计算机网络安全复习简洁版.docx
- 文档编号:4867791
- 上传时间:2022-12-11
- 格式:DOCX
- 页数:29
- 大小:130.51KB
计算机网络安全复习简洁版.docx
《计算机网络安全复习简洁版.docx》由会员分享,可在线阅读,更多相关《计算机网络安全复习简洁版.docx(29页珍藏版)》请在冰豆网上搜索。
计算机网络安全复习简洁版
网络安全主要复习点:
1、密码学
2、信息隐藏
3、网络安全防御
4、漏洞与攻击
5、隐藏与欺骗
6、恶意代码
7、取证分析
8、计算机网络的应急处理技术
第一知识点密码学
密码学的主要应用
1、密码学主要致力于信息加密、信息认证、数字签名和密钥管理等方面的研究。
它所能提供的安全服务至少上有四种:
-机密性(Confidabiality)
-完整性(Integrety)
-真实性(Authenticity)
-不可抵赖性(Non-repudiation)。
2、机密性指的是:
除了收发双方之外,任何其他截获这些信息的人无法从字面上解读、也无法凭借现阶段可获得的计算资源将原文还原,只有共享秘密的接收方才能够正确解密并阅读。
3、完整性指的是:
通过对原文进行的某种操作,得到原文的一个“忠实的”缩影。
在现阶段可以获得的计算资源条件下,对原文的任何一点改动,都会导致相应缩影的改动,以此来保证接收方收到的信息恰恰就是发信方发出的原文,没有经过任何篡改和破坏。
4、真实性指的是:
通过对原文进行的某种操作,得到发信方在原文上的一个“签名”。
一个在现阶段可以获得的计算资源条件下,这个签名很容易验证但很难模仿。
以此来确认接收到的信息确实是发信方发的,不是别人仿冒的。
5、不可抵赖性指的是:
通过上述的“签名”,来确认发信方确实发了接收方收到的信息。
他想否认都做不到:
因为在现阶段可以获得的计算资源条件下,如果不是发信方发的,将无法解释接收方何以能够收到具有那样“签名”的信息。
2、历史上的密码:
滚筒密码、凯撒密码
3、两个加密技巧:
1、移位,或叫置换(Transpositioncipher):
将字母顺序重新排列,例如‘helpme’变成‘ehplem’;
2、替代,或叫代换(Substitutioncipher):
有系统地将一组字母换成其他字母或符号,例如‘flyatonce’变成‘gmzbupodf’(每个字母用下一个字母取代)。
*****************对于加密解密技术,请自行参照课件(资料过多)*********************
4、密码分析者攻击密码系统的方法主要有以下三种:
1、穷举攻击:
指密码分析者采用依次试遍所有可能的密钥对所获密文进行解密,直至得到正确的明文;或者用一个确定的密钥对所有可能的明文进行加密,直至得到所获得的密文。
2、统计分析攻击:
指密码分析者通过分析密文和明文的统计规律来破译密码。
3、数学分析攻击:
指密码分析者针对加解密算法的数学基础和某些密码学特性,通过数学求解的方法来破译密码。
5、蛮力搜索
1、总是尽一切可能以简单的关键
2、最基本的攻击,密钥大小成正比
3、假定或者知道/承认明文
6、狐狸尾巴:
概率分布
1、单个字母对单个字母,不管怎样变换,字母的出现概率在一个具体的语言里面是十分稳定的
2、稳定的概率是破译这种经典密码体制的关键
7、密码体制的安全性
1、无条件安全性:
如果密码分析者具有无限的计算能力,密码体制也不能被攻破,那么这个密码体制就是无条件安全的。
2、计算安全性:
如果攻破一个密码体制的最好的算法用现在或将来可得到的资源都不能在足够长的时间内破译,这个密码体制被认为在计算上是安全的。
3、可证明安全性:
可证明安全性只是说明密码体制的安全与一个问题是相关的,并没有证明密码体制是安全的,可证明安全性也有时候被称为归约安全性。
8、加密体制的分类
1、流(序列)密码
2、分组密码(无密钥体制、单密钥体制、公钥体制)
9、流密码模型
10、分组密码体制
11、无密钥体制、单密钥体制、公钥体制特点比较
1、无密钥体制特点
1、不需要密钥(收发双方的共享秘密),因而不需要密钥管理,相对安全
2、尚未找到相应的比较安全的数学算子(满足交换性)
3、需要两次通信,代价和可靠性都有问题
2、单密钥体制特点
1、效率高,容易实现
2、安全性还可以
3、密钥的分发和管理是大问题
-安全性问题(需要另外的安全信道发送)
-管理复杂性问题(N个人两两通信需要多少个单钥?
)O(N^2)
3、公钥体制
1、效率较低,硬件实现难度稍大
2、安全性好
3、密钥管理相对容易
第二知识点信息隐藏
3、信息隐藏(伪装)就是将秘密信息秘密地隐藏于另一非机密的文件内容之中。
其形式可为任何一种数字媒体,如图象、声音、视频或一般的文档等等;
4、密码隐藏了信息的内容
信息伪装隐藏了信息的内容+信息的存在;
5、信息安全和伪装式信息安全技术是互补的;
6、信息伪装技术研究的内容包括:
信息隐藏和信息的版权认证,信息访问的合法身份认定等。
其研究涉及密码学,图象处理,模式识别,数学和计算机科学等领域。
7、信息隐藏的特性:
1)隐蔽性;2)安全性;
3)对称性;4)可纠错性。
8、信息隐藏的应用
-信息隐藏
✓伪装式隐蔽通信
-数字水印
-数字版权管理DRM
✓数字产品的版权保护
9、信息伪装技术(广义信息隐藏)
-为防止数据泄漏,在某种载体中嵌入数据
-古代的隐写术(Steganography):
隐蔽机密信息
11、信息隐藏的必要性
▪信息隐藏
-加密:
对秘密信息本身进行保护,但信息的传递过程是暴露的
-隐藏:
掩盖秘密信息存在的事实
▪将密码学与信息隐藏相结合,就可以同时保证信息本身的安全和信息传递过程的安全
▪数字水印
-数字产品的无失真复制的特点,造成版权保护和管理方面的漏洞
12、信息隐藏的技术分类:
1、隐秘信道
2、伪装术
1、基于语义的伪装术
2、基于技术的伪装术
3、匿名通信
4、版权标识
1、稳健的版权标识:
水印(不可见水印、可见水印)、指纹
2、脆弱的数字水印
第三知识点网络安全防御(防火墙、入侵检测)
**********************************防火墙***************************************
1、防火墙部署在一个网络与其他网络相连接的必经要道上,把网络世界分割成内部和外部
2、防火墙以静态的方式侦测进出网络内部的通信参数,符合条件的通信予以放行,不符合条件的通信予以截断
3、防火墙的功能和局限性
1、功能:
1、定义了一个瓶颈点(单一阻塞点)
2、提供用于监测安全事件的地点
3、方便的平台,如NAT的,使用监控的IPSECVPN的一些互联网功能
2、限制:
1、不能防范绕过防火墙的攻击
2、可能没有充分保护,防止内部威胁
3、不当的安全无线局域网
4、笔记本电脑,掌上电脑,便携式存储设备的内部使用外,其余内部使用(laptop,PDA,portablestoragedeviceinfectedoutsidethenusedinside)
4、防火墙的类型:
1、包过滤路由器
2、状态检查防火墙
3、应用层网关
4、电路层网关
5、防火墙的体系结构(防火墙的配置)
1、屏蔽路由器
2、双宿主网关
3、屏蔽主机网关
4、被屏蔽子网
6、防火墙规则配置的基本准则
1、一切未被允许的就是禁止的
2、一切未被禁止的就是允许的
7、NAT(网络地址转换)
1、做在防火墙里面的一个附带功能
2、将内网地址转换为外网地址
3、内转外:
多对一,自然实现
4、外传内:
一对多,需要维护映射标记
8、NAT的弱点
1、可以伪装合法地址、信任主机、电话拨号、合法用户等方式绕过防火墙
2、防外不防内
3、对合法性的区分能力弱(仅仅局限于地址、端口等结构特征)
4、本身可能有漏洞
5、操作系统底座的安全性可能不够
9、在遇到攻击时,防火墙可能有如下四种表现:
1、未受伤害,能够继续正常工作
2、关闭并重新启动,同时恢复到正常工作状态
3、关闭并禁止所有的数据通行
4、关闭并允许所有的数据通行
前面两种比较理想、第三种说的过去,最后一种是最糟糕的
10、防火墙面临的考验
1、网络带宽越来越大
2、防火墙所处的位置不能绕过,面临大流量的压力
3、性能成为制约防火墙发展的瓶颈
11、防火墙产业的特点
1、用户群广大
2、利润空间大
3、竞争激烈
1、软件防火墙,性能不能适应需要
2、通用芯片+嵌入式操作系统+特制软件系统,大家处在几乎相同的档次,拉不开距离
3、专用芯片,性能高,开发投入大,一旦成功较容易保持领先地位
4、国产防火墙同国外先进产品存在明显差距
5、政策壁垒相对小,国外/外资产品在个别领域受到限制
********************************入侵检测***************************************
1、入侵检测(IDS):
部署在指定的网段上(一般在防火墙里面)及早发现具有入侵特征的网络通信行为,并启动有关的处置(比如切断连接等)的系统
2、入侵检测的类型:
1、面向网络的:
在共享的网络或者交换网络的监听端口上部署,从网络流量中识别攻击特征串(比如缓冲区溢出攻击中使用的攻击代码)
2、面向主机的:
从主机的系统调用拦截、审计日志分析等渠道获取数据、识别攻击特征
3、入侵检测原理
1、入侵行为有一定的规律,通过对网络流量和主机审计记录的分析可以判断
2、判断有时间限制,只有赶在穿透成功之前实现识别和响应,才能达到拦截的效果
3、公式:
Pt>Dt+Rt(入侵检测在公式成立时才有意义)
Pt:
穿透时间
Dt:
检测时间
Rt:
响应时间
4、问题:
问什么有了防火墙还需要入侵检测?
防火墙是非常好的访问控制点,但并不善于防止入侵。
5、入侵检测的起源
1980年,JamesAnderson最早提出《计算机安全威胁监控与监视》:
入侵检测概念
1987年,D.E.Denning首次给出了一个入侵检测的抽象模型,并将入侵检测作为一种新的安全防御措施提出。
1988年,Morris蠕虫事件直接刺激了IDS的研究
1988年,创建了基于主机的系统,有IDES,Haystack等
1989年,提出基于网络的IDS系统,有NSM,NADIR,DIDS等
90年代,不断有新的思想提出,如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统
2000年2月,对Yahoo!
、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮
2001年~今,RedCode、求职信等新型病毒的不断出现,进一步促进了IDS的发展。
6、入侵检测系统包括三个功能部件(也就是入侵检测分为三步:
信息收集、信息分析、信息处理)
1、信息收集
1、收集内容包括:
系统、网络、数据及用户活动的状态和行为
2、入侵检测很大程度上依赖于收集信息的可靠性和正确性,要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当的坚固性,防止被篡改而收集到错误的信息
3、信息收集的来源
1、系统或网络的日志文件
2、网络流量
3、系统目录和文件的异常变化
4、程序执行中的异常行为
2、信息分析(模式匹配、统计分析、完整性分析)
1、模式匹配:
就是将收集到的信息与已知的网络入侵和系统误用模式数据进行比较,从而发现违背安全策略的行为
2、统计分析:
首先给系统对象(用户、文件、目录和设备等)创建一个系统描述,统计正常使用时的一些测量属性(访问次数、操作失败次数和延时等)
3、完整性分析(往往用于事后分析):
主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。
在发现被更改的,被安装木马的应用程序方面特别有效。
3、结果处理
1、误报:
系统错误地将异常活动定义为入侵
2、漏报:
系统未能检测出真正的入侵行为
7、入侵检测分类:
1、按照分析方法:
异常检测、误用检测
2、按照数据来源:
基于主机、基于网络
8、异常检测模型:
首先总结正常操作应该具有的特征(用户轮廊),当用户活动与正常行为有重大偏离时即被认为是入侵
1、异常检测:
1、前提:
入侵是异常活动的子集
2、用户轮廓(Profile):
通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围
3、过程
4、指标:
漏报率低,误报率高
2、异常检测的特点:
1、异常检测系统的效率取决于用户轮廓的完备性和监控的频率
2、因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵
3、系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源
9、误用检测模型:
收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵
1、误用检测:
1、前提:
所有的入侵行为都有可被检测到的特征
2、攻击特征库:
当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵
3、过程
4、指标:
误报低、漏报高
2、误用检测特点:
1、采用特征匹配,滥用模式能明显降低错报率,但漏报率随之增加。
2、攻击特征的细微变化,会使得滥用检测无能为力
10、基于主机:
系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机
11、基于网络:
系统获取的数据是网络传输的数据包,保护的是网络的运行
12、入侵检测响应机制
1、弹出窗口报警
2、e-mail通知
3、切断TCP连接
4、执行自定义程序
5、与其他安全产品交互:
firewall、SNMPTrap
13、蜜罐:
1、一个高级的网络节点可以采用路由器把攻击者引导到一个经过特殊装备的系统上,这种系统被成为蜜罐。
2、蜜罐的分类:
1、交互性:
攻击者在蜜罐中活动的交互性级别
2、低交互型-虚拟蜜罐
3、高交互型-物理蜜罐
4、虚拟机蜜罐-虚拟硬件、真实操作系统/网络服务
3、蜜罐技术的优势:
1、高度保真的小数据集
1、低误报率
2、低漏报率
2、能够捕获新的攻击方法及技术
3、并不是资源密集型
4、原理简单,贴近实际
4、蜜罐技术的发展历程:
蜜罐—蜜网—蜜场
5、蜜罐技术研究热点:
虚拟蜜罐工具、蜜网体系框架、蜜场、客户端蜜罐—捕获并分析针对客户端的安全威胁
6、蜜网技术实质上就是一种研究型、高交互型的蜜罐技术,是一个体系框架
7、蜜网技术的核心需求:
1、数据控制机制
2、数据捕获机制
3、数据分析机制
12、CIDF是一套规范,它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议
13、CIDF的规格文档由四部分组成,分别为:
1、体系结构:
阐述了一个标准的IDS的通用模型
2、规范语言:
定义了一个用来描述各种检测信息的标准语言
3、内部通讯:
定义了IDS组件之间进行通信的标准协议
4、程序接口:
提供了一整套标准的应用程序接口
第四知识点漏洞与攻击
1、漏洞是程序的一种客观存在的脆弱性,可以被利用来实施攻击
2、攻击是对漏洞的最直观的验证方式,攻击在某些条件下也是最好的防御
3、拥塞:
1、因处理能力或某种必备资源不足而产生的失去服务能力的现象,也叫“拒绝服务”(Denialofservice)
2、人为造成目标主机或网络处于拥塞状态的行为,称为“拒绝服务攻击”
3、拒绝服务攻击不可能对目标主机进行实质性的破坏,但可能造成因服务停顿而带来的损失(可能非常之巨大)
4、主要的攻击方式:
邮件炸弹攻击(垃圾邮件与邮件炸弹)、ping风暴攻击、同步风暴攻击、IP碎片攻击、分布式拒绝服务攻击
5、同步风暴攻击:
英文Synflood,是利用TCP三次握手中的漏洞造成主机拥塞
6、同步风暴攻击为什么能够得手
1、目标系统有漏洞
2、具体地说,握手机制的实现,顺序有问题——申请开销过早
3、如果先花费少量开销维持握手状态,等到对方的ACK来了之后再申请真正的开销,情况就会好得多
7、同步风暴攻击应对
1、目标系统更新版本,握手机制的实现采用新顺序,推迟申请开销的时机
2、安装IDS
3、发现可疑IP立即封锁
4、各个ISP联防协查
8、IP碎片攻击原理
1、所有攻击,都是在报片偏移上做文章
2、Jolt2(右界溢出):
在报片重组时造成溢出,一些未打补丁的windows系统会造成蓝屏、死机
3、Teardrop(报片重叠0:
在报片重组时造成重叠,一些老的linux版本在遇到重叠时会导致系统崩溃(重叠)
8、分布式拒绝服务攻击:
英文DistributedDenialofService,简称DdoS。
顾名思义,是多个攻击源同时攻击,造成目标系统拥塞。
每个攻击源的攻击手法可以相同,也可以不同。
攻击源受控于同一攻击者
9、DDoS的步骤
1、部署主攻节点
2、控制僵尸,植入攻击程序
3、向主攻节点发送攻击启动命令(很可能是非常隐蔽的,比如进行了加密)
4、主攻节点向僵尸发送攻击启动命令
5、各僵尸在同一时间对准同一目标发起DoS攻击(比如ping风暴、同步风暴、垃圾Web请求等),而且僵尸发出的攻击包可能伪造假的IP源地址
10、对拥塞攻击的总体评价
1、攻击深度不够,只能瘫痪系统,不能控制系统
2、局部合法,整体非法
3、小带宽具有天然劣势,可通过分布式等手段,放大杀伤力,化局部劣势为全局优势
4、商店的比喻:
纠集大批人群占据柜台,光问价不买东西
11、访问权限的获取,是对目标系统进行控制的必由之路
1、访问权限的获取有如下途径:
1、获取口令
1、通过“社会工程”获取口令
2、通过窃听获取口令
3、通过猜测获取口令
4、通过计算(破译)获取口令
2、利用隐通道
1、利用缓冲区溢出制造隐通道
2、利用后门制造隐通道
12、什么是社会工程学方法
1、窥探:
看别人击键、隐蔽录像
2、骗取:
假冒可信任的人的名义
3、利用管理漏洞和目标系统管理者的疏忽:
纸条
13、社会工程学方法的防范:
好的文化、好的习惯、好的管理(最关键)
14、什么是“弱口令”
直观上说,容易猜测的口令就是弱口令
严格地说,如果存在一个函数,任给一个特定的用户ID及其必要的相关信息作为自变量,那么这个函数只需要少量的计算代价就会得出包含该用户口令的一个范围很小的集合,那么就称这个用户使用的口令是一个弱口令
15、绝对弱口令与相对弱口令
猜测口令的代价与用户ID及其相关信息无关的,这种弱口令称为绝对弱口令,比如使用英文单词作为口令
猜测口令的代价与用户ID及其相关信息有关的,这种弱口令称为相对弱口令,比如用户ID为zhangsan,用户口令为zhangsan或者zhangsan123
16、绝对弱口令的猜测攻击
1、绝对弱口令一般都属于一个公用的封闭集合,例如一部字典
2、绝对弱口令攻击就是遍历这个封闭的集合,由于前述原因又被称为字典攻击
3、遍历一个有几万个元素的封闭集合,对于现代计算机来说代价是非常小的
17、对绝对弱口令攻击的防范
1、设定最大不成功登录次数,防止多次口令试探
2、避免使用现成的中英文单词作为口令
18、相对弱口令的猜测攻击
1、相对弱口令依据的变换:
前后缀、重复、头声母组合
2、信息+变换:
一个并不大的空间
3、有些工具把绝对弱口令和相对弱口令的猜测放在一起
19、缓冲区溢出攻击
1、现象:
给函数传递超出预期大小的参数,使系统进入异常状态
2、后果:
取得对目标系统的部分或全部控制权
20、什么是“缓冲区”?
1、缓冲区:
内存中一块连续的区域,用于储存相同类型的数据实例;
2、缓冲区定义类型:
1、静态分配内存:
装载时分配的数据段——loadtime,datasegment;
2、动态分配内存:
运行时分配的堆栈——runtime,stack.
21、缓冲区溢出攻击控制目标系统的条件
1、被攻击的具有缓冲区溢出漏洞的程序以超级用户(Root)身份运行
2、嵌入越界数据的攻击代码是一段ShellCode,通过Root的执行,达到控制系统的目的
22、制造远程缓冲区溢出的途径
1、通过服务程序(ftpd,sendmail等)
2、通过Web请求携带的CGI参数或ASP/PHP脚本
3、通过打包拆包编码工具
23、缓冲区溢出的预防
1、程序指针完整性检查
2、堆栈保护方法和非执行缓冲区方法
3、兼容性和性能的考虑
24、缓冲区溢出攻击的应对
1、注意跟踪最新的安全事件报告和漏洞报告,及时升级、打补丁
2、安装IDS,很多缓冲区溢出漏洞有明确的攻击特征串
3、一般不容易发现,发现时要及时切断网络连接,更换超级用户口令
4、缓冲区溢出只是引子,它引导执行的那段攻击代码却可以千差万别,各自造成的损失(比如网页被黑,文件被盗被破坏等)有各自的应对办法
第五知识点隐藏与欺骗
1、IP欺骗
1、Unix主机间可以定义一些信任关系,有了这些信任关系,就可以在一个小圈子里弱化安全策略,简化访问控制的手续
2、IP欺骗攻击就是利用了这种信任关系,采用技术欺骗手段达到攻击的目的
3、概括来说,IP攻击可以归纳为以下五点:
1、找出B与C的信任关系
2、封死你要冒充的主机C,以免它对你攻击B造成干扰
3、连接到B主机的某个端口(比如25)来猜测ISN的变化规律
4、与B主机建立虚假连接并骗取B的信任关系
5、其它后续手段
2、TCP劫持攻击
1、我们可以首先控制一台已经和目标主机建立起连接的机器,模仿它的序列号但把源地址替换成一个子虚乌有的IP地址,然后无缝地切换到自己的机器上,同时继续保持刚才的假地址和序列号,做更多的事情。
这种攻击叫做“TCP劫持攻击”或“会话劫持攻击”
3、域名欺骗攻击
1、你是否遇到这样的情况:
本来想登录网站甲,结果却走进了网站乙。
你以为网站甲被黑了,其实网站甲的数据完好无损,只不过你接收到的数据并不来自网站甲而是来自网站乙。
都是域名惹的祸——在域名解析这个环节,你被欺骗了,有人向你伪造了关于这个域名的IP地址的信息
2、域名欺骗的实现路径
1、通过伪造的电子邮件注册域名修改信息
2、通过请求重定向
3、通过伪造DNS应答包
4、通过控制DNS服务器
4、隔离!
=隔绝
5、安全策略上具有共性的网络互联而成的整体,叫做一个安全域。
不同的安全域之间,在安全策略上有所不同,需要一种技术措施来加以维持。
这种维持不同安全域之间不同安全策略“压差”的技术措施,称为广义的“隔离”。
6、隔离的等级与狭义隔离
1、(不设防连接)网络之间存在不受控的即时连接
2、(设防连接)网络之间存在受控的即时连接
3、(逻辑隔离)网络之间存在受控的延时数据交换
4、(物理隔离)网络之间不存在任何数据交换
7、隔离等级与安全域等级
1、隔离等级标记:
A
2、把网络视为节点,把网络之间的可能施加了某种隔离措施的连接视为边,则构成一个图(无向)G,边上的权值为隔离等级标记
3、一个具有隔离等级X的安全域是G的一个子图G’,满足
1、G’的节点与非G’的节点之间的边的隔离等级均不小于X
2、G’的节点之间的边的隔离等级均不大于X
8、狭义隔离
1、定义:
在同一个物理办公环境中,容纳两个(或以上)安全域,以尽可能小的成本保证它们之间不发生数据交换(等级D)或只发生受控的延时数据交换(等级C)
2、手段:
切断或接管控制网间数据交换的一切可能的隐蔽通道
9、狭义隔离的典型应用
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机 网络安全 复习 简洁