耿小嘉-CSDN博客

原创 6.1 传输层安全概述

用当前会话的密码规范中指定的加密算法加密数据，加密算法为对称加密，加密的内容包括压缩数据加上消息认证码，加密对内容长度的增加不能超过1024Byte。压缩长度占两个字节，如果选择了压缩，指压缩之后的数据段长度，如果没有压缩，则指明文数据段长度，此长度限定不超过2的10次方+2048字节。内容类型，一个字节，指封装的数据协议类型，包括SSL本身的握手协议、密码规范修改协议和报警协议，然后是上层的应用层协议。认证密钥、填充1，包序列号、上层协议标识、压缩后的分段长度、压缩后的分段连接一起计算Hash。

2022-11-03 21:23:08 737

原创 5.3 IPSec之三----密钥管理

ISAKMP没有定义具体的密钥交换方法，可以适用于不同的密钥交换协议。主模式是艾莎ISA的身份保护模式，一般交换4-6个报文，实现三个任务。因特网密钥交换协议IKE是一个安全协商SA的协议。4、密钥管理--ISAKMP的交换类型。5、密钥管理--ISAKMP的交换阶段。3、密钥管理--ISAKMP包格式。8、IKE协议--第一阶段野蛮模式。9、IKE协议--第二阶段快速模式。7、IKE协议--第一阶段主模式。2、密钥管理--ISAKMP。6、密钥管理--IKE协议。1、密钥管理--IKE。

2022-11-03 21:22:11 779

原创 5.2 IPSec之二----安全协议

认证数据是可变长度字段，取决于采用的认证方法，认证数据也称为完整性校验值（ICV），该字段必须为32位的整数倍。传输邻接：指对同一个IP数据报多次应用传输模式的AH和ESP两种协议，但只允许两种协议一个层次的组合。对于IPv6，与相应协议和模式下的IPv4相比，IPv6的与路由无关的扩展头也得到保护。下一个头标指被保护的IP荷载的值，比如传输层协议数据TCP值为6，UDP值为17。传输模式的AH进行认证的范围是除了IP头部的可变部分之外的整个IP数据包。每发送一个包，外出的安全关联的计数器增1。

2022-11-03 21:21:15 2272

原创 5.1 IPSec概述

保护整个IP分组，将整个IP分组作为IP安全协议的荷载进行封装，再加一个新的IP头。IPSec网络层的安全协议，对IP数据包的机密性、完整性和重放进行保护。定义了IPSec的两种基本协议，认证头协议AH和封装安全荷载协议ESP。IPSec对IP分组进行安全保护，提供如下安全服务（RFC 4301）以保护基于IP的上层协议报文为目的，如TCP、UDP、ICMP报文等。IPSec协议（RFC4302，4303，435，2403）定义了密钥协商方面的协议，因特网密钥交换协议IKE是核心。

2022-11-03 21:20:03 1705

原创 3.9 木马攻击

键盘记录：攻击者想了解用户输入尤其是密码口令无法截图显示时，实现方式有基于系统钩子的实现，主要使用SetWindowsHookEx()函数来拦截用户键盘输入，也有基于Windows API来实现的，主要使用GetAsyncKeyState()获取用户敲击键盘的状态。域名型DNS隧道木马，其服务器端需要把传输数据封装在请求域名的DNS报文中，当服务端向任意一台DNS服务器请求该域名时，本地DNS服务器无论是通过递归查询还是迭代查询，都会向外转发这个DNS请求，最终该DNS请求都会被转发到客户端中。

2022-10-12 15:35:23 1130

原创 3.8 数据库攻击

它基于网络服务协议构造攻击数据，覆盖了众多常见的网络服务，也提供了针对MSSQL、MySQL和Oracle等数据库的口令破解功能，其最大的特点是支持协议多，且具备持续破解的功能。这是基于Java开发的Web应用程序集成平台，可通过数据嗅探的方式获取到数据库登录数据报文的格式，并且指定字典或者字符集动态替换其中的账户及口令数据后发送给服务器。攻击者根据实际情况指定账户和口令可能使用的字符集和最大长度，再通过交叉组合的方式，在字符空间内遍历取值，逐一与数据库尝试连接，最终确定正确的账户及口令。

2022-10-12 15:34:26 1157

原创 3.7 命令注入攻击

概念：当Web应用程序解析XML输入时，如果没有禁止外部实体的使用，导致服务器可加载恶意外部文件和代码，就会产生外部实体注入漏洞，被攻击者利用发起网络攻击。根据实体种类的不同，XML解析器将使用实体的替代文本或者外部文档的内容来替代实体引用，由此引入了内部实体和外部实体的概念。的方式引用了通用实体，将这段xml提交服务器后，服务器就会执行系统命令id，并返回当前用户的身份标识信息。外部实体调用外部文件所申明的实体，若实体有任何的修改，则直接在该文档中更新，无需修改引用处的脚本，使用方便。

2022-10-12 15:33:20 1346

原创 3.6 假冒攻击

Web CGI漏洞中最常见的一种，是由于Web应用开发人员未严格检查用户提交数据，致使攻击者可以提交精心构造的脚本，通过URL链接或者发帖的形式诱骗用户点击、浏览，最终达到盗取用户账户、修改设置等目的。由于服务器提供了从其他服务器应用获取数据的功能，如从指定URL地址获取网页文本内容，加载指定地址的图片，下载文件等，但缺少对目标地址的过滤与限制，造成攻击者可以伪造服务器的请求对内网其他主机进行通信。删除数据：攻击者利用Web管理员的权限，通过跨站请求伪造攻击进行数据操作，实现删除数据或者数据库。

2022-10-12 15:32:20 1892

原创 3.5 窃听攻击

很难检测，不会主动向网络注入攻击数据，不会改变网络的流量特征，不会出发入侵保护系统的预警。中间人攻击：采用多种技术手段将被攻击者控制的一台计算机虚拟放置在正常计算机的通信链路之间。利用不安全的网络通信来访问正在发送和接收的数据，可以对网络中传输的明文信息进行嗅探。通过拦截正常的网络数据并加以篡改或嗅探，而参与通信的双方并不知情。将流量中的HTTPS接全部替换为HTTP，并记录所有被修改的链接。浏览器与服务器之间的全部通信经过了“中间人”的转发。网络数据嗅探：对网络中所有的通信数据进行侦听。

2022-09-29 10:42:34 1954

原创 3.4 摆渡攻击

将可连接互联网的业务处理计算机与不联网的核心数据计算机通过物理隔离手段进行分隔，包括绝对隔离和通过隔离设备隔离，以保证内部网络的绝对安全和机密数据的安全性、完整性。在光盘或U盘根目录下创建autorun.inf文件，该文件可指定自动运行的程序，系统将会自动运行由antorun.inf文件所指定的程序。攻击者要跨协议架构传播病毒，可以通过摆渡攻击将适用于不同网络架构的病毒散播到异构协议的网络中，极大地增加了网络攻击的纵深和危害性。自动运行，是微软的Windows的操作系统的一种自动运行文件的机制。

2022-09-29 10:41:47 1666

原创 3.3拒绝服务攻击

在TCP连接建立之后，所传输的TCP报文都是带有ACK标志位，主机在接收到一个带有ACK标志位的数据包的时候，需要检查该数据包所表示的连接四元组是否存在，如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包。由于发送请求的源地址是假地址，服务器得不到确认，会重试发送SYN+ACK数据包，并等待大约30秒至2分钟后丢弃这个连接，在等待的时间内服务器处于半连接状态，会消耗系统资源。攻击者通过发送精心构造的、具有相同源地址和目标地址的欺骗数据包，致使缺乏相应防护机制的目标设备瘫痪。

2022-09-29 10:41:16 1246

原创 3.2网络欺骗攻击

欺骗攻击：利用假冒、伪装后的身份与其他主机进行合法的通信或者发送虚假报文，使受到攻击的主机出现错误；攻击者在伪造源数据的IP报文头部字段，将其设置为他人的或者不存在的IP地址后再向被攻击方发生此IP报文，以达到掩人耳目，隐匿攻击源的目的。攻击者通过欺骗局域网内主机的网关MAC地址，使其错以为攻击者更改后的MAC地址是网关的MAC，导致其将数据发送到错误的目标主机上。攻击者冒充域名解析服务器，或者篡改被攻击后的正常域名解析查询到真实IP地址，从而实现欺骗的一种攻击方式。

2022-09-29 10:40:26 2753

原创 3.1网络攻击基础知识

利用传输协议、系统或服务器的漏洞，对目标系统发起的大规模的进攻。包括流量分析攻击、窃听攻击。借助于网络控制技术，将数以万计的计算机联合起来作为攻击源，对一个或多个目标发动Dos攻击，从而成倍的提高拒绝服务攻击的破坏力。本地攻击：目标网络内部人员，通过内部的局域网向其他同级网络或上层主干网络发动攻击，进行非法越权访问或者数据破坏等行为。主动攻击：中断、篡改和伪造等更改信息和拒绝用户使用资源的网络威胁，涉及数据流的修改或者创建错误的信息流。特点：隐蔽性和针对性强、运用多种手段、先进的、持续的且有效的威胁。

2022-09-29 10:39:42 1568

原创 2.5数据机密性和完整性综合方案

设被保护的消息为m，先认证再加密的方案，需要双方事先共享两个秘钥，一个用于认证，一个用于加密，发送方的操作为应用密钥k1先计算m的mac值t，然后与数据d链接一起用密钥K2加密, 发送密文c给接收方，接收方的操作为设收到密文c'，先用同样的密码法和密钥K2进行解密，得到两公分数据m'和t' ，然后对m'应用秘钥K1做同样的mac运算，将输出和解密出的T'进行比较，如果相等，则表示数据保护成功接收消息，否则丢弃消息。3.先认证再加密(A->E)先认证再加密(A->E)先加密再认证(E->A)

2022-09-29 10:38:57 698

原创 2.4数据完整性验证

基本思想：利用密码技术在密钥的控制下生成被保护数据的认证符，密钥私密性保证只有授权用户才能产生正确的认证符，密码技术的安全特性保证只要对数据做了非授权修改，则通过认证符一定可以检测，即认证符对于数据的变化非常敏感。主要类型：带恢复的连接完整性、不带恢复的连接完整性、选择字段连接完整性、无连接完整性、选择字段无连接完整性。认证加密（AE）：同时为数据提供机密性和完整性的算法，避免分离地利用机密性和完整性算法，提高效率。主要实现技术：基于密码技术的完整性保护和基于非密码技术的完整性保护。

2022-09-29 10:38:12 3717

原创 2.2分组密码

具有流密码的特点，用前一个分组的密文加密产生下一个密钥流块，然后与当前明文分组异或操作生成当前分组的密文。密码块链的应用相当于对分组进行了两次加密，不同的分组的密文块不独立，每个密文块依赖该块之前的所有铭文块，增强了安全性，不过加解密过程不能进行并行处理。具有一定随机性的初始化向量IV使得在相同的密钥和加密算法下，每条消息（即使内容相同的消息）的密文具有唯一性，增加了密码分析的难度；对于很长的信息或者具有特定结构的信息，其大量重复的信息或固定的字符结构会给攻击者提供大量的已知明密文对，安全性较差。

2022-09-29 10:36:37 325

原创 2.3 公钥密码机制

加入鉴别机制抵抗中间人的攻击，支持数字签名、公钥加密和对称密钥加密三种鉴别机制，Oakley协议可以支持DNS公钥，能对IPv4，IPv6地址和有效域名进行鉴别。采用现时机制抵抗重放攻击，每次密钥交换过程双方都在本地生成一个伪随机数（现时nonce）并加密用于应答中。它是计算密集型，容易遭受阻塞性攻击，即攻击者发起大量的密钥交换请求，浪费被攻击者的计算资源。如果明文P是Bob生成的私有会话密钥，则公钥密码体制的加密模型可用于密钥交换。特点：总是密码成对使用，一个公钥，一个私钥，公钥公开，私钥保密。

2022-09-29 10:36:24 498

原创 2.1流密码

RC4弱密钥漏洞，攻击者可以在特定环境下只通过嗅探监听就可以还原采用RC4保护的加密信息中的纯文本，导致账户、密码、信用卡信息等重要敏感信息暴露，并且可以通过中间人进行会话劫持。RC4算法简单、高效，适合软件实现，加密速度比分组密码DES快大约10倍，广泛应用于Windows，Lotus Notes，SSL/TLS，无线通信中的WEP和WPA。当密钥流序列是真的具有均匀分布的随机序列时，在同一对称密钥K下加密消息的密钥流之间将没有任何的关联性，达到一次一密的效果，在理论上是不可破译的。

2022-09-29 10:34:21 1036

原创 1.开放系统互联安全体系结构

待恢复的连接完整性：为上一层的一个连接上的所有数据提供完整性检查，包括检查所有SDU的数据是否被篡改、SDU序列没有被删除、插入或乱序。选择字段的连接完整性：为一层的一个连接传输的所选择部分字段提供完整性检查，包括检测SDU字段序列中的数据是否被篡改、字段序列是否被删除、插入或乱序。数字签名：手写签名的数字化，基于公钥密码技术，在数据单元上附加数据，使数据单元的接收者证实数据单元的来源及其完整性，同时提供签名者行为的不可否认性。安全机制管理：针对每一种安全机制的管理：密钥管理、加密管理、数字签名管理。

2022-09-14 11:50:41 908

m0_56534254的博客

原创 6.1 传输层安全概述

原创 5.3 IPSec之三----密钥管理

原创 5.2 IPSec之二----安全协议

原创 5.1 IPSec概述

原创 3.9 木马攻击

原创 3.8 数据库攻击

原创 3.7 命令注入攻击

原创 3.6 假冒攻击

原创 3.5 窃听攻击

原创 3.4 摆渡攻击

原创 3.3拒绝服务攻击

原创 3.2网络欺骗攻击

原创 3.1网络攻击基础知识

原创 2.5数据机密性和完整性综合方案

原创 2.4数据完整性验证

原创 2.2分组密码

原创 2.3 公钥密码机制

原创 2.1流密码

原创 1.开放系统互联安全体系结构

原创第十一章生成树类协议

原创第十章 VLAN间路由

原创第九章虚拟局域网

原创第八章交换基础

原创第五章开放最短路径优先协议

原创第四章距离矢量路由协议与RIP

原创第三章动态路由协议

原创路由与交换第二章静态路由

原创路由与交换学习笔记第一章路由器基础

计算机组成原理课后答案袁春风第二版第一章.docx

空空如也