协议安全 Protocol Security
一般来说,协议规范正式确定后,都不会轻易修改。因此相较于其它方向的安全研究者需要不断学习新技术,协议安全研究者更关注协议的底层实现原理和应用。当然,要研究协议安全,一般也离不开流量分析。
OSI不同协议的层级
- 传输层协议:TCP协议、UDP协议。
- 网络层协议:IP协议、ICMP协议、ARP协议、RARP协议、OSPF(有争议,以考研大纲为准)。
- 应用层协议:FTP、Telnet、SMTP、HTTP、BGP、RIP、NFS、DNS。
其它协议分类
- 路由协议(RIP/EIGRP/OSPF/ISIS/BGP)
- 交换协议(TRUNK/VTP/STP/HSRP)
- 工控协议(Modbus、S7等),因为比较特殊,相关信息记录到工控安全笔记中
PS: - BGP(Border Gateway Protocol,边界网关协议)和RIP(Routing Information Protocol,路由信息协议)是应用层协议,虽然它们是路由协议,用来影响网络层的,但它们工作在应用层。) - RIP基于UDP,OSPF基于IP,BGP基于TCP - OSPF用IP(RIP用到网络层),所以OSPF是传输层协议; 但也有不同说法,如在考研考纲中:OSPF协议是不使用UDP数据报传送,而是直接使用IP数据报传送,因此OSPF是被划分到属于网络层协议);
学习推荐
- CS考研中推荐的计算机网络教材。
- 科来网络在小破站发的视频公开课
学习笔记
DNS
DNS协议缺陷:在网络中明文传输 可以加密传输解决明文传输问题,但缺点是速度慢。
-
域名 Domain Name: 又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。
-
网域名称系统 DNS 即 Domain Name System:是因特网的一项核心服务,它作为可将域名和IP地址相互映射的一个分布式数据库,能使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。
-
域名服务主要是基于UDP实现,服务器的端口号为 53 。
Passive DNS
被动DNS是什么?
被动DNS是Florian Weimer在2004年提出并发明的一项技术,与DNS查询的方式相反,被动DNS属于反向获取或查询DNS数据信息。
被动DNS,将全球域名系统中可用的DNS数据信息(包括)重建到中央数据库中,以便研究人员对其进行检索和查询。这些数据信息是从生产网络中获取到的,不仅包含了当前的DNS数据,也包括了历史记录中的一些DNS数据映射。
被动DNS的应用场景有哪些?
发明被动DNS技术的初衷,是为了防止网络攻击,事实上,它的确在这方面起到了突出的作用。除此之外,它还被用在其他的应用场景中,例如:
- 检测网站钓鱼域名
- 阻断垃圾邮件干扰
- 识别恶意域名
- 提供威胁情报
- 检测域名劫持
- 品牌保护
- 域名DNS历史记录查询
- 查询主域名下的所有子域名
被动DNS如何工作?
被动DNS基于被动观察的DNS查询和响应。例如,一个互联网用户可能会查询到www.popeyes.com,这是美国一家颇受欢迎的炸鸡餐厅的网站。根据查询发生的位置,被动DNS传感器可以收集到该DNS查询的相关信息,并收集到主机名解析的IP地址,例如13.52.38.70。
将该信息添加到DNSDB后,DNSDB用户可以在DNSDB中搜索该名称,从而了解该名称解析为哪个IP地址;用户还可以查询IP地址并收集指向该IP的域名。
FTP
FTP是明文协议,可以用过Wireshark抓包来捕获登录用户名和密码。
-
如果配置的是匿名访问,在windows上访问其实不需要填写用户名和密码;
-
如果通过命令行工具登陆时要求填写,则用户填写anonymous,密码可以随便填或者不填。
ARP
ARP:Address Resolution Protocol,地址解析协议。是一个位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应的MAC地址。
ref: APR攻击
RARP
RARP:Reverse Address Resolution Protocol,反向地址转换协议。允许局域网的物理机器从网关服务器的 ARP 表或者缓存上请求其 IP 地址。