域名系统DNS
域名系统(DNS)是一个基本的应用层协议,负责将域名映射到IP地址。
DNS查询过程
首先,指定域名服务器向根域名服务器发送DNS查询。然后,根城名服务器以下一级权威服务器的地址作为响应,对下一级服务器进行查询时,应答的地址是负责下级子域的城名服务器的地址,这种请求和响应过程会一直进行,直到城名服务器以所请求域的IP地址作为响应。
DNS攻击
1.网络嫁接与网络钓鱼
2.DNS缓存中毒
如果每个查询都会遍历DNS树中的路径,网络流量会过多,采用DNS缓存减少了根域名服务器的负载。
DNS缓存中毒:攻击者欺骗DNS服务器缓存保存虚假的DNS记录,以后发送至该服务器的所有DNS请求都会被解析为攻击者提供的IP
防御方法:
对查询使用随机标识符
始终检查标识符
DNS请求的端口随机化
部署DNSSEC(DNS协议的安全扩展集)
防火墙
防火墙是一种集成的安全措施集合,旨在防止对网络计算机系统未经授权的访问。
防火墙基于的预定义规则集称为防火墙策略。
流经防火墙的数据包会有以下三种结果:
- 接受:允许通过防火墙;
- 丢弃:不允许通过防火墙,且无失败指示;
- 拒绝:不允许通过防火墙,并试着通知源端,数据包已被拒绝。
防火墙处理数据包的策略是基于被检查数据包的一些特性,包括所使用的协议:
- TCP或UDP;
- 源IP地址或目的IP地址;
- 数据包应用程序级的有效载荷(如是否包含病毒);
黑名单和白名单
黑名单:除了那些符合黑名单所定义的具体规则的数据包之外,其他所有的数据包都允许通过防火墙;
这种类型的配置更具灵活性,能确保内部网的服务不被防火墙中断,但从安全角度分析,这种方法已经假定网络管理员能列举出所有恶意流量的本质特性;
白名单:默认拒绝策略,除非防火墙接受数据包,否则数据包会被丢弃或拒绝;
防火墙类型
无状态防火墙——数据包过滤器
无状态防火墙不会为正在处理的数据包维护任何可存储的上下文(或“状态”)。相反,它将每个尝试通过它的数据包视为独立,而不考虑先前已经处理过的数据包。
状态防火墙——状态过滤器
状态防火墙可以区分数据包是否是受信任网络内发起的合法会话的一部分。状态防火墙维护一些表,表中包含每个活动连接的信息,包括IP地址、端口和数据包的序列号。使用这些表,状态防火墙可以只允许响应内部网发起连接的TCP数据包流入。
应用层防火墙
基于进入或流出网络数据包的实际内容来管理流量,而不是仅仅分析源和目的地。
隧道
通常TCP数据包的内容是不加密的,因此如果有人窃听TCP连接,他会知道该会话中有效载荷的所有内容。使用隧道协议无需改变软件的执行就能防止这种窃听。在隧道协议中,客户端和服务器之间的通信是自动加密的,窃听是不可行的。
安全的shell(SSH)
远程管理计算机是互联网的一种强大功能。早期的远程管理协议Telnet、FTP和rlogin等都允许管理员通过命令提示符或shell远程控制计算机,但都没有提供任何形式的加密。SSH弥补这些不安全协议的不足,使用对称和公钥密码技术加密通信,使用SSH建立的隧道能防止许多基于数据包嗅探的攻击。
IPSec
IP协议缺乏内置的安全措施来确保每个IP数据包的真实性和私密性,IPSec(Internet Protocol Security)协议族能在网络层保证应用程序的安全
虚拟专用网络(VPN)
VPN是一种安全地延长了私有网络的物理距离,利用公有网络(如互联网)进行通信的技术。
远程访问VPN允许授权的用户访问私有网络,一般将这种私有网络称为内网。
站点到站点VPN解决方案旨在为两个或更多远程网络提供安全的桥梁。
入侵检测
IDS(Intrusion detection system)是一个软件或硬件系统,用于检测网络或个人计算机上恶意活动的迹象。
按功能分为:
IDS传感器,用于收集网络组件和计算机的实时数据
IDS管理器,用于接收来自传感器的报告,IDS管理器编译来自IDS传感器的数据,以确定是否发生了入侵。此确定基于一组站点策略,这些策略是定义可能入侵的规则和条件。如果IDS管理员检测到入侵,则会发出警报。
IDS检测的威胁和攻击:
伪装者、违法者、秘密用户;
端口扫描:信息收集旨在确定主机开放哪个端口作为TCP连接
拒绝服务攻击:网络攻击淹没主机,并将合法访问拒之门外
恶意软件攻击:复制恶意软件的攻击,特洛伊木马、计算机蠕虫和病毒等
ARP欺骗:试图重定向局域网中的IP流量
DNS缓存中毒:网络嫁接攻击旨在改变主机的DNS缓存,以创建伪造的域名/IP地址的关联
对IDS本身的攻击
对IDS本身发动DoS攻击,通过故意触发大量入侵警报,攻击者可能会淹没IDS,直到它无法记录每个事件,或让管理员很难确定哪些日志代表实际攻击
几率谬误
两种可能发生的错误:漏报、误报
难以创建具有高真阳性率和低假阴性率的理想特性的入侵检测系统。
蜜罐
蜜罐:使用一台计算机作为诱饵的入侵检测技术
蜜罐计算机是非常有效的工具:
入侵检测:因为连接到蜜罐的尝试不会来自合法用户,所以对蜜罐的任何连接都被安全地确定为入侵;
证据:蜜罐计算机中有吸引力的文件使入侵者逗留并留下证据,从而识别出入侵者或者确定他的位置;
导流:与合法计算机相比,蜜罐对入侵者更有吸引力,从而分散入侵者对敏感信息和服务的注意力