网络安全篇 《网络安全》

IGMP（Internet Group Management Protocol，互联网组管理协议，负责IPv4组播成员管理的协议，用于建立和维护组播接收者与其直接邻居组播路由器之间的组播成员关系）

相关网络安全产品：防火墙、HIDS（网络入侵检测系统）、堡垒主机、DDoS防护、威胁分析、数据库审计、日志审计

网络安全设备引进与部署、策略调优、日志分析

iptables主要参数

-A：将规则添加到链表的末尾。

-I：将规则添加到标头。

-t：在要操作的表后指定表名。如果不使用该参数，则默认操作表为过滤器。

-D：删除表中的规则。您可以指定要删除的序列号或匹配规则（iptables -t nat -D PRETOUTING）。

F：清除规则并重启后恢复（iptables – F 清除过滤表）

-L：列表规则

-p：用于指定协议

-s：指定源地址（反向ip -s ‘!’172.24.254.120）

-d：指定目标值

-i：进入接口，如eth0。

-o：输出接口

-j：执行操作（ACCEPT、DROP、SNAT、DNAT、MASQUERADE、REDIRECT）

ACCEPT：用于接收匹配的流量

DROP：用于丢弃匹配的流量

REJECT：用于拒绝匹配的流量并回复拒绝原因。

SNAT：网络中的主机可以使用SNAT来隐藏自己的IP地址，同时共享合法的公共IP地址，允许局域网中的多个主机共享一个公共IP地址并连接到Internet，您可以指定哪些主机可以连接到Internet。想要访问。用于更改消息源地址的IP 地址。

DNAT：如果您只有一个公网IP，但内网有很多服务器提供不同的服务，并且您希望通过公网访问这些服务，则可以使用DNAT。

MASQUERADE：动态地将原始地址转换为可用的IP地址。这与SNAT实现的功能完全一致。 MASQUERADE 不要求您指定IP；它会动态地将消息的源地址更改为网络上的任何可用IP 地址。指定网卡。

REDIRECT：可以在本机上进行端口映射

sport：源端口

dport：目标端口。端口必须与协议(dprot 22:24) 一起使用。

iptables 包含五个规则表：filter、nat、mangle、raw 和security

筛选

未指定-t 时用于过滤的默认表包含实际的防火墙规则。

内置规则包括：

INPUT（处理接收到的数据包） OUTPUT（处理本地生成的数据包） FORWARD（处理转发的数据包）

过滤表只允许对数据包进行DROP 或ACCEPT；它们不能被修改。

不

主要用于网络地址转换，如源地址、目的地址、端口转换规则等。创建新连接数据包时将引用该表。

内置规则包括：

PREROUTING链的功能是在数据包到达防火墙后立即更改其目标地址（更改本地生成的数据包的目标地址）。 POSTROUTING（在数据包离开防火墙之前更改数据包的源地址）。该表仅用于NAT、数据包的源地址或目标地址。

DNAT：更改目标地址，SNAT：更改源地址

曼格勒：

用于定义数据包的操作方式，可以改变各种数据包的内容和数据包头，如TTL、TOS、MARK等。这些标记由过滤表中的规则进行检查。

活的：

通过阻止iptables 对数据包执行连接跟踪操作来提高性能。

安全：

强制访问控制(MAC) 网络规则

例子

使用防火墙将请求从端口80 转发到端口8080。

iptables -t nat -I PREROUTING -p tcp –dprot 80 -j REDIRECT –to端口8080

使用防火墙技术将本机80端口请求转发到另一台主机的80端口（本机内网IP地址为172.24.254.55/16，外网IP地址为172.24.254.120/24，另一台主机的80端口）。内网IP为172.24.254.44/16)

iptables -t nat -i PREROUTING -p tcp -d 172.24.254.120/24 –dprot 8080 -j DNAT –到目的地172.24.254.44:8080

Centos防火墙设置与优化：主机防火墙设置

打开：服务器：Web服务、vsftpd文件服务、ssh远程连接服务、ping请求

打开sshd服务：打开流向本地主机的数据包，端口22

iptables -A 输入–destination 192.168.60.99 -p tcp –dport 22 -j 接受

打开从本地主机22端口流出的数据包。

iptables -A 输出–source 192.168.60.99 -p tcp –sport 22 -j 接受

将默认策略更改为DROP。 其目的是阻止所有数据包通过机器的TCP/IP 协议栈并在开放的指定端口上为它们提供服务。

iptables -P 输入丢弃

iptables -P 输出下降

iptables -L -n -v（显示IP）

（当您访问网站、在浏览器中输入URL，然后打开网页时会发生什么？）

在浏览器中输入URL。首先，DNS 解析服务将URL 解析为IP 地址。浏览器开始打包访问请求，并使用http/https通过socket接口传递给传输层。传输层（UDP和TCP协议）通过TCP三路握手与服务器建立连接，浏览器向服务器发送http请求请求数据包。服务器处理收到的请求，打包结果，并将其发送到浏览器。浏览器收到HTTP响应后，解压包并读取内容。

抵御DDoS攻击

DDoS攻击的定义及原理：

分布式拒绝服务是指攻击者连续向互联网上的某个服务器发送大量请求，导致该服务无法提供正常服务或使发起攻击的网络完全瘫痪的手段。僵尸网络。

SSL工作流程：一旦建立TCP链接，高级握手协议就完成加密算法和会话密钥的传输，以执行安全的数据传输。

DDOS攻击技术：

TCP连接泛洪攻击：通过发起大量的TCP请求，导致服务器的链接表被填满，无法响应后续的TCP请求，从而产生DDoS效果。 SYN Flood攻击：攻击者利用受控主机发送大量TCP SYN报文，迫使服务器打开许多半开放链接，填满服务器的链接表。攻击者可以随机将SYN报文的源IP地址欺骗到另一台主机的IP地址或者不存在的IP地址，然后利用服务器在发送TCP syn报文时返回的syn+ack报文就可以接收到syn报文。 TCP 协议的重传机制使连接保持半开放状态。 PSH+ACK洪水攻击：当服务器收到带有PSH+ACK标志的消息时，服务器立即将数据发送到服务进程并清除缓存。攻击者向受害者发送大量PSH+ACK数据包，受害者不断清除数据包，导致数据无法正常处理。 RST Flood攻击：TCP协议在挥手四次后终止连接，但为了防止异常情况，一方可以通过发送RST数据来强制连接。攻击者可以尝试强制攻击设备不断断开连接。欺骗各种IP地址并发送RST数据。如果IP 和其他设置与普通用户的IP 和其他设置匹配，则用户和服务器之间的链接就会断开，并且用户可能会成为攻击目标。 THC SSL DoS 攻击：握手完成后密码协商的第二步，重新协商建立密钥，有一个重新协商选项，允许攻击者不断地重新协商密钥，需要对重新协商服务器进行更多的投资。客户端拥有15倍的资源，攻击者的目标资源耗尽的速度更快。 SSL 洪水攻击：在握手期间，服务器解密资源。有效验证数据会消耗更多CPU。攻击者不需要完成SSL握手和密钥交换，只需要在握手过程中让服务器进行解密和验证，这会消耗大量服务器的计算资源。 UDP Flood攻击：与ICMP攻击类似，UDP可以在传输层发送UDP协议报文，可以最有效地增加网络设备处理数据报文的负载，从而提高处理速度。拒绝服务攻击的影响，例如使用大数据包攻击造成的速度减慢和传输延迟，可以有效地垄断网络接口的传输带宽并导致网络拥塞。 ACK反射攻击：攻击者通过将源地址欺骗为受害者的IP地址，并将目的地址设置为互联网上的多个第三方机器，发送大量的syn请求。服务器向攻击目标发送大量ACK响应数据，占用目标网络带宽资源，造成拒绝服务。 优点：有效隐藏攻击源。 DNS放大攻击：DNS服务器是将域名解析为IP地址的设备。由于DNS 响应数据包通常大于查询数据包，因此攻击者可以不断向DNS 服务发送请求并欺骗源地址。这会导致反射攻击将流量放大20 倍，从而导致目标网络出现拥塞和延迟。 SNMP放大攻击：SNM（简单网络管理协议）是当今网络中使用最广泛的网络管理协议，提供了用于监控和维护互联网设备的管理框架，并提供GetBulk来通知设备添加的请求。返回尽可能多的数据，允许管理员在单个请求中检索大量信息。将源IP地址欺骗到目标IP地址，设备收到GetBulk请求后，将响应发送给目标。这会发送大量攻击目标并导致网络拥塞。攻击目标缓慢。

http Flood 攻击：Web 服务器在处理HTTP get 和POST 请求时，必须解析请求、处理并执行服务器端脚本、检查用户权限并阻止对数据库的访问，这会消耗大量的计算资源和IO。访问资源。可以对网站搜索功能等网站进行http Flood攻击。它不断地生成大量的关键字并将其发送到查询地址，因为http请求是用户直接发送的设计特定内容的请求。在业务中，服务器在收到请求后需要对数据库执行iO。虽然这种攻击会增加目标的消耗，但http Flood攻击无法伪造IP地址，因此常见的方法是使用网络代理主机。获取不同的真实IP并发起攻击。这是当今最具威胁性的攻击之一，它很容易执行，而且效果也很明显。

管理和缓解DDoS 攻击

DDoS 攻击的主要方式包括伪造和放大IP 地址。缓解DDoS 的保守解决方案主要涉及稀释和消除攻击流量。

分布式过滤：解决IP地址欺骗问题，互联网中的不同网络可以欺骗IP相互连接，但不能欺骗数据。如果你从A发送到B，无论你做什么都不可能通过A。如果通过，则丢弃该数据包。网络设备的IP过滤：首先，在互联网的下游侧，即用户设备访问互联网的一端，设备通过路由（或多个路由网关）访问互联网服务提供商（ISP）。当路由设备检测到某个IP时，会过滤掉源地址IP不属于该路由所在网段的数据，从而防止发送试图欺骗该IP的流量。攻击流量稀释：DDoS攻击的可怕之处在于，当僵尸网络对目标发起攻击时，它会将网络和流量分散到不同的地点。例如，各个站点普遍采用CDN技术，将一些相对静态的资源发送到每个CDN节点作为缓解，并且当用户发出请求时最好从最近的节点返回，这在一定程度上缓解了DDoS攻击。清理攻击流量：CDN 的缓解效果有限。例如，对于TCP协议，只需要在SYN协议之前设置流量清洗设备即可。客户端发起的SYN首先被清理，如果对方同意，则清理设备将链接传递给后续服务器进行正常通信。如果对方没有响应，则清洁设备应重试，并在超时后重试。只需断开连接即可。

未来发展方向：软件定义网络（SDN）是一种控制与转发分离、可直接编程的新型网络架构。简而言之，它将传统的硬件网络转变为基于软件的网络。 OpenFlow协议分为应用层、控制层和数据层，被认为是SDN架构中控制层和数据层之间的通信接口，被OpenFlow交换机用来按照一定的规则转发流量。

HIDS（网络入侵检测系统）

功能：通过代理检测特定主机（计算机）上的异常活动或潜在的入侵行为。它由代理、守护进程、服务器和Web四部分组成，集异常检测、监控和管理于一体。运动检测、快速阻止和高级分析等功能使您可以从多维运动信息中检测入侵行为。

Agent：收集收集器角色、服务器信息、启动项、定时任务、监听端口、服务、登录日志、用户列表、实时监控文件操作活动、网络连接、命令执行、预筛选和RPC（远程过程） ) 被发送到服务器节点。

Daemon：守护进程服务进程，为Agent提供进程守护和静默环境部署，任务执行功能接收服务器的指令，实现Agent的热更新、阻塞功能、自定义命令的执行。 ） 加密演算法）。

服务器：整个系统的大脑，支持分布式部署的水平扩展，解析用户定义的规则（包括一些基本规则），分析从每个代理收到的信息和行为，可以被检测、存储和提取。多角度检测webshell写入操作、异常登录操作、异常网络连接操作、异常命令调用操作等，实时提供入侵操作预警。

主要特点：

日志监控： 文件完整性检测： 后门检测： 实时报警： 主动响应：

堡垒主机（运维审计系统）-特艺信-安康

在某些网络环境中，采用各种技术措施来监控网络环境内各组件的系统状态、安全事件以及网络，以保护网络和数据免受外部和内部用户的入侵和破坏。实时活动是集中报警、记录、分析和处理的技术手段。 Fortress Opportunity从认证——授权——账户——审核（4A设计）开始，以确保运维人员能够以最大的安全性进行操作。

网络运维工程师面试题

什么是BIOS以及如何进入BIOS

BIOS：基本输入/输出系统。通常，打开计算机后（出现用户登录界面之前），按DEL 或F2 进入BIOS 设置程序。

常见的内置用户帐户

管理员（admin 帐户）是默认管理员用户，出于安全原因无法重命名。 Guest（来宾用户）默认是禁用的，提供给没有账户的用户临时使用。

什么是域控制器(DC)？

一个域至少有一个域控制器，它存储域范围内的用户帐户和安全数据库，并允许域管理员控制每个域用户的行为。

开关的工作原理

MAC地址表的形成：当交换机在端口上接收到数据帧时，将数据帧中的源MAC地址与接收端口相关联，形成MAC地址表项（如果MAC表中没有原始MAC地址表） ） 案件）。地址条目）来搜索MAC地址表。交换机将数据帧中的目标MAC地址与MAC地址表项进行比较，如果找到则根据相应的表项进行转发。如果没有找到，它将被广播（即从传入端口以外的其他端口发送）。

TCP三路握手

初次握手：建立连接时，客户端向服务器发送syn包（syn=j），进入syn_sent状态，等待服务器确认。 syn：同步序列号第二次握手：服务器收到syn数据包，必须确认客户端的syn（ack=j+1）。同时，它还发送一个syn包（syn=k），即syn+。此时，服务器进入syn_recv状态，并发生第三次握手。客户端收到服务器端的syn+ack报文，发送完该报文后，向服务器端发送确认报文ack（ack=k+1）。客户端和服务器进入etableshed（TCP连接成功）状态，3次握手完成

4 TCP 波

第一挥手：客户端向服务器发送FIN包（FIN=m），进入fin_wait_1状态，等待服务器确认。此时客户端仍然可以接收服务器发送的数据。第二次挥手：服务器收到客户端发送的FIN后，首先发送ack=m+1确认序列。然后进入fin_wait_2状态并继续等待服务器的FIN消息。此时服务器继续发送后续未发送的数据。第三次挥手：当服务器确定数据已发送完毕后，向客户端发送FIN（FIN=n）报文，并进入last_ack状态。第四次挥手：客户端收到服务器发送的FIN报文后，进入time_wait状态（等待超时），并向服务器发送ack=n+1确认序列。如果服务器没有收到ack，则重新发送FIN消息，如果收到，则关闭服务器连接。如果客户端等待2MSL（Maximum Packet Life Time）后没有收到响应，则证明服务器已正常关闭，客户端也关闭连接。

STP根交换机选择原则是什么？

通过比较各个交换机的BID（网桥ID）来确定。首先比较优先级，默认值为32768。如果优先级相同，则值越小，优先级越高。更好的。

DHCP的作用是什么

通过安装DHCP服务器，自动为终端主机分配IP地址等，实现IP地址的批量分配和管理，提高管理效率。

ipv6 地址空间的大小是多少？它是如何表示的？

ipv6 地址由128 个二进制位表示，因此2 的128 次方是用冒号除以十六进制。

我们简单介绍一下非对称加密算法。

非对称加密算法使用两个不同的密钥进行加密和解密：公钥和私钥。用一个密钥加密的数据只能用另一个密钥解密，并且不能从密钥堆中推导出另一个密钥。

以上关于#网络安全的相关内容摘自网络，仅供参考。相关信息请参见官方公告。