九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

網(wǎng)絡(luò)安全基礎(chǔ)

——網(wǎng)絡(luò)攻防、協(xié)議與安全

Douglas Jacobson

仰禮友　趙紅宇　譯

電子工業(yè)出版社

2011-09-21

2011-07-26:

第一部分　網(wǎng)絡(luò)概念與威脅入門

第１章　網(wǎng)絡(luò)體系結(jié)構(gòu)

１９８８：首次出現(xiàn)針對網(wǎng)絡(luò)上的計算機的攻擊

推動網(wǎng)絡(luò)的創(chuàng)新與增長的因素是網(wǎng)絡(luò)的簡單易用與互連，而非安全

１.１　網(wǎng)絡(luò)的層次結(jié)構(gòu)

層，功能模塊；軟件，硬件

服務(wù)：子程序的調(diào)用

拆分與重組：緩沖區(qū)、頭部空間、物理鏈路等限制

封裝

連接控制

順序遞交

流控制

出錯控制

復(fù)用

１.２　協(xié)議概述

協(xié)議圖

１.３　層次網(wǎng)絡(luò)模型

第２章　網(wǎng)絡(luò)協(xié)議

２.１　協(xié)議規(guī)范

開方協(xié)議：健壯性好，缺陷最??；但是更容易發(fā)現(xiàn)協(xié)議中的安全缺陷

專利協(xié)議：應(yīng)用層常用之

RFC  ANSI          IEEE ISO   ITU-T        IETF

２.２　地址

區(qū)分網(wǎng)絡(luò)中不同設(shè)備的尋址方法

２.３　頭部

頭部定義是協(xié)議規(guī)范的一部分

第３章　互聯(lián)網(wǎng)

用戶眼中的互聯(lián)網(wǎng)：計算機、網(wǎng)絡(luò)、接入點

技術(shù)視圖：ISP

３.１　尋址

地址欺騙，虛假源地址

IP地址：網(wǎng)絡(luò)掩碼，網(wǎng)絡(luò)號，主機號

主機名與IP地址的匹配，DNS

客戶－服務(wù)器模式

服務(wù)器程序：等待另一個應(yīng)用請求連接；如何處理多個連接請求的

路由

第４章　網(wǎng)絡(luò)漏洞的分類

４.１　網(wǎng)絡(luò)安全威脅模型

威脅模型

漏洞、試探、攻擊代碼、攻擊

設(shè)計上的漏洞

實現(xiàn)漏洞

配置漏洞

０日試探

攻擊代碼，首次公開到普遍使用，本身也有漏洞

１９８２：第１個計算機病毒

１９８６：第一個PC病毒

腳本小子

風(fēng)險評估：確定重要程度、保護難度

４.２　分類

基于頭部的漏洞和攻擊：死亡之ping

基于協(xié)議的漏洞和攻擊

SYN雪崩式攻擊：連續(xù)發(fā)送請求，服務(wù)器的緩沖區(qū)滿

基于驗證的漏洞和攻擊

用戶到主機的驗證

主機到主機的驗證，越來越多地使用網(wǎng)絡(luò)來攜帶驗證信息，因而引入了安全風(fēng)險

主機到用戶的驗證

基于流量的漏洞和攻擊

截取流量、竊聽信息

大量數(shù)據(jù)包導(dǎo)致丟包、不能處理

發(fā)送單數(shù)據(jù)包引起多個回應(yīng)、產(chǎn)生雪崩流量

數(shù)據(jù)包嗅探

2011-09-21:

第二部分　低層網(wǎng)絡(luò)安全

第五章　物理網(wǎng)絡(luò)層概述

5.1　覺的攻擊方法

5.1.1　硬件地址欺騙

產(chǎn)生具有源硬件地址的數(shù)據(jù)包，但這個地址并不是發(fā)送設(shè)備的源地址，通常這個非法地址與網(wǎng)絡(luò)上另一臺設(shè)備的地址相同。

攻擊1產(chǎn)生一個數(shù)據(jù)包，其目標地址和任何設(shè)備地址都不匹配，這可能引起交換機出現(xiàn)問題，或者只是引起產(chǎn)生大量的流量。

大多數(shù)設(shè)備中，硬件地址是在系統(tǒng)啟動時寫到硬件控制器的，因而可以在系統(tǒng)啟動時通過軟件去修改它。

5.1.2　網(wǎng)絡(luò)嗅探

處捕捉與目標地址無關(guān)的數(shù)據(jù)包，當某臺設(shè)備配置為嗅探流量時，這時即處于所謂的混雜模式。

網(wǎng)絡(luò)訪問控制器可以讀取它收到的每一人數(shù)據(jù)包，這就是地址嗅探。

典型的骨干網(wǎng)物理皮保護的，嗅探很困難，一般來說，一旦流量進入互聯(lián)網(wǎng)服務(wù)提供商就不擔心嗅探了，大多數(shù)數(shù)據(jù)包嗅探發(fā)生的地方是采用無線方式訪問互聯(lián)網(wǎng)的咖啡屋。

5.1.3　物理攻擊

為了減少物理攻擊，對連接到某個ISP的網(wǎng)絡(luò)互聯(lián)損失的保護，許多機構(gòu)采用與多個ISP的多個連接。為了安全起見，它們決定離開建筑物的連接采用多個通道連接。

5.2　有線網(wǎng)絡(luò)協(xié)議

5.2.1 以太網(wǎng)協(xié)議

早期：使用同軸電纜連接設(shè)備

雙絞線系統(tǒng)時代：可以使用雙絞線，使用集線器

網(wǎng)絡(luò)交換機時代：每一臺設(shè)備和交換機之間形成了一個獨立的以太網(wǎng)；硬件地址表；改進了以太網(wǎng)的性能，隔離流量，因為沖突減少，流量只發(fā)送到需要它的設(shè)備上；全雙工，允許同時發(fā)送和接收；由于一個設(shè)備只能看到目標是自己的流量，這使得其他設(shè)備的偷聽很難，因為在交換機內(nèi)具有偽碼表，從而使得嗅探交換網(wǎng)絡(luò)上的流量也是不可能的。

網(wǎng)管為了網(wǎng)絡(luò)診斷或者性能監(jiān)控需要監(jiān)聽網(wǎng)絡(luò)上的流量：

許多交換機支持生成樹端口（spanning port）或者鏡像端口(mirrored port)

使用帶交換機的集線器，但它的峰值是100Mbps，且為半雙工

使用網(wǎng)絡(luò)捕捉器，只能對進入和離開一個機構(gòu)的流量監(jiān)控，不能跨單位間的流量監(jiān)控

5.2.2　基于頭部的攻擊

設(shè)置源和目標地址

產(chǎn)生過長或者過短的數(shù)據(jù)包

5.2.3　基于協(xié)議的攻擊

針對CSMA/CD協(xié)議有沖突的攻擊

5.2.4　基于驗證的攻擊

ARP中毒（piosoning），ARP欺騙，ARP攻擊

只有也在局域網(wǎng)中的攻擊者才能利用ARP的缺陷 (因為ARP協(xié)議只會在局域網(wǎng)(子網(wǎng))中進行) 。黑客他要不是在你的網(wǎng)絡(luò)中找個接口插入而連接上你的局域網(wǎng)，要不就是控制一個局域網(wǎng)內(nèi)的機器，這樣才能進行ARP緩存中毒攻擊。ARP的缺陷不能在被遠程利用。

方法之一：網(wǎng)絡(luò)訪問控制（network access control, NAC）

另外一種源地址基本于驗證的攻擊是發(fā)送帶不同源地址的數(shù)據(jù)包，試圖填滿以太網(wǎng)交換機地址表，或讓交換機相信是另一臺設(shè)備發(fā)來的數(shù)據(jù)包

5.2.5　基于流量的攻擊

流量嗅探

減災(zāi)依法：

采用交換式網(wǎng)絡(luò)環(huán)境，即每個端口一臺設(shè)備

虛擬局域網(wǎng)（VLAN），將流量隔離在虛擬網(wǎng)絡(luò)

加密

另一種攻擊：使用大量的流量造成網(wǎng)絡(luò)崩潰

5.3　無線網(wǎng)絡(luò)協(xié)議（翻譯的文字很難懂）

常見：無線以太網(wǎng)

第一步：發(fā)現(xiàn)

探測包

第二步：接入

聯(lián)系請求包

第三步：傳輸流量

5.3.1　基于頭部的攻擊

5.3.2　探測或釣魚(wardriving)

5.4　常用對策

5.4.1　虛擬局域網(wǎng)（VLAN）

不同VLAN上的兩臺主機通信，其流量必須經(jīng)過路由器。

靜態(tài)VLAN：基于固定的交換機端口劃分

動態(tài)VLAN：基于設(shè)備的硬件地址劃分

5.4.2　網(wǎng)絡(luò)訪問控制（NAC）

第6章　網(wǎng)絡(luò)層協(xié)議

6.1　IPv4協(xié)議

6.1.7基于頭部的攻擊

IP頭部字段可分成兩類：

第一類是端點字段主要由端點使用的端點字段構(gòu)成，在傳遞過程中是不進行檢測的。

第二類是傳遞字段主要由各個路由器進行檢測，并且在傳遞過程中可能被修改的字段構(gòu)成。

死亡之ping

6.1.8　基于協(xié)議的攻擊

大多數(shù)針對IP和ICMP的攻擊瞄向數(shù)據(jù)包的路由，并且高潮引起數(shù)據(jù)包錯誤路由

攻擊者使用ICMP錯誤消息引起服務(wù)拒絕，或者將流量重定向到錯誤的地方。

ARP緩存區(qū)中毒

6.1.9　基于認證的攻擊

IP地址欺騙

IP會話欺騙(IP session spoofing)

6.1.10　基于流量的攻擊

雪崩攻擊

6.2　引導(dǎo)協(xié)議bootp和動態(tài)主機配置協(xié)議dhcp

使用虛假的硬件發(fā)送多個查找數(shù)據(jù)包，消耗動態(tài)池中所有IP地址

偽裝成獲得釋放的一個客戶端，并向服務(wù)器發(fā)送一個DHCP釋放數(shù)據(jù)包

欺騙性DHCP服務(wù)器

6.3　IPv6協(xié)議

6.4　常用的IP層對策

IP過濾

例如，阻止進入的ICMP回應(yīng)請求以防止互聯(lián)網(wǎng)中某些人確定哪些IP地址是在線的

網(wǎng)絡(luò)地址轉(zhuǎn)換NAT

虛擬專用網(wǎng)VPN

三類：網(wǎng)絡(luò)到網(wǎng)絡(luò)、客戶端到客戶端、客戶端到網(wǎng)絡(luò)

IP安全（IPsec）

第7章　傳輸層協(xié)議

7.1　傳輸控制協(xié)議TCP

基于頭部的攻擊

第一類：攻擊者發(fā)送無效的頭部信息，以擾亂TCP層的運行

第二類：攻擊者使用回應(yīng)發(fā)送無效頭部，作為探測操作系統(tǒng)類型的一種方法，稱為探測攻擊

最常被攻擊的字段是標志字段，例如把所有標志設(shè)成１或０；在一個已經(jīng)打開的連接中發(fā)送無效序列號，致使單個連接中斷

基于協(xié)議的攻擊

第一類：攻擊者在端點，與攻擊目標進行不正確的通信。

第二類：攻擊者能嗅探流量，并將數(shù)據(jù)包插入到TCP協(xié)議流中

SYN雪崩(flood)

RST連接切斷

會話劫持（session hijacking）

被動網(wǎng)絡(luò)過濾器：使用復(fù)位連接終止和會議劫持手段，阻止不希望的連接，而流量并不經(jīng)過安全設(shè)備

流量整形器（traffic shaper）：用于減小兩個低優(yōu)先級應(yīng)用間的流量

7.2　用戶數(shù)據(jù)報協(xié)議UDP

7.3　域名服務(wù)DNS

7.4　常用對策

傳輸層安全TLS/安全套接層SSL

第三部分　應(yīng)用層安全

第8章　應(yīng)用層概述

8.1　套接字

8.2　常見攻擊方法

緩沖區(qū)溢出：使接收到的數(shù)據(jù)比能承受的數(shù)據(jù)多；造成的結(jié)果取決于其他可變字段是如何使用的；接收數(shù)據(jù)包括有效數(shù)據(jù)、過濾器、攻擊代碼；過濾器數(shù)據(jù)用于將攻擊代碼定位到內(nèi)存的一個合適地方使其執(zhí)行；攻擊的行為隨操作系統(tǒng)的不同而不同

對要求驗證的應(yīng)用的攻擊的兩種常見類型：直接攻擊和間接攻擊

拒絕服務(wù)攻擊（DoS）

第9章　電子郵件

９.１.１SMTP漏洞、攻擊和對策

基于驗證的攻擊

對電子郵件最常見的攻擊

電子郵件欺騙

電子郵件地址欺騙：沒有對發(fā)送者郵箱地址進行驗證的過程和協(xié)議

用戶名探測：

嗅探SMTP流量

９.２.１POP和IMAP漏洞、攻擊和對策

９.４　一般電子郵件對策

加密和驗證

電子郵件過濾

內(nèi)容過濾處理

電子郵件取證

第１０章　WEB安全

第１１章　遠程訪問安全

第四部分

第１２章　常用網(wǎng)絡(luò)安全設(shè)備

網(wǎng)絡(luò)防火墻

基于網(wǎng)絡(luò)的入侵檢測和防護

基于網(wǎng)絡(luò)的數(shù)據(jù)丟失保護