概述
4.1 通信
通信是数据在系统之间的电子传输,采用模拟、数字或无线传输类型。数据沿着铜线、同轴电缆、光纤、空气、电话公司的公共交换电话网PSTN或服务供应商的光缆、交换机和路由器流动
国际通信协会ITU
国际标准化组织ISO
4.2 开放系统互联参考模型
网络协议是决定系统如何在网络中通信的规则标准集
计算机通信方式 物理通道(电信号通过线缆从一台计算机传递到另一台计算机);逻辑通道(封装)
对每层内的功能进行模块化的好处在于:不同的技术、协议和服务能够相互交互,并且提供支持通信的适当接口
应用层:提供文件传输、消息交换、终端会话以及更多功能
应用需要通过网络发送数据,则将指令和数据发送至这一层上支持该应用的协议
简单邮件传输协议SMTP、超文本传输协议HTTP、文件传输协议FTP、Telnet、普通文件传输协议TFTP(小型文件传输协议)、简单网络管理协议SNMP、行式打印机后台程序LPD
表示层:没有协议,只有服务
接收来自应用层的消息,提供了一种其结构能被终端系统正确处理的数据表示方式,将文件转换成不同的标准文件格式
不考虑数据的含义,只关系数据格式和语法
标准格式的转换、处理数据压缩和加密问题
会话层:
负责在两个应用程序之间建立连接,提供进程之间的通信通道,需提供安全身份验证功能
连接建立、数据传输和连接释放
在该层上工作的协议:结构化查询语言SQL、网络基本输入输出系统NetBIOS、远程过程调用RPC、密码身份验证协议PAP
工作模式:单工模式、半双工模式、全双工模式
传输层:控制计算机到计算机的通信
提供端对端的数据传输服务,在两台计算机之间建立一个逻辑连接
工作的协议有:传输控制协议TCP(Transmission Control Protocol)、用户数据报协议UDP、安全套接字层SSL、序列包交换SPX(Sequenced Packet Exchange)
网络层:
在数据包的首部插入信息,将数据正确地编址和路由,并将数据实际路由至正确目的地
工作的协议:网际协议IP、网际控制消息协议ICMP、路由信息协议RIP、开放最短路径优先OSPF、边界网关协议BGP、互联网组管理协议IGMP、网际数据包交换IPX
数据链路层:
数据包转换成局域网和广域网技术的二进制格式,以便沿线路正确传送
LAN和WAN使用不同的协议、网络接口卡NIC、线缆和传输方法
两个子层:
逻辑链路控制层LLC;负责控制数据流和检查错误
介质访问控制MAC(Media Access Control);确定网络是以太网、令牌还是ATM
针对以太网的IEEE MAC规范是802.3,令牌环802.5,无线LAN是802.11等
工作的协议:点对点协议PPP、第二层隧道协议L2TP、FDDI、ATM、以太网和令牌环、地址解析协议ARP、逆向地址解析协议RARP、串行线路网际协议SLIP
每种网络技术(以太网、ATM、FDDI等)都定义了支持网络通信所需的兼容物理传输类型(同轴电缆、双绞线、光纤和无线),定义相应的电信号和解码模式。
网卡桥接数据链路层与物理层
物理层:
根据所使用的网络技术,网卡驱动程序在数据链路层对位进行编码,并在物理层将其转变为电信号状态,然后通过线缆传送
将位转换为用于传送的电压,控制同步、数据传送速率、线路噪声与介质访问
该层上的标准接口:10BASE-T、10BASE2等、综合服务数字网络ISDN、数字用户线路DSL、同步光纤网络SONET
路由器,工作在网络层;网桥(数据链路层);中继器(物理层)
多层协议:
(1)分布式网络协议3 DNP3
电力和自来水等公用事业中大量使用的数据采集与监视控制系统SCADA的核心是DNP3协议
(2)控制器区域网络总线CAN bus
运行在大部分汽车上
4.3 TCP/IP模型
1、TCP和UDP
TCP 全双工、可靠的、面向连接、支持包序列、流量和拥塞控制、错误检测和纠正
UDP 无连接,侧重传输效率
使用端口与上面的层通信并跟踪同时发生的不同会话,也用于确定其他计算机如何访问服务的机制
套接字:IP+端口号,IP知道该去哪,端口号知道如何与其他计算机的服务通信
SMTP(端口25) FTP(端口20和21) HTTP(端口80) Telnet(23) SNMP(161和162)
端口0-1023仅可供特权系统或根进程使用;1024—49151注册端口;49152-65535动态端口
(1)TCP握手 端口号16bits
三次握手,系统之间建立虚拟连接,协商某些参数、数据流、窗口系统、错误检测和选择
1.主机向接收方发送同步SYN包
2.接收方发送SYN/ACK应答请求
3.发送主机发送应答ACK包进行应答
SYN flood:攻击者发送大量SYN包给系统,导致系统可用的TCP连接资源耗尽(使用SYN缓存缓解)
TCP会话劫持:TCP握手过程约定TCP序列号插入数据包首部,若攻击者预测TCP序列号,则能欺骗系统接管连接
应用层(消息)—传输层(TCP分片/UDP数据报文)—网络层(数据包)—数据链路层(帧)—物理层(位)
消息通过TCP传输,则称为“分片”;如果通过UDP传输,称为“数据报文”
2、IP寻址
IPv4 32位 IPv6 128位 由主机部分和网络部分组成,子网掩码区分地址组
A类 0.0.0.0——127.255.255.255(一字节网络部分,首位固定为0)
B类 128.0.0.0——191.255.255.255(两字节网络,前两位固定为10)
C类 192.0.0.0——223.255.255.255(三字节网络,前三位固定为110)
D类 用于多播地址
E类 保留
子网:从IP地址主机部分创建,将主机部分进一步分解成逻辑分组,减少管理难题,改善通信性能,潜在地提高安全性
无类别域间路由CIDR即超网
生存时间TTL:每经过一个路由器,TTL值减1
IP报头中包含一个协议字段,17代表UDP 1(ICMP)、2(IGMP)、6(TCP),51(AH)
3、IPv6
支持更多的寻址层次结构级别;提高多播路由的可扩展性
任播地址的地址,用于向节点组中的任一节点发送数据包
指定了支持身份验证、数据完整性和机密性的扩充部分
IPv4与IPv6通信:通过隧道技术完成,把IPv6封装在IPv4中,或者执行自动地址转换
(1)6to4隧道:把IPv4地址数据嵌入本地端的IPv6地址中
(2)Teredo:使用UDP封装自动隧道技术,NAT地址转换不受影响
(3)站点内自动隧道寻址协议ISATAP:把IPv4当做一个虚拟的IPv6本地链接,把IPv4映射到本地IPv6地址
前两个是站间隧道机制,用于不同网络间的链接;ISATAP是站内机制,用户特定网络内
4、第二层安全标准
虚拟专用网络VPN提供网络层保护
802.1 AE是IEEE MAC安全标准(MACSec),用来提供数据保密性、完整性和数据源认证;只有经过认证的可信设备才能通信,未经授权的设备不允许通过网络通信,有助于防止攻击者安装恶意设备;MACSec对帧进行解密,计算帧的完整性校验值,判断帧是否为篡改
802.1 AR为每个设备定义全局唯一的安全标识符,该标识符通过公钥加密和数字证书与设备绑定,提供数据加密、完整、原始身份验证
802.1 AF为用于数据加密的会话密钥实施密钥协商功能
5、汇聚协议
协议开始独立,随着时间推移封装在另一个协议中
光纤通道以太网PCoE,允许光纤通道帧通过以太网网络,用于存储区域网络SAN
多协议标签交换MPLS
互联网小型计算机系统接口iSCSI
4.4 传输类型
物理数据传输
1、模拟和数字 数据传输方式
信号是指以物理形式从一个地方向另一个地方传送信息的方式
模拟信号:波纹形式,振幅和频率
数字信号:二进制表示电脉冲,远距离传输更可靠
调制解调器:负责把数字数据调制成模拟信号
2、同步和异步 传输控制机制
同步:通过由时钟脉冲启动的时间序列同步数据传输;具有强大的错误检测,通过循环冗余校验CRC实现;用于高速高质量传输
异步:使用开始和停止位进行通信;使用校验位控制错误,每个字节需要开始、停止、奇偶校验指令
3、宽带和基带 一次能有多少通信会话发生
基带:使用整个通信通道进行传输,一次只允许传输一个信号
宽带:将通信通道分为若干不同且独立的通道,传输不同类型的数据,运载多个信号;划分频率,并把数据调制到各个频率通道
4.5 线缆 电信号以电流方式沿线缆传播
布线具有与之相关联的带宽和数据吞吐速率值,带宽指示它采用的最高频率范围,数据吞吐速率是经过压缩和编码之后实际通过线缆的数据量。带宽可视为管道的大小,数据吞吐速率则是通过管道的实际数据量。
(1)同轴电缆
用作传输无线射频信号
与双绞线相比,更加抗电磁干扰EMI,提供更高的带宽,更大的线缆长度;但是双绞线更便宜
可克服双绞线的长度问题
(2)双绞线 具有被外保护层包裹的隔离铜线
屏蔽双绞线STP:线缆存在外围金属屏蔽层
非屏蔽双绞线UTP:没有屏蔽层,最不安全的网络互连线缆
价格便宜,易于使用;但铜线对电流阻抗大,电流传播一段距离后引起信号衰减
(3)光缆
光纤使用一种玻璃,运载光波,具有更高的传输速率,信号传送更远,难以被偷听,更安全,极为昂贵,不会受到衰减和EMI影响
光缆通常在主干网络和需要高速数据传输的环境中使用,大多数网络使用UTP,然后连接到使用光纤的主干网络
传输模式:
单一模式:小玻璃芯,用于远距离高速数据传输,与多模式相比,不易衰减
多模式:大玻璃芯,比单芯承载更多数据,衰减快,适用于短距离传输
光探测器:把光信号转换回电子信号
布线问题:噪声、衰减(传输数据的频率越高,线缆的长度应越短,保证衰减不会导致问题,标准规定线缆最大长度不得超过185米,若超过则需要使用中继器)、串扰(一根线路上的电信号溢出到另一根线路上)、线缆的阻燃率
(增压空间:房屋天花板和上一层楼地板之间的空间)
4.6 网络互连基础
可扩展性、冗余、性能、安全、可管理性和可维护性
网络由路由器、交换机、web服务器、代理、防火墙、名称解析技术、协议、IDS、IPS、存储系统、抗恶意程序软件、VPN、非军事区DMZ、数据丢失防护解决方案、电子邮件系统、云计算、web服务、身份验证服务、冗余技术、公钥基础设施、专用分组交换机PBX等构成。
1、网络拓扑 计算机和设备的物理安排
环形拓扑ring:单向传输链路组成闭合回路
总线型拓扑bus:线性和树状,一根线缆跨越整个网络,线缆会成为单一故障点;以太网采用总线型和星型拓扑
星型拓扑:所有节点连接到一台集中式设备,每个节点到集中式设备都有一条专用链路,集中式设备需提供足够的吞吐量,潜在的单一故障点
网状型拓扑mesh:每个节点都与其他所有节点直接相连,提供冗余路径
2、介质访问技术
网络拓扑决定使用的物理介质类型以及如何建立连接,介质访问技术处理系统如何在介质上通信的问题
LAN访问技术建立计算机在网路上如何通信、如何处理错误、采用何种物理介质、数据帧最大传输单元MTU(Maximum Transmission Unit)大小等规则
网络传输通道是该网络上所有系统和设备所必须共享的主要资源,可以是同轴电缆上的令牌环、UTP上的以太网、光纤上的FDDI、无线电波上的Wifi,确保每个系统可访问该通道
(1)介质共享
令牌传递:令牌是决定哪台计算机在哪个时间区间通信的24位控制帧,只有拥有令牌的计算机才能将数据帧放在网络上(被令牌环和FDDI技术采用)
CSMA:两种类型CSMA/CD和CSMA/CA
计算机使用带有冲突检测的载波侦听多路访问CSMA/CD协议时,会监控网线上的传输活动或载波活动,检测到冲突时,所有工作站执行一段随机的冲突计时(后退算法)
无线LAN 802.11使用CSMA/CA实现介质访问功能
载波侦听方法快,但存在冲突;令牌传递没有冲突
冲突域指抢夺或竞争相同的共享通信介质的一组计算机
以太网有广播域和冲突域,广播域是计算节点的集合,所有节点接收第2层广播帧,由交换机、集线器或网桥互联,没有路由器。
碰撞域是计算节点在传输数据时可能产生冲突的集合,这些节点通常由集线器、中继器或无线接入点链接。
轮询:主站询问从站是否有内容发送,从站唯一通信的时候(主要用在大型机系统环境中)
以太网使用CSMA/CD、令牌环使用令牌、FDDI使用令牌、WiFi使用CSMA/CA,大型主机介质访问使用轮询
两个LAN用路由器连接时网间网络;两个LAN使用不同的数据链路层技术(如帧中继或 ATM)连接,则为WAN
LAN由其使用的物理拓扑、数据链路层技术、协议和设备定义
(2)以太网Ethernet 使用总线型或星型拓扑
使用广播和冲突域、支持全双工通信、使用CSMA/CD;能使用同轴电缆、双绞线或光纤
以太网类型
10Base-T Cat3 UTP 速率10Mbps,使用双绞线,使用RJ-45连接面板连接计算机
100Base-TX,快速以太网 Cat5 UTP 100Mbps
1000Base-T,G速以太网 Cat5 UTP 1000Mbps,最长距离100米
10GBase-T Cat6a UTP 10000Mbps
(3)令牌环
星型拓扑中采用令牌传递技术,每台计算机连接到多站访问单元MAU的集中式集线器
主动监控机制可去除网络上循环的数据帧
检测到网络问题,发送信标帧
(4)FDDI光纤分布式数据接口(Fiber Distributed Data Interface)
高速的令牌传递介质访问技术,最高100Mbps数据传输速率,使用光纤电缆作为主干网络
主环顺时针传送数据,用于常规的数据传输;;副环逆时针传送数据,提供容错功能,在主环出现故障时激活,FDDI网络上的每个节点都具有连接到两个环上的中继
应用距离最长100公里,常用在城域网MAN中,连接不同的LAN
优点:跨远距离高速工作,只受最小的干扰
连接到FDDI环上的设备:单衔接工作站SAS,通过集线器只连接到主环
双衔接工作站DAS,两个端口,连接到主环和副环
单衔接集线器SAC,将SAS设备连接到主环的集线器
双衔接集线器DAC,将DAS、SAS、SAC设备连接到两个环的集线器
3、传输方法
单播:一对一
多播:一对多
广播:一对所有
IPv4多播协议使用D类地址,网际组管理协议IGMP(Internet Group Management Protocol)用于向路由器报告多播组成员关系
4、网络协议和服务
(1)地址解析协议ARP(Address Resolution Protocol)
NIC具有唯一的物理地址(介质访问控制地址MAC,Media Access Control),制造商写在网卡上的ROM芯片内,数据链路层处理MAC地址
ARP广播数据帧,请求与目标IP地址相对应的MAC地址,并将映射信息缓存一段时间
ARP表中毒:攻击者攻击系统的ARP表,使之包含错误的信息(伪装攻击)(面对多种不同的响应时,ARP使用最近响应的)
(2)动态主机配置协议DHCP(Dynamic Host Configuration Protocol)
基于UDP的协议,允许服务器为网络客户端实时分配IP地址
DHCPDISCOVER 客户端寻找DHCP服务器
DHCPOFFER 服务器为客户端提供可用的IP地址和服务设置
DHCPREQUEST 客户端确认接受被分配的设置
DHCPACK 包括IP地址的有效期
BOOTP是DHCP的前身
网络屏蔽未进行身份验证的DHCP客户端的有效方法在网络交换机上使用DHCP窥探(DHCP snooping),确保只为选定的系统分配IP地址
(3)网际控制消息协议ICMP(Internet Control Message Protocol)
递送状态信息、报告错误、回答某些请求、报告路由信息、用于测试IP网络的连通性和排查问题
Eg ping程序
ICMP目的是发送状态信息,不装载用户数据
Loki是攻击者在系统上建立后门的客户端/服务器程序,选择目标计算机,安装Loki的服务器部分,服务器部分在端口上侦听,攻击者发送ICMP数据包里的命令,攻击成功
攻击者用ICMP重定向流量
对策:利用防火墙规则,仅允许必要的ICMP数据进入网络,IDS和IPS监测可疑活动,安装配置主机防火墙和主机IDS识别
(4)简单网络管理协议SNMP(Simple Network Management Protocol)
两个主要组件:管理器和代理
代理是运行在网络设备上的软件,通常集成至OS,管理器组件轮询代理,代理分析从管理信息库MIB收集的数据
陷阱操作允许代理通知一个事件的管理器,而不是必须等待轮询。eg如果路由器上的接口出现故障,代理会发送陷阱消息给管理器,这是代理不需要首先被调用便可以和管理器进行通信的唯一方式。
任何连接到端口161的人能读取设备的状态信息并重新配置它
社区字符串是管理器用来从代理那请求数据的密码:只读和读写,在SNMPv1和v2中用明文发送,SNMPv3提供加密、消息完整性和身份验证安全
5、域名服务DNS
将主机名解析成IP地址
统一资源定位符URL
配备主DNS服务器和从DNS服务器实现容错能力和冗余
主DNS服务器通过区域传送zone transfer同步信息,主DNS服务器发生变更后,必须被复制到从DNS服务器,要对DNS服务器进行配置,以允许区域传送仅在特定的服务器间进行。攻击者通过执行未授权的区域传送从受害者的DNS服务器中收集信息
计算机有一个DNS解析器(DNS客户端),负责向DNS服务器发送请求,索要主机IP地址信息
非递归查询指请求只是到达指定的DNS服务器,为解析器返回答案或者错误提示
递归查询指请求从一个DNS服务器传递到另一个DNS服务器
HOSTS文件驻留在本地计算机,保存静态主机名到IP地址映射信息,解析器首先查看缓存或HOSTS文件,然后发送请求给本地DNS服务器,若没有,则本地DNS发送请求给另外的服务器
DNS威胁:
对策:使用更强的身份验证机制,如DNSSEC,应用了PKI和数字签名,DNS服务器可验证消息的来源,保证响应来自被授权的DNS服务器,使得DNS服务器在自身之间发送和接收授权消息,阻止攻击者毒害DNS缓存表
HOSTS文件操纵问题 对策:设置为只读文件和实施一个主机型IDS
域抢占和恶意抢注问题 注册域名时遵循先到先服务策略的治理模型
6、电子邮件服务 采用身份验证方案
简单邮件传输协议SMTP,工作在TCP层之上
邮局协议POP
互联网消息访问协议IMAP,用户可下载所有邮件或保存在中央存储库的远程消息文件夹中
POP常用于基于互联网的电子邮件账户,egGmail,IMAP通常用于企业电子邮件账户
电子邮件服务器使用的中继代理应正确配置,采用防病毒和内容过滤应用程序,启用邮件服务器的反垃圾邮件功能,才能确保公司的邮件服务器不被恶意团体所利用进行垃圾邮件活动。
威胁:电子邮件伪装,用于垃圾邮件和网络钓鱼
对策:防止未经授权用户对其发送电子邮件、记录连接、防火墙过滤、使用发件人策略框架SPF(电子邮件验证系统,验证发件人的IP检测电子邮件伪装)
SMTP-AUTH SMTP认证用来在邮件传输协议中提供访问控制机制,包含身份验证功能,接收邮件之前对发送方进行验证
7、网络地址转换NAT(Network Address Translation)
使公司能使用私有IP地址,并透明得与互联网计算机进行通信
私有IP地址范围:不可路由
A类 10.0.0.0—10.255.255.255
B类 172.16.0.0—172.31.255.255
C类 192.168.0.0—192.168.255.255
NAT将内部地址集中在一个设备上,隐藏了内部地址,任何离开网络的数据帧只有改设备的源地址
三种类型:
(1)静态映射:私有地址静态映射到特定的公共地址上
(2)动态映射:NAT软件配置IP地址池,估计一次可能有多少台计算机与外部网络通信,即购买的公共地址的数量
(3)端口地址转换PAT(Port Address Translation):仅使用一个公共IP,修改IP地址和源端口号
8、路由协议 确定源系统和目标系统之间的一条路径
互联网上单独的网络成为自治系统AS,AS的边界由边界路由器界定,与其他AS的路由器相连,运行内部和外部路由协议
AS内部路由器 内部路由协议
AS之间 外部路由协议
动态路由VS静态路由
距离向量(基于跳数和方向决定路由)VS链路状态(构建更加准确的路由表,使用跳数、数据包大小、链路速度、延迟、网络负荷和可靠性)
内部路由协议:Interior Routing Protocols,路由同一个AS范围内流量
(1)路由信息协议RIP(Routing Information Protocol):距离向量路由协议,只用在小型网络中,第1版不具有身份验证,第2版以明文发送密码或使用MD5进行散列
(2)开放最短路径优先OSPF(Open Shortest Path First):链路状态算法,大型网络首选,可使用明文密码或散列密码进行身份验证
外部路由协议EGP(Exterior Gateway Protocol):连接不同AS的路由器
边界网关协议BGP(Border Gateway Protocol),组合使用了距离向量和链路状态算法
路由器攻击成功的原因:未启动身份验证,导致接受任何路由器的路由更新信息
虫洞攻击:攻击者在网络中某个位置捕获数据包,并将其通过隧道传送到另一个位置,隧道称为虫洞;对策:使用约束,eg限制数据包的最大传输距离;确保数据包发送位置;限定数据包的生命周期
4.7 网络互连设备
需要物理设备实际应用提到的协议和服务
1、中继器repeater
工作在物理层,只是中继和放大线缆段之间的电信号
集线器hub是一个多端口的中继器
2、网桥 扩展LAN
一种用于连接不同LAN网段的LAN设备,工作在数据链路层
数据帧到达网桥时,会判断MAC地址是否在本地网段,若不在则转发至另一个网段
广播风暴问题:网桥转发了所有广播包,导致网络负担过重
类型:
本地:在局部区域内连接网段
远程:通过电信链路连接一个MAN上两个或多个LAN网段
翻译:若连接的两个LAN类型不同,使用不同的标准和协议,翻译网桥
透明桥接技术
3、路由器
能基于访问控制列表ACL过滤流量(基于IP、协议类型和端口),必要时将数据包分片
路由器为每个端口分配新的地址,因此可将不同的网络连接
4、交换机 组合中继器和网桥的功能
全双工通信
基本交换机工作在数据链路层,基于MAC地址转发流量
多层交换机基于硬件的处理能力,提供路由选择和流量管理任务
第3层交换机:具有路由器的功能,使用更高效的硬件实现
多协议标签交换MPLS(Multiprotocol Label Switching),每个网络分配标记,数据包到达交换机时,查看目标地址的标记并附加到数据包,那么后面的交换机只需要查看标记就可确定路由,提高路由速度
虚拟局域网VLAN(Virtual LAN)
基于资源需求、安全性或业务需求为计算机进行逻辑分组(网桥和路由器,系统和资源按照物理位置分组的)
VLAN跳跃攻击:攻击者访问各种VLAN分段中的流量,攻击者能让系统起到交换器的作用,系统理解网络中正在使用的标记值和中继协议,能够把自己插在其他VLAN设备之间,访问来往的流量,也能插入标记值操控数据链路层的流量
端口镜像:通过在交换机或路由器上,将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听,指定端口称为镜像端口
5、网关gateway
用于连接两个不同环境的设备上运行的软件,eg将网际数据包交换IPX包翻译成IP包,连接翻译不同的数据链路技术;翻译不同网络之间使用的不同协议
6、PBX专用交换分机(Private Branch Exchange)
PBX具有到本地电话公司交换中心的专门连接,能和几种设备连接
把手机接到连接着公司网络的笔记本上,并把手机当做调制解调器时,便构成不受监控的WAN连接 为什么?
7、防火墙 用于限制另一个网络对特定网络的访问
可以是运行防火墙软件产品的服务器或特殊的硬件设备,包基于源地址、目标地址、端口、服务端口、包类型、协议类型、头部信息等过滤
通过设立防火墙构造DMZ区,一个位于受保护网络和未受保护网络之间的网段(至少两个防火墙)
(1)包过滤防火墙 第一代 无状态检查
使用ACL,仅能审核网络层和传输层协议的首部信息,接受或拒绝
能阻断网络协议级的许多攻击
弱点:不能防止利用针对应用程序的脆弱性或功能的攻击;日志记录功能有限;不支持高级的用户身份验证方案;无法检测伪造地址;不能检测数据包分片攻击
(2)状态检测防火墙 网络或传输层
记住并跟踪哪些包到达什么位置,直至特定的连接关闭
特点:维护一个状态表,跟踪每个通信会话;提供了高度安全性,不会像代理防火墙那样引入性能问题;可升级,对用户透明;为跟踪连接协议(UDP或ICMP)提供数据;存储和更新包内数据的状态和上下文
XMAS攻击:DoS攻击,TCP标志值都为1的数据包
(3)代理防火墙 拒绝在源系统和目标系统之间进行实际的端对端连接
接受流进或流出网络的消息,检查可疑的信息,认为没有问题时才传输数据
代理防火墙断开通信信道,两个通信设备之间不能直接连接,在接口处代表用户重新启动新的会话
电路级代理:工作在OSI模型的底层代理防火墙,工作在会话层;与应用级代理相比,能处理更多类型的协议和服务,但无法提供应用级代理的细粒度化控制
应用级代理:工作在应用层的代理防火墙,理解整个数据包;每个协议至少使用一个代理,可根据协议的命令结构进行访问决策
特点:拥有强大的日志记录功能;能够直接对用户进行身份验证;能够抵御欺骗攻击和其他复杂的攻击
缺点:不适合高带宽或实时应用;支持新网络应用和协议的能力有限;性能问题
SOCKS是电路级代理网关的例子
(4)动态包过滤防火墙
动态添加新的ACL
(5)内核代理防火墙 一种基于代理的防火墙
防火墙对数据包创建新的虚拟网络栈,只加载必要的协议代理,对每一层进行检查,所有检测和处理在内核进行,比应用级代理防火墙快
(6)下一代防火墙NGFW
(7)防火墙架构
堡垒主机:某个系统高度暴露,最容易成为攻击者的目标(系统应禁用所有不必要的服务、禁用不必要的账户、关闭不需要的端口、删除不用的应用程序、减少系统的攻击面)
双宿防火墙:双宿指的是一个设备具有两个接口:一个面向外部网络,一个面向内部网络;防火墙软件安装在双宿设备上,底层的OS应当关闭包转发和路由功能
被屏蔽主机:一种直接与边缘路由器和内部网络通信的防火墙
互联网的流量通过外部路由器的包过滤进行过滤,发送至屏蔽主机防火墙,应用更多规则检查后进入内部目标主机
防火墙(屏蔽主机)是直接从路由器接收数据流的唯一设备;屏蔽设备是路由器
被屏蔽子网:在被屏蔽主机架构基础上添加一层安全性
外部防火墙对进入DMZ网络的数据进行屏蔽,内部路由器或防火墙还可过滤流量
两个防火墙之间设立了DMZ区,可将信任的内部网络和外部网络隔离
屏蔽主机架构也称为单层配置,屏蔽子网称为双层配置;使用3个防火墙创建两个独立的DMZ,称为三层配置
(8)虚拟防火墙
在虚拟化实体之间提供保护,监控虚拟机之间的流量链路
(9)防火墙规则
任何防火墙的默认操作为隐式拒绝,来自互联网的数据包拥有内部网络的源地址应拒绝,任何没有内部源地址的数据流都不应允许离开内部网络(有可能是僵尸机,DDoS的攻击的代理)
拒绝含有源路由信息(数据包头部有路由信息,自己决定如何到达目标)的数据包进入网络
防火墙缺点:潜在的流量瓶颈和单点故障威胁;不能防止恶意软件;不能阻止嗅探和恶意的无线接入点AP,对内部攻击提供的保护很少
防火墙规则:
沉默规则:不记录嘈杂流量便弃用它,不对不重要的数据包做响应,减少日志规模
隐形规则:不允许未经授权的系统访问防火墙软件
清理规则:规则库中的最后一条规则,放弃并且记录任何不符合前面规则的流量
否定规则:用来代替广泛允许的任何规则,否定规则规定什么系统能够被访问和如何被访问,对许可权限控制较紧
片段攻击:构建了利用网络协议中数据包片段的方法
IP片段:利用IP内的片段和重组缺陷,引起DOS攻击
泪滴攻击:创建畸形片段,一旦被重组,可使得受害者系统不稳定
重复片段攻击:颠覆在检查前不重组数据包片段的数据包过滤器,恶意片段重写以前已批准的片段
8、代理服务器
介于客户端和提供服务的服务器之间
9、蜜罐honeypot
指位于屏蔽子网或DMZ区中的计算机,用于试图引诱攻击者
可用作早期检测机制
一起使用两个或多个蜜罐系统,则构成蜜网honeynet
确保蜜罐系统没有连接生产系统,没有给攻击者提供“跳点”
10、统一威胁管理UTM(Unified Thread Management)
将多数安全功能集于一身的设备
问题:单点故障(应进行冗余部署);单点防护(如果被攻破则没有部署其他层的保护措施);性能问题
11、内容分发网络CDN(Content Distribution Network)
由分布在一大片区域的多台服务器组成,每台为距离他们最近的用户提供优化后的内容
可抵御DDoS攻击
内容分发网络(CDN)旨在提供可靠、低延迟、地理分布的内容分发
12、软件定义网络SDN(Software-Defined Networking)
云计算、大数据和移动计算的发展推动SDN
分布式软件的网络方法,使得新的服务分配和平台之间通过动态路径的通信更加容易
集中设备配置和控制
(1)控制和转发平面
控制平面是决定网络路线的地方,负责发现相邻网络的拓扑并负责维护路由向外发送的数据包列表
转发平面是做出通信转发决定的位置
(2)实现方法
开放式、API、叠置
4.8 内联网和外联网
基于web的技术
4.9 城域网MAN
通常是主干网,用于将LAN连接到LAN,将LAN连接到WAN、互联网和其他电信电缆网
大多数是通信服务提供商提供的同步光纤网SONET(Synchronous Optical Network)或FDDI环,企业通过T1、部分T1和T3线路连接到环网
SONET实际是一种用于光缆上通信传输的标准,SONET线路和环全部冗余,保证通信的连续性,可自我恢复。
SONET网络能在光网络上传输语音、视频和数据
MAN由无线基础设施、光纤或者以太网连接组成
城域以太网:以太网LAN可以连接到MAN技术上,或者进行扩展,称为城域以太网,访问层把客户的设备与服务提供商的聚合网络连接在一起,聚合出现在分布式网络中,都市层是城域网,核心连接着不同的城域网络
VPLS虚拟专用LAN服务:一个多点、第2层虚拟专有网络,使用以太网桥接技术与两个或者多个客户设备相连,即VPLS在可管理的IP/MPLS网络上模拟LAN
4.10 广域网WAN 大多数WAN通信协议是面向连接的协议
通信需要跨越一个更大的地域范围时
多路复用:多路电话呼叫被隔开并放在同一条线路上
异步传输模式ATM(Asynchronous Transfer Mode):将数据封装如固定的信元,并能用于通过SONET网络传送数据,一种高速网络技术,使用固定的信元大小
通信历史过程:
运载模拟信号的铜线
运载24路通话的T1线铜线 1.544Mbps传输速率
运载28路T1线的T3线 44.736Mbps
光纤和SONET网络
SONET上的ATM
SONET是北美标准,数据以电信号形式从T载波传到SONET网络的边缘,电信号必须转换为光信号在光纤线路上传输(光载波OC),OC-1传输速率51.84Mbps,OC-3=155Mbps,OC-12=622.08Mbps
欧洲等国使用支持E1(2.048Mbps)和E3(34.368Mbps)线路的同步数字体系SDH
SDH和SONET之间通信,必须进行信号转换
专用链路:两个目标之间进行WAN通信预先建立的单条链路 昂贵不灵活
(1)T载波:专用线路,能在干线上运载语音和数据信息 T1线和T3线,将几个单独的通道复用到高速通道的数字电路,通过时分多路复用TDM(Time-Division Multiplexing)执行多路复用功能
(2)E载波:用单一的物理线对通过时分多路复用来同步传输语音会话
(3)光载波:高速光纤连接用光载波OC传输速率衡量
多路复用技术:
统计时分多路复用STDM:通过一根传输线缆同时传送几种类型的数据
频分多路复用FDM:一段用于移动数据的无线频谱,将可用的频带划分为较窄的频带,用于多个并行的通道传输数据
波分多路复用WDM:用于光纤通信,多路复用大量光载波信号到一条光纤上
WAN技术:
(1)CSU/DSU通道服务单元/数据服务单元:采用数字设备将LAN连接到WAN时使用,作为一个转换器工作,为数据终端设备DTE(终端、路由器等)提供了一个数字接口,并通过另一个接口到达数据电路终端设备DCE(如电信公司的交换机)
(2)交换:电路交换和数据包交换
电路交换建立一个虚连接,eg ISDN和电话呼叫 固定的延迟,通常运载面向语音的数据
数据包交换:数据包通过许多不同的独立设备,不是所有包相继通过相同的设备,eg互联网、X.25和帧中继 支持爆发式数据流量,运载面向数据的数据
(3)帧中继frame relay 共享
一种在数据链路层工作的WAN协议,使用数据包交换,多个公司和网络共享相同的WAN介质
花费根据所使用的带宽计算,得到承诺的信息速率CIR(Committed Information Rate)
帧中继设备:
数据终端设备DTE(Data Terminal Equipment):通常是客户拥有的设备,eg提供公司自己的网络和帧中继网络之间连通性的路由器和交换机。
数据电路终端设备DCE(Data Circuit-Terminating Equipment):服务提供商的设备,在帧中继云团中完成实际的数据传输的交换
(4)虚电路 帧中继和X.25通过虚电路转发数据帧
永久虚电路PVC
交换式虚电路SVC 灵活
(5)X.25
使用载波交换的交换技术,许多不同的网络提供连通性,提供任意到任意的连接,用户支付的费用基于所使用的带宽
数据分为128字节的单位,封装入高级数据链路控制HDLC数据帧
传输速率不及帧中继或ATM
(6)异步传输方式ATM(Asynchronous Transfer Mode)
使用信元交换方法 数据分片大小固定53字节的信元 语音和视频传输载体
用于LAN、MAN、WAN和服务提供商连接的高速网络互连技术
第一种提供真正QoS的协议
OsS级别:尽力服务、差分服务、保证服务
流量整形:控制网络流量从而优化或者保证通信质量的技术
(7)同步数据链路控制协议SDLC(Synchronous Data Link Control)
提供轮询介质访问技术
主要用于与系统网络架构SNA内的大型机环境中
(8)高级数据链路控制协议HDLC(High-level Data Link Control)
面向位的数据链路层协议
主要用于设备之间的通信,eg两个路由器通过一个WAN链路通信
(9)点对点协议PPP 电信设备使用的数据链路协议
PPP执行功能:多协议数据包封装、用链路控制协议LCP建立、配置和维护连接、用网络控制协议NCP配置网络层协议(理解不同网络层协议IP、IPX、AppleTalk、NetBEUI)、通过密码身份验证协议PAP、挑战握手身份验证协议CHAP、可扩展身份验证协议EAP提供身份验证功能
(10)高速串行接口HSSI 物理层工作
一种将多路复用器和路由器联系至高速通信服务的接口
(11)多服务访问技术
将若干种通信类别(数据、语音和视频)合并到一条传输线上,提供更高的性能,降低运作成本,为管理员提供更大的灵活性。集成度和控制能力。
公共交换电话网PSTN(Public-Switched Telephone Network):使用电路交换,以语音为中心的网络(常规的电话系统)。打电话时,必须先建立连接,控制信令,然后再撤销会话,通过7号信令系统SS7协议完成。
IP语音VoIP(使用包交换),采用会话初始化协议SIP(Session Initiation Protocol能够在TCP或UDP上工作的应用层协议)建立和撤销呼叫会话
VoIP四个组件:IP电话设备、呼叫处理管理器、语音邮件系统以及语音网关(执行数据包路由)
抖动:携带对方语音消息的数据包在网路中某处排队,还未到达目的地,所以通话会滞后
抖动是不同数据包的延迟变化(电话号码就是IP地址)
(12)H.323网关
对电路型电话网络和数据包型VoIP网络上使用的协议进行转换
(13)会话初始化协议SIP(Session Initiation Protocol)
一种用于VoIP通信会话的信令协议,用于视频会议、多媒体、即时通信和在线游戏之类的应用中,不用于传送会话
两个组件组成:
用户代理客户端UAC(User Agent Client)
用户代理服务器UAS(User Agent Server)
SIP通过三步握手过程启动会话
4.11 远程连接
(1)拨号连接
调制解调器把输出的数字信号调制成通过模拟载波传递的模拟信号,把输入的模拟信号调制成可由计算机处理的数字信号
战争拨号攻击:标识能被破坏的调制解调器 对策:用户认证
(2)综合业务数字网ISDN(Integrated Services Digital Network)
ISDN使数据、语音和其他类型的流量在介质中以数字形式传输
如果计算机使用调制解调器与ISP通信,则需要将数字形式转换为模拟形式
提供了数字的点到点电路交换介质
两个基本服务:
基本速率接口BRI(Basic Rate Interface):有两个B通道(用于传输数据)和一个D通道(提供呼叫的建立、网络管理、错误控制等),可用带宽144Kbps;与拨号连接相比,D通道提供更快的呼叫建立和连接建立过程 应用于小型办公室和家庭
主速率接口PRI(Primary Rate Interface):23个B通道和一个D通道 应用公司中,总带宽1.544Mbps
(3)数字用户线路DSL(Digital Subscriber Line)
用于连接公司和服务提供商的交换中心
一种宽带技术 最高52Mbps传输速度
(4)线缆调制解调器
最高50Mbps,通过同轴电缆或光纤访问互联网
共享相同介质
与拨号调制解调器和IDSN连接不同,DSL线路和线缆调制解调器在所有时候都连接到互联网,不需要拨号的步骤
(5)虚拟专用网VPN
安全专用连接,采用加密和隧道技术确保数据在传输中的机密性和完整性
1、点对点隧道协议PPTP(Point-To-Point Tunneling Protocol) 只用于IP网络,数据链路层
提供一个用IP网络隧道连接PPP的方法
PPTP使用通用路由封装GRE(Generic Routing Encapsulation)和TCP来封装PPP数据包,并通过IP网络延伸PPP连接
PPP有效载荷用微软的点对点加密MPPE进行加密,MPPE使用对称算法RC4,使得数据可以未经授权被修改
从未成为真正的行业标准,因此不同供货商实现存在不兼容性。
2、二层隧道协议
第二层隧道协议L2TP(Layer 2 Tunneling Protocol)
把PPTP和Cisco的第二层转发协议L2F功能结合,可用各种网络类型(IP、ATM、x.25)来隧道传输PPP流量
连接单个系统到互联网的点对点电信线路设备不理解IP,流经这些链路的流量必须封装在PPP内
3、互联网协议安全IPSec
提供加密、数据完整性和基于系统的身份验证
主要协议
身份验证首部AH(Authentication Header):提供数据完整性、数据源验证和免受重放攻击的保护 协议标识为51
封装安全有效载荷ESP(Encapsulating Security Payload):提供机密性、数据源验证和数据完整性
互联网安全连接和密钥管理协议ISAKMP:提供安全连接创建和密钥交换的框架
互联网密钥交换IKE:提供验证的密钥材料和ISAKMP一起使用,建立和管理SA,基于UDP
安全关联SA存储VPN参数(加密算法、完整性算法等参数)
IPSec有两种验证对等方的方法,通过预共享密钥或证书
IKE的三个组件:SKEME(实现公钥加密认证的机制)、Oakley(基于到达两个对等体间的加密密钥的机制)、ISAKMP
4、传输层安全VPN
传输层安全TLS(Transport Layer Security),用于保护HTTP流量,提供细粒化的访问控制和配置
(6)用户身份验证协议
1、密码身份验证协议PAP 远程用户用于在PPP线路上进行身份验证
对试图通过远程系统访问一个系统的用户进行身份标识和身份验证,在身份验证之前,这个协议要求用户输入一个密码,通过PPP建立连接后,密码和用户名通过网络发送至身份验证服务器
最不安全的方法之一,以明文形式发送凭证
2、挑战握手身份验证协议CHAP(Challenge Handshake Authentication Protocol)
不必发送密码,采用挑战/响应机制进行身份验证
用户计算机向身份验证服务器发送登录请求,身份验证服务器向用户发送一个挑战即随机值,用户使用预先定义的密码作为加密密钥 加密挑战值后发送给服务器,身份验证服务器使用密钥进行解密并进行比较
MS-CHAP是CHAP的微软版本,提供双向身份验证功能,有两个版本,彼此不兼容
3、可扩展身份验证协议EAP
提供一个框架,使得多类型身份验证技术能够在PPP连接中使用,EAP对身份验证方法进行扩展,从常规方法(PAP和CHAP)扩展到其他方法,如一次性密码、令牌卡、生物测定学、Kerberos、数字证书机制等。当用户连接一个身份验证服务器并且双方都有EAP功能时,它们就能在一个更长的可能的身份验证方法列表中进行协商
EAP变体:
(1)LEAP轻量级可扩展身份验证协议:Cisco的纯密码身份验证框架
(2)EAP-TLS:根据数字证书进行身份验证
(3)EAP-MDS:基于散列值进行弱系统身份验证
(4)EAP-PSK:提供相互身份验证,使用预先共享的密钥来生成会话密钥
(5)EAP-TTLS EAP隧道传输层安全:扩展TLS功能,不要求向每个用户颁发证书,只向验证服务器颁发证书。用户身份验证通过密码来进行,密码凭证在一个安全的、基于服务器凭证而建立的加密隧道中传输
(6)EAP-IKE2:提供相互身份验证,使用非对称或对称密钥或者密码建立会话密钥
(7)PEAP保护性EAP:只有服务器使用数字证书,
(8)EAP-SIM:为GSM设计,基于用户识别模块SIM
(9)EAP-GSS:使用Kerberos
保护性EAP(PEAP):只有服务器使用数字证书,用于无线网络和点对点连接中的身份验证协议,设计为802.11WLAN提供身份验证,支持802.1X端口访问控制和TLS
EAP-TLS,身份验证服务器和无线设备会为了身份验证而交换数字证书,PEAP,无线设备的用户向身份验证服务器发送一个密码,服务器再根据数字证书对无线设备进行身份验证,两种情况都需要PKI
公司可以不使用EAP-TLS而选择PEAP,可避免在每台无线设备上都安装和维护数字证书
远程过程调用RPC(Remote Procedure Call):基本RPC不具备身份验证功能,允许伪造攻击的发生,SPRC要求在远程系统相互通信之前进行身份验证
4.12 无线网络
1、无线通信技术
通过无线电波经由空气和空间的传输信号
有线网络中,计算机和设备都通过线缆以某种方式连接到网络
无线技术中,设备必须与需要进行通信的其他设备共享所分配的无线电频谱
频谱是有限的,将有效的频率分割为可用的部分,以允许无线设备访问和共享通信介质
(1)扩频 大量频率上扩散数据来实现数据传输
发射方将其数据扩散到允许通信的频率中,实现对有效带宽的高效利用
跳频扩频技术FHSS:利用整个频谱将其分割为更小的子通道,发送方和接收方在每个通道上工作一段时间,然后转移到另一个通道。
预先确定跳频序列
直接序列扩频DSSS:采用一种对消息应用子位的不同方法,数据传输前,使用子位生成不同的数据格式,接收端应用子位将信息重新组合
子位提供错误恢复指示,可抗干扰
吞吐量比FHSS高
(2)正交频分多路复用OFDM
可通过无线频率信号传输更多的数据
2、WLAN组件
WLAN使用一个访问点AP的收发器连接到以太网线缆,无线设备使用这条链路访问有线网络中的资源,AP位于网络的固定位置。无线用户有一个带无线NIC的设备,将用户的数据调制成AP能够接收并处理的无线射频信号,无线NIC接收AP传送的信号,再将其转换成设备理解的数字格式
任何希望加入某个特定WLAN的主机必须配置适当的服务集ID(SSID,Service Set ID)。使用不同的SSID,可以将各种主机划分到不同的WLAN中。当无线设备在基础设施模式下运行时,AP和无线客户端组成一个名为基本服务集BSS的组。这个组被指派一个名称,是一个SSID值。
Captive portal强制门户:是在授予新连接至WiFi的用户互联网访问权限之前在其网页浏览器呈现的网页,用户往往填写个人数据后才能访问互联网
3、WLAN安全的演化
(1)IEEE 802.11
AP对无线设备进行身份验证,两种方式:
开放系统身份验证OSA(Open System Authentication):无线设备提供SSID值,所有传输以明文形式进行
共享密钥身份验证SKA(Shared Key Authentication):AP向无线设备发送随机值,无线设备使用加密密钥加密并返回,AP解密并响应。无线设备证明拥有必要的加密密钥,从而通过身份验证。所有无线设备和AP共享完全相同的密钥。基于有线等效加密WEP协议(Wired Equivalent Privacy),也能对数据传输加密
WEP三个主要缺陷:应用静态加密密钥(所有无线设备和AP共享完全相同的密钥),身份验证不完善、初始化向量使用效率低(相同的IV值被重复使用)、缺乏数据包完整性保证(WEP使用ICV实现完整性,类似CRC)
使用RC4算法(流对称密码),IV与对称密钥和RC4算法一起使用
(2)IEEE 802.11i WPA2(Wi-Fi Protected Access2)
WPA使用暂时密钥完整性协议TKIP,基于原始802.11标准,向后兼容WLAN设备,与WEP一起工作,向其输入密钥材料,用于生成新的动态密钥;增加了IV的长度,保证每个数据帧都有一个不同的IV值,并将发送方的MAC地址添加到密钥材料中
WPA还包括802.1x端口身份验证和EAP身份验证方法
WPA2使用AES算法和CBC-MAC计数器模式的加密保护,称为计数器模式密码块链接信息认证码协议CCMP,具有企业模式和个人模式,WPA2能兼容WPA和WEP(WPA2默认为CCMP,可切换到TKIP和RC4以提供与WPA设备的兼容性)
802.11i标准可理解为两个特殊层上的3个主要组件,较低一层包括改进后的加密算法和技术CCMP和TKIP,上面一层是802.1X
(3)IEEE 802.1X 访问控制协议
是一个基于端口的网络访问控制,确保用户只有通过身份验证后才能建立完整的网络连接
可提供用户身份验证,WEP只能提供系统身份验证
802.1X实际提供了一个身份验证框架(允许网络管理员添加不同的EAP模块)和一个动态分发加密密钥的方法,主要实体:请求者(无线设备)、身份验证者AP、身份验证服务器(通常是一台RADIUS服务器),AP没有太多智能,通过在无线设备和身份验证服务器之间传送数据来扮演中间人角色
轻量级可扩展身份验证协议LEAP:Cisco的纯密码身份验证框架
EAP-TLS:通过数字证书执行身份验证
保护性EAP(PEAP):只有服务器使用数字证书,用于无线网络和点对点连接中的身份验证协议,设计为802.11WLAN提供身份验证,支持802.1X端口访问控制和TLS
EAP-TTLS:扩展了TLS的EAP协议,不要求向每个用户颁发证书,只向验证服务器颁发证书,用户身份验证通过密码来进行
EAP-TLS,身份验证服务器和无线设备会为了身份验证而交换数字证书,PEAP,无线设备的用户向身份验证服务器发送一个密码,服务器再根据数字证书对无线设备进行身份验证
公司可以不使用EAP-TLS而选择PEAP,可避免在每台无线设备上都安装和维护数字证书
4、无线标准
802.11 1-2Mbps传输速率 2.4GHz频率工作
(1)802.11b 2.4GHz频率,使用DSSS,高达11Mbps传输速率,与802.11向下兼容
(2)820.11a
5GHz频率,使用OFDM 不能向下兼容,最大54Mbps传输速率 美国使用,不一定在其他国家使用
(3)802.11e 提供QoS与对多媒体流量的支持
(4)802.11f AP之间信息传送
(5)802.11g 2.4GHz频率,54Mbps传输速率 向后兼容802.11b
(6)802.11h 建立在802.11a规范上,满足欧洲无线规则的要求
(7)802.11j 改善互操作问题
(8)802.11n 5GHz频率,100Mbps传输速率 使用MIMO增加吞吐量
(9)802.11ac 是802.11n的扩展,1.3Gbps 向下兼容
(10)802.16 城域网的无线标准 宽带无线访问(基于802.16的商业技术称为WiMAX)
(11)802.15.4 针对无线个人区域网络WPAN,更小的地理区域网络 不超过100米
eg计算机和无线键盘之间建立通信、移动电话和计算机、耳机和其他设备
2.4GHz带宽
Zigbee基于IEEE 802.15.4 250kbps,支持128位对称密钥加密
(12)蓝牙无线技术 2.4GHz频率 1-3Mbps传输速率,距离1-100米
蓝牙劫持:攻击者向支持蓝牙的设备发送消息,应对方法:设置为无法发现模式
5、WLAN保护最佳实践
改变默认的SSID、实现用户身份验证、无线入侵检测系统、AP只覆盖特定区域、VLAN
6、卫星
7、移动无线通信
手机通过无线电链路传送语音和数据,连接到蜂窝式网络,蜂窝式网络又连接到PSTN
移动无线通信是在蜂窝网络内采用双向传输,蜂窝网络在划定的区域分发和传播无线电信号,每个蜂窝至少有一个固定位置的无线电收发机(基站)
只要多个蜂窝不是相邻的,就可以使用相同的频率范围
(1)频分多址FDMA:1G,可用的频率范围被划分成子频带(信道),每一个信道分配给一个用户,在呼叫中止前,用户一直独占该信道
(2)时分多址TDMA:GSM 分成多个时隙
(3)码分多址CDMA:允许所有用户在网络上同时使用网络上的每一个信道
(4)正交频分多址OFDMA:4G(基于IP数据包的网络)
国际移动用户识别码捕捉器IMSI 用于建立伪基站,接管合法信号使手机连接到它,拦截流量
3G使用数据包交换技术
4.13 网络加密
1、链路加密与端对端加密
链路加密:加密沿某种特定通信信道传输的所有数据,如卫星链路、T3线路和电话线路;唯一未加密的是数据链路控制消息
通常由服务提供商提供,集成入网络协议,发生在数据链路层和物理层
缺点:数据包在每一跳中都必须解密,每一跳的设备必须接受密钥,密钥分发管理复杂
端到端加密:数据包的头部、尾部、地址和路由信息未加密,通常由发送端计算机的用户发起,发生在应用层
优点:更大灵活性,用户决定哪些数据加密,功能细粒度,每一跳的计算机不需要拥有解密数据包的密钥
2、电子邮件加密标准
(1)多用途互联网邮件扩展MIME(Multipurpose Internet Mail Extensions)
一种说明多媒体数据和电子邮件如何传输的技术规范
安全MIME(S/MIME):一种对电子邮件进行加密和数字签名以及提供安全数据传输的标准
提供机密性、完整性、身份验证(X.509公钥证书)、不可否认性(加密签名消息摘要)
RSA是S/MIME支持的唯一一个公钥密码学协议,支持AES和3DES对称加密算法
(2)可靠加密PGP(Pretty Good Privacy)
第一个广泛使用的公钥加密程序
主要使用RSA公钥加密实现密钥管理,使用IDEA对称密码完成批量数据加密
MD5散列算法提供完整性
公钥证书提供身份验证,使用自己的数字证书类型
不可否认性
不使用密码,使用密码短语,用于加密在用户硬盘上存储的用户私钥
PGP和S/MIME互不兼容,PGP使用非集中式信任web作为PKI,S/MIME使用集中式CA
3、互联网安全
互联网是用于跨越web站点的物理设备和通信协议的集合
(1)HTTP
Web协议,在TCP/IP协议之上 无状态协议
HTTP安全(HTTPS)在SSL运行的HTTP(SSL在传输层上运行)
SSL是不安全的,应使用TLS
(2)安全套接字层SSL(Secure Socket Layer) 在传输层工作 Netscape开发
为连接提供安全性,但并不为接收到的数据提供安全性(即数据在传输时被加密,但是在计算机接收数据之后并没有加密)
最终版本SSL3
SSL协议是Web浏览器与Web服务器之间安全交换信息的协议,提供的安全服务有:鉴别(可选的客户端身份验证、强制的服务器端认证)、保密(握手协议定义会话密钥,所有消息被加密)、完整性(传送的消息包括消息完整性检查)
应用层数据不再直接传递给传输层,而是传递给SSL层,SSL层对从应用层收到的数据进行加密,并增加自己的SSL头
握手协议:允许服务器和客户机相互验证,协商加密和MAC算法以及保密密钥,用来保护在SSL记录中发送的数据,握手协议是在应用程序的数据传输之前使用的
客户端生成主密钥来生成对称密钥
SSL中密钥交换算法有六种(无效即没有密钥交换、RSA、Diffie-Hellman)
握手步骤:建立安全能力、服务器鉴别与密钥交换、客户机鉴别与密钥交换
记录协议:在客户机和服务器握手成功后使用,提供两个服务
保密性,使用握手协议定义的秘密密钥实现
完整性,握手协议定义了MAC,用于保证消息完整性
(3)传输层安全TLS
从一个系统传输到另一个系统需要加密的话,使用TLS
包括TLS记录协议和TLS握手协议
(4)cookies 浏览器保存在用户硬盘上的文本文件,包含敏感信息的cookie保存在内存中
(5)安全外壳SSH
为远程计算机提供终端式访问,一种能够用于通过网络访问另一台计算机的程序,SSH在易受攻击的通道上提供身份验证和安全传输
应取代Telnet、FTP、rlogin、rexec、rsh使用
两台计算机进行握手,通过Diffie-Hellman交换会话密钥,用于在会话过程中加密和保护传送的数据。
SSH1又分为1.3和 1.5两个版本。SSH1采用DES、3DES、Blowfish和RC4等对称加密算法保护数据安全传输,而对称加密算法的密钥是通过非对称加密算法(RSA)来完成交换的。SSH1使用循环冗余校验码(CRC)来保证数据的完整性,但是后来发现这种方法有缺陷。
SSH2避免了RSA的专利问题,并修补了CRC的缺陷。SSH2用数字签名算法(DSA)和Diffie-Hellman(DH)算法代替RSA来完成对称密钥的交换,用消息证实代码(HMAC)来代替CRC。同时SSH2增加了AES和Twofish等对称加密算法。
4.14 网络攻击
1、拒绝服务DoS
可用性进行破坏,导致服务或资源性能降低,或使合法用户无法使用
(1)畸形数据包
Ping(ICMP包的最大长度没有限制)
对策:保持系统补丁的更新,订阅威胁情报
(2)洪泛攻击
使用数据包将目标计算机淹没
Eg.SYN洪泛,对TCP三次握手连接的攻击
客户机发送SYN包建立TCP连接,服务器发送SYN/ACK包,客户端发送一个ACK包
攻击者只发送SYN包,而忽略服务器的响应,填充服务器存储半连接的缓冲区
延迟绑定技术配置服务器,即半连接在完成三次握手之前不允许占用一个端口
(3)分布式拒绝服务DDoS
(4)勒索软件
对用户的所有文件进行加密
同步洪流:半开放DoS,应使用SYN代理来限制开放的和废弃的网络连接数量,SYN代理是一个驻留在发送方和接收方之间的软件,如果TCP握手流程完成,仅将TCP流量发送到接收系统
2、嗅探 对数据机密性的攻击 NIC需处于混杂模式
3、DNS劫持 使受害者使用恶意DNS服务器的攻击
基于主机:将受害者的电脑IP设置变到流氓DNS服务器上
基于网络:ARP列表缓存,将DNS通信重新定向到恶意DNS服务器
基于服务器:合法DNS配置不合理,应该正确配置DNS服务器抵抗攻击
4、偷渡下载
常被攻击的是浏览器插件
确保所有插件默认打补丁
最后
以上就是苗条黄蜂为你收集整理的4通信和网络安全的全部内容,希望文章能够帮你解决4通信和网络安全所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复