入侵者从外部传输一个伪装成来自内部主机的数据包(数据包的IP是 内网的合法IP )
对策:丢弃所有来自路由器外端口,却使用内部源地址的数据包。
入侵者让数据包循着一个不可预料的路径到达目的地,以逃避安全系统的审核.
对策:丢弃所有包含源路由选项的数据包。
数据包中列出自己 所经过 的路由。某些路由器可以使用数据包的 反向路由 来传送应答数据,一个攻击者可以假冒一个主机,并通过一个特殊的路径来获得某些被保护数据。
利用IP分段的特性,构造一个极小的分段,并强行将TCP信息头分割成多个数据包段。通常设备只检查第一个数据包段。
对策:丢弃协议类型为TCP,且IP Fragment Offset标志为1的数据包(这意味着还有分片)。
RARP:Reverse Address Resolution Protocal,逆地址解析协议。
允许局域网的主机从 网关服务器的ARP表 或 缓存 上请求IP地址。MAC——>IP ,RARP协议广泛应用于 无盘工作站引导时获取IP地址 。
比如局域网中有一台主机只知道自己的物理地址而不知道自己的IP地址,那么可以通RARP协议发出征求自身IP地址的广播请求,然后由RARP服务器负责回答。
RARP协议工作流程:
(1)主机发送一个本地的 RARP广播 ,在此广播包中, 声明自己的MAC地址 并且请求任何收到此请求的RARP服务器分配一个IP地址;
(2)本地网段上的RARP服务器收到此请求后,检查其 RARP列表 ,查找该MAC地址对应的IP地址;
(3)如果存在,RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用;
(4)如果不存在,RARP服务器对此不做任何的响应;
(5)源主机收到从RARP服务器的响应信息,就利用得到的IP地址进行通讯;如果一直没有收到RARP服务器的响应信息,表示初始化失败。
主体可以自主地将其拥有的对客体的访问权限全部或部分地分别授予其他主体,灵活性高。
访问权的授予是可以传递的,不能真正提供对信息流的保护。
系统强制将主体和客体分为不同安全等级,主体对客体的访问要严格遵守以下原则:
系统的用户担任一定的角色(与特定岗位相关的一组权限集),当用户改变时只需要进行角色的撤销和重新分配即可。
用 对称密码 加密消息,用 公钥密码 加密会话密钥。利用 伪随机数 生成会话密钥(对称),加密压缩后的消息。利用接收者的公钥加密会话密钥。
把二进制数据分为两个部分,经过加密的会话密钥K和经过压缩,加密的会话消息M。
会话密钥被接收者的公钥加密,需要其私钥进行解密。
口令+盐(伪随机数)拼接在一起,利用单向散列函数得到私钥,用其对会话密钥进行解密。
口令+盐(伪随机数)拼接在一起,利用 单向散列函数 得到私钥的 解密密钥 ,解密后得到发送者的私钥,然后对消息的散列值进行签名。
key:提取包头信息——和访问控制规则一一比较
“状态检测”机制以 流量为单位 来对报文进行检测和转发。即对一条流量的第一个报文进行包过滤规则检查,并将判断结果作为该条流量的“状态”记录下来。对于该流量的后续报文都直接根据这个“状态”来判断是转发(或进行内容安全检测)还是丢弃。这个“状态”就是 会话表项。
状态检测机制:
状态检测机制开启状态下,只有
首包通过设备才能建立
会话表项,后续包直接匹配会话表项进行转发。
状态检测机制关闭状态下,即使首包没有经过设备,后续包只要通过设备也可以生成会话表项.
对于TCP报文:
对于UDP报文:
由于UDP是基于无连接的通信,任何UDP格式的报文在没有对应会话表项的情况下,只要通过各项安全机制的检查,都可以为其建立会话表项。
对于ICMP报文:
协议过滤和转发——登记、统计、分析形成日志
作用:
1.提高访问速度。
由于** 目标主机返回的数据会存放在代理服务器的硬盘中 ,因此下一次客户再访问相同的站点数据时,会直接 从代理服务器的硬盘中读取 ,起到 了缓存 **的作用,尤其对于热门站点能明显提高请求速度。
2.防火墙的作用。
由于所有的客户机请求都必须通过代理服务器访问远程站点,因此可在代理服务器上设限, _ 过滤某些不安全信息 _ 。
3.通过代理服务器访问不能访问的目标站点
互联网上有许多开发的代理服务器,客户机在访问受限时,可通过不受限的代理服务器访问目标站点
使用一个 屏蔽路由器和一个堡垒主机构成防火墙 。
堡垒主机是一种被加固的可以防御进攻的计算机,屏蔽路由器应 保证所有的输入信息必须先送往堡垒主机 ,并且只接受来自堡垒主机的输出信息。
内部网络中的其他站点也********只能访问堡垒主机 。
如果路由器被渗透,则堡垒主机将被穿过,整个网络将对入侵者开放。
屏蔽子网结构增加一个 内部网与因特网隔离的周边网络(DMZ) ,从而进一步增强堡垒主机的安全性。
它使用周边网络隔离堡垒主机,能够削弱外部网络对堡垒主机的攻击
为了解决安装防火墙后** 外部网络不能访问内部网络 服务器的问题,而设立的一个 非安全 系统与 安全 系统之间的 缓冲区 ,这个缓冲区位于企业内部网络和外部网络之间的 小网络区域内 ,在这个小网络区域内可以放置 一些必须公开的服务器设施 **,如企业Web服务器、FTP服务器和论坛等。
另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案, _ 对攻击者来说又多了一道关卡 _ 。
1)防火墙是位于两个** 信任程度不同的网络之间 的 软件或硬件 设备的组合,实质上是一种 隔离控制技术 **。
进行入侵检测的软件和硬件的组合便是入侵检测系统(intrusion detection system IDS),入侵检测(intrusion detection)是指“通过对** 行为、安全日志、审计数据 等信息进行操作, 检测到对系统的闯入或闯入的企图 **”。
2)防火墙对** 内外网络的通信 进行 探测和分析 ,从而 保证内部网络安全 **;
入侵系统则是对** 用户的系统的活动 进行 监测并分析 ,检查系统配置和操作系统日志管理。从而 保证内部网络安全 **。
3)防火墙是网络安全的** 第一道防线 **,入侵检测系统是网络安全的第二道防线。
关系:
入侵检测系统和防火墙都为网络安全服务,二者可以很好地互补,这种互补体现在静态和动态两个方面:
用秘密信息比特换掉载体图像中不重要的部分,以达到对秘密信息进行编码的目的。
软硬件的集合体,处理主体S对客体O的存取,满足:
通常为整个操作系统。
此类保护是没有安全特点的
C1级系统必须有一个防止破坏的区域,能隔离用户与数据,是 同一敏感性等级 下处理数据的 多用户 环境。
最低的系统的要求:
1.应在 数据处理系统(ADP)已命名 的用户和客体之间定义和控制存取。
2.对用户进行 核验 ——用户对TCP做出标识,TCP对其进行验证,该验证数据被保护。
3.维持自身的执行范围,保证 免受外部干涉 。
比C1级 更精细的无条件 存取控制,可通过注册程序、审计等使用户 对他们的活动负责 。在C1级的基础上提供控制以防止 存取扩散 。
在C2级的基础上,必须提出 安全策略模型 的 非正式阐述 、 数据标号 、 命名 主体对客体 强制性的存取控制 ,对输出信息必须有强制性的标号能力。
TCB建立在对形式化安全模型的 清晰定义 上。将强制性存取扩展到 全部 的主体和客体,并提供了 隐秘信道 的安全问题。
系统中每个主体执行授权任务时,应被授予最小存取权。
安全策略:
APT攻击是一个集合了 多种常见攻击方式的综合攻击 。综合多种攻击途径来尝试突破网络防御,通常是通过Web或电子邮件传递,利用应用程序或操作系统的漏洞,利用传统的网络保护机制无法提供统一的防御。
(1)攻击者:拥有 高********水平专业知识 和丰富资源的敌对方。
(2)攻击目的: 破坏某组织的 关键********设施 ,或阻碍某项任务的正常进行
(3)攻击手段:利用_ 多种攻击 _方式,通过在目标****_基础设施_上建立并扩展立足点 来 获取信息。****
(4)攻击过程:在一个很长的时间段内 潜伏并反复对目标进行攻击 ,同时适应安全系统的防御措施,通过 保持********高水平的交互 来达到攻击目的。
从本质上讲, APT攻击并没有任何崭新的攻击手段,比如0 Day,比如钓鱼邮件,比如社工,比如木马,比如DDOS,都是存在已久的攻击手段,它只是多种攻击手段的战术性综合利用而已。
0 Day:指系统商(比如微软)在知晓并发布相关补丁前就被某些人和组织掌握或公开的漏洞信息。
DDOS:攻击者事先设法得到互联网上的** 大量主机的用户账号 ,然后攻击者设法秘密地在这些主机上 安装 从属程序 (slave program)当攻击者发动攻击时, 所有从属程序 **在攻击者的主程序(master program)的控制下,在同一时刻向被攻击者发起DOS。
夜龙攻击:
该攻击的攻击过程是:
外网主机如Web服务器遭攻击成功,多半是被SQL注入攻击;——外服务器
被黑的Web服务器被作为跳板,对内网的其他服务器或PC进行扫描;——内服务器
内网机器如AD服务器或开发人员电脑遭攻击成功,多半是被密码暴力 破解 ;——内部开发人员
被黑机器被植入恶意代码,多半被安装远端控制工具(RAT),传回大量机敏文件(WORD、PPT、PDF等等),包括所有会议记录与组织人事架构图;——远程控制+传回
更多内网机器遭入侵成功,多半为高阶主管点击了看似正常的邮件附件,却不知其中含有恶意代码。
涉及正在传输数据的 语法和语义 ;
将消息以合适电子传输的格式 编码 ;
提供数据格式、变换和编码 转换 ;
执行该层的数据 压缩和加密 ;
从应用层接收消息,转换格式,并传送到会话层,该层常合并在应用层中。
模块的起始地址+在这个模块上的偏移量
在页式管理中,页表的作用是实现从页号到物理块号的地址映射,存储页表的作用是 记录内存页面的分配情况 。
比如静态密码、生物识别、口令识别等等
(1)“挑战—应答”。“挑战—应答”认证机制中,通常用户携带一个相应的“挑战—应答”令牌。令牌内置种子密钥和加密算法。用户在访问系统时,服务器随机生成一个挑战并将挑战数发送给用户,用户将收到的挑战数手工输入到“挑战—应答”令牌中,“挑战—应答”令牌利用内置的种子密钥和加密算法计算出相应的应答数,将应答数上传给服务器,服务器根据存储的种子密钥副本和加密算法计算出相应的验证数,和用户上传的应答数进行比较来实施认证。
(2)时间同步。原理是基于动态令牌和动态口令验证服务器的时间比对, 基于时间同步的令牌,一般每60 s产生一个新口令 ,要求服务器能够十分精确地保持正确的时钟,同时对其令牌的晶振频率有严格的要求,这种技术对应的终端是硬件令牌。目前,大多数银行登录系统采用这种动态令牌登录的方式,用户持有一个硬件动态令牌,登录到系统时需要输入当前的动态口令以便后台实现验证。近年来,基于智能手机的软件动态令牌逐渐受到青睐,用户通过在智能手机上安装专门的客户端软件并由该软件产生动态口令完成登录、交易支付过程。例如,“支付宝”APP便是一款携带动态令牌的手机客户端软件
作用举例:用户在使用浏览器发送信用卡数据,数据被SSL加密。
传统的协议栈:应用程序+TCP套接字+TCP+IP
加入SSL后:应用程序+SSL套接字+SSL子层+TCP套接字+TCP+IP
主要包括:管理进程、代理进程和管理信息库。
用于记录网络中被管理对象的信息,它要与网络设备中的实际状态的参数保持一致。
读操作, 检测 被管对象的状态;
写操作, 改变 被管对象的状态。
通过 探询 来实现,即SNMP管理进程定时向被管理设备周期性地发送探询信息。
当被管对象的代理检测到某些事件发生时,就检查其门限值,如果达到某值,才向管理进程报告。——自陷
**
1、支持分布式网络管理。
****支持一对一、一对多、多对一和多对多交互通信。
2、扩展了数据类型 3、可以实现大量数据的同时传输,提高了效率和性能。
**
UDP 的首部开销小,只有 8 个字节,TCP为20个字节。
借助ASLR,PE文件每次加载到内存的 起始地址 都会随机变化,并且每次运行程序时相应进程的 栈以及堆的起始地址 也会随机改变。也就是说,每次EXE文件运行时加载到进程内存的实际地址都不同,最初加载DLL文件时装载到内存中的实际地址也是不同的。用以防止恶意代码造成的缓冲区溢出。
微软采用这种方式加载PE文件是为了增加系统的安全性。大部分Windows OS安全漏洞(一般为缓冲区溢出)只出现在特定OS、特定模块、特定版本中。以这些漏洞为目标的漏洞利用代码(exploit code)中,特定内存地址以硬编码的形式编入(因为在以前的OS中,根据OS版本的不同,特定DLL总是会加载到固定地址)。 因此,微软采用了这种ASLR技术,增加了恶意用户编写漏洞利用代码的难度,从而降低了利用OS安全漏洞破坏系统的风险
在编译时可以选择是否开启GS安全编译选项。这个操作会给每个函数增加一些额外的数据和操作,
用于检测栈溢出
。
在函数调用时,会在返回地址和EBP之前
压入一个额外的Security Cookie
。系统会比较栈中的这个值和原先存放在.data中的值做一个比较。如果两者不吻合,说法栈中发生了溢出。
弊端
MD5+盐:
根据外部输入的种子生成序列,种子可以是传感器收集的热量、声音等信息。
线性同余法:A*种子+C mod M。知道ACM,即使不知道种子也可以预测出所有可能的输出。 不具备不可预测性(不能根据前一个伪随机数得到下一个伪随机数)。
密码法:生成初始值,加密,再加1。攻击者只要不知道密钥就无法加密得到下一个伪随机数。
对伪随机数生成器的攻击:
需要将具备不可重现性的真随机数作为种子。
对随机数池进行攻击:
一堆真随机数。
policy protection detection response
策略是基础,根据策略要指定保护、侦测和响应的细节。
一般来说,木马都有一个信息反馈机制。控制端上的控制端程序与木马端上的木马程序取得联系,并通过木马程序对木马段进行远程控制,此时攻击者就可以窃取计算机里的重要资料。
对策:个人用户在使用计算机存储个人重要信息时可采取使用加密软件对信息进行加密。
“摆渡”就是利用移动存储介质在不同计算机之间隐蔽传输数据信息的泄密技术。利用摆渡技术窃密主要是通过互联网使U盘感染摆渡程序。
对策:要规范U盘等移动存储介质的使用,从网上下载应采取单向导入的方式。
窃密者提供高价回收政府单位或高新技术企业因损坏或者设备更新淘汰下来的计算机,收回去后利用掌握的恢复技术,将硬盘中残留的国家秘密信息或者企业商业秘密信息恢复,达到窃取目的。
对策:政府单位在淘汰计算机时必须按照国家规定将硬盘彻底的物理销毁。
2
正定、半正定矩阵的直觉代表一个向量经过它的变化后的向量与其本身的夹角小于等于90度。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里 ????
