20159315《网络攻防实践》第六周学习总结

20159315《网络攻防实践》第六周学习总结#

教材学习内容总结##

第五章TCP/IP网络协议攻击总结###

1. 网络安全属性：网络安全是指网络系统的硬件、软件及其系统受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄漏，系统连续可靠正常运行，网络服务不被中断。网络安全的三个基本属性：机密性、完整性和可用性。国际电信联盟在X.800安全体系标准中还定义了网络安全的其他两个属性：真实性和不可抵赖性。网络攻击基本模式：在网络通信中，攻击者可采取如下四种基本攻击模式：截获（被动，具体攻击技术为嗅探与监听）、中断、篡改与伪造（主动）。
2. 原始报文伪造技术及工具：一系列针对TCP/IP网络协议栈的攻击技术中，最流行的是欺骗技术。实现欺骗技术需要攻击者伪造出特制的网络数据报文，发送给目标主机，使其在处理这些伪造报文时遭受攻击。除了自己编程实现之外，也存在可以实施各种网络欺骗攻击的工具软件，Netwox是其中一个非常强大的开源工具包，可以创建任意的TCP/UDP/IP数据报文。
3. IP源地址欺骗：是指攻击者伪造具有虚假源地址的IP数据包进行发送，以达到隐藏发送者身份、假冒其他计算机等目的。IP地址源欺骗原理：IP协议在设计时只使用数据包中的目标地址进行路由转发，而不对源地址进行真实性的验证。
4. ARP欺骗：ARP欺骗也被称为ARP下毒，是指攻击者在有线以太网或无线网络上发送伪造ARP消息，对特定IP所对应的MAC地址进行假冒欺骗，从而达到恶意目的的攻击技术。ARP协议工作原理：ARP协议用于将网络主机的IP地址解析成其MAC地址，然后在局域网内通过MAC地址进行通信。ARP协议的基本功能就是对目标IP地址查询它的MAC地址，以便把数据包发送到目标主机。ARP欺骗攻击技术原理：ARP欺骗攻击的根源在于ARP协议在设计时认为局域网内部的所有用户都是可信的，是遵循协议设计规范的。ARP协议在进行IP地址到MAC地址映射查询时存在安全缺陷，一方面采用了广播请求包方式在局域网段中询问映射关系，但没有对响应结果进行真实性验证的技术流程与方法，而另一方面ARP协议为提高效率，设计了ARP缓存机制，以及会将主动的ARP应答视为有效信息进行接受，这使得ARP缓存非常容易被注入伪造的IP地址到MAC地址的映射关系，从而进行欺骗。ARP欺骗的防范措施：主要方法有静态绑定关键主机的IP地址与MAC地址映射关系、使用相应的ARP欺骗防范工具（ARP欺骗防火墙）、使用VLAN虚拟子网细分网络拓扑，并加密传输数据以降低ARP欺骗攻击的危害后果等。还可以使用一些工具软件查找ARP欺骗攻击源，如nbtscan和Anti ARP Sniffer。
5. TCP/IP网络协议栈攻击防范措施：通过部署一些监测、预防与安全加固的防范措施，是增强网络对已知攻击抵御能力不可或缺的环节。分别为网络接口层、互联层、传输层和应用层。网络互联层目前最重要的安全通信协议主要是IPsec协议簇。IPsec适用于目前的IP版本IPv4和下一代IPv6。IPsec协议簇的基本目的是把密码学方法支持机密性和认证服务，使用户能有选择地使用，并得到所期望的安全服务。IPsec的安全协议主要包括AH协议和ESP协议两大部分。IPsec协议支持隧道及传输两种模式。传输层上的安全协议主要是TLS，前身是由Netscape网景公司所开发的SSL。TLS协议包括两个协议组：TLS记录协议和TLS握手协议。TLS记录协议位于可靠的传输协议TCP之上，用于封装各种高层协议，提供的安全性具有两个基本特性：①加密②可靠。对于万维网访问进行安全防护的主要协议是安全超文本传输协议，基于传输层安全协议TLS实现，端口号为443.安全电子邮件协议是电子邮件的安全传输标准。用于替代telnet远程控制的安全网络协议是SSH。

第六章网络安全防范技术总结###

1. 安全模型：“信息安全金三角”的CIA安全属性，即机密性、完整性和可用性。在理论模型方面，先后出现了针对机密性的BLP多级安全策略模型、针对完整性保护的Biba模型和Clark-Wilson模型等。
2. 网络安全防范技术与系统：网络安全防范技术对应P2DR中的“防护”环节，设立在被保护主机与外部网络中间。防火墙技术概述：防火墙指的是置于不同的网络安全域之间，对网络流量或访问行为实施访问控制的安全组件或设备。合理地部署和配置防火墙，首先必须将防火墙部署在不同网络安全域之间的唯一通道上；其次只有网络安全管理员根据安全需求合理地设计安全策略规则，才能充分发挥防火墙的功能，保护网络安全。防火墙技术通常能够为网络管理员具体提供如下安全功能：（1）检查控制进出网络的网络流量（2）防止脆弱或不安全的协议和服务（3）防止内部网络信息的外泄（4）对网络存取和访问进行监控和审计（5）防火墙可以强化网络安全策略并集成其他安全防御机制。
3. 网络检测技术：在PDR模型中，检测技术主要包括流动评估、入侵检测等。在网络攻防技术领域，一次入侵可被定义为任何尝试破坏信息资源的保密性、完整性或可用性的行为。入侵检测即为通过对计算机网络或计算机系统中若干关键点信息的收集和分析，从中发现入侵行为的一种安全技术。入侵检测系统则是实现入侵检测技术，专门用于入侵行为发现和处理的软件系统或硬件设备。入侵检测是防火墙之后的第二道安全屏障。NSM第一次直接将网络流作为审计数据来源，正式形成了基于主机的入侵检测系统和基于网络的入侵检测系统两大阵营。误用检测主要关注对复杂攻击特征的描述和检测，具有代表性的成果包括UCSB的状态转移分析模型及STAT系列入侵检测系统、SRI开发的基于产生式专家系统语言P-BEST和ENERALD分布式入侵检测系统等。异常检测方法代表性研究有采用统计分析方法的IDES统计异常检测器、NIDES、Haystack等，基于神经网络方法的由NNID、Forrest等人提出的基于免疫学方法，以及lee等人提出的数据挖掘方法等。

教材学习中的问题和解决过程##

SQL注入操作###

结合教材指导文件，具体操作如下：
打开apache服务器

找到找到/etc/php5/apache2/php.ini 关闭对抗机 magic quote

修改后无法保存，提升文件操作权限，获取文件操作所有权限，并重启服务器

已有用户ted，SQL不完整性验证，造成‘前后形成永真式，后台判断用户名正确，可以直接登录。

注入成功

视频学习中的问题和解决过程##

视频21-25大部分是介绍内容，视频中的字典文件需要自己手动准备。

学习进度条##

第六周进度###

学习了课本5/6章内容，实践操作了视频21-25集内容。