网络通信安全

一、网络通信安全基础

TCP/IP协议简介

TCP/IP体系结构、以太网、Internet地址、端口

TCP/IP协议简介如下：（from文心一言）

TCP/IP（Transmission Control Protocol/Internet Protocol，传输控制协议/网际协议）是一个由FTP、SMTP、TCP、UDP、IP等协议构成的协议簇，它能够在多个不同网络间实现信息传输。TCP/IP协议并不仅仅指的是TCP和IP两个协议，而是由多个协议共同组成的一个协议簇。其中，TCP协议和IP协议因其最具代表性，所以整个协议簇被称为TCP/IP协议。

TCP/IP体系结构是一个分层体系，由下至上分别是网络接口层、网际层、传输层和应用层。其中的传输层有两个主要的协议，即用户数据报协议（UDP）和传输控制协议（TCP）。在TCP/IP体系中，根据所用的协议是TCP还是UDP，数据单位分别被称之为TCP报文段或者UDP用户数据报。

以太网是网络体系结构的重要组成部分，其网络体系结构主要分为拓扑结构和星型结构。拓扑结构所需的电缆较少、价格便宜，但管理成本高，不易隔离故障点，易造成网络拥塞。而星型结构则管理方便、容易扩展，但需要专用的网络设备作为网络的核心节点，对核心设备的可靠性要求高。

Internet地址，也称为IP地址（Internet Protocol Address），是IP协议提供的一种统一的地址格式。它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。IP地址的存在使得网络中的设备能够被准确地定位和访问。

端口是设备与外界通讯交流的出口，可以分为虚拟端口和物理端口。虚拟端口是计算机内部或交换机路由器内的端口，不可见，如计算机中的80端口、21端口、23端口等。物理端口又称为接口，是可见端口，如计算机背板的RJ45网口，交换机路由器集线器等RJ45端口，以及电话使用的RJ11插口等。

总的来说，TCP/IP协议是一个复杂且强大的协议簇，它使得不同网络间的信息传输成为可能，而以太网、Internet地址和端口则是实现这一过程的重要组成部分。

Internet安全问题存在的原因

Internet本身是没有边界的、全球的互联网，不属于任何一个组织或国家
通过IP地址来识别和管理存在严重的安全漏洞
Internet本身没有中央管理机制，没有健全的法令和法规
Internet从技术上来讲是开放的、标准的，是为君子设计而不防小人的
Internet没有审计和记录的功能

我国网络安全现状

我国许多网络建网初期很少或根本没有考虑安全防范措施，相当大比例单位的计算机系统或多或少存在安全漏洞
我国目前急缺网络及电脑高级系统管理人员，高等教育缺乏这方面人才的培养，社会也缺乏造就这类人才的实践环境
中国内地大部分网站是基于国外的产品，他们的安全系数令人怀疑

二、常见网络攻击与防范技术

黑客

黑客认为任何信息都是自由公开的，任何人都可以平等的获取

黑客（Hacker）

骇客（Cracker）——入侵者

两类群体的划分界限模糊，通常将两者视为同一类，统称黑客。

黑客案例

常见黑客攻击过程

目标探测和信息收集

确定攻击目标并收集目标系统有关信息

踩点：尽可能多的收集关于目标系统的安全状况的各个方面的信息
扫描：使用各种工具和技巧确定哪些系统存活着、他们在监听那些端口、操作系统等；确定入攻途径
查点：从系统中抽取有效账号或导出资源名的过程

获得访问权

通过密码窃听、共享文件的野蛮攻击、摄取密码文件并破解或缓冲区溢出等攻击来获得系统访问权限

特权提升

一般账户对目标系统只有有限的访问权限，黑客经常会通过采用密码破解、利用已知漏洞等方法来获得更高权限

掩踪灭迹

一旦目标系统已经全部控制，黑客便会隐藏自己的踪迹，防止被管理员发觉

创建后门

在系统的不同部分布置陷阱和后门，以便入侵者在以后仍能从容获得特权访问

IP欺骗与防范

盗用IP地址

一台主机使用的不是分配给自己的IP地址。常见问题，不需编程即可进行。

盗用IP应该是只能盗用本网段的IP，因为最简单的网段，也需要有一个路由器作为出口。在路由器的配置中，要制定这个网短的网络地址和掩码。如果该网段中的主机使用了其他网段的IP，则路由器不认为属于他的网段，不给转发。

防止盗用IP可以绑定IP和物理地址。通过设置路由器上的静态ARP（地址转换协议，将硬件地址与IP地址相关联的协议的一部分）表，可防止在本网段内盗用IP。

IP电子欺诈

伪造某台主机的IP地址的技术。被伪造的主机往往具有某种特权或者被另外的主机所新人。通常要用编写的程序实现。通过发送带有源IP地址的IP数据包，来达到自己的目的。以IP地址验证为基础。

出现的可能性较小，一般使用防火墙可以很容易的防备这种攻击方法。确信只有内部网络可以使用信任关系，并在路由器设置不允许生成来自于内部网络的外来包通过。

区别（from 文心一言）

伪造某台主机的IP地址（通常被称为IP欺诈或IP欺骗）和盗用IP地址都是网络安全领域的常见问题，但它们之间存在明显的区别。

伪造某台主机的IP地址：

IP欺诈或IP欺骗是指攻击者通过技术手段伪造或篡改IP头部信息，使其看起来像是来自另一台合法或受信任的主机。这种攻击通常用于绕过网络安全措施，使攻击者的恶意行为看起来像是来自一个合法的源。通过伪造IP地址，攻击者可能能够执行未经授权的操作、访问敏感资源或进行其他恶意活动。

盗用IP地址：

IP地址盗用则是指攻击者非法获取并使用他人的IP地址，以冒充合法用户的身份进行网络活动。这种攻击可能导致一系列安全威胁，包括信息泄露、网络攻击和身份欺诈等。盗用IP地址的攻击者可能能够访问原本只有合法用户才能访问的资源，执行恶意操作，甚至可能使合法用户面临声誉受损和法律责任的风险。

区别：

行为目的：IP欺诈的主要目的是伪装身份，绕过安全检测；而IP地址盗用的主要目的是非法获取和使用他人的网络资源或身份。
技术手段：IP欺诈通常涉及篡改IP头部信息；而IP地址盗用可能涉及多种手段，如ARP欺骗、中间人攻击等。
后果影响：IP欺诈可能使攻击者的恶意行为看起来像是来自合法用户，从而绕过安全检测；而IP地址盗用可能导致合法用户的身份被冒用，声誉受损，甚至面临法律责任。

Sniffer嗅探器

Siniff原理

当发送者希望引起网络中所有主机操作系统的注意时，他就使用广播地址。

多数网络接口具有置成“混杂方式”的能力。在混杂方式下，网络接口对遭遇到的每一帧都产生一个硬件中断，而不仅仅是针对目标为自己的硬件地址或“广播地址”的帧。

窥探仪将网络接口设置成混杂方式以便窥探仪监视网段内每一个数据报文。

Sniffer嗅探器

Siniffer通知网卡接收其收到的所有数据（混杂模式），并通知主机进行处理。如果发现感兴趣的包或是符合预先设定过滤条件的包（如设定包中包含username或password，银行卡卡号、金融信息等），就墙漆存到一个log文件中，

Siniffer通常运行在路由器或有路由器功能的主机上，使得可以对大量的数据进行监控。属于数据链路层的攻击，通常攻击者已经进入了目标系统。

发现Siniffer：查找异常进程

防止Siniffer

Siniffer往往是攻击者侵入系统后使用，因此防止系统被突破是关键。

端口扫描技术

端口就是一个潜在的通信通道，或入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息，从而发现系统的安全漏洞。可以手工扫描或通过端口扫描软件。

与手工扫描相关的网络相关命令

Ping可以检测网络目标主机存在与否以及网络是否正常
Tracert用来跟踪一个报文从一台计算机到另一台计算机所走的路径。
Finger显示用户的状态，如用户名、登录的主机、登陆日期等，
rusers显示远程登录的用户名、该用户的上次登录时间等‘
host可以收集到一个域里所有计算机的重要信息，包括：名字服务器的地址、一台计算机上的用户名。一台服务器上正在运行什么服务，这个服务是哪个软件提供的，计算机上运行的是什么操作系统等。

扫描器

一种自动检测远程或本地主机安全性弱点的程序

工作原理：通过选用远程TCP/IP不同的端口的服务，并记录目标给予的回答来实现。

扫描器不是一个直接攻击网络漏洞的程序，它仅仅帮助入侵者发现目标主机的某些内在弱点。好的扫描器会对他得到的数据进行分析，帮助入侵者查找目标主机的漏洞，但不会提供进入一个系统的详细步骤。

基本功能：

发现一个主机或网络。
发现该主机正在运行的服务。
通过测试这些服务，发现内在漏洞。

特洛伊木马

木马与病毒的区别：不具备复制能力

木马应该符合的三个条件：

木马需要一种启动方式，一般在注册表启动组中；
木马需要在内存中运行才能发挥作用；
木马会占用一个端口，以便黑客通过这个端口和木马联系。

木马的特点：隐蔽性、顽固性、潜伏性

木马的发现和删除

注册表启动的木马：使用端口扫描软件，查看是否有可疑的端口开放。如有则先记下该端口号，然后查看内存中正在运行的软件，记录其名称和硬盘位置，并依次终止。如果端口依然开放，则被终止的程序不是木马，继续终止，直到发现木马。
删除方法：备份需要删除的文件和注册表；终止程序在内存中的运行；在注册表中查询包含该文件名的键值，然后删除。
捆绑式木马：重新安装被捆绑程序

删除木马最简单的方法是安装杀毒软件。

拒绝服务式攻击

Denial of Service，DoS这种攻击行动使网站服务器充斥着大量要求回复的信息，小号网络贷款或系统资源，导致网络或系统不胜负荷以致瘫痪而停止提供正常的网络服务。

攻击者利用上千台客户端同时攻击一个服务器。

探测扫描大量主机以寻找可入侵主机目标。
入侵有安全漏洞的主机并获得控制权。
在每台入侵主机中安装攻击程序。
利用已入侵主机继续扫描和入侵。

防范拒绝服务式攻击

防止成为被利用的工具，防止成为被攻击的对象。

防范措施：

优化路由及网络结构；
优化对外提供服务的主机（使用多宿主机；将网站分布在多个不同的物理主机上，防止网站在遭受攻击时全部瘫痪）
当攻击正在进行时，立即启动应付策略（状态监控），尽可能快地追踪攻击包，并于服务提供商联系。
提高系统安全强度，防止被入侵（经常下载系统软件不定，开启系统尽可能少的服务，对系统进行安全审核、漏洞排查……）

三、防火墙技术

定义：防火墙是综合采用适当技术，通过对网络做拓扑结构和服务类型上的隔离，在被保护网络周边建立的分隔被保护网络与外部网络的系统。通常是软件和硬件的组合体。

防火墙适用领域

防火墙适合于专网使用，特别是在专网与公共网络互联时使用。

它所保护的对象是网络中有明确闭合便捷的一个网块。

他的防护对象是来自被保护网块外部的对网络安全的威胁。

防火墙一般具有以下基本功能：

过滤进出网络的数据包
管理进出网络的访问行为
封堵某些禁止的访问行为
记录通过防火墙的信息内容和活动
对网络攻击进行检测和告警

防火墙的优点和缺陷

防火墙优点：

防火墙能够简化安全管理
保护网络中脆弱的服务
用户可以很方便的通过审计监视网络的安全性，并产生报警信息
增强保密性、强化私有权
防火墙是审计和记录网络流量的一个最佳地方

防火墙缺陷：

限制有用的网络服务
不能有效防护内部网络用户的攻击
Internet防火墙无法防范通过防火墙以外的其他途径的攻击
防火墙也不能完全防止串送一感染病毒的文件或软件
防火墙无法防范数据驱动型（表面上看是没有害处的数据，而其中隐藏了一些可以威胁主机安全指令的文件）的攻击
不能防备新的网络安全问题。防火墙是一种被动式的防护手段，只能对现在已知的网络威胁起作用

防火墙的类型

包过滤型防火墙

一般通过路由器实现，也称作包过滤路由器、网络级防火墙。

工作原理：

包过滤防火墙在网络层对进出内部网络的所有信息进行分析，并按照一组安全策略（信息过滤规则）进行筛选，允许授权信息通过，拒绝非授权信息。信息过滤规则以收到的数据包的头部信息为基础。

过滤路由器功能：

基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫作包过滤。
过滤路由器可以基于原IP地址、目的地址和IP选项进行过滤。
包过滤类型的防火墙遵循最小特权原则，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。

优点：

工作在网络层，根据数据包的包头部分进行判断处理，不去分析数据部分，因此处理包的速度比较快。
实施费用低廉，一般路由器已经内置了包过滤功能。
包过滤路由器对用户和应用来讲是透明的，用户可以不知道包过滤防火墙的存在，也不需要对客户端进行变更。不许特别的培训和安装特定的软件。

缺点：

双宿网关防火墙

双重宿主主机防火墙。是一种拥有两个连接到不同网络上的网络接口的防火墙。

特点：

内部网络与外部不可信任的网络之间是隔离的，两者不能直接进行通信。双重宿主主机可以提供两种方式的服务：用户直接登录到双重宿主主机，或者在双重宿主主机上运行代理服务器。第一种方式管理困难，且危险性大（需要在宿主主机上建立许多账号，安全性差，不利管理）。因此，双宿主主机一般采用代理方式提供服务。该主机也称代理服务器Proxy server。

原理：

双宿网关防火墙首先要禁止网络层的路由功能，从而切断内外网络之间的IP数据流，并具有强大的身份认证系统实现访问控制。在网络层以上智能连接客户端和服务器，并能够检查IP包，加以分析，最终按照相应的内容采取相应的步骤。

代理服务器是接受或解释客户端连接并发起到服务器的新连接的网络节点。主要用于将企业网Intranet链接到Internet。