第三章网络安全基础考试要点及真题分布
第三章网络安全基础
1.计算机网络基本知识
2.网络安全的基本概念
3.网络安全威胁
4.网络安全防御
5.无线网络安全
信息安全工程师考试要点(9):计算机网络基本知识
计算机网络基本知识
1、由于Internet规模太大,所以常把它划分成许多较小的自治系统(Autonomous System,AS).通常把自治系统内部的路由协议称为内部网关协议,自治系统之间的协议称为外部网关协议。常见的内部网关协议有RIP协议和OSPF协议;外部网关协议有BGP协议。
2、路由信息协议RIP(Routing Information Protocol)是一种分布式的基于距离向量的路由选择协议,它位于应用层,该协议所定义的距离就是经过的路由器的数目,距离最短的路由就是最好的路由。它允许一条路径最多只能包含15个路由器。
3、开放最短路径有限协议OSPF(Open Shortest Path First)是分布式的链路状态路由协议。链路在这里代表该路由器和哪些路由器是相邻的,即通过 一个网络是可以连通的。链路状态说明了该通路的连通状态以及距离、时延、带宽等参数。在该协议中,只有当链路状态发生变化时,路由器采用洪范法向所有路由器发送路由信息。
4、外部网关协议BGP(Border Gateway Protocol)是不同自治系统的路由器之间的交换路由信息的协议。由于资质系统之间的路由选择,要寻找最佳路由是不现实的。因此,BGP只是尽力寻找一条能够达目的网络的比较好的路由。
5、因特网组管理协议(Internet Group Management Protocol,IGMP)是在多播环境下使用的协议。IGMP使用IP数据报传递其豹纹,同时它也向IP提供服务。
6、ARP协议:根据IP地址获取MAC地址;RARP协议:根据MAC地址获取IP地址;
7、Internet控制报文协议ICMP(Internet Control Message Protocol):ICMP协议允许路由器报告差错情况和提供有关异常情况的报告。
8、TCP是面向连接的协议,提供可靠的、全双工的、面向字节流的,端到端的服务。
9、TCP使用三次握手来建立连接,大大增强了可靠性。具体过程如下:
TCP连接释放机制
TCP的释放分为:半关闭和全关闭两个阶段。半关闭阶段是当A没有数据再向B发送时,A向B发出释放连接请求,B收到后向A发回确认。这时A向B的TCP连接就关闭了。但B仍可以继续向A发送数据。当B也没有数据向A发送时,这时B就向A发出释放连接的请求,同样,A收到后向B发回确认。至此为止B向A的TCP连接也关闭了。当B确实收到来自A的确认后,就进入了全关闭状态。如图所示。
10、TCP的拥塞控制主要有以下四种方法:慢开始、拥塞避免、快重传和快恢复。
为了防止cwnd增长过大引起网络拥塞,还需设置一个慢开始门限ssthresh状态变量。ssthresh的用法如下:
当cwnd<ssthresh时,使用慢开始算法。
当cwnd>ssthresh时,改用拥塞避免算法。
当cwnd=ssthresh时,慢开始与拥塞避免算法任意。
快重传配合使用的还有快恢复算法,有以下两个要点:
①当发送方连续收到三个重复确认时,就执行“乘法减小”算法,把ssthresh门限减半。但是接下去并不执行慢开始算法。
②考虑到如果网络出现拥塞的话就不会收到好几个重复的确认,所以发送方现在认为网络可能没有出现拥塞。所以此时不执行慢开始算法,而是将cwnd设置为ssthresh的大小,然后执行拥塞避免算法。如下图:
1、暗网是指那些存储在网络数据库里,不能通过超链接访问而需要通过动态网页技术访问的资源集合,不属于那些可以被标准搜索引擎索引的表面网络。
1、网卡有几种接受数据帧的状态,如unicast,broadcast,multicast,promiscuous等,unicast是指网卡在工作时接收目的地址是本机硬件地址的数据帧。Broadcast是指接收所有类型为广播报文的数据帧。Multicast是指接收特定的组播报文。Promiscuous即混杂模式,是指对报文中的目的硬件地址不加任何检查,全部接收的工作模式。
2、Sniffer的工作前提是:网络必须是共享以太网。把本机上的网卡设置成混杂模式;
3、检测网络监听的手段:反应时间、DNS测试、利用ping进行监测、利用ARP数据包进行监测。
1、常用的一些破解工具:InsideproSAMInside可以有效破解windows口令,QQ杀手2008版可以破解QQ密码,Cain可以破解屏保AccessDatebase和CiscoPIXFirewall等口令,MessenPass可以恢复出MSN和YahooMessenger等的口令。
1、要对服务器实施拒绝服务攻击,实质上的方式就是两个:服务器的缓冲区满,不接受新的请求、使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
2、SYNFlooding(同步包风暴)攻击:它是通过创建大量的“半连接”来进行攻击,任何连接收到Internet上并提供基于TCP的网络服务的主机和路由器都可能成为这种攻击的目标。
3、利用处理程序错误的拒绝服务攻击,这些攻击包括PingofDeath攻击、Teardrop攻击、Winnuke攻击、以及Land攻击等。
4、Teardrop攻击就是利用IP包的分段/重组技术在系统实现中的一个错误,即在组装IP包时只检查了每段数据是否过长,而没有检查包中有效数据的长度是否过小。
5、Winnuke攻击针对Windows系统上一般都开放的139端口,这个端口由netBIOS使用。只要往该端口发送1字节TCPOOB数据,就可以使Windows系统出现蓝屏错误,并且网络功能完全瘫痪。除非重新启动,否则不能再用。
6、Land攻击:攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。
1、ARP原理:某机器A要向主机C发送报文,会查询本地的ARP缓存表,找到C的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播一个ARP请求报文(携带主句A的IP地址Ia—-物理地址AA:AA:AA:AA),请求IP地址为Ic的主机C回答物理地址Pc,网上所有的主机包括C都收到ARP请求,但只有主机C识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有C的MAC地址CC:CC:CC:CC,A接收到C的应答后,就会更新本地的ARP缓存。接着使用这个Mac地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
2、ARP欺骗:ARP协议并不只是在发送了ARP请求后才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,局域网中的机器B首先攻击C使C瘫痪,然后向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经变成B的了。由于局域网的网络流通不是根据IP地址进行,而是根据MAC地址进行传输。如此就造成A传送给C的数据实际上是传送到B。这就是一个简单的ARP欺骗,如图:
3、ARP欺骗的防范:(1)在winxp下输入命令:arp-s gate-way-ip gate-way-mac 固话arp表,阻止arp欺骗(2)使用arp服务器。通过该服务器查找自己的ARP转化表来响应其他机器的Arp 广播。(3)采用双向绑定的方法来解决并组织ARP欺骗。(4)ARP防护软件—ARPGuard.
4、DNS欺骗原理:DNS欺骗首先是冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。
5、IP攻击的步骤:(1)首先使主机hostb的网络暂时瘫痪,以免对攻击造成干扰;(2)然后连接到目标机hosta的某个端口来猜测ISN基值和增加规律;(3)接下来把源地址伪装成主机hostb,发送带有SYN标志的数据段请求连接;(4)然后等待目标机hosta发送SYN+ACK包给已经瘫痪的主机,因为现在看不到这个包;(5)最后再次伪装成主机hostb向目标主机hosta发送的ACK,此时发送的数据段带有预测的目标机ISN+1,(6)连接简历,发送命令请求。
1、防火墙的目的是实施访问控制和加强站点安全策略,其访问控制包含四个方面或层次的内容:服务控制、方向控制、用户控制、行为控制。
2、防火墙可以实现的功能如下:(1)防火墙设立了单一阻塞点,它使得未授权的用户无法进入网络,禁止了潜在的易受攻击的服务进入或是离开网络,同时防止了多种形式的IP欺骗和路由攻击。(2)防火墙提供了一个监控安全事件的地点。对于安全问题的检查和警报可以在防火墙系统上实施。(3)防火墙还可以提供一些其他功能,比如地址转换器,它把私有地址映射为Internet地址,又如网络管理功能,它用来审查和记录Internet的使用。(4)防火墙可以作为IPSec的平台。防火墙可以用来实现虚拟专用网络。
3、按照防火墙实现的技术不同可以分为:数据包过滤、应用层网关、电路层网关。
4、包过滤技术可能存在的攻击有:IP地址欺骗、源路由攻击、微分片攻击;
5、状态检查技术是包过滤技术的一种增强,其主要思想就是利用防火墙已经验证通过的连接,建立一个临时的状态表。状态表的生成过程是:对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,省策划生成状态表。
6、防火墙的经典体系结构主要有三种形式:双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构;
入侵检测与防护
1、入侵检测与防护的技术主要有两种:入侵检测系统(Instrusion Detection System,IDS)和入侵防护系(InstrusionPreventionSystem,IPS)
2、入侵检测的基本模型是PDR模型,其思想是防护时间大于检测时间和响应时间。
3、针对静态的系统安全模型提出了“动态安全模型(P2DR)”.P2DR模型包含4个主要部分:Policy(安全策略),Protection(防护),Detection(检测)和Response(响应)
4、入侵检测技术主要分为两大类型:异常入侵检测和误用入侵检测。
5、入侵检测系统的体系结构大致可以分为基于主机型(Host-Based)、基于网络型(Network-Based)和基于主体型(Agent-Based)三种。
6、基于主机入侵检测系统的检测原理是根据主机的审计数据和系统的日志发现可疑事件,检测系统可以运行在被检测的主机或单独的主机上。
7、基于网络的入侵检测系统是根据网络流量、协议分析、简单网络管理协议信息等数据检测入侵,如Netstat检测就是基于网络型的。
8、基于主体的入侵检测系统主要的方法是采用相互独立运行的进程组(称为自治主体)分别负责检测,通过训练这些主体,并观察系统行为,然后将这些主体认为是异常的行为标记出来,并将检测结果传送到检测中心。
9、异常检测的方法有统计方法、预测模式生成、专家系统、神经网络、用户意图识别、数据挖掘和计算机免疫学方法等。
10、误用检测一般是由计算机安全专家首先对攻击情况和系统漏洞进行分析和分类,然后手工的编写相应的检测规则和特征模型。
11、Snort的配置有3个主要模式:嗅探(Sniffer)、包记录(PacketLogger)和网络入侵检测(Network Instrusion Detection).嗅探模式主要是读取网络上的数据包并在控制台上用数据流不断地显示出来;包记录模式把数据包记录在磁带上;网络入侵检测模式是最复杂最难配置的,它可以分析网流量与用户定义的规则设置进行匹配然后根据结果指行相应的操作。
虚拟专用网络VPN
1、VPN架构中采用了多种安全机制,如隧道技术(Tunneling)、加解密技术(Encryption)、密钥管理技术、身份认证技术(Authentication)等。
2、VPN可以通过ISAKMP/IKE/Oakley协商确定可选的数据加密算法,其中包括DES(数据加密标准),3DES(三重数据加密标准)和AES(高级加密标准)等。
3、DES该密码用56位的密钥对64位的数据块进行加密。当被加密的数据大于64位时,需要把加密的数据分割成多个64位的数据块;当被加密数据不足64位时,需要把它填充到64位。为了增强安全性,一般使用3DES。
4、三种最常见也是最为广泛实现的隧道技术是:点对点隧道协议(PPTP,Point-toPointTunnelingProtocol),第2层隧道协议(L2TP,Layer2TunnelingProtocol),IP安全协议(IPSec)。除了这三种技术以外还有通用路由封装(GRE,GenericRouteEncapsulation)、L2F以及SOCK协议等。
5、IPSec是一个标准的第三层安全协议,是一个协议包。它工作在七层OSI协议中的网络层,用于保护IP数据包,由于工作在网络层,因此可以用于两台主机之间、网络安全网关之间或主机与网关之间爱你。其目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全。
6、IPSec的工作主要有数据验证(Authentication),数据完整(Integrity)和信任(Confidenticality).
7、目前IPSec协议可以采用两种方法来对数据提供加密和认证:ESP(EncapsulatingSecurityPayload)协议和AH(AuthenticationHeader)协议。
8、三种协议的比较,如下图所示:
信息安全工程师考试要点(18):安全扫描和风险评估
安全扫描和风险评估
1、TCPSYN扫描。这种方法也叫“半打开扫描(Half-openScanning)”。这种扫描方法并没有建立完整的TCP连接。客户端首先向服务器发送SYN分组发起连接,如果收到一个来自服务器的SYN/ACK应答,那么可以推断该端口处于监听状态。如果收到一个RST/ACK分组则认为该端口不在监听。而客户端不管收到的是什么样的分组,都向服务器发送一个RST/ACK分组,这样并没有建立一个完整的TCP连接,但客户端能够知道服务器某个端口是否开放。该扫描不会在目标系统上产生日志。
2、TCPACK扫描,它可以用来判断防火墙过滤规则的涉及,测试安全策略的有效性。
3、UDP扫描,此方法往目标端口发送一个UDP分组。如果目标系统返回一个“ICMP端口不可达”来响应,那么此端口是关闭的。若没有返回该响应,则认为此端口是打开的。UDP是无连接不可靠的,其准确性将受到外界的干扰。
4、我国提出了自己的动态安全模型—-WPDRRC模型。即W预警(Warning);C(Counterattack)就是反击。PDRR即为PDRR模型中出现的保护、检测、反应、恢复四个环节。
5、风险评估工具的比较:
信息安全工程师考试要点(19):安全协议
安全协议
1、SSL协议以对称密码技术和公开密码技术相结合,提供了如下三种基本安全服务。
秘密性:SSL协议能够在客户端和服务端之间建立起一个安全通道,所有消息都经过加密处理以后进行传输,网络的非法黑客无法窃取。
完整性:SSL利用密码算法和HASH函数,通过对传输信息特征值的提取来保证信息的完整性,确保要传输的信息全部到达目的地,可以避免服务器和客户端之间的信息受到破坏。
认证性:利用证书技术和可信的第三方认证,可以让客户端和服务器相互识别对方的身份。
2、PGP(PrettyGoodPrivacy)是美国PhilZimmermann研究出来的一个基于RSA公钥加密体系的邮件加密软件。PGP可以在电子邮件和文件储存应用中提供保密和认证服务。PGP的基本原理是:先用对称密钥系统加密传输的信息,再将该对称加密密钥以接收方公开密钥系统的公钥加密,组成电子信封,并将此密钥交给公正的第三者保管,然后将此电子信封传给接收方。接收方必须先以自己的私钥将电子信封拆封,以获得对称密钥解密密钥,再以该对称密钥解密密钥解出真正的信息,兼顾方便与效率。
3、SSH协议有三部分组成:传输层协议、用户认证协议、连接协议。
传输层协议(SSH-TRANS)负责进行服务器认证、数据机密性、信息完整性等方面的保护,并提供作为可选项的数据压缩功能,以便提高传输速度。
用户认证协议(SSH-USERAUTH)是简历在传输层协议智商的。
连接协议(SSH-CONNECT)是运行在SSH传输层协议和用户认证协议之上,提供交互式登录会话(即Shell会话),远程命令的执行,转交TCP/IP连接以及转交X11连接。
信息安全工程师考试要点(20):网络蜜罐技术
网络蜜罐技术
蜜罐有四种不同的配置:诱骗服务、弱化系统、强化系统、用户模式服务器
信息安全工程师考试要点(21):匿名网络(tor)
匿名网络(Tor)
Tor是一个能够抵御流量分析的软件项目。Tor将通信信息通过一个由遍及全球的志愿者运行的中继(relay)所组成的分布式网络转发,以此来保护信息的安全。Tor在传输数据时封包不但经过加密,传输过程中会经过哪些路由也是随机的,因此不但很难追踪,也不易得知通信的内容。
信息安全工程师考试要点(22):网络备份
网络备份
1、在网络备份中比较常见的存储架构有NAS和SAN。
NAS(Network Attached Storage)通常译为“网络附加存储”或“网络连接存储”。意思是连接在网络上的存储设备。NAS是适应信息存储和共享的应用需求而产生的网络存储技术,因其具备简便高效的特点而得到广泛的应用。NAS是利用现有的网络环境,将网络中某一台计算机作为中心的备份方案。通过部署专业的备份软件对网络中心的计算机进行集中备份。
SAN(Storage Area Network)通常译为“存储区域网络”。它是一种在服务器和外部存储资源或独立的存储资源之间实现高速可靠访问的专用网络。
2、局域网安全防范策略有:(1)物理安全策略;(2)划分VLAN防止网络侦听;(3)网络分段;(4)以交换机代替共享式集线器;(5)访问控制策略;(6)使用数字签名;(7)用户管理策略;(8)使用代理服务器;(9)防火墙控制;(10)入侵检测系统;(11)定期进行漏洞安全扫描;(12)建立完善的网络安全应急响应机制;(13)使用VPN。
信息安全工程师考试要点(23):无线网络安全
无线网络安全
1、无限公开密钥体系WPKI,并不是一个全新的PKI标准,它是传统的PKI技术应用于无限环境的优化扩展。它采用了优化的ECC椭圆曲线加密和压缩的X.509数字证书。它同样采用证书管理公钥,通过第三方的可信任机构——认证中心(CA)验证用户的身份,从而实现信息的安全传输。
2、WPA加密方式目前有四种认证方式:WPA、WPA-PSK、WPA2、WPA2-PSK.采用的加密算法有二种:AES和TKIP。