网络安全漫谈及实战摘要(3)

2)主要包括2个部分：

• 鉴别首部AH(Authentication Header)：AH提供提供源站鉴别和数据完整性，但不能保密;
• 封装安全有效载荷 ESP (Encapsulation Sucurity Payload)： EPS比AH复杂的多，它提供源站鉴别、数据完整性和保密;
• 安全关联SA：在使用AH 或ESP 之前，先要从源主机到目的主机建立一条网络层的逻辑连接。此逻辑连接叫做安全关联SA;Psec 就将传统的因特网无连接的网络层转换为具有逻辑连接的层。

安全关联是一个单向连接。它由1个三元组唯一地确定，包括：

• 安全协议(使用AH/ESP)的标识符;
• 此单向连接的源IP地址;
• 一个32bit的连接标识符，称为安全参数索引SPI(Security Parameter Index)对于一个给定的安全关联SA，每一个数据报都有一个存放SPI的字段。通过此所有数据报都使用同样的SPI。

3)IPsec数据报格式

4)IPsec数据报的工作方式

• 第一种工作方式是运输方式(Transport mode)。运输方式是整个运输层报文段的后面和前面分别添加一些控制字段 ，构成IPsec数据报。
• 第二种工作方式是隧道方式(tunnel mode) 隧道方式是在一个IP数据包的后面和前面分别添加一些控制字段，构成IPsec数据包。

5)IPsec 数据包封装过程

• 在运输层报文段(或IP数据报)后面添加ESP尾部;
• 按照安全关联SA指明的加密算法和密钥，对“运输层报文段(或IP数据报)+ESP尾部”一起进行加密;
• 在已加密的这部分的前面，添加ESP首部;
• 按照SA指明的算法和密钥，对“ESP首部+运输层报文段(或IP数据包)+ESP尾部”生成报文鉴别码MAC;
• 把MAC 添加在ESP尾部的后面;
• 生成新的IP首部(通常就是20字节长，其协议字段的值50)。

(2) 运输层安全协议

SSL：安全套接层(Secure Socket Layer)：可对万维网客户端与服务器之间传送的数据进行加密和鉴别(在用第三方网上交易时用到的协议，比如支付宝)。

功能：

• SSL服务器鉴别;
• 加密的SSL会话;
• SSL客户鉴别。

类似在淘宝购买东西的过程：

(3) 应用层安全协议

PGP是一个完整的数字邮件安全软件包，包括加密、鉴别、电子签名和压缩等技术。

它只是将现有的一些加密算法如MD5、RSA、以及IDEA等综合在一起而已，类似我上文说的游戏防外挂的策略。

下图为一个典型的邮件加密过程：

9. 系统安全：防火墙与入侵检测<针对物理层+数据链路层>

(1) 防火墙

由软件、硬件、构成的系统，用来在2个网络之间实施接入控制策略。

(2) 功能

• 验证与阻止/过滤;
• 认为合法的连接进行访问;
• 主要功能是阻止。

(3)  防火墙技术

• 网络机防火墙;
• 应用级防火墙。

(4) 入侵检测系统(IDS)

分类：基于特征的入侵检测(缺点：未知的特征无法检测)+基于异常的入侵检测(DDOS攻击)。

二、彩蛋(渗透测试)

下面就以一个最基本的ARP断网/欺骗攻击来做个简单的关于网络攻击的实验吧，理论+实践。

至于ARP协议以及ARP断网/欺骗攻击的原理众所周知，我就不废话了，开始渗透测试：

1. ARP断网攻击

(1) 环境搭建

• 物理机：Win7<被攻击者>
• 虚拟机：KALI<攻击者>

(2) 过程

1)用nmap对存在于WLAN中的主机进行IP地址的嗅探：

攻击目标的IP为192.168.0.104(有时嗅探不完全，多嗅探几次，才可以将WLAN中的所有主机嗅探到)。

2)测试被攻击者的网络是否正常：

被攻击者网络显示正常。

（编辑：ASP站长网）