网络安全——网络安全基础、常用网络命令

网络安全基础

什么是网络分层？

张老板送王老板十箱啤酒 
​
张老板秘书收到指示，联系王老板秘书要来对方地址 
​
张老板秘书交代给张老板秘书的实习生，给这个地址发货 
​
张老板秘书的实习生联系王老板秘书的实习生要来收件人 联系方式 
​
张老板秘书的实习生找快递公司 
​
快递公司分10个大包发送
​
 汽车运？电动车运？ 

什么是网络分层？

每一层做好每一层的工作，不需要关心底层细节，下层为 上层服务，上层调用下层功能。某层变了不影响其他层的具体工作。便于各层标准化 

OSI七层模型

某进程要与另外一台主机上的另一进程发送数据，物理层，数据链路层，网络层，传输层，会话层，表示层和应用层。 

 

TCP/IP模型

OSI参考模型的过于庞大、复杂，TCP/IP协议栈由技术人员自己开发，获得了更为广泛的应用 
​

​
应用层： FTP、TELNET、HTTP           SNMP、TFTP、DNS 
​
传输层： 　　　TCP                        　　　     UDP 
​
网络互连层 IP （网络交换、路由）
​
主机到网络层 以太网、令牌环网、802.2、802.3 … 

常用网络服务——WWW

WEB服务也称为WWW(World Wide Web)服务，主要功能 是提供网上信息浏览服务 
​
 基于DNS、HTTP协议（超文本传输协议）
​
 DNS从域名到IP地址的解析 
​
 浏览器向服务器发送请求，服务器回复HTML代码文本 
​
底层使用TCP，由TCP封装，进而交由IP层处理 
​
明文传输，使用session记录用户状态 

WWW服务器

安装了软件并运行，监听端口（80、8080） 
​
1.Microsoft IIS 
​
2.IBM WebSphere 
​
3.BEA WebLogic 
​
4.Apache 
​
5.Tomcat 

其他网络服务

FTP服务 文件传输服务： 客户端，服务器 
​
电子邮件服务 ：POP3，STMP，IMAP 
​
Telnet服务 ： 允许用户通过网络登录进入远程主机系统
​
远程桌面：客户端以桌面方式连接服务器 

常用网络命令

常用网络命令

Ping 主要用于测试主机是否可达、连接情况 
​
Ping 可以跟IP地址或者域名 
​
例如：ping 211.64.2.17 或 ping www.baidu.com 
​
 -t 参数 连续对IP地址执行ping命令，直到被用户以Ctrl+C 中断 
​
 -l 参数 指定数据包大小，Ping 211.64.2.17 –l 3000 
​
 –n 参数 指定执行次数 ， Ping 211.64.2.17 –n 100 
​
 ipconfig可用于显示当前的TCP/IP配置的设置值，可以用来检验人工配置的TCP/IP设置是否正确。
​
如果计算机所在的局域网使用了动态主机配置协议（DHCP） ，则可以用来了解本机是否成功租用到一个IP地址，了解当前的IP地址、子网掩码 、默认网关
​
Netstat -a显示所有的连接信息列表，已建立的连接 （ESTABLISHED），监听连接请求（LISTENING）的连接
​
arp用于确定对应IP地址的网卡物理地址。用arp命令 ，能够查看本地计算机或另一台计算机的arp高速缓存中的当前内容。
​
arp-a或arp-g。用于查看高速缓存中的所有项目。-a和-g参数的结果是一样的。 
​
tracert 命令显示用于将数据包从计算机传递到目标位置的一组 IP 路由器，以及每个跃点所需的时间。如果数据包不能传递到目标，tracert 命令将显示成功转发数据包的最后一个路由器 

网络扫描

网络扫描用于探测网络上的主机状态，为了对主机进行攻击，或是为了发现漏洞进行网络安全评估。
​
Ping扫射和端口扫描，返回某个IP地址的主机是否在线，提供什么样的服务的信息。 
winscan、netsacn

 

利用TCP协议扫描

​
 1.SYN: 标志位用来建立连接， 
让连接双方同步序列号。如果 SYN＝1而ACK=0，则表示该数据包为连接请求，如果SYN=1而 ACK=1则表示接受连接。 
2.FIN: 表示发送端已经没有数据要求传输了，希望释放连接。3.RST: 用来复位一个连接。RST标志置位的数据包称为复位包。 一般情况下，如果TCP收到的一个分段明显不是属于该主机上的任何一个连接，则向远端发送一个复位包。 
​

​
全TCP连接扫描
​
扫描主机尝试与目的机指定端口建立正常的连接。连接成功返回0，否则返回-1
​
半TCP连接扫描或TCP SYN扫描 
​
扫描主机向目标主机端口发送SYN数据包。如果应答是RST，那么说明端口是关闭的如果应答中包含SYN和ACK，说明目标端口处于监听状态。传送一个RST给目标机停止建立连接
​
秘密扫描
​
不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而比SYN扫描隐蔽得多。使用FIN数据包来探听端口。当一个FIN数据包到达一个关闭的端口，数据包会被丢掉，并且回返回一个RST数据包。 否则， FIN数据包只是被简单的丢掉（不返回RST）

Ping扫描

判断一个主机是否开机
​
 IP地址扫描器通常采用Ping来实现。
​
Ping扫描主要是发送ICMP请求包给目标IP地址，有响应的表示主机在线

漏洞扫描

漏洞是指计算机系统软硬件包括操作系统和应用程序的固有缺陷或者配置错误，这些缺陷和错误很容易被黑客所利用对计算机系统进行攻击， Vulnerability 
​
     漏洞是事先未知、事后发现的安全隐患，一般能够被远程利 用，可以修补。 
​
主机漏洞扫描 
​
又称本地扫描，执行对自身的检查。分析各种系统文件内容 ，查找可能存在的对系统安全造成威胁的配置错误。
​
网络漏洞扫描
​
又称远程扫描，通过网络远程探测目标结点，检查安全漏洞。
漏洞扫描工具  Fluxay、shadow

网络监听

网络监听是一种监视网络所处状态、数据流向以及网络上信息传输行为
​
通过将网卡设为监听模式，就可以截获网络所传输的 信息。
​
审计系统利用网络监听技术获取流量。
​
网络监听工具 ：Wireshark、sniffer

网络监听防护

使用防火墙进行防护
​
对网络上传输的信息进行加密 
​
发现监听模式的网卡 
​