网络安全基础第四版期末总结.docx

计算机网络安全:对某个自动化信息系统的保护措施,其目的在于实现信息系统资源的完整性,可用性,以及机密性.被动攻击企图了解或利用系统信息但是不侵袭系统资源.本质是窃听或监视数据传输.目标是获取传输的数据.有消息内容泄露和流量分析.主动攻击则试图改变和=系统资源或侵袭系统操作.包含数据流的改写和错误数据流的添加,可以分为假冒,改写消息,重放,拒绝服务.五类安全服务:1.认证2.访问控制3.数据机密性4.数据完整性5.不可抵赖性代替密码:优点:明文字符的形态一般将面目全非.缺点:明文位置不变.移位密码:位置改变,形态不变对称加密方案由明文,加密算法,秘密密钥,密钥,解密算法组成.攻击类型从唯密文到已知明文到选择明文到选择密文到选择文本,对攻击者来说逐渐变容易.最常用的对称加密算法是分组密码.DES:明文长度64比特,密钥56比特,采用16轮迭代,每一轮产生一个子密钥,为48比特.3DES使用3个密钥并执行3次des算法，奇组合过程按加密解密加密的顺序。第二步使用的解密没有密码方面的意义。它唯一的好处是让3DES的使用者能够解密原来单重DES使用者加密的数据，有效密钥长度为168比特。AES使用的分组大小为128比特，密钥长度可以为128,192,256比特。128是最常用的长度。密钥被扩展成为一个子密钥的数组；每个字是4字节，而128比特的密钥，子密钥有44个字。AES不是FEISTEL结构，在每轮替换和移位时都并行处理整个数据分组。进行了四个不同的步骤，一个移位，三个替换。字节替换：使用一个表来对分组进行逐一的字节替换。除消息保密性外,消息认证也是一个重要的安全网络功能.消息认证是指防止主动攻击和被动攻击的方法.消息认证有两个重要的方面:验证消息的内容有没有被篡改和验证信源是否可信.散列函数的目的是为文件，消息或其他数据块产生指纹。有如下性质:1.H可适用于任意长度的数据块2.能生成固定长度的输出3. 对于任意给定的x，计算H(X)相对容易。4.对于任意给定的H，计算H(X)=H的X在计算上不可行。单向性或抗原攻击性。5.找到满足h(y)=h(x)是不可行的，抗第二原像攻击性和抗弱碰撞攻击性5.找到满足h(y)=h(x)的任意一对（x,y）再计算上是不可行的。抗碰撞性，抗强碰撞性。公钥加密算法步骤：1.每个用户都生成一对密钥用来对消息进行加密和解密2.每个用户都把公钥放在公共寄存器或其他可访问的文件里，密钥自己保存。3.用公钥加密消息。4.用私钥解密安全就是一个系统地保护信息和资源相应的机密性和完整性的能力所谓信息，就是客观世界中各种事物的变化和特征的最新反映，是客观事物之间联系的表征，也是客观事物状态经过传递后的再现。实体安全：也称物理安全，是保护计算机设备、设施（含网络）以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故（如电磁污染等）破坏的措施、过程。运行安全：指为保障系统功能的安全实现，提供一套安全措施（如风险分析，审计跟踪，备份与恢复，应急等）来保护信息处理过程的安全。信息安全是对信息和信息系统进行保护，防止未授权的访问、使用、泄露、中断、修改、破坏并以此提供保密性、完整性和可用性。信息安全问题出现的原因：系统本身缺陷+系统的开放性+安全威胁和攻 信息安全问题网络安全体系密码和安全协议是网络安全的核心密钥( key ) ：控制或参与密码变换的可变参数称为密钥。 分组密码-将明文分成固定长度的组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。流密码（stream cipher)又称序列密码。序列密码每次加密一位或一字节的明文DES分组密码算法分组加密算法：明文和密文为64位分组长度对称算法：加密和解密除密钥编排不同外，使用同一算法密钥长度：有效密钥56位，但每个第8位为奇偶校验位，可忽略密钥可为任意的56位数，但存在弱密钥，容易避开采用混乱和扩散的组合，每个组合先替代后置换，共16轮只使用了标准的算术和逻辑运算，易于实现DES加密过程-输入64比特明文数据-初始置换IP-在密钥控制下16轮迭代-初始逆置IP-1-输出64比特密文数据公开密钥算法是非对称算法，即密钥分为公钥和私钥，因此称双密钥体制RSA算法的实现 实现的步骤如下：Bob为实现者 (1) Bob寻找出两个大素数p和q (2) Bob计算出n=pq 和(n)=(p-1)(q-1) (3) Bob选择一个随机数e (0e (n)，满足(e,(n)=1 (4) Bob使用辗转相除法计算d=e-1(mod(n) (5) Bob在目录中公开n和e作为公钥密码分析者攻击RSA体制的关键点在于如何分解n。若分解成功使n=pq，则可以算出(n)（p-1)(q-1)，然后由公开的e，解出秘密的d计算机系统、因特网的脆弱性是产生计算机病毒的技术原因。计算机病毒进驻内存后，既干扰系统的运行，又影响计算机系统引导过程速度的减慢的原因？（1） 病毒为了判断传染激活条件，必先要对计算机的工作状态进行监视。（2） 某些病毒为了保护自己，不但对硬盘上的静态病毒加密，而且进驻内存后的动态病毒也处于加密状态，CPU每次寻址到病毒处时要运行一段解密程序，把加密的病毒解密成合法的CPU指令后再执行。而病毒运行结束时再用一段程序对病毒重新加密，这样CPU额外执行了成千上万条指令。（3） 病毒在进行感染的同时，要插入一些有害的额外操作，特别是传染软盘时，不但计算机速度明显变慢，而且软盘正常的读写顺序被打乱，发出噪声。计算机病毒基本概念概念：编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码特征：复制、感染、隐蔽、破坏传染是病毒最本质的特征之一，是病毒的再生机制。在单机环境下，计算机病毒的传染途径有：（1） 通过磁盘引导扇区进行传染。（2） 通过操作系统文件进行传染。（3） 通过应用文件进行传染。危害：病毒运行后能够损坏文件、使系统瘫痪，从而造成各种难以预料的后果。网络环境下，计算机病毒种类越来越多、传染速度也越来越快、危害更是越来越大防治：以防为主，病原体(病毒库)是病毒防治技术的关键四个阶段：睡眠，传播，触发，执行蠕虫（Worm）通过网络连接，将自身复制到其它计算机中，但不感染其它文件。特洛伊木马（Trojan horse）表面上看起来是无害的程序或数据，实际上内含恶意或有害的代码。窃取用户数据和系统控制权木马可能造成的危害：通过远程控制对目标计算机进行危险的文件管理，包括可以从受害者的计算机查看、删除、移动、上传、下载、执行任何文件；进行警告信息发送、键盘记录、记录机内保密信息、关闭窗口、鼠标控制、计算机基本设置等非法操作。如果上传的是病毒程序或木马程序，或在受害者的计算机上打开一个FTP服务并设置一个指定端口进行这类文件管理或非法操作，其后果是不堪设想的。现代病毒特点宏病毒泛滥占现有病毒的80%自动传播和主动攻击-蠕虫特洛伊木马 后门多种传播方式：邮件、网络共享、利用IIS、IE、SQL的漏洞危害很大的病毒以邮件为载体,爆发速度快、面广有毒的移动编码-来自Internet网页的威胁木马不同于病毒，但经常被视作病毒处理，随计算机自动启动并在某一端口进行侦听；木马的实质只是一个通过端口进行通信的网络客户/服务程序特洛伊木马的种类-远程控制型/输出shell型/信息窃取型/其它类型防火墙是隔离在本地网络与外界网络之间执行访问控制策略的一道防御系统，目的是保护网络不被他人侵扰。防火墙在企业内网与Internet之间或与其他外部网络互相隔离、限制网络互访，从而实现内网保护。防火墙：是加载于可信网络与不可信网络之间的安全设备，是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。防火墙可以是软件、硬件和软硬件结合的.发展历经三代：简单包过滤、应用代理、状态检测（状态包过滤）防火墙典型的防火墙具有三个基本特性：内部网络和外部网络之间的所有网络数据流都必须经过防火墙；只有符合安全策略的数据流才能通过防火墙；防火墙自身应具有非常强的抗攻击免疫力。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。防火墙的功能1）限定内部用户访问特殊站点。2）防止未授权用户访问内部网络 3）允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源。 4）记录通过防火墙的信息内容和活动。 5）对网络攻击进行监测和报警。防火墙的体系结构一般有以下几种: 1）双重宿主主机体系结构。2）屏蔽主机体系结构。3）屏蔽子网体系结构。防火墙的类型有多种分类方法：技术上分“包过滤型”和“应用代理型”；结构上分单一主机防火墙、路由器集成式防火墙和分布式防火墙三种；应用部署位置分为边界防火墙、个人防火墙和混合式防火墙；性能上分为百兆级防火墙和千兆级防火墙。防火墙的发展趋势：功能性能不断突破；下一代网络的新需求；高速、安全、可用。 防火墙的工作模式有路由模式、透明桥模式和混合模式三大类。 端口扫描:目的:确定目标主机开启了哪些端口及相应的服务.常规扫描技术:1.调用connect函数直接连接别扫描端口2.无需任何特殊权限3.速度较慢，已被记录。高级扫描技术：1.利用探测数据包的返回信息来进行间接扫描2.较为隐蔽，不易被日志记录，不易被日志记录或防火墙发现。TCP SYN扫描-也叫半开式扫描，利用TCP连接三次握手的第一次进行扫描端口扫描工具Nmap简介被称为“扫描器之王”有for Unix和for Win的两种版本需要Libpcap库和Winpcap库的支持能够进行普通扫描、各种高级扫描和操作系统类型鉴别等使用-sS：半开式扫描 -sT:普通connect()扫描 -sU：udp端口扫描-O：操作系统鉴别-P0：强行扫描（无论是否能够ping通目标）-p：指定端口范围-v：详细模式漏洞扫描根据目标主机开放的不同应用和服务来扫描和判断是否存在或可能存在某些漏洞积极意义进行网络安全评估为网络系统的加固提供先期准备消极意义被网络攻击者加以利用来攻陷目标系统或获取重要的数据信息端口扫描最大的作用是提供目标主机网络服务的清单。端口扫描是一种非常重要的预攻击探测手段，几乎是黑客攻击的通用手段。端口扫描技术是一项自动探测本地和远程系统端口开放情况的策略及方法，它使系统用户了解系统目前向外界提供了哪些服务，从而为系统用户管理网络提供了一种手段。常见的端口扫描技术包括有TCP connect扫描、TCP SYN扫描以及秘密扫描。TCP connect端口扫描服务端与客户端建立连接成功（目标端口开放）的过程： Client端发送SYN； Server端返回SYN/ACK，表明端口开放； Client端返回ACK，表明连接已建立； Client端主动断开连接。TCP connect端口扫描服务端与客户端未建立连接成功（目标端口关闭）过程： Client端发送SYN； Server端返回RST/ACK，表明端口未开放。优点是实现简单，对操作者的权限没有严格要求（有些类型的端口扫描需要操作者具有root权限），系统中的任何用户都有权力使用这个调用，而且如果想要得到从目标端口返回banners信息，也只能采用这一方法。另一优点是扫描速度快。如果对每个目标端口以线性的方式，使用单独的connect()调用，可以通过同时打开多个套接字，从而加速扫描。这种扫描方法的缺点是会在目标主机的日志记录中留下痕迹，易被发现，并且数据包会被过滤掉。目标主机的logs文件会显示一连串的连接和连接出错的服务信息，并且能很快地使它关闭。TCP SYN扫描的优点是比TCP connect扫描更隐蔽，Server端可能不会留下日志记录。其缺点是在大部分操作系统下，扫描主机需要构造适用于这种扫描的IP包，而通常情况下，构造自己的SYN数据包必须要有root权限。秘密扫描是一种不被审计工具所检测的扫描技术。它通常用于在通过普通的防火墙或路由器的筛选（filtering）时隐藏自己。秘密扫描能躲避IDS、防火墙、包过滤器和日志审计，从而获取目标端口的开放或关闭的信息。由于没有包含TCP 3次握手协议的任何部分，所以无法被记录下来，比半连接扫描更为隐蔽。但是这种扫描的缺点是扫描结果的不可靠性会增加，而且扫描主机也需要自己构造IP包。现有的秘密扫描有TCP FIN扫描、TCP ACK扫描、NULL扫描和XMAS扫描（开放不返回，返回rst端口关闭），SYN/ACK扫描等。TCP FIN扫描的原理是扫描主机向目标主机发送FIN数据包来探听端口，若FIN数据包到达的是一个打开的端口，数据包则被简单地丢掉，并不返回任何信息，当FIN数据包到达一个关闭的端口，TCP会把它判断成是错误，数据包会被丢掉，并且返回一个RST数据包。TCP ACK扫描-扫描主机向目标主机发送ACK数据包。根据返回的RST数据包有两种方法可以得到端口的信息。方法一是： 若返回的RST数据包的TTL值小于或等于64，则端口开放，反之端口关闭。方法二是： 若返回的RST数据包的WINDOW值非零，则端口开放，反之端口关闭ping命令经常用来对TCP/IP网络进行诊断。tracert命令的作用是跟踪一个消息从一台计算机到另一台计算机所走的路径，它可以用来确定某个主机的位置。net start server命令，可以用来启动服务器。net use命令，可以通过使用这个命令将计算机与共享资源连接或断开，或者显示关于计算机连接的信息。net user命令，是用来添加或修改账户或者显示用户账户信息。密码技术：在网络安全服务中，直接、或间接几乎都要用到密码技术。安全协议：所谓安全协议就是具有安全性功能的通信协议 ，所以又称为安全通信协议。换句话来说，安全协议是完成信息的安全交换的共同约定的逻辑操作规则。安全协议的目的是通过正确地使用密码技术和访问控制技术来解决网络通信的安全问题。由于安全协议通常要运用到密码技术，所以又称为密码协议。安全协议中有关身份认证的部分，也被称为认证协议。 安全协议应包含以下基本要素：保证信息交换的安全，目的是完成某种安全任务。使用密码技术。信息交换的机密性、完整性、不可否认性等均要依赖密码技术。具有严密的共同约定的逻辑交换规则。保证信息安全交换除了密码技术以外，逻辑交换规则是否严密，即协议的安全交换过程是否严密十分重要，安全协议的分析往往是针对这一部分而进行的。使用访问控制等安全机制。性质-认证性、机密性、完整性、不可否认性 IPsec设计目标为IPv4和IPv6提供可互操作的、高质量的、基于密码学的安全性。应用 通过互联网安全分支机构接入；通过互联网进行安全远程访问；与合作者建立企业间联网和企业内网接入；加强电子商务安全功能路由器和防火墙中使用时，对通过其边界的所有通信流提供安全；防火墙内能在所有外部流量必须使用IP时阻止旁路；位于传输层之下，对所有应用都是透明的；可以对终端用户透明；必要时，能给个人用户提供安全性。 安全关联SA SA：指通信对等方之间为了给需要受保护的数据流提供安全服务时而对某些要素的一种协定，如IPsec协议(AH或ESP)、协议的操作模式(传输模式或隧道模式)、密码算法、密钥、用于保护它们之间数据流的密钥的生存期。SA用一个的三元组唯一标识传输模式：两个主机之间的安全关联；隧道模式：主机与安全网关，安全网关与安全网关之间的安全关联安全关联数据库SAD（Security Association Database):包含现有的SA条目，每一个条目由三元组索引。安全策略数据库SPD（Security Policy Database): 负责维护IPsec策略，通过使用源IP地址、目的IP地址、传输层协议、源和目的端口等组成的选择符确定每一个条目 。设计AH协议的主要目的是用来增加IP数据报完整性的认证机制。AH用于传输模式保护的是端到端的通信，通信终点必须是IPsec终点。AH头插在原始IP头之后，但在IP数据报封装的上层协议或其它IPsec协议头之前。 隧道模式中，AH插在原始IP头之前，并重新生成一个新的IP头放在AH之前。 无论是传输模式还是隧道模式，AH协议所认证的是除了可变域的整个新的IP报文。设计ESP协议的主要目的是提高IP数据报的安全性。ESP不对整个IP数据报进行认证，这一点与AH不同 。IKE就是IPsec规定的一种用于动态管理和维护SA的协议与IPsec SA不同的是，IKE SA是一种双向的关联 。SSL协议提供的