文章目录
一、网络体系结构- 二、网络协议
- 三、互联网
- 四、漏洞分类
- 五、物理层概述
- 六、网络层协议
- 七、传输层协议
- 八、应用层概述
- 九、网络安全设备
-
以下采自《网络安全基础 - -网络攻防、协议与安全 》一书读书笔记!
一、网络体系结构
- 应用:允许用户连接网络并执行某项任务的程序。
- 无连接:传输数据不需要连接。
- 面向连接:传输数据之前,通信双方必须确认连接再通信。
- 封装:将层头部添加到数据包中形成新的数据包。
- 出错控制:用层提供的一个功能,用来侦查并纠正数据包的丢失或损坏。
- 流控制:由层提供的一个功能,用来接收端开始拥堵时降低发送端数据包的传输速率。
- 复用:某一层提供的服务访问点面向多个上一层,反之,仅由一个下一层提供的服务访问点为多个上一层发送或接收数据包。
- 数据包:在层之间传输的一组数据。
- 数据包头部:由层添加到数据包的那部分数据,它用来执行协议。
- 协议:一组规则,用于控制网络体系结构中两个对等层之间的交互,协议用于执行层的功能。
- 重组:由层提供的一个功能,用于合并数据包,即把对等层拆分的数据包重新组装成原来的数据包。
- 路由器:一种网络设备,负责把数据从一个网络传递到另一个网络,路由器可以解读从发送端到接收端的数据的路由。
- 拆分:由层提供的一个功能,把从上一层接收到的数据包分成较小的数据元素。
- 服务访问点:由层提供的一组服务,服务访问点(service access point,SAP)通常被定义为一系列的子程序调用。
- 层次网络模型:OSI(Open Systems Interconnection,层次网络模型)指定了每一层的标准,描述了每一层需要提供的高层功能,且所有的七层提供了完整的网络功能的七层模型。
- 帧:frame,用于描述OSI模型的数据链路层的数据包。
- 不分层服务:通常用于描述网络服务,这些服务不必通过其它层而是直接访问一个或一个以上协议层,常常用于网络管理。
- TCP/IP模型:一种描述了高层功能并为因特网实际使用的四层协议模型。
二、网络协议
- 以太网:描述今天计算机上普遍使用的局域网标准。
- 开源协议:一种协议规范,在采纳之前,要向公众开放并接受公众的评议和讨论。
- 专利协议:一种不向公众开放的协议规范。
- 协议规范:一种文本,用来描述实现某个协议所需要的服务、功能、数据包格式以及其他信息。
- 请求评议:RFC,一种由于互联网功能任务组(IETF)有关的个人或团体提议的协议标准。
- 标准:一种已经通过评议、认证,并公开出版由多个提供商用于相互操作的协议规范。
- 国际标准化组织:ISO,一个团体,它的成员来自世界各地的标准化委员会。
- ISP,ISP(Internet Service Provider,互联网服务提供商)
- 地址:用于识别网络中的计算机、网络设备、应用程序、协议层或其他任何实体的地址。
- 应用程序地址:用于识别和区分运行在一台计算机上不同的网络应用程序的地址。
- 域名服务:用于将互联网上的计算机名称转换为计算机地址的一种系统。
- 动态地址:可以改变的一种地址,它在系统启动时得到,由第三方分配。
- 硬件地址:用于识别与物理网络相连的硬件接口的地址。
- ISP:ISP(Internet Service Provider,互联网服务器提供商),一种营利性机构,它为商业或私人用户提供对互联网的访问。
- 端口号:一种地址,用于识别一个计算机系统中的互联网应用程序。这个端口号是互联网中指定应用程序的名称。
- 静态地址:一种不变的地址,除非人为改变它,这种地址是在计算机系统的初始化配置时设定的。
- 固定数据包头部:一种数据包的头部,它所在的域的位置与大小都是固定的。
- 可变头部:一种头部,其数据不是固定格式,因此必须解释头部。
- 数据包荷载:数据包的数据部分,这里的数据是指接收到的信息或发送到上层的信息。
三、互联网
- 地址欺骗:把数据包的源地址改变成不属于正在发送数据包的那台设备的值。
- 域名:一个机构的名字,它有一个或一个以上的网络,并有一台或一台以上的设备,域名在互联网上必须是唯一的。
- DNS:DNS(Domain Name Servcie,域名服务)一个分布式服务器的集合,负责把全域名转换成IP地址。
- 全域名:主机名与域名的结合,用于生成互联网中唯一的设备识别标志。
- 主机名:某个域内的主机的名字,主机名在域内必须是唯一的。
- IP地址:用于唯一识别互联网中每台设备的地址。
- 网络掩码:一个32位的值,用于指定IP地址的哪部分表示网络,那部分表示主机。
- 网络层ID:一种识别标志,存储在物理网络层的头部,指出那个上一层洗协议包含在载荷中。
- 子网:当一定范围的IP地址被划分成多个网络且要使用路由器时出现的情况。
- 客户:请求与一个等待的服务器连接的一种应用程序。
- 连接四元组:4元组用于在互联网上唯一识别每一个连接,它由源IP地址和目的IP地址、源端口号和目的端口号组成。
- 临时端口号:一般由操作系统给一个客户应用提供的端口号,用来等待一个客户的请求连接。
- 侦听端口号:有一个服务器程序占用的端口号,用来等待一个客户请求连接。
- 服务器程序:一个等待用户应用与它建立连接的应用程序,服务器程序一般是为客户提供服务的。
- 套接字:处于应用层与TCP层之间的一种连接,它允许一个服务程序制定IP地址和端口号并等待,且允许一个客户应用指定目标IP地址和端口号。
- 默认端口号:与侦听端口号一样,但这个端口号是服务器程序的默认端口号,且是所有想与服务器程序交互的客户应用都知道的,如端口号80是web流量的默认端口号。。
- 默认路由:当目标地址与路由表中的任何目标地址不匹配时所取得的路径。
- 动态路由:一个路由表由表条目根据使用特殊的协议得到的额外信息而改变。
- 路由表:一台设备将一个数据包法网的可能的目标地址列表,目标一般是一台设备或一个路由器。
- 路由:把数据包从一台设备发送到通过众多路由器互联的网络的另一台设备的动作。
- 静态路由:一个路由表或路由表中的条目只有在系统配置或重新配置时才改变。
四、漏洞分类
- 攻击代码:用于对系统漏洞攻击的一个程序或一个实施性试探。
- 攻击:使用攻击代码对某设备进行攻击。
- 试探:使用设备的漏洞实时攻击的方法,这个方法还没有被执行。
- 影响:当设备或目标因安全问题受到影响时,一种对将要发生的情况的严重程度的度量。
- 风险:一个关键的事物与几个指标的关系的程度。
- 风险评估:决定某个设备或目标风险级别的过程或程序。
- 威胁:一种对某种设备或目标可能被攻击的度量。
- 漏洞:协议、应用或网络的其他方面中的弱点,它可以用于对设备实施攻击。
- 零日试探:即攻击代码已用于攻击系统了,攻击代码开发者范围之外的人们才知道漏洞和试探点的存在。
- 验证:身份得证明。
- 基于验证的漏洞:在应用、主机或网络层之间验证时存在的漏洞。
- 广播包:一个单一的数据包,它可以发送到网络上的每一台主机。
- 基于头部的漏洞:由头部中的无效头部或无效值引起的漏洞。
- 主机到主机的验证:一个应用、主机或网络层提供的身份被另外一个应用、主机或网络层认可的验证。
- 主机到用户的验证:一个应用、主机或网络提供的身份被一个用户认可的验证。
- Ping:一个协议的名字,用于探测网络上的一个设备,看它是否回应。
- 死亡之拼(Ping):一种典型的基于头部的攻击,在Ping数据包头部使用了无效的数据。
- 基于协议的漏洞:使用有效地数据包,但让层之间的协议产生冲突导致的漏洞。
- SYN雪崩式攻击:导致三次握手发生冲突,并使对目标网络的访问瘫痪。
- 三次握手:客户端和服务器之间的三次数据包交换,用于确定一个连接。
- 基于流量的验证:一种基于网络通信量或捕获网络流量的漏洞。
- 用户到主机的验证:一个用户提供的身份被一个应用、主机或网络层认可的验证。
- 用户到用户的验证:一个用户体用的身份被另一个或多个用户认可的认证。
五、物理层概述
- 以太网:用于局域网最常用的协议,以太网定义物理介质和多个设备使用和共享物理介质的方法。
- 硬件地址欺骗:产生具有源硬件地址的数据包,但这个地址并不是发送设备的源地址,通常这个非法地址与网络上另一台设备的地址相同。
- 网络访问控制器:为物联网提供接口的网络设备的硬件部分。
- 网络嗅探:在网络上捕捉与目标地址无关的数据包。当某台设备为嗅探流量时,这时即处于所谓的混杂模式。
- 有线网络:一种网络,其设备互联是通过双绞线、同轴电缆及光纤等物理电缆实现的。
- 无线网络:一种网络,其设备互联是通过控制自由发送或接收的方式实现的。最常用的发送方式是无线电波,其他方法有微波或光波。
- 广播地址:一种地址,用于发送数据包到网络中所有的设备。
- 广播域:一组设备,可以收到同一域内的某台设备发来的广播地址。
- CSMA/CD:载波侦听多路访问/冲突检测,以太网使用的协议,用于管理对共享介质的访问,通常称为“先听后谈”的协议。因为设备在发送信息之前要先等待上网空闲,如果多台设备同时发送,则他们都要退出发送,等待介质再次空闲。
- 冲突域:一组设备,可以是产生以太网冲突的一部分。
- 以太网集线器:一种采用双绞线电缆互联的以太网设备。集线器可以组成大型的共享网络。
- 以太网交换机:一种网络设备,用于与以太网设备互联。交换机可以把每一个连接(即端口)当成一个独立的以太网冲突域。交换机只会将流量发送给目标设备所在的端口,这样就减少了到每一台设备的全部流量。
- 以太网捕捉器:一种设备,位于两个以太网设备之间,它将所有的流量复制到另外一个以太网段。捕捉器只能读到流量。
- 硬件地址域:通过网络互连的一组设备,在这里,为了识别每一台可能的设备,硬件地址必须是唯一的。
- 局域网:小范围的一组设备网络,通常部署在一个房间或几个房间内。局域网可以通过路由器互连。
- 多播地址:一种地址,用于发送数据包到一组设备。
- 混杂模式:硬件控制器被设置成可以读取网络上出现的所有数据包的一种状态,用于嗅探网络流量。
- 镜像端口:以太网交换机上的一种端口,可以对流量进行监控,交换机可以从一个标准端口将流量复制到镜像端口。
- 单播地址:一种用于识别单一设备的地址,且总是用作源地址。
- 广域网:一种由局域网互连的网络,这种网络一般跨越的很大的地理区域。
- 访问接入点:一种无线设备,用于将其他无线设备连接到有线网络,设备在访问接入点的控制下分享介质。
- 访问接入点验证:检验访问接入点是否合法。
- 访问接入点配置验证:对访问接入点的控制软件进行授权访问。
- 对等模式无线网络:一种无线网络,它的每一台设备都是对等的,并由他们自己组成网络。
- CMSA/CA:具有冲突避免的载波侦听多路访问,此协议用于无线以太网协议,并允许多种设备共同对介质访问。
- 非法访问接入点:一种由攻击者设置的访问接入点,它假装是安装在机构内的访问接入点。
- 隐蔽恶意访问接入点:一种不广播SSID的恶意访问接入点。
- 阻塞:无线设备之间的信号传输被中断。
- 恶意访问接入点:一种安装在机构网络内的访问接入点,但机构没有发觉。
- SSID:服务设施识别器,这是由访问网络接入点使用的名字,用于识别网络。访问接入点使用SSID判断无线设备希望接入哪一个网络。
- 探测或钓鱼:使用无限的计算机和软件去发现无线访问接入点,登录SSID、访问接入点使用SSID判断无线设备希望接入哪一个网络。
- WEP:有线对等秘钥,一种协议,用于提供访问接入点和无线设备之间的验证和加密,使用的是共享秘钥。
- 无线设备验证:未希望与访问接入点连接的无线设备提供验证,并授权使用指定的访问接入点。
- 无线路由器:一种与路由器相连的访问接入点,由访问接入点构成的无线网络与路由器连接的有线网络是分开的。
- WPA:Wi-Fi安全访问,一种协议,用于访问接入点和无线设备之间的验证和加密,验证基于共享信息,但秘钥是双方协商的。
- 动态VLAN:一种VLAN,它的划分依据是设备提供的信息,一般是根据设备的硬件地址。
- 网络访问控制:NAC,一种对网络进行控制并依据用户 验证、系统配置信息的系统,未授权的设备不能访问网络,或被隔离到一个独立的网络。
- 静态VLAN:一种VLAN,它的划分是根据网络的交换机端口,并通常是不改变的。
- VLAN:VLAN(Virtual local area netword,虚拟局域网)一种使用交换机将设备划分到一个独立的局域网中的网络,他们甚至可以共享交换机。
六、网络层协议
- 网际互联层:连接到统一全球网络中所有设备的网络层,互联网中的IP层就是一个例子。
- 网络访问层:用于将设备或网络连接到专用端到端网络的一个网络层。
- 专用端到端网络:由一个单独机构,如电话公司,控制并管理的网络。对网络的访问控制通过构成网络的物理设备完成。
- ARP缓存中毒:攻击者使用ARP欺骗将伪值放入受害者的ARP表中。
- ARP欺骗:攻击者在网络上侦测到一个ARP请求数据包,它伪装成被请求的IP地址的主机。
- CIDR,无类别域间路由,像网络掩码一样,但是使用一个数字表示地址中网络部分的位数。
- 默认网络:指目标IP地址在路由表中找不到,所有数据包都发往的网络。
- 直接网络:指设备所连接的网络,它负责把数据包传递到直接网络上的设备。
- IP环回测试地址:这是一个保留地址(一般是127.0.0.1),用于测试内部的IP协议栈,发送到这个地址的数据包由IP栈返回到应用,这个地址不是网络中的数据包的一个有效地址。
- IP欺骗:发送一个具有错误源IP地址的数据包。
- 网络掩码:用来表明IP地址哪部分是代表网络,哪部分代表主机。
- 相邻网络:相邻网络出现在路由表中,因此设备知道把数据包发往哪个路由器。
- Ping:ping是一个发送并接收ICMP回应数据包的程序,用来确定网络上一个设备是否在线。
- 路由表:互联网上的每个设备都有一个路由表,用来确定数据包的下一跳,直到数据包到达目标地址。
- 子网:当一个网络使用路由器划分成小的网络时,被划分的这个小网络称为大网络的子网。
- 路由跟踪:路由跟踪是一段程序,用来确定把数据包从源设备发送到目标设备的路由器的IP地址。
- DHCP租期:一个IP地址分配给一个客户端的一段时间,这段时间被称为租期,客户端必须在租期到期前请求求组这个地址。
- 动态DHCP池:一组IP地址,用于分配给任何发出请求数据包的设备。
- 欺骗性DHCP服务器:一个DHCP服务器,用于应答DHCP请求,但它提供的是无效应答。
- 静态DHCP池:一组IP地址,根据设备的硬件地址进行IP地址分配。
- 非军事区:处于安全边界以外的网络。
- IP地址黑名单:路由器要组织的IP地址列表。
- Ip过滤器:根据IP头和传输头部的一些内容,由路由器执行的数据包过滤过程。
- NAT隧道:允许进站的数据包路由到私有网络内部设备的方法。
- 私有网络:网络地址范围是三个保留的私有地址范围之一,私有网络和互联网的连接需要通过NAT。
- 可牺牲主机:部署在安全边界以外的主机。
七、传输层协议
- 被动网络过滤器:可以从网络上嗅探流量的一种设备,它将数据包插入网络中并根据用户设定的标准劫持一个连接或终止一个连接,它经常用于过滤Web请求。
- TCP突然连接终止:可能导致数据丢失的终止连接。
- TCP友好连接终止:通过数据包交换使得连接关闭,而没有任何数据丢失。
- TCP多路复用:TCP通过给每个应用分配一个端口号,允许多个应用共享一个IP协议栈。
- TCP端口号:在指定的设备上给使用TCP层的每个应用分配的唯一号码。
- TCP会话劫持:一个打开的连接被第三方接替,连接的一方被终止,第三方伪装成连接被终止的设备。
- TCP套接字:分配给应用的端口号和设备的IP地址组合,构成一个套接字。
- TCP三次握手:由一个请求、一个带有确认的回应和一个回应构成的一个三方数据包交换。
- DNS缓存中毒:向一个DNS服务器或一个解析器发送错误信息,使DNS服务器或解析器把这些信息放入缓存中,这将造成后续的请求得到虚假信息。
- DNS解析器:向DNS服务器发送查询请求的客户端进程。
- DNS服务器:处理请求并返回IP到名称或名称到IP映射的应用程序。
- 域名空间:互联网中用于唯一标识设备的一个层级命名惯例。
- 全称域名:FQDN,包括从根域名到最终设备的每个标签都具备的签名。
- 非全称域名:PQDN,经常在域的内部使用,只包含部分域名标签。典型情况下,PQDN由域内部的设备使用,用来标识域内的其它设备。
八、应用层概述
- 缓冲区溢出:攻击者给某个应用发送大量数据,程序再复制数据到内部缓冲区,导致写入缓冲区的数据太多。
- 流服务:通过TCP以字节串,而不是以数据包发送数据的应用。
- TCP套接字:指应用和TCP层之间的连接,一对套接字由两个应用使用来进行相互通信。
8.1 应用层安全之电子邮件
- 电子邮件中继:使用新的返回地址发送电子邮件,这个新的电子邮件地址要与机构的电子邮件服务器返回的地址相配,这就是说允许多个内部MTA(适配器端),但客户端看上去像是一个MTA。
- 电子邮件协议:是指产生电子邮件消息的过程,这里发送地址与实际发送地址不是同一个地址。
- MTA:(Message Transfer Agent,消息传输代理)处理电子邮件的接受和递交的应用,它的运作类似于邮局系统。
- SMTP:(Simple Mail Transfer Protocol,简单电子邮件传输协议),一种协议,用于传输MTA之间的消息,即把电子邮件从电子邮件客户端传输到一个MTA。
- UA:(User Agent,用户代理)用户客户端的一种应用,用于产生和阅读电子邮件信息。
- IMAP(Internet Message Access Protocol,网际消息访问协议)用户代理使用的一种协议,负责将电子邮件从某个MTA传输到用户计算机。IMAP也允许对MTA上邮件进行生成和维护。
- POP:(Post Office Protocol,邮局协议)用户代理使用的一种协议,负责将电子邮件从某个MTA传输到用户计算机。
- 电子邮件补丁:在一个电子邮件消息中向Web网站嵌入一个链接方法,以使发送者发现电子邮件是否打开。
- MIME传输编码:有MIME用于转换非ASCII数据为ASCII文本的编码方法。
- MIME:(Multipurpose Internet Mail Extensions,多用途网际电子邮件扩展):一种消息格式,用于支持电子邮件消息中的非文本内容。
- 电子邮件黑名单:过滤电子邮件的一种方法,过滤器包含恶意电子邮件服务器的列表,称为黑名单。
- 电子邮件内容过滤器:过滤电子邮件的一种方法,过滤器检查电子邮件内容,以决定某个电子邮件是否要被过滤、修改或隔离。
- 电子邮件过滤器:检查电子邮件消息的一个过程,确认电子邮件消息的实际发送者。
- 电子邮件取证:分析电子邮件头部的一个过程,确定电子邮件消息的实际发送者。
- 电子邮件灰名单:过滤电子邮件的一种方法,在这里所有的不认识的进入的电子邮件消息都要被拒绝,直到它们重试。设计的目的是阻止不使用MTA发送电子邮件的应用。
- 电子邮件钓鱼:电子邮件消息设计的目的是诱骗用户为攻击者提供信息。
- 电子邮件白名单:过滤电子邮件的一种方法,在这里过滤器维护没有问题的电子邮件服务器列表,接收的电子邮件只来自这些服务器,称为白名单。
- PGP电子邮件:给用户之间电子邮件加密和签名的一种方法。
8.2 应用层安全之Web安全
- HTTPS:(Secure Sockets Layer,SSL)的HTTP协议的一个加密版本。
- 超链接:嵌入一个网络文档内的URL。
- HTTP:(Hypertext Transfer Protocol,超文本传输协议)万维网用来向Web服务器传输数据的协议。
- URL:(Uniform Resource Locator,统一资源定位符)在万维网中的一个文档地址。
- HTML APPLET标签:HTML中的一条允许在文档中插入Java applet的指令。
- HTML img标签:HTML中的一条允许在文档中插入图像的指令。
- HTML URL标签:HTML中的一条允许在文档中插入URL的指令。
- HTML(Hypertext Markup Language,超文本标记语言)使用万维网中的文档的格式规范。
- Web bug/clear gif:被嵌进网页的小图像,用来指出网页被访问的时间。
- CGI:(Common Gateway Interface,CGI)通过URL传递输入参数到服务器端可执行程序的一种方法。
- 服务器端可执行程序:运行在Web服务器上并回应Web服务器用户动作的一种程序。
- 浏览器插件:附加在Web浏览器上的一个应用程序,它是为处理非HTML数据而设计的。
- Cookie:通过Web服务器存放在运行浏览器的计算机上的文件,这些文件可以被Web服务器用于帮助跟踪用户在网站上的活动。
- 帮助性应用程序:由浏览器调用来处理数据的应用程序,这些数据不能被浏览器或浏览器插件处理。
- Java applet:一种Java可执行程序,由Web服务器下载并由浏览器作为Java插件来运行。
8.3 应用层安全之远程访问
- 网络虚拟终端字符集:一种字符集,所有的应用实现都必须依据的数据编码,一般是7bit ASCII码。
- 敲门砖:攻击者进入一台设备,并由此进入另外一台设备,继续这一过程直到它到达目标,这是通过隐藏攻击者的真实位置或利用信任位置来实现的。
- 可信主机:一般是基于IP地址作为标识允许其访问的主机。
- 匿名FTP:接受用户名为“匿名”的并且无密码要求的FTP服务器。
- 用户配置的FTP服务器:用户安装的FTP服务器,一般使用不同的端口号并经常被用来共享有版权的资料。
- 中心索引服务器(超级节点):支持集中式P2P网络的服务器。
- 集中式P2P网络:一个P2P网络,每一个用户都与一个中心服务器相连,中心服务器保留用户共享文件的索引,用户向服务器发送请求并告知请求者哪一个用户拥有此文件。
- 分布式P2P网络:每一个用户连接到几个邻居从而创建用户相互连接的大网络。通过网络搜索从计算机传播到计算机,拥有文件的计算机的身份被传回请求者,请求者于是能直接从资料来源处得到文件。
- 对等(Peer-to-peer,P2P)网络:允许一群用户为了搜索文件和交换文件而彼此相互连接起来的应用程序。
- 超级节点:在Gnutella对等网络中支持大量客户端且可以加速搜索的计算机。
九、网络安全设备
- 基于应用的防火墙:一种安装了应用网关的防火墙,通常要求访问网关的用户进行验证。
- DMZ:介于两个防火墙之间的一个网络,在这里可以部署对外公共服务。
- 过滤路由器:使用规则引擎决定哪些数据包可以通过,哪些数据包应该丢弃。
- 防火墙规则引擎:一种进程,用于考察每一个数据包,并将数据包内容与规则集进行比较,以便决定数据包是应该通过还是丢弃。
- 基于NAT的防火墙:一种NAT(网络地址转换),使用规则引擎决定哪些数据包可以通过,,哪些数据包应该丢弃。
- 状态规则集:一组防火墙规则集,根据前一个数据包决定下一个数据包。
- 无状态规则集:一组防火墙规则集,对每一个数据包的决定于其他任何数据包无关。
- 透明防火墙:在网络上对其它设备是透明的,它的运行是嗅探网络流量并传递可接收流量到其他接口。
- 漏判:标注流量为正常流量,但实际上包含攻击代码。
- 误判:标注流量为攻击流量,但它不是。
- 入侵检测:用于检测基于网络攻击的设备。
- 入侵防护:用于检测和阻塞基于网络攻击的设备。
- 数据丢失防护:检测离开机构的秘密和私人数据,DLP设备也可以阻塞有冲突的流量。
- 数字签名:一种加密数据的哈希值,可用于识别数据是否被修改和谁发送的数据。
- 私钥:密钥对的一方,由密钥的所有者保持秘密。
- 公钥:公-私钥对的另一方,可以被另一方知道。
很多时候,当我们把自己变得更加优秀时,那些困扰你的问题自然就解决了。所以,不要把情绪集中在那些无用又暂时无法解决的事情上。把心思集中在如何走的更远,把眼光放得长远一些,你强大了,一切的一切自然会改变!
- - 长情寄上