【网络工程】网络安全_工程系列网络安全_mps哪些协议分发标签-优快云博客

本文介绍了恶意代码的类型（病毒、蠕虫、特洛伊木马和后门），网络攻击的主动被动形式，以及网络安全设备如防火墙、入侵检测和防御系统的作用。同时涵盖了密码体制、安全算法和数字证书的基础知识，以及VPNs的实现方式。文章结尾强调了网络安全学习的重要性及其资源获取途径。

一、恶意代码

（1）病毒
病毒具有传染性，破坏性，隐蔽性，潜伏性，可触发性，不可预见性。传播途径：移动介质，电子邮件，通信软件，浏览器漏洞，
P2P下载，软件和系统漏洞。常见的病毒前缀：系统病毒Win32，PE，Win95。脚本病毒VBS等。宏病毒Macro，Word，Excel等。

（2）网络蠕虫
网络蠕虫不需要用户触发，传播速度高于网络病毒。常见前缀为Worm。

（3）特洛伊木马
特洛伊木马具有隐蔽性。木马本身不带有破坏性，由服务端（目标）接受客户端（攻击者）的命令，行为包括修改文件，控制鼠标键盘，修改注册表，截取屏幕内容等。常见的前缀为Trojan。

（4）后门漏洞
后门漏洞可以使攻击者绕过安全性控制而获取对程序或系统的访问权。一般在黑客初次获取系统控制权后，留下后门，便于再次进入系统。常见的后门前缀为Backdoor。

【----以下所有学习资料文末免费领！----】

二、网络攻击

1、主动攻击与被动攻击

（1）主动攻击
主动攻击包含攻击者访问他所需信息的故意行为。主动攻击包括拒绝服务攻击（DoS）、分布式拒绝服务（DDoS）、信息篡改、欺骗、伪装、重放等攻击方法。

（2）被动攻击
被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动不会觉察到。被动攻击包括嗅探、信息收集，端口扫描等攻击方法。

2、常见攻击类型

IP攻击：IP分片攻击、Teardrop IP攻击、PING攻击
TCP攻击：SYN Flood攻击（DoS攻击或DDoS）
欺骗攻击：ARP欺骗攻击、IP欺骗攻击、DNS欺骗攻击

三、网络安全设备

（1）防火墙
访问控制功能，内容控制功能，日志查看功能，集中管理功能，边界防护，支持NAT，VPN，流量控制等技术的应用及多数路由协议，不能防御内部网络攻击，和网络病毒。

（2）入侵检测设备IDS：
对危险行为做出判断并告警，不能阻断恶意行为。

（3）入侵防御系统IPS
主动，实时的防护，对流量中的恶意数据包进行检测，自动拦截，并进行记录，以便后期进行分析和取证。

（4）网闸
利用单向开关功能，从物理层和数据链路层阻断网络，实现不同网络的逻辑隔离

（5）流量清洗设备
需要购买设备和流量，对DDoS的防御效果最好

（6）行为管理
对内网用户的网络访问行为进行统一管理

（7）应用防护系统WAF
专门针对WEB应用的安全防护设备

四、密码体制

（1）公钥密码体制（非对称加密算法）
公钥公开，私钥保密的。公钥发布出去，私钥自己保留。
加密：使用对方的公钥对内容(明文)加密，得到密文。
解密：使用自己的私钥对密文进行解密，得到明文。

（2）私钥密码体制（对称加密算法）
加密的密钥和解密的密钥都是使用相同密钥。

五、安全算法

1、非对称加密算法

（1）RSA：基于大素数因子分解问题的困难性。以分组为单位对明文进行加密。
（2）ECC：基于椭圆曲线离散对数的计算困难性。对比与RSA算法优点是密钥更小，同样安全级别的计算速度更快。

2、对称加密算法

（1）DES：56位密钥对64位的数据块进行加密，每次编码使用不同的48位的子密钥。软件解码时间长，硬件解码时间短。
（2）3DES：使用2个密钥对数据进行3次加密。密钥长度112位。分组长度64位。优点是密钥强壮，缺点是加密时间是DES的三倍。
（3）IDEA加密算法：密钥长度128位。分组长度64位。软件实现和硬件时间同样快速。
（4）AES：高级加密标准，下一代加密标准，秘钥长度128，192，256，分组长度64位。加密效率高，安全级别高。
（5）RC5算法：允许使用不同长度的密钥，最长为448位。

3、摘要算法

摘要算法又称哈希算法，它表示输入任意长度的数据，输出固定长度的数据，相同的输入数据始终得到相同的输出，不同的输入数据尽量得到不同的输出。数字签名常使用摘要算法。
（1）MD5：秘钥长度128位，分组长度512位
（2）SHA-1：秘钥长度160位，分组长度512位SHA-2：秘钥长度256位、秘钥长度384位、秘钥长度512位

六、数字证书

1、公钥基础设施（PKI）

（1）PKI是提供安全服务的基础设施，由公开密钥密码技术、数字证书、证书发放机构和关于公开密钥的安全策略等基本成分共同组成的。
（2）PKI采用证书进行公钥管理，CA是PKI的核心执行机构，数字证书颁发机构，RA是证书申请机构。
（3）CA拥有内含公钥的证书和私钥。用户通过验证CA的证书从而信任CA。
（4）用户申请证书，先向CA提出申请。CA审核身份后，分配一个公钥，并将该公钥与申请者的身份信息绑在一起，签名后形成证书发给申请者。
（5）任何人都可以得到CA的证书。用户可以通过CA的证书对另一个用户证书上的签字进行验证，证明对方的证书是否有效。如果两个用户使用不同的CA中心发放的证书，则需要两个CA之间安全的交换公开密钥，来完成验证。
（6）证书到了有效期、用户私钥泄露、用户放弃使用原CA中心的服务、CA中心私钥泄露都需要吊销证书，这时CA中心会维护一个证书吊销列表CRL供大家查询。

2、数字签名

数字签名就是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。具有完整性，真实性、可靠性和不可抵赖性。数字签名过程是基于公钥密码体制实现的，数字签名过程是：（发送方）私钥签名，（接收方）公钥验证。口诀：公钥加密验证，私钥解密签名
在这里插入图片描述

七、VPN技术

1、2层VPN

（1）PPTP点到点隧道协议
只提供单一的二层的隧道，要求互联网络为IP网络。与PPP相同的认证机制。PPTP不支持隧道验证。但是和IPsec结合使用，可由IPSEC提供隧道验证。
（2）L2TP第二层隧道协议
L2TP只要求隧道媒介提供面向数据包的点对点的连接，且支持在两端点间使用多隧道，用户可以针对不同的服务质量创建不同的隧道。 L2TP自身不提供隧道验证，隧道认证是由PPP（pap或chap）协议提供。但是L2TP与IPsec共同使用时，可以由IPsec提供隧道验证。

2、2.5层MPSLS-VPN

在MPLS中，网络供应商为每个VPN提供一个唯一的VPN标识符，称之为路由识别
符(RD)。标签分发协议LDP在标签路由器之间互相自动分发标签，建立起来的
路径称为LSP。转发表中包括一个唯一的地址，叫做VPN-IP地址，是由RD和用
户的IP地址连接形成。MPLS-VPN有通常有两层标签，外层标签（公网标签）由
下游设备为上游设备通过LDP分发的。内层标签（私网标签，VPN标签），由
Exgress PE通过MB-BGP协议分配，用于区分私网路由。

3、3层IPsec-VPN

IP层通过加密与验证，保证数据包传输的安全性。IPSec通道中双方建立起来的连接称为SA，约定双方使用相同的封装模式，加密算法，加密密钥，验证算法，验证密钥
①认证头AH：只支持身份验证
②安全封装载荷ESP，提供数据保密，身份验证
③秘钥交换协议：IKE生成管理分发秘钥

IPsec-VPN的两种隧道模式
（1）传输模式：AH或ESP头被插入到IP头与传输层协议头之间。不改变报文头，隧道的源目地址就是最终通信双方的源目地址，所以这个模式通常用在两台主机之间建立VPN通信。只保护IP报文载荷数据。一般用于企业网内部主机直接配置公网地址并建立VPN。
在这里插入图片描述
（2）隧道模式：AH或ESP头被插到原始IP头之前，用新的报文头来封装消息。新的IP头中的源目地址为隧道两端个公网IP地址，隐藏了网关后面私有网络的信息，所以隧道模式适用于两个网络中网关之间建立IPSec，是使用最多的封装模式，保护整个IP报文。一般用于企业网边界配置公网地址并设备建立VPN。
在这里插入图片描述

4、GRE

GRE（通用路由封装）协议是对某些网络层协议（如IP和IPX）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议中传输。GRE是VPN的第三层隧道协议，同IPSec协议一样，GRE也是在协议层之间采用了Tunnel（隧道）技术。

学会网络安全，身为普通的你可以：

跨越90%企业的招聘硬门槛

增加70%就业机会

拿下BAT全国TOP100大厂敲门砖

体系化得到网络技术硬实力

IE大佬年薪可达30w+

如何入门学习网络安全【黑客】

【----帮助网安学习，以下所有学习资料文末免费领！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）