我国第二代居民身份证使用的是256位的椭圆曲线密码
Kerberos
是对称秘钥分配协议,由以下组成
- 验证服务器 AS
- 票据授予服务器 TGS
- 应用服务器
KPI 数字证书
由五部分组成
- 证书申请者
- RA 注册中心
- RC 认证中心
- 证书库
- 证书信任方
数字证书的格式大多数是 X.509格式,主要有 证书、版本号、序列号、签名算法标识、颁发者、有效期、使用者、使用者公钥信息、公钥算法、公钥、颁布者唯一表示、扩展项、CA的证书签名
常用安全模型
机密性模型:
- BLP
完整性模型
- Biba
- Clark-Wilson
信息流模型
信息保障模型
- PDRR
- P2DR
- WPDRRC
纵深防御模型:保护、监测、响应、恢复
分层防护模型:物理层、网络层、系统层、应用层、用户层
等级保护模型
网络生存模型:遵循3R方法,即抵抗、识别、恢复
BLP和Biba
BLP
- 简单安全特性:只能下读,不能上读
- *特性:主体只能上写、不能下写
Biba
- 简单安全特性:主体不能下读
- *特性:主体不能上写
- 调用特性:主体不能调用更高完整级的主体
常见的认证依据
| 依据类别 | 具体手段 |
|---|---|
| 秘密信息 | 口令、验证码 |
| 生物特征 | 指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管、DNA |
| 实物凭证 | U盾、智能IC卡 |
| 行为特征 | 签名、语音、行走步态、地理位置 |
智能卡
分为四部分
- 通讯管理模块:半双工通讯通道,用于COS与外界联系
- 安全管理模块:为COS提供安全保证
- 文件管理模块:文件就是智能卡中数据单元、记录的有组织集合
- 应用管理模块:非独立模块,接收命令并判断其可执行性
常见协议及端口号
| 端口号 | 名称 | 功能 |
|---|---|---|
| 20 | FTP-DATA | FTP数据传输 |
| 21 | FTP | FTP控制 |
| 22 | SSH | SSH登录 |
| 23 | TELENT | 远程控制 |
| 25 | SMTP | 简单邮件传输协议 |
| 53 | DNS | 域名解析 |
| 67 | DHCP | DHCP服务器开启,监听和接收客户请求消息 |
| 68 | DHCP | DHCP客户端开启,接收DHCP服务器的消息回复 |
| 69 | TFTP | 简单FTP |
| 80 | HTTP | 超文本传输 |
| 110 | POP3 | 邮局协议 |
| 143 | IMAP | 交互式邮件存取协议 |
| 161 | SNMP | 简单网管协议 |
| 162 | SNMP(Trap) | SNMP Trap报文 |
SMTP命令
| 命令 | 含义 |
|---|---|
| HELO | 发送身份标识 |
| 表示识别邮件发送方 | |
| PCRT | 表示识别邮件接收方 |
| HELP | 表示发送帮助文档 |
| SEND | 表示向终端发送邮件 |
| DATA | 表示传送报文文本 |
| VRFY | 表示证实用户名 |
| QUIT | 表示关闭TCP连接 |
PGP 是一款邮件加密协议,可以用它对邮件加密以防止非授权者阅读,还能数字签名。采用了 RSA、IDEA、MD5 等加密算法加密
网络攻击过程
依据破坏行为可以分为四类: 拒绝服务攻击、信息泄露攻击、完整性破坏攻击、非法使用攻击
攻击过程
- 隐藏攻击源
- 收集攻击目标信息
- 漏洞利用
- 获取目标访问权限
- 隐藏攻击行为
- 实施攻击
- 开辟后门
- 清除痕迹
常见的网络攻击
- 端口扫描
- 缓冲区溢出
- 拒绝服务
- 口令破解
- 恶意代码
- 网络钓鱼
- 网络监听
- SQL注入
- 社会工程
- 代理技术
- 电子监听
- 漏洞扫描
- 会话劫持
- 数据加密
缓冲区溢出攻击后果:
- 引发系统崩溃
- 利用缓冲区漏洞执行命令,甚至获得root权限。利用缓冲区溢出运行一个shell程序,再通过shell执行其他命令,如果程序拥有root权限,攻击者shell也有root权限,就可以任意操作系统
防范手段:利用金丝雀(Canary)技术
服务器端口攻击:
- SYN Flood(SYN 洪水攻击):一个用户向服务器发送了SYN报文后突然死机或者掉线,那么服务器会收不到客户端的ACK报文,服务器会不断重试,会耗费大量的CPU时间和内存,造成服务器堆栈溢出而崩溃
- Smurf 攻击:Smurf 攻击结合使用了IP欺骗和ICMP回复方法,使大量数据传输充斥目标系统,引起目标系统拒绝为正常系统提供服务
- 利用处理程序错误地拒绝服务攻击,包含 Ping of Death、Teardrop(泪滴攻击)、Winnuke、Land攻击
- 电子邮件轰炸,是一种针对SMTP服务25号端口的攻击方式,短时间发送大量无用的邮件,导致服务器瘫痪
- UDP Flood,利用大量的伪造源地址的小UDP报文,攻击DNS、Radius等服务器
DoS、DDoS、LDoS
DDoS特点:
- 被攻击主机上有大量等待的TCP连接
- 大量TCP、UDP数据分组不是现有服务连接,往往指向机器的任意端口
- 网络中充斥着大量无用数据包,源地址是假冒地址
- 网络出现大流量无用数据,造成网络阻塞
- 利用受害主机上的服务和协议缺陷,反复发出服务请求,使受害主机无法及时处理正常请求
防范手段:
- 根据ip地址对特征数据包进行过滤
- 寻找数据流中的特征字符串
- 统计通信的数据量
- IP逆向追踪
- 监测不正常的高流量
- 使用更高级别的身份认证
网络监听
网卡的几种状态
- Unicast,单播模式:网卡接收目的地址为本网卡地址的报文
- Broadcast,广播模式:该模式下,网卡接收广播报文
- Multicast,组播模式:该模式下,网卡接收特定组播报文
- Promiscuous,混杂模式:该模式下,网卡接收所有报文
Sniffer:是一种网络流量分析和监听的工具,有软件和硬件两种形式。Sniffer 需工作在共享以太网下,本机的网卡需设置为混杂模式
常见的网络攻击工具
| 类别 | 作用 | 经典工具 |
|---|---|---|
| 扫描器 | 扫描目标系统的地址、端口、漏洞等 | NMAP、Nessus、SuperScan |
| 远程控制 | 代理软件,控制肉鸡 | 冰河、网络精灵、NetCat |
| 密码破解 | 猜测、穷举、破解口令 | Jobn the Ripper、LOphtCrack |
| 网络嗅探 | 窃取、分析、破解网络信息 | Tcpdump、DSniff、WireShark |
| 安全渗透工具箱 | 漏洞利用、特权提升 | Metaasploit、BackTrack |
访问控制机制
-
按列分解访问控制矩阵(对文件的权限描述)
- 访问控制表
- 保护位
-
按行分解访问控制矩阵(对用户拥有的权限描述)
- 权能表
- 前缀表
- 口令
访问控制类型
- 自主访问控制
- 强制访问控制
- 基于角色的访问控制
VPN
分类
- 远程接入VPN:通过互联网传输数据,可以满足企业内部人员办公、远程办公
- 内部VPN:适合单位的远程办事处和分支机构与企业总部互联
- 外联网VPN:可以为合作伙伴连接到企业内部网提供服务
主要协议有:PPTP、L2TP、IPSec、SSL VPN、TLS VPN
其中 PPTP为点对点隧道协议,与 L2TP 都为 第二层隧道协议
IPSec 为第三层隧道协议
SSL VPN、TLS VPN 为第四层隧道协议
IPSec协议
- IKE协议
- AH,为数据包提供完整性检查和数据源认证,并防止重放攻击,使用MD5和SHA-1实现摘要和认证
- ESP,封装安全载荷,同时提供数据完整性确认和数据加密,通常使用 DES、3DES、AES等加密算法
- IPSec工作模式,分为传输模式和隧道模式
防火墙
名词解释
- 堡垒主机:堡垒机处于内网边缘,暴露与外网用户的主机系统,可能直接面对外部用户攻击,具有代理服务器主机的功能
- 双重宿主主机:至少拥有两个网络接口,分别接内网和外网,能进行多个网络互连
体系结构
| 类型 | 特点 |
|---|---|
| 双重宿主主机 | 以一台双重宿主主机作为防火墙系统主题,分离内外网 |
| 被屏蔽主机 | 由一台独立的路由器和内网堡垒主机构成,通过包过滤方式实现内外网隔离 |
| 被屏蔽子网 | 由DMZ网络,外部路由器,内部路由器及堡垒主机构成,外部路由器为第一道屏障 |
常见的防火墙技术
- 包过滤防火墙,检查内容包括 源地址、目的地址和协议
- 代理服务器式防火墙
- 基于状态检测的防火墙
入侵检测模型
IDS:是被动防护
PDR模型包括:防护、检测、响应三个部分
P2DR模型除了 防护、检测、响应外,还包含安全策略
IPS是主动防护
