网络安全期末复习

何为网络安全

网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

第一章 网络体系结构

分层模型如今不能满足一些服务需求，有些服务需要访问每一层，从而引入了不分层体系结构，当这也带来了隐患。

第二章 网络协议

无

第三章 互联网

地址欺骗

将数据包的源地址更改为不是发送者的地址

客户端-服务器模式

客户端应用与服务器应用交互的过程。

第四章 网络漏洞分类

威胁模型

攻击代码

对系统漏洞进行攻击的一个程序或一个实施性试探。

风险评估

决定某个设备或目标风险级别的过程或程序

零日攻击

漏洞发掘和攻击代码已经在使用后，才被广泛认识到

分类

基于头部的攻击

死亡之ping

重组缓冲区最大65535字节，发送相对值为65528（最大值）的包且长度大于7的数据包，其被放到重组缓冲区，从而溢出缓冲区尾部

基于协议的攻击

数据包是有效的，但与协议执行过程冲突

SYN洪泛攻击

在TCP三次握手过程中攻击中发送大量的SYN数据包至服务器，服务器回复SYN-ACK数据包并分配内存，但attacker不发送ACK确认数据包，直至服务器缓冲区无剩余空间。

基于验证的攻击

用户到用户的认证以及用户到主机的验证依靠用户名和密码等，传输过程存在风险
主机到主机的认证依靠ip地址已经mac地址等。

基于流量的攻击

攻击者可以进行数据包嗅探，捕获网络中的流量。

广播式雪崩攻击

向远程网络发送广播包，一个包得到整个网络的回应导致网络瘫痪。

第五章 物理网络层

常见攻击方法

硬件地址欺骗

产生源硬件地址与发送者不设备不同的数据包，通常与网络中的另一台设备地址相同

网络嗅探

在网络上捕捉与目标地址无关的数据包，此时处于混杂模式。

有线网络协议

基于验证的攻击

ARP缓存中毒

攻击者使用ARP欺骗将伪值放入受害者的ARP表中。

ARP欺骗

攻击者在网络上侦测到一个ARP请求数据包，它伪装成被请求的ip地址的主机。

ARP缓存中毒防治措施

进行加密，或使用NAC网络访问控制（通用策略）。
只有attacker能访问网络上的某设备时才有效，不然难以实现

基于流量的攻击

流量嗅探，防治措施可以使用vlan或者加密、交换机也可以

无线网络协议

访问接入点AP

一种无线设备，用于将其他无线设备连接到有线网络。

基于协议的攻击

利用计算机和软件探测广播SSID的接入点，并绘制出它们的位置。可以用加密或NAC，使得attacker要想使用接入点需要加密机制或身份验证

基于验证的攻击

恶意访问接入点

安装在机构网络内部的访问接入点，但机构没有察觉。可能可以使attacker绕过NAC。

非法访问接入点

一种攻击者设置的访问接入点，假装是安装在机构内的访问接入点。

基于流量的攻击

主要是捕获流量，可以通过加密来防护

WEP

无线设备先发送共享密钥加密的消息证明自己，再向AP发送关联请求。

WPA（Wi-Fi保护协议）

无线设备和AP先建立关联，而后发送共享密码的hash通过验证，再协商会话密钥用于通信。

常用对策

虚拟局域网VLAN

一种将交换机设备划分到一个独立局域网中的系统。

NAC网络访问控制

未授权的设备不能访问网络

第六章 网络层

基于头部的攻击

死亡之ping

基于协议的攻击

traceroute可以跟踪路由，被认为是一种基于协议的攻击

基于认证的攻击

ip地址欺骗

例如发送icmp回应请求数据包，A会给B响应，attacker可以发送大量的包。或发送一个广播包，则所有计算机都会向B发送响应。（可以让路由器不允许内部广播或不允许一些icmp包进入）

ip地址欺骗不能盗取另一个设备的身份

ip会话欺骗

需要attacker和受害者在同一网络，通常使用arp欺骗路由器，从而盗取另一个设备的身份。

基于流量的攻击

从嗅探的角度加密可以防止其他人看到数据，但加密也是对流量的监控变得不可能（如果数据含有不应该流出的机密资料）
使用ip广播地址的雪崩攻击
远程的arp广播雪崩：向目标网络的每个地址发送数据包，路由器发送大量arp请求（大多没有响应），并且每个请求会尝试4次。则每次远程扫描会产生大量广播包
路由器或其他网络设备可以限制进入网络的数据包数量，但合法的流量会受到影响

BOOTP

BOOTP协议采用的是广播包，attacker可以对此作出响应，但必须保证在同一网络中。

DHCP

基于头部的攻击

由于DHCP是基于UDP的，因此没有基于头部的攻击

基于协议的攻击

1.用大量虚假的mac地址发送查找数据包消耗掉动态池中的ip（服务器每收到一个都会保留一个ip），attacker也可以回答并接受ip（Dos）
2.向服务器发送释放数据包，导致相同的ip地址被分给多台计算机

基于验证的攻击

欺骗性DHCP服务器

伪装成服务器发送虚假消息，可能分配一个无效的地址使其无法通信

防治措施

防治措施是网络访问控制NAC

一般性对策

IP过滤

通常路由器完成，过滤条件为ip地址、端口号、协议类型

NAT地址转换

若不在映射表内，攻击者无法向私网发送数据包

VPN

用来提供双方设备间的加密和验证通信信道。

非军事区

处于安全边界以外的网络

可牺牲主机

部署在安全边界以外的主机

NAT隧道

允许进展的数据包路由到私有网络内部的方法

第七章 传输层

TCP

基于头部的攻击

1.攻击者发送无效头部扰乱tcp运行，
2.攻击者发送无效回应，在已建立的连接中发送无效序列号，会中断单个连接

基于协议的攻击

1.发送超出序列的数据包，会中断当前连接，比如发一个RST数据包。
2.SYN洪泛攻击，防治措施是在网络入口处安装过滤器。
3.会话劫持，从两方中的一方窃取连接伪装成一方的设备。
1、3是基于攻击者能嗅探网络中的流量前提下的。因此可以用加密的手段进行消除。

被动网络过滤器

监视网络流量，使用RST或会话劫持来终止连接。

流量整形器

旨在减少低优先级应用程序之间的通信量，置于流量经过处，调整窗口大小

基于流量的攻击

SYN洪泛攻击，可以使用流量整形器来进行防治。

DNS

基于头部的攻击

头部值不正确会被丢弃，很少能攻击。

基于协议的攻击

恶意用户使用DNS端口号与防火墙外的另一个非法应用程序通信。

基于验证的攻击

DNS只对服务器ip地址进行认证。attacker可以替换DNS服务器中的条目（入侵该服务器，或当其向另一服务器查询时发送伪造的响应，使错误条目存入缓存中），或伪造响应数据包（类似于DNS缓存中毒攻击）

DNS缓冲区中毒

向一个DNS服务器或一个解析器发送错误信息，使DNS服务器把这些信息存入缓存中，后续的请求将得到虚假信息。

常用对策

TLS（SSL）

是应用程序和tcp间的一个单独层，旨在减轻嗅探和基于主机的身份验证攻击对服务器和客户端进行身份验证，通过后客户端和服务器创建一个加密密钥对通信进行加密。
唯一有效的攻击是中间人攻击

第八章 应用层

基于头部的攻击

缓冲区溢出

第九章Email

SMTP

1.电子邮件地址欺骗
2.用户名探测，RCPT TO不存在会返回错误
3.发送大量消息消耗磁盘空间
4.嗅探邮件，SMTP不进行加密

对策

安全由UA提供，SMTP不验证。使用基于身份验证的对策提高安全性，协商TLS参数。

POP IMAP

1.对账号密码进行爆破攻击；防治：使用VPN软件使得其只能在特定范围内运行。
2.用户名和密码使用明文传输，容易被嗅探。
措施：使用TLS

MIME

1.利用邮件信息中包含的网页超链接进行钓鱼
2.利用头部隐藏消息的实际内容，宣称是一个有图片的附件但其实是可执行代码
3.在邮件内容中附加恶意代码
对策：使用防火墙防止未经授权的程序运行；禁止直接查看附件数据的能力
4.令图片在一个远程的服务器上打开而不是在本机

恶意软件

病毒

定义

病毒是一段插入主机(包括操作系统)进行传播的代码。它不能独立运行。它需要宿主主机。

流程描述

病毒代码有一段自己的序列号，首先病毒代码会借助一个programA，在程序A运行时病毒程序也会随之运行，病毒程序会通过循环检查主机中是否还有其他程序未被感染（查询序列号），若未被感染则进行感染，即添加病毒的序列号。

木马

定义

伪装成良性应用程序的破坏性程序。与病毒不同，木马不会自我复制，但它们具有同样的破坏性。

动机

1.黑客们想要保持对一个成功被破解的机器的访问权限。
2.隐藏他们的存在和痕迹。
3.活动相关的数据对合法用户来说都是不可见的。

无用的补充

木马发展过程是起初仅感染用户态下的二进制程序，而后逐渐向内核深入。

CPU分为四个环，环0运行内核模式，环3运行用户模式。

IAT

计算机中动态链接库存在IAT（import address table）以及EAT，就是API接口的address，木马便是通过这个进行攻击。IAT是被DLL所使用的API的地址，而EAT就是他输出的地址。
也可以通过汇编代码进行攻击。

Botnets（僵尸网络）

定义

一个botmaster通过IRC服务器控制一堆Bot（僵尸）

僵尸网络防御攻击的手段

通过动态生成域名进而减少攻击可能；
在IRC服务器与botmaster之间使用多级代理防止被系统日志查阅。

一般的电子邮件对策

加密和认证（PGP）

发送方首先对消息哈希，而后利用RSA进行签名同消息一起压缩并利用一次性会话密钥加密，一次性密钥通过RSA接收方的公钥进行加密。

邮件过滤

基于邮件地址的，基于域名的，基于附件的等等。可以进行绕过，比如使用图片，马赛克，故意拼错单词等。

电子邮件取证

分析电子邮件头部的一个过程，确定电子邮件消息的实际发送者。

电子邮件钓鱼

电子邮件消息设计的目的是诱骗用户为攻击者提供信息。

电子邮件灰名单

过滤电子邮件的一种方法，在这里所有不认识的进入的电子邮件消息都要被拒绝，直到他们重试。可以阻止不使用MTA发送电子邮件的应用。

Routing and Security

BGP

定义

边界网关协议（BGP）是运行于 TCP 上的一种自治系统的路由协议。分为IBGP（同一个自治系统(AS)中的两个或多个对等实体之间运行的BGP ）与EBGP。BGP路由信息的传输采用了可靠地TCP协议。

BGP消息类型及状态转换

需要注意的是BGP协议找的是AS的最短路径，但不一定是实际上的物理最短路，即保证跳转的AS路由器最少，但不保证跳数。

对BGP的攻击手段

掩码劫持

前缀劫持（Prefix Hijacking）的概念是指一个AS向外发布或宣布一个未分配给它的IP前缀。

安全的BGP

实验PKI系统，但因为分歧一直未能实施。

防火墙

记住一个重要的模型P2DR模型

最主要的为policy，即一些规则集。当攻击者穿透防护系统时，检测功能就发挥作用，与防护系统形成互补。系统一旦检测到入侵，响应系统就开始工作，进行事件处理。

定义

防火墙是计算机系统或网络的一部分，用来阻止非法流量。将可信网络与不可信部分划分开。主要工作就是过滤数据，重定向等。

设计目标

从里到外以及从外到里的流量都必须经过防火墙；
只有经过认证的流量才能通过；
防火墙要有强大的免疫能力。

包过滤防火墙

最好是有状态的防火墙，即能够根据之前的数据包传输进行过滤。
查表过滤即可。

优缺点

优点是简单快速，缺点是缺少灵活性而且容易被IP地址欺骗。

应用层防火墙（网关）

应用层向下传递的流量都要经过应用层防火墙，需要甄别报文头以及载荷。

对每各应用都要做一个代理，检查报文头和载荷，过程较为复杂，计算代价高但可以做到更精准的控制。

堡垒主机

堡垒主机兼顾认证以及代理的功能，外网的流量必须经过堡垒主机才能进入内网。堡垒主机宕机后，内外网通路将会断开。
主要是一个双宿主的堡垒主机，即有两块网卡，一块连外一块连内。

DMZ

用两个防火墙分隔中间预留一个堡垒主机部分，第一层防火墙可能较易攻破但第二层很难攻破。

入侵检测系统

入侵的定义

对于一个经过认证的用户获得额外的权限或滥用已得到的权限

入侵检测

定义

监控并收集一些计算机系统或网络中的事件，进行分析。看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。完成以上任务的系统称为入侵检测系统。

入侵检测的目标

挫败攻击；
取证；
减少损失；
了解攻击并提高系统安全性。

入侵检测系统的分类

1.基于主机
2.基于网络
3.混合

基于主机的入侵检测系统

利用单个主机上的信息进行分析，来自操作系统的数据以及系统日志。
优点：
1.可以检查一些基于网络的入侵检测系统不能检测到的
2.由于在主机中可以解密，因此看到的是明文
3.由于可以检查系统日志，所以可以检测一些软件缺陷，比如木马。
缺点：
1.被攻击后会被关掉
2.影响主机性能
3.每个主机都得有一个monitor

基于网络的入侵检测系统

用传感器检测网络流量，分布式，汇报给中心的管理结点。很难处理高速网络，看到的是密文。

异常检测

这是一个二分类问题，可以定义一个特征来描述什么是normal。比如登陆的活动或系统日志中的活动等。再比如执行频率、CPU、IO等。
优点：可以发现新型的入侵行为，漏报少。
缺点：容易生产误报。

误用检测

跟上面的一样，也是定义一些规则集，建模不同类型的攻击。比如缓冲区溢出攻击有大量的NOP，以及SYN洪泛攻击返回结果没有ACK