络攻防.协议与安全

网络安全基础

——网络攻防、协议与安全

Douglas Jacobson

仰礼友　赵红宇　译

电子工业出版社

2011-09-21

2011-07-26:

第一部分　网络概念与威胁入门

第１章　网络体系结构

１９８８：首次出现针对网络上的计算机的攻击

推动网络的创新与增长的因素是网络的简单易用与互连，而非安全

１.１　网络的层次结构

层，功能模块；软件，硬件

服务：子程序的调用

拆分与重组：缓冲区、头部空间、物理链路等限制

封装

连接控制

顺序递交

流控制

出错控制

复用

１.２　协议概述

协议图

１.３　层次网络模型

第２章　网络协议

２.１　协议规范

开方协议：健壮性好，缺陷最小；但是更容易发现协议中的安全缺陷

专利协议：应用层常用之

RFC  ANSI          IEEE ISO   ITU-T        IETF

２.２　地址

区分网络中不同设备的寻址方法

２.３　头部

头部定义是协议规范的一部分

第３章　互联网

用户眼中的互联网：计算机、网络、接入点

技术视图：ISP

３.１　寻址

地址欺骗，虚假源地址

IP地址：网络掩码，网络号，主机号

主机名与IP地址的匹配，DNS

客户－服务器模式

服务器程序：等待另一个应用请求连接；如何处理多个连接请求的

路由

第４章　网络漏洞的分类

４.１　网络安全威胁模型

威胁模型

漏洞、试探、攻击代码、攻击

设计上的漏洞

实现漏洞

配置漏洞

０日试探

攻击代码，首次公开到普遍使用，本身也有漏洞

１９８２：第１个计算机病毒

１９８６：第一个PC病毒

脚本小子

风险评估：确定重要程度、保护难度

４.２　分类

基于头部的漏洞和攻击：死亡之ping

基于协议的漏洞和攻击

SYN雪崩式攻击：连续发送请求，服务器的缓冲区满

基于验证的漏洞和攻击

用户到主机的验证

主机到主机的验证，越来越多地使用网络来携带验证信息，因而引入了安全风险

主机到用户的验证

基于流量的漏洞和攻击

截取流量、窃听信息

大量数据包导致丢包、不能处理

发送单数据包引起多个回应、产生雪崩流量

数据包嗅探

2011-09-21:

第二部分　低层网络安全

第五章　物理网络层概述

5.1　觉的攻击方法

5.1.1　硬件地址欺骗

产生具有源硬件地址的数据包，但这个地址并不是发送设备的源地址，通常这个非法地址与网络上另一台设备的地址相同。

攻击1产生一个数据包，其目标地址和任何设备地址都不匹配，这可能引起交换机出现问题，或者只是引起产生大量的流量。

大多数设备中，硬件地址是在系统启动时写到硬件控制器的，因而可以在系统启动时通过软件去修改它。

5.1.2　网络嗅探

处捕捉与目标地址无关的数据包，当某台设备配置为嗅探流量时，这时即处于所谓的混杂模式。

网络访问控制器可以读取它收到的每一人数据包，这就是地址嗅探。

典型的骨干网物理皮保护的，嗅探很困难，一般来说，一旦流量进入互联网服务提供商就不担心嗅探了，大多数数据包嗅探发生的地方是采用无线方式访问互联网的咖啡屋。

5.1.3　物理攻击

为了减少物理攻击，对连接到某个ISP的网络互联损失的保护，许多机构采用与多个ISP的多个连接。为了安全起见，它们决定离开建筑物的连接采用多个通道连接。

5.2　有线网络协议

5.2.1 以太网协议

早期：使用同轴电缆连接设备

双绞线系统时代：可以使用双绞线，使用集线器

网络交换机时代：每一台设备和交换机之间形成了一个独立的以太网；硬件地址表；改进了以太网的性能，隔离流量，因为冲突减少，流量只发送到需要它的设备上；全双工，允许同时发送和接收；由于一个设备只能看到目标是自己的流量，这使得其他设备的偷听很难，因为在交换机内具有伪码表，从而使得嗅探交换网络上的流量也是不可能的。

网管为了网络诊断或者性能监控需要监听网络上的流量：

许多交换机支持生成树端口（spanning port）或者镜像端口(mirrored port)

使用带交换机的集线器，但它的峰值是100Mbps，且为半双工

使用网络捕捉器，只能对进入和离开一个机构的流量监控，不能跨单位间的流量监控

5.2.2　基于头部的攻击

设置源和目标地址

产生过长或者过短的数据包

5.2.3　基于协议的攻击

针对CSMA/CD协议有冲突的攻击

5.2.4　基于验证的攻击

ARP中毒（piosoning），ARP欺骗，ARP攻击

只有也在局域网中的攻击者才能利用ARP的缺陷 (因为ARP协议只会在局域网(子网)中进行) 。黑客他要不是在你的网络中找个接口插入而连接上你的局域网，要不就是控制一个局域网内的机器，这样才能进行ARP缓存中毒攻击。ARP的缺陷不能在被远程利用。

方法之一：网络访问控制（network access control, NAC）

另外一种源地址基本于验证的攻击是发送带不同源地址的数据包，试图填满以太网交换机地址表，或让交换机相信是另一台设备发来的数据包

5.2.5　基于流量的攻击

流量嗅探

减灾依法：

采用交换式网络环境，即每个端口一台设备

虚拟局域网（VLAN），将流量隔离在虚拟网络

加密

另一种攻击：使用大量的流量造成网络崩溃

5.3　无线网络协议（翻译的文字很难懂）

常见：无线以太网

第一步：发现

探测包

第二步：接入

联系请求包

第三步：传输流量

5.3.1　基于头部的攻击

5.3.2　探测或钓鱼(wardriving)

5.4　常用对策

5.4.1　虚拟局域网（VLAN）

不同VLAN上的两台主机通信，其流量必须经过路由器。

静态VLAN：基于固定的交换机端口划分

动态VLAN：基于设备的硬件地址划分

5.4.2　网络访问控制（NAC）

第6章　网络层协议

6.1　IPv4协议

6.1.7基于头部的攻击

IP头部字段可分成两类：

第一类是端点字段主要由端点使用的端点字段构成，在传递过程中是不进行检测的。

第二类是传递字段主要由各个路由器进行检测，并且在传递过程中可能被修改的字段构成。

死亡之ping

6.1.8　基于协议的攻击

大多数针对IP和ICMP的攻击瞄向数据包的路由，并且高潮引起数据包错误路由

攻击者使用ICMP错误消息引起服务拒绝，或者将流量重定向到错误的地方。

ARP缓存区中毒

6.1.9　基于认证的攻击

IP地址欺骗

IP会话欺骗(IP session spoofing)

6.1.10　基于流量的攻击

雪崩攻击

6.2　引导协议bootp和动态主机配置协议dhcp

使用虚假的硬件发送多个查找数据包，消耗动态池中所有IP地址

伪装成获得释放的一个客户端，并向服务器发送一个DHCP释放数据包

欺骗性DHCP服务器

6.3　IPv6协议

6.4　常用的IP层对策

IP过滤

例如，阻止进入的ICMP回应请求以防止互联网中某些人确定哪些IP地址是在线的

网络地址转换NAT

虚拟专用网VPN

三类：网络到网络、客户端到客户端、客户端到网络

IP安全（IPsec）

第7章　传输层协议

7.1　传输控制协议TCP

基于头部的攻击

第一类：攻击者发送无效的头部信息，以扰乱TCP层的运行

第二类：攻击者使用回应发送无效头部，作为探测操作系统类型的一种方法，称为探测攻击

最常被攻击的字段是标志字段，例如把所有标志设成１或０；在一个已经打开的连接中发送无效序列号，致使单个连接中断

基于协议的攻击

第一类：攻击者在端点，与攻击目标进行不正确的通信。

第二类：攻击者能嗅探流量，并将数据包插入到TCP协议流中

SYN雪崩(flood)

RST连接切断

会话劫持（session hijacking）

被动网络过滤器：使用复位连接终止和会议劫持手段，阻止不希望的连接，而流量并不经过安全设备

流量整形器（traffic shaper）：用于减小两个低优先级应用间的流量

7.2　用户数据报协议UDP

7.3　域名服务DNS

7.4　常用对策

传输层安全TLS/安全套接层SSL

第三部分　应用层安全

第8章　应用层概述

8.1　套接字

8.2　常见攻击方法

缓冲区溢出：使接收到的数据比能承受的数据多；造成的结果取决于其他可变字段是如何使用的；接收数据包括有效数据、过滤器、攻击代码；过滤器数据用于将攻击代码定位到内存的一个合适地方使其执行；攻击的行为随操作系统的不同而不同

对要求验证的应用的攻击的两种常见类型：直接攻击和间接攻击

拒绝服务攻击（DoS）

第9章　电子邮件

９.１.１SMTP漏洞、攻击和对策

基于验证的攻击

对电子邮件最常见的攻击

电子邮件欺骗

电子邮件地址欺骗：没有对发送者邮箱地址进行验证的过程和协议

用户名探测：

嗅探SMTP流量

９.２.１POP和IMAP漏洞、攻击和对策

９.４　一般电子邮件对策

加密和验证

电子邮件过滤

内容过滤处理

电子邮件取证

第１０章　WEB安全

第１１章　远程访问安全

第四部分

第１２章　常用网络安全设备

网络防火墙

基于网络的入侵检测和防护

基于网络的数据丢失保护

网络安全基础

——网络攻防、协议与安全

Douglas Jacobson

仰礼友　赵红宇　译

电子工业出版社

2011-09-21

2011-07-26:

第一部分　网络概念与威胁入门

第１章　网络体系结构

１９８８：首次出现针对网络上的计算机的攻击

推动网络的创新与增长的因素是网络的简单易用与互连，而非安全

１.１　网络的层次结构

层，功能模块；软件，硬件

服务：子程序的调用

拆分与重组：缓冲区、头部空间、物理链路等限制

封装

连接控制

顺序递交

流控制

出错控制

复用

１.２　协议概述

协议图

１.３　层次网络模型

第２章　网络协议

２.１　协议规范

开方协议：健壮性好，缺陷最小；但是更容易发现协议中的安全缺陷

专利协议：应用层常用之

RFC  ANSI          IEEE ISO   ITU-T        IETF

２.２　地址

区分网络中不同设备的寻址方法

２.３　头部

头部定义是协议规范的一部分

第３章　互联网

用户眼中的互联网：计算机、网络、接入点

技术视图：ISP

３.１　寻址

地址欺骗，虚假源地址

IP地址：网络掩码，网络号，主机号

主机名与IP地址的匹配，DNS

客户－服务器模式

服务器程序：等待另一个应用请求连接；如何处理多个连接请求的

路由

第４章　网络漏洞的分类

４.１　网络安全威胁模型

威胁模型

漏洞、试探、攻击代码、攻击

设计上的漏洞

实现漏洞

配置漏洞

０日试探

攻击代码，首次公开到普遍使用，本身也有漏洞

１９８２：第１个计算机病毒

１９８６：第一个PC病毒

脚本小子

风险评估：确定重要程度、保护难度

４.２　分类

基于头部的漏洞和攻击：死亡之ping

基于协议的漏洞和攻击

SYN雪崩式攻击：连续发送请求，服务器的缓冲区满

基于验证的漏洞和攻击

用户到主机的验证

主机到主机的验证，越来越多地使用网络来携带验证信息，因而引入了安全风险

主机到用户的验证

基于流量的漏洞和攻击

截取流量、窃听信息

大量数据包导致丢包、不能处理

发送单数据包引起多个回应、产生雪崩流量

数据包嗅探

2011-09-21:

第二部分　低层网络安全

第五章　物理网络层概述

5.1　觉的攻击方法

5.1.1　硬件地址欺骗

产生具有源硬件地址的数据包，但这个地址并不是发送设备的源地址，通常这个非法地址与网络上另一台设备的地址相同。

攻击1产生一个数据包，其目标地址和任何设备地址都不匹配，这可能引起交换机出现问题，或者只是引起产生大量的流量。

大多数设备中，硬件地址是在系统启动时写到硬件控制器的，因而可以在系统启动时通过软件去修改它。

5.1.2　网络嗅探

处捕捉与目标地址无关的数据包，当某台设备配置为嗅探流量时，这时即处于所谓的混杂模式。

网络访问控制器可以读取它收到的每一人数据包，这就是地址嗅探。

典型的骨干网物理皮保护的，嗅探很困难，一般来说，一旦流量进入互联网服务提供商就不担心嗅探了，大多数数据包嗅探发生的地方是采用无线方式访问互联网的咖啡屋。

5.1.3　物理攻击

为了减少物理攻击，对连接到某个ISP的网络互联损失的保护，许多机构采用与多个ISP的多个连接。为了安全起见，它们决定离开建筑物的连接采用多个通道连接。

5.2　有线网络协议

5.2.1 以太网协议

早期：使用同轴电缆连接设备

双绞线系统时代：可以使用双绞线，使用集线器

网络交换机时代：每一台设备和交换机之间形成了一个独立的以太网；硬件地址表；改进了以太网的性能，隔离流量，因为冲突减少，流量只发送到需要它的设备上；全双工，允许同时发送和接收；由于一个设备只能看到目标是自己的流量，这使得其他设备的偷听很难，因为在交换机内具有伪码表，从而使得嗅探交换网络上的流量也是不可能的。

网管为了网络诊断或者性能监控需要监听网络上的流量：

许多交换机支持生成树端口（spanning port）或者镜像端口(mirrored port)

使用带交换机的集线器，但它的峰值是100Mbps，且为半双工

使用网络捕捉器，只能对进入和离开一个机构的流量监控，不能跨单位间的流量监控

5.2.2　基于头部的攻击

设置源和目标地址

产生过长或者过短的数据包

5.2.3　基于协议的攻击

针对CSMA/CD协议有冲突的攻击

5.2.4　基于验证的攻击

ARP中毒（piosoning），ARP欺骗，ARP攻击

只有也在局域网中的攻击者才能利用ARP的缺陷 (因为ARP协议只会在局域网(子网)中进行) 。黑客他要不是在你的网络中找个接口插入而连接上你的局域网，要不就是控制一个局域网内的机器，这样才能进行ARP缓存中毒攻击。ARP的缺陷不能在被远程利用。

方法之一：网络访问控制（network access control, NAC）

另外一种源地址基本于验证的攻击是发送带不同源地址的数据包，试图填满以太网交换机地址表，或让交换机相信是另一台设备发来的数据包

5.2.5　基于流量的攻击

流量嗅探

减灾依法：

采用交换式网络环境，即每个端口一台设备

虚拟局域网（VLAN），将流量隔离在虚拟网络

加密

另一种攻击：使用大量的流量造成网络崩溃

5.3　无线网络协议（翻译的文字很难懂）

常见：无线以太网

第一步：发现

探测包

第二步：接入

联系请求包

第三步：传输流量

5.3.1　基于头部的攻击

5.3.2　探测或钓鱼(wardriving)

5.4　常用对策

5.4.1　虚拟局域网（VLAN）

不同VLAN上的两台主机通信，其流量必须经过路由器。

静态VLAN：基于固定的交换机端口划分

动态VLAN：基于设备的硬件地址划分

5.4.2　网络访问控制（NAC）

第6章　网络层协议

6.1　IPv4协议

6.1.7基于头部的攻击

IP头部字段可分成两类：

第一类是端点字段主要由端点使用的端点字段构成，在传递过程中是不进行检测的。

第二类是传递字段主要由各个路由器进行检测，并且在传递过程中可能被修改的字段构成。

死亡之ping

6.1.8　基于协议的攻击

大多数针对IP和ICMP的攻击瞄向数据包的路由，并且高潮引起数据包错误路由

攻击者使用ICMP错误消息引起服务拒绝，或者将流量重定向到错误的地方。

ARP缓存区中毒

6.1.9　基于认证的攻击

IP地址欺骗

IP会话欺骗(IP session spoofing)

6.1.10　基于流量的攻击

雪崩攻击

6.2　引导协议bootp和动态主机配置协议dhcp

使用虚假的硬件发送多个查找数据包，消耗动态池中所有IP地址

伪装成获得释放的一个客户端，并向服务器发送一个DHCP释放数据包

欺骗性DHCP服务器

6.3　IPv6协议

6.4　常用的IP层对策

IP过滤

例如，阻止进入的ICMP回应请求以防止互联网中某些人确定哪些IP地址是在线的

网络地址转换NAT

虚拟专用网VPN

三类：网络到网络、客户端到客户端、客户端到网络

IP安全（IPsec）

第7章　传输层协议

7.1　传输控制协议TCP

基于头部的攻击

第一类：攻击者发送无效的头部信息，以扰乱TCP层的运行

第二类：攻击者使用回应发送无效头部，作为探测操作系统类型的一种方法，称为探测攻击

最常被攻击的字段是标志字段，例如把所有标志设成１或０；在一个已经打开的连接中发送无效序列号，致使单个连接中断

基于协议的攻击

第一类：攻击者在端点，与攻击目标进行不正确的通信。

第二类：攻击者能嗅探流量，并将数据包插入到TCP协议流中

SYN雪崩(flood)

RST连接切断

会话劫持（session hijacking）

被动网络过滤器：使用复位连接终止和会议劫持手段，阻止不希望的连接，而流量并不经过安全设备

流量整形器（traffic shaper）：用于减小两个低优先级应用间的流量

7.2　用户数据报协议UDP

7.3　域名服务DNS

7.4　常用对策

传输层安全TLS/安全套接层SSL

第三部分　应用层安全

第8章　应用层概述

8.1　套接字

8.2　常见攻击方法

缓冲区溢出：使接收到的数据比能承受的数据多；造成的结果取决于其他可变字段是如何使用的；接收数据包括有效数据、过滤器、攻击代码；过滤器数据用于将攻击代码定位到内存的一个合适地方使其执行；攻击的行为随操作系统的不同而不同

对要求验证的应用的攻击的两种常见类型：直接攻击和间接攻击

拒绝服务攻击（DoS）

第9章　电子邮件

９.１.１SMTP漏洞、攻击和对策

基于验证的攻击

对电子邮件最常见的攻击

电子邮件欺骗

电子邮件地址欺骗：没有对发送者邮箱地址进行验证的过程和协议

用户名探测：

嗅探SMTP流量

９.２.１POP和IMAP漏洞、攻击和对策

９.４　一般电子邮件对策

加密和验证

电子邮件过滤

内容过滤处理

电子邮件取证

第１０章　WEB安全

第１１章　远程访问安全

第四部分

第１２章　常用网络安全设备

网络防火墙

基于网络的入侵检测和防护

基于网络的数据丢失保护