安全攻防技能 30 讲
何为舟
前微博安全研发负责人
34681 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
课程目录
已完结/共 41 讲
开篇词 (1讲)
安全攻防技能 30 讲
15
15
1.0x
00:00/00:00
登录|注册

14 | 网络安全:和别人共用Wi-Fi时,你的信息会被窃取吗?

带宽扩容
使用"肉鸡"
垃圾流量攻击
漏洞攻击
避免未知热点
强制门户
WPA2协议
定期检测
合理划分网络
ARP和DNS劫持
隔离内网和外网
VLAN
分区和隔离
防护方法
DDoS攻击产生方式
DoS攻击
伪造热点
认证和加密
避免劫持的方法
劫持问题
对内网进行垂直划分
对内网进行水平划分
最小权限原则
DDoS攻击
无线网络安全
有线网络安全
内网安全
网络安全

该思维导图由 AI 生成,仅供参考

你好,我是何为舟。
你平时使用手机连接无线网络的时候,一定看到过这样的安全提示:不要连接陌生的 Wi-Fi。也一定看过很多这样的报道:某先生 / 女士因为使用了陌生的 Wi-Fi,信息遭到泄露,不仅账号被盗用,还造成了经济损失。
看到这些提示和报道之后,你就要产生警惕了,当你连入一个陌生的 Wi-Fi 时,这个 Wi-Fi 下连接的其他人很有可能会看到你的信息,并且对你发起攻击。
你可能要说了,只要我避免连入陌生的 Wi-Fi,前面说的攻击就基本不会发生了。但是,在工作中,员工和服务器通常接入的也是同一个网络,那员工是不是就可以任意地捕获服务器中的流量呢?其他人是不是也能轻易地窃取员工信息呢?内网又是怎么保证安全性的呢?

内网中的“最小权限原则”

我们先来看,内网是怎么保证安全性的。前面我们说过,在 Linux 系统中,我们可以使用“最小权限原则”来限制黑客的行动能力。而“最小权限原则”,在内网中同样适用。为了保证安全性,我们要限制黑客进入内网后的权限范围,也就是说,就算黑客能够进入内网,我们也只允许它在一个有限的子网内进行访问,而不能任意地访问所有服务。那内网中的“最小权限原则”究竟是怎么实现的呢?
在内网中,实现“最小权限原则”的核心在于分区和隔离。接下来,我们就一起来看,在公司内网中,分区和隔离具体是怎么实现的。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

本文介绍了共用Wi-Fi时信息被窃取的问题,并提出了保障内网安全的方法。首先介绍了内网中的“最小权限原则”,通过分区和隔离来限制黑客的行动能力,保证内网的安全性。其次,详细讨论了对内网进行水平和垂直划分的方法,以及有线和无线网络安全的重要性。在无线网络安全方面,文章提到了使用安全的协议、认证技术和避免未知热点的重要性。另外,还介绍了有线网络中的“劫持”问题和DDoS攻击的原理及防护方法。总的来说,文章通过介绍内网安全和网络通道数据安全的重要性,为读者提供了关于Wi-Fi安全的全面了解。文章内容涵盖了网络安全的多个方面,对读者了解和应对网络安全问题具有重要指导意义。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《安全攻防技能 30 讲》
新⼈⾸单¥59
立即购买
登录 后留言

全部留言(15)

  • 最新
  • 精选
  • 程序水果宝
    老师说“哪怕你能够识别出这些恶意的请求,并且拒绝响应,这也只能避免 CPU 被耗尽,而带宽的资源还是会被占用。”但是带宽资源不是主要因为服务器的响应而被占用的么,攻击发起的请求应该占用的资源都很小吧,服务器都拒绝响应了,攻击请求所占用的资源会影响到正常服务吗?

    作者回复: 是请求占用带宽,导致正常服务得不到带宽资源。在DDOS中,是黑客向服务器发起了几十GB的请求,导致的带宽占满,与服务器的响应无关。在Memcached放大中,是黑客向肉鸡发起少量的请求,而肉鸡转而向目标服务器发起巨大的请求。

    2020-01-13
    7
  • Teresa
    关于内网的权限控制,我一直的疑惑是:我们公司买了一份软件但是在内网中的多台机器上安装使用,最终收到了软件公司的律师函,软件公司是怎么检测到的呢?

    作者回复: 商业软件一般都内嵌了各种保护工具,只要运行就会向云端发起各类请求。

    2020-03-29
    2
    2
  • 曙光
    老师,“黑客通过发送伪造的 ARP 包误导 A 说:“10.0.0.2 的 MAC 地址是 3:3:3:3””,服务器会误认为MAC 是3:3:3:3但ip地址还是10.0.0.2,所以黑客接受到报文,但IP层会丢弃报文吧?因为黑客电脑是10.0.0.3

    作者回复: IP仅仅是用来寻址的,本身并不会做校验。而且从原理上来说,也没办法校验。整个网络都认为10.0.0.2的MAC地址3:3:3:3。所以在接收包的时候,黑客完全可以单方面声称它的IP也是10.0.0.2,只要不被路由器知晓,就不会出现冲突。

    2020-03-14
    2
  • 学习吧技术储备
    麻烦问下思考题的答案可以在哪看,有点想不出来,额

    作者回复: 思考题主要是启发你再继续深入拓展一下,没有标准答案的。有任何疑问的话,可以留言沟通。

    2020-02-14
    2
  • 小老鼠
    1,ARP劫持与ARP欺骗一样吗?2,若在公共场合,联入wifi,需要输入你的手机号和返回的密码,这样是不是就安全了?

    作者回复: 1、一样。 2、wifi安全依赖于认证协议,也就WPA2。强制门户只是让热点知道了你是谁,并不提供安全性。

    2020-01-19
    2
  • 大坏狐狸
    mac地址是固定的,所以路由器里有记录吧。这样应该就能知道谁访问了什么。

    作者回复: 问题是怎么知道mac分别对应的是哪个人。

    2020-03-29
    1
  • devil
    ”目前来说,DDoS 基本是不可防的。“ 老师,清洗和黑洞是怎么回事?

    作者回复: 可以参考阿里云的黑洞策略,简单来说,就是受到持续攻击,就把你的正常业务封停。

    2020-02-04
    1
  • devil
    ”实际上,你还可以对每一个 VLAN 按照安全等级,进行进一步的垂直和水平划分。" 老师这个能不能再稍微讲一下怎么进一步划分?

    作者回复: 其实道理是一样的,每一个VLAN,其实又是一个小型的内网。这个内网中,如果需要,可以进行进一步的权限划分。比如内网先按员工类型作水平的VLAN划分,然后内部员工网络又可以按线上线下环境、或者职能,去做进一步划分。

    2020-02-04
    1
  • 麋鹿在泛舟
    所以WIFI的认证是给WIFI提供商溯源记录用的,对于接入的用户,实际上是没办法对WIFI服务进行认证的,对吧?

    作者回复: 是的。用户对WIFI的认证强依赖WIFI名称,或者BSSID,但这些都是可以随意伪造的,所以用户其实是没办法对WIFI进行认证的。

    2020-01-16
    2
    1
  • 小名叫大明
    自己家平常的路由器也可以强制门户吗?

    作者回复: 可以的,不过得看路由器支持不支持这个功能。

    2020-10-21
收起评论
显示
设置
留言
15
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部