CrimsonfiedOfficial/CVE-2026-29114
GitHub: CrimsonfiedOfficial/CVE-2026-29114
针对大华 IPC 设备 CA 根证书暴露漏洞(CVE-2026-29114)的安全公告与技术分析文档,涵盖漏洞机制、影响评估与修复指南。
Stars: 1 | Forks: 0
# CVE-2026-29114 — Dahua 设备 CA 根证书暴露
[](https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N)
[](#attack-prerequisites)
[](#attack-prerequisites)
## 目录
- [执行摘要](#executive-summary)
- [概览](#at-a-glance)
- [与相关 CVE 的关系](#relationship-to-related-cves)
- [漏洞时间线](#vulnerability-timeline)
- [描述](#description)
- [技术分析](#technical-analysis)
- [受影响的产品](#affected-products)
- [CVSS 评分](#cvss-scoring)
- [漏洞评分详情](#vulnerability-scoring-details)
- [CWE 分类](#cwe-classification)
- [攻击前置条件](#attack-prerequisites)
- [利用场景](#exploitation-scenarios)
- [影响评估](#impact-assessment)
- [检测与失陷指标](#detection-and-indicators-of-compromise)
- [缓解与修复](#mitigation-and-remediation)
- [临时解决方案](#workarounds)
- [厂商响应](#vendor-response)
- [参考资料](#references)
- [免责声明](#disclaimer)
- [文档修订历史](#document-revision-history)
## 执行摘要
在特定的 Dahua **IPC(IP 摄像机)** 型号中发现了一个**低严重性的证书信任漏洞**。在某些部署条件下,远程攻击者可以**获取设备的内部 CA 根证书**——这些属于证书授权层级中应保持私密的资料。
如果该根 CA(或从中派生的中间 CA)已经**被安装并在客户端工作站、浏览器或中间件中受信任**,那么拥有私钥材料的攻击者就可以**伪造欺诈性的 X.509 证书**,并且进行验证的客户端会将其视为合法证书。这使得针对链接到受损信任锚的 HTTPS 或受 TLS 保护的会话发起**中间人(MITM)攻击**成为可能,从而破坏受影响客户端连接的**机密性和完整性**。
公布的 CVSS 4.0 基础评分为 **2.3(低)**。相对较低的评分反映了部署前置条件(`AT:P` — 存在攻击要求)以及产生实际影响所需的**被动用户交互**(`UI:P`),加上易受攻击设备本身直接的机密性和完整性评级为**低**(而非高)。**可用性不受影响**(`VA:N`)。
运行受影响 IPC 固件版本(**2026 年 4 月 15 日之前**)的组织应验证设备签发的 CA 是否曾被分发到端点,从客户端信任库中移除不受信任的根证书,轮换 TLS 配置,并升级固件。
## 概览
| 字段 | 值 |
|---|---|
| **CVE ID** | CVE-2026-29114 |
| **厂商** | Dahua Technology |
| **漏洞类型** | 敏感证书材料暴露 / 信任链滥用 |
| **攻击向量** | 网络 |
| **需要身份验证** | 否 |
| **需要用户交互** | **被动** (`UI:P`) |
| **攻击要求** | **存在** (`AT:P`) |
| **所需权限** | 无 |
| **CVSS 版本** | 4.0 |
| **CVSS 基础评分** | **2.3 — 低** |
| **CVSS 向量** | `CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N` |
| **CWE** | CWE-538(将敏感信息插入外部可访问的文件或目录) |
| **远程可利用** | 是 |
| **发布日期** | 2026-06-10 |
| **修复可用性** | **2026 年 4 月 15 日**及之后的固件版本(根据厂商指南) |
## 与相关 CVE 的关系
CVE-2026-29114 于 **2026-06-10** 与同一批次的其它 Dahua PSI 披露一同发布。这些问题在机制和影响特征上各不相同。
| 属性 | CVE-2026-29114(本公告) | [CVE-2026-29115](../CVE-2026-29115/README.md) | [CVE-2026-29116](../CVE-2026-29116/README.md) |
|---|---|---|---|
| **CVSS 4.0 评分** | **2.3 — 低** | 6.9 — 中 | 8.7 — 高 |
| **主要影响** | **机密性 + 完整性(低)** | 可用性(高) | 可用性(高) |
| **身份验证** | **不需要** | 需要高权限 | 不需要 |
| **受影响产品** | **仅限 IPC** | IPC, SD | IPC, SD, NVR, XVR, EVS, VTO, VTH, ASI, TPC |
| **修复版本截止日期** | **2026-04-15 之前** | 2026-03-26 之前 | 2026-03-26 之前 |
| **CWE** | CWE-538 | CWE-617 | CWE-617 |
| **发布时间 (UTC)** | 2026-06-10T05:44:50 | 2026-06-10T06:08:21 | 2026-06-10T06:16:34 |
**防御者要点:** 此 CVE **不是摄像机重启漏洞**。它是一个**PKI 卫生和信任库**问题。打补丁很重要,但从客户端机器中**移除不当信任的设备 CA** 往往是决定性的修复步骤。
## 漏洞时间线
| 日期 | 事件 |
|---|---|
| **≤ 2026-04-15** | 存在漏洞的 IPC 固件版本正在流通 |
| **2026-04-15** | 厂商修复截止日期 — 在此日期或之后生成的版本不在受影响范围内(根据公告) |
| **2026-06-10T05:44:50 UTC** | CVE-2026-29114 发布 |
| **2026-06-10T05:44:50 UTC** | NVD 记录最后修改 |
| **2026-06-10** | 相关的 CVE-2026-29115 和 CVE-2026-29116 在同日晚些时候发布 |
| **持续进行中** | 运维人员应审查信任库和 IPC 固件版本日期 |
## 描述
Dahua 报告了**某些 IPC 型号**中的一个漏洞,即远程方可以获取与设备相关的敏感**证书授权机构(CA)材料**。厂商声明攻击者**可能获取设备的 CA 根证书**。
### 信任链后果
X.509 PKI 安全性取决于**私钥的保密性**以及**信任锚的谨慎选择**。如果:
1. 设备的**根 CA 证书及相应的私钥**(或可恢复的签名材料)被暴露,**并且**
2. 该 CA 已作为受信任的根(或受信任的中间 CA)安装在客户端系统上——例如操作员 PC、VMS 中间件或企业浏览器信任库中,
那么攻击者就可以:
- **签发看似在该 CA 下有效的任意欺诈性证书**
- **拦截或篡改**信任该受损锚点的用户与服务之间的受 TLS 保护的流量
- 在不触发标准公共 CA 警告的情况下**破坏证书验证**
### CVSS 评分范围内的影响
根据公布的向量:
- **机密性 (VC:L)** — 对存在漏洞的 IPC 有直接的低影响
- **完整性 (VI:L)** — 对存在漏洞的 IPC 有直接的低影响
- **可用性 (VA:N)** — 对设备本身没有可用性影响
- **后续影响** — 未评分 (`SC:N`, `SI:N`, `SA:N`)
实际危害通常发生在信任该暴露 CA 的**客户端系统**上,这就是为什么**攻击要求**和**用户交互**指标在评分模型中有所升高的原因。
## 技术分析
### 什么是设备嵌入式 CA?
许多嵌入式设备出厂时带有**出厂或固件捆绑的 PKI**,以支持:
| 用例 | 设备 CA 的典型作用 |
|---|---|
| HTTPS Web UI | 为 `https://camera-ip` 本地签发 TLS 证书 |
| ONVIF / SDK TLS | 加密的管理通道 |
| 移动应用配对 | 针对 P2P 或云辅助功能的自定义信任 |
| 客户端软件安装包 | 捆绑根证书以“让 HTTPS 生效”而无需支付公共 CA 的成本 |
当安装程序或软件包**将设备 CA 推送到 Windows/macOS/Linux 信任库**时,由该 CA 签名的每个证书在这些端点上都会变得与公共 CA 一样受信任。
### CWE-538 — 外部可访问的敏感材料
[CWE-538](https://cwe.mitre.org/data/definitions/538.html) 涵盖了将敏感信息(密钥、密码、证书)放置在未受充分保护的、可被访问的文件或目录中的情况。在这里,**CA 根证书**(以及可能的密钥材料或可恢复的签名机密,取决于具体实现——厂商文本强调证书的可获取性)通过**可通过网络访问的路径**在无需身份验证的情况下暴露。
### 攻击要求 (AT:P) — “存在”意味着什么
`AT:P` 意味着利用或**实质性影响**并不普遍;存在额外的条件:
| 典型前提条件 | 说明 |
|---|---|
| **客户端信任安装** | 受害系统必须信任该设备的 CA 根 |
| **通往暴露材料的网络路径** | 攻击者能够到达提供该证书的端点 |
| **对该信任锚的 TLS 依赖** | 用户或应用必须通过受损的 CA 验证来连接服务 |
如果没有客户端信任,仅获取 CA**证书**(公共组件)通常不足以发起 MITM——**私钥**也必须被攻破。厂商的措辞侧重于获取**根 CA 证书**;防御者应假设**完整的信任链**可能处于风险之中,直到固件分析或厂商勘误澄清密钥暴露情况。
### 被动用户交互 (UI:P)
CVSS 4.0 **被动**交互意味着受害者必须执行一个**自愿但低阻力的动作**——不一定是点击恶意链接。示例包括:
- 在信任该设备 CA 的浏览器中通过 HTTPS 打开摄像机 Web UI
- 启动针对已安装根证书进行验证的 VMS 客户端
- 如果 MITM 已经就位,建立到欺诈端点的 TLS 连接的日常监控活动
在所有部署模型中,并不总是要求用户主动批准安全例外,但某种由用户驱动的 TLS 使用存在于攻击路径中。
### 网络攻击面
由于 `PR:N` 和 `AV:N`,暴露机制在**无需设备凭据**的情况下即可到达。可能的暴露类别(取决于型号,非厂商指定):
- 未经身份验证的 HTTP/HTTPS 文档或下载路径
- 嵌入式 Web 服务器上的静态文件目录
- 调试或出厂证书捆绑包端点
- Web 根目录下 PEM/DER 文件的配置错误存储
渗透测试人员应仅通过授权评估来映射受影响 IPC 固件版本上的**证书文件路径**。
## 受影响的产品
### 厂商总结
| # | 厂商 | 产品系列 | 版本 / 构建指南 |
|---|---|---|---|
| 1 | **Dahua** | **IPC** | **受影响:** 某些固件版本在 **2026 年 4 月 15 日之前**的 IPC 型号 |
**总计:** 1 个受影响的厂商 · 1 个受影响的产品系列(IPC,部分型号)
### 范围说明
| 在范围内 | 不在范围内(本 CVE) |
|---|---|
| 选定的 **IPC** 型号 | SD 高速球机 |
| 构建日期在 **2026-04-15 之前** | NVR, XVR, EVS |
| | VTO, VTH, ASI, TPC |
### 型号识别
Dahua 在 CVE 摘要行中并未列举每个型号。运维人员必须:
1. 记录准确的 **IPC 型号**
2. 从设备 UI、ONVIF 或 SDK 查询**固件构建日期**
3. 对照 **Dahua PSI 公告**获取权威的受影响型号列表
4. 当固件匹配时,将**集成商品牌的 OEM 变体**视为 Dahua 等效产品
## CVSS 评分
### 总结
| 分数 | 版本 严重性 | 向量 |
|---|---|---|---|
| **2.3** | **4.0** | **低** | `CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N` |
### CVSS 4.0 指标分解
| 指标 | 值 | 对本 CVE 的意义 |
|---|---|---|
| **AV(攻击向量)** | 网络 (`N`) | 远程检索暴露的证书材料 |
| **AC(攻击复杂度)** | 低 (`L`) | 未指示需要特殊时序或竞争条件 |
| **AT(攻击要求)** | **存在 (`P`)** | 需满足客户端信任安装和 TLS 使用条件 |
| **PR(所需权限)** | 无 (`N`) | 无需登录设备即可获取暴露的材料 |
| **UI(用户交互)** | **被动 (`P`)** | 影响链中涉及受害者的 TLS/浏览器/客户端活动 |
| **VC(漏洞系统机密性)** | 低 (`L`) | 设备的敏感 CA 材料泄露 |
| **VI(漏洞系统完整性)** | 低 (`L`) | 信任机制完整性被削弱 |
| **VA(漏洞系统可用性)** | 无 (`N`) | 设备正常运行不受影响 |
| **SC / SI / SA** | 无 | 后续系统未单独评分 |
### 为什么尽管有严重的 PKI 理论但评分仍为低
| 因素 | 评分影响 |
|---|---|
| `AT:P` | 并非每个部署都会在客户端上安装设备 CA |
| `UI:P` | 影响链包含用户/客户端的 TLS 活动 |
| `VC:L` / `VI:L` | 直接的设备影响评级为低,而非高 |
| `VA:N` | 无重启/中断组件 |
**风险管理提示:** 如果您的标准操作程序在企业范围内分发了设备 CA,那么一个 **2.3 低** 级别的 CVE 仍然可能具有**很高的操作优先级**。
## 漏洞评分详情
已发布的 CVSS 4.0 选择器位置的可视化总结:
### 利用特征
```
Attack Vector: [Network] Adjacent Local Physical
Attack Complexity: [Low] High
Attack Requirements: None [Present]
Privileges Required: [None] Low High
User Interaction: None [Passive] Active
```
### 对漏洞系统的影响
```
Vuln Confidentiality: None [Low] High
Vuln Integrity: None [Low] High
Vuln Availability: [None] Low High
```
### 后续系统影响
```
Subseq Confidentiality: [None] Low High
Subseq Integrity: [None] Low High
Subseq Availability: [None] Low High
```
## CWE 分类
| # | CWE ID | 名称 | 相关性 |
|---|---|---|---|
| 1 | **CWE-538** | [将敏感信息插入外部可访问的文件或目录](https://cwe.mitre.org/data/definitions/538.html) | 设备 CA 根证书可通过受保护不足的网络可访问存储访问 |
### 相关 CWE(上下文,未分配)
| CWE | 名称 | 关系 |
|---|---|---|
| CWE-295 | 证书验证不当 | 安装信任后下游客户端的验证不当 |
| CWE-320 | 密钥管理错误 | 如果私钥材料与证书一同暴露 |
| CWE-326 | 加密强度不足 | 设备 TLS 的正交强化关注点 |
## 攻击前置条件
| 前提条件 | 是否必需? | 备注 |
|---|---|---|
| 设备凭据 | **否** | `PR:N` — 无需登录即可获取材料 |
| 到 IPC 的网络可达性 | **是** | 远程利用 |
| 在客户端上信任设备 CA | **是**(为了产生 MITM 影响) | 核心的 `AT:P` 条件 |
| 用户的 TLS 活动 | **是**(为了实际的 MITM) | `UI:P` |
| 受影响的型号 + 固件 | **是** | 2026-04-15 之前的 IPC 版本 |
| 私钥的可用性 | 完整的 MITM **可能**需要 | 厂商文本强调根 CA 的可获取性;需通过授权测试进行验证 |
**远程可利用:** **是**(证书检索);**完整的信任滥用**取决于上述部署前置条件。
## 利用场景
### 场景 1 — 安装程序信任库污染
集成商在 200 台操作员 PC 上安装了 Dahua 的客户端套件,将**设备 CA 根证书**导入到 Windows 受信任的根证书授权机构中。攻击者从一台互联网暴露的 IPC 上检索到 CA 证书和签名密钥,然后从同一 VPN 上的咖啡店笔记本电脑对发往企业 VMS 门户的 HTTPS 会话实施 MITM。
### 场景 2 — 浏览器访问摄像机 Web UI
操作员受过训练,会浏览 `https://192.168.x.x` 进行快速对焦调整。浏览器通过先前导入的根证书信任设备签发的链。局域网上的攻击者提供了针对该摄像机 IP 的伪造证书,从而拦截在看似有效的 TLS 会话中输入的凭据。
### 场景 3 — 供应链式欺诈服务
攻击者签发了一个虚假的更新清单或插件主机,使其在受损的 CA 下看似受信任。被动用户在打开 VMS 时触发了下载验证,该验证在恶意链下成功通过。
### 场景 4 — 无立即 MITM 的证书检索
威胁行为者将 Shodan 索引的摄像机上暴露的 CA 材料归档,以供**日后**使用(如果密钥可被破解、在固件映像中泄露,或者客户在后续扩展项目中安装了信任)。
### 场景 5 — 取证 / 合规审计发现
没有主动的攻击者——审计人员在现场 IPC 上发现了**可公开检索的 CA 文件**,未能通过 PKI 治理控制,并触发强制轮换,即使没有证据表明存在利用。
## 影响评估
### 技术影响
| 领域 | 对设备的影响(已评分) | 对客户端的影响(操作层面) |
|---|---|---|
| 机密性 | 低 (`VC:L`) | TLS 流量的潜在 MITM 泄露 |
| 完整性 | 低 (`VI:L`) | 信任客户端接受了伪造的证书 |
| 可用性 | 无 (`VA:N`) | 非重启/中断问题 |
### 业务影响(上下文)
| 关注点 | 后果 |
|---|---|
| **操作员凭据被盗** | Web UI 登录被拦截 |
| **虚假的 TLS 安全感** | 团队认为 HTTPS 等同于公共 CA 级别的信任 |
| **合规性** | PCI、ISO 27001 或内部审计可能会标记不受管理的私有 CA |
| **事件响应成本** | 全企业范围的信任库清理非常耗费人力 |
### 当低 CVSS 依然意味着“立即修复”时
如果满足以下**任何**条件,请优先进行紧急修复:
- 设备 CA 安装在 **>1** 个企业端点上
- CA 信任通过**组策略**或 MDM 推送
- 摄像机**暴露在广域网(WAN)中**
- 集成商的**黄金映像**默认包含 Dahua 根证书
## 检测与失陷指标
### 设备端指标
- HTTP 日志中未经身份验证的获取 `*.pem`、`*.crt`、`*.cer` 或 `ca` 路径的网络请求
- Shodan/Censys 索引到了摄像机 Web 根目录上的证书文件
- 包含**静态私钥**的固件映像(授权的二进制分析)
### 客户端指标
- 意外的**带有 Dahua 品牌或设备序列号的 CA**:
- Windows: `certlm.msc` → 受信任的根证书授权机构
- macOS: 钥匙串访问 → 系统根证书
- Linux: `/usr/local/share/ca-certificates/`, `/etc/pki/`
- 到摄像机的 TLS 连接显示了**本地签发**的链,而原本期望的是公共 CA
- VMS 安装程序目录包含 `rootCA.crt` 或类似的捆绑文件
### 网络指标
- MITM 基础设施提供的证书链指向与设备 CA 专有名称匹配的**非公共颁发者**
- 在地理上分离的设备上出现重复的 CA 序列号(出厂共享根证书的问题)
### 审计命令(示例)
**Windows PowerShell — 列出包含 "Dahua" 或设备 OEM 字符串的受信任根证书:**
```
Get-ChildItem Cert:\LocalMachine\Root | Where-Object { $_.Subject -match 'Dahua|OEM|IPC' } | Format-List Subject, Thumbprint, NotAfter
```
**Linux — 搜索导入的本地 CA:**
```
grep -ri 'dahua\|BEGIN CERTIFICATE' /usr/local/share/ca-certificates/ /etc/ssl/certs/ 2>/dev/null
```
## 缓解与修复
### 主要修复 — 固件更新
1. 盘点 IPC 装置的型号、序列号和**固件构建日期**。
2. 识别**在 2026 年 4 月 15 日之前**构建的设备。
3. 根据 [Dahua PSI 信任中心](https://www.dahuasecurity.com/about-dahua/trust-center/dahua-psi) 升级到厂商修复的固件。
4. 升级后,验证 CA 材料不再可从外部检索(授权复测)。
### 信任库修复(关键)
| 步骤 | 操作 |
|---|---|
| 1 | **识别**所有安装了设备 CA 根的端点 |
| 2 | **移除**用户和计算机信任库中的这些根证书 |
| 3 | **替换**为正确的信任模型:公共 CA 证书、企业 PKI,或通过 ACME/内部 CA 签发的每设备证书 |
| 4 | **告知**集成商:不要在黄金映像中捆绑设备根证书 |
| 5 | 在固件修补后,对受影响的 IPC **重新签发** TLS 凭据 |
### IPC 部署的 PKI 最佳实践
| 实践 | 建议 |
|---|---|
| **切勿在企业范围内信任摄像机嵌入式 CA** | 仅在不可避免时使用浏览器例外,且应针对每台设备单独设置 |
| **首选公共或企业 PKI** | 从具有离线根的受控 CA 签发证书 |
| **隔离管理 HTTPS** | 通过 VPN 访问摄像机;不要端口转发自签名的 UI |
| **监控信任库偏移** | 针对未经授权的根证书添加进行 MDM/GPO 审计 |
| **暴露后轮换** | 将检索到的 CA 材料视为已受损 |
### 网络控制
- 阻止来自不受信任网络的未经身份验证的管理 URL
- 限制通过跳板机访问摄像机 Web UI
- 仅在策略允许的情况下检查摄像机的出站流量;重点关注证书文件的**入站**暴露
### 协调的设备群卫生
如果您的设备群同时受到 [CVE-2026-29115](../CVE-2026-29115/README.md) 或 [CVE-2026-29116](../CVE-2026-29116/README.md) 的影响,请结合固件升级——但请注意**不同的构建截止日期**(本 CVE:**2026-04-15**,而 DoS 问题为 **2026-03-26**)。
## 临时解决方案
在固件修补之前:
1. **切勿安装**新发现的设备 CA 根证书到任何客户端。
2. **移除**已部署的 Dahua/设备签发的根证书的现有信任。
3. **阻止网络访问**已知用于提供证书文件的路径(临时的 WAF 或 ACL 规则——特定于型号)。
4. 通过 **VPN** 访问摄像机并严肃对待 TLS 警告;切勿全局静默警告。
5. 使用不依赖于信任摄像机嵌入式 HTTPS CA 的 **VMS/SDK 隧道连接**。
如果易受攻击的版本中 CA 材料仍然可被外部访问,则设备上**没有纯粹的配置修复**可以替代固件更正。
## 厂商响应
Dahua 通过其**产品安全事件(PSI)**计划发布了此问题:
- **信任中心 / PSI:** https://www.dahuasecurity.com/about-dahua/trust-center/dahua-psi
查阅厂商公告以获取:
- 确切的受影响 IPC 型号列表
- 已修复的固件版本和构建日期
- 有关信任库清理的任何官方指南
## 参考资料
| 资源 | URL |
|---|---|
| Dahua PSI 信任中心 | https://www.dahuasecurity.com/about-dahua/trust-center/dahua-psi |
| NVD 条目 | https://nvd.nist.gov/vuln/detail/CVE-2026-29114 |
| CVE 记录 | https://www.cve.org/CVERecord?id=CVE-2026-29114 |
| 相关:CVE-2026-29115 | https://www.cve.org/CVERecord?id=CVE-2026-29115 |
| 相关:CVE-2026-29116 | https://www.cve.org/CVERecord?id=CVE-2026-29116 |
| CWE-538 定义 | https://cwe.mitre.org/data/definitions/538.html |
| CVSS 4.0 规范 | https://www.first.org/cvss/v4.0/specification-document |
## 免责声明
本文档是一份**信息性安全公告**,根据公开可用的 CVE 元数据和厂商声明编制旨在帮助防御者、集成商和研究人员了解 **CVE-2026-29114** 的风险并确定修复优先级。
- 本 README **不**提供漏洞利用代码、私钥提取配方或未经授权的扫描说明。
- 推断的技术分析并非厂商确认的实现细节。
- 型号和固件的适用性**必须**对照 Dahua 官方 PSI 指南进行验证。
- 如果在没有经过测试的情况下应用,信任库和 PKI 的更改可能会**中断合法访问**——请遵循变更管理实践。
- 作者对基于本文档采取的行动不承担责任。
**负责任地使用:** 仅在您拥有或获得授权测试的系统上执行证书暴露检查。通过协调披露渠道报告其他发现。
## 文档修订历史
| 版本 | 日期 | 更改 |
|---|---|---|
| 1.0 | 2026-07-11 | 基于 CVE-2026-29114 发布数据编写的初始综合公告 README |
CVE-2026-29114 · Dahua Technology · CVSS 4.0 2.3 低 · CWE-538 · IPC
标签:CVE, IoT安全, SamuraiWTF, StruQ, 大华摄像头, 数字签名, 漏洞分析, 网络安全, 路径探测, 防御加固, 隐私保护