網(wǎng)絡信息安全復習提綱.doc

“黑客”(Hacker指對于任何計算機操作系統(tǒng)奧秘都有強烈興趣的人?！昂诳汀贝蠖际浅绦騿T,他們具有操作系統(tǒng)和編程語言方面的高級知識,知道系統(tǒng)中的漏洞及其原因所在;他們不斷追求更深的知識,并公開他們的發(fā)現(xiàn),與其他分享;并且從來沒有破壞數(shù)據(jù)的企圖。“入侵者”(Cracker是指懷著不良企圖,闖入甚至破壞遠程機器系統(tǒng)完整性的人?！叭肭终摺崩毛@得的非法訪問權(quán),破壞重要數(shù)據(jù),拒絕合法用戶服務請求,或為了自己的目的制造麻煩。“入侵者”很容易識別,因為他們的目的是惡意的。信息安全的任務機密性confidentiality完整性integrity不可否認性non-repudiation有效性availability網(wǎng)絡安全的研究方向以網(wǎng)絡管理軟件為代表的網(wǎng)絡安全管理的研究以Satan(System Administrator Tool for Analyzing Networks為代表的網(wǎng)絡分析系統(tǒng)的研究以Kerberos(網(wǎng)絡認證協(xié)議為代表的密鑰分配和傳輸系統(tǒng)的研究以SSL為代表的安全協(xié)議的研究以防火墻(Firewall為代表的局部安全系統(tǒng)的研究信息收集階段:(1TraceRoute程序:能夠用該程序獲得到達目標主機所要經(jīng)過的網(wǎng)絡數(shù)和路由器數(shù)。Tracerout e利用ICMP及IP header的TT L字段。首先,t racerout e送出一個TT L是1的IP dat agram(其實,每次送出的為3個40字節(jié)的包,包括源地址,目的地址和包發(fā)出的時間標簽到目的地,當路徑上的第一個路由器收到這個dat agram 時,它將TT L減1變?yōu)?,所以該路由器會將此dat agram丟掉,并送回一個ICMP time exceeded(包括發(fā)IP包的源地址,IP包的所有內(nèi)容及路由器的IP地址,tracerout e 收到這個消息后,便知道這個路由器存在于這個路徑上,接著traceroute 再送出另一個TT L是2 的datagram,發(fā)現(xiàn)第2 個路由器. t racerout e 每次將送出的dat agram的TT L 加1來發(fā)現(xiàn)另一個路由器,這個重復的動作一直持續(xù)到某個dat agram 抵達目的地。當datagram到達目的地后,該主機并不會送回ICMP time exceeded消息。Tracerout e在送出UDP datagrams到目的地時,它所選擇送達的port number 是一個一般應用程序都不會用的號碼(30000 以上,所以當此UDP dat agram 到達目的地后該主機會送回一個ICMP port unreachable的消息,而當tracerout e 收到這個消息時,便知道目的地已經(jīng)到達了。所以traceroute 在Server端也是沒有所謂的Daemon 程式。Tracerout e提取發(fā)ICMP TT L到期消息設備的IP地址并作域名解析。每次,Tracerout e都打印出一系列數(shù)據(jù),包括所經(jīng)過的路由設備的域名及IP地址,三個包每次來回所花時間。Traceroute 有一個固定的時間等待響應(ICMP TT L到期消息。如果這個時間過了,它將打印出一系列的*號表明:在這個路徑上,這個設備不能在給定的時間內(nèi)發(fā)出ICMP TTL到期消息的響應。然后,T racerout e給TT L記數(shù)器加1,繼續(xù)進行。(2SNMP協(xié)議:用來查閱網(wǎng)絡系統(tǒng)路由器的路由表,從而了解目標主機所在網(wǎng)絡的拓撲結(jié)構(gòu)及其內(nèi)部細節(jié)。 整個網(wǎng)絡管理涉及到3個設備:被監(jiān)控設備(也稱為代理,是一些我們希望監(jiān)控的設備,比如路由器、交換機、服務器,管理端(也稱為管理器,管理員配置管理器程序,定期從代理讀取數(shù)據(jù),管理員計算機(僅用來管理員查看數(shù)據(jù)。注意:這里所謂的代理,指希望監(jiān)控的設備,比如服務器,路由器等。(3DNS服務器:該服務器提供了系統(tǒng)中可以訪問的主機IP地址表和它們所對應的主機名。(4Whois協(xié)議:該協(xié)議的服務信息能提供所有有關(guān)的DNS域和相關(guān)的管理參數(shù)。(5Ping實用程序:可以用來確定一個指定的主機的位置或網(wǎng)線是否連通。第二章(書1728頁1、DDos/Smurf的原理是什么?有什么辦法和措施來監(jiān)測或抵抗這些攻擊?DDoS 原理見書21頁。(1定期掃描(2在骨干節(jié)點配置防火墻(3用足夠的機器承受黑客攻擊(4充分利用網(wǎng)絡設備保護網(wǎng)絡資源(5過濾不必要的服務和端口(6檢查訪問者的來源(7過濾所有RFC1918 IP地址(8限制SYN/ICMP流量Smurf 原理見書20頁。原理圖如下: 2、請查閱相關(guān)資料,解釋DNS欺騙的詳細原理。原理:如果可以冒充域名服務器,然后把查詢的IP地址設為攻擊者的IP地址,這樣的話,用戶上網(wǎng)就只能看到攻擊者的主頁,而不是用戶想要取得的網(wǎng)站的主頁了,這就是DNS欺騙的基本原理。DNS欺騙其實并不是真的“黑掉”了對方的網(wǎng)站,而是冒名頂替、招搖撞騙罷了。3、防止ARP欺騙。采用雙向綁定的方法可以解決并且防止ARP欺騙1、首先,獲得網(wǎng)關(guān)的MAC地址。(把自己網(wǎng)段網(wǎng)關(guān)的MAC地址記下來2、然后在DOS命令下執(zhí)行以下兩條命令:1先刪除現(xiàn)有的MAC-IP對應表:arp -d2設置靜態(tài)的網(wǎng)關(guān)MAC-IP對應表:arp -s 網(wǎng)關(guān)ip 網(wǎng)關(guān)MAC第三章(書3339頁1、對等實體認證是用來驗證在某一關(guān)聯(lián)的實體中,對等實體的聲稱是一致的,它可以確認對等實體沒有假冒;2、信源認證是用于驗證所收到的數(shù)據(jù)來源與所聲稱的來源是一致的,但不提供防止數(shù)據(jù)中途被修改的功能。3、數(shù)字簽名模型:數(shù)字簽名全過程摘要B1對B1進行RSA 加密摘要密文B2摘要B3對B2進行RSA 解密摘要B4B3=B4?對原文進行摘要和RSA 算法的數(shù)字簽名系統(tǒng)對收到的原文進行摘要Private keyPublic key原文摘要密文B2數(shù)字簽名全過程摘要B1對B1進行RSA 加密摘要密文B2摘要B3對B2進行RSA 解密摘要B4B3=B4?對原文進行摘要基于MD5/SHA-1和RSA 算法的數(shù)字簽名系統(tǒng)對收到的原文進行摘要Private keyP u b l i c k e y原文摘要密文B2 ）、生物識別技術(shù)優(yōu)缺點 （3）、生物識別技術(shù)優(yōu)缺點 ）、 指紋一般是作為非對稱密鑰的種子！ 指紋一般是作為非對稱密鑰的種子！ 優(yōu)點 安全性高 生理特征使用方便、簡潔 不易被盜或遺失 缺點 對識別技術(shù)要求很高 特征匹配、比較較難。所有的匹配都是模糊比較，相似度不可能 100%。 可以被偽造，且容易泄露，如指紋痕跡 （4）、防指紋偽造 答：可以采用活體指紋識別技術(shù)，能夠感應指紋的濕度、溫度或者生物電阻等屬性，消 除偽造指紋及斷指所帶來的隱患。例如電容式傳感 電容式傳感。 電容式傳感 電容式傳感： 電容式傳感： 工作原理：根據(jù)活體手指表層上的電阻變化傳導指紋圖像。 皮膚表皮層下的第一層活體皮 （ 膚細胞，具有一定量電阻。它們在皮膚表層上組成特定形狀。 細胞中的特定電學品質(zhì)與細胞的 排列方式這二者的結(jié)合使得皮膚表面的電阻能夠被測量且其變化唯一。）由手指的電信 號提取到的特征經(jīng)過運算后以數(shù)字的形式存儲。每次識別都需要經(jīng)過這個過程，然后按 照傳統(tǒng)的指紋識別的校驗方式進行識別比對。 斷指的電屬性與活體手指的不同。手指一旦脫落身體或身體死亡后，該手指的電屬性立 即開始腐爛，電容式傳感器無法讀取。 5、 網(wǎng)絡環(huán)境下的身份認證 、 Challenge/Response Challenge/Response 請求認證 123499/Challenge 永遠不 重復 客 戶 端 Passwd/123499 MD5/Response YES/NO 請求服務 服 務 端 例如： 客戶 C 的密鑰： 123456 兩者合并 做 MD5 摘 要(摘要 1 請求認證 879x 客 戶 端 C/ 摘要 1/MD5 服 務 器 找到 C 的密 C D 鑰與 879x 做 MD5 摘要 （摘 要 2） ，與摘 要 1 對比 123456 876543 Y/N S/Key 認證過程 客戶向需要身份認證的服務器提出連接請求 服務器返回應答，同時挑戰(zhàn)兩個參數(shù)： 服務器返回應答，同時挑戰(zhàn)兩個參數(shù)：Seed 和 Seq 客戶輸入口令， 混合， 計算， 客戶輸入口令，系統(tǒng)將口令與 Seed 混合，做 Seq 次 Hash 計算，Hash 函數(shù)可以是 MD4、MD5、SHA。將 Hash 結(jié)果送給服務器 、 、 。 如果匹配，則通過認證， 服務器也同時計算 Hash，然后比較兩個 Hash 值。如果匹配，則通過認證，并更新 ， Seed 給客戶（ 服務器返回 Session Key 給客戶（Optional） ） 進行通信（ 客戶和服務器用 Session Key 進行通信（Optional） ） 客戶 C 的密鑰： Pswc Pswc+seed 合 并做 seq 次 MD5 摘要(摘 要 1 請求認證 Seed/seq 客 戶 端 C/ 摘要 1/MD5 服 務 器 找到 C 的密鑰 Pswc 與 seed 做 MD5 摘要 seq 次（摘要 2） ， 與摘要 1 對比 C D Pswc Pswd Yes+session 或者 no key 可以是客戶端和服務器一起決定的，見下圖： 其中 session key 可以是客戶端和服務器一起決定的，見下圖： 2 Master 加密 Km(rC key Km(rC 3 產(chǎn)生一 個隨機數(shù) rS 1 產(chǎn)生一 個隨機數(shù) rC 客 戶 端 服 務 器 Km(rS 4 Master 加密 Km(rS key 5 雙方用 rC 和 rS 經(jīng)過約定的變換后生成 session key Seq 需要一個選擇方案，由于，服務器一般是計算 seq1，seq2，seqn（遞進的）次 需要一個選擇方案，由于， ， ， ， （遞進的） 所以， 的 hash 值，所以，中間人可能截獲的是 seq1，它發(fā)給客戶端為 seqn，這樣他截獲客戶 ， ， 的時候， 做完 seq1 次 hash 的 hash1，然后，它等到服務器發(fā)送 seqn 的時候，可以將 hash1 做 ，然后， 發(fā)給服務器，這樣就能登錄到服務器上了。 （seqn-seq1）次 hash 的 hashn 發(fā)給服務器，這樣就能登錄到服務器上了。 ） 解決方案如下圖： 解決方案如下圖： ？ Diffie-Hellman 也存在中間人攻擊：見書 17