CISSP学习笔记-11（安全网络架构和组件）.pdf

CISSP学习笔记-11（安全⽹络架构和组件）

知识点

OSI模型

OSI功能

OSI层如下：应⽤层、表示层、会话层、传输层、⽹络层、数据链路层和物理层。

封装/解封

OSI第5~7层议数据单元(PDU）、第4层段(TCP)或数据报(UDP)、第3层数据包、第2层帧和第1层⽐特。

OSI模型层次

传输层加密通常由TLS执⾏

VPN加密可在第234层

数据链路层的⽆线加密

物理层的批量加密（⽹卡的外部设备提供）

会话层

单⼯、半双⼯、全双⼯

数据链路层

MAC地址

前3个字节(24位是组织唯⼀标识符(OUI），表示供应商或制造商

物理层

表示层：压缩和加密

TCP/IP

也称DARPA或DOD模型

⽹络流量分析

通⽤应⽤层议

Telnet-23、FTP-2、TFTP-69、SMTP-25、POP3-11、IMAP-143、DHCP-67,HTTP.HTTPS(TLS)-443.LPD-515.X

Window-6~663,NES-249和SNMP-161

传输层议

TCP

UDP

域名系统

完全限定域名FQDN

顶级域名com

注册域名Google

⼦域名或主机名www

域名系统安全扩展DNSSEC

仅适⽤于服务器端，不适⽤于客户端

客户端通过HTTPSDoH使⽤DNS，通过TLS

ODoH通过添加DNS代理隔离客户端

DNS中毒

流氓DNS服务器

知道查询者IDQID

执⾏DNS缓存中毒

攻击DNS权威服务器或者缓存服务器，影响客户端。⼀旦客户端执⾏了动态DNS解析，从权威DNS服务器或缓存DNS服务器接

收的信息将临时存储在客户端的本地DNS缓存中。如果该信息为假，则客户端的DNS缓存已中毒。

DNS域欺骗DNSPharming

通过修改HOSTS⽂件或者欺骗DNS解析

改变HOSTS⽂件

破坏IP配置

错误的DNS服务器地址

DNS查询欺骗

知道查询者IDQID

使⽤代理伪造

DNS中毒的防御措施

组织应该使⽤split-DNS系统(⼜名split-horizonDNS、split-viewDNS和split-brainDNS)。split-DNS部署供公众使⽤

的DNS服务器和供内部使⽤的单独DNS服务器。公众可以通过查询或探测访问公共DNS服务器上区域⽂件中的所有数据。

但是，内部DNS仅供内部使⽤。只有内部系统被授予与内部

DNS服务器交互的访问权限。通过阻⽌TCP和UDP的⼊站端⼝53，禁⽌外部访问内部DNS服务器。TCP53⽤于区域传

输(包括⼤多数DNS服务器到DNS服务器的通信)，UDP53⽤于查询(任何⾮DNS系统向DNS服务器发送查询)。内部系统

可以配置为仅与内部DNS服务器交互，或者它们可以被允许向外部DNS服务器发送查询(这确实需要防⽕墙是状态检查防⽕

墙，配置为允许响应批准的出站查询)。

另⼀种DNS防御机制是DNS沉洞/陷坑/下⽔道(DNSsinkhole)。DNSsinkhole⼜名sinkhole服务器、互联⽹sinkhole和

⿊洞DNS)。这种技术实际上是⽤作防御的DNS欺骗技术。DNSsinkhole试图对来⾃恶意软件(例如机器⼈)

的DNS查询提供错误响应，以阻⽌攻击。它还可⽤于保护⽤户免于访问已知的恶意⽹站或钓⻥⽹站。

DNS沉洞既可以⽤于良性防御⽬的也可以⽤于发动恶意攻击

域名劫持

域名过期后被他⼈注册

误植域名攻击

域名仿冒是⼀种利⽤⽤户错误键⼊预期资