Appearance
考点清单
- [x] 防火墙技术(网络级/应用级)
- [x] 入侵检测系统 IDS vs 入侵防御系统 IPS
- [x] DDoS 攻击与防御
- [x] ARP/DNS/IP 欺骗原理
- [x] 端口扫描技术(全TCP/SYN/FIN/第三方)
- [x] SYN Flooding/ICMP/SNMP 攻击
- [x] 网络攻击分类(被动/主动)
- [x] 蜜罐系统
- [x] 网络安全协议(SSL/SSH/SET/Kerberos/PGP/S/MIME)
- [x] 第三方认证服务(Kerberos vs PKI)
笔记
一、防火墙 ★
防火墙在内部网络和外部网络之间增加安全防护。
| 对比 | 网络级防火墙 | 应用级防火墙 |
|---|---|---|
| 工作层次 | 低 | 高 |
| 效率 | 高 | 低 |
| 检测方式 | 包过滤+状态监测,检验网络包外在属性 | 拆包检查内部数据 |
| 安全性 | 较低(无法识别伪装的数据包) | 高 |
| 透明性 | 对应用和用户透明 | 非透明 |
特点:防火墙主要分隔来自外网的威胁,对来自内网的直接攻击无能为力。
二、入侵检测与防御 ★
| 对比 | IDS(入侵检测系统) | IPS(入侵防御系统) |
|---|---|---|
| 位置 | 防火墙之后,第二道屏障 | 安全网络之前的链路上 |
| 工作方式 | 监听设备,不跨接在任何链路上 | 实时检测并直接阻断 |
| 时机 | 入侵行为发生后检测分析 | 入侵行为进入前防御 |
| 原理 | 监控行为→分析引擎与知识库匹配→检测入侵 | 实时检测→直接阻断 |
IDS 部署位置:(1)尽可能靠近攻击源 (2)尽可能靠近受保护资源。IDS 是对防火墙技术的补充。
三、抗攻击技术 ★
密钥生成三因素
增大密钥空间、选择强钥(复杂的)、密钥的随机性(使用随机数)。
拒绝服务攻击(DoS/DDoS)
DoS:内部用户长时间占用 CPU/内存;外部黑客占用网络连接。DDoS:控制多台计算机同时向目标发起攻击,克服了传统 DoS 受网络资源限制和隐蔽性两大缺点。
外部 DoS 攻击模式:消耗资源、破坏或更改配置信息、物理破坏、利用服务程序错误使服务失效。
防御方式:
- 加强对数据包的特征识别(特征字符串)
- 设置防火墙监视本地主机端口使用
- 对通信数据量进行统计(超出正常极限)
- 尽可能修正已发现的问题和系统漏洞
SYN Flooding ★
利用 TCP 三次握手机制,完成前两次,第三次不进行,造成大量半连接占满队列,使系统挂起。
ARP 欺骗
主机收到 ARP 响应分组即刷新 IP↔MAC 映射(不管是否有过请求)。攻击者构造虚假 IP+MAC 映射发送给目标,使得数据被监听。
防范:固化 ARP 表(arp -s)、使用 ARP 服务器、双向绑定、ARP 防护软件。
DNS 欺骗
冒充域名服务器,将查询 IP 改为攻击者 IP。
检测方法:
- 被动监听检测:一个请求对应两个以上不同应答
- 虚假报文探测:向非 DNS 服务器发请求,收到应答说明被攻击
- 交叉检查查询:反向查询 IP 对应的 DNS 名是否一致
IP 欺骗流程
- 使被冒充主机网络瘫痪 → 2. 连接到目标机猜测 ISN 基值和规律 → 3. 伪装源地址发送 SYN → 4. 等待目标发 SYN+ACK → 5. 再次伪装发送 ACK(预测 ISN+1)→ 6. 连接建立
端口扫描
| 方式 | 原理 |
|---|---|
| 全 TCP 连接 | 标准三次握手,建立连接 |
| 半打开式(SYN) | 发 SYN,回复 SYN+ACK=活动端口,RST=死端口;收到 SYN+ACK 后发送 RST 拒绝连接 |
| FIN 扫描 | 发 FIN:关闭端口→返回 RST,活动端口→不返回任何回应(秘密扫描) |
| 第三方扫描 | 利用被入侵的第三方主机(肉鸡)代替攻击者扫描 |
四、网络攻击分类 ★
| 类型 | 攻击名称 | 说明 |
|---|---|---|
| 被动攻击 | 窃听(网络监听) | 窃取信息资源和敏感信息 |
| 业务流分析 | 长期监听+统计分析,发现信息流向规律 | |
| 非法登录 | 部分资料归为被动攻击 | |
| 主动攻击 | 假冒身份 | 冒充合法用户或提升特权 |
| 抵赖 | 否认自己发布的消息/伪造对方来信 | |
| 旁路控制 | 利用安全缺陷获得非授权权利 | |
| 重放攻击 | 截获合法通信数据重新发送 | |
| 拒绝服务(DoS) | 阻止合法访问 |
五、其他安全技术
蜜罐系统:伪造蜜罐网络引诱黑客攻击,不影响安全网络,借此了解攻击手段以升级安全系统。
杀毒软件:检测和解决计算机病毒(区别于防火墙处理网络非法攻击)。
六、网络安全协议 ★
| 协议 | 全称 | 用途 | 备注 |
|---|---|---|---|
| SSL | 安全套接字协议 | 加强 Web 安全传输 | 与 HTTP 结合→HTTPS,端口 443 |
| SSH | 安全外壳协议 | 加强 Telnet/FTP 安全传输 | 加密远程管理,替代明文 Telnet |
| SET | 安全电子交易协议 | B2C 电子商务支付安全 | PKI 框架典型实现,保证机密性/真实性/完整性/不可否认 |
| Kerberos | 网络身份认证协议 | 开放网络身份认证 | 基于信任第三方,不依赖主机OS/IP |
| PGP | 安全电子邮件加密 | 邮件加密+签名 | RSA认证+IDEA加密+MD5验证 |
| S/MIME | 安全多用途互联网邮件扩展 | 安全电子邮件 | MIME 的安全扩展 |
路由器管理应使用 SSH 而非 Telnet(Telnet 明文传输不保证保密性)。
第三方认证两种体制:
| 体制 | 密钥/证书服务器 | 中文名 |
|---|---|---|
| Kerberos | KDC(密钥分发中心) | 凯伯罗斯(三头犬) |
| PKI | CA(证书认证机构) | 公钥基础设施 |
七、PGP 协议详解
发送方 A 有 3 个密钥:A的私钥、B的公钥、A生成的一次性对称密钥。接收方 B 有 2 个密钥:B的私钥、A的公钥。