协议安全 Protocol Security

一般来说，协议规范正式确定后，都不会轻易修改。因此相较于其它方向的安全研究者需要不断学习新技术，协议安全研究者更关注协议的底层实现原理和应用。当然，要研究协议安全，一般也离不开流量分析。

OSI不同协议的层级

• 传输层协议：TCP协议、UDP协议。
• 网络层协议：IP协议、ICMP协议、ARP协议、RARP协议、OSPF（有争议，以考研大纲为准）。
• 应用层协议：FTP、Telnet、SMTP、HTTP、BGP、RIP、NFS、DNS。

其它协议分类

• 路由协议(RIP/EIGRP/OSPF/ISIS/BGP)
• 交换协议(TRUNK/VTP/STP/HSRP)
• 工控协议（Modbus、S7等），因为比较特殊，相关信息记录到工控安全笔记中

PS： - BGP（Border Gateway Protocol，边界网关协议）和RIP（Routing Information Protocol，路由信息协议）是应用层协议，虽然它们是路由协议，用来影响网络层的，但它们工作在应用层。） - RIP基于UDP，OSPF基于IP，BGP基于TCP - OSPF用IP（RIP用到网络层），所以OSPF是传输层协议； 但也有不同说法，如在考研考纲中：OSPF协议是不使用UDP数据报传送，而是直接使用IP数据报传送，因此OSPF是被划分到属于网络层协议）；

学习推荐

• CS考研中推荐的计算机网络教材。
• 科来网络在小破站发的视频公开课

学习笔记

DNS

DNS协议缺陷：在网络中明文传输 可以加密传输解决明文传输问题，但缺点是速度慢。

DNS流量分析

• 域名 Domain Name: 又称网域，是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称，用于在数据传输时对计算机的定位标识（有时也指地理位置）。

• 网域名称系统 DNS 即 Domain Name System：是因特网的一项核心服务，它作为可将域名和IP地址相互映射的一个分布式数据库，能使人更方便地访问互联网，而不用去记住能够被机器直接读取的IP地址数串。

• 域名服务主要是基于UDP实现，服务器的端口号为 53 。

Passive DNS

被动DNS是什么？

被动DNS是Florian Weimer在2004年提出并发明的一项技术，与DNS查询的方式相反，被动DNS属于反向获取或查询DNS数据信息。

被动DNS，将全球域名系统中可用的DNS数据信息（包括）重建到中央数据库中，以便研究人员对其进行检索和查询。这些数据信息是从生产网络中获取到的，不仅包含了当前的DNS数据，也包括了历史记录中的一些DNS数据映射。

被动DNS的应用场景有哪些？

发明被动DNS技术的初衷，是为了防止网络攻击，事实上，它的确在这方面起到了突出的作用。除此之外，它还被用在其他的应用场景中，例如：

• 检测网站钓鱼域名
• 阻断垃圾邮件干扰
• 识别恶意域名
• 提供威胁情报
• 检测域名劫持
• 品牌保护
• 域名DNS历史记录查询
• 查询主域名下的所有子域名

被动DNS如何工作？

被动DNS基于被动观察的DNS查询和响应。例如，一个互联网用户可能会查询到www.popeyes.com，这是美国一家颇受欢迎的炸鸡餐厅的网站。根据查询发生的位置，被动DNS传感器可以收集到该DNS查询的相关信息，并收集到主机名解析的IP地址，例如13.52.38.70。

将该信息添加到DNSDB后，DNSDB用户可以在DNSDB中搜索该名称，从而了解该名称解析为哪个IP地址；用户还可以查询IP地址并收集指向该IP的域名。

• ref1
• ref2 passivedns 安装指南

FTP

FTP是明文协议，可以用过Wireshark抓包来捕获登录用户名和密码。

• 如果配置的是匿名访问，在windows上访问其实不需要填写用户名和密码；

• 如果通过命令行工具登陆时要求填写，则用户填写anonymous，密码可以随便填或者不填。

ARP

ARP：Address Resolution Protocol，地址解析协议。是一个位于TCP/IP协议栈中的网络层，负责将某个IP地址解析成对应的MAC地址。

ref: APR攻击

RARP

RARP：Reverse Address Resolution Protocol，反向地址转换协议。允许局域网的物理机器从网关服务器的 ARP 表或者缓存上请求其 IP 地址。