经典的网络安全技术基础

网络安全技术基础目录基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题日益成熟的黑色产业链系统漏洞是怎么产生的voidmain(){inta,b,c;printf(inputa,b,c\n);scanf(%d%d%d,&a,&b,&c);printf(a=%d,b=%d,c=%d,a,b,c);}“scanf”函数没有进行输入长度校验，从而产生溢出漏洞。大多数漏洞都产生于参数传递JPG格式中的漏洞：–GDIPlus.DLL漏洞MS04-028NickDeBaggis–漏洞产生原因：JPEG格式中的注释段（COM）由0xFFFE开始(标记)+2字节注释段字节数(参数)+注释（数据）构成。因为字节数这个参数值包含了本身所占的2字节，所以GDIPLUS.dll在解析jpg格式文件中的注释段时会把这个值减去2，如果这个值设置成0，1就会产生整数溢出。结论：发现漏洞的最有效方法在于构造错误的参数传递！推论：鉴定测试中心的兄弟最有成为黑客的潜力！一次攻击实例1.目标服务器没有漏洞，很安全。2.目标服务器开了3389远程管理，非加密可以利用3.内网几台计算机有漏洞，直接拿下。顺便开个监听，看能不能抓到管理员登录服务器的信息。4.管理员总不登录？DoS一下，强迫管理员登录。5.管理员发现服务器不正常，登录去看看，被直接抓到口令。攻击机网管机内网目标服务器广义的漏洞定义漏洞就是通过加工后能够产生危害的系统功能基础知识——TCP的3次握手Syn报文Syn_ack报文Ack报文地瓜地瓜，我是土豆，听到请回答！over！土豆土豆，我是地瓜，你话音很清楚，能听清楚我说话吗？Over！地瓜地瓜，你话音也很清楚清楚，说正事吧。over！半开连接：未完成三次握手的TCP连接网络安全的基本技术应用层表示层会话层传输层网络层链路层物理层基于状态转发技术IPSec抗DoS/DDoS链路加密电磁防泄漏特征匹配技术基本技术——基于状态表转发如收到的数据包为新建TCP连接的数据包，则根据预定义规则决定是否转发。如确定需要转发则在状态表中增加相关表项，并开始跟踪TCP握手信息。如收到的数据包为非新建连接，则检查状态表表项。如有相关表项则根据表项进行转发，否则丢弃该数据包。如该数据包为TCPFIN包，则转发后删除相关表项。状态表中的表项都有预定义的老化时间。如超过老化时间仍没有新的数据包通过，则删除该条记录。无老化时间的记录称为长连接，用于某些特殊应用新建连接非新建连接状态表老化？基本技术——特征匹配技术特征库***************************************:\X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*******************************************************************************特征库以太网帧头IP头TCP头应用层数据对比网络安全设备部署模式旁路部署在线部署交换机上设置镜像端口，安全设备旁路进行抓包和特征匹配。某些网关类安全设备（如VPN）的单臂部署模式在拓扑形式上与此类似，但是数据包需要进行转发的。网关类安全设备大多采用此种将设备串入链路中的在线部署方式。透明模式向网线一样工作桥模式相当于交换机路由模式相当于路由器混合模式既有路由模式也有桥模式目录基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题防火墙的分类主要分为以下3种类型防火墙：包过滤防火墙：根据一组规则允许/阻塞一些数据包。应用代理型防火墙：作为应用层代理服务器，提供安全防护。状态检测型防火墙：比包过滤防火墙具有更高的智能和安全性，会话成功建立连接以后记录状态信息并时时更新，所有会话数据都要与状态表信息相匹配；否则会话被阻断。状态检测技术现代防火墙基本为3种类型防火墙的综合体，即采用状态检测型包过滤技术，同时提供透明应用代理功能。包过滤防火墙•基本概念：数据包过滤是指在网络中的适当位置对数据包实施有选择的通过。选择的依据就是系统内设置的过滤规则或称访问控制表。•包过滤操作过程：①包过滤规则必须被存储在包过滤设备的端口；②当数据包在端口到达时，包头被提取，同时包过滤设备检查IP、TCP、UDP等包头中的信息；③包过滤规则以特定的次序被存储，每一规则按照被存储的次序作用于包；④如果一条规则允许传输，包就被通过；如果一条规则阻止传输，包就被弃掉或进入下一条规则。检查项IP包的源地址IP包的目的地址TCP/UDP源端口IP包检测包头检查路由安全策略：过滤规则路由表包过滤防火墙转发符合不符合丢弃包过滤防火墙—图示包过滤防火墙—技术评价优点：•速度快，吞吐率高（过滤规则较少时）•对应用程序透明（无帐号口令等)缺点：•安全性低•不能过滤传输层以上的信息•不能监控链路状态信息ClientServer代理服务器代理客户机请求应答被转发的请求被转发的应答应用代理防火墙双向通信必须经过应用代理，禁止IP直接转发；只允许本地安全策略允许的通信信息通过；代理服务器评价来自代理客户的请求并决定请求是否被认可。如果请求被认可，代理服务器便代表客户接触真正的服务器并且转发从代理客户到真正的服务器的请求以及真正的服务器到代理客户的响应。安全策略访问控制应用代理防火墙—图示应用代理防火墙—技术评价优点：•可以将被保护网络内部的结构屏蔽起来•可以实施较强的数据流监控、记录。•可提供应用层的安全（身份验证等）缺点：•灵活性通用性较差，只支持有限的应用。•不透明（用户每次连接可能要受到“盘问”）•代理服务的工作量较大，需要专门的硬件（工作站）来承担基于状态的包过滤防火墙IP包检测包头下一步处理安全策略：过滤规则会话连接状态缓存表状态检测包过滤防火墙符合不符合丢弃符合检查项IP包的源、目的地址、端口TCP会话的连接状态上下文信息控制网络通信的三种方法•不完整路由控制•不完整NAT控制•包过滤控制防火墙技术——地址翻译技术1192.168.0.110:1039-172.16.10.1:80192.168.0.110:1039-172.16.10.110:11050192.168.0.220:1100-172.16.10.110:11051172.16.10.110:11050-172.16.10.1:80★源地址转换计算机192.168.0.110和192.168.220都希望通过防火墙访问服务器172.16.10.1上的网页(80端口)。计算机A192.168.0.110随机生成端口1039，以1039端口为源端口去访问172.16.10.1的80端口。计算机B192.168.0.220随机生成端口1100，以1100端口为源端口去访问172.16.10.1的80端口。防火墙根据源地址转换规则将数据包中的源地址“192.168.0.110”和“192.168.0.220”转换“172.16.10.110”防火墙生成端口11050作为“192.168.0.110”转换后的源端口，同时生成端口11051作为“192.168.0.220”转换后的端口。此时防火墙通过不同的源端口区分不同的连接。防火墙记录源地址翻译的信息，服务器返回的数据包会以“172.16.10.110”为源地址，并分别以11050和11051为目的端口，防火墙根据目的端口自动将数据包目的地址以及目的端口转换为“192.168.0.110:1039”和“192.168.0.220:1100”192.168.0.220:1100-172.16.10.1:80172.16.10.110:11051-172.16.10.1:80防火墙技术——地址翻译技术2192.168.0.1:1039-192.168.0.11:80192.168.0.11:80-172.16.10.1:80192.168.0.1:1039-172.16.10.1:80★目的地址转换由于某种原因，我们试图将服务器172.16.10.1的IP地址伪装成为192.168.0.11，则可以通过在防火墙上配置目的地址转换实现。计算机192.168.0.1试图访问我们的服务器上的网页，它认为我们服务器的IP地址是192.168.0.11，于是以自己的1039为源端口尝试向192.168.0.11的80端口建立连接。防火墙收到数据包后，根据目的地址转换规则，将数据包的目的地址转换为172.16.10.1，目的端口不变。我们服务器响应的数据包在经过防火墙以后，数据包中的源地址会自动转换为192.168.0.11。NAT的应用共享上网。隐藏内部网络结构。中断路由，保护内网。双向地址翻译解决地址冲突问题。工行中间业务系统广泛使用此技术与其他单位进行对接。目录基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题常见信息安全威胁拒绝服务攻击特洛伊木马Web应用攻击流氓软件网络钓鱼垃圾邮件社会工程Web攻击综述正常网站攻击者获得网站权限，或者在网站上注入恶意代码攻击者利用网站的漏洞网站漏洞基础软件漏洞应用系统漏洞•操作系统漏洞•Web服务器漏洞•ASP/PHP/CGI漏洞•数据库漏洞•注入攻击•跨站脚本攻击网站被控制网页被篡改网页被挂马帐号失窃成为傀儡机拒绝服务SQL注入攻击利用Web应用程序（网页程序）对用户的网页输入数据缺少必要的合法性判断的程序设计漏洞，攻击者将恶意的SQL命令注入到后台数据库的攻击方式。SQL注入对Web网站的攻击后果非法获得网站权限、网页篡改、网页挂马、窃取网站数据等。举例−在网站管理登录页面要求帐号密码认证时，如果攻击者在“UserID”输入框内输入“admin”，在密码框里输入“anything’or1=’1’”，−提交页面后，查询的SQL语句就变成了：Selectfromuserwhereusername=‘admin’andpassword=’anything’or1=’1’−不难看出，由于“1=‘1’”是一个始终成立的条件，判断返回为“真”，密码的限制形同虚设，不管用户的密码是不是Anything，他都可以以admin的身份远程登录，获得后台管理权，在网站上发布任何信息。典型注入：SQL注入攻击跨站脚本攻击：指攻击者利用网站程序对用户的输入没有进行充分的有效性检验和敏感词过滤的漏洞，输入精心构造的HTML或Javascript脚本，当其他合法的用户浏览到该页面时，将执行恶意攻击者留下的代码，遭受攻击者的进一步攻击；不同于SQL注入以Web服务器为目标的攻击方式，跨站脚本攻击更多则是将目标指向了Web业务系统所提供服务的客户端。跨站脚本攻击对Web网站的攻击后果：网页挂马、拒绝服务举个例子说明原理：如攻击者可在目标服务器的留言本中加入如下代码：scriptfunction()/script则存在跨站脚本漏洞的网站就会执行攻击者的function()。攻击者在网页上输入精心构造的HTML或JavaScipt代码网站数据库网站Web程序网站Web程序其他受害客户跨站脚本攻击利用Web网站的操作系统漏洞、Web服务器漏洞、数据库漏洞等基础软件的漏洞，获得Web网站权限。举例：通过Unicode漏洞读取服务器C盘的目录:\利用基础软件漏洞的攻击应用层安全：IPS才是王道路由器交换机IPS内