学习小结记录
一、TLS(Transport Layer Security)握手是建立安全通信通道的关键过程,确保客户端与服务器之间的通信加密和身份验证。以下是TLS 1.2和TLS 1.3的握手流程详解及对比:
TLS 1.2 握手流程
目标:协商加密套件、交换密钥、验证身份
步骤:
1. Client Hello
- 客户端发送支持的TLS版本、加密套件列表(如`AES256-GCM-SHA384`)、随机数(Client Random)及扩展字段(如SNI)。
2. Server Hello
- 服务器选择TLS版本、加密套件,并返回随机数(Server Random)和服务端证书(包含公钥)。
3. 证书验证
- 客户端验证服务器证书链(是否可信、是否过期、域名匹配等)。若启用双向认证,服务器会请求客户端证书。
4. Server Key Exchange
- 若使用DH/ECDHE密钥交换,服务器发送临时公钥参数(如ECDHE公钥)和签名。
5. Server Hello Done
- 服务器通知客户端初始协商完成。
6. Client Key Exchange
- 客户端生成预主密钥(Pre-Master Secret),用服务器公钥加密(RSA)或发送临时公钥(DH/ECDHE)。
7. 密钥派生
- 双方通过Client Random、Server Random和Pre-Master Secret生成会话密钥(Master Secret),再派生出加密密钥和MAC密钥。
8. 切换加密通信
- 双方发送`Change Cipher Spec`通知,后续通信使用协商的密钥加密。
9. Finished
- 双方发送加密的`Finished`消息,验证握手完整性。
TLS 1.3 握手流程
优化目标:减少延迟(1-RTT或0-RTT)、移除不安全特性。
关键改进:
- 删除RSA密钥交换、静态DH,仅支持前向安全的ECDHE。
- 合并多步骤为单条消息,支持1-RTT握手。
步骤:
1. Client Hello
- 发送支持的加密套件、Client Random、密钥共享参数(如ECDHE公钥)。
2. Server Hello
- 服务器选择参数,返回Server Random、密钥共享参数(ECDHE公钥),并附带证书和签名。
- 直接生成会话密钥:双方通过ECDHE参数即时计算共享密钥。
3. 加密通信
- 服务器立即发送`Finished`消息,客户端验证后即可开始加密通信(1-RTT)。
- **0-RTT(可选)**:若之前连接过,客户端可在首次请求中携带加密数据(有重放攻击风险)。
二、DNS(Domain Name System)解析是将域名转换为IP地址的过程,以下是详细的解析流程:
1、什么是DNS
DNS就是域名系统,是因特网中的一项核心服务,是用于实现域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名,得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。
2.dns解析流程
1、首先客户端位置是一台电脑或手机,在打开浏览器以后,比如输入http://www.zdns.cn的域名,它首先是由浏览器发起一个DNS解析请求,如果本地缓存服务器中找不到结果,则首先会向根服务器查询,根服务器里面记录的都是各个顶级域所在的服务器的位置,当向根请求http://www.zdns.cn的时候,根服务器就会返回.cn服务器的位置信息。
2、递归服务器拿到.cn的权威服务器地址以后,就会寻问cn的权威服务器,知不知道http://www.zdns.cn的位置。这个时候cn权威服务器查找并返回http://zdns.cn服务器的地址。
3、继续向http://zdns.cn的权威服务器去查询这个地址,由http://zdns.cn的服务器给出了地址:202.173.11.10
4、最终才能进行http的链接,顺利访问网站。
5、这里补充说明,一旦递归服务器拿到解析记录以后,就会在本地进行缓存,如果下次客户端再请求本地的递归域名服务器相同域名的时候,就不会再这样一层一层查了,因为本地服务器里面已经有缓存了,这个时候就直接把http://www.zdns.cn的A记录返回给客户端就可以了。
DNS资源记录
记录一条域名信息映射关系,称之为资源记录(RR)。
当我们查询域名http://www.zdns.cn的时候,查询结果得到的资源记录结构体中有如下数据:
1、TTL,就是生存周期,是递归服务器会在缓存中保存该资源记录的时长。
2、网络/协议类型,它的代表的标识是IN,IN就是internet,目前DNS系统主要支持的协议是IN。
3、type,就是资源记录类型,一般的网站都是都是A记录(IPv4的主机地址)。
4、rdata是资源记录数据,就是域名关联的信息数据。
权威解析服务器
DNS权威服务器保存着域名空间中部分区域的数据。如果DNS服务器负责管辖一个或多个区域时,称此DNS服务器为这些区域的权威服务器。
根权威DNS或者二级权威服务器中的资源记录标记被指定为区域权威服务器的DNS服务器。通过资源记录中列出服务器,其他服务器就认为它是该区域的权威服务器。这意味着在 NS 资源记录中指定的任何服务器都被其他服务器当作权威的来源,并且能肯定应答区域内所含名称的查询。
递归服务器
递归服务器在正常情况下,初始的时候里面没有任何域名解析数据,里面所有的域名解析数据都来自于它到权威解析服务器的查询结果,一旦查询完毕,递归服务器就会根据TTL时间在本地形成一条缓存记录,并为用户提供DNS解析的查询服务,这是递归服务器的功能。
三、信息收集
什么是信息收集?
信息收集(Information Gathering)信息收集是指通过各种方式获取所需要的信息。渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证。
目标资产信息搜集的程度,决定渗透过程的复杂程度。
目标主机信息搜集的深度,决定后渗透权限持续把控。
收集信息越多,渗透越简单、后渗透持续把控越容易。
一、网络安全信息的核心内容
网络安全信息是网络安全防护的 “基础原料”,其核心类型可按信息性质和来源分类:
1. 按信息性质分类
威胁情报:描述网络威胁的特征、来源、攻击手段等信息,例如黑客组织的攻击偏好、勒索软件的传播路径、钓鱼邮件的特征等。
漏洞信息:包括系统、软件、硬件中存在的安全漏洞(如 CVE 编号漏洞),涵盖漏洞原理、影响范围、利用方式及修复方案。
安全事件信息:已发生的网络安全事件详情,如数据泄露事件的原因、影响范围、处置过程;勒索攻击的受害者特征、攻击时间规律等。
安全政策与标准:国家或行业的网络安全法律法规(如《网络安全法》《数据安全法》)、安全标准(如等保 2.0)、防护最佳实践(如零信任架构设计指南)。
资产信息:网络中的资产详情(如服务器 IP、操作系统版本、运行的应用程序),是安全防护的基础(只有明确 “保护什么”,才能针对性防护)。
2. 按信息来源分类
内部信息:来自组织内部的安全数据,如网络设备日志(防火墙、路由器)、服务器日志、安全设备告警(IDS/IPS、杀毒软件)、内部漏洞扫描报告等。
外部公开信息:公开渠道可获取的安全信息,如政府 / 机构官网(如国家网信办、CNCERT/CC 的安全通报)、安全社区(如 FreeBuf、SecWiki)、漏洞平台(如 CVE Details、NVD)、技术论坛(如 Stack Overflow 的安全板块)。
第三方信息:由专业机构或服务商提供的付费 / 免费信息,如威胁情报供应商(如微步在线、360 威胁情报中心)的 APT 攻击报告、安全厂商的漏洞分析报告等。
二、网络安全信息收集的核心内容
网络安全信息收集是网络安全工作的 “前置环节”,其目标是为风险评估、威胁预警、应急响应等提供支撑。以下是其关键要素:
1. 收集目标
识别潜在威胁:通过收集威胁情报,预判可能针对自身的攻击类型(如近期流行的勒索软件变种)。
评估自身漏洞:通过收集资产信息和漏洞数据,明确自身网络中存在的安全薄弱点(如某服务器使用的软件存在未修复的高危漏洞)。
支撑应急响应:当安全事件发生时,通过收集事件相关信息(如攻击 IP、恶意文件哈希),快速定位溯源并处置。
2. 收集原则
合法性:严格遵守《网络安全法》《数据安全法》等法律法规,禁止未经授权对他人网络、系统进行扫描或信息窃取(如 “黑客扫描” 可能涉嫌违法)。
必要性:仅收集与自身安全防护相关的信息,避免无意义的信息冗余(如个人用户无需收集企业级的 APT 威胁情报)。
保密性:对收集到的敏感信息(如内部资产清单、漏洞详情)严格保密,防止信息泄露反而成为攻击工具。
3. 收集方法与渠道
根据信息来源不同,收集方法可分为三大类:
(1)公开信息收集(外部)
搜索引擎与专用平台:
通用搜索引擎(Google、百度):通过关键词(如 “某软件 漏洞 2025”)检索公开漏洞报告或安全事件新闻。
专用平台:
漏洞平台:CVE Details(全球漏洞库)、NVD(美国国家漏洞数据库)、CNNVD(中国国家信息安全漏洞库)。
威胁情报平台:微步在线威胁情报社区、OTX(开源威胁交换平台)、IBM X-Force Exchange。
安全通报渠道:国家计算机网络应急技术处理协调中心(CNCERT/CC)官网、工信部网络安全威胁和漏洞信息共享平台。
安全社区与行业报告:
社区:FreeBuf(国内安全社区)、Krebs on Security(国际知名安全博客)、Twitter 安全领域博主(如 @malwaretechblog)。
报告:安全厂商年度报告(如 360《网络安全态势报告》、奇安信《勒索攻击趋势报告》)、行业白皮书(如金融 / 医疗领域安全报告)。
(2)内部信息收集(针对组织)
资产扫描:通过工具扫描内部网络,获取资产清单(IP、端口、操作系统、应用程序版本),常用工具如 Nmap(端口扫描)、Masscan(高速端口扫描)、AWVS(Web 应用资产识别)。
日志与告警收集:
设备日志:防火墙、路由器、交换机的访问日志(记录 IP 连接、端口通信)。
系统日志:服务器操作系统日志(如 Windows 事件日志、Linux syslog)、应用日志(如 Web 服务器日志、数据库日志)。
安全设备告警:IDS/IPS(入侵检测 / 防御系统)的攻击告警、杀毒软件的恶意文件拦截记录、EDR(终端检测与响应)的异常行为报告。
漏洞扫描:通过漏洞扫描工具(如 Nessus、OpenVAS、绿盟远程安全评估系统),对内部资产进行扫描,获取存在的漏洞信息(漏洞 ID、风险等级、修复建议)。
(3)第三方信息获取(外部)
威胁情报订阅:付费购买第三方威胁情报服务(如 Palo Alto Networks、深信服),获取定制化的威胁数据(如针对本行业的攻击团伙信息)。
合作共享:与同行业组织、安全厂商建立信息共享机制(如企业安全联盟),交换非敏感的安全事件或威胁信息(如某类钓鱼邮件的特征)。
4. 常用工具
5. 收集流程
明确目标:确定收集信息的用途(如 “评估公司 Web 服务器安全” 则聚焦 Web 漏洞和相关威胁)。
选择渠道:根据目标选择合适的收集方法(如评估内部漏洞则用 Nessus 扫描,跟踪外部威胁则订阅威胁情报)。
执行收集:通过工具或人工检索,系统性获取信息(如定期每天查看 CNNVD 漏洞更新)。
整理与分析:对收集的信息去重、分类(如按风险等级划分漏洞),并结合自身网络环境评估影响(如某漏洞是否影响公司使用的软件版本)。
应用与更新:将分析结果应用于防护(如修复高风险漏洞、拉黑恶意 IP),并定期更新信息(威胁和漏洞会动态变化)。
6. 注意事项
避免 “过度收集”:信息过多会导致分析成本增加,应聚焦核心需求(如个人用户只需关注与自己设备相关的漏洞)。
防范信息泄露:收集的内部资产信息、漏洞数据属于敏感信息,需加密存储(如用密码管理器保存资产清单),限制访问权限。
关注法律红线:任何针对外部网络的信息收集,必须获得明确授权(如扫描合作单位的系统需签署授权书),否则可能触犯《刑法》中 “非法侵入计算机信息系统罪”。
网络安全信息收集是网络安全防护的 “第一道防线”—— 只有及时、准确地获取信息,才能提前发现风险、快速响应威胁。无论是个人还是组织,都需在合法合规的前提下,建立适合自身的信息收集机制,才能有效提升网络安全能力。