第五章 网络安全

5.1 常见的网络安全

1. 常见网络安全威胁

分类

类型	定义	攻击的安全要素
中断	攻击PC或网络资源，使其不可用或不能用	可用性
窃取	访问未授权的资源	机密性
篡改	接货并修改资源内容	完整性
伪造	伪造信息	真实性

1.1 APT

高级持续性威胁，利用先进的攻击手段和社会工程学方法，对特定目标进行长期持续性网络渗透和攻击。

三个阶段：攻击前准备，攻击阶段，持续攻击阶段

1.2 暗网

• 表层网络：4% ~ 20%
• 深网：普通搜索引擎无法抓取

1.3 网络监听

共享以太网才用的是广播通信方式，因此，网卡设置为“混杂模式”时，可以接受该网内的所有信息。

防范：加固系统；通信加密

检测：

• 反应时间判断：监听主机接受大量数据包，响应时间变化大
• DNS测试：监听主机通常会DNS反向解析
• 利用ARP数据包：向局域网内的主机发送非广播的ARP包，若某主机以自己IP来响应，可判断该主机处于网络监听模式。
• 使用反监听工具：例如Antisniffer

1.4 口令破解

类型：字典攻击，强行攻击（暴力），组合攻击

防范：高强度口令；定期更改；公共场合慎用；不通系统使用不同的口令

1.5 拒绝服务攻击

Dos，攻击者想办法让目标机器停止服务攻击或资源访问。

模式：

• 消耗资源：磁盘，内存，进程，带宽
• 篡改配置
• 物理破坏
• 利用处理程序错误：使其进入死循环

1. 服务端口令攻击：向主机开放的端口发送大量数据

（1）SYN Flood

解决：优化配置，减少等待市场，增加半连接队列长度，关闭不需要服务，

• 优化路由器配置
• 防火墙
• 使用流控设备

（2）Sumrf攻击，利用IP欺骗和ICMP回复

已免疫

（3）利用处理程序错误

• ping of death：大于65535的IP包，导致宕机或重启，已免疫。
• Teardnp
• winnuke，利用NetBIOS的漏洞
• Land

（4）电子邮件轰炸，对SMTP(25端口)的攻击方式，短时间发送大量无用的邮件，导致服务瘫痪。

2. DoS，DDoS，LDoS

1. DoS：利用大量合法请求占用大量网络资源

2. 分布式DoS：多个攻击源（高危！！！）

   特点：

   • 被攻击主机有大量的TCP连接
   • 大量TCP,UDP数据分组，不是现有连接，而是机器任意端口
   • 大量无用包，原地址是假冒的
   • 大流量无用数据，造成网络拥塞
   • 利用服务和协议缺失，反复发送请求，造成无法及时处理

3. 低速率DoS

   最大特点：不需要维持高频率攻击，耗尽其所有可用资源，利用安全漏洞，间隔发送。

   防范：给予协议的防范，基于攻击流特征检测的防范。

1.6 漏洞攻击

• 缓冲溢出
• 系统漏洞

1.7 僵尸网络

较流行的方法：

• 使用蜜罐（多个蜜罐）技术
• 网络流量研究
• IPCserver识别技术

1.8 网络钓鱼

1.9 网络欺骗

常见：ARP 欺骗，DNS 欺骗，IP 欺骗，Web 欺骗，E-mail 欺骗

1.10 网站安全威胁

常见：

• SQL注入

• 跨站运动

• 旁注攻击：从服务器其他网站渗透。

  避免：提升同一个服务器上其他网站的安全性

• 失效的身份认证和会话管理

  失效：

  1. 区分公共区域和受限区域
  2. 对cookie内容进行加密
  3. 可以禁用和锁定账户
  4. 设置密码和会话有效期，并使用强密码

1.11 社会工程学

信息安全定义的社工是：使用非计算机手段得到敏感信息的方法的集合。

5.2 恶意代码

是指没有作用却会带来危险的代码，特点如下：

• 恶意的目的
• 本身是计算机程序
• 通过执行发生作用

病毒，木马，蠕虫，后门，广告软件~~~

1. 命名规则！！！

代码前缀. 代码名称. 代码后缀 重点必考：常见的前缀名，其中考的多是蠕虫病毒（Worm）、后门（Backdoor）、木马（Trojan）、宏病毒（Macro）和脚本病毒（Script），P156。

2. 计算机病毒

生命周期：潜伏、传播、出发、发作

引导过程：

1. 驻留内存
2. 取代或扩充原有功能，并且窃取系统控制权
3. 恢复系统功能

3. 蠕虫

借住程序自行传播

4. 木马

分类：正向连接木马和反向连接木马

5. 恶意代码防治

发现：

• 使用杀软查杀
• 分析启动项，进程，配置，日志等找到异常
• 分析系统异常点（CPU频率，网络利用率）从而发现异常

清除：

（1）停止其行为（包括停止进程、停止服务、卸载DLL等）

（2）删除恶意代码新建的文件（包括EXE，DLL驱动等）

（3）清理启动项

（4）清除被感染病毒的文件

6. 计算机取证

1. 电子证据：《民事诉讼法》中暂未考虑电子证据

2. 合法性认定，一下内容不合法，不予以考虑

   • 窃录所得
   • 非法搜查、扣押所得
   • 非核证程序所得
   • 非法软件所得

3. 步骤：准备工作 -> 保护计算机系统（保护现场） -> 确定电子证据 -> 收集电子证据 -> 保全电子证据

   注：保护现场时，关机的不开机，开机的不关机

4. 常用工具（略）

5.3 安全防御 P159

1. 安全扫描

漏洞扫描、端口扫描、密码扫描

2. 网络隔离

常见技术：

• 防火墙
• 多重安全网关
• VLAN划分
• 网闸：根据国家安全要求，涉密网络与非涉密网络互联时，需要进行网闸隔离；非涉密网络与互联网，单向网闸。非涉密网络与互联网不连通时，使用双向网闸。

3. 网络蜜罐

4. 匿名网络

TOR、时间攻击、通信流攻击

5. 网络存储与备份

• DAS
• NAS
• SAN：高可扩展性、高可用、简单管理，优化资源和服务共享

备份：全备份、差量备份、增量备份

注：必须备份在300km之外，不能再同一地震带，不嫩在同地区电网，不在同一江河流域。=> 异地容灾备份

5.4 安全设备

重要的有防火墙、入侵检测与入侵防护、VPN、网络协议分析工具等。

1. 防火墙

1.1 常见技术

• 包过滤防火墙：通过规则（ACL）来确定数据包是否通过
• 代理服务器防火墙：对第四层到第七层的数据进行检查。用户进过建立会话状态并通过认证及授权后，才能访问到受保护的网络。
• 基于状态检测的防火墙：检测每一个TCP、UDP之类的会话连接。其工作基于数据包、连接会话和一个基于状态的会话流表。

1.2 体系结构

• 内网
• 外网
• DMZ区：又称周边网络。从内网划分，用于给外网提供服务，eg：Web、FTP...

术语：堡垒主机、双重宿主主机

1.3 ACL

ACL：访问控制列表，控制进出数据包

分为：标准访问控制列表，扩展访问控制列表

默认执行顺序是自上而下，在配置时要遵循最小特权原则，最靠近受控对象原则和默认丢弃原则。

（1）标准ACL：基于IP地址，列表取值为1~99，分析包的源地址。

​ 配置：P166

（2）扩展ACL：

​ 配置：略。

1.4 基本配置

P168，以PIX为例：

4种模式：用户模式、特权模式、全局配置模式、监视模式

1. 配置防火墙接口
2. 配置接口参数
3. 配置接口地址
4. 配置公网地址范围和定义地址池
5. 地址转换（NAT）
6. 路由配置
7. 配置静态地址映射
8. 侦听

2. 入侵检测与入侵防护

2.1 入侵检测IDS

一般认为IDS是被动防护。

基本模式是PDR模型，最早提现主动防御思想的网络安全模型。包含：防护、检测、响应三个部分。

P^2DR是动态安全模型，还包含安全策略。

入侵检测系统的体系大致可以分为：

• 基于主机型
• 基于网络型
• 基于主体性

两个步骤：信息收集和数据分析

2.2 入侵防护IPS

可以识别潜在威胁并应对，一般认为IPS是动态保护。

3. VPN

虚拟专用网，在公网上简历专用网络的技术。

分为三种：

• 远程接入VPN
• 内部VPN
• 外联网VPN

组成三部分：客户机、传输介质和服务器

关键技术：隧道技术、加解密技术和身份认证技术

3.1 隧道技术

在公网简历虚信道，可建立在链路层和网络层

VPN主要隧道协议有：PPTP、L2TP、IPSec、SSLVPN、TLSVPN

• PPTP（点到点隧道协议）：第2层隧道协议
• L2TP：综合PPTP和L2F（第二层转发），第2层隧道协议
• IPSec：在隧道外再封装，保证传输安全，第3层隧道协议
• SSLVPN和TLSVPN：使用SSL和TSL，在传输层实现VPN，是第4层。SSLVPNyao 加密，所以比IPSec慢，但配置使用简单。

3.2 IPSec

​ Internet协议安全性（Internet Protocol Security ，IPSec），是通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议簇。

​ 工作在TCP/IP的网络层。提供访问控制机密性，数据源验证，抗重放，数据完整性等多种安全服务。

​ IPsec是一个协议体系，由“建立安全分组流的密钥交换协议”和“保护分组流的协议”两部分。前者：IKE协议；后者：AH和ESP。

1. IKE协议

​ Internet密钥交换协议，IKE定义了自己的密钥交换方式（手工密钥交换和自动IKE）。由ISAKMP框架，OAKLEY密钥交换模式以及SKEME的共享和密钥更新技术组成。

2. AH

​ 认证头是IPSec体系主要协议，它位IP数据报提供完整性检查和数据源认证，并防止重放攻击。不加密，使用Hash函数。

3. ESP

​ 封装安全载荷，提供完整性认证和加密。

4. IPSec VPN应用场景

• 站点到站点：又称为网关到网关，多个异地机构利用运营商网络建立IPSec隧道，将各自内网联系起来。
• 端到端：PC到PC，两个PC之间由IPSec完成。
• 端到站点：两个PC之间的通信由网关和异地PC之间的IPSec会话完成。

5. 工作模式：传输模式和隧道模式

​ 传输模式下的AH和ESP处理后的IP头部不变，而隧道模式下处理后需要重新封装一个新的IP头。

​ AH：摘要

​ ESP：摘要，加密

3.3 MPLS （P173）

为了提高路由器转发速率，提出，思想：利用标签交换替代复杂的路由计算和交换。

属于二层和三层之间的协议，也称2.5层协议。（考试时候写2.5）

MPLS VPN承载亭台由P路由器和PE路由器和CE路由器组成。

5.4 网络协议分析和流量监控工具

1. 网络监控技术

• 基于硬件探针的监测
• 基于流量镜像的协议分析
• 基于SNMP的流量监测
• 基于NetFlow的流量监测

2. 协议分析

• 端口识别
• 深度包检测
• 深度流检测

3. 常见工具

Sniffer，wireshark，MRTG，NBAR

5.5 无线网络安全

2006年国家密码管理局要求无线局域网必须使用的密码算法有：

（1）对称密码算法：SM4

（2）秘钥协商算法：ECDH，必须采用指定的椭圆曲线和参数

（3）数字签名算法：ECDSA，同上

（4）杂凑算法：SHA-256

（5）随机数生成算法自行决定

1. WPKI：无线基础设施

​ WPKI采用了优化的ECC椭圆曲线加密和压缩的X.509数字证书；采用证书管理公钥，通过第三方CA验证，从而实现信息的安全传输。

​ WPKI包含RA注册中心、CA认证中心、PKI目录、EE（端应用实体）

​ 流程略

2. WEP

​ IEEE802.11b定义了无线网的安全协议WEB。WEP才用了RC4算法，使用40位或60位密钥。于2003年被淘汰。标准64位的密钥和初始向量位40位和24位。

3. IEEE 802.11i

包含WPA和WPA2，略

4. WAPI

无线局域网鉴别和保密基础（WAPI），中国无线局域网安全强制性标准（协议）。认证和私密性保护协议。

结合了椭圆曲线密码和分组密码，实现了设备的身份鉴别、链路验证、访问控制和用户信息在无线下的加密保护。

5. 无线个域网安全

5.1 蓝牙安全

蓝牙安全体系结构的关键部分是安全管理器。

蓝牙设备和服务有几种不同的安全等级。

• 安全模式：无安全模式，服务级模式，链路级模式
• 设备信任级别：可信任设备，不可信任设备，未设
• 安全服务：需授权服务，需认证服务，需加密服务
• 密钥管理：单一密钥，组合密钥，主设备密钥，初始密钥
• PIN

5.2 ZigBee安全：双向无线通信安全

5.3 RFID安全

射频识别：无线通信技术，通过无线电信号识别，必须建立接触

存在三个方面的安全问题：

• 截获RFID标签
• 破解RFID标签
• 复制RFID标签

RFID系统的安全需求以下：

1. 授权访问
2. 标签的认证
3. 标签的匿名性
4. 可用性

5.4 NFC安全

近场通讯，非接触式点对点数据传输

6. 网络安全协议

常见的网络安全协议有：RADIUS、SSL、TLS、HTTPS 。。。

6.1 RADIUS

远程用户拨号认证系统是目前应用最广泛的授权，计费和认证协议。

过程略~

6.2 SSL\TLS

​ 安全套接字协议是一个安全传输、保证数据完整的安全协议，传输层安全TLS是SSL的非专有版本。提供秘密性、完整性、认证性服务。

1. SSL协议

SSL处于应用层和传输层，是一个两层协议。

其三个高层协议，SSL握手协议、SSL修改密文协议、SSL告警协议

2. 工作流程

6.3 HTTPS和S-HTTP

超文本传输协议，使用SSL来对信息内容进行加密，使用443端口。

安全超文本传输协议（S-HTTP），面向安全通信信息

S-HTTP可提供通信保密，身份识别，可信赖的信息传输服务及数字签名等。

6.4 S/MIME

S/MIME使用RSA、SHA-1、MD5等算法，是互联网E-mail格式标准MIME的安全版本。

用来支持邮件加密。基于MIME标准，S/MIME提供认证、完整性、保护、鉴定及数据加密等服务。

---