CISSP复习笔记-第6章 通信与网络安全
6.2 开放系统互联(Open System Interconnect,OSI)参考模型
6.2.9 OSI模型中的功能和协议
1. 应用层
- 文件传输协议(File Transfer Protocol,FTP)
- 普通文件传输协议(Trivial File Transfer Protocol,TFTP)
- 简单网络管理协议(Simple Network Management Protocol,SNMP)
- 简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)
- Telnet
- 超文本传输协议(Hypertext Transfer Protocol,HTTP)
- 行式打印机后台程序(Line Printer Daemon,LPD)
2. 表示层
- 表示层上的服务处理标准格式的转换、数据压缩和解压以及数据的加密和解密,这个层上没有协议工作,只有服务
- 美国信息交换标准编码(American Standard Code for Information Interchange,ASCII)
- 标签图像文件格式(Tagged Image File Format,TIFF)
- 图形交换格式(Graphic Interchange Format,GIF)
- 联合图像专家组(Joint Photographic Experts Group,JPEG)
- 拓展二进制编码十进制交换编码(Extended Binary-Code Decimal Interchange Code,EBCDIC)
3. 会话层
- 会话层上的协议建立应用程序之间的连接,维持会话控制,并协商、建立、维持、撤销通信通道
- 网络文件系统(Network File System,NFS)
- NetBIOS
- 结构化查询语言(Structured Query Language,SQL)
- 远程过程调用(Remote Procedure Call,RPC)
4. 传输层
- 传输层上的协议处理端对端传输和数据流分解
- 传输控制协议(Transmission Control Protocol,TCP)
- 用户数据报协议(User Datagram Protocol,UDP)
- 安全套接字层(Secure Sockets Layer,SSL)
- 传输层安全(Transport Layer Security,TLS)
- TLS记录协议(TLS Record Protocol)
- TLS握手协议(TLS Handshake Protocol)
- 序列包交换(Sequenced Packet Exchange,SPX)
- 单位:segment,报文段、分片
5. 网络层
- 网络层协议的职责包括网际互联服务、寻址、路由
- Internet协议(Internet Protocol,IP)
- Internet控制消息协议(Internet Control Message Protocol,ICMP)
- Internet组管理协议(Internet Group Management Protocol,IGMP)
- 路由信息协议(Routing Information Protocol,RIP)
- 开放最短路径优先(Open Shortest Path First,OSPF)
- 网际数据包交换(Internet Packet Exchange,IPX)
- 单位:datagram,数据报;或packet,包、分组
6. 数据链路层
- 数据链路层上的协议将数据转换成LAN或WAN帧进行传输,并且定义计算机访问网络的方式
- 逻辑链路控制(Logical Link Control):IEEE 802.2,只负责控制数据流和检查错误
- 介质访问控制(Media Access Control):IEEE 802.3,根据不同网络类型把数据翻译成不同电压
- 地址解析协议(Address Resolution Protocol,ARP)
- 逆向地址解析协议(Reverse Address Resolution Protocol,RARP)
- 点对点协议(Point-to-Point Protocol,PPP)
- 串行线路Internet协议(Serial Line Internet Protocol,SLIP)
- 以太网
- 令牌环
- 光纤分布式数据接口(Fiber Distributed Data Interface,FDDI)
- 异步传输模式(Asynchronous Transfer Mode,ATM)
- 单位:frame,帧
7. 物理层
- 网络接口卡和驱动程序将位转换为电信号,并控制数据传输的物理方面,包括光学、电学和机械要求
- EIA-422,EIA-423,RS-449,RS-485
- 10BASE-T、10BASE2、10BASE5、100BASE-TX、100BASE-FX、100BASE-T、1000BASE-T、1000BASE-SX
- 集成服务数字网络(Integrated Services Digital Network,ISDN)
- 数字用户线路(Digital Subscriber Line,DSL)
- 同步光纤网络(Synchronous Optical Networking,SONET)
- 单位:bit,位
6.3 TCP/IP模型
6.3.1 TCP
- 同步洪流(SYN flood):攻击者向目标系统大量发送带欺骗地址的SYN数据包,最终导致目标系统所有TCP连接资源耗尽,可通过SYN代理防范
- TCP会话劫持(TCP session hijacking):攻击者正确预测两个系统将要使用的TCP序列号,伪装为发送者发送数据报,欺骗接收系统,接管TCP连接
6.3.2 IP寻址
- IPv4首部协议字段
- ICMP:1
- IGMP:2
- TCP:6
- UDP:17
- GRE:47
- AH:51
- L2TP:115
- A类地址:0.0.0.0-127.255.255.255,最高1位为0
- B类地址:128.0.0.0-191.255.255.255,最高2位为10
- C类地址:192.0.0.0-223.255.255.255,最高3位为110
- D类地址:224.0.0.0-239.255.255.255,最高4位为1110,用于多播
- E类地址:240.0.0.0-255.255.255.255,最高5位为11110,用于研究
- 无类别域间路由(Classless Inter Domain Routing,CIDR)
6.3.3 IPv6
- 128位地址
- IPv6转IPv:6to4;IPv4转IPv6:Teredo
- 集成IPSec安全协议
6.3.4 第2层安全标准
- IEEE 802.1AE:MACSec安全标准,
- IEEE 802.1AR:指定了唯一的设备标识符(DevID),把设备的管理和加密绑定到这个标识符上
6.5 布线
6.5.2 双绞线
- 屏蔽双绞线(Shielded Twisted Pair,STP)
- 非屏蔽双绞线(Unshielded Twisted Pair,UTP)
6.5.4 布线问题
- 常用物理接口连接标准
- RJ-11:电话线
- RJ-45:网线
- 英国海军连接器(Bayonet Neill-Concelman,BNC):电视线
- 串扰:一个线路上的电信号溢出到另一根线路上
- 线缆的阻燃率
- 非增压线缆(nonplenum cabel)通常具有聚氯乙烯(Polyvinyl Chloride,PVC)套层
- 阻燃线缆有含氟聚合物套层
6.6 网络互联基础
6.6.1 网络拓扑
6.6.2 介质访问技术
- 两个LAN使用不同的数据链路层技术(如帧中继或ATM)连接,那么它们被视为一个WAN
1. 以太网
4. 介质共享
- 令牌传递:用于令牌环、FDDI
- 载波侦听多路访问(Carrier Sense Multiple Access,CSMA)
- 冲突检测(Collision Detect,CD):CSMA/CD,发送数据前先监听信道是否空闲 ,若空闲则立即发送数据;在发送数据时,边发送边继续监听;若监听到冲突,则立即停止发送数据;等待一段随机时间,再重新尝试,计算随机时间的算法为后退算法(back-off algorithm);用于以太网
- 冲突避免(COllision Avoidance,CA):CSMA/CA,一个工作站希望在无线网络中传送数据,如果没有探测到网络中正在传送数据,则附加等待一段时间,再随机选择一个时间片继续探测,如果无线网路中仍旧没有活动的话,就将数据发送出去;接收端的工作站如果收到发送端送出的完整的数据则回发一个ACK,如果这个ACK被发送端收到,则这个数据发送过程完成,如果发送端没有收到ACK,则或者发送的数据没有被完整地收到,或者ACK的发送失败,不管是哪种现象发生,数据都在发送端等待一段时间后被重传;用于无线网
- 轮询:用于大型机系统环境
- 冲突域:竞争相同的共享通信介质的一组计算机
- 广播域:接收同样广播消息的节点的集合
5. 传输方法
- 一对一:unicast,单播
- 一对所有:broadcast,广播
- 一对多:multicast,组播,IGMP协议用于向路由器报告多播组成员关系
6.6.3 网络协议和服务
1. 地址解析协议
- ARP表中毒(ARP table poisoning),一种伪装(masquerading)攻击,攻击者修改一对通信主机的ARP缓存
2. 动态主机配置协议
- 攻击者可以在网络上创建未授权的DHCP服务器,并且开始响应正在寻找DHCP服务器的客户端
- 网络屏蔽未进行身份验证的DHCP客户端的一种有效方法是在网络交换机上使用DHCP窥探(DHCP snooping),确保DHCP服务器只为特定MAC分配IP
- RARP协议:无盘工作站通过广播自己MAC地址获取IP
3. Internet控制消息协议
- ping tunnel
- traceroute
- 死亡之ping:如果系统无法处理超过65536字节大小的ICMP数据包,那么攻击者通过向目标系统发送多个超大ICMP包可导致其变得不稳定,从而死机或崩溃;属于DDoS攻击
- Smurf攻击:攻击者发送一个带欺骗源地址的ICMP回包请求到受害计算机网络的广播地址,导致所有系统用ICMP回包响应数据报来回应受害计算机,导致其死机、崩溃或者重启;属于DDoS攻击
- Fraggle攻击:与Smurf攻击类似,使用UDP协议
4. 简单网络管理协议
- 管理器:服务器部分,轮询不同设备的代理来检查状态信息
- 代理:运行在网络设备上,要跟踪记录的对象名单存在于管理信息库(Management Information Base,MIB)中,包含的数据用于特定管理任务和状态检查
- 陷阱操作:代理不等待轮询而主动向管理器发送消息的唯一方式
- 社区字符串(community String):管理器用来从代理请求数据的密码
- 分只读和读写两种级别,默认的只读密码为public,默认的读写密码为security
- v1、v2中社区字符串用明文发送
- v3提供加密、消息完整性、身份验证
6.6.4 域名服务
- DNS威胁:攻击者监听网络流量,一旦发现有解析A域名的请求,马上用不正确的指定IP进行应答
- HOSTS文件操纵
- URL隐藏(URL hiding):利用超链接隐藏容易被怀疑的域名
- 域抢占(domain grabbing)和恶意抢注(cyber squatting)
6.6.5 电子邮件服务
- SMTP:用于客户端发送、邮件服务器之间转发、邮箱名(如xxx@yyy.com)的寻址
- 邮局协议(Post Office Protocol,POP):Internet邮件服务器协议,用户访问邮件服务器时会将邮件下载到本地并从邮件服务器删除
- POP3:110端口
- 互联网邮件访问协议(Internet Mail Access Protocol,IMAP):允许用户在下载邮件的同时将邮件保留在邮件服务器
- 电子邮件伪装:通过修改电子邮件头部字段完成,如From、Return-Path、Reply-To
6.6.6 网络地址转换
- 静态映射
- 动态映射
- 端口映射(Port Address Translation,PAT)
6.6.7 路由协议
- Internet上的单独网络成为自治系统(Autonomous System,AS)
- 内部使用公共的内部网关协议(Interior Gateway Protocol,IGP)
- 不同AS上的路由共享路由信息使用边界网关协议(Border Gateway Protocol,BGP)
- 自治系统之间使用外部网关协议(Exterior Gateway Protocol),已被BGP替代
- RIP:属于距离向量路由协议(distance-vector routing protocol),只利用两个目的地之间的跳数,只应用于小型网络
- OSPF:属于链路状态路由协议(link-state routing protocol),不仅利用跳数而且利用每一跳的状态,大型网络中的首选路由协议
- 其他路由协议:内部网关路由协议(Interior Gateway Routing Protocol,IGRP)、加强型内部网关路由协议(Enhanced Interior Gateway Routing Protocol,EIGRP)、虚拟路由冗余协议(Virtual Router Redundancy Protocl,VRRP)、中间系统到中间系统(Intermediate System to Intermediate System,IS-IS)
- 黑洞攻击:攻击者伪装成一台路由器,向受攻击的路由器提交路由表信息,导致受攻击的路由器将流量导向攻击者期望的子网或不存在的地址(黑洞)
- 虫洞攻击:攻击者在网络中的某个位置捕获数据报,并将其通过隧道(虫洞)发送到另一个位置
6.7 网络互联设备
6.7.1 中继器(repeater)
- 物理层,只是中继和放大线缆段之间的信号
- 集线器(hub):多端口中继器,一个端口收到的信号会被广播到所有端口
6.7.2 网桥(bridge)
- 数据链路层,连接不同LAN网段的LAN设备
- 数据帧到达网桥时,网桥判断MAC是否在本地网段,若否则转发到所需的另一个网段
- 本地网桥(local bridge):在一个局部区域(通常是一座建筑物)内连接多个LAN网段
- 远程网桥(remote bridge):通过使用电信链路连接一个MAN上的多个LAN网段
- 翻译网桥(translation bridge):连接不同类型、不同标准和协议的LAN网段
- 转发表:记录每个MAC来自哪个端口
- 透明桥接(transparent bridging):自动记录转发表,遇到未知的目的MAC则向除源端口之外的所有端口发送一个查询帧,目的主机是回复该查询的唯一主机
- 源路由桥接(source routing bridging):数据包包含必要的信息已告诉网桥该往哪里走
- 采用生成树算法(Spanning Tree Algorithm,STA)可以为网桥增加更多的智能
6.7.3 路由器(router)
- 网络层
- 使用ICMP发送目标地址不可达错误
- 递减TTL值
- 查看MTU以决定是否对数据包进行分段
6.7.4 交换机(switch)
- 数据链路层,组合了中继器和网桥的功能,不存在竞争和冲突
- 第3层、第4层交换机:每个目标网络或子网都会被分配标记,保存在每个交换机的标记信息库(Tag Information Base),数据包到达交换机时会被分配标记,交换机之间通过标记确定路由,在到达最后一跳交换时标记被移除,这种标记使用方法称为多协议标签交换(Multiprotocol Label Switching,MPLS)
- VLAN:使管理员可按用户和公司的需要而不是物理位置进行分组
- VLAN跳跃攻击(VLAN hopping attacks):攻击者让系统起到交换机的作用,从而访问各种VLAN分段中的流量
6.7.5 网关(gateway)
- 应用层,一个通用的术语,用于连接两个不同环境的设备上运行的软件
6.7.6 专用交换分机(Private Branch Exchange,PBX)
- 处理公司内部的分机号,确定是否需要转发到市话
6.7.7 防火墙(firewall)
1. 包过滤防火墙
- 第一代防火墙
- 基于五元组、协议类型、进出的流量方向
- 无状态检查(stateless inspection)
- 无法检测伪造地址
2. 有状态防火墙
- 跟踪并记录连接的状态,直至连接关闭
- 可以防范XMAS攻击:攻击者将TCP标志位的所有值置为1,目标系统因不知如何处理而崩溃
- 可以防范分片攻击
- 攻击者使用伪造信息造成状态表泛滥,导致系统死机或重启
3. 代理防火墙
- 第二代防火墙
- 在可信任网络和不可信网络之间,总是代表主机来源建立连接
- 电路级代理(circuit-level proxy):工作在会话层,独立于应用程序,类似于包过滤,只检查首部数据;例如SOCKS
- 应用级代理(application-level proxy):工作在应用层,为每个协议配备一个代理,理解整个数据包
7. 防火墙架构
- 双宿(dual-homed)或多宿(multi-homed)防火墙:有多个接口,分别面向外部网络或内部网络;为了安全底层操作系统应当关闭包转发和路由功能
9. 防火墙须知
- 伪装(masquerading)或欺骗(spoofing):攻击者修改包的首部,使其源地址为想要攻击的那台内部主机的源地址
- 任何进入网络且源地址为内部主机的数据包都应该被拒绝
- 任何离开网络且源地址为外部主机的数据包都应该被拒绝,这种流量一般是僵尸机被控进行DDoS攻击的流量
- 片段攻击
- IP片段:利用IP片内的片段和重组缺陷,导致系统不稳定或死机
- 泪滴攻击:攻击者创建畸形片段,一旦被重组,导致系统不稳定或死机
- 重复片段攻击:用来通过不重组数据包片段的防火墙,恶意片段重写以前批准的片段,对受害者系统进行攻击
- 应拒绝含有源路由信息的数据包,以确保内部路由策略生效
6.7.8 代理服务器
- 转发代理:在内部网络上控制离开网络的流量
- 反向代理:处理进入内部的流量,可以实现负载均衡、加密、加速、安全、缓存
6.10 广域网
6.10.2 专用链路
- 专用链路(dedicated link)也称为租用线路(leased line)或点到点(point-to-point)链路,这是为了在两个目标间进行WAN通信而预先建立的单条链路
- T载波:采用时分多路复用(Time-Division Multiplexing,TDM)
- T1:1.544Mbps
- T3:44.736Mbps
- E载波:与T载波类似,用于欧洲国家
- 光载波:采用波分多路复用(Wave-Division Multiplexing,WDM)
- 多路复用:在一条链路上传输多种类型的数据
- 统计时分多路复用(Statistical Time-Division Multiplexing,STDM)
- 频分多路复用(Frequency-Division Multiplexing,FDM)
6.10.3 WAN技术
1. 通道服务单元/数据服务单元(Channel Service Unit/Data Service Unit)
- DSU将来自LAN的数字信号转换为能在电话公司的数字线路上传输的信号
- CSU将网络直接连接到电话公司的线路
2. 交换
- 电路交换(circuit switching)
- 面向连接的虚拟链路
- 流量按可测的、恒定的方式流动
- 固定的延迟
- 通常运载面向语音的数据
- 例:ISDN和电话呼叫
- 数据包交换(packet switching)
- 数据包可沿许多不同的路径到达同一个目的地
- 支持爆发式的数据流量
- 可变的延迟
- 通常运载面向数据的数据
- 例:X.25和帧中继
3. 帧中继(frame relay)
- 面向连接的交换技术
- 数据终端设备(Data Terminal Equipment,DTE):客户自己的设备,如公司自己的网络和帧中继网络之间联通性的路由器和交换机
- 数据电路终端设备(Data Circuit-terminating Equipment,DCE):电信公司的设备,在帧中继云团中完成实际的数据交换和传输
4. 虚电路
- 帧中继和X.25通过虚电路转发数据帧
- 永久虚电路(Permanent Virtual Circuit,PVC):像与客户事先约定可用带宽的专用线路那样工作
- 交换式虚电路(Switched Virtual Circuit,SVC):需要与拨号和连接相似的步骤
6. ATM
- 面向连接的交换技术,在源和目标间建立专用链路一样的虚电路
- 信元交换技术,交换的数据为大小固定53字节的信元而非大小可变的数据包
11. 点对点协议
- 多协议数据包的封装
- 用链路控制协议(Link Control Protocol,LCP)建立、配置和维护这个连接
- 用网络控制协议(Network Control Protocol,NCP)配置网络层协议
- 通过PAP、CHAP、EAP向用户提供身份验证功能
6.11 远程连接
6.11.1 拨号连接
- 使用调制解调器将数字信号转换成模拟信号,通过电话线上网
- 56Kbps带宽
- 战争拨号(war dialing):攻击者向拨号工具输入大量电话号码,通过拨号标记出电话、传真和调制解调器,并试图与调制解调器建立连接
6.11.2 综合业务数字网(Integrated Services Digital Network,ISDN)
- 使用与拨号连接相同的线路和传输介质,但以数字的形式工作,适用于拨号连接可用的任何场合
- 基本速率接口(Basic Rate Interface,BRI):144Kbps带宽,常用于住宅区
- 2个B通道用于传输数据
- 1个D通道用于呼叫建立、网络管理、错误控制等
- 主速率接口(Primary Rate Interface,PRI):1.544Mbps带宽,常用于企业
- 23个B通道
- 1个D通道
6.11.3 数字用户线路(Digital Subscriber Line,DSL)
- 使用现有的电话线路,但终端用护和电信公司都需要针对DSL进行升级
- 对称DSL(Symmetrical DSL,SDSL):数据以相同的速率上行和下行,带宽在192Kbps-1.1Mbps
- 非对称DSL(Asymmetrical DSL,ADSL):数据下行的速度比上行的速度更快,上行带宽在128Kbps~384Kbps之间,下行带宽最高768Kbps
6.11.5 虚拟专用网(Virtual Private Network,VPN)
- 公共网络或其他不安全环境中的安全专用链接,采用加密和隧道协议
- 点对点隧道协议(Point-to-Point Tunneling Protocol,PPTP)
- 事实上的VPN软件
- 使用通用路由封装(Generic Routing Encapsulation,GRE)和TCP来封装PPP数据包
- 第二层隧道协议(Layer 2 Tunneling Protocol,L2TP)
- 用各种网络类型(IP、ATM、X.25)来传输PPP流量
- IPSec VPN
- 工作在网络层
- 身份验证首部(Authentication Header,AH):提供数据完整性、数据源验证和免受重放攻击的保护
- 封装安全有效载荷(Encapsulating Security Payload,ESP):提供保密性、数据源验证和数据完整性
- Internet安全连接和密钥管理协议(Internet Security Association and Key Management Protocol,ISAKMP):提供安全连接创建和密钥交换的框架
- Internet密钥交换(Internet Key Exchange,IKE):提供验证的密钥材料以和ISAKMP一起使用
- SSL VPN
- 工作在传输层和会话层
- 主要用于保护HTTP流量
6.12 无线技术
6.12.1 无线通信
- 扩频(Spread Spectrum,SS):以某种方式超出分配的频率给单独信号分配频率
- 跳频扩频(Frequency Hopping SS,FHSS)
- 发送方和接收方在每个通道上工作一段时间,然后转移到另一个通道
- 在任何时候都只是用一部分有效带宽,提供1-2Mbps吞吐量
- 直接序列扩频(Direct Sequence SS,DSSS)
- 发送端直接用具有高码率的扩频码序列对信息比特流进行调制,接收端用与发送端相同的扩频码序列进行解调
- 连续应用所有有效带宽,提供11Mbps吞吐量
- 正交频分多路复用(Orthogonal Frequency-Division Multiplexing,OFDM):不是一个扩频技术,但用法和扩频技术详细,应用于宽带数字通信类型中,如数字电视、DSL宽带Internet访问、音频广播、无线网络、4G移动通信
6.12.2 WLAN组件
- 访问点(Access Point ,AP)连接无线网和有线网
- 自组网WLAN(ad hoc WLAN)没有AP,无线设备通过它们的NIC彼此进行通信
- 服务集ID(Service Set ID,SSID):加入特定WLAN需要配置SSID
- AP通过两种方式对无线设备进行身份验证
- 开放系统身份验证(Open System Authentication,OSA):所有传输以明文形式进行,一般仅通过SSID验证
- 共享密钥身份验证(Shared Key Authentication,SKA):基于有线等效加密(Wired Equivalent Privacy,WEP)协议
WLAN安全
- 802.11标准中的问题
- 身份验证不完善
- 静态WEP密钥能够被攻击者轻易截获
- 初始化向量重复使用且不能提供必要的随机性
- 缺乏数据完整性
- 802.11i:解决802.11所有安全性问题
- 802.1X:解决第1点
- 暂时密钥完整性协议(Temporal Key Integrity Protocol):解决第2、3、4点
6.12.3 无线标准
- 802.11:1-2Mbps,2.4GHz,
- 802.11b:11Mbps,2.4GHz,使用DSSS,兼容802.11
- 802.11a:54Mbps,5GHz,使用OFDM,不兼容802.11b
- 802.11g:54Mbps,2.4GHz,兼容802.11b
- 802.11n:100Mbps,5Ghz,使用多输入多输出(Multiple Input,Multiple Output,MIMO),需要分别使用两根接收天线、两根发射天线以及一个20MHz的通道来实现并行广播
- 蓝牙:1-3Mbps,2.4GHz
- 802.15的一部分,工作范围约10米
- 蓝劫(Bluejacking):攻击者向支持蓝牙的设备主动发送一条消息,例如商务名片,将其添加至受害人通讯录中
6.12.4 WLAN战争驾驶攻击
- 战争驾驶(war driving)攻击:一个人或几个人走路或开车,四处寻找AP并入侵
6.12.6 移动无线通信
- 频分多址(FDMA):可用的频率范围被划分成子信道,每个信道被分配给每个用户,用户独占该信道;用于1G
- 时分多址(TDMA):采用无线电频谱信道并把它们分成多个时隙,不同时间段多个用户可以共享同一信道
- 码分多址(CDMA):分配唯一的一个代码到每个语音呼叫或数据传输,允许所有用户在网络上同时使用网络上的每一个信道
1410
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
