网络安全,先有网络,后有安全,所以要先学网络。
网络有OSI七层模型,这是一个理想的参考模型,话说现实生活里没有真正实现七层模型。但是作为一种网络框架,一种网络模型,要有一个清晰的概念。
下图左边为OSI七层参考模型。
理想是丰满的,现实却是骨感的!现实网络的实现却是基于TCP/IP五层模型,也就是图中的右半部分。
一般提到网络,指的是二三四层,即 数据链路层(Ethernet / HDLC / Frame Relay / ATM )、网络层(IP)、传输层(TCP/UDP),所以这些是你主要的学习对象。
学习网络的时候,没有刻意去学习安全,慢慢发现没有安全的网络是无法使用的,因为现实世界充满着以网络安全漏洞而非法获利的群体,心怀鬼胎的负能量群体你无法估量他们的底线,唯一能做的就是:把网络设计的更安全、更天衣无缝,苍蝇不叮无缝的蛋!
从最接地气的无线路由器说起,听说好多人被别人蹭网,因为没有类似经历,所以无法理解。无线加密套件现在有 WEP / TKIP / WPA / WPA2,是一个由低级向高级的演进,你可以以WEP 为起点去研究一下为什么它很容易破解,然后再去研究一下 WPA2 里的 802.1x 认证,高级加密协议 AES,标准哈希认证 SHA。
数据链路层最基础协议 ARP,只要有一个非法host 可以应答网段内所有ARP request,将会把流量引到自己的主机。为了克服这个ARP spoofing,有了 ARP Anti-Spoofing feature。
DHCP使用虚假的MAC地址可以耗尽DHCP Server 的地址池。为了克服这个DHCP spoofing,有了 DHCP snooping / option 82 feature。
DNS Server 可以使用被毒化的域名/IP地址 缓存来欺骗 DNS client,用户访问的并不是自己想要访问的主机或服务器。为了克服这个DNS Poison Cache,可以用DNScrypt ,访问更值得信任的DNS Server。
TCP sync 攻击,可以耗尽TCP server memory资源,为了克服这个问题,可以在前置一个Proxy,过滤虚假TCP连接
TCP reset 攻击, 可以冒充source IP,reset 一个TCP session。为了克服这个问题,可以使用TCP authentication。
ICMP fragment attack,用分片的ICMP攻击主机,让被攻击的主机reassemble 内存溢出而崩溃。为了克服这个问题,可以升级OS。
HTTP 网页劫持…为了克服这个问题,可以采用HTTPS。
学习网络的时候,随着深入,你会发觉大多数协议都有安全漏洞,然后你可以去思考,怎么可以有效地去弥补漏洞。
罗马不是一日建成的,精雕细琢才会把罗马建设得更漂亮!