【网络安全】常见网络协议

1. 网络协议概述

网络协议是网络上两个或多个设备使用的一组规则，用于描述传输顺序和数据结构。网络协议充当数据包中信息附带的指令。这些指令告诉接收设备如何处理数据。协议就像一种通用语言，让世界各地的设备能够相互通信和理解。

尽管网络协议在网络通信中发挥着重要作用，但安全分析师仍应了解其相关的安全隐患。某些协议存在可被恶意攻击者利用的漏洞。例如，恶意攻击者可以使用将网址解析为 IP 地址的域名系统 (DNS) 协议将流量从合法网站转移到包含恶意软件的恶意网站。

2. 网络协议分为三类

网络协议可分为三大类：通信协议、管理协议和安全协议。有几十种不同的网络协议，但对于入门级安全分析师来说，您不需要记住所有协议。然而，了解本文列出的协议对您来说很重要。

2.1 通信协议

通信协议控制着网络传输中的信息交换。它们规定了数据在设备之间的传输方式以及通信时间。它们还包括恢复传输中丢失的数据的方法。以下是其中几种。

1. 传输控制协议 (TCP)是一种互联网通信协议，允许两个设备建立连接并传输数据。TCP 使用三次握手过程。首先，设备向服务器发送同步 (SYN) 请求。然后，服务器以 SYN/ACK 数据包响应以确认收到设备的请求。一旦服务器收到来自设备的最终 ACK 数据包，就会建立TCP 连接。在 TCP/IP 模型中，TCP 发生在传输层。

2. 用户数据报协议 (UDP)是一种无连接协议，在传输之前不会在设备之间建立连接。这使得它不如 TCP 可靠。但这也意味着它非常适合需要快速到达目的地的传输。例如，UDP 的一个用途是向本地 DNS 服务器发送 DNS 请求。在 TCP/IP 模型中，UDP 出现在传输层。

3. 超文本传输​​协议 (HTTP)是一种应用层协议，它提供了一种客户端和网站服务器之间的通信方法。HTTP 使用端口 80。HTTP 被认为是不安全的，因此大多数网站正在用一种称为 HTTPS 的安全版本取代它，该版本使用 SSL/TLS 加密进行通信。但是，仍有许多网站使用不安全的 HTTP 协议。在 TCP/IP 模型中，HTTP 发生在应用层。

4. 域名系统 (DNS)是一种将互联网域名转换为 IP 地址的协议。当客户端计算机希望使用其互联网浏览器访问网站域时，查询将发送到专用 DNS 服务器。然后，DNS 服务器查找与网站域对应的 IP 地址。DNS 通常在端口 53 上使用 UDP。但是，如果 DNS 对请求的回复很大，它将切换到使用 TCP 协议。在 TCP/IP 模型中，DNS 发生在应用程序层。

2.2 管理协议

下一类网络协议是管理协议。管理协议用于监控和管理网络上的活动。它们包括错误报告和优化网络性能的协议。

1. 简单网络管理协议 (SNMP)是一种用于监控和管理网络上设备的网络协议。SNMP 可以重置网络设备上的密码或更改其基本配置。它还可以向网络设备发送请求，以报告网络带宽的使用情况。在 TCP/IP 模型中，SNMP 发生在应用层。

2. 互联网控制消息协议 (ICMP)是设备用来相互通报网络上数据传输错误的互联网协议。接收设备使用 ICMP 向发送设备发送有关数据传输的报告。ICMP 通常用作快速排除网络连接和延迟故障的方法，方法是在 Linux 操作系统上发出“ping”命令。在 TCP/IP 模型中，ICMP 发生在互联网层。

2.3 安全协议

安全协议是确保数据在网络上安全发送和接收的网络协议。安全协议使用加密算法来保护传输中的数据。以下是一些常见的安全协议。

1. 超文本传输​​协议安全 (HTTPS)是一种网络协议，它为客户端和网站服务器之间的通信提供了一种安全的方法。HTTPS 是 HTTP 的安全版本，它对所有传输使用安全套接字层/传输层安全性 (SSL/TLS) 加密，以便恶意行为者无法读取所包含的信息。HTTPS 使用端口 443。在 TCP/IP 模型中，HTTPS 发生在应用程序层。

2. 安全文件传输协议 (SFTP)是一种安全协议，用于通过网络将文件从一台设备传输到另一台设备。SFTP 使用安全外壳 (SSH)，通常通过 TCP 端口 22。SSH 使用高级加密标准 (AES) 和其他类型的加密来确保非预期收件人无法拦截传输。在 TCP/IP 模型中，SFTP 发生在应用程序层。SFTP 经常与云存储一起使用。每次用户从云存储上传或下载文件时，都会使用 SFTP 协议传输文件。

注意：上述加密协议不会隐藏网络流量的源或目标 IP 地址。这意味着恶意行为者如果拦截网络流量，仍然可以了解有关网络流量的一些基本信息。

3. 其他网络协议

1. 动态主机配置协议
   动态主机配置协议 (DHCP) 属于管理网络协议系列。DHCP 是网络上用于配置设备的应用层协议。它与路由器配合使用，为每个设备分配唯一的 IP 地址，并为每个设备提供适当的 DNS 服务器和默认网关的地址。DHCP 服务器在 UDP 端口 67 上运行，而 DHCP 客户端在 UDP 端口 68 上运行。

2. 地址解析协议
   到目前为止，您已经熟悉了 IP 和 MAC 地址。您已经了解到网络上的每个设备都有一个公共 IP 地址、一个私有 IP 地址和一个 MAC 地址，用于在网络上标识它。设备的 IP 地址可能会随时间而变化，但其 MAC 地址是永久的，因为它对于设备的网络接口卡是唯一的。MAC 地址用于与同一网络内的设备进行通信，但有时 MAC 地址是未知的。这就是为什么需要地址解析协议 (ARP)。ARP 主要是 TCP/IP 模型中的网络访问层协议，用于将数据包中找到的 IP 地址转换为硬件设备的 MAC 地址。
   网络上的每个设备都执行 ARP 并在 ARP 缓存中跟踪匹配的 IP 和 MAC 地址。ARP 没有特定的端口号，因为它是第 2 层协议，端口号与第 7 层应用层相关联。

3. 远程登录
   Telnet 是一种应用层协议，用于连接远程系统。Telnet 以明文形式发送所有信息。它使用命令行提示符来控制另一个设备，类似于安全外壳 (SSH)，但 Telnet 不如 SSH 安全。Telnet 可用于连接本地或远程设备，并使用 TCP 端口 23。

4. 安全外壳
   安全外壳协议 (SSH) 用于与远程系统建立安全连接。此应用层协议为安全身份验证和加密通信提供了替代方案。SSH 通过 TCP 端口 22 运行，可替代安全性较低的协议（例如 Telnet）。

5. 邮局协议
   邮局协议 (POP) 是一种应用层（TCP/IP 模型的第 4 层）协议，用于管理和检索来自邮件服务器的电子邮件。POP3 是最常用的 POP 版本。许多组织在网络上都有专用的邮件服务器，用于处理网络上用户的收发邮件。用户设备将向远程邮件服务器发送请求并在本地下载电子邮件。如果您曾经刷新过电子邮件应用程序，并且收件箱中出现了新邮件，那么您就体验到了 POP 和互联网消息访问协议 (IMAP) 的作用。未加密的纯文本身份验证使用 TCP/UDP 端口 110，加密电子邮件使用 TCP/UDP 端口 995 上的安全套接字层/传输层安全性 (SSL/TLS)。使用 POP 时，邮件必须在本地设备上完成下载后才能阅读。下载后，邮件可能会或可能不会从邮件服务器中删除，因此它不能保证用户可以在多个设备上同步同一封电子邮件。

6. 互联网消息访问协议 (IMAP)
   IMAP 用于接收电子邮件。它会下载电子邮件标题和邮件内容。内容也会保留在电子邮件服务器上，这样用户便可以从多个设备访问电子邮件。IMAP 使用 TCP 端口 143 来接收未加密的电子邮件，并使用 TLS 协议上的 TCP 端口 993。使用 IMAP 可以让用户在电子邮件下载完成之前阅读部分内容。由于邮件保存在邮件服务器上，因此用户可以在多个设备之间同步电子邮件。

7. 简单邮件传输协议
   简单邮件传输协议 (SMTP) 用于将电子邮件从发件人传输和路由到收件人的地址。SMTP 与消息传输代理 (MTA) 软件配合使用，后者搜索 DNS 服务器以将电子邮件地址解析为 IP 地址，以确保电子邮件到达其预定目的地。SMTP 使用 TCP/UDP 端口 25 来发送未加密的电子邮件，使用 TLS 来发送加密的电子邮件。大量垃圾邮件通常会使用 TCP 端口 25。SMTP 通过调节源一次可以发送的电子邮件数量来帮助过滤垃圾邮件。