計(jì)算機(jī)網(wǎng)絡(luò)上的通信面臨的威脅
- 截獲——從網(wǎng)絡(luò)上竊聽(tīng)他人的通信內(nèi)容。(被動(dòng)攻擊)(例如cain軟件)
- 中斷——有意中斷他人在網(wǎng)絡(luò)上的通信。(主動(dòng)攻擊)
- 篡改——故意篡改網(wǎng)絡(luò)上發(fā)送的報(bào)文。(主動(dòng)攻擊)(例如cain軟件)
- 偽造——偽造信息在網(wǎng)絡(luò)上傳送。(主動(dòng)攻擊)
截取信息的攻擊稱為被動(dòng)攻擊,而更改信息和拒絕用戶使用資源的攻擊稱為主動(dòng)攻擊
例如,cain軟件能夠截獲和篡改本網(wǎng)段的的報(bào)文。它是在主機(jī)通過(guò)ARP協(xié)議尋找網(wǎng)關(guān)地址(想上網(wǎng))的時(shí)候,用ARP欺騙,把本電腦的地址發(fā)給那個(gè)主機(jī),此時(shí),網(wǎng)段內(nèi)的所有的計(jì)算機(jī)的報(bào)文都會(huì)發(fā)給cain,這樣主機(jī)訪問(wèn)外網(wǎng)的時(shí)候,都是通過(guò)cain訪問(wèn)的(主機(jī)訪問(wèn)cain提供的假域名,cain去訪問(wèn)真的域名,再把信息轉(zhuǎn)給主機(jī),這是一種DNS劫持),既能篡改DNS解析結(jié)果,還能獲取密碼。同樣的道理,局域網(wǎng)管理員可以在網(wǎng)關(guān)設(shè)置監(jiān)視端口,獲得本網(wǎng)段的所有信息。
- 中斷——拒絕服務(wù)式攻擊
舉例:DoS拒絕服務(wù)式攻擊,通過(guò)在網(wǎng)絡(luò)上擁擠一些沒(méi)用的數(shù)據(jù)包來(lái)組斷網(wǎng)絡(luò)。一般會(huì)占用下載通道ADSL而不是上傳通道UDP,因?yàn)橄螺d的帶寬要大得多。
DDoS分布式攻擊,可以在網(wǎng)絡(luò)上找很多有漏洞的網(wǎng)站(肉雞),給指定的服務(wù)器發(fā)流量來(lái)使網(wǎng)絡(luò)擁擠吃掉帶寬,對(duì)于這種方式?jīng)]有什么好辦法。
DDos攻擊
- 篡改——修改域名解析的結(jié)果
類似于釣魚(yú)網(wǎng)站,當(dāng)用戶想出入建設(shè)銀行的域名,解析錯(cuò)誤導(dǎo)致用戶訪問(wèn)了錯(cuò)誤的網(wǎng)站,當(dāng)用戶輸入賬號(hào)密碼的話就會(huì)導(dǎo)致信息泄漏。 - 偽造——偽裝成其它主機(jī)的IP地址
趁其它主機(jī)關(guān)機(jī)時(shí),把IP地址偽裝成該主機(jī)的IP地址,從而獲取信息。
計(jì)算機(jī)面臨的威脅——惡意程序(rogue program)
- 計(jì)算機(jī)病毒——會(huì)“傳染”其它程序,“傳染”是通過(guò)修改其它程序來(lái)把自身或其變種復(fù)制進(jìn)去完成的。(熊貓燒香)
- 計(jì)算機(jī)蠕蟲(chóng)——通過(guò)網(wǎng)絡(luò)的通信功能將自身從一個(gè)結(jié)點(diǎn)發(fā)送到另一個(gè)結(jié)點(diǎn)并啟動(dòng)運(yùn)行的程序。(消耗CPU資源)
- 特洛伊木馬——一種程序,它執(zhí)行的功能超過(guò)所聲稱的功能。(和(1)(2)的區(qū)別是會(huì)和外界通信)
- 邏輯炸彈——一種當(dāng)運(yùn)行環(huán)境滿足某種特定條件時(shí)執(zhí)行其它特殊功能的程序。
木馬程序的識(shí)別
查看會(huì)話netstat -n看看是否有可疑的會(huì)話;運(yùn)行msconfig服務(wù),把隱藏微軟服務(wù)掉,看看剩下的有哪些刻意;殺毒軟件。
加密技術(shù)
廣泛應(yīng)用于應(yīng)用層加密。
對(duì)稱加密
加密密鑰和解密密鑰是同一個(gè)。缺點(diǎn):密鑰不適合在網(wǎng)上傳;密鑰是一對(duì)一的,如果有很多主機(jī)相互通信,有很多密鑰需要維護(hù);優(yōu)點(diǎn):效率高。加密包括加密算法和加密密鑰。
數(shù)據(jù)加密標(biāo)準(zhǔn)DES
- 它屬于常規(guī)密鑰密碼體制,是一種分組密碼。在加密前,先對(duì)整個(gè)銘文進(jìn)行分組,每一個(gè)租場(chǎng)為64位,然后對(duì)每一個(gè)64位二進(jìn)制數(shù)據(jù)進(jìn)行加密處理,產(chǎn)生一組64位密文數(shù)據(jù)。最后將各組密文串接起來(lái),即得出整個(gè)密文。使用的密鑰是64位(實(shí)際密鑰長(zhǎng)度為56位,有8位數(shù)用來(lái)奇偶校驗(yàn))。
- DES的保密性
僅取決于對(duì)密鑰的保密,而算法本身是公開(kāi)的。盡管人在破譯DES上有很多進(jìn)展,但是至今沒(méi)有找到比窮舉搜索密鑰更有效的方法。
DES是世界上第一個(gè)公認(rèn)的使用密碼算法標(biāo)準(zhǔn),它曾對(duì)密碼學(xué)的發(fā)展做出了重大貢獻(xiàn)。
目前較為嚴(yán)重的問(wèn)題是DES的密鑰的長(zhǎng)度。
現(xiàn)在已經(jīng)設(shè)計(jì)出來(lái)搜索DES密鑰的專用芯片。
DES算法公開(kāi),所以破解取決于密鑰長(zhǎng)度,56位密碼破解需要3.5-21min;128位密鑰破解需要5.4*10^18年。
非對(duì)稱加密
- 加密密鑰和解密密鑰是不同的,有一對(duì)密鑰對(duì),公鑰和私鑰。
要么公鑰加密私鑰解密;要么私鑰加密公鑰解密。 - 優(yōu)點(diǎn):給出私鑰和公鑰其中一個(gè)無(wú)法算出另一個(gè)。
- 缺點(diǎn):效率低。
- 非對(duì)稱加密實(shí)現(xiàn)細(xì)節(jié):
設(shè)A是非對(duì)稱加密機(jī)制;B為對(duì)稱加密機(jī)制;A1要給A2傳一組數(shù)據(jù),很大,如果直接用非對(duì)稱加密花的時(shí)間很長(zhǎng);為了加快速度,用對(duì)稱加密手段B來(lái)加密這個(gè)數(shù)據(jù)得到加密后數(shù)據(jù)B’和密鑰B給A1,速度很快;然后A1對(duì)密鑰B進(jìn)行非對(duì)稱加密得到公鑰A1’;A1把密鑰A1’和數(shù)據(jù)B’發(fā)給A2;A2運(yùn)用私鑰解密A1’獲得密鑰B,再用密鑰B解密這個(gè)數(shù)據(jù),最終得到想要的結(jié)果。
通過(guò)這種對(duì)數(shù)據(jù)采用對(duì)稱加密,對(duì)對(duì)稱加密的密鑰進(jìn)行非對(duì)稱加密的方式能實(shí)現(xiàn)快速加密。
數(shù)字簽名
防止抵賴,能夠檢查簽名后的內(nèi)容有沒(méi)有被更改過(guò)。
證書頒發(fā)機(jī)構(gòu)CA
來(lái)驗(yàn)證公鑰是否是證書頒發(fā)機(jī)構(gòu)認(rèn)證過(guò)。為企業(yè)和用戶頒發(fā)數(shù)字證書,確認(rèn)這些企業(yè)和個(gè)人的身份;如果證書丟失,它要發(fā)布證書吊銷列表;企業(yè)和個(gè)人是信任證書頒發(fā)機(jī)構(gòu)的。
Internet上使用的安全協(xié)議
安全套接字ssl(Secure Sockets Layer)
- ssl的位置
是在應(yīng)用層和傳輸層之間進(jìn)行加密。好處是應(yīng)用層和傳輸層都不需要來(lái)加密。不需要應(yīng)用程序(應(yīng)用層)來(lái)支持,但是需要在服務(wù)器配置證書。
例如,不使用ssl加密使用的是http://,使用ssl加密是https://。
注意,http://使用的是TCP的80端口,而https://使用的是TCP的443端口。
- ssl的配置(加密的實(shí)現(xiàn))(https://)
客戶端有一個(gè)瀏覽器IE,想要訪問(wèn)服務(wù)器端的網(wǎng)站web;
瀏覽器IE要訪問(wèn)網(wǎng)站web,此時(shí)網(wǎng)站web會(huì)把他的公鑰給瀏覽器IE;
瀏覽器IE通過(guò)校驗(yàn)CA證書確保網(wǎng)站web的公鑰是可靠的;
瀏覽器IE會(huì)產(chǎn)生一個(gè)對(duì)稱密鑰;
瀏覽器IE拿著網(wǎng)站web的公鑰對(duì)它的對(duì)稱密鑰進(jìn)行加密,發(fā)給網(wǎng)站web;
網(wǎng)站web用它的私鑰進(jìn)行解密,就得到了瀏覽器IE的對(duì)稱密鑰;
所以說(shuō),本質(zhì)上是用對(duì)稱密鑰對(duì)數(shù)據(jù)進(jìn)行加密的,公鑰和私鑰是用來(lái)對(duì)這個(gè)對(duì)稱密鑰進(jìn)行加密的。這也是為什么https://剛開(kāi)始打開(kāi)的時(shí)候會(huì)有一些慢。 - 另外一些協(xié)議使用的安全套接字ssl時(shí)對(duì)應(yīng)的TCP端口
imaps tcp-993
pop3s tcp-995
smtps tcp-465
https tcp-443 - ssl提供的三個(gè)功能
->ssl服務(wù)器鑒別:允許用戶證實(shí)服務(wù)器的身份;具有ssl功能的瀏覽器維持一個(gè)表,上面有一些可信賴的認(rèn)證中心CA(Certificate Authority)和它們的公鑰。
->加密的ssl會(huì)話:客戶和服務(wù)器交互的所有數(shù)據(jù)都在發(fā)送方加密,在接收方解密。
->ssl客戶鑒別:允許服務(wù)器證實(shí)客戶的身份。
網(wǎng)絡(luò)層安全I(xiàn)PSec
網(wǎng)絡(luò)層安全是底層安全,不需要應(yīng)用程序支持,也不需要配置證書,對(duì)用戶是透明的(感覺(jué)不到)。
- 安全關(guān)聯(lián)SA(Security Association)
在使用AH或ESP之前,先要從源主機(jī)到目的主機(jī)建立一條網(wǎng)絡(luò)層的邏輯連接。此邏輯連接叫做安全關(guān)聯(lián)SA。
IPsec就把傳統(tǒng)的Internet無(wú)連接的網(wǎng)絡(luò)層轉(zhuǎn)換為具有邏輯連接的層。
SA是構(gòu)成IPSec的基礎(chǔ),是兩個(gè)通信實(shí)體經(jīng)過(guò)協(xié)商(利用IKE協(xié)議)建立起來(lái)的一種協(xié)定,它決定了用來(lái)保護(hù)數(shù)據(jù)分組安全的安全協(xié)議(AH協(xié)議(只簽名:只關(guān)心發(fā)送方的身份而不關(guān)心數(shù)據(jù)是否被竊取)或ESP協(xié)議(既簽名又對(duì)數(shù)據(jù)加密)),轉(zhuǎn)碼方式,密鑰及密鑰的生存周期等。 - IPsec中最主要的2個(gè)協(xié)議
- 鑒別首部AH(Authentication Header):AH鑒別源點(diǎn)和檢查數(shù)據(jù)完整性,但不能保密。
在使用AH時(shí),把AH首部插在原數(shù)據(jù)報(bào)數(shù)據(jù)部分的簽名,同時(shí)把IP首部中的協(xié)議字段設(shè)置為51.
在傳輸過(guò)程中,中間的路由器都不查看AH首部。當(dāng)數(shù)據(jù)報(bào)到達(dá)終點(diǎn)時(shí),目的主機(jī)才會(huì)處理AH字段,以鑒別源點(diǎn)和檢查數(shù)據(jù)報(bào)的完整性。
- 封裝安全有效載荷ESP(Encapsulation Security Payload):ESP比AH復(fù)雜的多,它鑒別源點(diǎn),檢查數(shù)據(jù)完整性和提供保密。
使用ESP時(shí),IP數(shù)據(jù)報(bào)首部的協(xié)議字段設(shè)置為50.當(dāng)IP首部檢查到協(xié)議字段是50時(shí),就知道在IP首部后面緊跟著ESP首部,同時(shí)在原IP數(shù)據(jù)報(bào)后面增加了2個(gè)字段,即ESP尾部和ESP數(shù)據(jù)。
數(shù)據(jù)鏈路層安全(鏈路加密與端到端加密)
PPP 身份驗(yàn)證ADSL
防火墻(firewall)
防火墻的功能
(1)阻止:阻止某種類型的通信量通過(guò)防火墻(從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò),或反過(guò)來(lái))。(2)允許:允許某種類型的通信量通過(guò)防火墻(從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò),或反過(guò)來(lái))。防火墻必須能夠識(shí)別通信量的各種類型。一般是阻止功能。
防火墻的結(jié)構(gòu)
DMZ是公司內(nèi)部的服務(wù)器。內(nèi)網(wǎng)可以訪問(wèn)外網(wǎng),外網(wǎng)不能訪問(wèn)內(nèi)網(wǎng),只能訪問(wèn)服務(wù)器DMZ。