网络安全（知识点总结分类） - 好文

前言

这学期学习的是网络安全理论课，因为这本书和后面的信息安全工程师还有计算机等级考试有关系，所以在这里写下自己的读书笔记，也当做是自己的复习了。

第一章

安全模型

P2DR安全模型的组成要素是策略，防护，检测，响应

入侵者完成入侵的时间 > 入侵者开始入侵到检测到入侵行为所需要的时间 + 信息系统正常反应回复到正常状态的时间

要求 Pt > Dt + Rt

其中 Pt是入侵所需要的时间

Dt是发现入侵所需要的时间

Rt是发现入侵之后将系统调整到正常状态的时间

IATF

定义是信息保障技术框架

里面的组成内容是人员运行技术

第二章网络攻击

基础定义

DHCP

动态主机配置协议,使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率。

网关

从一个网络A当中要访问到另外一个网络B，数据流向 A 主机-A的网关-B的网关-B 主机

网关地址

即是网关地址，具有路由功能的设备的IP地址

域名服务器

DNS（Domain Name Server，域名服务器）是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器。

攻击方式

主动攻击

欺骗

需要入侵主机

直接修改hosts文件

不需要修改主机

伪造DHCP服务器和DNS服务器，使网站域名和不同的IP地址进行绑定

篡改

重放攻击

拒绝服务

直接拒绝服务攻击

SYN 泛洪攻击

黑客终端使用伪造的IP地址发起TCP连接请求，SYN=1 ，服务器回应 SYN
=1,ACK=1。因为是伪造的IP地址，一直在等待，所以根本不可能进行连接，使分配的连接项被闲置，耗尽之后无法对正常的请求做出回应。

间接攻击

黑客终端ping一个不相关的终端，其中的源终端的地址是目的主机的地址，当该终端发送回应报文的时候就会给目的主机。

被动攻击

嗅探

集线器和嗅探攻击

黑客终端连接在目的主机的统一集线器上，通过目的主机的信息会通过集线器到达黑客终端

MAC表溢出攻击

通过将路由器的路由表项塞满，让其无法有正确的路由表项,这种情况下，路由器发送包就是以广播的形式进行发送

生成树攻击

因为在网络当中运行生成树协议，所以在设置成为较高的优先级就会成为“根”，经过根之下的服务器的数据都会经过根服务器。

MAC地址欺骗攻击

黑客终端通过广播目的主机的MAC地址，接受应该传给特定主机的数据

ARP欺骗

ARP协议:地址解析协议，

错误绑定IP地址和MAC地址，然后进行广播

DHCP欺骗

伪造一个DHCP服务器，把默认网关地址设置成为黑客主机的地址

数据流分析

非法访问

生成树欺骗

交换机之间的优先级问题，设置优先级最高数值最低让其他交换机当中的数据都要通过黑客交换机

路由项欺骗

更改路由项下一跳的距离，给路由器发送错误的包，让下一跳直接是黑客终端

第五章

接入控制设备

鉴别使用终端的用户是否是注册用户【PAP CHAP】

允许注册用户使用的终端建立与Internet中资源之间的传输路径【IPCP】

PPP

基于点对点信道的链路层协议，也是接入控制协议（载体协议），里面传送的可以是PAP,CHAP，IPCP等

PAP

直接用明文的方式向接入控制设备发送用户名和口令

CHAP

通关挑战响应来证明身份

IPCP

为终端动态分配IP地址等网络信息

EAP

扩展鉴别协议定义一种和环境无关的，用于传输鉴别协议消息的载体协议，所有应用环境和鉴别协议都和这种载体协议绑定，鉴别信息交换过程通过EAP请求/响应过程完成

协议出来的原因：为避免在多种协议对应的pdu与不同类型传输网络对应的连路层帧格式之间建立两两之间的绑定关系，将多种鉴别协议对应的pdu封装成扩展鉴别协议EAP，在点对点链路当中的传输协议需要通过PPP协议进行传输，其中的鉴别协议也有很多PAP，CHAP等，由于不同环境的出现，各种链路层协议就更多，与鉴别协议所绑定的也就更多。在这种情况下，我们使用一种协议，这种协议能够包含很多鉴别协议，其是一个总的集合，所有传输链路都只传输这种协议，而不是各种各样的鉴别协议。那么这种协议在不同的链路，网络介质当中进行传输。

802.1x

定义：一种实现身份用户身份鉴别，并开通连接以太网接入权限的用户终端的端口的接入控制协议。

实现用户身份鉴别:EAP

操作模型：

一个物理端口被虚化成为2个虚端口

非受控端口用于接收EAP报文和其他广播报文

受控端口在成功完成用户身份鉴别之后，提供正常的输入输出

RADIUS

实现鉴别者与鉴别服务器之间的双向身份鉴别和身份标识信息传输的应用层协议

在一个鉴别接入网络当中如果在不同的端口进行接入的话，需要有多个不同的鉴别服务器保存鉴别资源，所以在网络当中，由一个统一的远程鉴别服务器提供鉴别服务，这种协议叫做RADIUS，RADIUS消息在网络层当中使用的传输协议是UDP协议，经过IP层的封装之后进行传输

这里面包含的组成是

用户

NAS（鉴别者）【在本地鉴别当中是用作鉴别用户接入网络的权限，在远程鉴别当中是用作转发用户和鉴别服务器之间的消息】

鉴别服务器

具体过程

Kerberos

这个协议当中有四个角色，分别是用户鉴别服务器，票据授权服务器，应用服务器

由统一鉴别服务器来对用户进行用户的访问接入控制，鉴别用户是否有权限接入

票据服务器是来对用户进行用户权限鉴别，鉴别用户能否访问该服务

一般是先由统一鉴别服务器先进行访问接入的权限鉴别，再之后是由票据服务器来进行用户是否有权限来进行访问这项服务。

终端通过以太网接入Internet过程需要哪些步骤

1.建立终端与接入控制设备之间的传输路径

2.完后用户身份鉴别，用户注册工作

3.为终端完成动态配置网络信息

4.路由器路由表当中建立对应的路由项，绑定传输路径

接入控制设备和路由器之间的差别：

1.其能够鉴别终端的身份

2.能够动态为终端分配IP地址

3.能够建立用于将终端的IP地址和接入控制设备与终端之间的传输路径绑定在一起的路由项

简述将PPP这种基于点对点信道的链路层协议作为接入控制协议的理由

在早期的时候，终端和接入控制设备之间的是通过点对点的语音信道进行的，其传输数据信息需要封装成适合点对点传输的数据帧格式，PPP帧就是这种帧格式。

PPP完成接入控制的过程

1.物理上的链路停止

2.ppp链路上建立

3.用户信息鉴别，不成功---》ppp链路终止

4.网络层协议配置，不成功---》ppp链路终止

简述引出EAP的理由

物理上的网络传输介质和鉴别协议都在不断发展，如果让传输介质和鉴别协议之间两两之间进行绑定的话，就会很复杂，这个时候创建一种和环境没有关系用于传输鉴别协议的载体协议，所有环境和鉴别协议都和这个协议进行绑定，当出现新的应用环境和新的鉴别协议的时候，建立该应用环境和EAP之间的绑定就可以了。

简述以太网环境下802.1x实现的实现终端接入控制的过程

在802.1x下是通过EAP进行接入控制，

身份鉴别之后，开通受控端口，开通之后鉴别者正常提供服务

kerberos操作过程

用户的身份鉴别和用户访问权限鉴别是分开的。鉴别服务器只负责对用户的身份进行鉴别，要判断用户是否有权访问指定应用服务器由票据授权服务器完成

所以一开始

用鉴别服务器实现用户身份鉴别，鉴别服务器发送给用户票据（用来向票据授权服务器证明c身份，证明属于c）

票据服务器：验证正确性，判断是否是授权访问，是的话生成应用服务器和用户的会话密钥，和授权票据（表明用户是授权用户）

应用服务器：验证正确性，证实服务器身份，得到密钥

热门工具换一换