事件应急响应专家(五)
under the hood
“Under the hood” 的字面意思是“在引擎盖下”,但在英语中,这个短语通常被用作一种比喻,表示查看事物的内部工作原理或了解其隐藏的细节。
根据上下文,”under the hood” 可以翻译为:
- 幕后:用于描述表面之下的工作机制或过程。
- 内部运作:指系统或机器内部的工作原理。
- 背后的细节:指某件事或某个系统的内部细节或技术细节。
例如,在技术或编程的上下文中,”Let’s look under the hood of this software” 可以翻译为“让我们看看这个软件的内部运作”。
encapsulation
“Encapsulation of layers” 可以翻译为 “层的封装” 或 “分层封装”。
这个短语通常用于计算机科学或软件工程领域,指的是将系统或软件的不同功能层次封装起来,使每一层具有独立性和模块化,彼此之间的交互仅通过定义良好的接口进行,从而实现信息隐藏和数据保护的目的。
de-encapsulation
在网络传输中, 目的主机收到数据包,将会解开封装的数据包。
TCP
TCP(Transmission Control Protocol,传输控制协议)是互联网协议套件中的一种核心协议,用于在计算机网络中提供可靠的、有序的、数据包错误检测的传输服务。TCP确保数据在源和目的地之间的传输是可靠的,并且数据包按照发送顺序到达,不会丢失或损坏。
TCP的主要特点:
可靠传输:TCP通过序列号和确认机制(ACK)来保证数据包的可靠传输。如果数据包在传输过程中丢失或损坏,TCP会重新发送这些数据包。
有序传输:TCP确保数据包按照发送的顺序被接收。即使网络中的数据包是乱序到达的,TCP会重新排列这些数据包,使它们以正确的顺序提供给应用程序。
流量控制:TCP通过滑动窗口机制控制数据流量,防止发送端发送的数据超过接收端的处理能力,从而避免网络拥塞。
拥塞控制:TCP使用算法来检测网络拥塞的情况,并通过调整发送速度来减少拥塞的影响。
全双工通信:TCP支持全双工通信,这意味着数据可以在同一连接上同时进行双向传输。
TCP通常用于需要高可靠性和数据完整性的应用程序,例如网页浏览(HTTP/HTTPS)、电子邮件(SMTP/IMAP)、文件传输(FTP)等。相比之下,UDP(用户数据报协议)则用于那些不需要严格可靠性的应用,例如实时视频、音频流和在线游戏。
fixed size
一些层的头部是固定大小fixed size,而一些是可变的大小。
“Fixed size” 的意思是 固定大小。
在计算机科学和工程领域中,“fixed size” 指的是一个对象、数据结构、缓冲区等具有不变的、预先设定的大小。无论如何操作或使用,这个大小都不会改变。
使用“Fixed size”的常见场景:
数组:在许多编程语言中,数组可以是固定大小的,这意味着一旦数组的大小被定义,它的容量就不能再改变。
缓冲区:在网络通信或文件处理等场景中,缓冲区常常被设置为固定大小,以确保数据以恒定的块进行处理。
内存分配:某些数据结构或对象在内存中有固定的大小分配,不会根据其内容或使用情况而变化。
固定长度字符串:一些编程环境中,字符串可以被定义为固定大小,例如用于数据库中CHAR类型的字段,它们有一个固定的长度,无论实际存储的数据长度如何。
在所有这些场景中,“fixed size” 都意味着对象或结构的尺寸是事先定义好的,并且不会根据应用或数据的变化而改变。
Ethernet 802.3
Ethernet 802.3 是一种常见的有线局域网(LAN)技术标准,由电气和电子工程师协会(IEEE)制定和维护。Ethernet 802.3 定义了局域网中数据如何在物理和数据链路层上进行传输的技术规范。该协议是以太网(Ethernet)标准的基础,广泛应用于计算机网络,特别是在家庭、办公室和企业环境中。
Ethernet 802.3 网络协议的主要特点:
物理层和数据链路层:IEEE 802.3 标准规定了数据在物理介质上传输的方式(物理层)以及如何在相邻节点之间进行帧的传输(数据链路层)。这包括使用什么样的电缆(例如双绞线、光纤)、连接器类型、以及信号编码方法等。
数据帧结构:802.3 定义了以太网帧的结构,包括前导码、起始帧定界符、目标地址、源地址、以太类型/长度字段、数据负载、填充字段(如果需要),以及帧校验序列(FCS)等。帧是以太网传输数据的基本单位。
介质访问控制(MAC):Ethernet 802.3 使用CSMA/CD(载波侦听多路访问/碰撞检测)作为其访问控制方法。这种方法允许多个设备共享同一物理介质,并处理数据传输中的冲突(碰撞)。现代以太网通过使用交换机(Switch)来避免大多数冲突,因为交换机允许全双工通信。
速度和物理介质:最初的Ethernet 802.3网络速率为10 Mbps(10BASE-T),但随着技术的发展,扩展到了100 Mbps(Fast Ethernet,100BASE-TX),1 Gbps(Gigabit Ethernet,1000BASE-T),10 Gbps(10 Gigabit Ethernet),以及更高的速率如40 Gbps和100 Gbps。不同速度的以太网使用不同类型的电缆和光纤。
全双工和半双工:以太网支持全双工和半双工通信模式。全双工模式允许同时发送和接收数据,消除了传统CSMA/CD方法中的碰撞检测需求,因此可以提高网络性能。半双工模式则限制通信双方不能同时发送和接收数据。
拓扑结构:以太网网络通常采用星型拓扑结构(使用交换机或集线器作为中心节点),也可以采用总线型拓扑(特别是在早期使用同轴电缆的网络中)。
以太网(Ethernet 802.3)的应用
Ethernet 802.3 是现今最流行的有线局域网标准,广泛用于家庭网络、企业网络和数据中心。由于其简单性、易用性、稳定性和高带宽传输能力,它成为了许多网络应用的首选技术。
随着技术的不断发展,Ethernet 802.3 标准也在不断更新和扩展,以支持更高的带宽需求和更多的功能,如虚拟局域网(VLAN)、以太网供电(PoE)等。
NAC
Network Access Card (NAC),通常被称为网卡(NIC, Network Interface Card),是一种硬件设备,允许计算机或其他设备连接到计算机网络。它的主要功能是为设备提供物理连接,使其能够通过有线或无线方式与其他网络设备通信。
网卡(NIC)的主要功能:
物理连接:NIC提供了设备与网络的物理接口。对于有线网络,这通常是一个以太网端口(例如RJ-45插口);对于无线网络,这是无线射频模块,支持Wi-Fi连接。
数据传输:NIC负责在计算机的主板和网络之间传输数据。它将计算机生成的数据转换成网络可以理解的信号形式,然后发送出去。接收到的数据也会通过NIC转换为计算机可以处理的形式。
介质访问控制(MAC):NIC包含一个唯一的硬件地址,称为MAC地址(媒体访问控制地址),用于在网络中唯一标识该设备。这对于网络通信至关重要,因为它帮助路由器和交换机识别和管理网络流量。
协议支持:NIC支持多种网络协议(如Ethernet、Wi-Fi),这些协议定义了如何在网络上发送和接收数据。NIC的驱动程序通常会处理这些协议的具体实现,以确保网络通信的兼容性和有效性。
速度和带宽管理:不同类型的NIC支持不同的网络速度(如10 Mbps、100 Mbps、1 Gbps、10 Gbps等)。现代的NIC可以自动检测连接速度并调整其传输速率,以最大限度地提高网络性能。
网络接口卡的类型:
有线网络接口卡:这些卡通常用于通过以太网电缆连接到网络。它们被广泛用于台式电脑、服务器和一些笔记本电脑中。
无线网络接口卡:这些卡使用Wi-Fi技术,通过无线信号连接到网络。它们通常用于笔记本电脑、平板电脑和其他移动设备,有时也可以安装在台式电脑中。
光纤网络接口卡:用于需要高速数据传输的环境,例如数据中心和高性能计算机网络。它们通过光纤电缆连接,并支持更高的带宽和更远的传输距离。
常见的应用场景:
个人计算机和服务器:无论是个人电脑还是企业服务器,NIC都是必不可少的组件,允许这些设备连接到局域网(LAN)或广域网(WAN)。
网络设备和路由器:NIC在路由器、交换机和其他网络设备中也起到关键作用,帮助这些设备管理和传输网络流量。
工业和嵌入式系统:NIC也可以用于一些特殊的应用,例如工业控制系统或嵌入式设备,以便这些设备能够连接到网络进行数据交换或远程管理。
总结来说,网络接口卡(NIC) 是计算机网络连接中不可或缺的硬件,支持各种类型的网络连接方式和数据传输速率。
wireshark
在wireshark网络分析工具中,较低的层将会最先展示。
例如,从上到下,依次是network access layer, internet layer, transport layer, application layer。
network access layer
在network access layer中,wireshark会显示源和目的机器的MAC地址。
internet layer
在internet layer中,wireshark会显示IP
transport layer
在transport layer中,会显示源和目的端口
application layer
在这个应用层,有不同的协议,例如DNS协议,是专门处理域名和IP映射关系的协议。
DNS协议会显示DNS的响应,查询的结果之类的数据。
RFC
RFC(Request for Comments,即“征求意见稿”)是互联网工程任务组(IETF, Internet Engineering Task Force)和互联网协会(ISOC, Internet Society)用于记录网络协议、程序、过程及其概念的系列文件。这些文件详细描述了互联网协议和其他网络相关的规范、技术和最佳实践。
RFC的主要特点和作用:
标准化过程:RFC文件是互联网标准化过程中的一个重要部分。新提出的互联网技术和协议通常会先发布为RFC文档,供互联网社区和专家评审。根据反馈,这些文档可能会多次修订,直到它们被接受为互联网标准。
内容丰富:RFC不仅仅包含网络协议的技术规范,还可能涉及网络服务的最佳实践、安全建议、协议扩展等。比如,RFC 791定义了IPv4协议,RFC 2616定义了HTTP/1.1协议。
编号系统:每个RFC都有一个唯一的编号。例如,RFC 1122是关于互联网主机的通信层要求的文档。编号按顺序分配,一旦RFC被发布,其编号和内容都不会改变。
公开可访问:RFC文档是公开的,可以免费获取。IETF维护着一个RFC文档库,供公众查阅和下载。
多种状态:RFC文件可以有不同的状态,比如“建议标准”(Proposed Standard)、“草案标准”(Draft Standard)、“互联网标准”(Internet Standard)、“实验性”(Experimental)、“信息性”(Informational)等。不同的状态反映了该文档在标准化过程中的阶段。
发展和弃用:随着技术的发展,有些RFC可能会被新的RFC取代或弃用。IETF会定期发布新的RFC来更新过时的规范和协议。
RFC的用途:
定义和描述互联网协议:许多互联网协议都是通过RFC文档首次定义的,如TCP(RFC 793)、IP(RFC 791)、SMTP(RFC 5321)、HTTP(RFC 2616)等。
规范最佳实践:RFC文档也用于记录和建议某些网络操作的最佳实践,帮助网络管理员和开发者构建更可靠和安全的网络服务。
记录技术讨论:RFC可以作为对某一技术领域的讨论记录,包括不同的设计方案、技术挑战和解决方法等。
总结来说,RFC 是记录和传播互联网技术规范和最佳实践的主要文档形式,极大地促进了互联网的标准化和互操作性。
IEEE 802.x Layer
802.3 ethernet
802.11 wireless 无线网
802.15.1 bluetooth 蓝牙
IEEE 802.x Layer 攻击
IEEE 802.x Layer 攻击 通常是指针对位于网络协议栈的链路层(即数据链路层,Layer 2)的网络攻击。这一层是根据IEEE 802标准系列(如802.3以太网、802.11无线局域网等)定义的。这些攻击利用数据链路层协议的特点和漏洞,破坏网络安全、窃取数据、扰乱网络通信等。以下是一些常见的IEEE 802.x层攻击类型:
1. MAC地址欺骗(MAC Spoofing)
- 描述: 攻击者伪造合法用户的MAC地址,在网络中冒充该用户进行通信。这可以用来绕过基于MAC地址的访问控制,也可以用来拦截数据流量。
- 影响: 网络访问控制被绕过,可能导致未授权的网络访问,敏感数据泄露。
2. ARP欺骗(ARP Spoofing)
- 描述: 这是通过伪造ARP(地址解析协议)消息,使得网络中的设备将攻击者的MAC地址误认为是另一个合法设备的MAC地址。这样,攻击者可以拦截、修改或阻断通信。
- 影响: 中间人攻击(MITM)、数据泄露、网络瘫痪。
3. VLAN跳跃(VLAN Hopping)
- 描述: 攻击者利用不安全的VLAN(虚拟局域网)配置,发送特制的数据帧,以便从一个VLAN跳跃到另一个VLAN。这可以绕过网络分段和安全措施。
- 影响: 攻击者可以访问不属于他们的VLAN中的敏感数据或资源。
4. 双重标记攻击(Double Tagging Attack)
- 描述: 攻击者利用两个802.1Q标签来试图逃避VLAN的隔离。例如,攻击者可以发送带有两个VLAN标签的数据帧,第一个标签会被网络交换机移除,而第二个标签可以用来进入另一个VLAN。
- 影响: 攻击者能够在VLAN之间传输数据,可能导致未经授权的网络访问。
5. 无线网络攻击(如802.11攻击)
- 描述: 这类攻击专门针对无线局域网(WLAN)标准(如802.11),常见的攻击包括:
- 拒绝服务攻击(DoS):通过干扰无线信号或发送大量的恶意数据包使无线网络无法正常工作。
- WEP/WPA破解:利用弱加密或已知漏洞破解无线网络的加密密钥。
- 恶意AP(Rogue AP):攻击者设置一个伪造的接入点(AP),诱导用户连接,以便窃取用户数据或进行中间人攻击。
- 影响: 无线网络的安全性受到破坏,可能导致数据泄露和未经授权的网络访问。
6. STP攻击(Spanning Tree Protocol Attack)
- 描述: STP用于防止网络中出现环路。攻击者可以向网络中发送伪造的STP数据包,导致网络拓扑变化,可能会引发网络流量被重定向或中断。
- 影响: 网络拥塞或瘫痪,数据流量被重定向。
7. DHCP欺骗(DHCP Spoofing)
- 描述: 攻击者通过伪装成合法的DHCP服务器向客户端提供虚假的IP地址配置,从而将客户端引导至恶意网络或中间人位置。
- 影响: 客户端被误导到恶意网络,潜在的敏感信息泄露。
防范措施:
- 启用安全协议:如在无线网络中使用WPA3加密、802.1X网络访问控制。
- 实施网络分段:使用VLAN等技术隔离不同类型的网络流量。
- 配置网络设备安全:通过禁用不必要的服务、使用交换机的安全功能(如端口安全性、DHCP Snooping、ARP检测)。
- 定期更新网络设备:确保网络设备和软件更新到最新版本,以修补已知漏洞。
- 监控网络流量:使用入侵检测系统(IDS)和防火墙监控异常行为和数据包。
这些攻击展示了网络中数据链路层可能的安全漏洞,因此,理解和防范这些攻击对于保护网络的完整性和安全性至关重要。
ARP
ARP(Address Resolution Protocol,地址解析协议) 是一种用于IPv4网络的网络协议,它的主要功能是将网络层的IP地址转换为数据链路层的MAC地址。ARP是TCP/IP协议栈中的一部分,工作在OSI模型的第二层(数据链路层)和第三层(网络层)之间。
ARP协议的主要功能:
IP地址到MAC地址的映射:在以太网等局域网(LAN)中,数据帧的传输依赖于MAC地址。因此,当一个设备知道另一个设备的IP地址但不知道其MAC地址时,它需要使用ARP来找到这个MAC地址。
请求和响应机制:ARP协议使用简单的请求-响应机制。主机A发送一个ARP请求来询问“谁是IP地址为X.X.X.X的设备?请告诉我你的MAC地址。”网络上的所有设备都会收到这个请求,只有目标IP地址对应的设备会回复自己的MAC地址。
ARP的工作流程:
ARP请求:
- 当一台主机(例如A)想要与同一网络段中的另一台主机(例如B)通信时,主机A首先检查自己的ARP缓存,看看是否已经有目标主机B的IP地址和MAC地址的映射。
- 如果缓存中没有记录,主机A会发送一个ARP请求广播到局域网,ARP请求包含目标主机B的IP地址。
- 由于这是一个广播消息,网络上的所有设备都会接收到这个请求。
ARP响应:
- 目标主机B接收到ARP请求后,会检查请求中的IP地址是否与自己的IP地址匹配。
- 如果匹配,主机B将发送一个ARP响应给主机A,ARP响应中包含自己的MAC地址。
- 主机A收到ARP响应后,会将IP地址和MAC地址的映射关系存储到自己的ARP缓存中,以便下次直接使用而不需要再发送ARP请求。
ARP缓存:
- ARP缓存是一个存储IP地址到MAC地址映射的临时表,以提高网络效率。每台设备都有自己的ARP缓存,用于记录最近访问过的IP地址的MAC地址映射。
- 缓存更新:ARP缓存中的条目会定期更新或过期,这样可以防止缓存中的信息变得过时,确保网络通信的可靠性。
ARP的常见攻击方式:
ARP协议的工作机制相对简单,缺乏安全性,因此容易受到一些攻击,例如:
ARP欺骗(ARP Spoofing):
- 攻击者发送伪造的ARP响应,声称自己是某个IP地址的所有者。
- 这会导致网络中的设备更新其ARP缓存,错误地将攻击者的MAC地址与目标IP地址关联。
- 攻击者可以利用这种方法实施中间人攻击(Man-in-the-Middle Attack),拦截或篡改网络流量。
ARP中毒(ARP Poisoning):
- 这是一种ARP欺骗的形式,攻击者通过发送伪造的ARP消息,使目标设备的ARP缓存中的条目被“毒化”。
- 这种攻击可能导致网络流量被重定向、网络瘫痪或敏感信息被泄露。
防范措施:
- 静态ARP条目:在一些关键网络设备上,配置静态ARP条目,可以防止ARP欺骗。
- ARP防护机制:现代网络设备和防火墙通常提供ARP检测和防护功能,以监控和防止ARP攻击。
- 使用安全协议:在可能的情况下,使用更安全的网络协议(例如IPv6)以及附加的加密机制来保护网络通信。
总结来说,ARP协议是IPv4网络中的一个基础协议,尽管其设计简单,易于实现,但由于缺乏内置的安全性,也容易受到攻击。因此,在实际应用中,采取适当的防护措施非常重要。