計算機網(wǎng)絡上的通信面臨的威脅
- 截獲——從網(wǎng)絡上竊聽他人的通信內(nèi)容。(被動攻擊)(例如cain軟件)
- 中斷——有意中斷他人在網(wǎng)絡上的通信。(主動攻擊)
- 篡改——故意篡改網(wǎng)絡上發(fā)送的報文。(主動攻擊)(例如cain軟件)
- 偽造——偽造信息在網(wǎng)絡上傳送。(主動攻擊)
截取信息的攻擊稱為被動攻擊,而更改信息和拒絕用戶使用資源的攻擊稱為主動攻擊
例如,cain軟件能夠截獲和篡改本網(wǎng)段的的報文。它是在主機通過ARP協(xié)議尋找網(wǎng)關地址(想上網(wǎng))的時候,用ARP欺騙,把本電腦的地址發(fā)給那個主機,此時,網(wǎng)段內(nèi)的所有的計算機的報文都會發(fā)給cain,這樣主機訪問外網(wǎng)的時候,都是通過cain訪問的(主機訪問cain提供的假域名,cain去訪問真的域名,再把信息轉(zhuǎn)給主機,這是一種DNS劫持),既能篡改DNS解析結(jié)果,還能獲取密碼。同樣的道理,局域網(wǎng)管理員可以在網(wǎng)關設置監(jiān)視端口,獲得本網(wǎng)段的所有信息。
- 中斷——拒絕服務式攻擊
舉例:DoS拒絕服務式攻擊,通過在網(wǎng)絡上擁擠一些沒用的數(shù)據(jù)包來組斷網(wǎng)絡。一般會占用下載通道ADSL而不是上傳通道UDP,因為下載的帶寬要大得多。
DDoS分布式攻擊,可以在網(wǎng)絡上找很多有漏洞的網(wǎng)站(肉雞),給指定的服務器發(fā)流量來使網(wǎng)絡擁擠吃掉帶寬,對于這種方式?jīng)]有什么好辦法。
DDos攻擊
- 篡改——修改域名解析的結(jié)果
類似于釣魚網(wǎng)站,當用戶想出入建設銀行的域名,解析錯誤導致用戶訪問了錯誤的網(wǎng)站,當用戶輸入賬號密碼的話就會導致信息泄漏。 - 偽造——偽裝成其它主機的IP地址
趁其它主機關機時,把IP地址偽裝成該主機的IP地址,從而獲取信息。
計算機面臨的威脅——惡意程序(rogue program)
- 計算機病毒——會“傳染”其它程序,“傳染”是通過修改其它程序來把自身或其變種復制進去完成的。(熊貓燒香)
- 計算機蠕蟲——通過網(wǎng)絡的通信功能將自身從一個結(jié)點發(fā)送到另一個結(jié)點并啟動運行的程序。(消耗CPU資源)
- 特洛伊木馬——一種程序,它執(zhí)行的功能超過所聲稱的功能。(和(1)(2)的區(qū)別是會和外界通信)
- 邏輯炸彈——一種當運行環(huán)境滿足某種特定條件時執(zhí)行其它特殊功能的程序。
木馬程序的識別
查看會話netstat -n看看是否有可疑的會話;運行msconfig服務,把隱藏微軟服務掉,看看剩下的有哪些刻意;殺毒軟件。
加密技術
廣泛應用于應用層加密。
對稱加密
加密密鑰和解密密鑰是同一個。缺點:密鑰不適合在網(wǎng)上傳;密鑰是一對一的,如果有很多主機相互通信,有很多密鑰需要維護;優(yōu)點:效率高。加密包括加密算法和加密密鑰。
數(shù)據(jù)加密標準DES
- 它屬于常規(guī)密鑰密碼體制,是一種分組密碼。在加密前,先對整個銘文進行分組,每一個租場為64位,然后對每一個64位二進制數(shù)據(jù)進行加密處理,產(chǎn)生一組64位密文數(shù)據(jù)。最后將各組密文串接起來,即得出整個密文。使用的密鑰是64位(實際密鑰長度為56位,有8位數(shù)用來奇偶校驗)。
- DES的保密性
僅取決于對密鑰的保密,而算法本身是公開的。盡管人在破譯DES上有很多進展,但是至今沒有找到比窮舉搜索密鑰更有效的方法。
DES是世界上第一個公認的使用密碼算法標準,它曾對密碼學的發(fā)展做出了重大貢獻。
目前較為嚴重的問題是DES的密鑰的長度。
現(xiàn)在已經(jīng)設計出來搜索DES密鑰的專用芯片。
DES算法公開,所以破解取決于密鑰長度,56位密碼破解需要3.5-21min;128位密鑰破解需要5.4*10^18年。
非對稱加密
- 加密密鑰和解密密鑰是不同的,有一對密鑰對,公鑰和私鑰。
要么公鑰加密私鑰解密;要么私鑰加密公鑰解密。 - 優(yōu)點:給出私鑰和公鑰其中一個無法算出另一個。
- 缺點:效率低。
- 非對稱加密實現(xiàn)細節(jié):
設A是非對稱加密機制;B為對稱加密機制;A1要給A2傳一組數(shù)據(jù),很大,如果直接用非對稱加密花的時間很長;為了加快速度,用對稱加密手段B來加密這個數(shù)據(jù)得到加密后數(shù)據(jù)B’和密鑰B給A1,速度很快;然后A1對密鑰B進行非對稱加密得到公鑰A1’;A1把密鑰A1’和數(shù)據(jù)B’發(fā)給A2;A2運用私鑰解密A1’獲得密鑰B,再用密鑰B解密這個數(shù)據(jù),最終得到想要的結(jié)果。
通過這種對數(shù)據(jù)采用對稱加密,對對稱加密的密鑰進行非對稱加密的方式能實現(xiàn)快速加密。
數(shù)字簽名
防止抵賴,能夠檢查簽名后的內(nèi)容有沒有被更改過。
證書頒發(fā)機構(gòu)CA
來驗證公鑰是否是證書頒發(fā)機構(gòu)認證過。為企業(yè)和用戶頒發(fā)數(shù)字證書,確認這些企業(yè)和個人的身份;如果證書丟失,它要發(fā)布證書吊銷列表;企業(yè)和個人是信任證書頒發(fā)機構(gòu)的。
Internet上使用的安全協(xié)議
安全套接字ssl(Secure Sockets Layer)
- ssl的位置
是在應用層和傳輸層之間進行加密。好處是應用層和傳輸層都不需要來加密。不需要應用程序(應用層)來支持,但是需要在服務器配置證書。
例如,不使用ssl加密使用的是http://,使用ssl加密是https://。
注意,http://使用的是TCP的80端口,而https://使用的是TCP的443端口。
- ssl的配置(加密的實現(xiàn))(https://)
客戶端有一個瀏覽器IE,想要訪問服務器端的網(wǎng)站web;
瀏覽器IE要訪問網(wǎng)站web,此時網(wǎng)站web會把他的公鑰給瀏覽器IE;
瀏覽器IE通過校驗CA證書確保網(wǎng)站web的公鑰是可靠的;
瀏覽器IE會產(chǎn)生一個對稱密鑰;
瀏覽器IE拿著網(wǎng)站web的公鑰對它的對稱密鑰進行加密,發(fā)給網(wǎng)站web;
網(wǎng)站web用它的私鑰進行解密,就得到了瀏覽器IE的對稱密鑰;
所以說,本質(zhì)上是用對稱密鑰對數(shù)據(jù)進行加密的,公鑰和私鑰是用來對這個對稱密鑰進行加密的。這也是為什么https://剛開始打開的時候會有一些慢。 - 另外一些協(xié)議使用的安全套接字ssl時對應的TCP端口
imaps tcp-993
pop3s tcp-995
smtps tcp-465
https tcp-443 - ssl提供的三個功能
->ssl服務器鑒別:允許用戶證實服務器的身份;具有ssl功能的瀏覽器維持一個表,上面有一些可信賴的認證中心CA(Certificate Authority)和它們的公鑰。
->加密的ssl會話:客戶和服務器交互的所有數(shù)據(jù)都在發(fā)送方加密,在接收方解密。
->ssl客戶鑒別:允許服務器證實客戶的身份。
網(wǎng)絡層安全IPSec
網(wǎng)絡層安全是底層安全,不需要應用程序支持,也不需要配置證書,對用戶是透明的(感覺不到)。
- 安全關聯(lián)SA(Security Association)
在使用AH或ESP之前,先要從源主機到目的主機建立一條網(wǎng)絡層的邏輯連接。此邏輯連接叫做安全關聯(lián)SA。
IPsec就把傳統(tǒng)的Internet無連接的網(wǎng)絡層轉(zhuǎn)換為具有邏輯連接的層。
SA是構(gòu)成IPSec的基礎,是兩個通信實體經(jīng)過協(xié)商(利用IKE協(xié)議)建立起來的一種協(xié)定,它決定了用來保護數(shù)據(jù)分組安全的安全協(xié)議(AH協(xié)議(只簽名:只關心發(fā)送方的身份而不關心數(shù)據(jù)是否被竊取)或ESP協(xié)議(既簽名又對數(shù)據(jù)加密)),轉(zhuǎn)碼方式,密鑰及密鑰的生存周期等。 - IPsec中最主要的2個協(xié)議
- 鑒別首部AH(Authentication Header):AH鑒別源點和檢查數(shù)據(jù)完整性,但不能保密。
在使用AH時,把AH首部插在原數(shù)據(jù)報數(shù)據(jù)部分的簽名,同時把IP首部中的協(xié)議字段設置為51.
在傳輸過程中,中間的路由器都不查看AH首部。當數(shù)據(jù)報到達終點時,目的主機才會處理AH字段,以鑒別源點和檢查數(shù)據(jù)報的完整性。
- 封裝安全有效載荷ESP(Encapsulation Security Payload):ESP比AH復雜的多,它鑒別源點,檢查數(shù)據(jù)完整性和提供保密。
使用ESP時,IP數(shù)據(jù)報首部的協(xié)議字段設置為50.當IP首部檢查到協(xié)議字段是50時,就知道在IP首部后面緊跟著ESP首部,同時在原IP數(shù)據(jù)報后面增加了2個字段,即ESP尾部和ESP數(shù)據(jù)。
數(shù)據(jù)鏈路層安全(鏈路加密與端到端加密)
PPP 身份驗證ADSL
防火墻(firewall)
防火墻的功能
(1)阻止:阻止某種類型的通信量通過防火墻(從外部網(wǎng)絡到內(nèi)部網(wǎng)絡,或反過來)。(2)允許:允許某種類型的通信量通過防火墻(從外部網(wǎng)絡到內(nèi)部網(wǎng)絡,或反過來)。防火墻必須能夠識別通信量的各種類型。一般是阻止功能。
防火墻的結(jié)構(gòu)
DMZ是公司內(nèi)部的服務器。內(nèi)網(wǎng)可以訪問外網(wǎng),外網(wǎng)不能訪問內(nèi)網(wǎng),只能訪問服務器DMZ。