在线图片,重点见png。
1、网络通信模型
OSI参照模型
- 应用层,7层
- 与用户最为接近的地方
- 提供文件传输、消息交换、终端会话以及执行应用程序的网络请求
- 包括:SMTP、HTTP、LPD、FTP、TELNET、TFTP、POP3、IMAP、SNMAP等
- RIP(底层用UDP)、BGP(底层用TCP)、SIP(会话初始协议)
- 表示层,6层
- 将信息变为所遵循OSI模型的计算机都能理解的格式
- 表示层关心数据的格式和语法,处理数据压缩和加密
- 典型的协议有:ASCII、ASN。JPEG、MPEG等。
- 会话层,5层
- 负责连个应用程序之间建立连接
- 管理主机之间的会话进程,负责建立、管理、终止进程间的会话。
- 典型的协议有:NETBIOS、ZIP、NFS、pptp(TCP 1723端口)、L2tp(UDP 1701端口)、RPC等。
- 传输层,4层
- 传输层提供了端到数据传输和数据流的分解,并且在两台通信计算机之间建立连接
- 会话层建立应用程序连接,传输层建立计算机系统之间的连接
- 典型的协议有:tcp、udp、spx、SSL、TLS等。
- TLS/SSL
- SSL/TLS由两个协议组成,一个工作在会话层底部一个工作在传输层顶部
- TLS是一个两层接口层安全协议,包括TLS记录和传输层安全TLS握手协议
- TLS/SSL
- 数据单位为-分片
- 网络层,3层
- 负责对子网间的数据包进行路由选择。 实现拥塞控制、网际互连等功能。
- 数据单位为数据包(packet)
- 典型的协议有:ipx、ip、icmp、igmp、bgp、rip、OSPF等。
- 数据链路层,2层
- 数据链路层在不可靠的物理介质上提供可靠的传输。
- 作用有:物理地址寻址、数据的成帧、流量的控制、数据的检错、重发等。
- 典型的协议:ARP/PARP、SDLC、PPP、STP、帧中继等。
- 数据单位为帧(frame)
- 物理层,1层
- 规定了激活、维持、关闭通信端点之间的机械特性、电气特性、功能特性以及过程特性
- 数据单位为比特(bit)
- 典型规范代表:EIA/TIA RS-232,RJ-45
TCP/IP模型
TCP:可靠的面向连接的协议 UDP:非面向连接的协议 IPv4和IPv6分别为32位地址和128位地址 套接字:由报头信息有源地址和目的地址 里都还有源端口和目的端口
- 应用层
- 对应OSI:应用层、表示层、会话层
- 传输层
- 对应OSI:传输层
- TCP:可靠的面向连接的协议
- 三次握手
- TCP/UDP协使用的长度端口为16 bits
- UDP:非面向连接的协议
- TCP:可靠的面向连接的协议
- 对应OSI:传输层
- 国际互联网层
- 对应OSI:网络层
- 网络接入层
- 对应OSI:网络接入层
- 域名服务DNS
- 威胁
- DNS中毒
- DNS 欺骗 Spoofing (Pharming)
- 部署流氓DNS服务器
- 改变Hosts文件
- DNS 欺骗 Spoofing (Pharming)
- 域名劫持
- 域名服务器上的某条记录被篡改,一旦要查询这条记录,得到的就是错误的结果。
- DNS中毒
- DNS安全
- DNSSEC,加强DNS的身份验证机制
- 开发DSNSEC 技术的目的之一是通过对数据进行“数字签名”来确保完整性
- 威胁
2、网络通信基础
传输方式
- 模拟信号
- 模拟信号,即信号的波幅、频率、相位、是连续变化的,传输速率低
- 数字信号
- 数字信号:即信号是不连续的脉冲,不易失真,传输速率高
同步方案
- 异步
- 通过插入开始和结束符进行传输控制,速度较慢
- 没有计时组件
- 同步
- 数据传输依赖通信双方的时钟系统,开始和结束由时钟定,速度快
- 强大的错误检测,CRC实现
介质中的传输
- 基带
- 将数字或模拟信号直接加到电缆中进行传输,信号不经过调制, 使用电缆的整个信道,
- 以太网属于基带网络
- 宽带
- 将多路不同的信号通过调制到不同的“载波”频率上加载到电缆上, 即整个电缆的带宽被划分到不同的信道,如同时支持话音、图像和数据传输,
- 有线电视就是基于宽带的网络
传输介质
- 同轴电缆
- 同轴电缆有个铜芯,外面围绕着屏蔽层和地线
- 同轴电缆可用于数字信号和模拟信号,能利用基带方法或带宽方法通信
- 同轴电缆更抗电磁干扰,价格较高
- 细同轴电缆传输距离200M,实际为185米
- 粗同轴电缆,传输距离500M
- 5-4-3规则,借助4个中继器连接最多5个网段,但只有其中3个网段可以连接主机
- 双绞线
- 屏蔽双绞线,STP和非屏蔽双绞线,UTP
- 双绞线具有缠绕的铜线,缠绕是为了避免无线电频率干扰
- 双绞线存在信号的衰减
- 价格最便宜,但是UTP是最不安全的网络互联线缆,容易被截获
- 最大长度为100M,可以接4个中继器。
- 光纤
- 多模光纤:中短距离
- 单模光纤:长距离
- 光纤信号衰减是泄露的特征
- 优点:高速、远距离、抗干扰、价格高安装要求高
- 线缆问题
- 噪声
- 衰减
- 串扰
- 线缆的阻燃率
网络拓扑
- 总线型网络
- 环形网络
- 星型网络
- 网状性拓扑
- 对比
局域网实现类型
- 以太网
- 由IEEE802.3标准定义
- 物理上星型,逻辑上总线
- 使用广播域和冲突域
- 采用CSMA/CD介质访问控制技术
- Ethernet/IEEE802.3(同轴电缆上10Mbps),FastEthernet双绞线上(100Mbps),GigabitEthernet(光纤或双绞线上1Gbps)
- 令牌环
- IBM提出,IEEE802.5标准
- 逻辑环,通常物理星型连接
- 每个节点都要再生信号
- 负载带宽可预测,4Mbps或16Mbps
- FDDI |(光纤分布式数据接口)
- 令牌传递网络,采用连个相反的环路,主环顺时针,副环逆时针,使用主动监控和信标
- 速度可达100mbps
- 典型用在LAN/WAN的骨干上
- CDDI(铜缆分布式数据接口)工作在UTP上
介质访问技术
- 轮询
- 主要用于大型机系统环境中
- 令牌传递
- 令牌环和FDDI技术采用
- 拥有令牌计算机具有通信的权利
- CSMA
- CSMA/CD
- 带有冲突检测的载波侦听多路存取
- 在太网使用
- CSMA/CA
- 带有冲突避免的载波侦听多路访问
- 在无线网络中使用,如802.11
- 冲突域
- 广播域
- CSMA/CD
传输方法
- 组播
- 广播
- 可造成非授权的访问泄露,可用于DDOS
- 单播
- 任播
- 在DNS防护种广泛得到引用
网络协议和服务
- 地址解析协议,ARP (数据链路层)
- 完成IP和MAC地址的解析
- ARP表中毒
- 32位IPV4地址
- 反向地址转换协议,RARP
- 48位硬件地址
- 动态主机配置协议,DHCP (应用层)
- RARP–>BOOTP–>DHCP
- 网络屏蔽未进行身份验证的DHCP客户端的一种有效方法是在网络交换机上使用DHCP窥探
- Internet控制消息协议,ICMP (网络层)
- 死忙ping攻击
- Smurf攻击/fraggle攻击,使用UDP协议
- ICMP重定向攻击
路由协议
- NAT 网络地址转换
- 可以缓解Ip地址的枯竭
- 静态映射
- 每个私有地址都被静态映射到一个特定的公共地址上
- 动态映射
- 先到先服务的模式运行
- 端口地址转换
- 仅有几个公网IP,但需要大量与外部通信的系统
- 距离向量
- RIP
- IGRP
- 链路状态
- OSPF
- 路由器连接不同AS所使用的外部路由协议,通常被称外联网关协议BGP
网络互联服务和协议
- 域名服务,DNS
- 威胁
- DNS缓存中毒
- DNS缓存中毒攻击主要是针对递归解析方式工作并缓存非本域的解析结果的DNS 服务器。
- DNS缓存中毒
- DNS安全
- DNSSEC,加强DNS的身份验证机制
- 威胁
- 工控系统SCADA
- 数据采集和监控
- ModBus,FieldBus协议
- 典型安全攻击类型
- 网络边界漏洞
- 协议堆栈漏洞
- 数据库安全漏洞
- 会话劫持和中间人攻击
- 操作系统漏洞
- 设备和供应商后门
3、网络设施
网络设备
- 中继器和集线器
- 工作在物理层
- 功能是接受并放大信号,将信号发送到所有端口
- 多个设备连接在同一个网段中增加了冲突和争用
- 网桥和交换机
- 数据链路层设备
- 交换机结合了集线器和网桥的技术
- VLAN
- 减少冲突
- 交换机收到数据的物理地址信息,如果找到目的端口直发送给目的端口,无法确定端口则发给所有的端口
- 路由器
- 网络层设备
- 路由器将网络分割为不同的冲突域和广播域
- P路由器,PE路由器,CE路由器
- 网关
- 应用层设备
- 连接不同类型的网络,执行协议和格式的翻译
- PBX (专用交换分机)
- 控制模拟和数字信号的数字交换设备
- pbx的内部安全管理问题,例如窃听、话费等这些问题
- CDN
- 内容分发网络
- 一个经策略性部署的整体系统,包括分布式存储、负载均衡、网络请求的重定向和内容管理4个要件
- SDN
- 软件定义网络
- 将网络设备上的控制权分离出来,由集中的控制器管理,无须依赖底层网络设备(路由器、交换机、防火墙),屏蔽了来自底层网络设备的差异
安全设备
- 防火墙
- 包过滤防火墙 (第一代)
- 工作在网络层
- 通过ACL来实现
- 难以防范对上层协议的攻击
- 应用代理防火墙 (第二代)
- 工作在应用层
- 监视应用协议,并且以自身的名义转发,通信双方没有直接的路由
- 电路级网关防火墙
- 工作在会话层
- 包过滤和应用代理的混合体
- 状态检测防火墙 (第三代)
- 工作在网络层、传输层、应用层
- 维护一个状态表,以跟踪记录每个通信通道
- 为跟踪UDP或ICMP提供数据
- 存储和更新包内同的状态和上下文
- 动态包过滤防火墙 (第四代)
- ACL是动态的,连接结束后销毁
- 内核代理防火墙 (第五代)
- 评估数据包,防火墙会建立动态的、定制的TCP/IP协议栈
- NGFW下一代防火墙
- 包过滤防火墙 (第一代)
- 防火墙体系结构
- 堡垒主机
- 双宿防火墙
- 结构安全性较低
- 被屏蔽主机
- 被屏蔽子网
- 形成DMZ,结构安全性最高
- UTM统一威胁管理
- 常见问题
- 单点故障
- 单点防护
- 性能问题
- 常见问题
- SIEM 安全事件管理
4、局域网和广域网
广域网
- 专用链路
- T载波是专用线路,运载语音和数据信息
- T1线路最高1.544Mbps,带24路电话
- T3线路最高45Mbps,带28T1线
- 时分多路复用技术(TDM)
- T1和T3逐渐被光纤取代
- 多路复用技术
- 统计时分多路复用STDM
- 频分复用FDM
- 波分服用,WDM
- 密集波分复用,DWDM
- 交换技术
- 电路交换连接
- 基于传统的电话网络, 是物理的、永久的连接
- 电话交换系统的一个示例是日常电话应用
- 一般会使用拨号调制解调器和ISDM, 适用于低带宽和备份应用,资源效率低
- 程控交换机
- 分组交换连接
- 存储转发模式
- 多个系统共享,以分组方式传输,交换设备 对其进行路由,在目的地重组,使用效率高
- 传统的分组交换:帧中继,X.25,internet
- 信元交换连接
- 异步传输模式(ATM)
- 语音和视频传输载体
- 数据分片大小固定位53字节的信元
- 电路交换连接
CSU/DSU
通信服务单元/数据服务单元
- LAN与WAN之间数字信号转换
- DSU将路由器、网桥等数字信号转换为能在电话公司的数字线路上传输的信号
- CSU将网络直接连接到电话公司的线路
广域网虚电路
- 帧中继和X.25通过虚电路转发数据帧
- 交换虚电路像与客户事先约定可用带宽的专用线路方式工作, 永久连接,用户数据持久传输
- 交换式虚电路需要拨号和连接的步骤, 电路建立、数据传输、电路中断三个阶段。
帧中继
- 在数据链路层上工作的WAN协议
- 用户帧中继连接的设备主要有两类
- 数据终端设备,DTE
- 通常是客户拥有的设备,如提供公司自己的网络和帧中继网络之间连通性的路由器和交换机
- 数据电路终端设备,DCE
- 服务提供商的设备或电信公司的设备,他在帧中继云团中完成实际的数据传输和交换
- 数据终端设备,DTE
X.25
- 定义了设备和网络如何建立于维护连接
多兆比特交换数据服务,SMDS
- 一种高速分组交换技术
- 陈旧的技术
同步数据链路控制,SDLC
- 基于使用专用租用连接以及永久物理连接的网络
- 适用于大型主机远程通信,提供轮询介质访问技术
高级数据链路控制,HDLC
- 面向比特的链路层协议
- SDLC的延申,用于SNA环境
高速串行接口,HSSI
- 将多路复用器和路由器联系至高速通信服务(ATM和帧中继)的接口
- 工作在物理层,最高速率52M
多服务访问技术
- 电话系基于电路交换、语音因为中心的网络,即公共交换电话网络(PSTN)
- 7号信令系统控制建立连接,控制指令,撤销回话
- 会话初始化协议SIP,建立和撤销呼叫会话,能够在TCP或UDP上工作的协议
VoIP
- H.323网关
- ITU-T建议包括大量多调通信服务
- H323是处理视频、试试音频和数据包传输,兼顾PSTN
- SIP网关
- 三种组成架构
- 代理服务器
- 注册服务器
- 重定向服务器
- 三种组成架构
- 主要组成部分
- IP电话设备
- 语音邮件系统
- 语音网关
- 呼叫处理管理器
- VoIP安全问题及对策
- 问题
- 法律合规
- 业务连续性的保障
- 基于SIP的信令由于缺乏加密呼叫通道和身份验证而受损害
- 攻击者可使用伪造身份并通过SIP控制包从呼叫方定位到伪造的目的
- 攻击者可以假冒服务器来向VoIP发送指令来控制通话
- 对策
- 对VoIP所涉及的服务器进行升级
- 标识尚未标识的或欺诈的电子涉笔
- 良好的安全装和维护(防火墙、入侵检测)
- 在路由器、交换机、PC和IP电话上过滤不必要的端口
- 利用内容进行监控
- 当数据传输进行加密
- 使用双因素验证
- 问题
5、远程连接技术和无线技术
无线技术
- WAP
- 无线应用协议
- 基于WML无限标记语言,基于XML
- WAP自己具有会话和传输协议以及无线传输层安全(WTLS)的传输层安全协议
- 匿名身份验证:无线设备和服务器彼此不进行身份验证
- 服务器身份验证:服务器对无线设备进行身份验证
- 双向客户端和服务器身份验证:无线设备和服务器相互继续身份验证
- 802.11
- 802.11
- WEP
- 认证方式
- 开放系统身份验证(OSA)
- 只需要提供正确SSID即可
- 共享密钥身份验证(SKA)
- 需要无线设备证明拥有密钥
- 开放系统身份验证(OSA)
- 缺陷
- RC4算法,密钥长度过短
- IV向量的无效使用
- 缺乏数据包的完整性保证
- AP
- WAP可以部署在以下两种模式之一:ad hoc模式 或 infrastructure 模式。通常最好在 infrastructure 模式下配置WAP,而不是在 ad hoc 模式下实施WAP支持的限制。ad hoc 模式允许无线设备在没有集中控制的情况下进行通信。 基础架构模式可防止设备或NIC直接交互。
- 防 rogue AP
- 未经企业许可而私自接入
- 企业网络中的无线路由器 (wi-fi AP)
- 认证方式
- WEP
- 802.11 b
- 最高达11Mbps的速率
- 802.11 a
- 最高达 54Mbps速率
- 5GHz 频率范围
- 802.11 e
- 802.11 g
- 20–54Mbps
- 2.4GHz 频段
- 802.11 i
- 继承了可扩展身份验证协议EAP
- 继承了消息完整性代码,MIC
- 暂时密钥完整性协议,TKIP
- 每个数据帧都有不同的IV值
- 采用标准AES高级加密标准
- 例:WPA2
- CCMP协议向下兼容RC4
- 802.1X
- 同身份验证架构和一个动态分发加密密钥的方法
- 由三部分组成:请求者(无线设备)、身份验证者 (AP)、身份验证服务器(RADIUS)
- 802.11
- 网络加密
- 链路加密
- 端到端加密
- 在不同的层加密
- 端到端加密发生在应用层
- TLS加密在数据链路层
- PPTP假面发生在数据链路层
- 数据加密发生在数据链路层和物理层
- 蓝牙,Bluetooth
- 蓝劫
- 向一台蓝牙设备主动发起消息
- bluesnarfing
- 蓝劫
- 扩频技术
- 跳频扩频,FHSS
- 使用FHSS算法决定使用的不同频率及其顺序
- 直接序列扩频,DSSS
- 正交频分多路复用,OFDM
- 跳频扩频,FHSS
- 无线局域网安全/两种方式无线身份验证
- 开放系统身份验证(OSA)
- 只需要提供正确SSID即可
- 共享密钥身份验证(SKA)
- 需要无线设备证明拥有密钥
- WEP协议
- 采用RC4加密
- 无线的攻击
- war walking/driving/chalking
- 不要广播/SSID
- AP
- 防盗、天线的功率
- 开放系统身份验证(OSA)
- 无线通信技术
- 卫星通信
- 单向网络,如数字电视
- 卫星连接internet,双向传输
- 移动通信技术
- 1G
- 900MHz
- 模拟FDMA
- 基本电话服务
- 2G
- 1800MHz
- TDMA
- 呼叫者ID和语音邮件
- 电路交换
- 仅文本
- 3G
- 2GHz
- CDMA
- 2Mbps(3.5G10Mbps)
- 会议呼叫和低质量视频
- 图形和格式化文本
- 数据包交换
- 4G
- 40GHz和60Ghz
- OFDM
- 远程呈现和高清视频
- 完整统一消息
- 本地IPV6
- 100Mbps
- 1G
- 卫星通信
远程访问技术
- 拨号和RAS
- 远程访问连接到一个远程访问服务器来获得
- 拨号连接的安全措施
- 防止欺诈,配置远程访问服务器回拨
- 对抗战争拨号攻击,对电话铃声预先设定好若干声后在接通回拨
- 回拨系统
- 弱点
- 呼叫转移
- 弱点
- 身份认证协议
- RADIUS
- TACACS
- TACACS+
- 双因素密码认证
- 挑战握手身份验证协议,CHAP
- 挑战-应答机制进行身份验证
- 防止来自端点的重放攻击
- 传输哈希值进行验证
- 密码身份验证协议,PAP
- 明文形式发送凭证(不安全)
- PAP认证过程非常简单,二次握手机制,被认证方为发起方,可以做无限次的尝试(暴力破解)
- 只在链路建立的阶段进行PAP验证,一旦链路建立成功将不再进行验证检测。
- PPP扩展认证协议,EAP
- 多种认证方式
- EAP-MD5
- 基于散列值进行弱身份验证
- 单向验证
- 服务器端验证客户端
- EAP-TLS
- 使用数字证书进行身份验证
- 双向验证
- 服务器端和客户端都需要数字证书
- PEAP
- 使用了TLS
- EAP-TTLS
- 扩展了TLS功能
- 数字用户线路,DSL
- 对称DSL,SDSL
- 数据以相同的速率上行和下行,适用于双向高速传输的业务
- 高位率DSL,HDSL
- 需要两对双绞线,在常规通电话线上提供T1的速率
- 非对称DSL,ADSL
- 数据下行的速度比上行的速度更快,适用于双向高速传输的业务
- IDSL
- 与交换中心较远的用户使用,128Kbps的对称速度
- 对称DSL,SDSL
- 线缆调制解调器
- 提供最高为50Mbps的高速访问, 通过现有的同轴电缆或光纤访问
- VPN(部署在DMZ区)
- 协议
- 点到点隧道协议,PPTP
- 工作在会话层
- 点对点连接,单一隧道传输
- 只能通过IP网络传输
- 为客户/服务器连接而设计
- L2F
- 由cisco在L2TP之前创建
- 与PPTP合并形成L2TP
- 提供相互的身份验证
- 没有加密
- L2TP
- L2F和PPTP的混合
- 两台计算机之间点对点连接,多隧道
- 工作在网络层
- 能够在多种网络中传输,而不仅仅是IP网络
- 为了提高安全与IPSEC结合
- IPSec
- 工作在网络层
- 能够同时处理多个连接
- 提供安全的身份验证和加密
- 只支持IP网络
- AH-完整性、数据验证和避免重放攻击/ ESP-提供机密性、数据源验证、数据完整性 /SA/ISKAMP-提供安全连接创建和密钥交换的框架/ IKE-提供验证的密钥材料
- 两种模式
- 隧道模式
- 传输模式
- SSL/TLS VPN
- 配置简单,维护简单
- 工作在传输层
- 会话密码长度
- 40bits 和128bits
- 易于维护和实施
- 点到点隧道协议,PPTP
- VPN使用隧道协议确保数据在传输中的机密性与完整性。
- 第一个变化:虚拟路径
- 第二个变化:封装和加密
- 协议
6、典型网络攻击
嗅探器
- 混杂模式可以获取网卡处理的所有流量
- 防范措施是对数据流进行加密
会话劫持
- 会话劫持
- IP欺骗
- 中间人
- 双向鉴别
移动电话安全
- 电话具有摄像头和存储敏感信息
- 身份验证,可能存在伪基站
- 手机克隆
WLAN战争驾驶攻击
- 用来嗅探AP,并进行破解密码
间谍软件和广告软件
即时通信
拒绝服务攻击
- SYN Flood/ICMP Flood
- 攻击原理
- ping of death
- smuff
- fraggle
- teardrop
- ….
分布式拒绝服务DDOS
- 反射器、放大器攻击
- 流量牵引、清洗、回传
邪恶双胞胎
- 使用相同的SSID,可导致中间人攻击