網絡安全基礎第四版期末總結

1、計算機網絡安全:對某個自動化信息系統(tǒng)的保護措施,其目的在于實現(xiàn)信息系統(tǒng)資源的完整性,可用性,以及機密性.被動攻擊企圖了解或利用系統(tǒng)信息但是不侵襲系統(tǒng)資源.本質是竊聽或監(jiān)視數(shù)據(jù)傳輸.目標是獲取傳輸?shù)臄?shù)據(jù).有消息內容泄露和流量分析.主動攻擊則試圖改變和=系統(tǒng)資源或侵襲系統(tǒng)操作.包含數(shù)據(jù)流的改寫和錯誤數(shù)據(jù)流的添加,可以分為假冒,改寫消息,重放,拒絕服務.五類安全服務:1.認證2.訪問控制3.數(shù)據(jù)機密性4.數(shù)據(jù)完整性5.不可抵賴性代替密碼:優(yōu)點:明文字符的形態(tài)一般將面目全非.缺點:明文位置不變.移位密碼:位置改變,形態(tài)不變對稱加密方案由明文,加密算法,秘密密鑰,密鑰,解密算法組成.攻擊類型從唯密文到已

2、知明文到選擇明文到選擇密文到選擇文本,對攻擊者來說逐漸變容易.最常用的對稱加密算法是分組密碼.DES:明文長度64比特,密鑰56比特,采用16輪迭代,每一輪產生一個子密鑰,為48比特.3DES使用3個密鑰并執(zhí)行3次des算法，奇組合過程按加密解密加密的順序。第二步使用的解密沒有密碼方面的意義。它唯一的好處是讓3DES的使用者能夠解密原來單重DES使用者加密的數(shù)據(jù)，有效密鑰長度為168比特。AES使用的分組大小為128比特，密鑰長度可以為128,192,256比特。128是最常用的長度。密鑰被擴展成為一個子密鑰的數(shù)組；每個字是4字節(jié)，而128比特的密鑰，子密鑰有44個字。AES不是FEISTEL

3、結構，在每輪替換和移位時都并行處理整個數(shù)據(jù)分組。進行了四個不同的步驟，一個移位，三個替換。字節(jié)替換：使用一個表來對分組進行逐一的字節(jié)替換。除消息保密性外,消息認證也是一個重要的安全網絡功能.消息認證是指防止主動攻擊和被動攻擊的方法.消息認證有兩個重要的方面:驗證消息的內容有沒有被篡改和驗證信源是否可信.散列函數(shù)的目的是為文件，消息或其他數(shù)據(jù)塊產生指紋。有如下性質:1.H可適用于任意長度的數(shù)據(jù)塊2.能生成固定長度的輸出3. 對于任意給定的x，計算H(X)相對容易。4.對于任意給定的H，計算H(X)=H的X在計算上不可行。單向性或抗原攻擊性。5.找到滿足h(y)=h(x)是不可行的，抗第二原像攻擊

4、性和抗弱碰撞攻擊性5.找到滿足h(y)=h(x)的任意一對（x,y）再計算上是不可行的?？古鲎残?，抗強碰撞性。公鑰加密算法步驟：1.每個用戶都生成一對密鑰用來對消息進行加密和解密2.每個用戶都把公鑰放在公共寄存器或其他可訪問的文件里，密鑰自己保存。3.用公鑰加密消息。4.用私鑰解密安全就是一個系統(tǒng)地保護信息和資源相應的機密性和完整性的能力所謂信息，就是客觀世界中各種事物的變化和特征的最新反映，是客觀事物之間聯(lián)系的表征，也是客觀事物狀態(tài)經過傳遞后的再現(xiàn)。實體安全：也稱物理安全，是保護計算機設備、設施（含網絡）以及其它媒體免遭地震、水災、火災、有害氣體和其它環(huán)境事故（如電磁污染等）破壞的措施、過程

5、。運行安全：指為保障系統(tǒng)功能的安全實現(xiàn)，提供一套安全措施（如風險分析，審計跟蹤，備份與恢復，應急等）來保護信息處理過程的安全。信息安全是對信息和信息系統(tǒng)進行保護，防止未授權的訪問、使用、泄露、中斷、修改、破壞并以此提供保密性、完整性和可用性。信息安全問題出現(xiàn)的原因：系統(tǒng)本身缺陷+系統(tǒng)的開放性+安全威脅和攻 à信息安全問題網絡安全體系密碼和安全協(xié)議是網絡安全的核心密鑰( key ) ：控制或參與密碼變換的可變參數(shù)稱為密鑰。 分組密碼-將明文分成固定長度的組，用同一密鑰和算法對每一塊加密，輸出也是固定長度的密文。流密碼（stream cipher)又稱序列密碼。序列密碼每次加密一位或一字

6、節(jié)的明文DES分組密碼算法分組加密算法：明文和密文為64位分組長度對稱算法：加密和解密除密鑰編排不同外，使用同一算法密鑰長度：有效密鑰56位，但每個第8位為奇偶校驗位，可忽略密鑰可為任意的56位數(shù)，但存在弱密鑰，容易避開采用混亂和擴散的組合，每個組合先替代后置換，共16輪只使用了標準的算術和邏輯運算，易于實現(xiàn)DES加密過程-輸入64比特明文數(shù)據(jù)-初始置換IP-在密鑰控制下16輪迭代-初始逆置IP-1-輸出64比特密文數(shù)據(jù)公開密鑰算法是非對稱算法，即密鑰分為公鑰和私鑰，因此稱雙密鑰體制RSA算法的實現(xiàn) 實現(xiàn)的步驟如下：Bob為實現(xiàn)者 (1) Bob尋找出兩個大素數(shù)p和q (2) Bob計算出n=

7、pq 和(n)=(p-1)(q-1) (3) Bob選擇一個隨機數(shù)e (0<e< (n)，滿足(e,(n)=1 (4) Bob使用輾轉相除法計算d=e-1(mod(n) (5) Bob在目錄中公開n和e作為公鑰密碼分析者攻擊RSA體制的關鍵點在于如何分解n。若分解成功使n=pq，則可以算出(n)（p-1)(q-1)，然后由公開的e，解出秘密的d計算機系統(tǒng)、因特網的脆弱性是產生計算機病毒的技術原因。計算機病毒進駐內存后，既干擾系統(tǒng)的運行，又影響計算機系統(tǒng)引導過程速度的減慢的原因？（1） 病毒為了判斷傳染激活條件，必先要對計算機的工作狀態(tài)進行監(jiān)視。（2） 某些病毒為了保護自己，不但對硬

8、盤上的靜態(tài)病毒加密，而且進駐內存后的動態(tài)病毒也處于加密狀態(tài)，CPU每次尋址到病毒處時要運行一段解密程序，把加密的病毒解密成合法的CPU指令后再執(zhí)行。而病毒運行結束時再用一段程序對病毒重新加密，這樣CPU額外執(zhí)行了成千上萬條指令。（3） 病毒在進行感染的同時，要插入一些有害的額外操作，特別是傳染軟盤時，不但計算機速度明顯變慢，而且軟盤正常的讀寫順序被打亂，發(fā)出噪聲。計算機病毒基本概念概念：編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼特征：復制、感染、隱蔽、破壞傳染是病毒最本質的特征之一，是病毒的再生機制。在單機環(huán)境下，計算機病毒

9、的傳染途徑有：（1） 通過磁盤引導扇區(qū)進行傳染。（2） 通過操作系統(tǒng)文件進行傳染。（3） 通過應用文件進行傳染。危害：病毒運行后能夠損壞文件、使系統(tǒng)癱瘓，從而造成各種難以預料的后果。網絡環(huán)境下，計算機病毒種類越來越多、傳染速度也越來越快、危害更是越來越大防治：以防為主，病原體(病毒庫)是病毒防治技術的關鍵四個階段：睡眠，傳播，觸發(fā)，執(zhí)行蠕蟲（Worm）通過網絡連接，將自身復制到其它計算機中，但不感染其它文件。特洛伊木馬（Trojan horse）表面上看起來是無害的程序或數(shù)據(jù)，實際上內含惡意或有害的代碼。竊取用戶數(shù)據(jù)和系統(tǒng)控制權木馬可能造成的危害：通過遠程控制對目標計算機進行危險的文件管理，包

10、括可以從受害者的計算機查看、刪除、移動、上傳、下載、執(zhí)行任何文件；進行警告信息發(fā)送、鍵盤記錄、記錄機內保密信息、關閉窗口、鼠標控制、計算機基本設置等非法操作。如果上傳的是病毒程序或木馬程序，或在受害者的計算機上打開一個FTP服務并設置一個指定端口進行這類文件管理或非法操作，其后果是不堪設想的?，F(xiàn)代病毒特點宏病毒泛濫占現(xiàn)有病毒的80%自動傳播和主動攻擊-蠕蟲特洛伊木馬 后門多種傳播方式：郵件、網絡共享、利用IIS、IE、SQL的漏洞危害很大的病毒以郵件為載體,爆發(fā)速度快、面廣有毒的移動編碼-來自Internet網頁的威脅木馬不同于病毒，但經常被視作病毒處理，隨計算機自動啟動并在某一端口進行偵聽；

11、木馬的實質只是一個通過端口進行通信的網絡客戶/服務程序特洛伊木馬的種類-遠程控制型/輸出shell型/信息竊取型/其它類型防火墻是隔離在本地網絡與外界網絡之間執(zhí)行訪問控制策略的一道防御系統(tǒng)，目的是保護網絡不被他人侵擾。防火墻在企業(yè)內網與Internet之間或與其他外部網絡互相隔離、限制網絡互訪，從而實現(xiàn)內網保護。防火墻：是加載于可信網絡與不可信網絡之間的安全設備，是網絡安全政策的有機組成部分，它通過控制和監(jiān)測網絡之間的信息交換和訪問行為來實現(xiàn)對網絡安全的有效管理。防火墻可以是軟件、硬件和軟硬件結合的.發(fā)展歷經三代：簡單包過濾、應用代理、狀態(tài)檢測（狀態(tài)包過濾）防火墻典型的防火墻具有三個基本特性：

12、內部網絡和外部網絡之間的所有網絡數(shù)據(jù)流都必須經過防火墻；只有符合安全策略的數(shù)據(jù)流才能通過防火墻；防火墻自身應具有非常強的抗攻擊免疫力。防火墻的目的就是在網絡連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內部網絡的服務和訪問的審計和控制。防火墻的功能1）限定內部用戶訪問特殊站點。2）防止未授權用戶訪問內部網絡 3）允許內部網絡中的用戶訪問外部網絡的服務和資源而不泄漏內部網絡的數(shù)據(jù)和資源。 4）記錄通過防火墻的信息內容和活動。 5）對網絡攻擊進行監(jiān)測和報警。防火墻的體系結構一般有以下幾種: 1）雙重宿主主機體系結構。2）屏蔽主機體系結構。3）屏蔽子網體系結構。

13、防火墻的類型有多種分類方法：技術上分“包過濾型”和“應用代理型”；結構上分單一主機防火墻、路由器集成式防火墻和分布式防火墻三種；應用部署位置分為邊界防火墻、個人防火墻和混合式防火墻；性能上分為百兆級防火墻和千兆級防火墻。防火墻的發(fā)展趨勢：功能性能不斷突破；下一代網絡的新需求；高速、安全、可用。 防火墻的工作模式有路由模式、透明橋模式和混合模式三大類。 端口掃描:目的:確定目標主機開啟了哪些端口及相應的服務.常規(guī)掃描技術:1.調用connect函數(shù)直接連接別掃描端口2.無需任何特殊權限3.速度較慢，已被記錄。高級掃描技術：1.利用探測數(shù)據(jù)包的返回信息來進行間接掃描2.較為隱蔽，不易被日志記錄，不

14、易被日志記錄或防火墻發(fā)現(xiàn)。TCP SYN掃描-也叫半開式掃描，利用TCP連接三次握手的第一次進行掃描端口掃描工具Nmap簡介被稱為“掃描器之王”有for Unix和for Win的兩種版本需要Libpcap庫和Winpcap庫的支持能夠進行普通掃描、各種高級掃描和操作系統(tǒng)類型鑒別等使用-sS：半開式掃描 -sT:普通connect()掃描 -sU：udp端口掃描-O：操作系統(tǒng)鑒別-P0：強行掃描（無論是否能夠ping通目標）-p：指定端口范圍-v：詳細模式漏洞掃描根據(jù)目標主機開放的不同應用和服務來掃描和判斷是否存在或可能存在某些漏洞積極意義進行網絡安全評估為網絡系統(tǒng)的加固提供先期準備消極意義被

15、網絡攻擊者加以利用來攻陷目標系統(tǒng)或獲取重要的數(shù)據(jù)信息端口掃描最大的作用是提供目標主機網絡服務的清單。端口掃描是一種非常重要的預攻擊探測手段，幾乎是黑客攻擊的通用手段。端口掃描技術是一項自動探測本地和遠程系統(tǒng)端口開放情況的策略及方法，它使系統(tǒng)用戶了解系統(tǒng)目前向外界提供了哪些服務，從而為系統(tǒng)用戶管理網絡提供了一種手段。常見的端口掃描技術包括有TCP connect掃描、TCP SYN掃描以及秘密掃描。TCP connect端口掃描服務端與客戶端建立連接成功（目標端口開放）的過程： Client端發(fā)送SYN； Server端返回SYN/ACK，表明端口開放； Client端返回ACK，表明連接已建立

16、； Client端主動斷開連接。TCP connect端口掃描服務端與客戶端未建立連接成功（目標端口關閉）過程： Client端發(fā)送SYN； Server端返回RST/ACK，表明端口未開放。優(yōu)點是實現(xiàn)簡單，對操作者的權限沒有嚴格要求（有些類型的端口掃描需要操作者具有root權限），系統(tǒng)中的任何用戶都有權力使用這個調用，而且如果想要得到從目標端口返回banners信息，也只能采用這一方法。另一優(yōu)點是掃描速度快。如果對每個目標端口以線性的方式，使用單獨的connect()調用，可以通過同時打開多個套接字，從而加速掃描。這種掃描方法的缺點是會在目標主機的日志記錄中留下痕跡，易被發(fā)現(xiàn)，并且數(shù)據(jù)包會被

17、過濾掉。目標主機的logs文件會顯示一連串的連接和連接出錯的服務信息，并且能很快地使它關閉。TCP SYN掃描的優(yōu)點是比TCP connect掃描更隱蔽，Server端可能不會留下日志記錄。其缺點是在大部分操作系統(tǒng)下，掃描主機需要構造適用于這種掃描的IP包，而通常情況下，構造自己的SYN數(shù)據(jù)包必須要有root權限。秘密掃描是一種不被審計工具所檢測的掃描技術。它通常用于在通過普通的防火墻或路由器的篩選（filtering）時隱藏自己。秘密掃描能躲避IDS、防火墻、包過濾器和日志審計，從而獲取目標端口的開放或關閉的信息。由于沒有包含TCP 3次握手協(xié)議的任何部分，所以無法被記錄下來，比半連接掃描更

18、為隱蔽。但是這種掃描的缺點是掃描結果的不可靠性會增加，而且掃描主機也需要自己構造IP包?，F(xiàn)有的秘密掃描有TCP FIN掃描、TCP ACK掃描、NULL掃描和XMAS掃描（開放不返回，返回rst端口關閉），SYN/ACK掃描等。TCP FIN掃描的原理是掃描主機向目標主機發(fā)送FIN數(shù)據(jù)包來探聽端口，若FIN數(shù)據(jù)包到達的是一個打開的端口，數(shù)據(jù)包則被簡單地丟掉，并不返回任何信息，當FIN數(shù)據(jù)包到達一個關閉的端口，TCP會把它判斷成是錯誤，數(shù)據(jù)包會被丟掉，并且返回一個RST數(shù)據(jù)包。TCP ACK掃描-掃描主機向目標主機發(fā)送ACK數(shù)據(jù)包。根據(jù)返回的RST數(shù)據(jù)包有兩種方法可以得到端口的信息。方法一是：

19、若返回的RST數(shù)據(jù)包的TTL值小于或等于64，則端口開放，反之端口關閉。方法二是： 若返回的RST數(shù)據(jù)包的WINDOW值非零，則端口開放，反之端口關閉ping命令經常用來對TCP/IP網絡進行診斷。tracert命令的作用是跟蹤一個消息從一臺計算機到另一臺計算機所走的路徑，它可以用來確定某個主機的位置。net start server命令，可以用來啟動服務器。net use命令，可以通過使用這個命令將計算機與共享資源連接或斷開，或者顯示關于計算機連接的信息。net user命令，是用來添加或修改賬戶或者顯示用戶賬戶信息。密碼技術：在網絡安全服務中，直接、或間接幾乎都要用到密碼技術。安全協(xié)議：所

20、謂安全協(xié)議就是具有安全性功能的通信協(xié)議 ，所以又稱為安全通信協(xié)議。換句話來說，安全協(xié)議是完成信息的安全交換的共同約定的邏輯操作規(guī)則。安全協(xié)議的目的是通過正確地使用密碼技術和訪問控制技術來解決網絡通信的安全問題。由于安全協(xié)議通常要運用到密碼技術，所以又稱為密碼協(xié)議。安全協(xié)議中有關身份認證的部分，也被稱為認證協(xié)議。 安全協(xié)議應包含以下基本要素：保證信息交換的安全，目的是完成某種安全任務。使用密碼技術。信息交換的機密性、完整性、不可否認性等均要依賴密碼技術。具有嚴密的共同約定的邏輯交換規(guī)則。保證信息安全交換除了密碼技術以外，邏輯交換規(guī)則是否嚴密，即協(xié)議的安全交換過程是否嚴密十分重要，安全協(xié)議的分析往

21、往是針對這一部分而進行的。使用訪問控制等安全機制。性質-認證性、機密性、完整性、不可否認性 IPsec設計目標為IPv4和IPv6提供可互操作的、高質量的、基于密碼學的安全性。應用 通過互聯(lián)網安全分支機構接入；通過互聯(lián)網進行安全遠程訪問；與合作者建立企業(yè)間聯(lián)網和企業(yè)內網接入；加強電子商務安全功能路由器和防火墻中使用時，對通過其邊界的所有通信流提供安全；防火墻內能在所有外部流量必須使用IP時阻止旁路；位于傳輸層之下，對所有應用都是透明的；可以對終端用戶透明；必要時，能給個人用戶提供安全性。 安全關聯(lián)SA SA：指通信對等方之間為了給需要受保護的數(shù)據(jù)流提供安全服務時而對某些要素的一種協(xié)定，如IPs

22、ec協(xié)議(AH或ESP)、協(xié)議的操作模式(傳輸模式或隧道模式)、密碼算法、密鑰、用于保護它們之間數(shù)據(jù)流的密鑰的生存期。SA用一個<安全參數(shù)索引SPI、目的IP地址、 安全協(xié)議(AH 或ESP)>的三元組唯一標識傳輸模式：兩個主機之間的安全關聯(lián)；隧道模式：主機與安全網關，安全網關與安全網關之間的安全關聯(lián)安全關聯(lián)數(shù)據(jù)庫SAD（Security Association Database):包含現(xiàn)有的SA條目，每一個條目由<SPI、目的IP地址、IPsec協(xié)議類型>三元組索引。安全策略數(shù)據(jù)庫SPD（Security Policy Database): 負責維護IPsec策略，通

23、過使用源IP地址、目的IP地址、傳輸層協(xié)議、源和目的端口等組成的選擇符確定每一個條目 。設計AH協(xié)議的主要目的是用來增加IP數(shù)據(jù)報完整性的認證機制。AH用于傳輸模式保護的是端到端的通信，通信終點必須是IPsec終點。AH頭插在原始IP頭之后，但在IP數(shù)據(jù)報封裝的上層協(xié)議或其它IPsec協(xié)議頭之前。 隧道模式中，AH插在原始IP頭之前，并重新生成一個新的IP頭放在AH之前。 無論是傳輸模式還是隧道模式，AH協(xié)議所認證的是除了可變域的整個新的IP報文。設計ESP協(xié)議的主要目的是提高IP數(shù)據(jù)報的安全性。ESP不對整個IP數(shù)據(jù)報進行認證，這一點與AH不同 。IKE就是IPsec規(guī)定的一種用于動態(tài)管理和維護SA的協(xié)議與IPsec SA不同的是，IKE SA是一種雙向的關聯(lián) 。SSL協(xié)議提供的安全服務用戶和服務器的合法性認證、加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)、