目录
6.1.0 四种安全方式
6.1.1 MD5
6.1.2 GTSM
6.1.3 Route-limit
6.1.4 AS_Path长度保护
6.1.0 四种安全方式
1.MD5
2.GTSM
3.限制从对等体接收的路由数量
4.AS_Path长度保护
6.1.1 MD5
BGP使用TCP作为传输层协议,为提高BGP的安全性,可以 在建立 TCP连接时进行MD5认证。但BGP的MD5认证并不 能对
BGP报文认证,它只是为TCP连接设置MD5认证密码 ,由TCP完成认证。如果认证失败,则不建立TCP连接。
6.1.2 GTSM
-
GTSM(Generalized TTL Security Mechanism)
-
GTSM通过检测IP报文头中的TTL值是否在一个预先定义好的特定范围内,对IP层以上业务进行保护,增强系统的安全性。使能BGP的GTSM策略后,接口板对所有BGP报文的TTL值进行检查。根据实际组网的需要,对于不符合TTL值范围的报文,GTSM可以设置为通过或丢弃。配置GTSM缺省动作为丢弃时,可以根据网络拓扑选择合适的TTL有限值范围,不符合TTL值范围的报文会被接口板直接丢弃,这样就避免了网络攻击者模拟的“合法”BGP报文占用CPU。 该功能与EBGP多跳互斥 。
攻击方法介绍
攻击者模拟真实的路由协议,对一台设备不断发送报文,导致设备因处理这些“合法”报文(攻击报文)而使系统异常繁忙,CPU占用率过高。为了避免CPU过载,采用GTSM策略,通过检查IP报文头中的TTL值是否在一个预先定义好的范围内以实现对采用IP转发的业务进行保护。
图1 安全攻击
配置维护方法
执行命令 gtsm default-action { drop | pass
},设置未匹配GTSM策略的报文的缺省动作。缺省情况下,默认动作是pass,即未匹配GTSM策略的报文可以通过过滤。
以BGP为例,要求收到报文的TTL范围为[255,255]:
[HUAWEI] bgp 10
[HUAWEI-bgp] peer 10.1.1.2 valid-ttl-hops 1
执行命令 display gtsm statistics all
,可以查看GTSM的统计信息,包括报文总数、通过的报文数量、丢弃的报文数量。例如:
display gtsm statistics all
GTSM Statistics Table
----------------------------------------------------------------
SlotId Protocol Total Counters Drop Counters Pass Counters
----------------------------------------------------------------
0 BGP 2 0 2
0 BGPv6 0 0 0
0 OSPF 0 0 0
0 LDP 0 0 0
1 BGP 0 0 0
1 BGPv6 0 0 0
1 OSPF 0 0 0
1 LDP 0 0 0
----------------------------------------------------------------
配置维护建议
适用小型网络,需要在整个网络部署GTSM策略才能达到防攻击效果。
peer valid-ttl-hops
命令功能
peer valid-ttl-hops 命令用来在BGP对等体(组)上应用GTSM功能。
undo peer valid-ttl-hops 命令用来撤销在BGP对等体(组)上应用的GTSM功能。
缺省情况下,没有在BGP对等体(组)上配置GTSM功能。
命令格式
peer { group-name | ipv4-address | ipv6-address } valid-ttl-hops
[ hops ]
undo peer { group-name | ipv4-address | ipv6-address } valid-ttl-
hops
参数说明
参数
|
参数说明
|
取值
—|—|—
group-name
|
指定对等体组的名称。
|
字符串形式,区分大小写,不支持空格,长度范围是1~47。当输入的字符串两端使用双引号时,可在字符串中输入空格。
ipv4-address
|
指定对等体的IPv4地址。
|
点分十进制格式。
ipv6-address
|
指定对等体的IPv6地址。
|
32位16进制数,格式为X:X:X:X:X:X:X:X。
hops
|
指定需要检测的TTL跳数值。
|
整数形式,取值范围是1~255,缺省值是255。如果配置为 hops ,则被检测的报文的TTL值有效范围为[255– hops +1, 255]
6.1.3 Route-limit
防止资源耗尽性攻击
6.1.4 AS_Path长度保护
1.在入口和出口两个方向对AS_Path的长度进行限定
2.as-path-limit,默认为2000
最后
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
干货主要有:
①1000+CTF历届题库(主流和经典的应该都有了)
②CTF技术文档(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ CTF/渗透测试工具镜像文件大全
⑦ 2023密码学/隐身术/PWN技术手册大全
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里
👉[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!](https://mp.weixin.qq.com/s/BWb9OzaB-
gVGVpkm161PMw)
扫码领取
![](https://img-
blog.csdnimg.cn/img_convert/f15282c6f66b163f361bd0eeadcc83d8.jpeg)
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!