信息安全的核心支柱：深入解析网络安全技术体系与实践-平芜编程栈

一、网络安全基础

OSI参考模型与TCP/IP开放模型对比

应用层	应用层	Tehnet HTTP SMTP FTP	DNS TFTP SSH
表示层
会话层
传输层	传输层	TCP	UDP
网络层	网络层	IP协议簇（RIP、OSPF、SNMP、ICMP）
数据链路层	物理和数据链路层	以太网令牌环帧中继 ATU
物理层
OSI/RM参考模型	TCP/IP模型	网际协议

数据链路层协议

ARP协议：地址解析协议APR（Address Resolution Protocal）实现主机IP地址与MAC地址之间的映射。
RARP协议：用于MAC地址向IP地址转换的，与ARP的地址转换方向正好相反。
IP协议：IP协议是网络层的协议，它可以实现跨越不同网路的主机间通信。
1. IP地址：32为二进制数，转化成十进制时，8位一组，小数点隔开。
2. IP地址分类
1. 其他IP地址（私有IP）
1. 1. A类：10.0.0.0-10.255.255.255
  2. B类：172.16.0.0-172.31.255.255
  3. C类：192.168.0.0-192.168.255.255
  4. 网络地址：主机号全为0的地址，用来表示一个网络的本网络地址
  5. 直接广播地址：主机号全为1的地址，用来表示特定网络的所有主机
  6. 受限广播地址：如果一个IP地址的32位全为1，即255.255.255.255，则这个地址表示当前网络的广播地址，不过这种数据包的广播只限于本地网络中。
  7. 自环地址：IP地址为127.0.0.1，数据包将不会离开此设备，而是仍返回到软件中。
1. IP数据包格式
1. 1. 在网络层中，IP数据包由头部和数据两部分组成，头部包括一个20字节（B）的定长部分和一个可选的变长选项部分（最大60B，（15行，一行32bit））
ICMP协议：Internet Control Message Protocol(ICMP，Internet 控制报文协议)
1. 在TCP/IP网路中发送出错和控制消息，允许主机或网络设备报告差错或异常情况，从而提供了一个错误侦测和回馈机制。
2. 主要功能包括差错报告和查询（检错和反馈）
3. 可以扫描目标主机的IP地址，不能扫描操作系统版本、漏洞和弱口令

传输层协议

TCP协议：传输控制协议（Transmission Control Protocol），提供了在复杂环境下的一种可靠的端到端传输功能。（在连接前需要现进行三次握手）
1. TCP数据包格式
3. TCP的三次握手（之所有采用三次握手，而不是两次握手。是因为防止失效（网络阻塞……）的服务报文，突然有传输到服务器）
5. 四次挥手（服务端发送完数据后发送FIN包，FIN包之后客户端发送ACK包，并进入超时等待阶段，防止服务端未收到ACK包，从而重发FIN包，当服务器端收到ACK后，立马关闭连接）
UDP协议：无连接的传输协议，性能损耗小，稳定性弱，速度快，适用于对实时性要求高（聊天、隧道网络VPN、VXLAN）。

应用层协议

HTTP协议（Hypertext Transfer Protocol）超文本传输协议：在浏览器和WEB服务器之间进行数据传输，基于TCP协议，80端口对外提供服务。
SMTP和POP3
1. SMTP（Simple Mail Transfer Protocol）简单邮件传输协议：电子邮件系统的重要协议，机遇与TCP协议，25端口提供网络服务。
2. POP3（Post Office Protocol 3）邮局协议的第3个版本，定义了计算机连接到邮局服务器并下载电子邮局的规范。应用最广泛的邮件访问协议。
DNS（Domain Name System）域名系统：将Internet中的域名转换为相应IP。

二、网络安全威胁技术

1.扫描技术

互联网技术收集
IP地址扫描
端口扫描
- TCP全扫描：利用TCP三次握手原理，探测网络端口是否处于打开状态；
- TCP SYN扫描：利用三次握手的前两次判断；
- TCP FIN扫描：如果未开放，返回一个RST标志位为1的数据包
- UDP的ICMP端口不可扫描：向目标主机未打开UDP端口发送数据包时，会返回一个ICMP_PORT_UNREACHABLE错误；
- ICMP扫描：利用ICMP协议（查错和反馈），向目标主机发送一个协议项目存在错误的IP数据包，根据反馈的ICMP错误信息，判断目标主机使用的网络服务以及使用的网络端口；
- 乱序扫描和慢速扫描：通过设置扫描软件（打乱扫描顺序、降低扫描速度），从而将端口的数据包淹没在大量正常的网络数据包中，从而隐藏端口的扫描行为。（Nmap、SuperSan、Netcat、X-Port、PortScanner、Netscan tools、Winscan）
漏洞扫描：网络漏洞扫描、主机漏洞扫描
- 网络漏洞扫描：发送一个漏洞探测数据包（漏洞脚本库）
- 主句漏洞扫描：通过漏洞特征扫描技术和补丁安装信息的检测来进行操作系统和应用软件系统的漏洞检测
弱口令扫描：基于字典、基于穷举
- 基于字典：字典收集了常用的口令
- 基于穷举：emm……爆破
综合漏洞扫描：集合体，系统管理员的好帮手
扫描的防范技术~~~

2.网络嗅探威胁极大的非主动类信息获取技术

原理通过Sniffer类工具，监视网络的状态、数据流动的情况以及网络上传输的信息
防范数据加密

3.网络协议欺骗

IP地址欺骗：攻击者冒充第三方的IP地址，给第三方发送伪造IP地址的数据包
ARP欺骗
- ARP欺骗原理：
- - 恶意主机伪装并发送欺骗性的ARP数据包，致使其他主机收到欺骗性的ARP数据包后，更新其缓存表，从而建立错误的IP和MAC地址的对应关系
  - 实施中间人欺骗、伪装成网关欺骗
- 防范：可以通过IDS、Antiarp或ARP防火墙等查找ARP欺骗的设备或工具检测网络内的ARP欺骗攻击，然后定位ARP病毒主机，再通过杀毒软件或手工分析清除ARP病毒。此外，还可以通过在局域网中进行MAC地址与IP地址的双向静态绑定，使ARP欺骗失效。
TCP欺骗：在伪造IP的情况下，将伪造的数据加载到基于TCP协议传输的应用程序数据包中发送到目标主机，以实现目标主机与第三方主机传输的数据泄露或者造成数据被破坏。
- 非盲攻击：攻击者和目标主机在同一网络时，现通过网路嗅探攻击获得目标主机的数据包，从而预测出TCP初始序列号的攻击方法。
- 盲攻击：不在同一网络的请况下，由于两者不在同一个网络，所以攻击者无法获取目标主机的初始序列号，只能预测或探测目标主机的初始序列号。
DNS欺骗：
- 基于DNS服务器的欺骗：攻击者现向DNS服务器发送一个域名对映IP的地址的查询请求，DNS服务器在没有此域名的条件下，向更高级别的DNS服务器上传查询请求，攻击者伪造一个更高级的DNS服务器返回的DNS应答包给被欺骗的DNS服务器，当其他用户查询此域名时，就返回一个虚假的IP地址给用户，实现欺骗攻击。
- 基于用户计算机的DNS欺骗~~~

4.诱骗式攻击

网站挂马~~~点击链接，触发恶意脚本，自动下载木马
- 框架挂马、.js脚本挂马、body挂马、伪装欺骗挂马
- 防范：
- - 查找web服务器漏洞
  - 严格限制web服务器网站文件夹的访问权限
  - 部署web防火墙、入侵防御系统、网站防篡改设备
  - 定期对网页进行主动安全检测
  - 做好网站的定期备份
诱骗下载
- 将木马病毒与正常文件捆绑
- 主要方式：
- - 多媒体类文件下载
  - 网络游戏软件和插件下载
  - 热门应用软件下载
  - 电子书爱好者
  - P2P种子文件
- 文件捆绑技术（多文件捆绑、资源融合捆绑、漏洞利用捆绑）
- 防范：
- - 正常操作
钓鱼网站（和网站挂马有点类似，不过多了个钓鱼网站）
- 防范：
- - 详细检查网站相关域名信息
  - 针对大型电子商务或网银站点验证数字证书
  - ICP备案信息
  - 安全防护工具
社会工程~~~一门艺术

5.软件漏洞攻击利用技术

分类：
- 操作系统服务程序漏洞
- 文件处理软件漏洞
- 浏览器软件漏洞
- 其他软件漏洞
利用技术
- 直接网络攻击
- 诱骗式网络攻击
防范：
- 最新版本
- 正规
- 电子邮件
- 杀毒防御软件

6.拒绝服务攻击

概念：攻击者发送大量数据包，消耗目标计算机的带宽和计算机资源，使得计算机没有剩余带宽和资源给正常用户的服务请求提供响应
DOS攻击
- 实现方式
- - 利用目标主机自身存在的拒绝服务型漏洞进行攻击
  - 耗尽主机CPU和内存等计算机资源的攻击
  - 耗尽目标主机的网络带宽攻击
- 分类
- - IP层协议的攻击
  - TCP协议的攻击
  - UDP协议的攻击
  - 应用层协议的攻击
DDOS攻击原理（分布式拒绝服务攻击，多对一）
DOS/DDOS攻击的防御措施
- 静态和动态的DDOS过滤器
- 反欺骗技术
- 异常识别
- 协议分析
- 速率限制

7.Web脚本攻击

注入攻击
- 原理：web程序对用户输入请求中包含的数据检查过滤不严，使web程序将用户的异常输入字符当作正常代码执行，从而使用户在未授权的情况下非法获取web服务器的信息
SQL注入攻击（_老熟了）
- 原理：是攻击者通过构造一小段SQL代码片段作为请求参数提交给Web应用程序，从而使这段SQL代码得到后台数据库程序的解释执行，使攻击者实现查询操作后台数据库的攻击意图。
- 步骤：判断网站是否可以进行SQL注入
- 寻找注入点
- 查询后台数据库并获取或猜解用户名和密码
- 寻找Web管理后台入口，通过用户名密码登录
- 成功入侵
防范：
- 使用预编译语句
- 使用存储过程来验证用户的输入
- 在数据类型、长度、格式和范围等方面对用户输入进行过滤
- 使用数据库自带的安全参数
- 最小权限原则
跨站脚本攻击（XSS）
- 原理：利用网站程序对web页面中输入的数据过滤不严或未过滤的漏洞，在web网页中插入恶意代码，当用户浏览此页面时，浏览器自动加载恶意代码~~~
- 分类：
- - 反射性XSS：恶意链接
  - 存储型：特定页面
  - DOM-based XSS：基于文档对象模型（DOM）的跨站脚本攻击，通过JS脚本动态修改DOM结构，进而导致XSS漏洞
- 防范：
- - 给关键字cookie植入Httponly标识
  - 输入、输出检查
跨站点请求伪造（CSRF）
- 原理：让用户访问攻击者自己构造的网页，执行网页中的恶意脚本，伪造用户自己的请求，对用户自己有登录权限的网站实施攻击

8.远程控制

木马：具有远程控制、信息偷取、隐蔽传输的恶意程序
- 特点：伪装性、隐蔽性、窃密性、破化性
- 演变：
- - 一代：二十世纪八十年代，在UNIX环境中通过命令行界面实现远程控制
  - 二代：九十年代，具备伪装和远程控制的功能，具有非常好的图形控制界面，可以进行密码窃取、远程控制
  - 三代：通过端口反弹技术，实现内网到外网的链接，可以传统硬件防火墙
  - 四代：线程插入技术，木马运行时没有进程（提高隐藏性）
  - 五代：rootkit技术（提高隐藏性）
- 连接方式：
- - 最初，客户端主动连接服务端程序
  - 反弹端口技术
- 隐藏技术
- - 线程插入技术
  - DLL动态劫持技术
  - rootkit技术（内核隐藏技术）
webshell（有点像之前学的小马）

防火墙

概念：在可信网络与不可信网络之间的一堵墙，通过设置一系列规则对两个网络之间的通信进行访问控制，检测网络交换的信息，防止对重要内部信息资源的非法存取和访问，以达到保护可信网络的目的。
功能：
- 对内外网之间的数据进行过滤
- 对网络传输和访问的书记进行记录和审计
- 防范内外网之间的异常网络攻击
- 通过配置NAT提高网络地址转换的功能
- - NAT(Network Address Translator)：网络地址交换，缓解地址空间短缺问题
分类：
- 软件防火墙（功能差别，安装在操作系统上，安全性低于硬件防火墙，性能远不如硬件防火墙）：
- - 企业级软件防火墙
  - 个人主机防火墙
- 硬件防火墙（硬件平台）：
- - X86架构的防火墙（性价比高）
  - ASIC架构的防火墙
  - NP架构的防火墙
防火墙技术
- 包过滤技术：允许符合安全规则（安全策略）的数据包通过，主要在网络层和传输层进行过过滤拦截；
- - 安全规则包括：
- - - IP源地址；
    - IP目标地址；
    - 协议类型（TCP包、UDP包和ICMP包）
    - TCP或UDP包的目的端口、源端口；
    - ICMP消息类型；
    - TCP选项：SYN、ACK、FIN、RST等；
    - TCP包的序列号、IP校验和等；
    - 数据包流向：in 或 out；
    - …………
- - 不能防止IP地址欺骗。
  - 安全规则有优先顺序，最后一条是防火墙的默认规则
  - 优点：实现简单，速度快，投资费用低，安全策略灵活多样，对用户透明，具有广泛应用。
  - 缺点：效率低。
- NAT技术（网络地址翻译技术，主要在网络层和传输层）：将单位内网使用的内部IP地址翻译成合法的公网IP地址，使计算机的内部IP地址无需改动也能与外网连接。
- - 根据映射方式不同可分为：
- - - 静态NAT（Staitc NAT）
- - - - 内部的IP地址与公有IP地址一一对应的静态映射关系，用户既可以拥有自己的公有IP地址，方便的与外部通信；又可以不必直接与外部网络连接，受到防火墙的保护。
- - - NAT池（Pooled NAT）
- - - - 需要使用时分配公网IP地址，用完回收。
- - - 端口地址转换PAT（Port Address Translation）
- - - - 通过公网IP地址的65535个端口映射六万多台内网主机
- 应用级网关技术（代理服务器，应用层）：
- - 概念：在内网和公网之间的一台代理服务器，对于内网来说，它时一台服务器；对于公网来说，它相对于一台客户机。代理服务器会将内外网隔离。
  - 缺点：用户不能直接访问网络，效率低下。
- 动态（状态）检测技术（动态包过滤技术）：
- - 相对于不同的包过滤技术，增加了对数据包连接状态的额外考虑。
  - 状态检测防火墙检测防火墙的动态记录：
- - - 在连接终止后即使断开后续连接，以防止伪造流量通过
    - 可用无需为了保持大量的正常访问请求而长久的开放大量的端口。
- - 局限性：
- - - 对于无连接状态的UDP、ICMP等协议，则无法提供动态的连接状态检查。
    - 在FTP的标准模式下，由于FTP的数据连接是从外网服务器连到内网服务器的一个变化的端口，防火墙需要打开整个端口范围才能允许第二个连接通过。
    - 对于连接量非常大的网络，状态检测防火墙对每一个会话的记录、分析占用资源较多，可能会造成网络的迟滞现象。
体系结构
- 双重宿主主机体系结构
- - 至少有两个网络接口，分别连接着内部网络和外部网络
  - 阻止了内外网之间的IP通信，禁止从一个网络将IP数据包发往另一个网络。
  - 一旦被入侵，内网GG，所以这种结构的主机应具有强大的身份认证系统，组织和外部非法登录。
- 屏蔽主机体系结构
- - 喏，就长这样，大概是内网中的所有主机都通过一个防火墙主机连接公网。
- 屏蔽子网体系结构
- - 外网（危险军事区）—>包过滤路由器—>堡垒主机（DMZ，非军事区）—>内网（安全区）
  - 更（最）安全！！！实现了网络层传输层安全（包过滤）和应用层安全（代理服务器）。
  - 添加了一层额外的保护体系——周边网络
  - 堡垒主机只接收由堡垒主机向外网的主动连接请求，是最容易受到侵袭的机器，如果被入侵，内部网络还有内部路由器的保护。
防火墙的安全策略
- 基本的访问控制策略
- - 内网可以访问外网
  - 内网可以访问DMZ
  - 外网不能访问内网
  - 外网可以访问DMZ
  - DMZ不能访问内网
  - DMZ可以访问内网
- 防火墙的配置
- 防火墙不能防范的安全威胁
- - 不能防范内网之间的恶意攻击
  - 不能防范绕过防火墙通道上的攻击
  - 不能防范病毒和内部驱动的木马
  - 不能防备针对防火墙开放端口的攻击

入侵检测系统

概念（Intrusion Detection System，IDS）：工作在计算机网络系统的关键节点上，通过实时收集和分析信息，来检查是否存在非安全行为，进而达到防御的目的。
- IDS包括控制台和探测器两部分，探测器采集和分析数据，控制台管理和控制异常事件。
入侵检测系统的功能：
- 检测并记录计算机系统或网络中存在的活动或数据；
- 检测黑客在攻击前的探测行为，预先给管理员发出警报；
- 检测网络中入侵行为以及网络异常行为，并提供告警和响应；
- 提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点。
分类：
- 根据数据采集方式的分类：
- - 基于网络的入侵检测系统（NIDS，Network based IDS）；
  - 基于主机的入侵检测系统（HIDS，Host based IDS）
- 根据检测原理的分类：
- - 误用检测（Misuse Detection）的IDS；
  - 基于异常检测（Anomal Detection）的IDS；
入侵检测技术：

1. 误用检测技术：利用已知系统和应用软件的弱点攻击模式建立相关特征库，来检测入侵
1. 1. 专家系统
  2. 模型推理
  3. 状态转化分析
1. 异常检测技术：根据异常行为和正常用户行为之间的差别来检测入侵
1. 1. 统计分析
  2. 神经网络
1. 其他入侵检测技术
1. 1. 模式匹配
  2. 文件完整性检验
  3. 数据挖掘
  4. 计算机免疫方法

入侵检测体系结构
- 入侵网络系统的最基本形式，包括NIDS和HIDS；但针对大型网络，入侵检测体系结构包括集中式结构、分布式结构
- - NIDS和HIDS
  - 集中式结构
  - 分布式结构
入侵检测系统的不足
- IDS只能报警，不能防范
入侵防御系统（IPS，同时具有在应用层进行防护功能以及入侵检测功能的入侵防御系统）
- 功能：
- - 拦截恶意流量
  - 实现对传输内容的深度检测和安全防护
  - 对网络流量监测的同时进行过滤
- 部署：
- - 内外网的网络边界
  - DMZ与防火墙的边界
  - 内网核心交换机和防火墙中间
  - 内网关键服务器的外侧
- 不足之处
- - 可能造成单点故障
  - 可能造成性能瓶颈
  - 漏报和误报的影响

PKL（Public Key Infrastructure）

核心是解决信息网络空间中任何问题

一个典型的PKI系统应该包括如下组件

安全策略
证书认证机构（CA，Certificate Authority）：PKI的**核心执行机构，**作用包括：
- 验证用户的身份并颁发证书
- 确保用于证书签名的非对称密钥的安全
- 管理证书信息资料
注册机构RA
证书分发系统CDS
基于PKI的应用接口

数字证书：具有对用户身份识别的唯一性，解决Internet”我是谁“的问题。

基于数字证书的信任链传递关系：“赵大哥信得过你，我也不必多说。”

数字证书的存储格式（x.509标准）：

证书的版本号

证书序列号

签名算法

证书签发机构名

证书有效期

证书持有者用户名

证书用户公钥信息

签发者唯一标识符

证书持有者唯一标识符

签名值

证书认证机构（CA）：

CA的主要功能：
- 颁发证书、废除证书、更新证书、
- 验证证书（有效性、可用性、真实性）
- 管理密钥（产生、备份、恢复）
CA的安全运行要求
- 物理安全：CA机房必须防火…………
- 网络安全：防毒，高冗余度配置（灾难备份中心）
- 密码安全：国家审核认可（电子认证服务管理办法）

信任模式（不同系统之间的PKI相互传递信任）

单CA信任模型（适用于小规模的机构，不适用于拥有大量用户或不同类型用户的机构或行业）：CA最基本的信任模型，正如其名，PKI体系中只有一个CA，PKI的所有终端用户都信任这个CA，每个证书都起源于该CA的公钥（唯一的信任锚）；
层次信任模型（适用于有严格的级别划分的大型组织机构和行业领域）：等级森严；
桥CA信任模型（应用广泛）：具有良好的适用性，支持不同类型的CA系统相互传递信任关系；

VPN

利用网络的物理链路层和专用的安全隧道协议，实现逻辑上网络安全连接。

VPN的网络连接类型（Client-LAN、LAN-LAN）

Client-LAN（Acess VPN，远程访问型VPN）：在VPN客户端和VPN服务端都安装VPN软件。
LAN-LAN（网络到网关类型的VPN）：在不同局域网之间建立安全的数据传输通道

VPN协议的分类：

第二层隧道协议（数据链路层隧道协议）：首先，把各种网络层协议（IP）封装到数据链路层协议PPP的数据帧中，再把整个PPP协议装入到隧道协议中。如PPTP，L2F、L3TP，主要应用于基于远程电话拨号的internet远程访问。
介于二、三层之间的隧道协议：MPLS VPN是一种基于MPLS（Multiprotocol Label Switching，多协议标记交换）技术的IP-VPN。
介于第三层隧道协议（网络层）（IPSec，GRE）：
- IPSec协议（IP Security）是IETF IPSec工作组制定的一套保护IP通行的安全的协议簇（应用广泛，开放）
- GRE（Generic Routing Encapsulation）通用路由封装协议：一种将任意类型的网络层数据包封装入任意一种网络数据包的协议。
传输层的SSL VPN协议
- SSL会话：连接和应用会话，工作在TCP/IP和应用层，为应用层的访问连接提供认证、加密和防篡改功能。

网络安全协议

网络层安全协议IPSec(Internet Protocol Security)

IPSec由互联网任务组IETF（Internet Task Force）提供的用于保障安全通信的一些列规范。

IPSec是一组开放协议的总称，它包括网络安全协议和密钥协商协议两部分。

ESP协议：基于IPSec的数据通信提供了安全加密、身份认证和数据完整性鉴别三种安全保护机制
- 传输模式,对源IP和目标IP不进行加密
- 隧道模式
认证协议头AH：为IP数据包提供了数据完整性校验、数据源身份验证
密钥协商协议：
- IKE协议负责两个IPSec对等体之间协商相关安全参数，包括协商协议参数、交换公共密钥、对双方进行认证，以及在交换安全参数之后对密钥的管理。
- IKE协议属于混合型协议，由Internet安全关联和密钥管理协议（ISAKMP）和两种密钥交换协议OAKLEY与SKEM组成
- 一个完整的IPSec隧道建立过程如下：
- - IPSec的一端收到另一端的IPSec数据流后，将产生IKE会话
  - IPSec两端使用IKE的主模式或者主动模式协商，交换IKE SA，建立安全通道
  - IPSec两端使用IKE 快速模式协商，交换IPSec SA，建立IPSec安全通道
  - 之后传输的数据采用ESP或者AH协议进行封装后就可以在加密的通道上传输。

SSL（安全套接层，传输层）：用来解决点掉点数据安全和传输双方身份认证的网络安全传输协议。

记录协议：定义了传输格式
握手协议：建立安全连接(完成传输格式的定义)

应用层安全协议

Kerberos协议：主要应用于分布式网络环境中，实现用户与服务器之间的安全身份认证
- Client向AS申请身份认证验证；
- AS验证Client的身份后，向Client发放通过身份验证的票据；
- Client向TGS申请Server的访问权限；
- TGS验证有AS提供的通过身份票据后，向client发放可以访问Server的票据（TGT）
- client访问应用服务器Server
- 可选—有Server验证完Client访问Server的票据后，提供访问权限
SSH协议（Secure Shell），将所有传输的数据加密，SSH加密通信可以通过五个阶段赖实现：
- 协商SSH版本
- 协商产生会话密钥
- 登录认证
- 处理会话请求
- 交互会话
SHTTP协议（Secure Hyper Text Transfer Protocal），安全超文本传输协议。
S/MIME协议（Secure Mulitipurpose Internet Mail Extensions），安全多用途网际邮件扩充协议。
SET协议（Secure Electronic Transaction）协议，在开放网络环境中的卡支付安全协议使用了X.509电子证书标准。