一.网络中协议的缺陷
1、ARP层的功能是实现IP跟MAC的转换,由于源主机是指定目的地址广播方式往外发送ARP请求,在局域网中所有的主机都可以收到,如果局域网中有主机伪装成目的主机向其发送了ARP响应告诉了它一个假的MAC地址。此时源主机后面正常通讯的数据都被其窃取了,这就是ARP欺诈
2、IP层的功能实现数据路由转发,当一台主机的被木马入侵,木马可以在电脑中疯狂向外面没有存在的目的IP地址发送数据,此时大量的数据在网络中转发,路由器会拥塞,以致于正常的数据包都无法在网络中传输,这就是IP泛洪
3、在ICMP层中也像IP层那样,当一台主机被木马入侵,木马可以在电脑中疯狂往一个目的主机发送ping数据大包,而目的主机收到后会原样返回数据,这样会使目的主机耗费大量的带宽跟内存,严重时系统内存将会被耗尽,这就是ping洪水
4、UDP是面向无连接的数据报协议,它也存在UDP泛洪的风险
5、TCP是面向连接的数据流协议,如果中有大量的客户端向TCP服务器发送SYN包但不进行后续的握手过程,此时TCP客户端会为建立连接过程创建大量的TCP控制块,以致于内存资源浪费或者耗尽,这就是SYN攻击。同时在断开连接的时候也可以出现攻击的风险
6、DNS底层是基于UDP协议的,它的功能是实现域名与IP地址的转换,DNS客户端并不具备检验转换过来的IP地址的正确性。此时如有一个钓鱼网站,它伪装成你要访问的网站,把错误的IP地址往回给DNS客户端,之后你连接到它的服务器,在网页页面上输入的一些信息都可能被钓鱼网站截取,以致于信息泄露,这就是DNS劫持
7、IGMP组播底层是基于UDP协议的,面向无连接,它也可能存在IGMP泛洪的风险
二.网络中怎么进行安全防护
加密技术:
(1) 对称加密技术:加密密钥与解密密钥是相同的,算法相同。常用的对称加密算法有DES, AES, 3DES, RC4, RC5, RC6。优点:运算速度快,缺点:双方要维护一个相同的秘钥
在这里只介绍AES加密算法,AES为分组密码,分组密码也就是把明文分成一组一组的,每组长度相等,每次加密一组数据,直到加密完整个明文。在AES标准规范中,分组长度只能是128位,也就是说,每个分组为16个字节(每个字节8位)。密钥的长度可以使用128位、192位或256位。密钥的长度不同,推荐加密轮数也不同,如下表所示:
(2) 非对称加密技术:有两把钥匙,公钥和私钥,常用的算法有RSA,DSA,ECC,DH,在这里只介绍RSA加密算法,如下图
关键概念:素数、互质关系、欧拉函数、模反元素
素数:约数只有1和它本身的数,比如 1、2、3、5、7、11等等
互质关系:公约数只有1的两个数。比如(2,3) 、(5, 7)等等
欧拉函数:f(n) 小于n的数中,与n互质的数的个数。比如f(5) = 4
模反元素:e * d = 1 + f(n) * x
举个例子:素数p = 3, q = 11,n = p * q = 33,f(33) = 20
如果选 e = 3, 3 * d = 1+ 20*x ,然后选x = 1,得到d = 7
(3) Hash算法
Hash算法是固定算法,用于产生指纹/签名,它是唯一的、不可逆,常见算法:MD2,MD5,SHA1,SHA256
三.数字证书
(1) 数字证书是用电子手段来证实一个用户的身份和对网络资源的访问权限。数字证书是由权威机构(CA)采用数字签名技术,颁发给用户,用以在数字领域中证实用户其身份的一种数字凭证。在数字证书认证的过程中,证书认证中心(CA)作为权威的、公正的、可信赖的第三方,对签发的证书进行认证。主要有三种证书:根证书、服务器证书、个人证书
根证书:CA机构的证书,一般安装在操作系统中,用于验证服务器证书的有效型
服务器证书:一般由服务器企业向CA机构申请签发,用于证明服务器是合法的服务器
个人证书:现在已经很少用到,类似以前银行的个人U盾,用于证明你的银行身份
(2) 证书格式:X509、DER与PEM格式
(3) 证书的签发流程
摘要通过Hash加密成10111000010,再用CA私钥加密成10111000010,然后摘要和签字后的报文合成的一份证书交给服务器企业让它放在服务器上。客户端访问服务器时,服务器会下发证书给客户端验证,首先客户端用摘要进行Hash加密后得到10111000010结果,再用CA证书的公钥对签名后的报文进行解密得到10111000010的结果,两个结果进行比较,如果相等表示服务器证书验证通过了
第一对:CA公钥和私钥,公钥是在CA证书,它安装到系统里面,目的为了验证服务器证书的有效性
第二对:服务器的公钥和私钥,公钥是在服务器证书中,通信的时候服务器发给客户端,客户端验证证书,验证通过后才知道服务器公钥是合法的
641
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
