网络信息安全——网络阶段笔记总结--jf

网络信息安全——网络阶段笔记总结

基础知识：
OSI七层模型: 应用层-表示层-会话层-传输层-网络层数据链路层-物理层
tcp/ip四层模型：应用层-传输层-网络层-网络接口层
tcp/ip五层模型：应用层-传输层-网络层-数据链路层-物理层
数据的封装：
应用层 高层数据 单位：pdu
传输层 （源端口，目的端口）tco/udp包头+高层数据 单位：数据段
网络层 （源IP，目的IP）IP包头+（源端口，目的端口）tcp/udp包头+高层数据 单位：报文/包
数据链路层（目的mac地址，源mac地址）mac子层+ip包头+tcp/udp包头+高层数据+帧尾 单位：帧
物理层 脉冲 单位：比特

tcp对应的协议：
http(80) https(443) ssh(22) ftp(20/21) dns(53) smtp(25) pop3(110) telnet(23)
udp对应的协议：
dns(53) tftp(69) server(445)
各层对应的设备：
应用层：计算机/防火墙
传输层：防火墙
网络层：路由器
数据链路层：交换机/网卡
物理层：网线
计算机网络发展：1、事件：arpanet 技术—分组交换
2、事件：网络统一 技术–tcp/ip协议簇/栈
3、事件：浏览器mosaic 技术：web技术

IP地址： 网络位+主机位
子网掩码：决定网络位，并决定一个IP地址所属的网段
广播地址：主机位全部置一
网段：主机位为0
IP分类：A类;1-126 B类：128-191 C类：192-223 D类：224-239 组播地址 E类：240-254 科研
私有地址：10.0.0.0/8 172.16.0.0/16-172.31.0.0/16 192.168.0.0/16
命令：ping
-a 返回计算机名 -l 设置包大小 -n 设置数量 -t 一直ping
划分子网的原因：
1、满足不同网络对IP地址的需求 2、实现网络的层次性 3、节省IP地址
可变子网掩码（VLSM)通过借位实现，
子网数量：2^n（n代表借的位数）
主机数：2^n-2（n代表主机数）

物理层
网线类型：直通线：两端水晶头线序一样
交叉线：一头568A线序，一头是568B线序
全反线：console线初始化网络设备的一般网络线
水晶头线序标准：
568A：白绿，绿，白橙，蓝，白蓝，橙，白棕，棕
568B：白橙，橙，白绿，蓝，白蓝，绿，白棕，棕
以太网的MAC地址：前24比特（供应商标识）后24比特（供应商对网卡的唯一编号）
帧格式：目的地址（6字节) 源地址（6字节） 类型（2字节） 数据（46-1500字节）(专业术语：mtu 最大传输帧） 帧校验序列（4字节）
IP协议：0x0800 ARP协议：0x0806协议
思科软件模拟器的一些基本命令：
交换机工作原理：
通过学习帧中的源mac地址，来形成,MAC地址表
通过目标MAC地址，并匹配MAC地址来转发数据，匹配成功则进行单播转发，失败，则进 行广播转发数据。
MAC地址表老化时间：300S
交换机模式及命令：
用户模式：可以查看部分简单的信息，不能做任何配置。
switch>
特权模式：可产看所有配置信息，但不能做配置修改，设时间，保存配置，初始化等。
switch#
全局配置模式：可以做任何配置，对全局生效
switch(config)#
控制台模式：
Switch(config)#line console 0
Switch(config-line)#
查看MAC地址表：
show mac-address-table
查看running-config 文件：
show running-config
查看startup-config文件：
show startup-config
保存：copy running-config startup-config
关闭自动解析功能：no ip domain-lookup
配置用户密码：
line co 0
password 密码
login
exit
配置特权密码：
conf t
enable password 密码 / enable secret 密码 （加密的特权密码）
查看running-config中所有加密的密码：
全局：service password-encryption
恢复出厂设置：
erase startup-config
开启telnet功能：
line vty 0 4
password 密码
login
exit
给交换机配置管理IP：
int vlan 1
ip add \\
no shut
关闭超时踢出:line vty 0 4 no exec-timeout 分钟 秒
ip包头内的具体作用：
IP包头（共20字节）：
版本：IPv4/IPv6（32位/128位）
首部长度：判断是否读取可选项
总长度：上三层的数据总长
标识符：区分不同IP分片数据流
标志：标志第一 最后一个数据包 是否还有数据包
段偏移量：决定数据的先后顺序（ip分片攻击）
ttl:生存时间（共十跳） tracenrt跟踪
首部校验和：验证IP包头的
源地址
目标地址
可选项
数据
路由器原理：
根据路由表来转发数据（且路由表是唯一转发依据）
匹配成功，则路由出去，匹配不成功，则丢弃数据，并返回错误信息
路由表：
直连路由条目，接口配置IP则形成
非直连路由条目，通过静态或动态形成
静态路由：ip route 目标网段 子网掩码 下一跳IP地址 [2]
默认路由：ip route 0.0.0.0 0.0.0.0 下一跳IP地址
直连路由：C
静态路由：S
默认路由：s*
路由类型 管理距离
C 0
S 1
S* 1（无穷大）
ICMP 协议：错误侦测与回馈机制，用来发送错误和控制消息
ICMP协议的数据封装过程：
icmp头部 icmp数据
IP头部 + 上层数据（udp报文）
帧头部 + IP头部 + 上层数据 （udp报文）
ping 请求：头部类型为8 ping 回复：类型为0 目标不可达：类型为3
ICMP协议功能：错误侦测回馈机制 路由跟踪（tracert tracertout)

arp报文封装：
arp报文
帧头部+ 上层数据 + 帧尾部
arp协议：（地址解析协议）
作用：已知对方的IP地址解析对方的MAC地址
原理：发送ARP广播请求报文
接受ARP单播应答报文
ARP协议漏洞：ARP缓存表可以通过学习ARP应答或广播报文形成，无需验证，以最后学习到的为准，并更新缓存表。
ARP详细分析：
1、pc与其他主机通信时，先判断与自己是否在同一网段
2、若在同一网段，则发送ARP广播求IP地址的MAC地址
3、不在同一网段，则发送ARP广播寻求网关的mac地址（pc配置了网关）
对交换机：
查看mac地址表，如果存在mac地址则单播回应，肉不存在则广播查找再回应。
总结：在一个pc中的arp缓存表中只会出现本网段中的IP机MAC对应关系！
ARP攻击：
目的：终止通信；
方法：通过发送虚假的ARP广播或ARP单播报文，其中虚假的mac地址是不存在的。
ARP欺骗：（中间人攻击）
目的：监听，窃取数据，控制数据
方法：通过发送虚假的ARP广播或单播报文，其中虚假的mac地址是攻击者的mac地址。
路由器工作原理：
1、一个帧到达路由器后，首先检查目标mac是否本接口mac，如不是则丢弃，如是则解封装并将IP包移动到路由器内部
2、将IP包中的目标IP与路由表进行匹配，如匹配不成功，则丢弃并返回ICMP错误信息，成功则路由到相应的接口
（一个帧经过路由器后，帧头尾会发生变化，TTL值会发生变化）

进入一组接口：
int range f0/1-10
switchport trunk encapsulation dot1q
switchport mode trunk
配置vlan：
vtp domain 域名
vlan10
exit
服务器模式(server：可以创建，删除域，同步最新域
客户端模式（clinet）：同步服务器的域。
透明模式(transparent)：相当于没有任何作用 ,不受影响
trunk链路（中继电路）：运行所有vlan数据（打标签） access链路（接入链路）：接入pc
单臂路由：
int f0/0.1
encapsulation dot1q 10
ip add …
exit
int f0/.0.1
encapsulation dot1q 20
ip add …
exit
int f0/0
no shut

三层交换机命令：
路由功能： ip routing
配置虚接口：int vlan 10 ip add… no shut
升级： int f0/2 no switchport
单臂路由的缺点：
1、瓶颈
2、单点故障，子接口依赖物理接口
3、每个包进行单独路由及封装，降低转发效率
三层交换机特点：
1、没有网络带宽瓶颈
2、不会发生虚拟端口单点故障，虚拟端口不依赖物理接口
3、传统型三层交换机：一次转发，多次交换
CEF三层交换机：一次路由，永久交换
CEF快速转发
路由器配置dhcp:
ip dhcp excluded-address 192.168.1.1 192.168.1.10
ip dhcp pool v 10
network 192.168.1.0 255.255.255.0
default-route 192.168.1.254
dns-server 1.1.1.1
exit

dhcp中继：
int f0/0.1
ip helper-address dhcp服务器的IP
exit

ACL访问控制列表:ACL是一种包过滤技术
读取第三四层包头信息：IP包头 源地址 目的地址
标准访问控制列表：
表号：1-99 或者 1300-1999
特点：只能依据IP对包进行过滤
扩展ACL列表：
表号：100-199 或者 2000-2699
特点：可依据源IP，目标IP，端口号，及协议等条件对包进行过滤。
ACL表配置完毕后，必须应用到接口的in或out上
所有ACL表最后都有一条隐藏的拒绝所有条目
ACL表都是自上而下匹配
标准ACL靠近目标端，扩展ACL在靠近源端
一个接口方向只能用一张表
路由器上的ACL表对自身数据不起作用
编写规则：若只允许小部分，则先写允许即可，若拒绝小部分，则先写拒绝小部分再写允许所有。
标准acl的命令：
access-list 表号 permit/deny 源网段或IP 反子网掩码
扩展ACL列表：
acc 101 permit/deny 协议名 源IP或网段 反掩码 目标IP或网段 反掩码[eq端口号]
应用到接口上：
int f0/0
ip access-group 表名 in/out
查看接口是否应用ACL表：
show ip int f0/0
命名：
公式：
ip access-list standard/extended 表名
开始从deny/permit 编辑每条
int f0/0
ip access-group 表名 in
exit
vtp作用：
1、可以实现通过在一个点上控制整个网络VLAN的添加，删除等操作。
2、Cisco私有的
3、通过trunk相连且vtp域名相同的一组交换机，即可互相学习
4、交换机在vtp中有2种常见模式：
服务器模式：默认
客户机模式
命令:
vtp domain 域名
vtp mode server/client
vtp version 1/2
show vtp status
VPN (virtual private network)
虚拟专网
优点：在两个网络实体间安全的传递信息，类似于专网。
VPN三要素：机密性 完整性 身份验证
VPN隧道模式/连接模式：
传输模式：不包含私有IP包头。传输效率高，安全较低（45层数据）
隧道模式：保护私有IP包头，传输效率较低。安全高（345层数据）
VPN类型：
站点到站点VPN:IPsec vpn
远程访问vpn:PPTP VPN , L2TP VPN ,SSTP VPN ,SSL VPN (web vpn)
加密技术：（机密性）
加密算法：1、对称加密算法：DES 3DES AES
特点：加密速度快，密钥容易丢失
2、非对称加密算法：DSA DH
特点：加密和解密使用的密钥不一样，使用一对密钥（公钥和私钥）互为加密和解密关系
已知其一无法推出另一个。
3、IKE密钥交换策略
先使用非对称加密算法加密对称加密算法的对称密钥，再使用对称算法加密要传输的数据。
实现身份验证：使用公钥加密，对方使用私钥解密。
数据完整性验证技术：（hash哈希算法）
MD5 SHA
身份验证：HMAC 技术 MD5-HMAC SHA-HMAC
IPsec VPN：
1、主要用在两个局域网之间建立VPN隧道
2、IPsecVPN 的实现步骤：
一：管理连接（用非对称加密对称加密的密钥）
二：数据连接（加密后的对称加密密钥加密要传输的数据）
命令：
一：
crypto isakmp policy 1
encryption des/3des/aes
hash md5/sha
group 1/2/5
aythentication pre-share
lifetime 秒 （默认是86400）
exit
crypto isakmp key 共享密钥 adress 对方的公网IP
二：
crypto ipsec transform-set 传输集名称 esp-des/3des/aes esp-md5/sha-hmac
acc 100 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
crypto map 映射名 1 ipsec-isakmp
set peer 对方的公网IP
match adress 100
set transform-set 传输集名称
exit

int f0/1
crypto map 映射名称
exit
阶段1的状态：
show crypto isakmp sa
阶段2状态：
show crypto ipsec sa

动态路由协议依据：跳数，带宽，负载，延时，可靠性，成本
收敛性：使所有路由表达到一致的状态
动态路由协议的分类：
距离矢量路由协议：源网络到目标网络的路由器个数 RIP IGRP
链路状态路由协议：源网络到目标网络的各条路径选择 OSPF IS-IS
类型1：有类路由协议（宣告时不携带掩码）
router rip
version 1
network 192.168.1.0
network 192.168.2.0
exiit
类型2：无类路由协议（宣告时携带掩码）
router rip
version 2
network 192.168.1.0
network 192.168.2.0
exit
tcp报文段：
源端口号 16
目标端口 16
序号 32
确认号 32
首部长度 4 保留 6 URG ACK PSH RST SYN FIN 窗口大小 16
校验和 16 紧急指针 16
选项
seq 序列号 为每个数据报文进行唯一编号
ack 确认号 对每个报文进行确认，确认方式seq+1
首都长度：20-60字节
控制位： SYN 请求建立连接
FIN 请求断开连接
ACK 确认位 0或1
URG 紧急位 （应用层紧急数据，配合紧急指针为1使用）
PSH 推送位
RST 重置位 （强制请求断开）
tcp三次握手：
1发送SYN报文请求建立连接（seq=x.SYN=1）
2发送SYN报文请求建立连接（Seq=x,SYN=1）
1服务器回复发送SYN+ACK报文（seq=y,ack=x+1,SYN=1,ACK=1）
2回复ACK报文（seq=x+1,ack=y+1,ACK=1）
TCP四次握手：
1发送FIN/ACK请求断开连接（FIN=1,ACK=1）
2 发送ACK报文确认信息
2发送FIN/ACK报文请求断开（FIN=1,ACK=1）
1 发送回复ACK报文确认（ACK=1）
SYN flooding攻击：利用半连接原理，伪造大量syn请求包，只请求不回复
DDOS攻击：控制大量的肉机，发送数据包进行连接，造成服务器死机
基于tcp协议：
http 80 https 443 ftp 20/21 dns 53 telent 23 ssh 22 smtp 25 pop3 110 server 445

udp协议：
无连接，不可靠的传输协议 花费的开销小
源端口号 16
目标端口号 16
udp长度 16 （用来指出udp的总长度，为首部加上数据）
udp校验和 16 （用来完成对udp数据的差错检验，是udp协议提供的唯一的可靠机制）
基于udp的协议：
Dns 53 ftpt 69 server 445 dhcp 67/68

文件系统类型：
NTFS:支持单个文件大于4G，支持文件权限列表
FAT32:不支持单个文件大于4G，不支持文件权限设置

DNS:
作用：知域名解析IP 端口：53
原理：客户机：缓存 — 本地host文件 — 本地dns服务器
服务器：缓存 —— 本地解析文件 —— （转发器）—— 根服务器（迭代查询）
PE-Ghost-系统/数据备份/还原（PE微型系统）
Ghost-幽灵
作用：备份分区partition 或硬盘disk
方法：将分区或硬盘克隆成一个Ghost文件
步骤： partition –to image 将分区备份克隆为一个人gho文件
Partition —from image 还原一个系统从gho文件
磁盘管理：
MBR 硬盘在2T以下适应MBR方式，最多4个主分区
GPT 单个硬盘在2T以上，支持至少128个分区
引导方式：
mbr引导扇区占512个字节，从0扇区开始到512字节是最多支持建4个主分区，主分区可安装操作系统扩展
分区（需占一个主分区），逻辑分区可以创建多个。

基本磁盘：不能随意扩展卷，没有冗余功能，没有提速功能等
动态磁盘：基本–动态：数据不丢失
动态–基本：数据一定丢失
磁盘数量 空间要求 I/O性能 容错 磁盘利用率
简单卷 1 ------ 一般 无 100%
跨区卷 至少2块 无需一致 一般 无 100%
带区卷 至少2块 一致 快 无

IIS发布不同web站点：
不同IP，相同端口号
相同IP，不同端口号
相同IP和端口号，不同主机头值
ftp 服务器：
监听端口号;tcp 20/21 (20:数据端口，，21：控制端口/命令端口）
主动模式：客户机通过随机端口请求数据要求主动模式，服务器通过21端口回复并建立连接，并通过20端口主动向客户机发送数据
（ftp服务器开启防火墙）
被动模式：客户机通过随机端口请求数据要求被动模式，服务器通过21端口回复并建立连接，通过随机端口向客户机发送数据。
（客户机防火墙开启）

DHCP服务器：
作用：自动分配IP 端口号：udp 67/68
优点：减少工作量，避免IP冲突，提高地址利用率
原理： 1、客户机发discovery 广播包请求IP地址
2、服务器回复 offer 单播提供IP地址
3、客户机发送request单播请求IP地址
4、服务器发送ack单播包确认，提供租约，IP，掩码，网关，dns,租期等。
续约：50%------87.5%无回应，释放IP重新广播获取IP地址

域：Domain
微软技术：1、工作组：平等
2、域：有管理
主要优点：
集中管理/统一管理
AD域实际是一个数据库，AD中包含域资源（域用户，域组，域共享，域计算机）AD域需要与DNS服务器配合使用，起着定位的作用。
安装活动目录要求：
1、必须有固定的静态IP地址
2、系统版本必须为服务器版本
3、安装AD域必须是管理员身份
4、修改计算机名并重启生效

安装：
1、dcpromo
2、勾选安装DNS，新林中新建域
3、设置域名
4、设置林功能级别，域功能级别
5、设置目录还原密码
6、安装并重启

DNS指向DC
验证查看：DNS上自动出现解析记录 AD域中，电脑自动生成计算机名
在AD域中做文件共享服务器：
赋权限：给域用户域组权限
ou组织单位：
作用：用于归类域资源（域用户，域计算机，域组）
组策略：group policy =GPO
作用：通过组策略可以修改计算机的各种属性
组策略在域中，是基于ou来下发的
组策略在域中下发后，用户的应用顺序是：LSDOU
应用过程中，如果出现冲突，后应用的生效
若有强制继承级阻止继承，上一级的优先级高于下一级的优先级
组策略中下发软件：
只能是微软格式的安装包： .msi
建一个共享文件夹，保证域用户有权限，并将要下发的软件放到共享文件夹中
在组策略中添加下发安装包：1、基于用户 2、基于计算机
组策略中包含两部分：
计算机配置：只对OU中计算机资源生效
用户配置：只对OU中的用户资源生效

VPN 技术：
流行的vpn技术：ipsec VPN技术 远程访问：vpn
VPN 作用：在不安全的网络上安全的传递信息。
私有IP： 192.168. 开头 172.16. - 172.31. 10.开头
VPN 种类：
远程访问VPN：PPTP VPN, L2TP VPN，Openssl vpn, SSL VPN 最流行
点到点VPN: IPsec VPN 端口号：tcp 1723

系统加固：
1、系统管理
2、补丁管理（补丁安装）
3、账号口令（优化账号，口令策略）
4、网络服务（关闭共享，网络限制）
5、文件系统（使用NTFS,检查每个人的权限，限制命令权限）
Mstsc 远程桌面客户端
3389 远程桌面端口号
6、日志审核（增强日志和日志审核）
PKI 公钥基础结构：
功能：确保数据信息的机密性/安全性，完整性身份验证，不可否认性。
支持协议：SSL、HTTPS、SSH、IPsecVPN
证书：数字证书（公钥，身份标识，公司名称，注册地址，电话、、、、）
CA:证书颁发机构
RA：证书机构分支
serverteen day
WDS 可以通过网络绝对客户机远程安装操作系统
要求：
1、服务器上必须安装AD、DNS,DHCP 服务器及Windows部署服务
存储系统镜像的盘必须是NTFS分区
2、建立作用域
添加启动映像文件在光盘上名字叫boot.wim

防火墙：一款具有安全防护功能的设备
网络隔离
控制流量
记录分析
基本功能：访问控制 攻击防护 冗余设计 日志记录
防火墙发展历史：
包过滤防火墙：据数据包源，目的地址，端口号及协议类型标志位确定是否允许通过
优点：高效，透明 缺点：对管理员要求能力高，处理信息能力有限
应用代理防火墙：需要一个服务程序，对每个新的应用必须添加针对的服务程序，否则不能使用该服务
优点：安全性高，检测内容 缺点：连接性能差，支持的应用少
状态检测防火墙：除包过滤检测的特性外，对网络连接设置状态特性加以检测。
优点：减少检查工作量，提高效率连接状态可以简化规则
防火墙工作模式：
透明模式（桥接模式）：用于网络已建设完毕网络功能已基本实现，用户需加装防火墙实现安全区域隔离的要求
路由模式（NAT模式）：用于防火墙当路由器和nat设备连接上网时，提供安全模式过滤功能。
混杂模式：透明模式和路由模式混合。