2011年8月1日 星期一

《駭客入侵秘辛與防禦過程全攻略》筆記

Ch1 OSI模型和TCP/IP模型

一.OSI模型

1.實體層:規定了啟動、維持、關閉通訊端點之間的機械特性、電器特性、功能特型以及過程特性。該層為上層協定提供了一個傳輸資料的實體媒介。其資料的單位為bit

2.資料鏈結層:再不可靠的實體介質上提供可靠的傳輸。該層的作用包括實體位址定址、流量控制、資料的校驗、重發等。其資料的單位稱為訊框(frame)

3.網路層:負責對子網間的封包進行路由選擇。網路層還可以實現壅塞控制、網際互連等功能。其資料的單位稱為封包(packet)

4.傳輸層:是第1個點對點,主機到主機的層次。傳輸層負責將上層資料分段並提供端對端、可靠的或不可靠的傳輸。此外,傳輸層還要處理端對端的差錯控制和流量控制問題。其資料的單位稱為資料段(segment)

5.會談層:管理主機之間的session行程,即負責建立、管理、終止行程之間的session。會談層還利用在資料中插入校驗點來實現資料的同步

6.表現層:對上層資料或資訊進行變換,以保證一個主機應用層資訊可以被另一個主機的應用程式理解。表現層的資料轉換包括資料的加密、壓縮、格式轉換等

7.應用層:為作業系統或網路應用程式提供存取網路服務的介面


二.TCP/IP模型

1.網路介面層:負責接收IP封包並透過網路發送之,以及從網路上接收實體訊框,抽出IP封包,交給網路互連層
其通訊協定包括:Ethernet、Token Ring、FDDI、X.25、Frame Relay、RS-232、v.35

2.網路互連層:負責相鄰電腦之間的通訊。其功能包括三個方面:
(1)處理來自傳輸層的分組發送請求,收到請求後,將分組裝入IP封包,填充表頭,選擇前往目標主機的路徑,然後將封包發往適當地網路介面
(2)處理輸入封包。首先檢查其合法性,然後進行尋徑,假如該封包已到達目標主機,則去掉表頭,將剩下部份交給適當的傳輸協定;假如該封包尚未到達目標主機,則轉發該封包
(3)處理路徑、流量控制和壅塞問題
其通訊協定包括:IP、ICMP、ARP、RARP

3.傳輸層;提供應用程式間的通訊。其功能包括格式化資訊流和提供可靠傳輸。為實現後者,傳輸層協定規定接收端必須發回確認資訊,並且假如分組遺失,則必須重新發送
其通訊協定包括:TCP、UDP、RTP

4.應用層:向使用者提供一組常用的應用程式,例如電子郵件、檔案傳輸、遠端登入等
其通訊協定包括:HTTP、Telnet、FTP、TFTP、SNMP、DNS、SMTP、X Windows 及其他應用程式通訊協定


三.OSI模型與TCP/IP模型的對應關係

1.網路介面層->實體層、資料鏈結層

2.網路層->網路互連層

3.傳輸層->傳輸層

4.應用層->會談層、表現層、應用層


四.網路硬體

1.中繼器:工作在OSI的實體層,接收並識別網路信號,然後再產生信號,並將信號發送到其他網路分支上。集線器就是有多個埠的中繼器

2.橋接器:工作在OSI的資料鏈結層。具有中繼器的功能和特性,不但能連接多種介質,還可以連接不同的實體分支,實現大範圍內的封包傳遞。Switch就是橋接器

3.路由器:工作在OSI的網路層,它能夠在多個網路上交換和路由封包,並且在相對獨立的網路中交換具體協定的資訊。路由器可以存取封包中更多的資訊,提高封包的傳輸效率

4.橋由器;由橋接器與路由器合併

5.閘道:為適應目標環境要求,閘鬥將會重新包裝資訊


五.TCP和UDP

1.TCP(Transmiision Control Protocol,傳輸控制協定)是基於連接的協定,也就是說,在正式收發資料前,必須和對方建立可靠的連接。一個TCP連接必須經過3次的「交握」才能建立起來,此後才可以發送資料。基於TCP的服務如:HTTP、FTP、Telent、SMTP、POP3等

2.UDP(User Data Protocol,使用者封包通訊協定)是與TCP相對應的規則。它是針對不需連線的協定,不與對方建立連接,而是直接就把封包發送出去。基於UDP的服務如:DNS、TFTP、SNMP等


六.埠

1.公認埠(Well Known Ports):範圍從0~1023,它們綁定於一些服務。通常這些埠的監聽狀態明確表明了某種服務的協定

2.動態埠(Dynamic Ports):範圍從1024~65535。它一般不固定分配某種服務,而是動態分配。動態分配是指當一個系統行程或應用程式行程需要網路通訊時,它向主機申請一個埠,主機可以從可用的埠號中分配一個以供它使用。當這個行程關閉時,同時也就釋放了所佔用的埠號

3.常見的TCP埠以及對應的服務
21:FTP
23:Telnet
25:SMTP
80:HTTP
110:POP3
135:Location Service
137~139:NETBIOS Name Service
161:SNMP
3389:遠端桌面



Ch2 Windows系統安全攻防

一.拒絕服務剖析及防禦

1.拒絕服務攻擊(Denial of Service,DOS)利用協定或系統的缺陷,採取欺騙或偽裝的策略進行網路攻擊,使得系統因資源耗盡或無法做出正確回應而癱瘓

2.Smurf攻擊向一個子網的傳播位址發一個帶有特定請求的封包,並將源位址偽裝成想要攻擊的主機位址。子網路所有的主機都回應廣播封包的請求,而發送封包給攻擊主機

3.SYN flood攻擊偽造多個隨機的來源主機位址,向目的主機發送SYN封包,而在收到目的主機的SYN ACK後並不回應,這樣,目的主機就會為這些來源主機建立了大量的連接佇列,而且由於沒有收到ACK,就會一直保留這些佇列。也就是說,攻擊者在目標主機進行TCP三次交握的時候故意不完成第三次的交握

4.UDP flood攻擊就是攻擊者隨機地向受害系統的埠發送UDP封包,當受害系統接收到一個UDP封包的時候,它會確定目的埠正在等待中的應用程式。當它發現該埠中並不存在正在等待的應用程式,就會產生一個目的位址無法連接的ICMP封包發送給偽造的源位址。如果向受害者電腦埠發送了足夠多的UDP封包的時候,整個系統就會癱瘓


二.區域網路IP衝突器

1.當主機A啟動的時候會發送ARP查詢訊息(請求閘道的MAC位址),此訊息以廣播的方式傳送,導致區域網路裡所有處於開機狀態的主機都會收到。根據ARP協定,每個主機收到ARP請求訊息的時候,會更新自己的ARP CACHE,但是在更新之前會檢查源主機的IP。當發現訊息廣播的IP位址與自己相同,但是對應的MAC位址和本機不同,那麼就會出現「IP衝突」。換句話說就是同一個IP對應了多個MAC位址,從而出現了「Windows系統錯誤」



Ch3 命令列知識

一.Windows內建指令

1.ping:檢查網路是否通暢或者是網路連線速度的指令。其原理為:網路上的機器都有唯一確定的IP位址,給目標一個ICMP封包,對方就要傳回一個同樣大小的ICMP封包,根據傳回的封包就可以確定目標主機的存在。格式為「ping IP位址」

2.ipconfig:用於顯示TCP/IP的設定資訊,如電腦的IP位址、子網路遮罩和預設閘道。執行「ipconfig /all」可以看到更詳細的資訊,如DHCP伺服器位址、DNS伺服器位址、網卡MAC位址等

3.tracert:用於確定封包所採取的路徑。其原理為:路徑上的每個路由器在轉發封包之前將封包上的TTL值減1,當封包上的TTL減為0時,路由器就會將ICMP已超時的訊息發回來源IP。tracert透過向目標發送不同TTL值的ICMP回應封包,來確定到目標所採取的路由

4.netstat:用於顯示網路連接、路由表和網路介面資訊,可以讓使用者得知目前有哪些網路連接正在運作

5.nslookup:用於到DNS伺服器查詢某功能變數名稱對應的IP位址

6.ARP:可得到ARP協定的相關資訊

9.tasklist:用於顯示執行在本機或遠端電腦上的所有行程,帶有多個執行參數

10.taskkill:可結束指定的行程

11.ntsd:系統內建的行程除錯工具

12.systeminfo:顯示本機的詳細資訊

沒有留言:

張貼留言