网络通信安全

一、网络通信安全基础

TCP/IP协议简介

TCP/IP体系结构、以太网、Internet地址、端口

TCP/IP协议简介如下:(from文心一言)

TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议)是一个由FTP、SMTP、TCP、UDP、IP等协议构成的协议簇,它能够在多个不同网络间实现信息传输。TCP/IP协议并不仅仅指的是TCP和IP两个协议,而是由多个协议共同组成的一个协议簇。其中,TCP协议和IP协议因其最具代表性,所以整个协议簇被称为TCP/IP协议。

TCP/IP体系结构是一个分层体系,由下至上分别是网络接口层、网际层、传输层和应用层。其中的传输层有两个主要的协议,即用户数据报协议(UDP)和传输控制协议(TCP)。在TCP/IP体系中,根据所用的协议是TCP还是UDP,数据单位分别被称之为TCP报文段或者UDP用户数据报。

以太网是网络体系结构的重要组成部分,其网络体系结构主要分为拓扑结构和星型结构。拓扑结构所需的电缆较少、价格便宜,但管理成本高,不易隔离故障点,易造成网络拥塞。而星型结构则管理方便、容易扩展,但需要专用的网络设备作为网络的核心节点,对核心设备的可靠性要求高。

Internet地址,也称为IP地址(Internet Protocol Address),是IP协议提供的一种统一的地址格式。它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。IP地址的存在使得网络中的设备能够被准确地定位和访问。

端口是设备与外界通讯交流的出口,可以分为虚拟端口和物理端口。虚拟端口是计算机内部或交换机路由器内的端口,不可见,如计算机中的80端口、21端口、23端口等。物理端口又称为接口,是可见端口,如计算机背板的RJ45网口,交换机路由器集线器等RJ45端口,以及电话使用的RJ11插口等。

总的来说,TCP/IP协议是一个复杂且强大的协议簇,它使得不同网络间的信息传输成为可能,而以太网、Internet地址和端口则是实现这一过程的重要组成部分。

Internet安全问题存在的原因

  •  Internet本身是没有边界的、全球的互联网,不属于任何一个组织或国家
  • 通过IP地址来识别和管理存在严重的安全漏洞
  • Internet本身没有中央管理机制,没有健全的法令和法规
  • Internet从技术上来讲是开放的、标准的,是为君子设计而不防小人的
  • Internet没有审计和记录的功能

我国网络安全现状

  • 我国许多网络建网初期很少或根本没有考虑安全防范措施,相当大比例单位的计算机系统或多或少存在安全漏洞
  • 我国目前急缺网络及电脑高级系统管理人员,高等教育缺乏这方面人才的培养,社会也缺乏造就这类人才的实践环境
  • 中国内地大部分网站是基于国外的产品,他们的安全系数令人怀疑

二、常见网络攻击与防范技术

黑客

黑客认为任何信息都是自由公开的,任何人都可以平等的获取

黑客(Hacker)

骇客(Cracker)——入侵者

两类群体的划分界限模糊,通常将两者视为同一类,统称黑客。

黑客案例

 

 

常见黑客攻击过程 

目标探测和信息收集

确定攻击目标并收集目标系统有关信息

  • 踩点:尽可能多的收集关于目标系统的安全状况的各个方面的信息
  • 扫描:使用各种工具和技巧确定哪些系统存活着、他们在监听那些端口、操作系统等;确定入攻途径
  • 查点:从系统中抽取有效账号或导出资源名的过程

获得访问权

通过密码窃听、共享文件的野蛮攻击、摄取密码文件并破解或缓冲区溢出等攻击来获得系统访问权限

特权提升

一般账户对目标系统只有有限的访问权限,黑客经常会通过采用密码破解、利用已知漏洞等方法来获得更高权限 

掩踪灭迹

一旦目标系统已经全部控制,黑客便会隐藏自己的踪迹 ,防止被管理员发觉

创建后门

在系统的不同部分布置陷阱和后门,以便入侵者在以后仍能从容获得特权访问

IP欺骗与防范

盗用IP地址

一台主机使用的不是分配给自己的IP地址。常见问题,不需编程即可进行。

盗用IP应该是只能盗用本网段的IP,因为最简单的网段,也需要有一个路由器作为出口。在路由器的配置中,要制定这个网短的网络地址和掩码。如果该网段中的主机使用了其他网段的IP,则路由器不认为属于他的网段,不给转发。

防止盗用IP可以绑定IP和物理地址。通过设置路由器上的静态ARP(地址转换协议,将硬件地址与IP地址相关联的协议的一部分)表,可防止在本网段内盗用IP。

IP电子欺诈

伪造某台主机的IP地址的技术。被伪造的主机往往具有某种特权或者被另外的主机所新人。通常要用编写的程序实现。通过发送带有源IP地址的IP数据包,来达到自己的目的。以IP地址验证为基础。

出现的可能性较小,一般使用防火墙可以很容易的防备这种攻击方法。确信只有内部网络可以使用信任关系,并在路由器设置不允许生成来自于内部网络的外来包通过。

区别(from 文心一言)

伪造某台主机的IP地址(通常被称为IP欺诈或IP欺骗)和盗用IP地址都是网络安全领域的常见问题,但它们之间存在明显的区别。

伪造某台主机的IP地址

IP欺诈或IP欺骗是指攻击者通过技术手段伪造或篡改IP头部信息,使其看起来像是来自另一台合法或受信任的主机。这种攻击通常用于绕过网络安全措施,使攻击者的恶意行为看起来像是来自一个合法的源。通过伪造IP地址,攻击者可能能够执行未经授权的操作、访问敏感资源或进行其他恶意活动。

盗用IP地址

IP地址盗用则是指攻击者非法获取并使用他人的IP地址,以冒充合法用户的身份进行网络活动。这种攻击可能导致一系列安全威胁,包括信息泄露、网络攻击和身份欺诈等。盗用IP地址的攻击者可能能够访问原本只有合法用户才能访问的资源,执行恶意操作,甚至可能使合法用户面临声誉受损和法律责任的风险。

区别

  1. 行为目的:IP欺诈的主要目的是伪装身份,绕过安全检测;而IP地址盗用的主要目的是非法获取和使用他人的网络资源或身份。
  2. 技术手段:IP欺诈通常涉及篡改IP头部信息;而IP地址盗用可能涉及多种手段,如ARP欺骗、中间人攻击等。
  3. 后果影响:IP欺诈可能使攻击者的恶意行为看起来像是来自合法用户,从而绕过安全检测;而IP地址盗用可能导致合法用户的身份被冒用,声誉受损,甚至面临法律责任。

Sniffer嗅探器

Siniff原理

当发送者希望引起网络中所有主机操作系统的注意时,他就使用广播地址。

多数网络接口具有置成“混杂方式”的能力。在混杂方式下,网络接口对遭遇到的每一帧都产生一个硬件中断,而不仅仅是针对目标为自己的硬件地址或“广播地址”的帧。

窥探仪将网络接口设置成混杂方式以便窥探仪监视网段内每一个数据报文。

Sniffer嗅探器

 Siniffer通知网卡接收其收到的所有数据(混杂模式),并通知主机进行处理。如果发现感兴趣的包或是符合预先设定过滤条件的包(如设定包中包含username或password,银行卡卡号、金融信息等),就墙漆存到一个log文件中,

Siniffer通常运行在路由器或有路由器功能的主机上,使得可以对大量的数据进行监控。属于数据链路层的攻击,通常攻击者已经进入了目标系统。

发现Siniffer:查找异常进程

防止Siniffer

 Siniffer往往是攻击者侵入系统后使用,因此防止系统被突破是关键。

端口扫描技术

端口就是一个潜在的通信通道,或入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息,从而发现系统的安全漏洞。可以手工扫描或通过端口扫描软件。

与手工扫描相关的网络相关命令

  • Ping可以检测网络目标主机存在与否以及网络是否正常
  • Tracert用来跟踪一个报文从一台计算机到另一台计算机所走的路径。
  • Finger显示用户的状态,如用户名、登录的主机、登陆日期等,
  • rusers显示远程登录的用户名、该用户的上次登录时间等‘
  • host可以收集到一个域里所有计算机的重要信息,包括:名字服务器的地址、一台计算机上的用户名。一台服务器上正在运行什么服务,这个服务是哪个软件提供的,计算机上运行的是什么操作系统等。

 

扫描器

一种自动检测远程或本地主机安全性弱点的程序

工作原理:通过选用远程TCP/IP不同的端口的服务,并记录目标给予的回答来实现。

扫描器不是一个直接攻击网络漏洞的程序,它仅仅帮助入侵者发现目标主机的某些内在弱点。好的扫描器会对他得到的数据进行分析,帮助入侵者查找目标主机的漏洞,但不会提供进入一个系统的详细步骤。

基本功能:

  • 发现一个主机或网络。
  • 发现该主机正在运行的服务。
  • 通过测试这些服务,发现内在漏洞。

特洛伊木马

木马与病毒的区别:不具备复制能力

木马应该符合的三个条件:

  • 木马需要一种启动方式,一般在注册表启动组中;
  • 木马需要在内存中运行才能发挥作用;
  • 木马会占用一个端口,以便黑客通过这个端口和木马联系。

木马的特点:隐蔽性、顽固性、潜伏性 

木马的发现和删除

  • 注册表启动的木马:使用端口扫描软件,查看是否有可疑的端口开放。如有则先记下该端口号,然后查看内存中正在运行的软件,记录其名称和硬盘位置,并依次终止。如果端口依然开放,则被终止的程序不是木马,继续终止,直到发现木马。
  • 删除方法:备份需要删除的文件和注册表;终止程序在内存中的运行;在注册表中查询包含该文件名的键值,然后删除。
  • 捆绑式木马:重新安装被捆绑程序

删除木马最简单的方法是安装杀毒软件 。

拒绝服务式攻击

Denial of Service,DoS这种攻击行动使网站服务器充斥着大量要求回复的信息,小号网络贷款或系统资源,导致网络或系统不胜负荷以致瘫痪而停止提供正常的网络服务。

 

攻击者利用上千台客户端同时攻击一个服务器。

  • 探测扫描大量主机以寻找可入侵主机目标。
  • 入侵有安全漏洞的主机并获得控制权。
  • 在每台入侵主机中安装攻击程序。
  • 利用已入侵主机继续扫描和入侵。 

防范拒绝服务式攻击

防止成为被利用的工具,防止成为被攻击的对象。

防范措施:

  • 优化路由及网络结构;
  • 优化对外提供服务的主机(使用多宿主机;将网站分布在多个不同的物理主机上,防止网站在遭受攻击时全部瘫痪)
  • 当攻击正在进行时,立即启动应付策略(状态监控),尽可能快地追踪攻击包,并于服务提供商联系。
  • 提高系统安全强度,防止被入侵(经常下载系统软件不定,开启系统尽可能少的服务,对系统进行安全审核、漏洞排查……)

三、防火墙技术

定义:防火墙是综合采用适当技术,通过对网络做拓扑结构和服务类型上的隔离,在被保护网络周边建立的分隔被保护网络与外部网络的系统。通常是软件和硬件的组合体。

防火墙适用领域

防火墙适合于专网使用,特别是在专网与公共网络互联时使用。

它所保护的对象是网络中有明确闭合便捷的一个网块

他的防护对象是来自被保护网块外部的对网络安全的威胁。

防火墙一般具有以下基本功能:

  • 过滤进出网络的数据包
  • 管理进出网络的访问行为
  • 封堵某些禁止的访问行为
  • 记录通过防火墙的信息内容和活动
  • 对网络攻击进行检测和告警

防火墙的优点和缺陷

防火墙优点:

  • 防火墙能够简化安全管理
  • 保护网络中脆弱的服务
  • 用户可以很方便的通过审计监视网络的安全性,并产生报警信息
  • 增强保密性、强化私有权
  • 防火墙是审计和记录网络流量的一个最佳地方

防火墙缺陷:

  • 限制有用的网络服务
  • 不能有效防护内部网络用户的攻击
  • Internet防火墙无法防范通过防火墙以外的其他途径的攻击
  • 防火墙也不能完全防止串送一感染病毒的文件或软件
  • 防火墙无法防范数据驱动型(表面上看是没有害处的数据,而其中隐藏了一些可以威胁主机安全指令的文件)的攻击
  • 不能防备新的网络安全问题。防火墙是一种被动式的防护手段,只能对现在已知的网络威胁起作用

防火墙的类型

包过滤型防火墙

一般通过路由器实现,也称作包过滤路由器、网络级防火墙。

工作原理:

包过滤防火墙在网络层对进出内部网络的所有信息进行分析,并按照一组安全策略(信息过滤规则)进行筛选,允许授权信息通过,拒绝非授权信息。信息过滤规则以收到的数据包的头部信息为基础。

过滤路由器功能:

  • 基于协议特定的标准,路由器在其端口能够区分包和限制包的能力叫作包过滤。
  • 过滤路由器可以基于原IP地址、目的地址和IP选项进行过滤。
  • 包过滤类型的防火墙遵循最小特权原则,即明确允许那些管理员希望通过的数据包,禁止其他的数据包。

优点:

  • 工作在网络层,根据数据包的包头部分进行判断处理,不去分析数据部分,因此处理包的速度比较快。
  • 实施费用低廉,一般路由器已经内置了包过滤功能。
  • 包过滤路由器对用户和应用来讲是透明的,用户可以不知道包过滤防火墙的存在,也不需要对客户端进行变更。不许特别的培训和安装特定的软件。

 缺点:

双宿网关防火墙

双重宿主主机防火墙。是一种拥有两个连接到不同网络上的网络接口的防火墙。

特点:

内部网络与外部不可信任的网络之间是隔离的,两者不能直接进行通信。双重宿主主机可以提供两种方式的服务:用户直接登录到双重宿主主机,或者在双重宿主主机上运行代理服务器。第一种方式管理困难,且危险性大(需要在宿主主机上建立许多账号,安全性差,不利管理)。因此,双宿主主机一般采用代理方式提供服务。该主机也称代理服务器Proxy server。

原理:

双宿网关防火墙首先要禁止网络层的路由功能,从而切断内外网络之间的IP数据流,并具有强大的身份认证系统实现访问控制。在网络层以上智能连接客户端和服务器,并能够检查IP包,加以分析,最终按照相应的内容采取相应的步骤。

代理服务器是接受或解释客户端连接并发起到服务器的新连接的网络节点。主要用于将企业网Intranet链接到Internet。

代理服务器分类:

优点:

  • 节约合法的C类IP地址,同时提高企业局域网的安全性,外部网络不能直接访问内部的私有IP地址。
  • 通过设置缓存能够加快浏览速度。
  • 较好的安全性。设置安全控制策略,提供认证和授权。
  • 可以进行过滤,用户名、源和目的地址及内容。
  • 强大的日志功能,并可进行流量计费。 

缺点:

实现麻烦。每一种协议需要相应的代理软件(不支持代理的协议),使用时工作量大。用户在受信任网络上通过防火墙访问Internet时,经常会出现延迟和多次登录才能访问外部网络的情况。速度较慢,不太适应于高速网之间的应用。内部用户对服务器主机的依赖性高。

屏蔽子网防火墙

在内部网络和外部网络之间建立一个子网进行隔离,这个子网构造了一个屏蔽子网区域,称为边界网络,也称为非军事区。

屏蔽子网防火墙系统使用了两个包过滤路由器:内部路由器和外部路由器和一个堡垒主机。将堡垒主机、信息服务器和其他公用服务器放在非军事区网络中,该网络很小。处于Internet和内部网之间,一旦堡垒主机被入侵者控制,他所能侦听到的内容也是有限的,即只能侦听到周边网络的数据,不能侦听到内部网上的数据。

 屏蔽子网防火墙安全性好,但成本昂贵。

常见的防火墙产品

制定访问控制策略 

防火墙选择原则

思考题 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/2969.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

用友NC Cloud importhttpscer接口任意文件上传漏洞

声明 本文仅用于技术交流,请勿用于非法用途 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。 一、漏洞描述 用友NC Cloud的importhttpscer接口如果存在任意文件上传…

开源文本嵌入模型M3E

进入正文前,先扯点题外话 这两天遇到一个棘手的问题,在用 docker pull 拉取镜像时,会报错: x509: certificate has expired or is not yet valid 具体是下面👇这样的 rootDS918:/volume2/docker/xiaoya# docker pul…

恒峰智慧科技—森林守护者:森林消防泵如何助力灭火?

在茂密的森林中,一场突如其来的火灾可能带来无法估量的破坏。幸运的是,森林消防泵的出现,帮助我们对抗这些威胁。本文将深入探讨森林消防泵如何在灭火工作中发挥重要作用。 一、森林消防泵的功能和重要性: 首先,我们需…

探索人工智能的边界:GPT 4.0与文心一言 4.0免费使用体验全揭秘!

探索人工智能的边界:GPT与文心一言免费试用体验全揭秘! 前言免费使用文心一言4.0的方法官方入口进入存在的问题免费使用文心一言4.0的方法 免费使用GPT4.0的方法官方入口进入存在的问题免费使用GPT4.0的方法 前言 未来已来,人工智能已经可以…

Matlab|基于元模型优化算法的主从博弈多虚拟电厂动态定价和能量管理

1 主要内容 该程序复现《基于元模型优化算法的主从博弈多虚拟电厂动态定价和能量管理》模型,建立运营商和多虚拟电厂的一主多从博弈模型,研究运营商动态定价行为和虚拟电厂能量管理模型,模型为双层,首先下层模型中,构建…

【Android】android 10 jar_sdk_library添加

前言 当前项目遇到客户,Android 10 平台,需要封装jar_sdk_library给第三方应用使用。其中jar_sdk_library中存在aidl文件。遇到无法编译通过问题。 解决 system/tools/aidl修改 Android.bp修改

frp改造Windows笔记本实现家庭版免费内网穿透

文章目录 前言frp原理Windows服务端IP检验IP固定软件下载端口放行端口映射开机启动 NAS客户端端口查询软件下载端口检验穿透测试自启设置 Ubuntu客户端软件下载后台启动 后记 前言 之前一直用花生壳远程控制一个服务器,但最近内网的网络策略似乎发生了变化&#xf…

信息系统项目管理师0068:数据标准化(5信息系统工程—5.2数据工程—5.2.2数据标准化)

点击查看专栏目录 文章目录 5.2.2数据标准化1.元数据标准化2.数据元标准化3.数据模式标准化4.数据分类与编码标准化5.数据标准化管理记忆要点总结5.2.2数据标准化 数据标准化是实现数据共享的基础。数据标准化主要为复杂的信息表达、分类和定位建立相应的原则和规范,使其简单化…

谷歌发布基于声学建模的无限虚拟房间增强现实鲁棒语音识别技术

声学室模拟允许在AR眼镜上以最少的真实数据进行训练,用于开发鲁棒的语音识别声音分离模型。 随着增强现实(AR)技术的强大和广泛应用,它能应用到各种日常情境中。我们对AR技术的潜能感到兴奋,并持续不断地开发和测试新…

Adobe Illustrator 2024 v28.4.1 (macOS, Windows) - 矢量绘图

Adobe Illustrator 2024 v28.4.1 (macOS, Windows) - 矢量绘图 Acrobat、After Effects、Animate、Audition、Bridge、Character Animator、Dimension、Dreamweaver、Illustrator、InCopy、InDesign、Lightroom Classic、Media Encoder、Photoshop、Premiere Pro、Adobe XD 请…

ChatGPT实战100例 - (18) 用事件风暴玩转DDD

文章目录 ChatGPT实战100例 - (18) 用事件风暴玩转DDD一、标准流程二、定义目标和范围三、准备工具和环境四、列举业务事件五、 组织和排序事件六、确定聚合并引入命令七、明确界限上下文八、识别领域事件和领域服务九、验证和修正模型十、生成并验证软件设计十一、总结 ChatGP…

解线性方程组——(Gauss-Seidel)高斯-赛德尔迭代法 | 北太天元

一、Gauss-Seidel迭代法 n 3 n3 n3时 A ( a 11 a 12 a 13 a 21 a 22 a 23 a 31 a 32 a 33 ) , b ( b 1 b 2 b 3 ) , A\begin{pmatrix} a_{11} & a_{12} &a_{13}\\ a_{21} & a_{22} &a_{23}\\ a_{31} & a_{32} &a_{33}\\ \end{pmatrix} ,\quad b\be…

缓存神器-JetCache

序言 今天和大家聊聊阿里的一款缓存神器 JetCache。 一、缓存在开发实践中的问题 1.1 缓存方案的可扩展性问题 谈及缓存,其实有许多方案可供选择。例如:Guava Cache、Caffine、Encache、Redis 等。 这些缓存技术都能满足我们的需求,但现…

《从零开始的Java世界》10File类与IO流

《从零开始的Java世界》系列主要讲解Javase部分,从最简单的程序设计到面向对象编程,再到异常处理、常用API的使用,最后到注解、反射,涵盖Java基础所需的所有知识点。学习者应该从学会如何使用,到知道其实现原理全方位式…

LAMP(Linux+Apache+MySQL+PHP)环境介绍、配置、搭建

LAMP(LinuxApacheMySQLPHP)环境介绍、配置、搭建 LAMP介绍 LAMP是由Linux, Apache, MySQL, PHP组成的,即把Apache、MySQL以及PHP安装在Linux系统上,组成一个环境来运行PHP的脚本语言。Apache是最常用的Web服务软件&a…

纸箱码垛机:从传统到智能,科技如何助力产业升级

随着科技的飞速发展,传统工业领域正经历着一场重要的变革。作为物流行业重要一环的纸箱码垛机,其从传统到智能的转型升级,不仅提高了生产效率,还大幅降低了人工成本,为产业升级提供了强大助力。星派将探讨纸箱码垛机的…

【Unity】UnityEvent(一)

​UnityEvent----高效管理游戏事件的利器 在游戏开发中,事件系统是实现各种功能的关键组成部分。它允许我们将不同对象之间的交互解耦,使得代码更加模块化和易于维护。而UnityEvent作为Unity引擎提供的一种强大的事件系统工具,为开发者提供了…

CPDA|0到1突破:构建高效数据分析体系的秘密武器

在现今信息爆炸的时代,数据已经渗透到了我们生活的方方面面,成为了决策、创新和竞争优势的关键。因此,构建一套高效的数据分析体系,对于企业和个人而言,都是至关重要的。那么,如何在众多的数据海洋中脱颖而…

分类神经网络1:VGGNet模型复现

目录 分类网络的常见形式 VGG网络架构 VGG网络部分实现代码 分类网络的常见形式 常见的分类网络通常由特征提取部分和分类部分组成。 特征提取部分实质就是各种神经网络,如VGG、ResNet、DenseNet、MobileNet等。其负责捕获数据的有用信息,一般是通过…

5分钟——测试搭建的springboot接口(二)

5分钟——测试搭建的springboot接口(二) 1. 查看数据库字段2. 测试getAll接口3. 测试add接口4. 测试update接口5. 测试deleteById接口 1. 查看数据库字段 2. 测试getAll接口 3. 测试add接口 4. 测试update接口 5. 测试deleteById接口