文章介绍了网络安全的基本概念,包括保护属性、特征和主要威胁,如窃听、IP欺骗和拒绝服务攻击,以及相应的防御策略。讨论了身份认证、密码散列函数、报文认证和数字签名等技术。此外,提到了IP安全中的VPNs和IPsec协议,以及Web应用安全和无线局域网安全。最后,概述了网络安全入门学习路线,强调网络基础、编程语言和Web安全等方面的知识掌握。
网络安全
是指网络系统的硬件,软件以及系统中的数据收到的保护。
保护的基本属性为:机密性,身份认证,完整性和可用性;
基本特征:相对性,时效性,相关性,不确定性,复杂性和重要性。
在该方向主要研究如下领域:
入侵者如何攻击网络,
如何防护网络对抗攻击,
设计网络体系结构免疫攻击。
因为Internet最初设计几乎没考虑安全性,所以网络安全需要在网络的各个层次考虑。
网络安全威胁
主要有窃听,插入,假冒(伪造源IP),劫持接管连接和拒绝服务等攻击,具体方法如下:
映射(扫描):确定主机开放的端口及运行的服务,工具nmap;
对策:记录网络配置,分析识别可疑活动。
分组嗅探:借助广播介质,网卡在混杂模式下接口接受记录所有经过的分组帧,工具wireshark;
对策:组织中的主机运行软件,周期性监测网络接口是否工作在混杂模式,不使用广播介质。
IP欺骗:生成原始IP,将源IP设置为其他地址;
对策:入口过滤,路由器不转发源IP地址无效的IP分组(源IP不属于所连接的网络)。
拒绝服务:通过恶意泛洪分组等手段淹没接收方,耗尽带宽等资源:
对策:过滤泛洪分组,可能错杀,追溯源头,难以应对反射攻击。
身份认证
该部分要证明报文确实来自声称的发送方,还要验证报文在传输过程未被篡改,时间,顺序等也未被篡改,预防抵赖。
密码散列函数
该函数具有算法公开,计算快速的特点,多对一映射产生定长输出,不同报文产生相同的散列值,并且是单向不可逆推,抗强/弱碰撞性。
常用算法有:
md5,输出128位散列值,不足够安全;
sha1,输入消息长度<2的64次方,散列值为160位,速度更慢但是安全性更高。
报文认证
大致思路是将报文和报文摘要构成扩展报文。
报文认证码Mac,报文m+认证秘钥s+密码散列函数h->扩展报文(m,h(m+s)),
收到后将m+s的散列值做对比,这种方法还解决不了否认问题。
数字签名
有可验证性,不可伪造性和不可抵赖性。
IP安全
虚拟专用网络VPN
最初使用专用网PN来保证安全,使用专属网络设备等建设专门服务于特定组织机构的网络,这种实现安全网络的方法成本过高,便有了虚拟专用网络。
VPN是通过建立在公共网络上的安全通道,实现远程用户等与总部的安全连接,不实际独占公共网络的资源,是一条逻辑穿过公共网络安全稳定的隧道。
需要实现:数据机密性保护,数据完整性认证,数据源身份认证,防重放攻击和访问控制。
关键技术:隧道技术,数据加密,身份认证,秘钥管理,访问控制,其中隧道技术为核心技术。
隧道技术
隧道技术是通过Internet提供安全的点到点的数据传输安全通道,实质是一种利用隧道协议的封装。
该技术有三层,乘客协议,封装协议和承载协议;
常见在第二层的协议有pptp点对点隧道协议和l2tp协议,主要用于远程客户机访问局域网;
第三层协议有IPsec,用于网关到网关和网关到主机。
具体实现技术有:
IPsec最安全使用面最广,ssl具有高层协议的优势,l2tp最好的实现远程接入VPN的技术。
IPsec
提供机密性,完整性,源认证,防重放服务,IPsec数据报的发送与接受均由端系统完成。
提供IPsec服务的两个协议:
认证头ah:IP数据报头协议号51,提供源认证和数据完整性检验,不提供机密性;
封装安全头esp:IP数据报头协议号50,提供源认证,数据完整性和机密性服务,比ah应用更广泛。
web应用安全
主动攻击:篡改c/s间信息或站点信息,难防易检; 被动攻击:监听或信息量分析,难检易防。 基于应用层,用特定应用制定安全服务;
基于传输层:ssl或tls,对应用透明,应用层数据会被加密; 基于网络层:IPsec实现端到端的安全机制,通用解决方案,各种应用程序均可利用IPsec提供的安全机制。
无线局域网安全
wep有线等效保密,使用对称秘钥加密,自同步(每个分组单独加密);
加密实现过程如下:
计算出数据完整校验值icv,附于数据后四位测测,每端有104位共享秘钥,发送端生成24位初始向量附到秘钥上,发送端附加8位keyid,128位秘钥输入到伪随机数发生器产生秘钥流,利用rc4算法加密数据+icv。
解密过程: 提取iv iv与共享秘钥输入伪随机数发生器得到秘钥流 逐字节异或解密d与icv 利用icv校验完整性
破解
漏洞 每帧一个24位的iv导致最终会被重用 iv以明文传输,重用的iv易被检测 攻击 诱使加密已知明文,逆推k秘钥序列 下次重用时可解密 802:1i改进的安全 提供秘钥分发 利用独立于ap的认证服务器
总结
此部分属于安全的拓展内容了,所以本次只做大致了解,知道有这些协议个方法来应对各个层的安全威胁就行了
网络安全入门学习路线
其实入门网络安全要学的东西不算多,也就是网络基础+操作系统+中间件+数据库,四个流程下来就差不多了。
1.网络安全法和了解电脑基础
其中包括操作系统Windows基础和Linux基础,标记语言HTML基础和代码JS基础,以及网络基础、数据库基础和虚拟机使用等...
别被这些看上去很多的东西给吓到了,其实都是很简单的基础知识,同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过,这部分可以直接略过。没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。 
当然你也可以看下面这个视频教程仅展示部分截图: 
学到http和https抓包后能读懂它在说什么就行。
2.网络基础和编程语言
3.入手Web安全
web是对外开放的,自然成了的重点关照对象,有事没事就来入侵一波,你说不管能行吗! 
想学好Web安全,咱首先得先弄清web是怎么搭建的,知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点,然后再学点python,起码得看懂部分代码吧。
最后网站开发知识多少也要了解点,不过别紧张,只是学习基础知识。
等你用几周的时间学完这些,基本上算是具备了入门合格渗透工程师的资格,记得上述的重点要重点关注哦! 
再就是,要正式进入web安全领域,得学会web渗透,OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握,像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。
这个过程并不枯燥,一边打怪刷级一边成长岂不美哉,每个攻击手段都能让你玩得不亦乐乎,而且总有更猥琐的方法等着你去实践。
学完web渗透还不算完,还得掌握相关系统层面漏洞,像ms17-010永恒之蓝等各种微软ms漏洞,所以要学习后渗透。可能到这里大家已经不知所云了,不过不要紧,等你学会了web渗透再来看会发现很简单。
其实学会了这几步,你就正式从新手小白晋升为入门学员了,真的不算难,你上你也行。
4.安全体系
不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。
所以想要成为一名合格的网络工程师,想要拿到安全公司的offer,还得再掌握更多的网络安全知识,能力再更上一层楼才行。即便以后进入企业,也需要学习很多新知识,不充实自己的技能就会被淘汰。
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
尾言
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包,需要的小伙伴可以点击链接领取哦! 网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!https://mp.weixin.qq.com/s/BWb9OzaB-gVGVpkm161PMw
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
