现在这年头,静下来看书越来越难来,相反去搞事情,做实验,却津津乐道。毕业后的2年里,勤勤恳恳,在知乎上发表了400篇文章,38场知乎live。在2018年初,完成了美国雪城大学的15项信息安全实验。在2018年里,发力Web应用防火墙,设计并完成了AI-Security引擎。在2019年里,发力态势感知,设计并完成了UEBA规则、行为基线、攻击图深度分析、AI安全检测、专家知识库等。在2020年初,完成了CTF 6个科目的入门刷题,依然没有任何掌声。这让我意识到企业工作和学校学习的差别,少了很多彩虹屁,多了很多无形的阻力,绩效考核不光看能力,还看关系,美其名曰,综合打分。
ailx10
网络安全优秀回答者
网络安全硕士
安全通信协议
身份验证协议
VoIP网络电话
由于通信存在拦截和窃听,所以里面有一个加密协议SRTP(安全实时传输协议)。
社会工程
社会工程学就是黑客心理学,普通黑客利用计算机漏洞,社会工程学的黑客利用人性的弱点,比如对他人的信任、爱在网上装逼、容易走神发呆、服从现实安排等等。如果你在网上和人有矛盾了,被恶意追踪了,想知道是谁在暗中调查你,那么学习社会工程学就对了,读完瞬间逆向追踪能力提高100倍
欺骗与滥用
20年前,最流行的黑客技术就是电话飞客,黑客企图逃避电话费用或者隐藏自己的身份,攻击电话系统,电话飞客可能会未授权访问语音信箱、重定向消息、阻塞访问等。
DISA直接拨入系统访问,通过为用户分配访问码,来管理电话专用交换机PBX的外部访问和控制。但是电话飞客还是能够破译,他们使用的工具有4个盒子。
远程会议
远程会议包括:数字合作、虚拟会议、视频会议、共享白板等。
IM即时通信
大多数通信服务具备安全特性,常采用多因素身份验证、加密传输,所以抓QQ的包,是看不到通信内容的,因为数据都被加密了。
邮件安全目标
邮件的基本功能是进行有效的消息传递,但是数据传输的过程是不安全的,因为邮件安全就是要解决:
邮件的安全策略关注点:
理解邮件安全问题
第一、邮件的脆弱性。很早以前很多学校都是HTTP传输,本地没有加密,通过SMTP、POP、IMAP标准邮件协议通信,导致邮件内容容易被拦截和窃听。
第二、恶意软件传播。邮件也是计算机病毒、蠕虫、特洛伊木马、文档宏病毒的传输途径,另外邮件内容中也会携带的恶意超链接。
第三、源验证。假冒邮件地址对萌新黑客都是很简单的,邮件头部在发送源头和传输过程的任何位置都可以被修改。通过连接邮件服务器的SMTP端口,能将邮件直接发送到用户的收件箱中。
第四、拒绝服务。当海量邮件发送到用户的收件箱,或经过SMTP服务器时,就会产生拒绝服务,这种攻击称为邮件炸弹,产生的结果都是无法传送合法的邮件。
邮件安全解决方案
通过采用多种协议、服务以及方案来提高邮件安全,能减小邮件系统的大量脆弱性,数字签名有助于消除身份假冒,消息加密可减少窃听事件的发生,邮件过滤可以减少垃圾邮件。
小朋友,你是不是有很多问好?网课上的还好吗,远程办公感觉如何?远程访问也越来越火了,里面的安全问题,还是比较重要的。
远程访问安全计划
广告
电信流量卡不限速手机卡 纯上网无限流量卡
京东
¥39.00
去购买
拨号上网协议
记住2个主要的拨号协议,PPP和SLIP。
中心化远程身份验证服务
上面介绍的,令我曾经尴尬的RADIUS和TCACAS+就是中心化远程身份验证服务。
什么是隧道技术?
隧道技术:一种网络通讯过程,通过将协议数据包封装在另一种协议报文中,对协议数据内容进行保护。这种封装可以看成是在不可信的网络中创立的通信隧道。
隧道技术能突破防火墙对协议的阻挡,因为协议数据被包裹在允许的协议的身体里,而且还是加密的,就算是B超,也看出来里面是啥,让监管人员头疼。
常用的虚拟专用网协议
四种必须知道的协议:
虚拟局域网
VLAN是一种在交换机上通过硬件实现的网络分段技术。VLAN管理经常用来区分用户流量和管理流量。同一个VLAN中的成员间自由通信,不同VLAN之间的通信需要经过路由。VLAN类似与子网,但又不是子网。VLAN是交换机创建的,子网是通过IP地址和子网掩码配置的。
VLAN的目的是保证必要的通信,阻断不必要的通信,对网络逻辑进行分段,而不必更改物理网络的拓扑。此外,VLAN可以防止广播风暴,减少流量嗅探的风险。
我们分析恶意程序的时候,都是在虚拟机中进行滴,这个虚拟机就是虚拟化软件的代表。另一种虚拟化技术是SDN虚拟化网络,将硬件、软件的网络化组件,组合到单一的完整实体中。形成的系统能够通过软件来控制所有网络功能:管理、流量整形、地址分配等。最后,SAN虚拟化存储,将多台存储设备整合为单一的共享存储系统。
NAT网络地址转换可以隐藏内部用户的身份、屏蔽私有网络的设计、降低公网IP地址的租用。
私有IP地址
有状态NAT
NAT维护了一张内部用户请求、内部用户IP地址到互联网服务IP地址的映射表。下面的这个过程,叫做有状态NAT。
当收到一个来自内部用户的请求报文时,NAT会将该报文的源地址修改为NAT的服务器地址,记录在NAT数据库映射表中。当从互联网服务器上接收到回复信息后,NAT将回复信息中的源地址,与映射表中的地址进行比对,确定用户地址,再将回复信息转发给用户。
现在的NAT都加入了多路复用技术,使用端口号为对个用户提供共享一个公网IP地址的方法。这种多路复用的方法,成为PAT端口地址转换或者NAT重载。
自动私有IP分配
APIPA动态私有IP地址,是在DHCP动态主机配置协议分配失败的情况下,继续为系统分配IP地址。IP地址段为
169.254.0.1-169.254.255.254,同一个广播域的APIPA地址间可以通信,但是不能与正常IP地址通信。
电路交换
20年前远古电话技术POTS、PSTN,在电路交换中,两个通信实体之间需要建立专门的物理通道,一旦电话接通,两个实体间的链路一直保持到通话结束。
分组交换
分组交换将信息分为很小的片段,并通过中间网络将这些片段传送到目的地,每一个数据片段都有头部,其中包含源地址和目的地址信息。中间网络读取头部信息,再选择合适的路由,将数据片段发送给接收者。
虚电路
虚电路是一条逻辑电路,在分组交换网络中两个固定端点间建立,相当于融合了电路交换和分组交换,有两种需要记住的虚电路。
WAN 广域网,将远距离网络、节点连接起来,WAN链路分为两大类:专线和非专线。
WAN连接技术
下面这几个都是过时的连接技术:
下面这几个是当下热门的连接技术:
拨号封装协议
还是PPP,它是一种封装协议,用于在拨号或点对点链路上支持IP流量的传输,覆盖广泛的通信设备,支持IP地址的分配与管理、同步通信的管理、标准化封装、多路复用、链路配置、链路质量测试、错误检测等。PPP代替了SLIP串行线路互联网协议。
透明性
安全机制越透明,用户察觉不到,就没法绕过安全验证。
验证完整性
验证传输数据的完整性,可以使用hash值校验技术,传输前计算一个消息摘要,接收后再计算一个消息摘要,两个相同就说明传输数据是完整的。另一个需要注意的是,验证报文或消息完整性的方案是记录序号ID。TCP的头部既有校验和,又有序号就是这个道理。
不论是网络还是物理世界,能够准确识别安全边界非常重要,只要存在安全边界,就需要部署安全机制来控制信息的跨界流动。例如学校的围墙就是安全边界,阻挡和学校无关的事物。
DoS拒绝服务
窃听
假冒/伪装/欺骗
假扮称其他人,获得对系统的非法访问的行为。比如利用捡到的,伪造的身份验证凭据获得系统的访问权限。假冒不同于欺骗,欺骗是使用虚假身份,没有任何凭据,比如伪造的IP地址1.2.3.4就属于欺骗。
重放攻击/修改攻击
重放攻击就是一种假冒手法,通过窃听获取网络流量,然后重放抓到的流量,和目标系统建立会话。使用一次性身份验证机制和顺序会话标识,就可以阻挡这种攻击。于是又衍生出来了修改攻击,为了绕过身份验证机制和会话序列的限制。道高一尺,魔高一丈。应对修改攻击的措施是,使用数字签名验证,比如对某些字段进行hash计算,对报文进行合法性验证。
地址解析协议欺骗
ARP地址解析协议,从IP地址到MAC地址。首先路由器广播携带目标IP地址的请求报文,具备该IP地址的主机收到报文后,会回复MAC地址,其他主机则忽略。于是,路由器就知道了IP和MAC的地址对,缓存起来。ARP欺骗就是应答虚假的MAC地址,毒化ARP缓存表,将流量重定向到黑客主机上,实现中间人攻击。
DNS毒化、欺骗与劫持
解决DNS投毒的方案是,升级DNS服务器到DNS-SEC 域名系统安全扩展。
超链接欺骗
这个和DNS欺骗差不多,攻击者将流量重定向到假冒的系统上,比如骗密码的低价游戏点卷购买的钓鱼网站,很多人的QQ密码就是被钓走的。要当心邮件、PDF、任何URL或超链接,要使用可信的搜索引擎来搜索网站,而不要通过超链接直接访问。