网络安全高级应用 总结

发布 2021-04-22 17:21:28 阅读 6428

一、 tcp/ip高级技术。

ip数据包结构:首部(固定20b)和数据(可变,最大40b)

1. 标识---数据包id,标明数据包是否属于同一数据流。

标志---是否允许分片(3个比特位),第二位为0,表示允许分片;为1表示不允许分片;第三位为0,表示没有分片;为1表示还有分片。

分片偏移---表示重组的先后顺序。

协议(protocol):标识了上层所使用的协议。

以下是比较常用的协议号:

1 icmp

2 igmp

6 tcp17 udp

88 igrp

89 ospf

2. icmp头部总长度为8b

报文的类型: 类型8:回送请求;

类型0:回送应答; **1:主机不可达;

常见类型3:终点不可达**3:端口不可达。

类型4:源点抑制;

类型11:超时;

类型5:改变路由;

类型12:参数问题;

ip分片的原理:当数据的总长度大于mtu(最大传送单元,默认:以太网1500b,ppp链路296b)值时,会被分片,将每个分片加一个ip包头,封装成帧格式,传输过程可以被再分片,到达目的地后会根据offset值进行分片重装!

3. tcp协议内的几种控制位:urg:紧急指针有效位;

ack:确认序列号;

psh:要求接受方尽快将数据段送达应用层;

rst:重新建立tcp连接;

syn:请求连接;

fin:请求断开。

tcp的mss(maxmum segment size)最大报文段长度。

表示可以被重点接受的tcp报文段长度!一般地:mss=mtu-20-20

4. 滑动窗口的原理:跟对方先协商一下,一次最多能处理多少个数据包;控制发送端根据接受端的能力来发送数据。如果之前没有协商,发送的数据包过多,会被丢弃,浪费带宽。

5. 滑动窗口的好处:使传输更加有效,同时也控制数据的流动,使得接受端不。

致因数据量过大而瘫痪。

6. tcp的计时器的类型:1、重传计时器:主要用于重传丢失的报文段;

2、持久计时器。

3、保活计时器(和持久计时器一样,当pc突然断电时,一般都会使用这两种计时器)

4、时间等待计时器:在tcp连接终止期间使用的。

udp协议:udp是一个无连接的、不保证可靠性的四层协议,首部结构简单,传输中只花费最小开销。

7.死亡之ping的工作原理:发送一个数据包(大于节),pc机一下处理。

不过来,就会放到缓冲区,当缓冲区满时,会导致缓。

冲区溢出,最后导致系统宕机。

8.泪滴攻击的原理:修改分片的偏移量,使分片重叠,导致系统重组不成功,直至cpu资源耗尽。

flood泛洪的原理:根据tcp三次握手的原理来进行攻击;攻击者伪造虚假的源ip向目标主机发送syn请求,而目标主机回复syn请求后,得不到确认,产生大量半连接,造成正常用户无法访问。

二、cisco防火墙。

1.防火墙的分类:1、硬件防火墙;2、软件防火墙;3、芯片级防火墙。

2.硬件防火墙和软件防火墙的区别:1、硬件防火墙功能强大,且明确是为抵制威胁而设计的;2、硬件防火墙的漏洞少。

防火墙的型号及区别:asa5505、asa5510、asa5520、asa5540、asa5550、asa5580。

区别:asa5505是二层接口,需要进入vlan配置,其他的都是三层接口。

支持三种主要的远程管理接入方式:telnet、ssh、asdm。

的作用:高安全级别访问低安全级别都需要进行nat转换,否则丢弃。

7. 从低级别访问高级别须配置静态nat,因为静态nat是双向的!

三、ipsec vpn(一)

的定义:虚拟专用网。

可以“保护”网络实体之间的通信:1、使用加密技术防止数据被窃听;

2、数据完整性验证防止数据被破坏、篡改。

3、通过认证机制实现通信方身份确认,来防止通信数据被截获和回放。

的模式:1、传输模式;2、隧道模式。

vpn的类型:1、站点到站点的vpn;2、远程访问vpn

的加密算法:1、对称加密(密钥可能被窃听,速度快);2、非对称加(计。

算复杂,效率低,传输速度慢,安全)

5.对称加密的算法:1、des(56位密钥des(3个56位密钥)3、aes(支持位密钥,最安全的一种)

6.非对称加密的算法:1、rsa算法2、dsa(数字签名算法)3、dh算法(支持组1 768,组2 1024,组3 1536)

7.对称加密的原理:有一个共享密钥,使用同一个共享密钥进行加密,进行解密。

8.非对称加密的原理:pc1会发送自己的公钥给pc2,然后pc2会用pc1发来的公钥进行数据加密,然后发送过去,pc1会用自己的私钥解密。

9.数据报文验证:1、身份验证;2、报文完整性验证。

10.数据报文验证的算法:1、md5;2、sha

阶段1的建立过程:1、协商采用何种方式建立管理连接;

2、通过dh算法共享密钥信息;

3、对等体彼此进行身份验证。

12:ipsec:阶段2的建立过程:1、定义对等体间需要保护何种流量;

2、定义用来保护数据的安全协议;

3、定义传输模式(默认是隧道模式);

4、定义生存周期。

13:在主模式中,这三个任务是通过六个数据报文完成的:1、前两个数据包用于协商对等体间的管理连接使用何种安全策略(交换isakmp/ike传输集);

2、中间的两个数据包通过dh算法产生并交换加密算法和hmac功能所需的密钥;

3、最后两个数据包使用预共享密钥等方式执行对等体间的身份验证。

注意:前四个报文为明文传输,从第五个数据报文开始为密文传输,而前四个数据包通过各种算法最终产生的密钥用于第5、第6个数据包以及后续数据的加密。

14:esp和ah的区别:esp只对数据进行身份验证,ah对整个数据包进行验证,ah不支持加密功能,而esp支持加密功能。

四、ipsec vpn(二)

1:nat豁免的作用:vpn的流量不需要做nat转换。

2.路由器与asa防火墙的区别:1、默认配置区别;

2、路由器默认是开始ipsec的,而asa防火墙默认是关闭的;

3、配置预共享密钥不同;

4、asa默认是不允许从同一个接口进入再流出,流量无法通过具有相同级别的两个流量进入或流出。

协议不能与nat设备一同工作,ah也不能和pat一起工作(ah对整个数据包进行验证)

esp协议不能与pat设备一同工作,esp对ip数据进行验证。

4:为了解决esp与pat一同工作,需要配置nat-t 改变端口号(4500---数据连接,500---管理连接)

5.管理连接所处的状态:mm_no_state---isakmp sa建立的初始状态;

mm_sa_setup---对等体之间isakmp策略协商成功后处于该状态;

mm_key_exch---对等体通过dh算法成功建立共享密钥,此时还没有进行设备验证;

mm_key_auth---对等体成功进行设备验证,之后会过渡到qm_idie状态;

qm_idie管理连接成功建立,即将过渡到阶段2的数据连接建立过程。

6.故障排查:1:完全没有debug信息:1、路由器未配置或配置错误;

2、防火墙的crypto map配置错误;

3、防火墙的crypto map未应用在接口;

4、acl未配置;

5、transform-set 配置不匹配;

6、peer +ip地址配置不正确。

2:管理连接建立不成功:1、防火墙的ike协议未启用;

2、预共享密钥双方不匹配;

网络安全高级应用

第一章tcp ip高级技术。数据报首部格式中 首部长度 最短为20字节。2.与分片有关的字段有三个 标识 标志 分片偏移。3.标志字段中,第2位是0,表示允许分片 1表示不允许分片。标志字段中,第3位是0,表示这是最后一个分片,1表示还有后续分片。报文分两类 差错报文和查询报文。5.icmp查询报文...

ASA网络安全高级应用

gns3 模拟asa防火墙配置 详细教程 设计目标 信息安全,使用asa防火墙,网络拓扑如下图。要求内部局域网用户共享nat上网,dns使用isp的dns服务器,web服务器放在dmz区域。拓扑图如下 区域web服务器上安装windows2003系统 虚拟网卡为vnet1 启用iis6.0搭建。区域...

高级网络安全作业

高级安全网络课程设计。题目 校园网络安全规划设计 院 系软件学院。专业年级 软件工程 2010级。姓名刘佳。学号101530446 目录。第一章概述 2 1.1 高校校园网络安全建设意义 2 第二章高校校园网络特点分析 2 第三章网络安全解决方案 3 3.1 高校校园网络安全建设原则 3 3.2部署...