网络安全总结Word文档下载推荐.docx
- 文档编号:21167233
- 上传时间:2023-01-28
- 格式:DOCX
- 页数:16
- 大小:963.14KB
网络安全总结Word文档下载推荐.docx
《网络安全总结Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《网络安全总结Word文档下载推荐.docx(16页珍藏版)》请在冰豆网上搜索。
二次发射
生命周期控制
●网络安全策略
安全策略是指在某个安全域内,施加给所有与安全活动相关活动的一套规则。
分成三个等级:
安全策略目标:
诉求宪法
机构安全策略:
大范围法律
系统安全策略:
小范围规章
●安全攻击的分类
被动攻击(Passiveattack):
试图获得或利用系统的信息,但不会对系统的资源造成破坏。
(窃听攻击、流量分析------加密即可防止)
主动攻击(Activeattack):
试图破坏系统的资源,影响系统的正常工作
伪装攻击:
某个实体假装成其他实体,对目标发起攻击
重放攻击:
攻击者为了达到某种目的,将获得的信息再次发送,以在非授权的情况下进行传输。
消息篡改:
攻击者对所获得的合法消息中的一部分进行修改或延迟消息的传输,以达到其非授权的目的。
阻止人们正常使用网络。
●能分辨一些网络攻击
口令窃取:
口令登录、口令猜测(利用已知或假定的口令尝试;
根据窃取的口令文件进行猜测;
窃取某次合法终端之间的会话。
)、坏口令。
(Onetimepassword一次一密策略)
欺骗攻击:
邮件、音频、视频
缺陷和后门攻击
缓冲器溢出:
堆栈粉碎
缺陷(Flaws)
Morris:
因而需要确保正确性:
编写软件时:
内存分配
输入时:
编译工具
最小特权原则
认证失效
是许多攻击的根源、密码锁的作用
源地址有效性验证:
重发请求
协议缺陷
现有Internet的限制——TCP三次握手
密码学协议Sha1,DES
WEP与EAP
信息泄露
Finger
电话号码
DNS:
网络拓扑
拒绝服务(过度使用服务,使软硬件过度运行)
PingofDeath:
ICMP包
Teardrop:
IP碎片偏移重叠
UDP泛洪:
chargen服务—echo服务
SYN泛洪:
Land攻击:
源地址目的地址指向同一个位置
DOS:
RST位
DDoS:
分布式拒绝服务
指数攻击---病毒和蠕虫
●X.800的5类安全服务
认证、访问控制、数据保密性、数据完整性、不可否认性
●网络安全模型通常由6部分组成:
消息的发送方(信源)、消息的接收方(信宿)、安全变换、信息通道、可信的第三方和攻击者。
第二章TCP/IP协议族的安全性
●IP协议基本理解
一个IP数据报由首部和数据两部分组成。
首部的前一部分是固定长度,共20字节,是所有IP数据报必须具有的。
在首部的固定部分的后面是一些可选字段,其长度是可变的。
A.不能保证有序
B.不能保证完整性
——源地址的有效性:
基于IP地址的认证
IPsourcerouting
——有效载荷的完整性
C.非面向连接:
不可靠数据业务
——不能保证是否传送出去、仅传送一次
D.不能保证可靠的链路
——数据包的丢弃,TCP拥塞控制
E.数据包的分片与重组
——中间节点不能对小数据包进行拼装组合
——数据包重叠
G.无分类域间路由
——IP头部长度
——定向广播:
因为每个主机默认都会响应这个ping,导致链路流量过大而拒绝服务
IPv4报文格式:
●@ARP的安全性缺陷
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞或者实现“maninthemiddle”进行ARP重定向和嗅探攻击。
每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。
MSWindows高速缓存中的每一条记录(条目)的生存时间一般为60秒,起始时间从被创建时开始算起。
默认情况下,ARP从缓存中读取IP-MAC条目,缓存中的IP-MAC条目是根据ARP响应包动态变化的。
因此,只要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP-MAC条目。
控制报文协议ICMP的安全缺陷
介于网络层和传输层的协议,它的主要功能是传输网络诊断信息。
ICMP传输的信息可以分为两类,一类是错误(error)信息,这一类信息可用来诊断网络故障。
ICMP只提供特定类型的错误汇报,它不能帮助IP协议成为“可靠”(reliable)的协议。
另一类信息是咨询(Informational)性质的,比如某台计算机询问路径上的每个路由器都是谁,然后各个路由器同样用ICMP包回答。
重定向、Pingofdeath、PathMTU
@传输控制协议TCP的安全性
IP数据包容易丢失、被复制和乱序传递,TCP用于提供可靠的链路。
重传重组
一般只有超级用户才可创建1024以下端口
三次握手:
SYNFlood
序号选择:
序号攻击
@用户数据报文协议UDP的安全缺陷
无纠错和重传
无数据包丢弃、复制或重排序
开销比TCP小
●IPv6数据报格式
第三章数字证书与公钥基础设施
●数字证书是一种具有权威性的电子文档,其作用是证明证书中所列用户身份与证书中所列公开密钥合法且一致。
是一个用户的身份与其所持有的公钥的结合。
●PKI是一种遵循标准的利用公钥理论和技术建立的提供安全服务的基础设施。
是创建、管理、存储、分发和撤销基于公钥加密数字证书所需要的一套硬件、软件、策略和过程的集合。
目的是从技术上解决网上身份认证、电子信息的完整性和不可抵赖性等安全问题。
为网络应用提供可靠的安全服务。
PKI包括数字证书CA、注册机构RA、证书发布库、密钥备份与恢复、撤销系统、PKI应用接口。
CA数字证书认证中心,是PKI体系的核心构建。
负责发放和管理数字证书。
注册机构RA是数字证书注册审批机构,是认证中心的延伸,与CA在逻辑上是一个整体,执行不同的功能。
证书发布库集中存放CA颁发的证书和撤销列表CRL。
●认证服务
身份识别与认证、验证证书的真伪、验证身份的真伪
●数据保密性服务(数字信封机制)
●数字证书基本字段:
●证书生成步骤:
密钥生成、注册、验证、证书生成。
●数字证书管理参与方:
最终用户、注册机构RA、证书机构CA
●密钥证书链
●证书撤销原因:
私钥被破解、CA发现签发数字证书时出错、证书持有者离职
●证书撤销列表CRL:
CRL仅列出在有效期内被撤销的证书,不包含过了有效期的失效证书。
CRL包含CA的签名
CRL包括CRL发布的日期、时间和下一个CRL发布的时间
CRL列出证书序号、撤销日期和时间、撤销原因
数字证书的安全性检查操作步骤:
证书有效期检查、签名检查、证书撤销状态检查
●PMI主要负责向业务应用系统提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制,极大地简化了应用中访问控制和权限管理系统的开发与维护,并减少了管理成本和复杂性。
PMI与PKI的区别:
PKI你是谁、PMI你能做什么
●PMI模型包括三部分:
目标、权限持有者、权限验证者。
第四章网络加密与密钥管理
●链路加密:
链路加密对网络中两个相邻节点之间传输的数据加密保护;
任意一对节点和相应调制解调器之间都装有相同的密码机,并配置相同的密钥;
不同节点之间的密码机和密钥不一定相同。
加密优点:
网络中传输的消息由报头和报文组成。
链路加密,报文和报头同时加密;
掩盖了传输的起点和终点。
链路上的信息均以密文形式存在。
填充技术可以掩盖消息的频率和长度特性。
加密缺点:
在中间传输节点上存在明文。
对链路两端的设备进行同步,影响网络性能。
当通过卫星网络等极端环境下,同步等问题更为严峻。
对称密钥带来的密钥分发、密钥管理和密钥更新问题。
节点加密:
链路上的信息均以密文形式存在,在中间传输节点上不存在明文。
缺点:
节点加密,仅对报文加密,报头和路由信息以明文形式传输;
暴露了传输的起点和终点。
端到端加密:
对一对用户(不是节点)之间的数据连续地提供保护,解决在消息交换过程中由于错误路由带来的泄密。
优点:
从原点到终点始终以密文形式存在,传输过程中不解密。
有节点损坏也不会带来泄密。
系统开销小。
避免了同步问题。
不影响其他用户。
不对目的地址加密。
混合加密:
端到端和链路混合加密:
报文将被两次加密,报头由链路方式加密。
链路加密与端到端加密各自的优点。
●好坏密钥区分:
基本密钥:
基本密钥、用户密钥
存在较长时间,能与会话密钥一起控制密钥产生器
会话密钥:
数据加密密钥
短期的;
可事先约定或协议分配;
限制了同一密钥加密的密文量。
密钥加密密钥:
次主密钥
对密钥加密的密钥,各节点应该互不相同。
主机主密钥
好密钥:
(1)真正随机、等概率,如掷硬币、掷骰子等;
(2)避免使用特定算法的弱密钥;
(3)双钥系统的密钥更难以产生,因为必须满足一定的数学关系;
(4)为了便于记忆,密钥不能选得过长,而且不可能选完全随机的数串,要选用易记而难猜中的密钥;
(5)采用密钥揉搓或杂凑技术,将易记的长句子(10~15个英文字的通行短语),经单向杂凑函数变换成伪随机数串(64bit)。
●密钥分配的三种方式:
一是利用安全信道实现密钥传递;
二是利用双钥体制建立安全信道传递:
三是利用特定的物理现象(如量子技术)实现密钥传递
●可信第三方TTP三种参与方式:
协调(Inline)、联机(Online)和脱机(Offline)
在协调方式下,T足一个中间人,为A与B之间通信提供实时服务;
在联机方式下,T实时参与A和B每次协议的执行,但A和B之间的通信不必经过T;
在脱机方式下,T不实时参与A和B的协议,而是预先向A和B提供双方执行协议所需的信息。
●密钥认证(确保自己是在和安全的一方通信,而不是和中间人通信)的三种方式:
隐式密钥认证
密钥确证
显式密钥认证
●采用双钥体制的中间人攻击
(1)A1ice将其公钥发送给Bob。
Mallorv截获这公钥,并将他自己的公钥发送给Bob。
(2)Bob将其公钥发送给A1ice。
Mallorv截获这一公钥,并将他自己的公钥发送给Alice。
(3)当Alice采用“Bob”的公钥对消息加密并发送给Bob时,Mallorv会将其截获。
由于这条消息实际上采用了Mallory的公钥进行加密,因此Mallory可以采用其私钥对密文解密,并采用Bob的公钥对消息重新加密后发送给Bob。
(4)当Bob采用“Alice”的公钥对消息加密并发送给A1ice时,Mallory会将其截获。
由于这条消息实际上采用了Mallory的公钥进行加密,因此Mallory可以采用其私钥对密文解密,并采用Alice的公钥对消息重新加密后发送给Alice。
即使Bob和Alice的公钥存储在数据库中,这一攻击形式仍然有效。
截获数据库查询指令。
进入数据库修改Alice和Bob的公钥。
●联锁协议
(1)Alice发送她的公钥给Bob;
(2)Bob发送他的公钥给Alice;
(3)A1ice用Bob的公钥对消息加密,此后,她将一半密文发送给Bob;
(4)Bob用Alice的公钥对消息加密,此后,他将一半密文发送给A1ice;
(5)Alice发送另一半密文给Bob;
(6)Bob将A1ice的两部分密文组合在一起,并采用其私钥解密,Bob发送他的另一半密文给Alice;
(7)Alice将Bob的两部分密文组合在一起,并采用其私钥解密。
一半密文既不可以解密,又不可以重新加密
第五章防火墙原理与设计
●防火墙是由软件和硬件组成的系统,处于安全的网络和不安全的网络之间,根据系统管理员设置的访问控制规则,对数据流进行过滤。
防火墙对数据流的处理有三种:
允许、拒绝、丢弃
●对防火墙功能的理解(判断)
防火墙的不足:
防外不防内;
绕过防火墙的连接无效;
必须允许重要的服务通过,也为攻击预留了通道。
●防火墙基本类型及工作网络层次
包过滤、电路级、应用级防火墙
●静态包过滤防火墙(工作于网络层)
可以采用路由器上的过滤模块实现。
无需采用专门设备,低开销。
每个网络的入口都可以配备
工作原理:
采用一组过滤规则,对每个数据包进行检查,根据检查结果确定是否丢弃或转发,这种防火墙对从内网到外网和从外网到内网两个方向的数据包进行过滤。
●检查的字段
数据源地址、目的地址、源端口号、目的端口号、应用或协议
●访问控制规则库
将特定域与规则逐条比较;
默认规则:
允许一切、拒绝一切;
拒绝或接收发往/来自某个特定IP地址或者IP地址范围;
拒绝和接收发往/来自某个特定服务端口。
第六章入侵检测系统
●入侵检测模型四个部分:
数据收集器、检测器、知识库、控制器
●IDS三个主要任务:
信息收集(系统日志目录及文件中的异常改变,程序执行中的异常行为,物理形式的入侵信息)、信息分析、安全响应
●按数据来源分类:
基于网络的入侵检测系统NIDS
侦测速度快、不容易受到攻击、主机资源消耗少
来自服务其本身的攻击不经过网络,误报率高
基于主机的入侵检测系统HIDS
日志和审计记录
不同操作系统的应用层,误报少
依赖于主机及其子系统,实时性差
分布式入侵检测系统DIDS
●按入侵检测策略分类:
滥用监测减少系统负担需要不断升级
异常检测统计描述、统计正常使用时的一些测量属性可检测未知入侵漏报、误报,用户行为突然改变
完整性分析:
采用批处理,实时响应性差
●NIDS特点:
拥有成本低、攻击者转移证据困难、实时检测和响应、能够检测未成功的攻击和企图、操作系统独立。
关键技术:
IP碎片重组技术、TCP流重组技术、TCP状态检测技术、协议分析技术、零复制技术、蜜罐技术
●HIDS特点:
监视特定的系统活动、非常适用于加密和文件交换、近实时的检测和应答
不需要额外的硬件
●DIDS产生的驱动力(选择)
(1)系统的弱点或漏洞分散在网络的各个主机上,这些弱点有可能被入侵者起用来攻击网络,而依靠唯一的主机或网络,IDs不能发现入侵行为。
(2)入侵行为不再是单一的行为,而表现出协作入侵的特点,如分布式拒绝服务攻击(DDoS)。
(3)入侵检测所依靠的数据来源分散化,收集原始数据变得困难,如交换网络使得监听网络数据包受到限制。
(4)网络传输速度加快,网络的流量大,集中处理原始数据的方式往往造成检测瓶颈,从而导致漏检。
●IDS控制台的设计日志检索、探测器管理、规则管理、日志报表、用户管理
第七章VPN技术
●VPN(将物理上分布在不同地点的网络通过公用网络连接而构成逻辑上的虚拟子网)的特点:
费用低、安全保障、服务质量保证、可扩充性和灵活性、可管理性
●VPN的分类:
移动用户远程访问VPN连接(链路上的第一个数据包总是有远程访问客户机提出。
)、网关-网关VPN连接(链路的两端分别是专用网络的两个不同部分)
●VPN的隧道隧道是通过一个公用网络建立的一条穿过公共网络的安全的、逻辑上的隧道.
第二层隧道协议:
PPTP、L2F、L2TP
第二层隧道协议的缺点简单易行,但是扩展性不好,没有提供内在的安全机制,不能提供企业和企业外部客户及供应商之间会话的保密性要求。
第三层隧道协议:
GRE、VTP、IPsec、MPLS
●VPN传输模式及隧道模式
●VPN主要构成部分:
管理模块、密钥分配和生成模块、身份认证模块、数据加/解密模块、数据分组封装/分解模块、加密函数库
●IPsecVPN与TLSVPN比较
传输层安全协议VPN---TLSVPN
TLSVPN的特点:
用户不需要安装和配置客户端软件,只需在客户端安装一个浏览器。
IPSec需要复杂的配置。
允许使用数字签名和证书,提供强大地认证功能。
第八章身份认证
●身份证明基本分类:
身份验证、身份识别
●实现身份证明的基本途径:
所知、所有、个人基本特征
●口令控制基本措施:
系统消息、限制试探次数、口令有效期、双口令系统、最小长度、封锁用户系统、根口令的保护、系统生成口令。
●UNIX系统口令存储过程
口令为8个字符,采用7bitASCII码,即56bit串,加上12bit填充(一般为用户输入口令的时间信息)。
第一次输入64bit全“0”数据进行加密,第二次则以第一次加密结果作为输入数据,迭代25次,将最后一次输出变换成11个字符(其中,每个字符是A~Z,a~z,0~9,“0”,“1”等共64个字符之一)作为口令的密文。
检验时,用户发送口令和ID,系统将由ID检索出相应的填充值,并与口令一起送入加密装置算出相应密文,然后与检索出的密文进行比对。
●举例说明个人特征的身份验证
手书签字验证、指纹验证、语音验证、视网膜图样验证、虹膜图样验证、脸型验证、
●一次性口令:
一次性口令是在登录过程中加入不确定性因素,通过某种运算,使每次登陆时用户所使用的密码都不相同。
实现机制:
挑战/响应机制、口令序列机制(S/key)、时间同步机制、事件同步机制。
实现机制的对比:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 总结