导图社区 OSG9第十一章安全网络架构和组件-上

OSG9第十一章安全网络架构和组件-上

第11章安全网络架构和组件-上，CISSP（Certification for Information System Security Professional）即信息系统安全专业认证，这一证书代表国际信息系统安全从业人员的权威认证

编辑于2023-07-14 11:31:47 广东

CISSP

Summer

他的近期作品集查看更多>>

CISSP OSG9 含24个作品
CISSP（Certification for Information System Security Professional）即信息系统安全专业认证，这一证书代表国际信息系统安全从业人员的权威认证，CISSP认证项目面向从事商业环境安全体系建构、设计、管理或控制的专业人员，对从业人员的技术及知识积累进行测试

他的近期作品查看更多>>

OSG9第十一章安全网络架构和组件-上

社区模板帮助中心，点此进入>>

Summer

他的近期作品集查看更多>>

CISSP OSG9 含24个作品
CISSP（Certification for Information System Security Professional）即信息系统安全专业认证，这一证书代表国际信息系统安全从业人员的权威认证，CISSP认证项目面向从事商业环境安全体系建构、设计、管理或控制的专业人员，对从业人员的技术及知识积累进行测试

他的近期作品查看更多>>

相似推荐
大纲

安全教育的重要性
- 6.0k
- 83
- 16
issen
个人日常活动安排思维导图
- 7.0k
- 75
- 2
少儿栏目外景策划波波老师
西游记主要人物性格分析
- 14.7k
- 621
- 104
issen
17种头脑风暴法
- 173.3k
- 11.0k
- 3.6k
MindMaster
亡羊补牢
- 7.4k
- 39
- 6
(*^▽^*)
外婆与姥姥的区别
- 1.7k
- 10
- 1
(*^▽^*)
父母学吧四大模块课程
- 3.4k
- 61
- 6
九一同桌赵晨曦老师
如何令自己更快乐
- 2.4k
- 96
- 7
wxb
头脑风暴法四个原则
- 1.8k
- 69
- 5
issen
思维导图
- 19.6k
- 447
- 82
Jason

第11章安全网络架构和组件-上

11.1 OSI 模型

协议：可通过网终在计算机之间边行通信。协议是一组规则和哏制，用于定义数据如何通过网络介质（如双绞线、无线传输等）进行传输

11.1.1 OSI 模型的历史

20 世纪 70 年代晚期， OSI 模型才被开发出来

11.1.2 OSI 功能

OSI 模型将网络任务分为七层

11 .1.3 封装／解封

封装是指在将每层从上面的层接收到的数据传递到下面的层之前，为其添加头部，也可能添加尾部

数据从物理层到应用层向上移动时的逆操作被称为解封。

对等层通信：每层删除的信息包含指令、校验和等，只有最初添加或创建信息的对等层能理解

各层网络容器的标签

协议数据单元(PDU)

传输层（第 4 层），它将被称为段(TCP)或数据报(UDP)

11.1.4 OSI 模型层次

应用层

应用层（第 7 层）负责将用户应用程序、网络服务或操作系统与协议栈相连接

传输文件、交换消息、连接到远程终端等所需的协议和服务，SSH

表示层

表示层（第 6 层）负责将数据转换为遵循 OSI 模型的任何系统都能理解的格式,标准

网络通信相关5个加密位置

预先加密，软件在将数据发送到应用层之前进行加密。

传输层加密通常由 TLS 执行。

VPN 加密，可发生在第 2 、第 3 或第4 层，具体取决于使用的 VPN 技术（例如 L2TP、 IPsec 或 OpenVPN) 。

数据链路层的无线加密。

物理层的批量加密（由网卡外部的设备提供）。

会话层

会话层（第 5 层）负责建立、维护和终止两台计算机之间的通信会话

建立分组和恢复的检查点，并重传自上次验证检查点以来失败或丢失的 PDU。在 TCP/IP 网络上，没有实际的会话层

三种约束或控制模式。

单工：单向通信

半双工：双向通信，但一次只能向一个方向发送数据。

全双工：双向通信，可以同时向两个方向发送数据。

传输层

传输层（第 4 层）负责管理连接的完整性并控制会话，段(TCP)或数据报(UDP)

传输层在两个设备之间建立逻辑连接，并提供端到端传输服务以确保数据传输

协议在传输层中运行

传输控制协议(Transmission Control Protocol, TCP)

用户数据报协议(User Datagram Protocol, UDP)

传输层安全(Transport Layer Security, TLS)

网络层

网络层（第 3 层）负责逻辑寻址和执行路由。当地址由软件或协议分配和使用，而不是由硬件提供和控制时，就会发生逻辑寻址。数据包的包头包括源和目标 IP 地址，包

路由器是在第 3 层运行的基本网络硬件设备。路由器根据速率、跳数、首选项等确定数据包传输的最佳逻辑路径。路由器使用目标IP 地址来指导数据包的传输

数据链路层

数据链路层（第 2 层）负责将数据包格式化为传输格式，帧

硬件地址是 MAC 地址，它是一个 6 字节(48 位）的二进制地址，并以十六进制表示法编写（如 00-13-02- lF-58-FS) ，也被称为物理地址、 NIC 地址和以太网地址。

熟悉地址解析协议(ARP)

在第 2 层（数据链路层）运行的网络硬件设备是交换机和网桥

物理层

物理层（第 1 层）将帧转换为比特，以便通过物理连接介质进行传输；反之亦然，以便接收通信。

在第 1 层（物理层）运行的网络硬件设备是 NIC、集线器、中继器、集中器和放大器

11.2 TCP/IP 模型

TCP/IP 模型（也称为 DARPA 模型或 DOD 模型）仅由四层组成，而 OSI 参考模型则为七层

TCP/IP 的漏洞很多：容易受到缓冲区溢出攻击、 SYN 洪水攻击、各种拒绝服务(DoS)攻击、碎片攻击、超大数据包攻击、欺骗攻击、中间人攻击（路径攻击）、劫持攻击和编码错误攻击监视或嗅探等被动攻击

11.3 网络流量分析

网络流量分析是管理网络的基本功能。它可以用于跟踪恶意通信、检测错误或解决传输问题。

协议分析器是用于检查网络流量内容的工具

协议分析器通常将网络接口卡(network interface card，NIC) 置于混杂模式，以查看和捕获本地网段上的所有以太网帧

协议分析器

Wireshark

Omnipeek

NetWitness

NetScout)

11.4 应用层协议

SSH TCP22端口：Secure Shell （安全外壳协议，简称 SSH ）是一种加密的网络传输协议，可在不安全的网络中为网络服务提供安全的传输环境，linux服务器

Telnet, TCP 23 端口：是一个终端仿真网络应用程序，支持远程连接以执行命令和运行应用程序，但不支持文件传输。不应使用 Telnet, 而应该用 SSH 替代

FTP, TCP20 端口：（活动数据连接）／短暂（被动数据连接）和 21 （控制连接）端口，是一个网罗应用程序，支持需要匿名或特定身份认证的文件传输，不安全。SFTP安全

TFTP, UDP69 端口：是一个支持不需要身份认证的文件传输的网络应用程序

SMTP, TCP25 端口：是一种用于将电子邮件从客户端传输到电子邮件服务器

POP3, TCP 110 端口：是一种用于将电子邮件从电子邮件服务器上的收件箱中拉到电子邮件客户端的协议（即客户端存档）。仅在使用 TLS 加密创建 POPS 时使用

IMAP(IMAP4), TCP 143 端口：是一种用于将电子邮件从电子邮件服务器上的收件箱拉到电子邮件客户端的协议。比POP3安全

DHCP, UDP 67（服务器）端口和 68：（客户端）端口，用于集中控制启动时为系统分配的TCP/IP 配置设置

HTTP, TCP 80 端口：是用明文将 Web 页面元素从 Web 服务器传输到 Web 浏览器的协议

HTTPS, TCP443 端口：是 HTTP 的 TLS 加密版本。

LPD, TCP 515 端口：是一种网络服务，用于假脱机打印作业以及将打印作业发送到打印机。应封闭在 VPN 中使用

X Window, TCP 6000~6063 端口：是用于命令行操作系统的 GUI API，IMB小型机没有显卡

NFS, TCP 2049 端口：是一种网络服务，用于支持不同系统之间的文件共享

SNMP, UDP 161 端口：简单网络管理协议（Simple Network Management Protocol, SNMP）（用于陷阱消息的是UDP 162 端口），是一种网络服务，用于从中央监控服务器收集网络运行状况和状态信息。仅SNMPv3.0是安全的

11.5 传输层协议

端口号是 16 位二进制数，因此端口总数为 2“16或 65 536, 编号为 0 到 65 535，IP 地址和端口号的组合被称为套接字。

端口划分

1024 个(0~1023)被称为众所周知的端口或服务端口。这些端口被保留，以供服务器独占使用

1024-49 151 被称为已注册的软件端口

49152-65 535 被称为随机、动态或临时端口，它们通常被客户端随机地1 临时用作源端口

TCP 是一种面向连接的全双工协议，而UDP 是一和无连接单工协议。

TCP三次握手

(1) 客户端将 SYN（同步）标记的数据包发送到服务器。

(2) 服务器以 SYN/ACK（同步和确认）标记的数据包响应客户瑞

(3) 客户端以 ACK（确认）标记的数据包响应服务器。

UDP 也在 OSI 模型的第 4 层（传输层）被认为是不可靠的，主要用于音视频传输

11.6 域名系统

域名：域名或计算机名是在 IP 地址上分配的人性化的“临时“约定

IP 地址： IP 地址是在 MAC 地址上分配的“临时“逻辑地址。

MAC 地址：MAC 地址或硬件地址是“永久“物理地址。

ARP：将 IP 地址解析为对应的 MAC 地址

DNS ：将 IP 地址和人性化的完全限定域名(FQDN)链接在一起

完全合格域名/全程域名缩写(Fully Qualified Domain Name，FQDN) 包含三个主要部分

顶级域名(TLD)-www.google.com 中的 com

注册域名－www.google.com 中的 google

子域或主机名－—－www.google.com 中的 WWW

七个顶级域名中的六个一-com、 org、edu、mil 、 gov 和 net, 以及许多新的顶级域名，如 info, museum、 telephone、 mobi、 biz 等。

FQDN 的总长不能超过 253 个字符（包括点）。任何单个部分不能超过 63 个字符

最初， DNS 由 HOSTS 文件的静态本地文件处理。 HOSTS 文件包含域名及其关联 IP 地址的固定引用

DNS 通过 TCP 和 UDP 端口 53 运行。 TCP 端口 53 用于区域传输

域名系统安全扩展(Domain Name System Security Extensions, DNSSEC)是对现有 DNS 基础结构的安全性改进，在DNS操作期间提供可靠的身份验证

11.6.1 DNS 中毒

DNS 中毒是伪造客户端使用的 DNS 信息以到达所需系统的行为

客户端将DNS解析为IP地址过程

检查本地缓存（包括 HOSTS 文件中的内容）。

将DNS 查询发送到已知的 DNS 服务器。

将广播查询发送到任何可能的本地子网 DNS 服务器（此步骤未得到广泛支持）。

如果客户端在上述三个步骤都没有解析到对应的 IP, 则解析失败，无法发送通信内容。

流氓 DNS 服务器：流氓 DNS 服务器可侦听网络流量以查找与目标站点相关的任何 DNS 查询或特定 DNS查询。然后，流氓 DNS 服务器使用错误的 IP 信息向客户端发送DNS 响应

执行 DNS 缓存中毒：DNS 中毒涉及攻击 DNS 服务器并将不正确的信息放入域文件或缓存中的行为

DNS 域欺骗(DNS Pharming) ：域欺骗是将有效网站的 URL 或 IP 地址恶意定向到假网站的行为

改变 HOSTS 文件：通过在 HOSTS 文件中放置虚假 DNS 数据来修改客户端上的 HOSTS 文件的行为会将用户重定向到错误位置

破坏 IP 配置：破坏IP 配置的行为可能导致客户端具有错误的DNS 服务器定义（即 DNS 查找地址更改）。

DNS 查询欺骗：当黑客能够窃听客户端对 DNS 服务器的查询时，就会发生 DNS 查询欺骗攻击

使用代理伪造：虽然代理伪造攻击严格来说不是 DNS 问题，但如果客户端必须解析代理的域名才能使用代理，则可以通过 DNS 来实施代理伪造攻击

DNS 中毒的防御措施

限制从内部 DNS 服务器到外部 DNS 服务器的区域传输。这是通过阻止入站 TCP 端口 53（区域传输请求）和 UDP 端口 53（查询）来实现的

要求内部客户端通过内部 DNS 解析所有域名。这将要求你阻止出站UDP 端口 53（用于查询），同时保持打开的出站 TCP 端口 53 （用于区域传输）。

限制外部 DNS 服务器。内部 DNS 服务器从这些外部 DNS 服务器拉取区域传输

部署网络入侵检测系统(NIDS) 以监视异常 DNS 流最

正确加固专用网络中的所有 DNS、服务器和客户端系统。

使用 DNSSEC 保护 DNS 基础设施

在所有支持的客户端上使用 DoH 或 ODoH

组织应使用拆分DNS 系统（也被称为分裂地平线 DNS、分割视图 DNS 和拆分大脑DNS) 。拆分 DNS 部署供公共使用的 DNS 服务器和供内部使用的独立 DNS 服务

另一个 DNS 防御机制是 DNS 陷坑。 DNS 陷坑是虚假测量系统（又名陷坑服务器、互联网陷坑和 DNS 黑洞）的具体示例。这种技术被有效地用于防御 DNS 欺骗

11.6.2 域名劫持

域名劫持或域名盗窃：是在未经所有者授权的情况下更改域名注册的恶意行为。这可通过窃取所有者的登录凭证、使用 XSRF、会话劫持、路径/MITM，中间人攻击（Man-in-the-MiddleAttack，简称“MITM攻击”）攻击或利用域名注册商系统中的缺陷来实现。

防止域名劫持的最佳措施是在登录域注册器时使用强多因素身份认证

误植域名攻击：当用户错误输入预期域名或 IP 地址时，这种错误如果被攻击者利用，则意味着发生了误植域名攻击(typosquatting)

拼写错误（如 googel.com)

名称或单词上的键入错误（如 gooogle.com)

及不同的顶级域(TLD) ，如google.edu

同形词攻击：这些攻击利用字符集的相似性来注册肉眼看起来合法的虚假国际域名(IDN)

URL 劫持：URL 劫持指的是显示其他链接或广告的行为，该链接或广告看起来像知名产品、服务或网站的链接或广告，但单击后会将用户重定向到其他位置、服务或产品

点击劫持：点击劫持攻击将用户在网页上的点击或选择重定向到另一个目标（通常是恶意的），而不是其预期位置，隐藏的覆盖页面

11.7 互联网协议

IP ：为数据包提供路由寻址。这条路线成为全球互联网通信的基础，因为它提供了一种身份识别手段并规定了传输路径

IPv4 是世界上使用最广泛的互联网协议版本。

IPv4 使用 32 位寻址方案，而 IPv6 使用 128 位寻址

11.7.2 IP 分类

全 0 的 A 类网络被定义为网络黑洞，路由到该网络的流量会被丢弃。

IPv4 的环回地址：是 A 类子网(127.0.0. l-127.255.255.254) 中的任何地址，即使通常只使用 127.0.0.1 这一地址

11.7.3 ICMP

ICMP 用于确定网络或特定链路的运行状况。 ICMP 可用于 ping、 traceroute 、 pathping 等网络管理工具。

不幸的是，ICMP 的功能常用于各种形式的基于带宽的 DoS 攻击，例如死亡之 ping、 SmurF攻击和 ping 洪水攻击

11.7.4 IGMP

IGMP 允许系统支待多播。多播将数据传输到多个特定接收者， RFC 1112 讨论了执行IGMP 多播的要求。 IGMP 用于管理主机的动态多播组成员资格

11.8 ARP 关注点

ARP（Address Resolution Protocol）：用于将 IP 地址（用于逻辑寻址的 32 位二进制数）解析为 MAC 地址（用于物理寻址的48 位二进制数）

ARP中毒

ARP缓存中毒或 ARP 欺骗是由以伪造的回复进行响应的攻击者引起的

另一种形式的 ARP 中毒使用无目的的或未经请求的 ARP 回复

第三种形式的 ARP 缓存中毒是静态ARP 条目的创建

防御

针对基于 ARP 的攻击的最佳防御是实施交换机上的端口安全

另一种防御措施是建立静态ARP 条目

OSG9第十一章 安全网络架构和组件-上

OSG9第十一章 安全网络架构和组件-上

OSG9第十一章安全网络架构和组件-上

OSG9第十一章安全网络架构和组件-上