网络安全技术基础

1网络安全技术基础（非加密）2目录基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题3日益成熟的黑色产业链4系统漏洞是怎么产生的voidmain(){inta,b,c;printf(inputa,b,c\n);scanf(%d%d%d,&a,&b,&c);printf(a=%d,b=%d,c=%d,a,b,c);}“scanf”函数没有进行输入长度校验，从而产生溢出漏洞。5大多数漏洞都产生于参数传递JPG格式中的漏洞：–GDIPlus.DLL漏洞MS04-028NickDeBaggis–漏洞产生原因：JPEG格式中的注释段（COM）由0xFFFE开始(标记)+2字节注释段字节数(参数)+注释（数据）构成。因为字节数这个参数值包含了本身所占的2字节，所以GDIPLUS.dll在解析jpg格式文件中的注释段时会把这个值减去2，如果这个值设置成0，1就会产生整数溢出。结论：发现漏洞的最有效方法在于构造错误的参数传递！6一次攻击实例1.目标服务器没有漏洞，很安全。2.目标服务器开了3389远程管理，非加密可以利用3.内网几台计算机有漏洞，直接拿下。顺便开个监听，看能不能抓到管理员登录服务器的信息。4.管理员总不登录？DoS一下，强迫管理员登录。5.管理员发现服务器不正常，登录去看看，被直接抓到口令。攻击机网管机内网目标服务器7广义的漏洞定义漏洞就是通过加工后能够产生危害的系统功能8基础知识——TCP的3次握手Syn报文Syn_ack报文Ack报文地瓜地瓜，我是土豆，听到请回答！over！土豆土豆，我是地瓜，你话音很清楚，能听清楚我说话吗？Over！地瓜地瓜，你话音也很清楚清楚，说正事吧。over！半开连接：未完成三次握手的TCP连接9网络安全的基本技术应用层表示层会话层传输层网络层链路层物理层基于状态转发技术IPSec抗DoS/DDoS链路加密电磁防泄漏特征匹配技术10基本技术——基于状态表转发如收到的数据包为新建TCP连接的数据包，则根据预定义规则决定是否转发。如确定需要转发则在状态表中增加相关表项，并开始跟踪TCP握手信息。如收到的数据包为非新建连接，则检查状态表表项。如有相关表项则根据表项进行转发，否则丢弃该数据包。如该数据包为TCPFIN包，则转发后删除相关表项。状态表中的表项都有预定义的老化时间。如超过老化时间仍没有新的数据包通过，则删除该条记录。无老化时间的记录称为长连接，用于某些特殊应用新建连接非新建连接状态表老化？11基本技术——特征匹配技术特征库***************************************:\X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*******************************************************************************特征库以太网帧头IP头TCP头应用层数据对比12网络安全设备部署模式旁路部署在线部署交换机上设置镜像端口，安全设备旁路进行抓包和特征匹配。某些网关类安全设备（如VPN）的单臂部署模式在拓扑形式上与此类似，但是数据包需要进行转发的。网关类安全设备大多采用此种将设备串入链路中的在线部署方式。透明模式向网线一样工作桥模式相当于交换机路由模式相当于路由器混合模式既有路由模式也有桥模式13目录基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题14防火墙的分类主要分为以下3种类型防火墙：包过滤防火墙：根据一组规则允许/阻塞一些数据包。应用代理型防火墙：作为应用层代理服务器，提供安全防护。状态检测型防火墙：比包过滤防火墙具有更高的智能和安全性，会话成功建立连接以后记录状态信息并时时更新，所有会话数据都要与状态表信息相匹配；否则会话被阻断。状态检测技术现代防火墙基本为3种类型防火墙的综合体，即采用状态检测型包过滤技术，同时提供透明应用代理功能。15包过滤防火墙•基本概念：数据包过滤是指在网络中的适当位置对数据包实施有选择的通过。选择的依据就是系统内设置的过滤规则或称访问控制表。•包过滤操作过程：①包过滤规则必须被存储在包过滤设备的端口；②当数据包在端口到达时，包头被提取，同时包过滤设备检查IP、TCP、UDP等包头中的信息；③包过滤规则以特定的次序被存储，每一规则按照被存储的次序作用于包；④如果一条规则允许传输，包就被通过；如果一条规则阻止传输，包就被弃掉或进入下一条规则。16检查项IP包的源地址IP包的目的地址TCP/UDP源端口IP包检测包头检查路由安全策略：过滤规则路由表包过滤防火墙转发符合不符合丢弃包过滤防火墙—图示17包过滤防火墙—技术评价优点：•速度快，吞吐率高（过滤规则较少时）•对应用程序透明（无帐号口令等)缺点：•安全性低•不能过滤传输层以上的信息•不能监控链路状态信息18ClientServer代理服务器代理客户机请求应答被转发的请求被转发的应答应用代理防火墙双向通信必须经过应用代理，禁止IP直接转发；只允许本地安全策略允许的通信信息通过；代理服务器评价来自代理客户的请求并决定请求是否被认可。如果请求被认可，代理服务器便代表客户接触真正的服务器并且转发从代理客户到真正的服务器的请求以及真正的服务器到代理客户的响应。安全策略访问控制应用代理防火墙—图示19优点：•可以将被保护网络内部的结构屏蔽起来•可以实施较强的数据流监控、记录。•可提供应用层的安全（身份验证等）缺点：•灵活性通用性较差，只支持有限的应用。•不透明（用户每次连接可能要受到“盘问”）•代理服务的工作量较大，需要专门的硬件（工作站）来承担应用代理防火墙—技术评价20基于状态的包过滤防火墙IP包检测包头下一步处理安全策略：过滤规则会话连接状态缓存表状态检测包过滤防火墙符合不符合丢弃符合检查项IP包的源、目的地址、端口TCP会话的连接状态上下文信息21控制网络通信的三种方法•不完整路由控制•不完整NAT控制•包过滤控制22防火墙技术——地址翻译技术1192.168.0.110:1039-172.16.10.1:80192.168.0.110:1039-172.16.10.110:11050192.168.0.220:1100-172.16.10.110:11051172.16.10.110:11050-172.16.10.1:80★源地址转换计算机192.168.0.110和192.168.220都希望通过防火墙访问服务器172.16.10.1上的网页(80端口)。计算机A192.168.0.110随机生成端口1039，以1039端口为源端口去访问172.16.10.1的80端口。计算机B192.168.0.220随机生成端口1100，以1100端口为源端口去访问172.16.10.1的80端口。防火墙根据源地址转换规则将数据包中的源地址“192.168.0.110”和“192.168.0.220”转换“172.16.10.110”防火墙生成端口11050作为“192.168.0.110”转换后的源端口，同时生成端口11051作为“192.168.0.220”转换后的端口。此时防火墙通过不同的源端口区分不同的连接。防火墙记录源地址翻译的信息，服务器返回的数据包会以“172.16.10.110”为源地址，并分别以11050和11051为目的端口，防火墙根据目的端口自动将数据包目的地址以及目的端口转换为“192.168.0.110:1039”和“192.168.0.220:1100”192.168.0.220:1100-172.16.10.1:80172.16.10.110:11051-172.16.10.1:8023防火墙技术——地址翻译技术2192.168.0.1:1039-192.168.0.11:80192.168.0.11:80-172.16.10.1:80192.168.0.1:1039-172.16.10.1:80★目的地址转换由于某种原因，我们试图将服务器172.16.10.1的IP地址伪装成为192.168.0.11，则可以通过在防火墙上配置目的地址转换实现。计算机192.168.0.1试图访问我们的服务器上的网页，它认为我们服务器的IP地址是192.168.0.11，于是以自己的1039为源端口尝试向192.168.0.11的80端口建立连接。防火墙收到数据包后，根据目的地址转换规则，将数据包的目的地址转换为172.16.10.1，目的端口不变。我们服务器响应的数据包在经过防火墙以后，数据包中的源地址会自动转换为192.168.0.11。24NAT的应用共享上网。隐藏内部网络结构。中断路由，保护内网。双向地址翻译解决地址冲突问题。工行中间业务系统广泛使用此技术与其他单位进行对接。25iptables与NetFilter架构Linux的防火墙最开始的ipfwadm是AlanCox在Linuxkernel发展的初期，从FreeBSD的内核代码中移植过来的。后来经历了ipchains，再经由PaulRussell在Linuxkernel2.3系列的开发过程中发展了netfilter这个架构。而用户空间的防火墙管理工具，也相应的发展为iptables。26一个星期开发出防火墙1.买一台专门的防火墙硬件，很多服务器厂或者工控机厂都提供，不带CPU和内存大约不到3000块一台。2.剪裁一个Linux版本出来。如果不懂相关技术可不剪裁，但是要记得把驱动装全。3.在Linux上把iptables启动起来。4.开发一个web界面，用来写iptables和Linux路由等的配置脚本。（最有技术含量的就是这部分了，事实上有专门的图形化的配置器，但是容易被人家看出来不是？）5.如果想正式卖，去公安部、保密局、解放军、信息安全评测中心等地方去拿证书。（这是最花钱的地方，如果只是偷着卖，可跳过此步。）6.写一套主打胶片和白皮书。记得里面要有：“具有自主知识产权”、“创造性的提出了××安全架构”、“安全的操作系统”等字样。27ASPFV3版本状态检测的实现检测每一个应用层的会话，并创建一个状态表和一个临时访问控制表。一个会话可以认为是一个TCP连接。状态表项维护了一次会话中某一时刻会话所处的状态，用于匹配后续的发送报文，并检测会话状态的转换是否正确。状态表在监测到第一个外发报文时创建（对于TCP，检测到SYN报文）。临时访问控制表在创建状态表项的同时创建，会话结束后删除，相当于一个扩展ACL的permit项。它用于匹配一个会话中的所有应答报文。对于处于半开连接状态的会话(TCPSYN)，还创建半开连接表项。对于UDP应用，检测到第一个报文认为发起连接，检测到第一个返回报文认为连接建立，session/TACL的删除取决于空闲超时。28V5ASPF/包过滤介绍原有的传输层与应用层协议状态机维护功能被拆分至会话管理与ALG模块中，ASPF不再单独维护。原有ASPF通过正向会话表项+临时访问控制列表（TACL）实现报文动态检测的处理机制被替换，由会话管理模块维护的Session+双向HASH表的方式实现，ASPF不再单独维护会话表以及由会话派生出的TACL链表，SYN/FIN链表以及分片报文链表等。ASPF基于协议的会话定时老化机制交由会话管理处理。会话表项的管理不再基于接口而是系统全局管理，并被多个业务模块（NAT、ALG）共同使用。高端防火墙产品采用域策略管理方式，而路由器沿用接口安全策略配置的方式。在高端防火墙产品中，ASPF与包过滤策略作为域间安全策