信息安全保障基础
系列文章目錄
提示:這里可以添加系列文章的所有文章的目錄,目錄需要自己手動添加
1.網絡安全基礎
2.信息安全保障基礎
3.密碼及應用技術基礎
4.滲透測試情報收集
5.信息泄露
6.跨站腳本XSS
7.SQL注入式攻擊
8.目錄遍歷
9.代碼/命令執(zhí)行
10.弱口令
11.滲透測試技術
【12.安全滲透技術演練
13.安全測試工具與環(huán)境建設-中間穿插】
例如:第一章 Python 機器學習入門之pandas的使用
文章目錄
- 系列文章目錄
- 網絡安全基礎
- 1. ISO/OSI模型
- 1.1 ISO/OSI七層模型結構
- 1.2 OSI安全體系結構
- 1.2 TCP/IP協(xié)議
- 1.2.1 TCP/IP協(xié)議結構(四層)
- 1.2.1.1 網絡接口層
- 1.2.1.1.1 網絡接口層主要協(xié)議(ARP,RARP)
- 1.2.1.1.2 網絡接口層安全問題
- 1.2.1.2 網絡互聯(lián)層(核心協(xié)議)-IP協(xié)議
- 1.2.1.2.1 IPv4頭部結構
- 1.2.1.2.2 網絡互聯(lián)層安全問題
- 1.2.1.3 傳輸層
- 1.2.1.3.1 傳輸層主要協(xié)議-(TCP,UDP)
- 1.2.1.3.2 傳輸層安全問題
- 1.2.1.4 應用層
- 1.2.1.4.1 應用層主要協(xié)議(HTTP,SMTP/POP3,FTP,DNS..)
- 1.2.1.4.2 應用層安全問題
- 1.2.2 基于TCP/IP協(xié)議簇的安全架構
- 1.2.3 網絡攻擊與防范-欺騙攻擊
- 1.2.3.1 ARP欺騙實現(xiàn)
- 1.2.3.2 IP欺騙實現(xiàn)
- 1.2.3.3 DNS欺騙實現(xiàn)
- 1.2.4 網絡攻擊與規(guī)范-拒絕服務攻擊
- 1.2.4.1 典型攻擊-SYN Flood
- 1.2.4.2 典型攻擊-UDP Flood
- 1.2.4.3 典型攻擊-Teardrop
- 1.2.4 TCP/IP協(xié)議與OSI/RM模型對比
資料:百度網盤-信息安全 提取碼:rpac
網絡安全基礎
1. ISO/OSI模型
1.1 ISO/OSI七層模型結構
ISO/OSI模型定義了網絡中不同計算機系統(tǒng)進行通信的基本過程和方法。
- 底層協(xié)議(物理層,數(shù)據鏈路層,網絡層,傳輸層)
偏重于處理實際的信息傳輸,負責創(chuàng)建網絡通信連接的鏈路。 - 高層協(xié)議(會話層,表示層,應用層)
處理用戶服務和各種應用請求。
OSI分層結構的優(yōu)點:
- 各層間相互獨立
- 降低復雜性
- 促進標準化工作
- 協(xié)議開發(fā)模塊化
發(fā)送方從上至下會進行層層的數(shù)據封裝,到接收方會進行從下至上層層解封裝。
1.2 OSI安全體系結構
目標:保證異構計算機進程與進程之間遠距離交換信息的安全。
五類安全服務:鑒別服務,訪問控制服務,數(shù)據完整性服務,數(shù)據加密性服務和抗抵賴服務。
八種安全機制:加密,數(shù)據簽名,訪問控制,數(shù)據完整性,鑒別交換,業(yè)務流填充,路由控制和公正。
1.2 TCP/IP協(xié)議
1.2.1 TCP/IP協(xié)議結構(四層)
硬件接口:比如網卡…
1.2.1.1 網絡接口層
1.2.1.1.1 網絡接口層主要協(xié)議(ARP,RARP)
ARP:地址解析協(xié)議-可進行ip地址轉換(IP地址(IP地址是邏輯地址,可以手動修改)轉換為MAC地址(物理地址,捆綁在網卡上))
RARP:反向地址解析協(xié)議-可進行MAC地址轉換(MAC地址轉換為IP地址)
1.2.1.1.2 網絡接口層安全問題
損壞:自然災害,動物破壞,老化, 誤操作
干擾:大功率電器/電源線路/電磁輻射
欺騙:ARP欺騙(TCP/IP協(xié)議自身的漏洞)
嗅探:常見二層協(xié)議是明文通信的
拒絕服務:mac flooding,arp flooding等
查看主機的路由表:route print
查看主機做過的地址解析:arp -a
那么我們如何防止ARP欺騙呢?
我們可以自己指定一個靜態(tài)IP:arp -s 192.168.xxx.xxx
1.2.1.2 網絡互聯(lián)層(核心協(xié)議)-IP協(xié)議
IP協(xié)議是TCP/IP協(xié)議族中最核心的協(xié)議。
1.2.1.2.1 IPv4頭部結構
目前廣泛使用的IPv4提供無連接不可靠(沒有進行身份認證)服務。
長度通常為20字節(jié),除非有可變長選項部分。
下圖的“協(xié)議類型”指的使用上層(傳輸層)TCP或是UDP。
1.2.1.2.2 網絡互聯(lián)層安全問題
- 拒絕服務:分片攻擊(teardrop)/死亡之ping
- 欺騙:IP源地址欺騙(因為沒有進行身份認證,所以會容易造成IP欺騙)
- 竊聽:嗅探
- 偽造:IP數(shù)據包偽造
1.2.1.3 傳輸層
1.2.1.3.1 傳輸層主要協(xié)議-(TCP,UDP)
TCP(傳輸控制協(xié)議)
TCP提供面向連接的,可靠的字節(jié)流服務。
提供可靠性服務:數(shù)據包分塊,發(fā)送接收確認,超時重發(fā),數(shù)據校驗,數(shù)據包排序,控制流量…
TCP頭部結構:
UDP(用戶數(shù)據報協(xié)議)
UDP提供面向事務的簡單無連接,不可靠的信息傳送服務。
特點:簡單,占用資源少,效率高(所以UDP通常用于影音的傳輸)。
UDP頭部結構:
1.2.1.3.2 傳輸層安全問題
- 拒絕服務:syn flood/udp flood/Smurf
- 欺騙:TCP會話劫持
- 竊聽:嗅探
- 偽造:數(shù)據包偽造
1.2.1.4 應用層
1.2.1.4.1 應用層主要協(xié)議(HTTP,SMTP/POP3,FTP,DNS…)
應用層協(xié)議定義了運行在不同端系統(tǒng)上的應用程序進程如何互相傳遞報文。
典型的應用層協(xié)議:
- 域名解析:DNS
- 電子郵件:SMTP/POP3
- 文件傳輸:FTP
- 網頁瀏覽:HTTP
- …
1.2.1.4.2 應用層安全問題
- 拒絕服務:超長URL鏈接
- 欺騙:跨站腳本,釣魚式攻擊,cookie欺騙
- 竊聽:數(shù)據泄露
- 偽造:應用數(shù)據篡改
- 暴力破解:應用認證口令暴力破解
- …
1.2.2 基于TCP/IP協(xié)議簇的安全架構
- 鏈路層:可以使用隧道技術來保證安全,在兩個不安全的網絡之間建立一個安全的通道,這里隧道協(xié)議可以使用(PPTP,L2TP),連接加密方式(PPP,L2F)。
- 網絡層:實現(xiàn)網絡層的安全,使用IPSEC(AH,保證數(shù)據的完整性),IPSEC(ESP,保證數(shù)據的完整性,并加密),這里注意IP和IPSEC都是簇,并不是簡單的協(xié)議。
- 傳輸層:主要為上一層(應用層)提供安全的數(shù)據傳遞,可以使用SSL(安全套接字協(xié)議),TLS(安全傳輸層協(xié)議),基于這些協(xié)議可以實現(xiàn)應用層的安全。
- 應用層:比如HTTP安全,可以使用S-HTTP加密;FTP安全,可以使用SFTP加密;DNS安全,可以使用DNS安全擴展,比如DNSSEC等。
1.2.3 網絡攻擊與防范-欺騙攻擊
欺騙攻擊:通過偽造源于可信任地址的數(shù)據包以使一臺機器認證另一臺機器的復雜技術。
常見類型:
- IP欺騙
- ARP欺騙
- DNS欺騙
- …
1.2.3.1 ARP欺騙實現(xiàn)
ARP協(xié)議特點:無狀態(tài),無需請求可以應答。
ARP實現(xiàn):通過ARP緩存實現(xiàn)
1.2.3.2 IP欺騙實現(xiàn)
IP欺騙并不容易,它是要直接冒名頂替正在通信的主機。
IP欺騙步驟:
1.2.3.3 DNS欺騙實現(xiàn)
1.2.4 網絡攻擊與規(guī)范-拒絕服務攻擊
拒絕服務攻擊(拒絕服務是一類攻擊方式的統(tǒng)稱):讓被攻擊的系統(tǒng)無法正常進行服務的攻擊方式。
拒絕服務攻擊方式:
- 利用系統(tǒng),協(xié)議或服務的漏洞
利用TCP協(xié)議實現(xiàn)漏洞
利用操作系統(tǒng)或應用軟件的漏洞 - 目標系統(tǒng)服務資源能力
利用大量數(shù)據擠占網絡帶寬
利用大量請求消耗系統(tǒng)性能 - 混合型
1.2.4.1 典型攻擊-SYN Flood
原理:偽造虛擬地址連接請求,消耗主機連接數(shù)。
1.2.4.2 典型攻擊-UDP Flood
原理:利用UDP(簡單,高效),形成流量沖擊。
1.2.4.3 典型攻擊-Teardrop
原理:構造錯誤的分片信息,系統(tǒng)重組分片數(shù)據時,內存計算錯誤,導致協(xié)議棧崩潰。
->1:35:36
1.2.4 TCP/IP協(xié)議與OSI/RM模型對比
總結
- 上一篇: Fw:[一恒茶社] 作为大学教师,我 感
- 下一篇: 最详细的ensp安装及使用