網(wǎng)絡(luò)安全基礎(chǔ)
——網(wǎng)絡(luò)攻防�、協(xié)議與安全
Douglas Jacobson
仰禮友 趙紅宇 譯
電子工業(yè)出版社
2011-09-21
2011-07-26:
第一部分 網(wǎng)絡(luò)概念與威脅入門
第1章 網(wǎng)絡(luò)體系結(jié)構(gòu)
1988:首次出現(xiàn)針對網(wǎng)絡(luò)上的計算機的攻擊
推動網(wǎng)絡(luò)的創(chuàng)新與增長的因素是網(wǎng)絡(luò)的簡單易用與互連,而非安全
1.1 網(wǎng)絡(luò)的層次結(jié)構(gòu)
層�����,功能模塊�����;軟件�����,硬件
服務(wù):子程序的調(diào)用
拆分與重組:緩沖區(qū)��、頭部空間�、物理鏈路等限制
封裝
連接控制
順序遞交
流控制
出錯控制
復(fù)用
1.2 協(xié)議概述
協(xié)議圖
1.3 層次網(wǎng)絡(luò)模型
第2章 網(wǎng)絡(luò)協(xié)議
2.1 協(xié)議規(guī)范
開方協(xié)議:健壯性好,缺陷最?。坏歉菀装l(fā)現(xiàn)協(xié)議中的安全缺陷
專利協(xié)議:應(yīng)用層常用之
RFC ANSI IEEE ISO ITU-T IETF
2.2 地址
區(qū)分網(wǎng)絡(luò)中不同設(shè)備的尋址方法
2.3 頭部
頭部定義是協(xié)議規(guī)范的一部分
第3章 互聯(lián)網(wǎng)
用戶眼中的互聯(lián)網(wǎng):計算機���、網(wǎng)絡(luò)����、接入點
技術(shù)視圖:ISP
3.1 尋址
地址欺騙����,虛假源地址
IP地址:網(wǎng)絡(luò)掩碼,網(wǎng)絡(luò)號���,主機號
主機名與IP地址的匹配�����,DNS
客戶-服務(wù)器模式
服務(wù)器程序:等待另一個應(yīng)用請求連接�����;如何處理多個連接請求的
路由
第4章 網(wǎng)絡(luò)漏洞的分類
4.1 網(wǎng)絡(luò)安全威脅模型
威脅模型
漏洞����、試探、攻擊代碼�、攻擊
設(shè)計上的漏洞
實現(xiàn)漏洞
配置漏洞
0日試探
攻擊代碼,首次公開到普遍使用��,本身也有漏洞
1982:第1個計算機病毒
1986:第一個PC病毒
腳本小子
風(fēng)險評估:確定重要程度��、保護(hù)難度
4.2 分類
基于頭部的漏洞和攻擊:死亡之ping
基于協(xié)議的漏洞和攻擊
SYN雪崩式攻擊:連續(xù)發(fā)送請求����,服務(wù)器的緩沖區(qū)滿
基于驗證的漏洞和攻擊
用戶到主機的驗證
主機到主機的驗證,越來越多地使用網(wǎng)絡(luò)來攜帶驗證信息����,因而引入了安全風(fēng)險
主機到用戶的驗證
基于流量的漏洞和攻擊
截取流量、竊聽信息
大量數(shù)據(jù)包導(dǎo)致丟包�、不能處理
發(fā)送單數(shù)據(jù)包引起多個回應(yīng)、產(chǎn)生雪崩流量
數(shù)據(jù)包嗅探
2011-09-21:
第二部分 低層網(wǎng)絡(luò)安全
第五章 物理網(wǎng)絡(luò)層概述
5.1 覺的攻擊方法
5.1.1 硬件地址欺騙
產(chǎn)生具有源硬件地址的數(shù)據(jù)包����,但這個地址并不是發(fā)送設(shè)備的源地址��,通常這個非法地址與網(wǎng)絡(luò)上另一臺設(shè)備的地址相同。
攻擊1產(chǎn)生一個數(shù)據(jù)包���,其目標(biāo)地址和任何設(shè)備地址都不匹配�����,這可能引起交換機出現(xiàn)問題�,或者只是引起產(chǎn)生大量的流量�����。
大多數(shù)設(shè)備中���,硬件地址是在系統(tǒng)啟動時寫到硬件控制器的����,因而可以在系統(tǒng)啟動時通過軟件去修改它����。
5.1.2 網(wǎng)絡(luò)嗅探
處捕捉與目標(biāo)地址無關(guān)的數(shù)據(jù)包,當(dāng)某臺設(shè)備配置為嗅探流量時�,這時即處于所謂的混雜模式。
網(wǎng)絡(luò)訪問控制器可以讀取它收到的每一人數(shù)據(jù)包,這就是地址嗅探���。
典型的骨干網(wǎng)物理皮保護(hù)的���,嗅探很困難,一般來說���,一旦流量進(jìn)入互聯(lián)網(wǎng)服務(wù)提供商就不擔(dān)心嗅探了�����,大多數(shù)數(shù)據(jù)包嗅探發(fā)生的地方是采用無線方式訪問互聯(lián)網(wǎng)的咖啡屋����。
5.1.3 物理攻擊
為了減少物理攻擊���,對連接到某個ISP的網(wǎng)絡(luò)互聯(lián)損失的保護(hù)����,許多機構(gòu)采用與多個ISP的多個連接����。為了安全起見��,它們決定離開建筑物的連接采用多個通道連接���。
5.2 有線網(wǎng)絡(luò)協(xié)議
5.2.1 以太網(wǎng)協(xié)議
早期:使用同軸電纜連接設(shè)備
雙絞線系統(tǒng)時代:可以使用雙絞線����,使用集線器
網(wǎng)絡(luò)交換機時代:每一臺設(shè)備和交換機之間形成了一個獨立的以太網(wǎng);硬件地址表�;改進(jìn)了以太網(wǎng)的性能,隔離流量��,因為沖突減少�����,流量只發(fā)送到需要它的設(shè)備上�;全雙工,允許同時發(fā)送和接收���;由于一個設(shè)備只能看到目標(biāo)是自己的流量��,這使得其他設(shè)備的偷聽很難��,因為在交換機內(nèi)具有偽碼表����,從而使得嗅探交換網(wǎng)絡(luò)上的流量也是不可能的。
網(wǎng)管為了網(wǎng)絡(luò)診斷或者性能監(jiān)控需要監(jiān)聽網(wǎng)絡(luò)上的流量:
許多交換機支持生成樹端口(spanning port)或者鏡像端口(mirrored port)
使用帶交換機的集線器�����,但它的峰值是100Mbps��,且為半雙工
使用網(wǎng)絡(luò)捕捉器��,只能對進(jìn)入和離開一個機構(gòu)的流量監(jiān)控��,不能跨單位間的流量監(jiān)控
5.2.2 基于頭部的攻擊
設(shè)置源和目標(biāo)地址
產(chǎn)生過長或者過短的數(shù)據(jù)包
5.2.3 基于協(xié)議的攻擊
針對CSMA/CD協(xié)議有沖突的攻擊
5.2.4 基于驗證的攻擊
ARP中毒(piosoning)�,ARP欺騙,ARP攻擊
只有也在局域網(wǎng)中的攻擊者才能利用ARP的缺陷 (因為ARP協(xié)議只會在局域網(wǎng)(子網(wǎng))中進(jìn)行) ����。黑客他要不是在你的網(wǎng)絡(luò)中找個接口插入而連接上你的局域網(wǎng),要不就是控制一個局域網(wǎng)內(nèi)的機器�,這樣才能進(jìn)行ARP緩存中毒攻擊。ARP的缺陷不能在被遠(yuǎn)程利用���。
方法之一:網(wǎng)絡(luò)訪問控制(network access control, NAC)
另外一種源地址基本于驗證的攻擊是發(fā)送帶不同源地址的數(shù)據(jù)包����,試圖填滿以太網(wǎng)交換機地址表,或讓交換機相信是另一臺設(shè)備發(fā)來的數(shù)據(jù)包
5.2.5 基于流量的攻擊
流量嗅探
減災(zāi)依法:
采用交換式網(wǎng)絡(luò)環(huán)境����,即每個端口一臺設(shè)備
虛擬局域網(wǎng)(VLAN),將流量隔離在虛擬網(wǎng)絡(luò)
加密
另一種攻擊:使用大量的流量造成網(wǎng)絡(luò)崩潰
5.3 無線網(wǎng)絡(luò)協(xié)議(翻譯的文字很難懂)
常見:無線以太網(wǎng)
第一步:發(fā)現(xiàn)
探測包
第二步:接入
聯(lián)系請求包
第三步:傳輸流量
5.3.1 基于頭部的攻擊
5.3.2 探測或釣魚(wardriving)
5.4 常用對策
5.4.1 虛擬局域網(wǎng)(VLAN)
不同VLAN上的兩臺主機通信����,其流量必須經(jīng)過路由器�。
靜態(tài)VLAN:基于固定的交換機端口劃分
動態(tài)VLAN:基于設(shè)備的硬件地址劃分
5.4.2 網(wǎng)絡(luò)訪問控制(NAC)
第6章 網(wǎng)絡(luò)層協(xié)議
6.1 IPv4協(xié)議
6.1.7基于頭部的攻擊
IP頭部字段可分成兩類:
第一類是端點字段主要由端點使用的端點字段構(gòu)成,在傳遞過程中是不進(jìn)行檢測的����。
第二類是傳遞字段主要由各個路由器進(jìn)行檢測,并且在傳遞過程中可能被修改的字段構(gòu)成����。
死亡之ping
6.1.8 基于協(xié)議的攻擊
大多數(shù)針對IP和ICMP的攻擊瞄向數(shù)據(jù)包的路由,并且高潮引起數(shù)據(jù)包錯誤路由
攻擊者使用ICMP錯誤消息引起服務(wù)拒絕�����,或者將流量重定向到錯誤的地方�����。
ARP緩存區(qū)中毒
6.1.9 基于認(rèn)證的攻擊
IP地址欺騙
IP會話欺騙(IP session spoofing)
6.1.10 基于流量的攻擊
雪崩攻擊
6.2 引導(dǎo)協(xié)議bootp和動態(tài)主機配置協(xié)議dhcp
使用虛假的硬件發(fā)送多個查找數(shù)據(jù)包,消耗動態(tài)池中所有IP地址
偽裝成獲得釋放的一個客戶端���,并向服務(wù)器發(fā)送一個DHCP釋放數(shù)據(jù)包
欺騙性DHCP服務(wù)器
6.3 IPv6協(xié)議
6.4 常用的IP層對策
IP過濾
例如���,阻止進(jìn)入的ICMP回應(yīng)請求以防止互聯(lián)網(wǎng)中某些人確定哪些IP地址是在線的
網(wǎng)絡(luò)地址轉(zhuǎn)換NAT
虛擬專用網(wǎng)VPN
三類:網(wǎng)絡(luò)到網(wǎng)絡(luò)、客戶端到客戶端���、客戶端到網(wǎng)絡(luò)
IP安全(IPsec)
第7章 傳輸層協(xié)議
7.1 傳輸控制協(xié)議TCP
基于頭部的攻擊
第一類:攻擊者發(fā)送無效的頭部信息����,以擾亂TCP層的運行
第二類:攻擊者使用回應(yīng)發(fā)送無效頭部�,作為探測操作系統(tǒng)類型的一種方法,稱為探測攻擊
最常被攻擊的字段是標(biāo)志字段��,例如把所有標(biāo)志設(shè)成1或0����;在一個已經(jīng)打開的連接中發(fā)送無效序列號,致使單個連接中斷
基于協(xié)議的攻擊
第一類:攻擊者在端點���,與攻擊目標(biāo)進(jìn)行不正確的通信����。
第二類:攻擊者能嗅探流量,并將數(shù)據(jù)包插入到TCP協(xié)議流中
SYN雪崩(flood)
RST連接切斷
會話劫持(session hijacking)
被動網(wǎng)絡(luò)過濾器:使用復(fù)位連接終止和會議劫持手段�����,阻止不希望的連接�,而流量并不經(jīng)過安全設(shè)備
流量整形器(traffic shaper):用于減小兩個低優(yōu)先級應(yīng)用間的流量
7.2 用戶數(shù)據(jù)報協(xié)議UDP
7.3 域名服務(wù)DNS
7.4 常用對策
傳輸層安全TLS/安全套接層SSL
第三部分 應(yīng)用層安全
第8章 應(yīng)用層概述
8.1 套接字
8.2 常見攻擊方法
緩沖區(qū)溢出:使接收到的數(shù)據(jù)比能承受的數(shù)據(jù)多;造成的結(jié)果取決于其他可變字段是如何使用的����;接收數(shù)據(jù)包括有效數(shù)據(jù)、過濾器�����、攻擊代碼��;過濾器數(shù)據(jù)用于將攻擊代碼定位到內(nèi)存的一個合適地方使其執(zhí)行����;攻擊的行為隨操作系統(tǒng)的不同而不同
對要求驗證的應(yīng)用的攻擊的兩種常見類型:直接攻擊和間接攻擊
拒絕服務(wù)攻擊(DoS)
第9章 電子郵件
9.1.1SMTP漏洞���、攻擊和對策
基于驗證的攻擊
對電子郵件最常見的攻擊
電子郵件欺騙
電子郵件地址欺騙:沒有對發(fā)送者郵箱地址進(jìn)行驗證的過程和協(xié)議
用戶名探測:
嗅探SMTP流量
9.2.1POP和IMAP漏洞����、攻擊和對策
9.4 一般電子郵件對策
加密和驗證
電子郵件過濾
內(nèi)容過濾處理
電子郵件取證
第10章 WEB安全
第11章 遠(yuǎn)程訪問安全
第四部分
第12章 常用網(wǎng)絡(luò)安全設(shè)備
網(wǎng)絡(luò)防火墻
基于網(wǎng)絡(luò)的入侵檢測和防護(hù)
基于網(wǎng)絡(luò)的數(shù)據(jù)丟失保護(hù)
