0-网络安全基础

主要分三个方面:计算机网络、操作系统和加密技术
网络安全流程、思想见https://blog.xinroom.cn/2019/05/26/red-vs-blue-apt/

计算机网络

1. 概述

  1. 计算机网络的目的是实现资源共享和信息传递。
  2. 电路交换是物理链路的处理,独占的;分组交换有若干个携带首部的分组,通过存储转发在多条线路上传输,分组管理方式分为数据报和虚电路。
  3. 时延由排队时延、处理时延、传输时延、传播时延组成。
  4. 通信协议3要素分别是定义数据结构、顺序含义的语法;解释比特率意义的语义;说明事件实现顺序的时序。
  5. 网络体系分为五层协议、OSI七层协议和TCP/IP四层协议。

2. 协议层次

OSI

层次 功能 协议
应用层 终端应用程序使用的服务 SMTP、HTTP、POP3、IMAP、DNS、FTP
表示层 格式化、加解密数据 JPEG、GIF、TLS
会话层 建立、终止连接 RPC、SQL、PPTP -> Socket
传输层 为进程提供通用数据传输服务、差错控制 TCP(20B)、UDP(8B)(伪首部)
网络层 为主机提供数据传输服务、路由转发 IP(20B)、ICMP、ARP、路由器、三层交换机、RIP、OSPF、BGP
数据链路层 将分组封装成帧、透明传输、差错检测(CRC) CSMA/CD、PPP、交换机
物理层 屏蔽通讯手段介质的差异 物理连接、集线器、网卡、线缆

五层协议

相比OSI 将表示层、会话层合并到了应用层,由应用自身实现。

TCP/IP

在五层协议基础上将物理层和数据链路层合并成网络接口层,更好的处理网络异构的问题。

此外,TCP/IP的某些应用层协议可以直接在TCP/UDP层、IP层工作,这也是为什么上表中有些协议看起来有点别扭、好像涉及到多个层次的协议的原因。TCP/IP是现在广泛使用的协议,因为它更加的灵活。

对于TCP/IP除了四层协议的说法还有2层协议的说法:应用层和网络接口层,应用层包含TCP/UDP和IP协议。

3. 完成WEB请求的可能过程

DHCP

  • 假设主机还没有IP地址等信息
  • 主机-[DHCP请求报文]-UDP[0.0.0.0:67–255.255.255.255:68]
  • 放入MAC帧中-[*–FF:FF:FF:FF:FF:FF]-广播(局域网)
  • DHCP服务器-[DHCP ACK报文]-UDP[IP、DNS、GATEWAY、掩码]
  • 主机获得相关信息

ARP

  • 主机-请求报文-MAC帧(源–目的)[:\:*:*:*:*–FF:FF:FF:FF:FF:FF]-报文数据[发送者MAC和IP–00:00:00:00:00:00和要知道的对应IP]
  • 对方将单播回复报文[将自己的MAC填充00:00:00:00:00:00并反转源和目的]

DNS

  • 用户要访问www.xinroom.cn,查本地HOST和DNS缓存,有就返回,没有就给递归服务器53发送UDP查询报文
  • 递归服务器为空时,并且递归服务器没有再上一级的递归服务器时,向根服务器查.cn顶级域的IP地址
  • 13个根服务器都可以回应顶级域名服务器的IP
  • 递归服务器向.cn顶级域名服务器查询xinroom.cn的权威服务器IP(这个就是域名所有者自己设置的)
  • .cn顶级域名服务器回应权威服务器IP
  • 递归服务器向xinroom.cn的权威服务器查询www.xinroom.cn的IP
  • xinroom.cn权威服务器回应www.xinroom.cn的IP
  • 递归服务器向主机回应IP
  • 主机同时将DNS记录缓存

4. HTTP

请求方法

动词 含义
GET 获取资源
HEAD 获取报文首部
POST 传输BODY内容
PUT 上传文件
PATCH 对资源部分修改
DELETE 删除文件
OPTIONS 查询支持的方法
CONNECT 要求与代理服务器通信时建立隧道
TRACE 追踪路径

状态码

状态码 类别 含义
1XX 信息 接收的请求正在处理,请求者可能需要继续发送信息
2XX 成功 请求正常接受并处理完毕
3XX 重定向 需要进行附加操作以完成请求
4XX 客户端错误 请求语法错误或服务器无法处理请求
5XX 服务器错误 服务器处理请求中出错

常见状态码

状态码 英文名称 中文描述
100 Continue 继续。客户端应继续其请求
200 OK 请求成功。
204 No Content 无内容。常见客户端向服务器发送状态统计信息,无需返回内容
206 Partial Content 部分内容。常见于流媒体的传输
301 Moved Permanently 永久移动。
302 Found 临时移动。
304 Not Modified 无改动。
400 Bad Request 客户端请求的语法错误。
401 Unauthorized 需要HTTP Auth认证。
403 Forbidden 拒绝访问。
404 Not Found 未找到资源。
502 Bad Gateway 服务器与后端程序通信错误。
503 Service Unavailable 超载,暂时无法访问。
504 Gateway Time-out 后端响应超时。
505 HTTP Version not supported HTTP 版本不受支持。

加密技术

1. 概述

要素

CIA安全三要素:机密性、完整性、可用性。一般补充:认证性、不可否认性。

与之相对的反CIA准则:不当泄露、未授权修改、中断。

2. 分类

古典密码学

  • 列置换
  • 周期置换
  • 单表替换加密(Caesar)
  • 多表替换加密(Vernam、Playfair)

现代密码学

  • 对称加密(加密和解密所使用的密钥相同)
    • 序列密码-流密码(RC4)
    • 分组密码-块加密(DES、AES)
      • CBC - 密码分组链接模式 - 加密不可并行、解密可并行
      • ECB - 电子密码本模式 - 可并行,无法隐藏统计规律
      • CFB - 密文反馈算法 - 不能并行,适应不同数据格式
  • 非对称加密(加密和解密所使用的密钥不同)
    • RSA(极大整数因子分解)
    • ECC(椭圆曲线离散对数)
    • D-F(离散对数)
  • 哈希函数(将不同长度压缩到固定长度)
    • MD5(n个512bit -> 128bit)32位16进制字串 16位的是去掉了头8位和后8位
    • SHA1/256/512(SHA1 n个512bit -> 160bit)
  • 数字签名(结合HASH和公开密钥密码算法)
    • RSA
    • DSA

3. 攻击

模式

  • 唯密文攻击
  • 已知密文攻击
  • 选择明文攻击
  • 选择密文攻击
  • 相关密钥攻击

方法

  • 暴力
  • 线性
  • 差分
  • 积分
  • 代数
  • 侧信道

4. PKI(公开密钥基础设施)

目的:分发证书

要素:证书、CA(认证机构/程序)、证书库

证书中包含相应的公钥。

5. 几个认证机制

  • OAuth
  • JWT
  • Kerberos
  • SAML

操作系统

1. 原理

基本特征

  • 并发
  • 共享
  • 虚拟
  • 异步

基本功能

  • 进程管理
  • 内存管理
  • 文件管理
  • 设备管理

中断分类

  • 外中断
  • 异常
  • 陷入

另述

2. 基本操作命令

Windows

http://www.myh0st.cn/index.php/archives/261/ https://websec.readthedocs.io/zh/latest/intranet/windows.html

系统信息相关

  • systeminfo
  • tasklist
  • dir
  • sc
  • findstr
  • schtasks

网络相关

  • route
  • netsh

NET系列

  • net use
  • net view
  • net user
  • net config

Linux
https://zhuanlan.zhihu.com/p/33098570
https://websec.readthedocs.io/zh/latest/intranet/linux.html