网络攻防原理（更新中）

网络安全知识点合辑

绪论

APT ： 作为网络战时代的一个重要标志，高级持续性威胁（APT）快速发展。APT攻击是一种针对特定对象的长期，有计划的，有组织的网络攻击行为。

网络空间的保护对象

包括设施，数据，用户，操作。

网络空间的安全属性

安全属性主要包括 机密性，完整性，可用性 ，简称 CIA

随诊发展，又增加了不可否认性和可靠性、

（可靠性指系统无故障的持续运行）

总结：主要包括四个基本元属性： 机密性，可鉴别性，可用性，可控性。

机密性和可鉴别性属于以 保护信息 为主 的属性，可用性和可控性属于以 保护信息系统 为主的属性。

网络安全事件的作用空间

硬件层

代码层

数据层

应用层

（应用层的安全问题主要表现为数据挖掘，主要通过大数据处理手段，从公开信息中去挖掘脱敏信息所导致的信息泄露）

网络攻击分类

从发起攻击的来源分类：

**1.外部攻击

2.内部攻击

3.行为滥用**

从攻击对被攻击对象的影响来分：

被动攻击

主要包括内容监听（或截取）和通信流量分析

主动攻击

主要包括中断，伪造，重放，修改。

攻击的一般过程

1.网络侦察

2.网络扫描

3.网络渗透

4.权限提升

5.维持及破坏

6.毁踪灭迹

网络安全模型

PDRR模型

防护，检测，恢复，响应

P2DR模型

攻击时间Pt

检测时间Dt

响应时间Rt

暴露时间Et=Dt+Rt-Pt

ISO7498-2安全体系

安全服务

1.鉴别

2.访问控制

3.数据机密性服务

4.数据完整性服务

5.抗抵赖服务

安全机制

1.加密

2.数字签名

3.访问控制

4.数据完整性保护

5.认证交换

6.通信业务填充

7.路由选择控制

8.公证

5种普遍安全机制

1.可信功能度

2.安全标识

3.事件检测

4.安全审计跟踪

5.安全恢复

网络安全技术发展史

1.第一代安全技术，以 保护 为目的， 划分明确的网络边界 ，利用各种 保护和隔离 手段。

2.第二代安全技术，以 保障 为目的，以 检测技术 为核心，以 恢复技术 为后盾，融合了 防护 ， 检测 ， 响应 ， 恢复 四大类技术。包括防火墙，入侵检测系统（IDS），虚拟专用网（VPN），公钥基础设施（PKI）

第二代技术又称信息保障技术（IA）

3.第三代安全技术，以 顽存 为目的，即系统在遭受攻击，故障或意外事故的情况下，在一定时间内仍然具有继续执行全部或关键使命的能力。

核心： 入侵容忍技术

网络协议脆弱性分析

IP分析

IPv4协议分析

没有认证机制

没有加密机制

无带宽控制

解决方案：IPsec标准（但主要为IPv6设计的）

IPv6协议分析

IPv4 到 IPv6的过渡

• 双协议栈

• 隧道

• 将IPv6的数据包封装在IPv4的数据中

• 网络地址转换（NAT）

安全隐患

• IPv4 到 IPv6 过渡技术的安全隐患

• 无状态地址自动配置的安全风险

• IPv6中PKI管理系统的安全风险

• IPv6编址机制的隐患

• 安全机制给网络安全体系带来的安全风险

• 对传统防火墙和入侵检测系统的不友好

ICMP分析

IPv4版本和IPv6版本

威胁

利用目的不可达报文发起拒绝服务攻击

利用改变路由报文破坏路由表

木马利用ICMP报文进行隐秘通信

利用回送请求或回答报文进行网络扫描或拒绝服务攻击

ARP分析

网络嗅探

伪造arp响应发送给主机，修改arp缓存，从而重定向 IP数据流到攻击者主机

阻止目标的数据包通过网关

实际上原理也是修改被攻击主机的arp缓存

RIP分析

处理策略

仅与相邻路由器交换信息

交换信息是自己的路由表

按固定时间间隔交换信息

安全分析

RIPv1不支持认证并且使用不可靠的UDP作为传输协议，安全性极差

• 导致攻击者可以轻易伪造RIP路由更新信息，向邻居路由发送

RIPv2支持明文认证和MD5认证，认证以单向为主，但明文认证的安全性依然比较弱

RIPng为IPv6环境下运行的RIP，利用IPsec提供的安全机制保证了交换路由信息的安全性

OSPF分析

处理策略

向本系统所有路由器发送消息（泛洪法）

发送的是与本路由器相邻的所有路由器的状态

只有当链路状态发生改变时才发送消息

安全分析

OSPF的三种认证方式

• 默认认证方式是不认证

• 简单口令认证（明文传输）

• MD5加密身份认证（使用非递减的加密序列一定程度防止重放攻击，但序列号从最大值回滚回初值或路由器重启后仍能进行重放攻击）

• 容易遭受重放或伪造攻击

常见攻击手段

• 最大年龄攻击

• 序列号加 1 攻击

• 最大序列号攻击

• 重放攻击

• 篡改攻击

BGP分析

（BGP分析）

安全分析

缺乏一个安全可信的路由认证机制（一个自治系统对外通告不属于自己的地址快前缀）

面临因使用TCP而产生的安全问题

管理员密码泄露导致路由表更改

数字大炮，利用路由表更新机制造成主干网络路由器瘫痪

TCP安全分析

拒绝服务攻击（例如SYN Flood攻击，TCP链接耗尽攻击）

序号预测，TCP会话劫持

网络扫描

DNS安全分析

域名欺骗

事务ID欺骗：

通过网络监听或序列号预测发送相同数据包id的响应报文给目标主机，并是在正确的报文返回前就要发送给目标主机

缓存投毒：

将污染的记录插入到DNS服务器的缓存记录中。

网络通信攻击

分布式拒绝服务攻击（DDos）

恶意网址重定向

中间人攻击（MITM）

￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥

IGP （Interior Gateway Protocol）：内部网关协议，在一个AS内部所使用的一种路由协议。一个AS内部也可以有多个路由器管理多个网络。各个路由器之间需要路由信息以知道子网络的可达信息。IGP就是用来管理这些路由。代表的实现有RIP和OSPF。EGP（Exterior Gateway Protocol）：外部网关协议，在多个AS之间使用的一种路由协议，现在已经淘汰，被BGP取而代之。

都是IGP

￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥

– 若图片不清晰可私聊要原文件