網絡安全的一些思考

看了一本思科的《下一代網絡安全》，介紹了一下網絡層的一些早期的攻擊方法，應用層也介紹了一點。然後就是介紹思科的一些網絡安全產品。有一些收穫。很久沒有看書了，看書還是很愉快的。
攻擊基本都是利用主機的軟件“缺失”（——書上用的詞）進行，包括緩衝區溢出，獲取權限等等。補丁永遠滯後於漏洞利用，這叫“零日攻擊”，freebsd網站上還有攻擊程序供我們下載試運行。其實很多攻擊設計的很巧妙，“很多入侵一點技術含量都沒有，你還覺得黑客好高深”。
網絡安全從簡單來說就是防信息泄露和防攻擊。對於個人使用，保護我們日常生活和工作，防信息泄露促使我們安裝補丁、殺毒軟件——保護“客戶機”端；使用ssl、tsl登錄服務器——保護“網絡傳輸”過程；訪問安全的服務器——服務端。從這3各方面應該就可以達到一定的安全級別了。
又看了一下我的工作服務器freebsd，瞭解了一下防範DoS攻擊的方法，實用pf防火牆加上一些ALTQ內核參數，實用synproxy能有抵禦一些小的DoS。這同樣也可以在家裏用freebsd機器替換寬帶路由器。

另外，關於網卡監聽的發展：集線器的網絡——網卡至於“混雜”模式即可，後來的交換式以太網，攻擊交換機，使其進入“failopen”狀態，又可以監聽了。再進一步，交換機無法使其進入“failopen”，產生arp欺騙。


安全漏洞聯想：系統網絡端口就像一扇門，tcp端口就像鑰匙洞。乍看就像有了鑰匙才能開門，沒有鑰匙無法開門。但是攻擊和漏洞利用就像拿一個可以無限彎曲的金屬絲，順着鑰匙洞進入門板夾縫，進入地面，轉入衣櫃，進入抽屜，勾出一張百元大鈔…… 只要金屬絲足夠柔軟。