CISSP复习笔记-第6章 通信与网络安全

6.2 开放系统互联（Open System Interconnect，OSI）参考模型

6.2.9 OSI模型中的功能和协议

1. 应用层

• 文件传输协议（File Transfer Protocol，FTP）
• 普通文件传输协议（Trivial File Transfer Protocol，TFTP）
• 简单网络管理协议（Simple Network Management Protocol，SNMP）
• 简单邮件传输协议（Simple Mail Transfer Protocol，SMTP）
• Telnet
• 超文本传输协议（Hypertext Transfer Protocol，HTTP）
• 行式打印机后台程序（Line Printer Daemon，LPD）

2. 表示层

• 表示层上的服务处理标准格式的转换、数据压缩和解压以及数据的加密和解密，这个层上没有协议工作，只有服务
• 美国信息交换标准编码（American Standard Code for Information Interchange，ASCII）
• 标签图像文件格式（Tagged Image File Format，TIFF）
• 图形交换格式（Graphic Interchange Format，GIF）
• 联合图像专家组（Joint Photographic Experts Group，JPEG）
• 拓展二进制编码十进制交换编码（Extended Binary-Code Decimal Interchange Code，EBCDIC）

3. 会话层

• 会话层上的协议建立应用程序之间的连接，维持会话控制，并协商、建立、维持、撤销通信通道
• 网络文件系统（Network File System，NFS）
• NetBIOS
• 结构化查询语言（Structured Query Language，SQL）
• 远程过程调用（Remote Procedure Call，RPC）

4. 传输层

• 传输层上的协议处理端对端传输和数据流分解
• 传输控制协议（Transmission Control Protocol，TCP）
• 用户数据报协议（User Datagram Protocol，UDP）
• 安全套接字层（Secure Sockets Layer，SSL）
• 传输层安全（Transport Layer Security，TLS）
  
  • TLS记录协议（TLS Record Protocol）
  • TLS握手协议（TLS Handshake Protocol）
• 序列包交换（Sequenced Packet Exchange，SPX）
• 单位：segment，报文段、分片

5. 网络层

• 网络层协议的职责包括网际互联服务、寻址、路由
• Internet协议（Internet Protocol，IP）
• Internet控制消息协议（Internet Control Message Protocol，ICMP）
• Internet组管理协议（Internet Group Management Protocol，IGMP）
• 路由信息协议（Routing Information Protocol，RIP）
• 开放最短路径优先（Open Shortest Path First，OSPF）
• 网际数据包交换（Internet Packet Exchange，IPX）
• 单位：datagram，数据报；或packet，包、分组

6. 数据链路层

• 数据链路层上的协议将数据转换成LAN或WAN帧进行传输，并且定义计算机访问网络的方式
  
  • 逻辑链路控制（Logical Link Control）：IEEE 802.2，只负责控制数据流和检查错误
  • 介质访问控制（Media Access Control）：IEEE 802.3，根据不同网络类型把数据翻译成不同电压
• 地址解析协议（Address Resolution Protocol，ARP）
• 逆向地址解析协议（Reverse Address Resolution Protocol，RARP）
• 点对点协议（Point-to-Point Protocol，PPP）
• 串行线路Internet协议（Serial Line Internet Protocol，SLIP）
• 以太网
• 令牌环
• 光纤分布式数据接口（Fiber Distributed Data Interface，FDDI）
• 异步传输模式（Asynchronous Transfer Mode，ATM）
• 单位：frame，帧

7. 物理层

• 网络接口卡和驱动程序将位转换为电信号，并控制数据传输的物理方面，包括光学、电学和机械要求
• EIA-422，EIA-423，RS-449，RS-485
• 10BASE-T、10BASE2、10BASE5、100BASE-TX、100BASE-FX、100BASE-T、1000BASE-T、1000BASE-SX
• 集成服务数字网络（Integrated Services Digital Network，ISDN）
• 数字用户线路（Digital Subscriber Line，DSL）
• 同步光纤网络（Synchronous Optical Networking，SONET）
• 单位：bit，位

6.3 TCP/IP模型

6.3.1 TCP

• 同步洪流（SYN flood）：攻击者向目标系统大量发送带欺骗地址的SYN数据包，最终导致目标系统所有TCP连接资源耗尽，可通过SYN代理防范
• TCP会话劫持（TCP session hijacking）：攻击者正确预测两个系统将要使用的TCP序列号，伪装为发送者发送数据报，欺骗接收系统，接管TCP连接

6.3.2 IP寻址

• IPv4首部协议字段
  
  • ICMP：1
  • IGMP：2
  • TCP：6
  • UDP：17
  • GRE：47
  • AH：51
  • L2TP：115
• A类地址：0.0.0.0-127.255.255.255，最高1位为0
• B类地址：128.0.0.0-191.255.255.255，最高2位为10
• C类地址：192.0.0.0-223.255.255.255，最高3位为110
• D类地址：224.0.0.0-239.255.255.255，最高4位为1110，用于多播
• E类地址：240.0.0.0-255.255.255.255，最高5位为11110，用于研究
• 无类别域间路由（Classless Inter Domain Routing，CIDR）

6.3.3 IPv6

• 128位地址
• IPv6转IPv：6to4；IPv4转IPv6：Teredo
• 集成IPSec安全协议

6.3.4 第2层安全标准

• IEEE 802.1AE：MACSec安全标准，
• IEEE 802.1AR：指定了唯一的设备标识符（DevID），把设备的管理和加密绑定到这个标识符上

6.5 布线

6.5.2 双绞线

• 屏蔽双绞线（Shielded Twisted Pair，STP）
• 非屏蔽双绞线（Unshielded Twisted Pair，UTP）
  

6.5.4 布线问题

• 常用物理接口连接标准
  
  • RJ-11：电话线
  • RJ-45：网线
  • 英国海军连接器（Bayonet Neill-Concelman，BNC）：电视线
• 串扰：一个线路上的电信号溢出到另一根线路上
• 线缆的阻燃率
  
  • 非增压线缆（nonplenum cabel）通常具有聚氯乙烯（Polyvinyl Chloride，PVC）套层
  • 阻燃线缆有含氟聚合物套层

6.6 网络互联基础

6.6.1 网络拓扑

6.6.2 介质访问技术

• 两个LAN使用不同的数据链路层技术（如帧中继或ATM）连接，那么它们被视为一个WAN
  

1. 以太网

4. 介质共享

• 令牌传递：用于令牌环、FDDI
• 载波侦听多路访问（Carrier Sense Multiple Access，CSMA）
  
  • 冲突检测（Collision Detect，CD）：CSMA/CD，发送数据前先监听信道是否空闲 ，若空闲则立即发送数据；在发送数据时，边发送边继续监听；若监听到冲突，则立即停止发送数据；等待一段随机时间，再重新尝试，计算随机时间的算法为后退算法（back-off algorithm）；用于以太网
  • 冲突避免（COllision Avoidance，CA）：CSMA/CA，一个工作站希望在无线网络中传送数据，如果没有探测到网络中正在传送数据，则附加等待一段时间，再随机选择一个时间片继续探测，如果无线网路中仍旧没有活动的话，就将数据发送出去；接收端的工作站如果收到发送端送出的完整的数据则回发一个ACK，如果这个ACK被发送端收到，则这个数据发送过程完成，如果发送端没有收到ACK，则或者发送的数据没有被完整地收到，或者ACK的发送失败，不管是哪种现象发生，数据都在发送端等待一段时间后被重传；用于无线网
• 轮询：用于大型机系统环境
• 冲突域：竞争相同的共享通信介质的一组计算机
• 广播域：接收同样广播消息的节点的集合

5. 传输方法

• 一对一：unicast，单播
• 一对所有：broadcast，广播
• 一对多：multicast，组播，IGMP协议用于向路由器报告多播组成员关系

6.6.3 网络协议和服务

1. 地址解析协议

• ARP表中毒（ARP table poisoning），一种伪装（masquerading）攻击，攻击者修改一对通信主机的ARP缓存
  

2. 动态主机配置协议

• 攻击者可以在网络上创建未授权的DHCP服务器，并且开始响应正在寻找DHCP服务器的客户端
• 网络屏蔽未进行身份验证的DHCP客户端的一种有效方法是在网络交换机上使用DHCP窥探（DHCP snooping），确保DHCP服务器只为特定MAC分配IP
• RARP协议：无盘工作站通过广播自己MAC地址获取IP

3. Internet控制消息协议

• ping tunnel
• traceroute
• 死亡之ping：如果系统无法处理超过65536字节大小的ICMP数据包，那么攻击者通过向目标系统发送多个超大ICMP包可导致其变得不稳定，从而死机或崩溃；属于DDoS攻击
• Smurf攻击：攻击者发送一个带欺骗源地址的ICMP回包请求到受害计算机网络的广播地址，导致所有系统用ICMP回包响应数据报来回应受害计算机，导致其死机、崩溃或者重启；属于DDoS攻击
• Fraggle攻击：与Smurf攻击类似，使用UDP协议

4. 简单网络管理协议

• 管理器：服务器部分，轮询不同设备的代理来检查状态信息
• 代理：运行在网络设备上，要跟踪记录的对象名单存在于管理信息库（Management Information Base，MIB）中，包含的数据用于特定管理任务和状态检查
• 陷阱操作：代理不等待轮询而主动向管理器发送消息的唯一方式
• 社区字符串（community String）：管理器用来从代理请求数据的密码
  
  • 分只读和读写两种级别，默认的只读密码为public，默认的读写密码为security
  • v1、v2中社区字符串用明文发送
  • v3提供加密、消息完整性、身份验证

6.6.4 域名服务

• DNS威胁：攻击者监听网络流量，一旦发现有解析A域名的请求，马上用不正确的指定IP进行应答
• HOSTS文件操纵
• URL隐藏（URL hiding）：利用超链接隐藏容易被怀疑的域名
• 域抢占（domain grabbing）和恶意抢注（cyber squatting）

6.6.5 电子邮件服务

• SMTP：用于客户端发送、邮件服务器之间转发、邮箱名（如xxx@yyy.com）的寻址
• 邮局协议（Post Office Protocol，POP）：Internet邮件服务器协议，用户访问邮件服务器时会将邮件下载到本地并从邮件服务器删除
  
  • POP3：110端口
• 互联网邮件访问协议（Internet Mail Access Protocol，IMAP）：允许用户在下载邮件的同时将邮件保留在邮件服务器
• 电子邮件伪装：通过修改电子邮件头部字段完成，如From、Return-Path、Reply-To

6.6.6 网络地址转换

• 静态映射
• 动态映射
• 端口映射（Port Address Translation，PAT）

6.6.7 路由协议

• Internet上的单独网络成为自治系统（Autonomous System，AS）
  
  • 内部使用公共的内部网关协议（Interior Gateway Protocol，IGP）
  • 不同AS上的路由共享路由信息使用边界网关协议（Border Gateway Protocol，BGP）
  • 自治系统之间使用外部网关协议（Exterior Gateway Protocol），已被BGP替代
• RIP：属于距离向量路由协议（distance-vector routing protocol），只利用两个目的地之间的跳数，只应用于小型网络
• OSPF：属于链路状态路由协议（link-state routing protocol），不仅利用跳数而且利用每一跳的状态，大型网络中的首选路由协议
• 其他路由协议：内部网关路由协议（Interior Gateway Routing Protocol，IGRP）、加强型内部网关路由协议（Enhanced Interior Gateway Routing Protocol，EIGRP）、虚拟路由冗余协议（Virtual Router Redundancy Protocl，VRRP）、中间系统到中间系统（Intermediate System to Intermediate System，IS-IS）
• 黑洞攻击：攻击者伪装成一台路由器，向受攻击的路由器提交路由表信息，导致受攻击的路由器将流量导向攻击者期望的子网或不存在的地址（黑洞）
• 虫洞攻击：攻击者在网络中的某个位置捕获数据报，并将其通过隧道（虫洞）发送到另一个位置

6.7 网络互联设备

6.7.1 中继器（repeater）

• 物理层，只是中继和放大线缆段之间的信号
• 集线器（hub）：多端口中继器，一个端口收到的信号会被广播到所有端口

6.7.2 网桥（bridge）

• 数据链路层，连接不同LAN网段的LAN设备
• 数据帧到达网桥时，网桥判断MAC是否在本地网段，若否则转发到所需的另一个网段
• 本地网桥（local bridge）：在一个局部区域（通常是一座建筑物）内连接多个LAN网段
• 远程网桥（remote bridge）：通过使用电信链路连接一个MAN上的多个LAN网段
• 翻译网桥（translation bridge）：连接不同类型、不同标准和协议的LAN网段
• 转发表：记录每个MAC来自哪个端口
• 透明桥接（transparent bridging）：自动记录转发表，遇到未知的目的MAC则向除源端口之外的所有端口发送一个查询帧，目的主机是回复该查询的唯一主机
• 源路由桥接（source routing bridging）：数据包包含必要的信息已告诉网桥该往哪里走
• 采用生成树算法（Spanning Tree Algorithm，STA）可以为网桥增加更多的智能

6.7.3 路由器（router）

• 网络层
• 使用ICMP发送目标地址不可达错误
• 递减TTL值
• 查看MTU以决定是否对数据包进行分段
  

6.7.4 交换机（switch）

• 数据链路层，组合了中继器和网桥的功能，不存在竞争和冲突
• 第3层、第4层交换机：每个目标网络或子网都会被分配标记，保存在每个交换机的标记信息库（Tag Information Base），数据包到达交换机时会被分配标记，交换机之间通过标记确定路由，在到达最后一跳交换时标记被移除，这种标记使用方法称为多协议标签交换（Multiprotocol Label Switching，MPLS）
• VLAN：使管理员可按用户和公司的需要而不是物理位置进行分组
  
  • VLAN跳跃攻击（VLAN hopping attacks）：攻击者让系统起到交换机的作用，从而访问各种VLAN分段中的流量

6.7.5 网关（gateway）

• 应用层，一个通用的术语，用于连接两个不同环境的设备上运行的软件

6.7.6 专用交换分机（Private Branch Exchange，PBX）

• 处理公司内部的分机号，确定是否需要转发到市话

6.7.7 防火墙（firewall）

1. 包过滤防火墙

• 第一代防火墙
• 基于五元组、协议类型、进出的流量方向
• 无状态检查（stateless inspection）
• 无法检测伪造地址

2. 有状态防火墙

• 跟踪并记录连接的状态，直至连接关闭
• 可以防范XMAS攻击：攻击者将TCP标志位的所有值置为1，目标系统因不知如何处理而崩溃
• 可以防范分片攻击
• 攻击者使用伪造信息造成状态表泛滥，导致系统死机或重启

3. 代理防火墙

• 第二代防火墙
• 在可信任网络和不可信网络之间，总是代表主机来源建立连接
• 电路级代理（circuit-level proxy）：工作在会话层，独立于应用程序，类似于包过滤，只检查首部数据；例如SOCKS
• 应用级代理（application-level proxy）：工作在应用层，为每个协议配备一个代理，理解整个数据包
  

7. 防火墙架构

• 双宿（dual-homed）或多宿（multi-homed）防火墙：有多个接口，分别面向外部网络或内部网络；为了安全底层操作系统应当关闭包转发和路由功能

9. 防火墙须知

• 伪装（masquerading）或欺骗（spoofing）：攻击者修改包的首部，使其源地址为想要攻击的那台内部主机的源地址
  
  • 任何进入网络且源地址为内部主机的数据包都应该被拒绝
  • 任何离开网络且源地址为外部主机的数据包都应该被拒绝，这种流量一般是僵尸机被控进行DDoS攻击的流量
• 片段攻击
  
  • IP片段：利用IP片内的片段和重组缺陷，导致系统不稳定或死机
  • 泪滴攻击：攻击者创建畸形片段，一旦被重组，导致系统不稳定或死机
  • 重复片段攻击：用来通过不重组数据包片段的防火墙，恶意片段重写以前批准的片段，对受害者系统进行攻击
• 应拒绝含有源路由信息的数据包，以确保内部路由策略生效

6.7.8 代理服务器

• 转发代理：在内部网络上控制离开网络的流量
• 反向代理：处理进入内部的流量，可以实现负载均衡、加密、加速、安全、缓存
  

6.10 广域网

6.10.2 专用链路

• 专用链路（dedicated link）也称为租用线路（leased line）或点到点（point-to-point）链路，这是为了在两个目标间进行WAN通信而预先建立的单条链路
• T载波：采用时分多路复用（Time-Division Multiplexing，TDM）
  
  • T1：1.544Mbps
  • T3：44.736Mbps
• E载波：与T载波类似，用于欧洲国家
• 光载波：采用波分多路复用（Wave-Division Multiplexing，WDM）
• 多路复用：在一条链路上传输多种类型的数据
  
  • 统计时分多路复用（Statistical Time-Division Multiplexing，STDM）
  • 频分多路复用（Frequency-Division Multiplexing，FDM）

6.10.3 WAN技术

1. 通道服务单元/数据服务单元（Channel Service Unit/Data Service Unit）

• DSU将来自LAN的数字信号转换为能在电话公司的数字线路上传输的信号
• CSU将网络直接连接到电话公司的线路

2. 交换

• 电路交换（circuit switching）
  
  • 面向连接的虚拟链路
  • 流量按可测的、恒定的方式流动
  • 固定的延迟
  • 通常运载面向语音的数据
  • 例：ISDN和电话呼叫
• 数据包交换（packet switching）
  
  • 数据包可沿许多不同的路径到达同一个目的地
  • 支持爆发式的数据流量
  • 可变的延迟
  • 通常运载面向数据的数据
  • 例：X.25和帧中继

3. 帧中继（frame relay）

• 面向连接的交换技术
• 数据终端设备（Data Terminal Equipment，DTE）：客户自己的设备，如公司自己的网络和帧中继网络之间联通性的路由器和交换机
• 数据电路终端设备（Data Circuit-terminating Equipment，DCE）：电信公司的设备，在帧中继云团中完成实际的数据交换和传输

4. 虚电路

• 帧中继和X.25通过虚电路转发数据帧
• 永久虚电路（Permanent Virtual Circuit，PVC）：像与客户事先约定可用带宽的专用线路那样工作
• 交换式虚电路（Switched Virtual Circuit，SVC）：需要与拨号和连接相似的步骤

6. ATM

• 面向连接的交换技术，在源和目标间建立专用链路一样的虚电路
• 信元交换技术，交换的数据为大小固定53字节的信元而非大小可变的数据包

11. 点对点协议

• 多协议数据包的封装
• 用链路控制协议（Link Control Protocol，LCP）建立、配置和维护这个连接
• 用网络控制协议（Network Control Protocol，NCP）配置网络层协议
• 通过PAP、CHAP、EAP向用户提供身份验证功能

6.11 远程连接

6.11.1 拨号连接

• 使用调制解调器将数字信号转换成模拟信号，通过电话线上网
• 56Kbps带宽
• 战争拨号（war dialing）：攻击者向拨号工具输入大量电话号码，通过拨号标记出电话、传真和调制解调器，并试图与调制解调器建立连接

6.11.2 综合业务数字网（Integrated Services Digital Network，ISDN）

• 使用与拨号连接相同的线路和传输介质，但以数字的形式工作，适用于拨号连接可用的任何场合
• 基本速率接口（Basic Rate Interface，BRI）：144Kbps带宽，常用于住宅区
  
  • 2个B通道用于传输数据
  • 1个D通道用于呼叫建立、网络管理、错误控制等
• 主速率接口（Primary Rate Interface，PRI）：1.544Mbps带宽，常用于企业
  
  • 23个B通道
  • 1个D通道

6.11.3 数字用户线路（Digital Subscriber Line，DSL）

• 使用现有的电话线路，但终端用护和电信公司都需要针对DSL进行升级
• 对称DSL（Symmetrical DSL，SDSL）：数据以相同的速率上行和下行，带宽在192Kbps-1.1Mbps
• 非对称DSL（Asymmetrical DSL，ADSL）：数据下行的速度比上行的速度更快，上行带宽在128Kbps~384Kbps之间，下行带宽最高768Kbps

6.11.5 虚拟专用网（Virtual Private Network，VPN）

• 公共网络或其他不安全环境中的安全专用链接，采用加密和隧道协议
• 点对点隧道协议（Point-to-Point Tunneling Protocol，PPTP）
  
  • 事实上的VPN软件
  • 使用通用路由封装（Generic Routing Encapsulation，GRE）和TCP来封装PPP数据包
• 第二层隧道协议（Layer 2 Tunneling Protocol，L2TP）
  
  • 用各种网络类型（IP、ATM、X.25）来传输PPP流量
• IPSec VPN
  
  • 工作在网络层
  • 身份验证首部（Authentication Header，AH）：提供数据完整性、数据源验证和免受重放攻击的保护
  • 封装安全有效载荷（Encapsulating Security Payload，ESP）：提供保密性、数据源验证和数据完整性
  • Internet安全连接和密钥管理协议（Internet Security Association and Key Management Protocol，ISAKMP）：提供安全连接创建和密钥交换的框架
  • Internet密钥交换（Internet Key Exchange，IKE）：提供验证的密钥材料以和ISAKMP一起使用
• SSL VPN
  
  • 工作在传输层和会话层
  • 主要用于保护HTTP流量

6.12 无线技术

6.12.1 无线通信

• 扩频（Spread Spectrum，SS）：以某种方式超出分配的频率给单独信号分配频率
• 跳频扩频（Frequency Hopping SS，FHSS）
  
  • 发送方和接收方在每个通道上工作一段时间，然后转移到另一个通道
  • 在任何时候都只是用一部分有效带宽，提供1-2Mbps吞吐量
• 直接序列扩频（Direct Sequence SS，DSSS）
  
  • 发送端直接用具有高码率的扩频码序列对信息比特流进行调制，接收端用与发送端相同的扩频码序列进行解调
  • 连续应用所有有效带宽，提供11Mbps吞吐量
  • 正交频分多路复用（Orthogonal Frequency-Division Multiplexing，OFDM）：不是一个扩频技术，但用法和扩频技术详细，应用于宽带数字通信类型中，如数字电视、DSL宽带Internet访问、音频广播、无线网络、4G移动通信

6.12.2 WLAN组件

• 访问点（Access Point ，AP）连接无线网和有线网
• 自组网WLAN（ad hoc WLAN）没有AP，无线设备通过它们的NIC彼此进行通信
• 服务集ID（Service Set ID，SSID）：加入特定WLAN需要配置SSID
• AP通过两种方式对无线设备进行身份验证
  
  • 开放系统身份验证（Open System Authentication，OSA）：所有传输以明文形式进行，一般仅通过SSID验证
  • 共享密钥身份验证（Shared Key Authentication，SKA）：基于有线等效加密（Wired Equivalent Privacy，WEP）协议

WLAN安全

• 802.11标准中的问题
  
  • 身份验证不完善
  • 静态WEP密钥能够被攻击者轻易截获
  • 初始化向量重复使用且不能提供必要的随机性
  • 缺乏数据完整性
• 802.11i：解决802.11所有安全性问题
  
  • 802.1X：解决第1点
  • 暂时密钥完整性协议（Temporal Key Integrity Protocol）：解决第2、3、4点
    

6.12.3 无线标准

• 802.11：1-2Mbps，2.4GHz，
• 802.11b：11Mbps，2.4GHz，使用DSSS，兼容802.11
• 802.11a：54Mbps，5GHz，使用OFDM，不兼容802.11b
• 802.11g：54Mbps，2.4GHz，兼容802.11b
• 802.11n：100Mbps，5Ghz，使用多输入多输出（Multiple Input，Multiple Output，MIMO），需要分别使用两根接收天线、两根发射天线以及一个20MHz的通道来实现并行广播
• 蓝牙：1-3Mbps，2.4GHz
  
  • 802.15的一部分，工作范围约10米
  • 蓝劫（Bluejacking）：攻击者向支持蓝牙的设备主动发送一条消息，例如商务名片，将其添加至受害人通讯录中

6.12.4 WLAN战争驾驶攻击

• 战争驾驶（war driving）攻击：一个人或几个人走路或开车，四处寻找AP并入侵

6.12.6 移动无线通信

• 频分多址（FDMA）：可用的频率范围被划分成子信道，每个信道被分配给每个用户，用户独占该信道；用于1G
• 时分多址（TDMA）：采用无线电频谱信道并把它们分成多个时隙，不同时间段多个用户可以共享同一信道
• 码分多址（CDMA）：分配唯一的一个代码到每个语音呼叫或数据传输，允许所有用户在网络上同时使用网络上的每一个信道