标签：总结 协议 攻击 网络 地址 期末 IP地址 网安 服务器

服务访问点 提供服务的基础，服务在节点上实现，每一层都包含一个或多个节点

协议 相同层之间通信的规则
其提供额外信息
协议中揭示了何时发送数据，以什么方式发送数据

一个分层规范定义 应该使用什么协议，需要什么输入 提供 什么函数

分层规范运行多个不同成员有相同的函数

PDU
协议数据单元式 来自高层的数据与协议或者控制信息的结合。
某一层创建的协议或者控制信息被称为头部
每一层都有自己的头部

协议规范 开源和闭源
规范的方法

1. 描述
2. 流程与时间图
3. 开放理解

网络标准 需要规定的内容
提供的服务
期待的服务
提供的功能
协议与包的格式
包到底的数据和序列

蜂窝协议栈
分为三层

1. 物理层
2. 数据链路层
3. 广播控制 实现功能 Call control (CC), Mobility management (MM), session management (SM）

基带 用来实现网络交流的软件

4. 接受广播信号
5. 解码信息
6. 发送回复同时更新状态

解码器需要实现协议规范

出现错误的地方
实现协议时出现的语法错误 对协议理解不到位
实现功能的时候，出现的语义（逻辑错误）错误 实现错误

KIM 在对规范和基带进行比较分析
消息结构中时机器友好的格式，也就可以自动比较规范和基带的结构
主要的解码逻辑是确定的，很少变化

地址

如何分配地址
静态分配 编译生成 内置嵌入
动态分配 协议发现 用户提供

• 硬件地址 物理地址
  厂商提供 可以用作网络的过滤器 物理层实验地址发现协议 找到地址 物理地址可以用用户自己设置
• 网络层地址 IP地址
  全球分配地址 可以通过DHCP协议分配 设置静态IP地址 或者设置局部IP
• 应用程序地址分配 传输层地址 端口号
  更加缺少控制 分为熟知端口号 和一般端口号 可以由协议进行配置 基于配置产生 可以接受用户输入
• 主机名称地址 域名 DNS
  往往与经济政治等相关 由官方机构管理 通过DNS协议获得

头部

固定的头部

易于分析 功能有限

无限制头部

分析困难 利于拓展

互联网

主要功能 跨越多个网络吧数据包从源路由发送到目标。

TCP/IP 协议用于包的发送与链接建立
BGP协议 用于路由的发现
DNS协议 用于IP地址的发现

互联网由ISP 服务提供商组成

机器名的格式
主机名@域名
主机名在一个域或者子域中是独一无二的
域名为一个域或者一系列子域的名字

如何将主机名转化为IP地址，即如何保存一张映射表
可以每个主机都保存 但是费时费空间，维护困难
通过DNS服务器，

迭代查询好处 缓解中心服务器压力，减少查询次数，一次查询最多只需要处理一个回复结果。

客户服务器模式

客户应用与服务器应用的交互，每一个客户应用实例都可以向服务器发送请求。
一个服务器程序定义为一个应用等待另一个应用的请求链接。

套接字 用于区分不同连接
多线程或者多进程的方法用于处理多个不同应用 详解

路由

所有的主句和路由器都保存有路由表
保存内容： 目标网络 下一跳网络 对应的物理接口
路由表分为静态和动态 静态在配置后基本发生变化 应用更为广泛，因为大多数网络只包含一个路由器，在配置的时候创建
动态路由，根据协议和路由器不同的状态调整路由表。
实验在大型网络且拥有多个出口

网络漏洞的分类

攻击者 白帽子 黑帽子
攻击目标 协议 网络应用 基础设施 infrastructure

风险和风险评估
风险评估是确定谋生的重要程度和修复该漏洞的难度，是威胁漏洞和影响的结合。
威胁 目标可能被攻击的程度
漏洞 与风险相关漏洞的数量
影响 被攻击成功之后可能产生的影响

物理层

TCP/IP 协议栈的最底层，用于提供到网络的链接
物理层规定:为传输数据所需要的物理链路创建、维持、拆除，而提供具有机械的，电子的，功能的和规范的特性。简单的说，物理层确保原始的数据可在各种物理媒体上传输。

MAC地址在路由器和不同网络之间的变换

因为这种机制，产生的常见攻击手段

1. 数据包伪造
   填入其他的mac地址，发生可以被所有设备接受的数据包，产生大量网络流量
2. 数据包嗅探
   局域网上的设备只是通过过滤目的地址方法，将不属于自己的数据包丢弃，因此我们可以通过自己设置特殊过滤器的方法，嗅探到其他
3. 物理攻击
   1. 网络电缆损坏
   2. 电缆闭环
   3. 网络控制器损坏
   4. 两个网络控制器有一个MAC地址
4. 基于头部的攻击
   设置源MAC地址，干扰交换机
   设置广播包引发网络瘫痪
   防御困难
5. 协议简单且基于硬件，没有攻击手段
6. 基于验证的攻击
   我们能够修改MAC地址，而且MAC地址是设备向交换机和网络认证的手段
   所以有ARP投毒攻击
   通过伪造目的地址，欺骗设备对于某个设备对于MAC地址的获取，进而将数据发往恶意地址
   防御较为困难
7. 基于流量的攻击
   嗅探 - 加密 混杂模式即可
   洪泛攻击 - 困难

无线网络

1. 头部攻击
   与有线一致
2. 协议攻击
   不停占用介质，其他人发不了
   伪造成SSID，与验证攻击类似
3. 验证攻击
   
   

VLAN NAC 概念理解
VLAN 依照物理地址，划分逻辑网络，从而隔离网络内不同设备的广播域
NAC 验证网络上每一台设备的身份，而不是仅仅验证用户的身份，通过检测设备的身份，验证设备能否链接在当前网络上，通常与VLAN配合使用，拒绝用户访问，其不能访问的网络。
局限，成本高且效果不确定

物理总结

因为其功能和服务有限，物理层最大的问题在对于介质访问的同时，通过嗅探访问不能访问的数据。
我们可以通过加密和隔离等方法解决。
还有就是对介质访问的限制，DOS攻击方法
物理层需要上次协议提供额外安全保护，上层协议也可以并不依赖物理层的安全保护措施。

网络层安全

	1. NAL 网络访问层
		连接两个私有端到端网络
		常用于ISP连接
	2. 网际协议
		通过互联网，用于分布式互联网组工作通知

网络访问协议

常见的攻击方法

地址伪造 网络嗅探 网络扫描 （IP的全球唯一性，辅助确定攻击目标的信息）

IPv4 协议

地址

分类 子网与子网掩码
CIDR 对于网络地址的利用更为高效。

路由

IP地址与网络的物理位置以及网络的互连没有关系。
在互联网网上的设备使用的是分布式路由方法，每一个设备都知道一个数据包需要被送到的下一个的可能的目标。这要求每个设备包括主句和路由器都需要保存一个路由表。

一个数据包的转发分为两步，第一步查询路由表找到对应的条目。第二步发送给目标或者下一跳的目标。

对于一个主机而言，发包往往对应三种场景

1. 本网络内主机 直接发送
   
2. 已知临近网络，发送给对应路由器
   值得注意的是，大多数情况下，主机并不知道临近网络情况，场景二相对少见。
3. 未知网络 发送给默认路由或者丢弃

确定转发方式之后，使用arp协议进行链路层寻址，确定物理地址。

数据包格式

ARP

ICMP

1. 头部攻击
death ping 对IP数据包载荷不仅检查

较少
2. 基于协议的攻击
因为路由的复杂性，我们可以使用ICMP协议发起DoS攻击或者ICMP重定向攻击
攻击者伪造ICMP报文，告诉受害者目标主机不可达，并且重定向到攻击者主机。
同时ARP协议也相同的攻击方法，比如ARP缓存区溢出攻击和ARP投毒攻击。
无法进行IP地址解析，或者arp帧发送给攻击者。
3. 基于认证的攻击
通常我们根据IP地址进行认证。目的主机往往会信任发送者，但是我们可以通过修改源IP的方式，进行对于IP地址欺骗。

防御方法 IP地址反向过滤 检查收到的IP数据包是否来自路由表中的接口，如果不是来自路由表就将其抛弃。
同时路由器过滤会抛弃所有IP地址与其所对应的子网地址不相同的数据包。
4. 基于流量的攻击
网络中的流量会被攻击者所嗅探到。IP层嗅探同一用于监控设备，并且确定流量中是否包含攻击，
解决方案仍然为加密

IP广播攻击。大量的请求会导致路由器宕机，使用IP广播地址。解决方案，禁止广播地址进入网络
使用ARP同样可以，ARP请求是广播消息。同一有效果的还有ICMP回应请求攻击。
防御方法除了限制数据包进入外，没有更佳对策。

BOOTP

早期为无盘设备配置IP地址
请求必须使用广播包 使用UDP协议

DHCP

动态地址分配协议
设计用来支持IP地址动态分配，同时能够再设备追加或者卸载的条件下进行地址的分配。
DHCP 协议有两个地址池，一个是静态池 类似BOOTP设备请求之后立刻获得了该地址，无法被其他设备使用。
另一个是动态池，由服务器决定将该地址分配给设备一段时间，时间之后必须重新进行分配。

1.头部无法攻击
2.协议攻击
BOOTP 只能通过传达虚假信息，影响分配占用IP地址
DHCP 攻击者可以传递虚假的信息，耗尽IP池。可以伪装客户，发送释放数据包要求，这样多个客户使用同一IP
3.验证攻击
伪装为DHCP服务器，这样分配虚假的IP地址，用户获得虚假IP地址，无法连接网络。
4. 流量攻击
没有嗅探的必要（arp一下就成），很难引发雪崩

防御措施

IP过滤

在路由中限制地址，端口号，和协议类型的访问，。常用于防范来自攻击者的流量攻击，arp和icmp的洪泛攻击。

NAT

使用私有地址将多台主机公用一个IP地址，通过与防火墙配合使用可以提高设备安全性
静态NAT实际上，并没有实质性作用
动态NAT在内部设备多于外部地址时使用维护内部地址和外部地址的一个映射表。

VPN

IPsec

详解
构建了一个在外部网络上的加密认证隧道，其中数据包负载能够安全的进行传输。
包括认证头部AH协议，加密压缩负载ESP协议，算法，密钥分发和管理。
两者模式 运输模式 隧道模式（能够穿越NAT隧道，保护更多部分）

SPD为安全策略数据库，用于分辨IP地址是否可以进行通信，以及采取何种方式和协议进行通信。
SAD保存安全联盟的相关信息，通过密钥协商之后，确定的相关安全策略与参数。
提高抗重放伪造等相关能力。

IP总结

相对物理层而言，IP的更多的出现了认证的问题，以及协议发展之后，DoS攻击更为明显，通过IP层的防护，可以使用过滤的方法进行保护。由于IP的全球认证的特点，ip的防御措施更多真的IP地址进行，如何安全的获取\分发，如何安全可靠的使用和查询IP地址，IP层的核心。合理的保护自己IP正常访问与且能够与外界通信，应该防御措施的核心。另外就是，如果高效的利用IP地址资源，提高通信效率同样应该考虑在内。

运输层

TCP协议

多路复用

套接字 在互联网上确定一个进程
主机上多个进程公用一个IP层资源

连接管理

面向连接的协议
包括三种不同操作 连接建立 连接维护 连接终止

数据传输

TCP以字节流的形式接受数据，并且打包为数据包交给IP层发送

特殊服务

提供数据流推送将将数据立刻打包发送 telnet 远程终端协议
紧急数据信号 紧急标志。

差错报告

收集来自下层的差错报告给上层。

头部攻击

1. 发送无效头部信息，扰乱运行
2. 攻击使用回应进行探测攻击，获取系统的类型
3. 通过修改标志字段的值，中断正常用户的某个链接。
4. 根据不同系统对标志字段的回应方式，获取系统的某些信息
   namp 进行端口扫描
   SYN scanning 通过半连接进行扫描端口

核心位设置标志字段观察目标系统的反应

协议攻击

一、端点协议攻击

1. SYN洪泛攻击
   不停的发送SYN请求数据报，建立大量TCP半连接，耗尽tcp的资源

防御措施：SYN cookie 通过cookie识别不同连接请求，完成三次握手之后在进行资源分配

二、嗅探流量 并将数据报插入流量的攻击
2. RST 复位攻击
攻击者嗅探到受害者与服务器之间的通信之后，分别向服务器和受害者发送RST数据报，就可以直接中断两者之间的TCP链接。

无法应对攻击者可以嗅探到服务器和受害者之间流量的情况，通过检查数据包的序列合和确认号。但是当攻击者能够观察到流量时，无法进行防御。

应对方法是在IP层进行加密，让攻击者无法判断当前传输的内容。

3. 会话劫持
   在RST 复位攻击的基础上，当我们能够完整获取流量时，我们可以只向受害者发送RST数据包，受害者关闭了链接，攻击者冒充受害者的身份与服务器进行通信，
   只要会话不进行加密，就可以无法进行防御

另一种通用的方法位被动网络过滤器，通过观察用户与服务器之间的流量，一旦发现会话被劫持的过程以及复位数据包发出的过程，就通过向服务器和客户端发送RST复位数据包，终止当前连接。

同时过滤器还可以进行流量整形，对于低优先度的TCP连接，限制器对网络的占用。

授权攻击

TCP 并不对通信双方进行身份认证，熟知端口号则可以视为对于一些英语的进程的验证。

流量攻击

进行洪泛攻击，消耗TCP资源
降低设备的服务质量

同时可以对不加密数据进行嗅探。

UDP

无连接使用运输层的协议，目的是对实现对于传输层的复用
八字节头部

攻击较为简单

没有基于头部和协议攻击，
只有基于认证的攻击以及流量的攻击

应对策略，禁止除了53端口 DNS 以外其他端口的访问。

DNS

域名解析服务，将便于人类记忆的域名映射到便于机器理解的IP地址

• domain 是逻辑概念，维持域名的树状结构，
• zone 是实际概念，一个dns服务器实际管理的内容，唯一给zone
  一个zone中可能有很多domain 反之亦然。

一个域名服务器内可能保存着很多zone。一个zone能出现在多个域名服务器中。

域名服务器分为两种

1. 权威域名服务器
   保存有全部数据
   需要对应修改域名存储的信息等内容。
2. 缓存域名服务器
   每次从权威域名服务器中，读取响应的内容进行保存

迭代查询 与 递归查询

本地域名服务器用

客户使用

DNS投毒攻击
攻击者通过附件字段等方法，将目标DNS服务器中的字段进行修改。
DNS分片攻击
通过把DNS分片，把长的DNS报文替换为，攻击者构造的DNS报文。
DNS膨胀
DRDoS 通过IP地址欺骗，同时实现对DNS服务器和目标的用户DoS攻击，即将大量的DNS请求设置为来自目标服务器的请求DNS服务器会对这些请求，进行回复。
DNSsec
增强签名过程，以及加密过程，提高传输的安全性。

对策

TLS/SSL 政策
应用使用TLS服务进行通信，提高安全性

四次握手

1. Client 2 Server
   发起请求，支持的协议版本 随机数R1
2. S2C
   选定算法 下发证书 随机数R2
3. C2S
   验证证书之后，将选定的预备会话密钥 加密发送给服务器
4. S2C
   服务器通知客户端，以后会话使用会话密钥，握手接受
   

TLS 中间人攻击
攻击者与服务器用https 欺骗服务器
受害者与攻击者用http 便于获取信息。

运输层总结

运输层攻击在于没有验证过程，因此会出现会话劫持等攻击手法，因此应该对IP地址对应的用户身份进行认证。同时，应该采用加密保护用户之间交流的内容。同时，用于不同端口，不同系统对应tcp连接的反应不同，我们可以利用tcp连接获取系统的相关信息。对应基于UDP的DNS 则可能产生投毒攻击，让受害者访问错误的IP地址，因此我们需要添加验证等方法，防御相关攻击。
TLS的使用可以，进一步增强TCP连接的安全性。

E-mail

SMTP

SMTP提高可靠的邮件传送服务，但是不能恢复传输中丢失的文件

不进行验证，服务器并不对该用户是否合法进行验证。同时，也不对返回地址进行验证。
流量攻击 ，仍然为常见的占用资源的攻击，以及侵入网络的嗅探攻击。

POP

接受邮件的协议
将邮件从服务器发送给主机，POP3用户需要以明文的形式登录到pop3 服务器，然后从服务器中下载邮件。用户可以自行设置，多久查看一次邮件，

IMAP

攻击方法少，猜测验证困难，对流量要求小，还可以限制访问ip

MIME

头部攻击，头部隐藏消息的实际内容，进行XSS攻击 或者 进行钓鱼攻击
协议攻击 利用附件中设置恶意程序进行攻击
验证攻击 本身不进行验证，但是可以欺骗验证，用户信任该邮件，并且访问远程连接之后，会对记录用户的相关信息
流量攻击
发送大量小型邮件 进行攻击
大型邮件可以方便构造，但是可以被mta拒绝
嗅探威胁没有改变

钓鱼

攻击成本低 发送邮件 制作网页 没有验证
分辨困难 难以区分

邮件隐私

发信人能否追踪邮件是否被收到

SPAM

认证 过滤 授权

恶意代码

1. 病毒
   能够将自身插入宿主内的恶意代码，自身不能运行，只能被宿主激活运行。
   注意不用重复感染，进而产生的针对重复感染的可能的攻击方法。
2. 木马
   一个恶意程序伪装成良性程序，侵入目标系统 执行破坏操作
   木马 不进行自我赋值 防御在于如何进行伪装
   通常用于传播病毒 或者 安装后门程序。
3. rootkit
   通过程序和后门持续获取系统的高特权层级，通常是root权限
   通常此类代码需要隐藏自己的身份，不能被合法用户发现。
   通过hooking 技术解惑应用传递的信息，修改为自己需要的信息之后，就可以 获得更多权限
   常见手法
   

IAT hooking

原理
程序在被调用之后，需要导入外部模块时，需要从外部动态加载进入，为了找到外部模板对应的地址，我们有了IAT表，因此只需要将iat 指向我编写的hook函数，就完成了一次hook

特点：简单有效，但是容易被发现，只要观察iat有没有被修改即可，但是，难以分辨进行修改的是普通程序还是恶意程序。解决方案，直到调用时，才区寻找调用位置，减少IAT表被修改的可能，一些程序甚至没有iat表

inline hooking

原理
IAT不变，而是直接修改程序，比如在要调用的程序中加一条跳转指令，这样基于IAT表的 防御措施，就不再起效了。
同时因为直接修改跳转指令本身，无论是内核态调用还是用户的调用，都能够正常发挥作用。
同时，还需要注意应对防御病毒的措施，需要将跳转指令加以隐藏。

SSDT hooking

SSDT 是系统调用描述表，保存有指针，指向系统调用。我们通过修改其中的指针，将其指向我们的恶意程序，进而实现了hook的功能。与iat 和内联相比， 这种hook方法可以在全局起作用。
防御手段为 设置SSDT这个表只读保存，无法被修改，但是可以通过禁用保护的方式，对该表进行修改。
一种方法，通过修改函数，可以让我们的程序，对于操作系统的表而言，变成不可见的的，但是实际上其仍在运行过程中。

Botnet

僵尸网络 是一种网络机器人能够运行在僵尸机器上，并对其进行控制
包括 IRC bot 命令发布者 网络拥有者 肉鸡 从网络上获取资源。

作用： 发布垃圾邮件，广告 搜索 虚假点击量
防御策略 查封服务器
应对 多服务器，更换服务器

邮件安全应对策略

1. 进行加密 并进行验证
   PGP 邮件传输协议

2. 使用邮件过滤器
   根据邮件的地址 域名 恶意内容 决定如何处理邮件
   通常可以借助机器学习等方法进行过滤
   绕过 注意不使用关键词 把文章修改为图片
   设置黑名单和白名单减少骚扰邮件
   内容过滤
   病毒附件 或者 重要信息内容 注意对于签名的内容。
   通过加密等方法绕过检测

3. 邮件取证
   邮件发送过程中，每经过一个MTA 都会在其中添加信息， 同时经过的SPAM过滤器也会在MIME头部其中留下内容，包括是否是垃圾或者钓鱼邮件的信息，邮件头部的诸多信息，为追踪溯源电子邮件的内容，提供了保证。对应检测相关内容，既可以完成电子邮件取证

网络安全

WWW的安全问题，保护其使用的http https 等协议，以及在这些协议下运行的应用程序，使用这样程序的服务器与客户的安全问题。

浏览器本身的复杂性
各种插件的产生
攻击者可以影响浏览器行为
通常是强制执行的攻击手法

漏洞利用已经被商品化

XSS攻击
对于来自服务器 数据过度信任
反射型 恶意代码在连接中，点击连接进入，服务器将相关恶意内容发送给用户，然后把数据发送给发送给攻击者
找到能够回响输入的网站
存储型 恶意代码直接保存在服务器中，下载直接执行

SQL 注入
代码数据未分类

浏览器沙盒
同源策略
surf jacking
通过http301 将https 转化为http 这样就可以实现嗅探。

防护墙 与 入侵检测

防火墙

计算机网络或系统的一部分，用来阻止未授权的流量从一个网络发送到另外一个。
要求： 所有流量必须经过 只要符合要求的流量可以方向 防火墙自身不能被渗透

数据包过滤防火墙

1. 设置规则
2. 明确默认规则
3. 添加源端口验证流量
4. 验证流量真实而非伪装
5. 记录发出流量的状态
   
   应用级网关
   由代理获取来自用户和服务器的信息，并且数据中的关于应用的信息，决定是否能否对数据包进行转发。

As a packet traverses through each chain, rules on the
chain are examined to see whether there is a match or not.
If there is a match, the corresponding target action is
executed: ACCEPT, DROP or jumping to user-defined
chain.

入侵检测
监控和收集计算机系统和网络关于入侵的相关事项，分析入侵的信号，以及对于机密性完整性可用性的威胁的常识或者绕过安全系统的常识。

异常检测
定义一个正常行为的简介，并且监视所有行为，是否符合规范的内容
行为包括 登录与会话活动 进程与命令的执行 文件访问活动

误用检测
检测一些可能与攻击特征相关的特定行为
攻击特征通常非常特殊
将系统操作与规则进行匹配，匹配成功则为攻击
否则为普通操作

异常检测与误用检测的区别

标签：总结,协议,攻击,网络,地址,期末,IP地址,网安,服务器
来源： https://blog.csdn.net/weixin_46227016/article/details/121875324

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。