admin 管理员组

文章数量: 887016

CBK-D4-通信与网络安全、访问控制

安全网络架构和组件

OSI模型–20世纪70年代开发出来,1984年正式作为ISO标准7498发布

应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。 应表会传网数物
封装和解封,数据从物理层到应用层向上移动时被称为解封,向下移动被称为封装。
对等层通信,
应表会层是PDU,协议数据单元。传输层是TCP/UDP,段或数据报。网络层是数据包,数据链路层是帧,物理层是比特
应用层负责用户应用程序、网络服务或OS与协议栈相连接,软件应用程序不在此层内。
表示层将通用或标准化的结构或格式规则强加在数据之上。
会话层管理对话规则或对话控制,在TCP/IP网络上没有实际的会话层, 其功能在传输层处理。
传输层定义会话规则,通过握手过程建立。
网络层负责逻辑寻址和执行路由。不负责验证消息是否传输成功。 还管理错误检测和流量控制。
数据链路层将数据包格式化格式为为传输格式, 帧,包括地址解析协议ARP,网络硬件设备是网桥和交换机。
物理层将帧转换为比特。网络硬件设备是NIS,集线器,中继器、集中器和放大器,执行基于硬件的信号操作。

TCP/IP模型

也称为DARPA模型或DOD模型,仅四层组成。
应用层、传输层、互联网层、链路层
分支主题
TCP/IP模型直接源自TCP/IP协议套件或许多单独协议组成的协议栈。是基于开放标准的独立于平台的协议。几乎支持所有操作系统。
设计初衷是易用性和互操作性,而不是安全性
TCP/IP的漏洞很多
容易受到缓冲区溢出攻击,SYN洪水攻击、DOS攻击、碎片攻击、超大数据包攻击、欺骗攻击、中间人攻击、劫持攻击和编码错误攻击。
也会受到监视或嗅探攻等被动攻击

网络流量分析

是管理网络的基本功能。可用于跟踪恶意通信、检测错误或解决传输问题。
网络窃听也可能被用于违反通信保密性和或充当后续攻击的信息收集阶段。
协议分析其实用于检查网络流量内容的工具。常将NIC置于混杂模式,以查看和捕获本地网段上的所有以太网帧。
数据包的有效负载通常以十六进制和ASCII格式显示。

通用应用层协议

Telnet-tcp23、FTP-tcp20、TFTP-udp69、SMTP–tcp25、POP3–tcp110、IMAP-tcp143、DHCP-udp67-server,udp68-client、HTTP–tcp80、HTTPS–tcp443–https支持使用tcp80进行服务器间通讯、LPD-tcp515、X Window–tcp6000~6063、NFS-tcp2049、SNMP-udp161.
SNMPv3,使用snmp与各种网络设备进行交互,以获取状态信息、性能数据、统计信息和配置详细信息
SNMP代理即网络设备使用UDP161端口接收请求,管理控制台使用UDP162端口接收响应和通知(也被称为Trap消息)

传输层协议

如果连接是通过传输层建立的,则是利用端口时间的。
端口号是16位二进制数,2的16次方或65536,编号0~65535.
IP地址和端口号的组合被称为套接字。即通过IP多路复用。
01023是服务端口,保留端口供服务器使用。102449151是已注册的软件端口。端口49152~65535随机、动态、临时端口。常用作临时源端口。
大多数OS允许2014以后的端口被用作动态客户端源端口,前提是端口未被占用。
三次握手,两次挥手或RST重置
两种方法断开TCP会话
常见的是使用FIN(完成)标记的数据包来优雅地终止TCP会话。
第二种是使用RST(重置)标记的数据包,会使会话立即或突然终止。
UDP在传输层上 运行,优点是可快速传输数据,只在传输不重要的数据时才使用UDP,通常用于音频和或视频的实时或流通信。

域名系统

三种编号和寻址概念
域名是在IP地址上分配的人性化的“临时”约定
IP地址是在MAC地址上分配的“临时”逻辑地址
MAC地址或硬件地址是“永久”物理地址
DNS将人性化的域名解析为对应的IP地址。然后,ARP将IP地址解析为对应的MAC地址。
DNS是公共和专用网络中使用的分层命名方案。
完全限定域名FQDN,总长不能超过253个字符(包括点)。 任何单个部分不能超过63个字符。
FQDN只能包含字母、数字和连字符。
DNS通过TCP和UDP端口53运行
TCP-53用于区域传输、UDP53用于大多数典型的DNS查询。
DNSSEC域名系统安全扩展,可缓解域文件中毒和DNS缓存中毒,但仅适用于DNS服务器,不适用执行DNS查询的客户端系统
对于DNS查询客户端设备,尤其是使用互联网时,应考虑通过HTTPS使用DNS
DNS中毒
流氓DNS服务器
执行DNS缓存中毒
DNS域欺骗
改变HOSTS文件
破坏IP配置
DNS查询欺骗
使用代理伪造
DNS中毒防御措施
域名劫持
误植域名攻击
同形词攻击
URL劫持
点击劫持

互联网协议网络

IP在OSI的网络层运行。为数据包提供路由寻址。提供了一种身份识别手段并规定了传输路径。
与UDP类似,IP是无连接的,因而是一种不可靠的通信服务。
其目的是尽最大努力找到通往目的地的通道或路由。
IPv4与IPv6
IPv6提供了新功能包括作用域地址,自动配置和服务质量Qos优先级值。
IPsec内置于IPv6中,但它是IPv4的附加组件。
IPv6带来的安全问题
1.攻击者可用源地址更多
2.部署IPv6前需对现有的所有安全筛选和监视产品升级以完全支持IPv6
3.NAR的丢失和缺乏。
缓解IPv6的安全问题的方法
双堆栈、隧道、NAT-PT
IP分类
为环回地址留出整个A类网络的127个地址,虽然此目的实际上只需要一个地址。
A类子网127.0.0.1~127.255.255.254中的任何地址是IPv4的环回地址。
子网的第一个地址127.0.0.0是保留为网段地址,最后一个127.255.255.255保留为定向广播地址。
IPv6的环回地址不是特定地址,而是一个 符号::1/128
全0的A类网络被定义为网络黑洞,路由到该网络的流量会被丢弃。
ICMP
用于确定网络或特定链路的运行状况
可用于ping、traceroute、pathping等网络管理工具
ping实用程序包含一个重定向函数,该函数允许将回显响应发送到与源系统不同的目的地。
常被用于各种形式的基于带宽的Dos攻击,如死亡之ping、Smurf攻击和ping洪水攻击。
导致许多网络限制了ICMP的使用,或至少限制了其吞吐量
IGMP
用于管理主机的动态多播组成言资格。

本文标签: 网络安全 访问控制 通信 CBK md