计算机网络安全复习

网络安全的基本特征：

​ 机密性、完整性、可用性、可靠性、不可否认性、可控性

TCP协议簇的安全问题：

​ TCP序列号猜测，路由协议缺陷，数据传输加密问题，其他应用层协议问题

原因：最初设计的环境是相互信任的

安全的基本目标是实现信息的机密性、完整性、可用性。

​ 威胁：信息泄露、完整性破坏、拒绝服务、未授权访问

拒绝服务的原因：

​ 受到攻击所致，攻击者通过对系统的非法的根本无法成功的访问尝试而产生过量的系统负载，

​ 从而导致系统的资源对合法用户的服务能力下降或者丧失。

​ 信息系统或组件在物理上或逻辑上受到破坏而中断服务。

威胁信息系统的主要方法：

​ 冒充、旁路控制、破坏信息的完整性、破坏系统的可用性、重放、

​ 截收和辐射侦测、陷门、特洛伊木马、抵赖

​ 破坏信息完整性的方法：

​ 篡改，删除，插入

​ 破坏可用性的方法：

​ 使合法用户不能访问网络资源；有严格时间要求的服务不及时响应，摧毁系统

​ 入侵系统常用步骤：

​ 1.采用漏洞扫描工具 ；2.选择入侵方式；3.获取系统的一定权限

​ 4.安装系统后门；5.获取敏感信息或者其他目的

​ 防护措施:

​ 防火墙，加密重要文件，定期杀毒软件升级，

​ 定期升级补丁，定期备份系统重要文件

安全策略基本原则：

​ 适用性原则；可行性原则；动态性原则；简单性原则；系统性原则

ping命令：

​ -i，指定TTL的初始值，忽略操作系统默认值；

​ -n,设置发送ICMP回应报文的个数；

​ -t,不停地ping主机，ctrl+break查看统计，ctrl+C停止

​ ping -t 192.168.232.1

​ -a，将地址转换为主机名

​ -l size定制发送数据包大小

​ -f 设置不分段

不同类型的网络（MTU最大传输单元）：

​ 以太网 1518

​ FDDI 4500

​ 令牌环17800

Tracert +网址

​ -d 不将IP地址解析为主机名，速度更快。

​ -h 指定跟踪的跃点数

-w指定等待时间

ICMP报文分类：

​ 回送请求或应答（8/0）

​ 时间戳请求或应答（13/14）

​ 地址掩码请求与应答（17/18）

​ 路由器请求与通告（10/9）

基于ARP的扫描

​ 能够识别配置了局域网防火墙且能过滤更高层数据包（ICMP/TCP）的主机

TCP扫描技术：

​ 全连接扫描； connect()

​ SYN扫描；

​ FIN扫描；

全连接扫描过程：

​ 1.initial（获取主机地址，填写主机地址列表）

​ 2.对目标主机的端口依次建立连接

​ 3.socket()建立新套接字

​ 4.connect()尝试建立连接

​ 5.成功则输出端口号，失败则尝试下一个

（未成功）

​ 1.Client端发送SYN；

​ 2.Server端返回RST/ACK，表明端口未开放。

特点：实现简单、扫描速度快、扫描方式不隐蔽、容易被防火墙发现屏蔽

UDP扫描：

​ 1.利用ICMP端口不可达保温进行扫描

​ 2.UDP recvfrom()和write()扫描

网络监听（嗅探）技术

​ 在未察觉的情况下捕获其通信报文或通信内容的技术。（只局限于局域网）

溢出攻击

交换机工作时要维护一张MAC地址与端口的映射表。如果用大量错误的MAC地址

对交换机进行攻击，交换机就可能出现溢出。这时候交换机就会退回HUB广播模式。

在以太网中，数据帧从一个主机到达局域网

内的另一台主机是根据48位的以太网地址

（硬件地址）来确定接口的，而不是根据32

位的IP地址。

ARP欺骗攻击在局域网内非常奏效，其危害有：

◼ 致使同网段的其他用户无法正常上网（频繁断

网或者网速慢）。

◼ 使用ARP欺骗可以嗅探到交换式局域网内所有数

据包，从而得到敏感信息。

sniffer的检测：

​ 系统中找到可疑记录文件，特点是大小不断增加，时间不断更新；网卡是否工作在杂凑模式。

​ 网络和主机响应时间测试。

口令破解器：

​ 候选口令产生器、口令加密模块、口令比较模块

产生候选口令有三种方法：

​ 字典攻击、枚举、综合运用（组合攻击）

windows NT对同一用户口令采用两套单项散列函数进行运算（单向LM散列算法、单向NT散列算法）

远程口令攻击过程：

​ ① 建立与目标网络服务的网络连接。

​ ② 选取一个用户列表文件和一个字典文件。

​ ③ 在用户列表文件和一个字典文件中，选取一组用户和口令，按照网络服务协议规定，将用户名和口令发给目标网络服务端口。

​ ④ 检测远程服务返回信息，确定口令尝试是否成功。

​ ◼ 循环2到4步，直到口令破解成功为止。

保护口令主要指保护系统中保存的口令文件，防止（未授权泄露、未授权修改、未授权删除）

计算机相互交流建立在两个前提下（认证、信任）

最基本的IP欺骗技术（简单的IP地址变化、源路由攻击、利用Unix系统的信任关系）

源路由：（宽松的源站选择LSR、严格的源路由选择）

拒绝服务攻击：由于网络协议本身的安全缺陷造成的。

最常见的Dos攻击是用合理的服务请求来占用过多的服务资源。

​ 滥用合理的服务请求、制造高流量无用数据、利用传输协议缺陷、利用服务程序漏洞特定资源消耗（利用TCP/IP协议栈、操作系统或应用程序设计上的缺陷）

SNY洪水

​ 原理是利用TCP协议的缺陷，发送大量伪造的半TCP连接请求

​ 防范（优化系统配置（缩短timeout时间），优化路由器设置，防火墙，主动检测网络数据包）

Smurf攻击

​ 利用IP欺骗和ICMP回应包引起的主机网络阻塞

​ 防范（配置路由器禁止广播包到内网、配置计算机操作系统禁止对目标地址为广播地址的ICMP包响应、对于从本网络向外部网络发送的数据包，应过滤掉那些源地址为外部网络地址（伪造地址）的数据包）

ping of death

​ 通过使用ping命令发送恶意的或超大数据包，使得目标主机或服务崩溃。

​ 缺陷：一些TCP/IP系统从没设计处理大于数据包长度的数据包。

​ 攻击方式：改变分片偏移量，段长度，将超大报文发送

​ 防范：对重组装过程检查，确保不会超过最大数据包大小约束，创建足够空间内存缓冲区来处理。

teardrop（分片攻击）

​ 设计错误字段，使得重叠片偏移，导致系统崩溃、重启。

land攻击

​ 原理：像目标机发送大量源地址和目标地址都相同的SYN包。

​ 防范：配置防火墙设备或设置路由器过滤规则，并对这种攻击进行审计。

分布式拒绝服务攻击（DDOS）

​ DDoS的唯一检测方式是：异常的网络交通流量。

​ 大量的DNS反向查询请求;超出网络正常工作时的极限通讯流量;

​ 特大型的ICMP和UDP数据包;不属于正常连接通讯的TCP和UDP数据包

​ 数据段内容只包含文字和数字字符（例如:没有空格、标点和控制字符）的数据包

WEB安全可以从（服务器安全、客户端安全、通信信道安全）

Java Applet、ActiveX、Cookie等技术大量被使用，当用户使用浏览器查看、编辑网络内容时，自动下载并在客户机上运行。

◼ 如果这些程序被恶意使用，可以窃取、改变或删除客户机上的信息。

Web服务器指纹（web应用攻击的基础过程）

◼ 对服务器上的HTTP应用程序安装和配置等信息进行远程刺探，了解远程Web服务器的配置信息，根据不同版本的Web服务器进行有目的的攻击。

XSS跨站脚本攻击

攻击者往web页面里插入恶意html代码，当用户浏览网页时，嵌入的代码会被执行。

实现条件：1.需要存在跨站脚本漏洞的web应用程序

2.需要用户点击连接或者是访问某一页面

SQL注入

攻击者提交一段精心构造的数据库查询代码，根据返回结果，得到数据。

Web安全五大误解

◼ “Web网站使用了SSL加密，所以很安全”

◼ “Web网站使用了防火墙，所以很安全”

◼ “漏洞扫描工具没发现任何问题，所以很安全”

◼ “网站应用程序的安全问题是程序员造成的”

◼ “我们每年会对Web网站进行安全评估，所以很安全

防火墙

防火墙是位于两个(或多个)网络间实施网间 访问控制的一组组件的集合。

防火墙能分析任何协议的报文。基于它的分析，防火墙可以采取各种行动。

◼ 防火墙实现数据流控制是通过预先设定安全规则来实现的。

安全规则由匹配条件和处理方式两个部分组成

网络地址转换NAT

实现内部网络私有IP地址到外部全局IP地址的映射

作用

◼ 缓解IP地址耗尽，节约公用IP地址和金钱

◼ 隐藏内部网络的细节

静态包过滤防火墙是最原始的防火墙，静态数据包过滤发生在网络层上。

包过滤防火墙的原理

◼ 包过滤防火墙对所接收的每个数据包做允许拒绝的决定。

◼ 包过滤规则：防火墙审查每个数据包以便确定其是否与某一条包过滤规则匹配。

◼ 检测的对象主要以数据包的首部所包含的信息为主，包中的数据部分不在检测范围之列。

静态包过滤防火墙优缺点

优点：对网络性能影响较小；成本较低

缺点：安全性较低；缺少状态感知能力；容易遭受IP欺骗攻击；创建访问控制规则比较困难

工作于传输层的动态包过滤防火墙

典型的动态包过滤防火墙工作在网络层；先进的动态包过滤防火墙工作在传输层