1.OSI模型
从底层到顶层:物理层【线缆】---》数据链路层【MAC地址】---》网络层【IP地址】---》传输层【TCP】---》会话层---》表示层---》应用层
(1)物理层:传输在线缆上的电子信号【HUB,头,线缆】
威胁:搭线窃听和监听
保护措施:加密,数据标签,流量填充
(2)网络层:寻址和路由(Router)
协议:IP,ICMP,IGMP,ARP(IP对应的MAC地址),RARP(MAC对应的IP地址)
a.国际协议:32bit,唯一性,标志主机(IP头:20bit,包括信息和控制字段)
威胁:IP欺骗攻击
b.INTERNET信息控制协议
威胁:TFN FLOOD,WINNUKE
保护措施:防火墙过滤,打系统补丁
(3)传输层:控制主机间传输的数据流(host)
协议:TCP,UDP
a.TCP包头标记:SYN,FIN,ACK
建立一个TCP连接的过程
终止一个TCP连接的过程
TCP威胁:SYN FLOOD
b. UDP:面向非连接的协议(不可靠连接) e.g:IP电话
端口号分类:知名端口<1024,非知名端口>=1024(<65535),常用端口 21(FTP), 22(SSA) ,23 (TRLNET),80(HTTP) ,139等
(4)应用层:最难保护的一层
SMTP,FTP,TRLNET,HTTP,SNMP
a.SMTP:简单邮件传输协议
威胁:邮件炸弹,病毒,匿名邮件,木马
保护措施:认证,附件病毒扫描,用户安全意识教育
b.FTP:文件传输协议
威胁:明文传输,黑客恶意传输非法使用
保护措施:只允许匿名登录,单独的服务器分区,禁止执行程序
c.TELNET:超文本传输协议
威胁:恶意程序(ACTIVE X控件,扩展应用(ASP,CGI))
d.HTTP:明文传输
e.SNMP:明文传输
认证:community name
威胁:信息泄露,community name可猜测性
f.域名解析系统
威胁:DNS欺骗/中毒,区域文件的被盗
保护措施:防火墙过滤所有的区域文件传输;仅仅允许受信任主机或特定主机的区域文件传输