期末临时抱佛脚——网络安全笔记⛑️⛑️

JustHappy
207 阅读13分钟

Hi,这里是期末复习周的JustHappy,刚复习完(临时抱佛脚)网络安全,明天考试,想着笔记分享分享,哈哈就当拓展知识面了

image.png

安全攻击

安全攻击是指降级、瓦解、拒绝、摧毁计算机或计算机网络本身或者其中信息资源的行为。

被动攻击

被动攻击采取的方式是对传输中的信息进行窃听和监测,主要目标是获得传输的信息。

有两种被动攻击方式:

  1. 收集信息:造成传输的内容泄露
  2. 流量分析:可以判断通讯的性质

主动攻击

主动攻击包括对数据流进行篡改或伪造数据流

有四类主动攻击方式:

  1. 伪装:某实体假装成别的实体
  2. 重放:将攻击者获得的信息再次发送,从而导致非授权效应
  3. 修改消息:攻击者修改部分或全部合法信息,或者延迟消息的传输以获得非授权作用
  4. 拒绝服务:攻击者设法让目标系统停止提供服务或资源访问,从而阻止授权实体对系统的正常使用或管理

特洛伊木马

  1. 欺骗性:通过伪装成合法软件或附件,诱使用户下载和执行。
  2. 隐蔽性:在用户不知情的情况下安装和运行,隐藏其恶意行为。
  3. 控制性:一旦安装,攻击者可以远程控制受感染的计算机,执行各种恶意操作。
  4. 破坏性:可能导致数据丢失、系统损坏或其他安全风险。

分布式拒绝服务攻击

分布式拒绝服务攻击(DDoS)是一种恶意行为,目的是通过大规模互联网流量淹没目标服务器或其周边基础设施,以破坏目标服务器、服务或网络正常流量。DDoS攻击利用多台受损计算机系统作为攻击平台,对一个或多个目标发动攻击,从而成倍地提高拒绝服务攻击的威力。以下是DDoS攻击的一些基本概念和类型:

DDoS攻击原理

DDoS攻击的前身是DoS攻击,即拒绝服务攻击。DDoS可以看作是DoS攻击的扩展版本,它可以将分布在不同地方的多台计算机联合起来形成攻击平台,对一个或多个目标发动攻击。

被动攻击难以被监测但是可以有效的预防

主动攻击难以绝对预防但是容易被监测到

散列函数

散列函数又叫做散列算法、哈希函数,是一种将任意长度的消息映射到某一固定长度的散列值(又称为哈希值、信息摘要)的函数

安全散列函数

在安全应用中使用的散列函数称为安全散列函数,有以下特性

  • 单向性:又称为抗原像攻击,是指对任意指定的散列值 h 找到满足 H(M) = h 的消息 M 在计算上是不可行的;即给定散列函数的 h , 由消息 M 计算散列值 H(M) 的值是容易的,但由散列值 H(M) 计算 M 是不可行的
  • 弱抗碰撞性:又称为第二原像攻击,指定给一个随机选择的消息 M,寻找消息 M' ,使得 H(M) = H(M') 在计算上是不可行的,即不能找的与给定消息具有相同散列值的另一消息
  • 强抗碰撞性:又称为抗碰撞攻击,是指对于给定的散列函数 H ,寻找两个不同的消息 M1 和 M2 ,使得 H(M1) = H(M2) 在计算上是不可行的

针对安全散列函数的攻击

  1. 穷举攻击
  2. 密码分析攻击

消息鉴别

消息鉴别也称为“报文鉴别”或者“消息认证”,是一个对收到的消息进行验证的过程,验证的内容包括两个方面

  • 真实性
  • 完整性

身份认证

单向认证

单向认证指通讯双方只有一方对另一方进行验证

双向认证

双向认证指通讯双方互相验证对方的身份

Kerberos

  1. 设置 Kerberos 是为了解决什么问题?

答:解决分布式网络环境下用户访问网络资源时的安全问题,即工作站的用户希望获得服务器上的服务,服务器能够对服务请求进行认证并能限制授权用户的访问。

  1. 在 Kerberos 中什么是门票?什么是门票授权门票?

答:门票是由 认证服务器(Authentication Server,简称 AS)生成并颁发的,用于在客户端和目标服务之间传递用户身份信息的安全凭证。门票授权门票(TGT)是一种特殊类型的门票,用于向 票据授权服务器(Ticket Granting Server,简称 TGS)申请访问其他服务的门票。

  1. 简述 Kerberos 中用户工作站获得会话密钥和 TGT 的过程以及获得服务授权门票的过程

答:(1)获得会话密钥和 TGT 的过程:

步骤 1:用户登录请求

  • 用户工作站向认证服务器(AS)发送一个 认证请求,其中包含用户的 用户名客户端时间戳(即当前时间)。请求没有密码,密码通过客户端与认证服务器之间的加密进行保护。

步骤 2:认证服务器验证用户身份

  • 认证服务器根据用户的 用户名 从其数据库中获取密码(通常是用户的预共享密钥)。
  • 认证服务器使用该密码加密生成一个 会话密钥,并将该密钥与用户的身份一起加密生成一个 TGT(Ticket Granting Ticket)。这个 TGT 包含了用户的身份信息和会话密钥,且用认证服务器的密钥进行加密,只有该服务器能解密。

步骤 3:返回会话密钥和 TGT

  • 认证服务器将包含 TGT 和一个加密的 会话密钥(用于后续的加密通信)返回给用户工作站。 * 用户工作站保存 TGT,并使用 会话密钥 来解密 TGT,以便在后续请求中使用。

(2)获得服务授权门票(Service Ticket)的过程:

步骤 1:用户向票据授权服务器请求服务门票

  • 用户工作站从其本地存储的 TGT 中提取出会话密钥。 * 用户工作站向 票据授权服务器(TGS)发送请求,说明要访问的目标服务的名称,并使用 TGT 中的会话密钥加密该请求。 * 请求中通常包含以下信息:
  • 请求的服务名称(例如,某个 Web 服务器的名称)。 * 用于会话密钥加密的时间戳(用于防止重放攻击)。

步骤 2:票据授权服务器验证 TGT

  • 票据授权服务器收到请求后,首先会验证 TGT 的有效性。它会解密 TGT,检查请求是否来自有效的客户端,并确保 TGT 未过期。 * 如果 TGT 有效,TGS 会为目标服务生成一个新的 服务票据(Service Ticket) ,并将其加密。

步骤 3:返回服务授权门票

  • 票据授权服务器将加密的 服务票据(包含用户身份、目标服务的信息和会话密钥)返回给用户工作站。 * 该 服务票据目标服务的密钥 进行加密,因此只有目标服务能解密。

PKI 体系

PKI 是基于公钥密码技术的具有普适性的安全基础设施

一个完整的 PKI 应用系统包括哪些组成部分?各自具有什么功能?

  • CA 负责发证书;
  • RA 负责验证用户身份;
  • CRL 存储被撤销的证书;
  • 证书 包含公钥和身份信息;
  • 密钥对 用于加密和解密;
  • KMS 管理密钥;
  • 客户端软件 用于密钥和证书的操作;
  • 验证服务 用于查询证书是否有效。

Internet 通讯安全

IPsec

IPsec 是一套开放标准网络安全协议,其目的是为 IPv4 和 IPv6 提供具有较强的操作能力、高质量和基于加密的安全。

IPsec 提供哪些服务?

IPsec 提供以下四个主要服务:

  • 数据加密:保护数据的隐私。
  • 数据完整性:确保数据未被篡改。
  • 身份验证:验证通信双方的身份。
  • 抗重放攻击:防止数据包被重放进行攻击。

SSL 协议

SSL 协议设计的主要目标是为 web 通讯协议(HTTP 协议)提供保密和可靠通信

SSL 协议由哪些协议组成?各自完成什么功能?
  • SSL 握手协议:用于身份验证、密钥交换和加密算法协商。
  • SSL 加密协议:加密和解密数据,确保数据机密性,进行数据完整性检查。
  • SSL 警告协议:在发生错误或异常时,发送警告或错误信息。
  • SSL 会话协议:管理会话状态,支持会话复用以提高效率。
简述 SSL 协议的基本流程
  • 客户端发起请求:客户端通过浏览器或应用向服务器发起 SSL/TLS 连接请求。
  • SSL 握手:通过握手协议,客户端和服务器协商加密算法、验证身份、交换密钥。
  • 加密数据传输:握手完成后,客户端和服务器开始加密传输数据。
  • 连接关闭:通信完成后,双方关闭连接,确保安全结束。
简述 SSL 握手协议流程
  • Client Hello:客户端发送支持的协议版本、加密算法和随机数。
  • Server Hello:服务器选择协议版本、加密算法并返回证书。
  • 服务器证书:服务器发送其公钥证书。
  • 客户端验证证书:客户端验证服务器证书的有效性。
  • 密钥交换:客户端生成并加密 Pre-Master Secret,发送给服务器。
  • 会话密钥生成:双方根据 Pre-Master Secret 和随机数生成会话密钥。
  • Finished 消息:双方交换加密的 Finished 消息,确认握手成功。
  • 数据传输:开始使用会话密钥加密的安全通信。
发送时,SSL 记录协议执行哪些操作?分别完成什么功能?
  • 数据分段:将数据切割成适当大小的记录块,以便于传输。
  • 数据压缩:在需要时,对数据进行压缩,减小传输数据的大小(一般在现代协议中禁用)。
  • 加密:使用会话密钥对数据进行加密,确保数据的机密性。
  • 完整性保护:通过计算和附加消息认证码(MAC)确保数据在传输过程中未被篡改。
  • 协议头:为每个记录添加协议头,标识数据的类型和其他元信息。
  • 数据传输:最终将处理后的数据通过网络发送给目标。

防火墙体系结构

在计算机网络安全领域,防火墙是一个由软件或者硬件组合而成的、起过滤和封锁作用的计算机或网络系统,目的是保护本地网络不受外界非法访问和攻击。有以下功能

  1. 访问控制
  2. 内容控制
  3. 日志(记录网络访问情况)
  4. 集中管理
  5. 自身安全和可用性
防火墙的局限性:
  1. 防火墙不能防御不经由防火墙的攻击
  2. 防火墙不能防范来自内部的威胁
  3. 防火墙不能防止病毒感染的程序和文件进出本地网络
  4. 防火墙不能防止数据驱动式的攻击

体系结构

1. 屏蔽主机防火墙

  • 单宿堡垒主机:

在单宿堡垒主机结构中,防火墙包含两个系统,即一个包过滤路由器和意态堡垒主机。堡垒主机是外部网主机能连接到的唯一的内部网上的系统,任何外部系统要访问内部网的资源都必须先连接到这台主机。

路由器按照如下方式配置:

  1. 对于来自 Internet 的通讯,只允许发往堡垒主机的 IP 包通过
  2. 对于来自网络内部的通讯,只允许经过堡垒主机的 IP 包通过

image.png

在单宿堡垒主机体系中,如果包过滤路由器被攻破,那么通讯就可以越过路由器在 Internet 和内部网络之间直接进行。(屏蔽主机防火墙的双宿堡垒主机可以在物理上防止了这种安全漏洞的产生)

  • 双宿堡垒主机

双宿堡垒主机具有至少两个网络接口。外部网络和内部网络都能与堡垒主机通讯,但外部网络和内部网络之间不能直接通信,它们之间的通讯必须经过双宿堡垒主机的过滤和控制。

image.png

2. 屏蔽子网防火墙

屏蔽子网防火墙是这里最为安全的一种。屏蔽子网防火墙使用了两个包过滤路由器:一个在堡垒主机和 Internet 之间,称为外部屏蔽路由器;另一个在堡垒主机和内部网络之间,称为内部屏蔽路由器。每个路由器都被配置为只和堡垒主机交换流量。

image.png

2.1. 配置和原理

每个路由器都被配置为只和堡垒主机交换流量。外部路由器使用标准过滤来限制对堡垒主机的外部访问,

内部路由器则拒绝不是堡垒主机发起的进入数据包,并且只把外出数据包发给堡垒主机。

这种配置创造出一个独立的子网,该子网可能只包括堡垒主机,也可能包括一些公众可访问的设备和服务,如一台或更多的信息服务器以及满足拨号功能而配置对方调制解调器。这个独立的子网充当了内部网络和外部网络之间的缓冲区,形成了一个隔离带,即所谓的非军事区(DMZ)。在这里,Internet 和内部网络都有权访问 DMZ 子网中的主机,但要通过子网的信息则被阻塞。

2.2. 优点
  1. 有三层防御来抵御入侵者:外部路由器、堡垒主机、内部路由器。
  2. 外部路由器只能向 Internet 报告 DMZ 子网,Internet 上的系统之鞥通过外部路由器访问 DMZ 子网。因此内部网络对于 Internet 而言是不可见的。
  3. 类似的,从内部网络通过内部路由器也只能得知子网的存在;因此网络内部的系统无法构造直接到 Internet 的路由,必须通过堡垒主机才能访问 Internet

哈哈,最后小弟祝大家期末考试顺利哈~~

avatar
文章
阅读
粉丝