网络安全的一些思考

    看了一本思科的《下一代网络安全》，介绍了一下网络层的一些早期的攻击方法，应用层也介绍了一点。然后就是介绍思科的一些网络安全产品。有一些收获。很久没有看书了，看书还是很愉快的。
    攻击基本都是利用主机的软件“缺失”（——书上用的词）进行，包括缓冲区溢出，获取权限等等。补丁永远滞后于漏洞利用，这叫“零日攻击”，freebsd网站上还有攻击程序供我们下载试运行。其实很多攻击设计的很巧妙，“很多入侵一点技术含量都没有，你还觉得黑客好高深”。
    网络安全从简单来说就是防信息泄露和防攻击。对于个人使用，保护我们日常生活和工作，防信息泄露促使我们安装补丁、杀毒软件——保护“客户机”端；使用ssl、tsl登录服务器——保护“网络传输”过程；访问安全的服务器——服务端。从这3各方面应该就可以达到一定的安全级别了。
    又看了一下我的工作服务器freebsd，了解了一下防范DoS攻击的方法，实用pf防火墙加上一些ALTQ内核参数，实用synproxy能有抵御一些小的DoS。这同样也可以在家里用freebsd机器替换宽带路由器。
   
    另外，关于网卡监听的发展：集线器的网络——网卡至于“混杂”模式即可，后来的交换式以太网，攻击交换机，使其进入“failopen”状态，又可以监听了。再进一步，交换机无法使其进入“failopen”，产生arp欺骗。


    安全漏洞联想：系统网络端口就像一扇门，tcp端口就像钥匙洞。乍看就像有了钥匙才能开门，没有钥匙无法开门。但是攻击和漏洞利用就像拿一个可以无限弯曲的金属丝，顺着钥匙洞进入门板夹缝，进入地面，转入衣柜，进入抽屉，勾出一张百元大钞…… 只要金属丝足够柔软。