網(wǎng)絡(luò)安全資料

拒絕服務(wù)攻擊通過使計(jì)算機(jī)功能或性能崩潰來阻止提供服務(wù)，典型的拒絕服務(wù)攻擊有：資源耗盡和資源過載。19社交工程是一種低技術(shù)含量的破壞網(wǎng)絡(luò)安全的方法，它利用說服或欺騙的方式，讓網(wǎng)絡(luò)內(nèi)部的人來提供必要的信息。22CIA三要素：保密性，完整性，可用性26TCSEC將安全分為四個(gè)方面：安全政策、可用說明、安全保障忽然文檔，七個(gè)安全級(jí)別：從低到高為D、C1、C2、B1、B2、B3、A。（其中DOS是D級(jí)，winnt是C2級(jí)，win2000是win2000 ）46算法往往不能夠保密，因此我們常常規(guī)定算法是公開的，真正需要保密的是密鑰，所以存儲(chǔ)和分發(fā)密鑰是最重要的。61所謂實(shí)際上不可攻破的密碼系統(tǒng)，是指它們?cè)诶碚撋想m然是可以攻破的，但是真正要攻破它們，所需要的計(jì)算機(jī)資源如計(jì)算機(jī)時(shí)間和容量超出了實(shí)際上的可能性。62換位密碼根據(jù)一定的規(guī)則重新安排明文字母，使之成為密文。常用的換位密碼有：列換位密碼和周期換位密碼。63代替密碼就是明文中每一個(gè)字符被替換成米問中的另一個(gè)字符，接收者對(duì)密文進(jìn)行逆替換就恢復(fù)出明文來。分類：1.簡單代替密碼（如報(bào)紙中的密報(bào)和凱撒密碼）2.同音代替密碼3.多表代替密碼（如Vigenere密碼和游動(dòng)鑰密碼）4.多字母組帶密碼65轉(zhuǎn)輪機(jī)：20世紀(jì)20年代，人們就發(fā)明機(jī)械加密設(shè)備用來自動(dòng)處理加密，大多數(shù)是基于轉(zhuǎn)輪的概念，機(jī)械轉(zhuǎn)輪用線連起來完成通常的密碼代替。轉(zhuǎn)輪機(jī)有一個(gè)鍵盤和一系列轉(zhuǎn)輪，每個(gè)轉(zhuǎn)輪是字母的任意組合，有26個(gè)位置，并且完成一種簡單代替。66密碼學(xué)分為：對(duì)稱型密碼系統(tǒng)（或單鑰密碼系統(tǒng)）和非對(duì)稱型密碼系統(tǒng)（雙鑰密碼系統(tǒng)）前者稱為傳統(tǒng)密碼系統(tǒng)，后者稱為公開密碼系統(tǒng)。73傳統(tǒng)密碼系統(tǒng)的特點(diǎn)是：加密和解密時(shí)所用的密鑰是相同的或者是類似的，即由加密密鑰可以很容易的推導(dǎo)出解密密鑰，反之亦。正因?yàn)槿绱?，我們常稱傳統(tǒng)密碼系統(tǒng)為單密鑰密碼系統(tǒng)或者對(duì)稱型密碼系統(tǒng)。同時(shí)在一個(gè)密碼系統(tǒng)中，我們不能假定加密算法和解密算法是保密的，因此密鑰必須保密。74公開密鑰的特點(diǎn)和優(yōu)點(diǎn)：加密密鑰和解密密鑰在本質(zhì)上和算法上不同的，也就是說，知道其中一個(gè)密鑰，不能夠有效的推導(dǎo)出另一個(gè)密鑰，當(dāng)然我們指的有效算法是快速算法，即多項(xiàng)式時(shí)間算法。（不需要分發(fā)密鑰的額外信道，因此可以公開加密鑰，這樣做無損整個(gè)系統(tǒng)的保密性，需要保護(hù)的緊緊是解密鑰）741977年7月15日號(hào)NBS（美國國家標(biāo)準(zhǔn)局）宣布接受IBM提供的密碼算法，作為聯(lián)邦信息加密標(biāo)準(zhǔn)46號(hào)，即DES正式頒布。74DES分組密碼系統(tǒng)是分組乘積密碼，它用56位密鑰將64位的明文轉(zhuǎn)換成64位密文，密鑰總長64位，另外8位是奇偶校驗(yàn)位。74RSA算法是迄今為止在理論上最成熟完善的共鑰密碼體制。98..用公開密鑰來保護(hù)通信，能很好的保護(hù)數(shù)據(jù)的安全性，但是由于它的加密和解密的速度都相當(dāng)慢，所以事實(shí)上公開密鑰更多的時(shí)候是用于常規(guī)加密密鑰的分發(fā)。111數(shù)字簽名的流程（第一步）：采用散列算法對(duì)原始報(bào)文進(jìn)行運(yùn)算，得到一個(gè)固定長度的數(shù)字串，稱為報(bào)文摘要，不同的報(bào)文所得到的報(bào)文摘要各異，但對(duì)相同的報(bào)文它的報(bào)文摘要卻是惟一的。在數(shù)學(xué)上保證，只要改動(dòng)報(bào)文中任何一位，重新計(jì)算出的報(bào)文摘要值就會(huì)與原先的值不相符，這樣就保證了報(bào)文的不可更改性。135基于口令的認(rèn)證方式存在嚴(yán)重的安全問題。它是一種單因素的認(rèn)證，安全性僅依賴于口令，口令一旦泄露，用戶即可被冒充。更嚴(yán)重的是用戶往往選擇見大、容易被猜測(cè)的口令。（如與用戶名相同的口令、生日、單詞等九這個(gè)問題往往成為安全系統(tǒng)最薄弱的突破口。口令一般是經(jīng)過加密后存放在口令文件夾中，如果口令文件被竊取，那么就可以進(jìn)行離線的字典式攻擊，這也是黑客最常用的手段之一。167一次性口令是變動(dòng)的密碼，其變動(dòng)來源于產(chǎn)生密碼的運(yùn)算因子是變化的。一次性口令的產(chǎn)生的因子一般都采用雙運(yùn)算因子：其一，為用戶的私有月密鑰。它代表用戶身份的識(shí)別碼，是固定不變的。其二，為變動(dòng)因子，正是變動(dòng)因子的不斷變化，才產(chǎn)生了不斷變化的一次性口令。171ModernKerberors意指有3個(gè)組成部分的網(wǎng)絡(luò)之門的保衛(wèi)者?！叭^”包括：認(rèn)證，計(jì)費(fèi)，審計(jì)177訪問控制是通過某種途徑顯式的準(zhǔn)許或限制訪問能力及范圍的一種方法。它是針對(duì)越權(quán)使用資源的防御措施，通過限制對(duì)關(guān)鍵資源的訪問防止非法用戶的侵入或因?yàn)楹戏ǖ挠脩舻牟簧鞑僮鞫斐傻钠茐模瑥亩ＷC網(wǎng)絡(luò)資源受控制地‘合法地使用。193訪問控制的常見實(shí)現(xiàn)方法有：訪問控制矩陣、訪問能力表、訪問控制表和授權(quán)關(guān)系表等。194PGP（PrettyGoodPrivacy）是一種長期在學(xué)術(shù)界和技術(shù)界都得到廣泛使用的安全郵件標(biāo)準(zhǔn)。PGP的特點(diǎn)是使用單向散列算法對(duì)郵件內(nèi)容進(jìn)行簽名，以此保證信件內(nèi)容無法被篡改，使用公鑰和私鑰技術(shù)保證郵件內(nèi)容保密且不可否認(rèn)。發(fā)信人與收信人的共鑰都存放在公開的地方。在PGP體系中，“信任”或者是雙方之間的直接關(guān)系，或是通過第三者、第四者的間接關(guān)系。255任何方法都不可能是完全安全的，如果有足夠的計(jì)算能力，任何形式的密碼都可以攻破，問題是破譯密碼所花費(fèi)的時(shí)間和精力與受保護(hù)的數(shù)據(jù)價(jià)值是否值得。259PGP要求用戶保持一個(gè)密鑰的本地緩存。這個(gè)緩存被稱為用戶的密鑰環(huán)，每個(gè)用戶至少有兩個(gè)密鑰環(huán)：公鑰環(huán)和私鑰環(huán)。每個(gè)密鑰環(huán)都用來存放用于特定目的的一套密鑰。保持這兩個(gè)密鑰環(huán)的安全很重要（如果有人篡改公鑰環(huán)，就會(huì)使用戶錯(cuò)誤的驗(yàn)證簽名或者給錯(cuò)誤的接收者加密消息）。公鑰環(huán)存放所有與用戶通信的人或者單位的公鑰、userid、簽名和信任參數(shù)等。在設(shè)計(jì)公鑰的時(shí)候，只是想用它保存一些比較親密的朋友和同事的公鑰。私鑰環(huán)是PGP中存放個(gè)人私鑰的地方，當(dāng)用戶產(chǎn)生一個(gè)私鑰時(shí)，不能泄露的私鑰就存放在私鑰環(huán)中，這些數(shù)據(jù)在私鑰環(huán)中被加密保存，因此對(duì)私鑰環(huán)的訪問不會(huì)自動(dòng)允許對(duì)其私鑰的使用。263防火墻是位于兩個(gè)（或多個(gè)）網(wǎng)絡(luò)間實(shí)施網(wǎng)間訪問控制的一組組件的集合。279防火墻的功能：（1）隔離不同的網(wǎng)絡(luò)，限制安全問題的擴(kuò)散。防火墻作為一個(gè)中心“遏制點(diǎn)”，它將局域網(wǎng)的安全進(jìn)行集中化管理，簡化了安全管理的復(fù)雜程度。（2） 防火墻可以很方便地記錄網(wǎng)絡(luò)上各種非法活動(dòng)，監(jiān)視網(wǎng)絡(luò)的安全性，遇到緊急情況報(bào)警。（3） 防火墻可以作為部署NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址變換）的地點(diǎn)，利用NAT技術(shù)，將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的IP地址對(duì)應(yīng)起來，用來緩解地址空間短缺的問題或者隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)。（4） 防火墻是審計(jì)和記錄Internet使用費(fèi)用的一個(gè)最佳地點(diǎn)。（網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費(fèi)用情況，查出潛在的帶寬瓶頸位置，并能夠依據(jù)本機(jī)構(gòu)的核算模式提供部門級(jí)的計(jì)費(fèi)。）（5） 防火墻也可以作為1PSec的平臺(tái)。（6） 防火墻可以連接到一個(gè)單獨(dú)的網(wǎng)段上，（從物理上和內(nèi)部網(wǎng)段隔開，并在此部署WWW服務(wù)器和FTP服務(wù)器，將其作為向外部發(fā)布內(nèi)部信息的地點(diǎn)。從技術(shù)角度來講，就是所謂的?；饏^(qū)（DMZ））,280防火墻的不足之處主要有:（1）網(wǎng)絡(luò)上有些攻擊可以繞過防火墻，而防火墻卻不能對(duì)繞過它的攻擊提供阻擋。（2）防火墻管理控制的是內(nèi)部與外部網(wǎng)絡(luò)之間的數(shù)據(jù)流，它不能防范來自內(nèi)部網(wǎng)絡(luò)的攻擊。（3）防火墻不能對(duì)被病毒感染的程序和文件的傳輸提供保護(hù)。（4）防火墻不能防范全新的網(wǎng)絡(luò)威脅。（5）當(dāng)使用端到端的加密時(shí)，防火墻的作用會(huì)受到很大的限制。（6）防火墻對(duì)用戶不完全透明，可能帶來傳輸延遲、瓶頸以及單點(diǎn)失效等問題。280防火墻的分為三大類： （1）分組過濾路由器。（2）應(yīng)用級(jí)網(wǎng)關(guān)。（3）電路級(jí)網(wǎng)關(guān)。281（1）分組過濾路由器也稱包過濾防火墻，又叫網(wǎng)絡(luò)級(jí)防火墻，因?yàn)樗枪ぷ髟诰W(wǎng)絡(luò)層。這種防火墻可以提供內(nèi)部信息以說明所通過的連接狀態(tài)和一些數(shù)據(jù)流的內(nèi)容，把判斷的信息同規(guī)則表進(jìn)行比較，在規(guī)則表中定義了各種規(guī)則來表明是否同意或拒絕包的通過。包過濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。281網(wǎng)絡(luò)級(jí)防火墻的優(yōu)點(diǎn)是簡潔、速度快、費(fèi)用低，并且對(duì)用戶透明。但它也有不少的缺點(diǎn)：如定義復(fù)雜，容易出現(xiàn)因配置不當(dāng)帶來問題；它只檢查地址和端口，允許數(shù)據(jù)包直接通過，容易造成數(shù)據(jù)驅(qū)動(dòng)式攻擊的潛在危險(xiǎn)；不能理解特定服務(wù)的上下文環(huán)境，相應(yīng)控制只能在高層由代理服務(wù)和應(yīng)用層網(wǎng)關(guān)來完成。281（2）應(yīng)用級(jí)網(wǎng)關(guān)主要工作在應(yīng)用層。應(yīng)用級(jí)網(wǎng)關(guān)往往又稱為應(yīng)用級(jí)防火墻。281（3）電路級(jí)網(wǎng)關(guān)是防火墻的第三種類型，它不允許端到端的TCP連接，相反，網(wǎng)關(guān)建立了兩個(gè)TCP連接，一個(gè)是在網(wǎng)關(guān)本身和內(nèi)部主機(jī)上的一個(gè)TCP用戶之間，一個(gè)是在網(wǎng)關(guān)和外部主機(jī)上的一個(gè)TCP用戶之間。282堡壘主機(jī)的硬件是一臺(tái)普通的主機(jī)，它使用軟件配置應(yīng)用網(wǎng)關(guān)程序，從而具有強(qiáng)大而完備的功能。它是內(nèi)部網(wǎng)絡(luò)和Internet之間的通信橋梁，它中繼所有的網(wǎng)絡(luò)通信服務(wù)，并具有認(rèn)證、訪問控制、日志記錄、審計(jì)監(jiān)控等功能。它作為內(nèi)部網(wǎng)絡(luò)上外界惟一可以訪問的點(diǎn)，在整個(gè)防火墻系統(tǒng)中起著重要的作用，是整個(gè)系統(tǒng)的關(guān)鍵點(diǎn)。282屏蔽主機(jī)模式中的過濾路由器為保護(hù)堡壘主機(jī)的安全建立了一道屏障。典型的屏蔽主機(jī)模式如圖所示nilqhnIBIf?.3屏愁主機(jī)隆式屏蔽子網(wǎng)模式增加了一個(gè)把內(nèi)部網(wǎng)與互聯(lián)網(wǎng)隔離的周邊網(wǎng)絡(luò)（也稱為非軍事區(qū)DMZ），從而進(jìn)一步實(shí)現(xiàn)屏蔽主機(jī)的安全性，通過使用周邊網(wǎng)絡(luò)隔離堡壘主機(jī)能夠削弱外部網(wǎng)絡(luò)對(duì)堡壘主機(jī)的攻擊。典型的屏蔽子網(wǎng)模式如圖所示，其結(jié)構(gòu)有兩個(gè)屏蔽路由器，分別位于周邊網(wǎng)與內(nèi)部網(wǎng)之間、周邊網(wǎng)與外部網(wǎng)之間應(yīng)用網(wǎng)關(guān)的代理服務(wù)實(shí)體將對(duì)所有通過它的連接做出日志記錄，以便對(duì)安全漏洞的檢查和收集相關(guān)的信息。代理服務(wù)技術(shù)的特點(diǎn)：網(wǎng)關(guān)理解應(yīng)用協(xié)議，可以實(shí)施更細(xì)粒度的訪問控制；對(duì)每一類應(yīng)用都需要一個(gè)專門的代理；靈活性不夠；隱蔽信息，例如內(nèi)部受保護(hù)子網(wǎng)的主機(jī)名稱等信息可以不必為外部所知。286網(wǎng)絡(luò)地址轉(zhuǎn)換NAT（NetworkAddressTranslation）即將內(nèi)網(wǎng)的IP地址與外網(wǎng)的IP地址相互轉(zhuǎn)換，它的目的一個(gè)是可以解決IP地址空間不足的問題286為確保遠(yuǎn)程網(wǎng)絡(luò)之間能夠安全通信，VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)）是一種很好的技術(shù)選擇。292目前，VPN主要有3個(gè)應(yīng)用領(lǐng)域：遠(yuǎn)程接入網(wǎng)、內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)。294常見的黑客攻擊過程通常包括以下步驟：（1）目標(biāo)探測(cè)和信息攫長（2）獲得訪問權(quán) （3）特權(quán)提升（4）掩蹤滅跡 （5）創(chuàng)建后門302常見的端口掃描方式：（1）TCPconnect（）掃描（2）TCPSYN掃描（3）TCPFIN掃描（4）TCP反向ident掃描。303常見的免費(fèi)掃描工具:1.Nessus 2.Nmap3.NSS4.SATAN5.X-Scan除了以上這些T-具之外，還有其他一些如Strobe,Jakal,IdentTCPscan,WSS等工具 314入侵檢測(cè)系統(tǒng)全稱為IntrusionDetectionSystem，縮寫為IDS 319按照入侵檢測(cè)輸入數(shù)據(jù)的來源和系統(tǒng)結(jié)構(gòu)來看，入侵檢測(cè)系統(tǒng)可以分為三類：基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）和分布式入侵檢測(cè)系統(tǒng)。320入侵檢測(cè)系統(tǒng)分為4個(gè)基本組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫。322不是入侵的異?；顒?dòng)被標(biāo)識(shí)為入侵，我們稱之為誤報(bào)，造成假警報(bào)。327異常檢測(cè)指根據(jù)使用者的行為或資源使用情況來判斷是否入侵，而不依賴于具體行為是否出現(xiàn)來檢測(cè)，所以也被稱為基于行為的檢測(cè)?；谛袨榈臋z測(cè)與系統(tǒng)相對(duì)無關(guān)，通用性較強(qiáng)。328濫用檢測(cè)也稱為特征檢測(cè)或者基于知識(shí)的檢測(cè)，指運(yùn)用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測(cè)。3301996年出現(xiàn)針對(duì)微軟Office軟件的“宏病毒”，宏病毒主要感染word,excel等程序制作的文檔。如word宏病毒能對(duì)用戶系統(tǒng)中的可執(zhí)行文件和文檔造成破壞，常見的如Concept等宏病毒。病毒CIH是第一個(gè)直接攻擊、破壞硬件的計(jì)算機(jī)病毒。352《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第二十八定義：計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。353計(jì)