写在最后
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。
需要完整版PDF学习资源私我
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
- 各种网络应用和服务的安全
================================================================================
-
伪装或假冒
-
否认或抵赖
-
破坏完整性
-
破坏机密性
-
信息量分析
-
重放
-
重定向
-
拒绝服务
-
恶意软件
-
社会工程(Social Engineering)
======================================================================================
-
互联网没有中心管理机构,任何一台主机或各种局域网遵从 TCP/IP 协议和 IP地址分配规则,就能连入互联网。
-
TCP/IP 最初在可信任环境中开发,基本未考虑安全性。
-
因为先天不足和向后兼容原因,后来的改进仍未彻底解决安全问题。
ARP 协议的安全隐患:
- ARP 缓存可能被毒害 —— ARP 欺骗
以太网协议 CSMA/CD 的安全隐患:
- 共享方式传送数据 —— 网卡混杂模式嗅探
IP 协议的安全隐患:
-
不能为数据提供完整性、机密性
-
路由和分片机制 —— 数据包内容易被篡改
-
对 源IP地址 不进行认证 —— IP欺骗攻击
-
可以设置 “源路由” 选项 —— 源路由欺骗攻击
-
“IP分片包” 的威胁 —— 分片扫描和拒绝服务攻击
ICMP 协议的安全隐患:
-
ICMP echo 广播响应包 —— 拒绝服务攻击
-
利用隧道技术封装成 ICMP 包来建立隐藏通道/穿越防火墙
TCP 协议的安全隐患:
-
三次握手中 源IP地址 可以虚假 —— 拒绝服务攻击
-
TCP 中的序列号并不真正随机 —— IP欺骗攻击
-
可以定制所发送 TCP 包的标志位 —— 隐蔽扫描
UDP 协议的安全隐患:
- 无连接、不可靠的协议 —— 拒绝服务攻击
DNS 协议的安全隐患:
- DNS缓存可能被毒害 —— DNS欺骗、区域传输
路由协议的安全隐患:
- 路由信息可以被篡改 —— 修改网络数据传输路径
Web 协议的安全隐患
其他协议的安全隐患
=================================================================================
- 认证
用于认证实体身份:对等实体认证和数据源认证。
- 访问控制
防止系统资源被非法使用的措施。
- 数据机密性
防止信息泄露的措施:连接机密性、无连接机密性、选择字段机密性、通信业务流机密性。
- 数据完整性
防止非法篡改和破坏信息:带恢复的连接完整性、无恢复的连接完整性、选择字段的连接完整性、无连接完整性、选择字段无连接完整性。
- 抗否认
针对对方否认的防范措施,用来证实发生过的操作:对发送方的抗否认和对接收方的抗否认。(5)认证交换机制:用来实现对等实体的认证,如进行口令交换的一次性口令机制;
- 加密机制
借助各种加密算法对数据进行加密,是各种安全服务的基础;
- 数字签名
发送方用自己私钥签名,接收方用发送方公钥验证签名——数字签名鉴别发送方;
- 访问控制机制
根据访问者的身份和有关信息,决定实体的访问权限;
- 数据完整性机制
判断信息在传输过程中是否被篡改过;
- 认证交换机制
用来实现对等实体的认证,如进行口令交换的一次性口令机制;
- 通信业务填充机制
通过填充冗余的业务流量来防止攻击者进行“流量分析” ;对通信方式的研究,分析对象不是报文内容本身,而是它们的特点 —— 通信形式和通信内容同等重要。
- 路由选择控制机制
防止不利的信息通过,如使用网络层防火墙;
- 公证机制
由第三方使用数字签名为通信方签发数字证书来实现。
===================================================================================
阻止未经授权的用户非法获取保密信息:
-
存储的机密性:数据在系统中存储的过程中不被攻击者获得其内容;
-
传输的机密性:数据在网络中传输的过程中不被第三方获得其内容。
主要方法:物理保密、防窃听、防辐射、信息加密、通信业务填充机制等。
在未经许可的情况下,保证数据不会被他人删除或修改(至少能发现被修改过)。
分为 存储的完整性 和 传输的完整性:数据在存储和传输过程中不被偶然或故意地插入、删除、修改、伪造、乱序和重放。
主要方法:数据校验和、数字指纹、消息校验码、防重放机制等。
用户要向系统证明他就是他所声称的那个人,目的是为了防止非法用户访问系统和网络资源。
它是确保合法用户使用系统的第一道关卡。
主要方法:口令、数字证书、基于生物特征以及通过可信第三方进行认证等。
限制主体对访问客体的访问权限,从而使计算机系统在合法范围内使用。
建立在身份认证基础上,通过限制对关键资源的访问,防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏。
主要方法:
-
宏观上:自主访问控制和强制访问控制等;
-
具体实现上:访问控制矩阵和访问控制表等。
发送方/接收方不能否认它曾经在某时发送/接收过的数据。即通信方必须对自己行为负责,而不能也无法事后否认,其他人也无法假冒通信方成功。
-
发送方的不可否认
-
接收方的不可否认
-
时间上不可否认
主要方法:数字签名、数字签名收条和时间戳等。
我们要求计算机或网络能够在我们期望它以我们所期望的方式运行的时候运行。
-
物理上的可用性
-
防止拒绝服务来实现可用性。
主要方法:
3. 保证设备的正常使用不受断电、地震、火灾、水灾等影响;
4. 对网络阻塞、网络蠕虫、黑客攻击等导致系统崩溃或带宽过度损耗的情况采取措施。
======================================================================================
负责提供通过通信链路连接的主机或路由器之间的安全保证。
优点:效率高和容易实施,也被经常使用。
缺点:不通用,扩展性不强,在 Internet 环境中并不完全适用。
主要解决网络层通信的安全问题,IPSec 是目前最主要的网络层安全协议。
优点:对上层应用透明性好,即安全服务的提供不需要应用程序做任何改动,并与物理网络无关。
缺点:很难实现不可否认性,不能对来自同一主机但不同进程的数据包分别施加安全保证,可能造成系统性能下降。
主要实现传输层的安全通信,只可实现端到端(进程到进程)的加密。
优点:提供基于进程到进程的安全服务,并可利用公钥加密机制实现通信的端实体间的相互认证。
缺点:修改应用程序才能增加相应的安全性,无法根本上解决身份认证和不可否认问题。基于UDP的通信很难在传输层实现安全性。
应用层的安全措施必须在端系统及主机上实施。
优点:可以给不同应用提供针对性更强的安全功能,能最灵活地处理单个文件安全性:身份认证、访问控制、不可否认、机密性、完整性。
缺点:需要对操作系统内核做较大调整,而且针对每个应用要单独设计,没有统一的解决方案。
-
单独一个层次无法提供全部的网络安全服务,从而形成由各层安全协议构成的TCP/IP的安全架构。
-
安全协议实现的层次越低越具有通用性,能够提供整个数据包安全,且该协议运行性能就越好,对用户的影响就越小。
-
高层的安全协议能针对用户和应用提供不同级别更灵活的安全功能。
================================================================================
动态的自适应网络安全模型:可量化、可由数学证明、且基于时间特性。
在整体安全策略的指导下,综合运用防护工具的同时,利用检测工具评估系统的安全状态,将系统调整为“最安全”和“风险最低” 。
- Policy(安全策略)
PPDR安全模型的核心,描述系统哪些资源需要保护,如何实现保护。
- Protection(防护)
加密机制、数字签名机制、访问控制机制、认证机制、信息隐藏、防火墙技术等。
- Detection(检测)
入侵检测、系统脆弱性机制、数据完整性机制、攻击性检测等。
- Response(响应)
应急策略、应急机制、应急手段、入侵过程分析、安全状态评估等。
没有一项防护技术完美,检测和响应是最基本的,因此防护不是必须的,检测和响应是必须的。
防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略指导下保证信息系统的安全。
- 攻击时间 Pt
黑客从开始入侵到侵入系统的时间(对系统是保护时间)。高水平入侵和安全薄弱系统使 Pt 缩短。
- 检测时间 Dt
黑客发动入侵到系统能够检测到入侵行为所花费的时间。适当的防护措施可以缩短 Dt。
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
😝朋友们如果有需要的话,可以联系领取~
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
2️⃣视频配套工具&国内外网安书籍、文档
① 工具
② 视频
③ 书籍
资源较为敏感,未展示全面,需要的最下面获取
② 简历模板
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!