网络通信安全

一、网络通信安全基础

TCP/IP协议简介

TCP/IP体系结构、以太网、Internet地址、端口

TCP/IP协议简介如下:(from文心一言)

TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议)是一个由FTP、SMTP、TCP、UDP、IP等协议构成的协议簇,它能够在多个不同网络间实现信息传输。TCP/IP协议并不仅仅指的是TCP和IP两个协议,而是由多个协议共同组成的一个协议簇。其中,TCP协议和IP协议因其最具代表性,所以整个协议簇被称为TCP/IP协议。

TCP/IP体系结构是一个分层体系,由下至上分别是网络接口层、网际层、传输层和应用层。其中的传输层有两个主要的协议,即用户数据报协议(UDP)和传输控制协议(TCP)。在TCP/IP体系中,根据所用的协议是TCP还是UDP,数据单位分别被称之为TCP报文段或者UDP用户数据报。

以太网是网络体系结构的重要组成部分,其网络体系结构主要分为拓扑结构和星型结构。拓扑结构所需的电缆较少、价格便宜,但管理成本高,不易隔离故障点,易造成网络拥塞。而星型结构则管理方便、容易扩展,但需要专用的网络设备作为网络的核心节点,对核心设备的可靠性要求高。

Internet地址,也称为IP地址(Internet Protocol Address),是IP协议提供的一种统一的地址格式。它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。IP地址的存在使得网络中的设备能够被准确地定位和访问。

端口是设备与外界通讯交流的出口,可以分为虚拟端口和物理端口。虚拟端口是计算机内部或交换机路由器内的端口,不可见,如计算机中的80端口、21端口、23端口等。物理端口又称为接口,是可见端口,如计算机背板的RJ45网口,交换机路由器集线器等RJ45端口,以及电话使用的RJ11插口等。

总的来说,TCP/IP协议是一个复杂且强大的协议簇,它使得不同网络间的信息传输成为可能,而以太网、Internet地址和端口则是实现这一过程的重要组成部分。

Internet安全问题存在的原因

  •  Internet本身是没有边界的、全球的互联网,不属于任何一个组织或国家
  • 通过IP地址来识别和管理存在严重的安全漏洞
  • Internet本身没有中央管理机制,没有健全的法令和法规
  • Internet从技术上来讲是开放的、标准的,是为君子设计而不防小人的
  • Internet没有审计和记录的功能

我国网络安全现状

  • 我国许多网络建网初期很少或根本没有考虑安全防范措施,相当大比例单位的计算机系统或多或少存在安全漏洞
  • 我国目前急缺网络及电脑高级系统管理人员,高等教育缺乏这方面人才的培养,社会也缺乏造就这类人才的实践环境
  • 中国内地大部分网站是基于国外的产品,他们的安全系数令人怀疑

二、常见网络攻击与防范技术

黑客

黑客认为任何信息都是自由公开的,任何人都可以平等的获取

黑客(Hacker)

骇客(Cracker)——入侵者

两类群体的划分界限模糊,通常将两者视为同一类,统称黑客。

黑客案例

 

 

常见黑客攻击过程 

目标探测和信息收集

确定攻击目标并收集目标系统有关信息

  • 踩点:尽可能多的收集关于目标系统的安全状况的各个方面的信息
  • 扫描:使用各种工具和技巧确定哪些系统存活着、他们在监听那些端口、操作系统等;确定入攻途径
  • 查点:从系统中抽取有效账号或导出资源名的过程

获得访问权

通过密码窃听、共享文件的野蛮攻击、摄取密码文件并破解或缓冲区溢出等攻击来获得系统访问权限

特权提升

一般账户对目标系统只有有限的访问权限,黑客经常会通过采用密码破解、利用已知漏洞等方法来获得更高权限 

掩踪灭迹

一旦目标系统已经全部控制,黑客便会隐藏自己的踪迹 ,防止被管理员发觉

创建后门

在系统的不同部分布置陷阱和后门,以便入侵者在以后仍能从容获得特权访问

IP欺骗与防范

盗用IP地址

一台主机使用的不是分配给自己的IP地址。常见问题,不需编程即可进行。

盗用IP应该是只能盗用本网段的IP,因为最简单的网段,也需要有一个路由器作为出口。在路由器的配置中,要制定这个网短的网络地址和掩码。如果该网段中的主机使用了其他网段的IP,则路由器不认为属于他的网段,不给转发。

防止盗用IP可以绑定IP和物理地址。通过设置路由器上的静态ARP(地址转换协议,将硬件地址与IP地址相关联的协议的一部分)表,可防止在本网段内盗用IP。

IP电子欺诈

伪造某台主机的IP地址的技术。被伪造的主机往往具有某种特权或者被另外的主机所新人。通常要用编写的程序实现。通过发送带有源IP地址的IP数据包,来达到自己的目的。以IP地址验证为基础。

出现的可能性较小,一般使用防火墙可以很容易的防备这种攻击方法。确信只有内部网络可以使用信任关系,并在路由器设置不允许生成来自于内部网络的外来包通过。

区别(from 文心一言)

伪造某台主机的IP地址(通常被称为IP欺诈或IP欺骗)和盗用IP地址都是网络安全领域的常见问题,但它们之间存在明显的区别。

伪造某台主机的IP地址

IP欺诈或IP欺骗是指攻击者通过技术手段伪造或篡改IP头部信息,使其看起来像是来自另一台合法或受信任的主机。这种攻击通常用于绕过网络安全措施,使攻击者的恶意行为看起来像是来自一个合法的源。通过伪造IP地址,攻击者可能能够执行未经授权的操作、访问敏感资源或进行其他恶意活动。

盗用IP地址

IP地址盗用则是指攻击者非法获取并使用他人的IP地址,以冒充合法用户的身份进行网络活动。这种攻击可能导致一系列安全威胁,包括信息泄露、网络攻击和身份欺诈等。盗用IP地址的攻击者可能能够访问原本只有合法用户才能访问的资源,执行恶意操作,甚至可能使合法用户面临声誉受损和法律责任的风险。

区别

  1. 行为目的:IP欺诈的主要目的是伪装身份,绕过安全检测;而IP地址盗用的主要目的是非法获取和使用他人的网络资源或身份。
  2. 技术手段:IP欺诈通常涉及篡改IP头部信息;而IP地址盗用可能涉及多种手段,如ARP欺骗、中间人攻击等。
  3. 后果影响:IP欺诈可能使攻击者的恶意行为看起来像是来自合法用户,从而绕过安全检测;而IP地址盗用可能导致合法用户的身份被冒用,声誉受损,甚至面临法律责任。

Sniffer嗅探器

Siniff原理

当发送者希望引起网络中所有主机操作系统的注意时,他就使用广播地址。

多数网络接口具有置成“混杂方式”的能力。在混杂方式下,网络接口对遭遇到的每一帧都产生一个硬件中断,而不仅仅是针对目标为自己的硬件地址或“广播地址”的帧。

窥探仪将网络接口设置成混杂方式以便窥探仪监视网段内每一个数据报文。

Sniffer嗅探器

 Siniffer通知网卡接收其收到的所有数据(混杂模式),并通知主机进行处理。如果发现感兴趣的包或是符合预先设定过滤条件的包(如设定包中包含username或password,银行卡卡号、金融信息等),就墙漆存到一个log文件中,

Siniffer通常运行在路由器或有路由器功能的主机上,使得可以对大量的数据进行监控。属于数据链路层的攻击,通常攻击者已经进入了目标系统。

发现Siniffer:查找异常进程

防止Siniffer

 Siniffer往往是攻击者侵入系统后使用,因此防止系统被突破是关键。

端口扫描技术

端口就是一个潜在的通信通道,或入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息,从而发现系统的安全漏洞。可以手工扫描或通过端口扫描软件。

与手工扫描相关的网络相关命令

  • Ping可以检测网络目标主机存在与否以及网络是否正常
  • Tracert用来跟踪一个报文从一台计算机到另一台计算机所走的路径。
  • Finger显示用户的状态,如用户名、登录的主机、登陆日期等,
  • rusers显示远程登录的用户名、该用户的上次登录时间等‘
  • host可以收集到一个域里所有计算机的重要信息,包括:名字服务器的地址、一台计算机上的用户名。一台服务器上正在运行什么服务,这个服务是哪个软件提供的,计算机上运行的是什么操作系统等。

 

扫描器

一种自动检测远程或本地主机安全性弱点的程序

工作原理:通过选用远程TCP/IP不同的端口的服务,并记录目标给予的回答来实现。

扫描器不是一个直接攻击网络漏洞的程序,它仅仅帮助入侵者发现目标主机的某些内在弱点。好的扫描器会对他得到的数据进行分析,帮助入侵者查找目标主机的漏洞,但不会提供进入一个系统的详细步骤。

基本功能:

  • 发现一个主机或网络。
  • 发现该主机正在运行的服务。
  • 通过测试这些服务,发现内在漏洞。

特洛伊木马

木马与病毒的区别:不具备复制能力

木马应该符合的三个条件:

  • 木马需要一种启动方式,一般在注册表启动组中;
  • 木马需要在内存中运行才能发挥作用;
  • 木马会占用一个端口,以便黑客通过这个端口和木马联系。

木马的特点:隐蔽性、顽固性、潜伏性 

木马的发现和删除

  • 注册表启动的木马:使用端口扫描软件,查看是否有可疑的端口开放。如有则先记下该端口号,然后查看内存中正在运行的软件,记录其名称和硬盘位置,并依次终止。如果端口依然开放,则被终止的程序不是木马,继续终止,直到发现木马。
  • 删除方法:备份需要删除的文件和注册表;终止程序在内存中的运行;在注册表中查询包含该文件名的键值,然后删除。
  • 捆绑式木马:重新安装被捆绑程序

删除木马最简单的方法是安装杀毒软件 。

拒绝服务式攻击

Denial of Service,DoS这种攻击行动使网站服务器充斥着大量要求回复的信息,小号网络贷款或系统资源,导致网络或系统不胜负荷以致瘫痪而停止提供正常的网络服务。

 

攻击者利用上千台客户端同时攻击一个服务器。

  • 探测扫描大量主机以寻找可入侵主机目标。
  • 入侵有安全漏洞的主机并获得控制权。
  • 在每台入侵主机中安装攻击程序。
  • 利用已入侵主机继续扫描和入侵。 

防范拒绝服务式攻击

防止成为被利用的工具,防止成为被攻击的对象。

防范措施:

  • 优化路由及网络结构;
  • 优化对外提供服务的主机(使用多宿主机;将网站分布在多个不同的物理主机上,防止网站在遭受攻击时全部瘫痪)
  • 当攻击正在进行时,立即启动应付策略(状态监控),尽可能快地追踪攻击包,并于服务提供商联系。
  • 提高系统安全强度,防止被入侵(经常下载系统软件不定,开启系统尽可能少的服务,对系统进行安全审核、漏洞排查……)

三、防火墙技术

定义:防火墙是综合采用适当技术,通过对网络做拓扑结构和服务类型上的隔离,在被保护网络周边建立的分隔被保护网络与外部网络的系统。通常是软件和硬件的组合体。

防火墙适用领域

防火墙适合于专网使用,特别是在专网与公共网络互联时使用。

它所保护的对象是网络中有明确闭合便捷的一个网块

他的防护对象是来自被保护网块外部的对网络安全的威胁。

防火墙一般具有以下基本功能:

  • 过滤进出网络的数据包
  • 管理进出网络的访问行为
  • 封堵某些禁止的访问行为
  • 记录通过防火墙的信息内容和活动
  • 对网络攻击进行检测和告警

防火墙的优点和缺陷

防火墙优点:

  • 防火墙能够简化安全管理
  • 保护网络中脆弱的服务
  • 用户可以很方便的通过审计监视网络的安全性,并产生报警信息
  • 增强保密性、强化私有权
  • 防火墙是审计和记录网络流量的一个最佳地方

防火墙缺陷:

  • 限制有用的网络服务
  • 不能有效防护内部网络用户的攻击
  • Internet防火墙无法防范通过防火墙以外的其他途径的攻击
  • 防火墙也不能完全防止串送一感染病毒的文件或软件
  • 防火墙无法防范数据驱动型(表面上看是没有害处的数据,而其中隐藏了一些可以威胁主机安全指令的文件)的攻击
  • 不能防备新的网络安全问题。防火墙是一种被动式的防护手段,只能对现在已知的网络威胁起作用

防火墙的类型

包过滤型防火墙

一般通过路由器实现,也称作包过滤路由器、网络级防火墙。

工作原理:

包过滤防火墙在网络层对进出内部网络的所有信息进行分析,并按照一组安全策略(信息过滤规则)进行筛选,允许授权信息通过,拒绝非授权信息。信息过滤规则以收到的数据包的头部信息为基础。

过滤路由器功能:

  • 基于协议特定的标准,路由器在其端口能够区分包和限制包的能力叫作包过滤。
  • 过滤路由器可以基于原IP地址、目的地址和IP选项进行过滤。
  • 包过滤类型的防火墙遵循最小特权原则,即明确允许那些管理员希望通过的数据包,禁止其他的数据包。

优点:

  • 工作在网络层,根据数据包的包头部分进行判断处理,不去分析数据部分,因此处理包的速度比较快。
  • 实施费用低廉,一般路由器已经内置了包过滤功能。
  • 包过滤路由器对用户和应用来讲是透明的,用户可以不知道包过滤防火墙的存在,也不需要对客户端进行变更。不许特别的培训和安装特定的软件。

 缺点:

双宿网关防火墙

双重宿主主机防火墙。是一种拥有两个连接到不同网络上的网络接口的防火墙。

特点:

内部网络与外部不可信任的网络之间是隔离的,两者不能直接进行通信。双重宿主主机可以提供两种方式的服务:用户直接登录到双重宿主主机,或者在双重宿主主机上运行代理服务器。第一种方式管理困难,且危险性大(需要在宿主主机上建立许多账号,安全性差,不利管理)。因此,双宿主主机一般采用代理方式提供服务。该主机也称代理服务器Proxy server。

原理:

双宿网关防火墙首先要禁止网络层的路由功能,从而切断内外网络之间的IP数据流,并具有强大的身份认证系统实现访问控制。在网络层以上智能连接客户端和服务器,并能够检查IP包,加以分析,最终按照相应的内容采取相应的步骤。

代理服务器是接受或解释客户端连接并发起到服务器的新连接的网络节点。主要用于将企业网Intranet链接到Internet。

代理服务器分类:

优点:

  • 节约合法的C类IP地址,同时提高企业局域网的安全性,外部网络不能直接访问内部的私有IP地址。
  • 通过设置缓存能够加快浏览速度。
  • 较好的安全性。设置安全控制策略,提供认证和授权。
  • 可以进行过滤,用户名、源和目的地址及内容。
  • 强大的日志功能,并可进行流量计费。 

缺点:

实现麻烦。每一种协议需要相应的代理软件(不支持代理的协议),使用时工作量大。用户在受信任网络上通过防火墙访问Internet时,经常会出现延迟和多次登录才能访问外部网络的情况。速度较慢,不太适应于高速网之间的应用。内部用户对服务器主机的依赖性高。

屏蔽子网防火墙

在内部网络和外部网络之间建立一个子网进行隔离,这个子网构造了一个屏蔽子网区域,称为边界网络,也称为非军事区。

屏蔽子网防火墙系统使用了两个包过滤路由器:内部路由器和外部路由器和一个堡垒主机。将堡垒主机、信息服务器和其他公用服务器放在非军事区网络中,该网络很小。处于Internet和内部网之间,一旦堡垒主机被入侵者控制,他所能侦听到的内容也是有限的,即只能侦听到周边网络的数据,不能侦听到内部网上的数据。

 屏蔽子网防火墙安全性好,但成本昂贵。

常见的防火墙产品

制定访问控制策略 

防火墙选择原则

思考题 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/315345.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java使用IText根据pdf模板创建pdf文件

1.导包 <dependency><groupId>com.itextpdf</groupId><artifactId>itextpdf</artifactId><version>5.5.10</version></dependency><dependency><groupId>com.itextpdf</groupId><artifactId>itext-as…

算法学习笔记Day9——动态规划基础篇

一、介绍 本文解决几个问题&#xff1a;动态规划是什么&#xff1f;解决动态规划问题有什么技巧&#xff1f;如何学习动态规划&#xff1f; 1. 动态规划问题的一般形式就是求最值。动态规划其实是运筹学的一种最优化方法&#xff0c;只不过在计算机问题上应用比较多&#xff…

kotlin 编写一个简单的天气预报app (七)使用material design

一、优化思路 对之前的天气预报的app进行了优化&#xff0c;原先的天气预报程序逻辑是这样的。 使用text和button组合了一个输入城市&#xff0c;并请求openweathermap对应数据&#xff0c;并显示的功能。 但是搜索城市的时候&#xff0c;可能会有错误&#xff0c;比如大小写…

超市火灾烟雾蔓延及人员疏散的matlab模拟仿真,带GUI界面

目录 1.程序功能描述 2.测试软件版本以及运行结果展示 3.核心程序 4.本算法原理 5.完整程序 1.程序功能描述 出口在人员的视野范围内时&#xff0c;该元胞选择朝向引导点的方向运动。出口不在人员的视野范围内时&#xff0c;作随机运动&#xff0c;8个方向的运动概率相等。…

深度学习| 注意力机制

注意力机制 为什么需要注意力机制Seq2Seq问题Transfomer Attention注意力机制分类软硬注意力注意力域 为什么需要注意力机制 这个可以从NLP的Seq2Seq问题来慢慢理解。 Seq2Seq问题 Seq2Seq&#xff08;Sequence to Sequence&#xff09;&#xff1a;早期很多模型中&#xff…

清除git缓存后,每次pull或者push都需要输入用户名密码

git bash进入你的项目目录&#xff0c;输入&#xff1a;git config --global credential.helper store 然后在文件下pull一下&#xff0c;输入一次用户名密码后&#xff0c;再次pull或者push就不需要输入了。 亲测有用哦

挑战一周完成Vue3项目Day2:路由配置+登录模块+layout组件+路由鉴权

一、路由配置 经过分析&#xff0c;项目一共需要4个一级路由&#xff1a;登录&#xff08;login&#xff09;、主页&#xff08;home&#xff09;、404、任意路由&#xff08;重定向到404&#xff09;。 1、安装路由插件 pnpm install vue-router 2、创建路由组件 在src目…

区块链安全应用-------压力测试

基于已有的链进行测试&#xff08;build_chain默认建的链 四个节 点&#xff09;&#xff1a; 第一步&#xff1a;搭链 1. 安装依赖 在ubuntu操作系统中&#xff0c;操作步骤如下&#xff1a; sudo apt install -y openssl curl 2. 创建操作目录, 下载安装脚本 ## 创建操作…

Selenium web自动化测试环境搭建

Selenium web自动化环境搭建主要要经历以下几个步骤&#xff1a; 1、安装python 在python官网&#xff1a;Welcome to Python.org&#xff0c;根据各自对应平台如&#xff1a;windows&#xff0c;下载相应的python版本。 ​ 下载成功后&#xff0c;点击安装包&#xff0c;一直…

CMakeLists.txt中如何添加编译选项?

1. 引子 编译器有多种可供选择&#xff0c;如g、c、clang等&#xff0c;如下以c作为示例。 2. 使用CMAKE_CXX_FLAGS添加编译选项 在Makefile中可能用类似如下的指令来添加编译选项&#xff1a; /usr/bin/c -Wall -Wextra -Wno-sign-compare -Wno-unused-variable -Wno-unuse…

【Node.js】02 —— Path模块全解析

&#x1f31f;Node.js之Path模块探索&#x1f308; &#x1f4da;引言 在Node.js的世界中&#xff0c;path模块就像一把万能钥匙&#x1f511;&#xff0c;它帮助我们理解和操作文件与目录的路径。无论你是初入Node.js殿堂的新手&#xff0c;还是久经沙场的老兵&#xff0c;理…

什么样的内外网文档摆渡,可以实现安全高效传输?

内外网文档摆渡通常指的是在内网&#xff08;公司或组织的内部网络&#xff09;和外网&#xff08;如互联网&#xff09;之间安全地传输文件的过程。这个过程需要特别注意安全性&#xff0c;因为内网往往包含敏感数据&#xff0c;直接连接内网和外网可能会带来安全风险。因此会…

git 命令怎么回退到指定的某个提交 commit hash 并推送远程分支?

问题 如下图&#xff0c;我要回退到 【002】Babel 的编译流程 这一次提交 解决 1、先执行下面命令&#xff0c;输出日志&#xff0c;主要就是拿到提交 commit 的 hash&#xff0c;上图红框即可 git log或者 vscode 里面直接右击&#xff0c;copy sha 2、执行下面命令回退 g…

Flask 数据库前后端交互案例-1

Flask 数据库前后端交互案例 目录结构templates目录base.htmlheader.htmlleft.html首页职员管理页面添加员工界面员工编辑页面员工详情界面 后台main.pyapp.pymodels.pyviews.py 数据库数据position.sqlperson.sqlpermission.sqldepartment.sql 目录结构 静态文件链接&#xff…

ArcGIS Pro 和 Python — 分析全球主要城市中心的土地覆盖变化

第一步——设置工作环境 1–0. 地理数据库 在下载任何数据之前,我将创建几个地理数据库,在其中保存和存储所有数据以及我将创建的后续图层。将为我要分析的五个城市中的每一个创建一个地理数据库,并将其命名为: “Phoenix.gdb” “Singapore.gdb” “Berlin.gdb” “B…

Git--分布式版本控制系统

目录 一、理解分布式版本控制系统二、远程仓库三、克隆远程仓库四、向远程仓库推送五、拉取远程仓库六、配置Git七、给命令配置别名八、创建标签九、操作标签 一、理解分布式版本控制系统 我们⽬前所说的所有内容&#xff08;⼯作区&#xff0c;暂存区&#xff0c;版本库等等&a…

AI文章写作网站

最强AI文章写作网站——心语流光&#xff08; Super Ai Writer &#xff09; 特点 多轮问答写作&#xff0c;自动携带历史记录进行问答可以自定义携带历史记录的轮数&#xff0c;为0则携带全部历史记录&#xff0c;有效避免token浪费&#xff08;类似coze平台&#xff09;AI生…

探讨mfc100u.dll丢失的解决方法,修复mfc100u.dll有效方法解析

mfc100u.dll丢失是一个比较常见的情况&#xff0c;由于你电脑的各种操作&#xff0c;是有可能引起dll文件的缺失的&#xff0c;而mfc100u.dll就是其中的一个重要的dll文件&#xff0c;它的确实严重的话是会导致程序打不开&#xff0c;系统错误的。今天我们就来给大家科普一下mf…

Python爬虫--Ajax异步抓取腾讯视频评论

在某些网站 &#xff0c;当我们滑下去的时候才会显示出后面的内容 就像淘宝一样&#xff0c;滑下去才逐渐显示其他商品 这个就是采用 Ajax 做的 然后我们现在就是要编写这样的爬虫。 规律分析&#xff1a; 这个时候就要用到我们的 Fiddler 了 我们需要分析加载评论的规律 …