网络安全

最新推荐文章于 2024-08-20 16:14:00 发布

我就是王大大

最新推荐文章于 2024-08-20 16:14:00 发布

阅读量2.7k

点赞数 7

分类专栏： TCP/IP 文章标签：网络安全

本文链接：https://blog.csdn.net/qq_28713311/article/details/54576589

版权

TCP/IP 专栏收录该内容

2 篇文章 0 订阅

订阅专栏

计算机网络面临的四大威胁：截获（被动攻击）、中断（主动攻击）、篡改（主动攻击）、伪造（主动攻击）

被动攻击是只是观察分析某个PDU(协议数据单元),而不干扰，又叫流量分析

主动攻击是对PDU做处理，又分为三种 {

更改报文流

拒绝服务：向服务器发送大量分组，使服务器没办法正常工作，占用服务器资源，又叫拒绝服务DoS，如果多个网站集中攻击一个网站，叫做分布式拒绝服务DDoS

伪造连接初始化：重放以前记录的合法的连接初始化序列，或者伪造来企图链接

计算机网络安全：保密性：保密通信、登陆口令设计、安全通信协议设计、数字签名设计等

访问控制：又叫存取控制或者是接入控制，对接入的网络权限个用户接入权限加以控制

密码体制

对称密钥密码体制（加密密钥和解密密钥是相同的密钥体制）

要使加解密双方采用相同的密钥要事先约定密钥，或者是信使传递，或使用密钥分配中心KDC

1.DES（数据加密标准），是一种分组密码

在加密前是对明文进行分组，每组是64位长的的二进制数，分别对每个组进行加密，得到64位密文，然后再将密文串接起来得到整个密文，使用的密钥是64位，实际上是56位，有8位的奇偶校验

安全性取决于密钥，算法是公开的，一共有2的56次方中密钥

IDEA（国际数据加密算法）采用的是128位密钥

AES（高级加密标准）速度快，安全级别高

使用128、192 和 256 位密钥，并且用 128 位（16字节）分组加密和解密数据

RC5（分组加密算法）参数可变，三个可变的参数是：分组大小、密钥大小和加密轮数，通过异或、加、循环操作加密

公钥密码体制（加密密钥和解密密钥不是相同的密钥体制）

1.RSA，基于大数分解，比DES慢

加密体制中加密密钥PK就是公钥是公开的，解密密钥SK就是私钥是保密的，加解密算法是公开的，只需要对私钥保密，已知PK不能推出SK

加密算法的安全性取决于密钥的长度以及破解密文所需要的计算量

DSA（数字签名算法），是一种标准的DSS（数字签名标准）

ECC（椭圆曲线密码编码学）

数字签名

对纯数字的电子信息进行签名，表示信息是特定某个人产生的

数字签名：报文鉴别、报文完整没有被修改、不能抵赖对报文签名

签名过程：A用私钥对明文进行D运算（进行签名，不是解密运算，D 运算本身是得到某种不可读的密文）然后传递，在用A的私钥进行核实签名，最终B得到明文。因为A有别人没有的私钥，所以B得到的明文就A签名后的，如果别人对明文进行修改，但是没有A的私钥，就不能进行签名，B得到的就是不可读明文，这样就确定被修改过，这样只是进行签名，还是很容易获得内容的，最好是签名和加密都有

鉴别

鉴别验证要通信的对象正确不是冒充者

1.报文鉴别：鉴别报文真伪

报文摘要MD：A将报文X经过报文摘要算法得到摘要H，并且对H进行签名，连通X一块传给B,B先核实签名得到摘要H，在最传过来的X进行摘要算法看是否和核实签名得到的一样，一致的话就是正确的、

报文摘要算法是散列算法，又叫密码编码的检验和，是一种单向函数，也就是说加密是不可逆的，加密完是不用解密的，反正也得不到

MD5就是报文摘要算法，码长是128位，用512位数据块运算得到

SHA（安全散列算法）也是不可逆的，码长是160位，用512位数据块复杂运算得到

2.实体鉴别

报文鉴别是对每一个收到的报文都要进行一遍鉴别

实体鉴别是在持续时间内对和自己通信的对象值鉴别一次，鉴别是这个对象就好，对于内容就不鉴定了

如果C截获A发给B的报文，在发给B，这样B就以为C就是A，那么B就会把原本发给A的发给C，这就是重放攻击，或者第C截获A说的IP 地址冒充A的IP地址进行IP欺骗

对于重放攻击可以使用不重数（不重复使用的大随机数），一次一数，AB之间不同会话必须使用不同的不重数

密钥分配

安全协议

1.网络层安全协议

因特网网络层安全系列是RFC,最重要的是描述IP安全体系结构的是RFC2401和提供IPsec(IP安全协议）协议族的RFC2411

IPsec中最重要的是鉴别首部协议AH和封装安全有效载荷ESP协议，AH提供源点鉴别和数据的完整性，但是不能保密，ESP提供源点鉴别和数据的完整性，能保密

IPsec支持IPV4和IPV6

IPsec把传统因特网无连接的网络层转化为具有逻辑连接的层

网络层保密指的是所有在IP数据报中的数据都是加密的

2.运输层安全协议

运输层使用的第SSL（安全套接层协议），是保护万维网的HTTP通信的标准

除此之外还有就是TLS(运输层安全协议）

SSL是对client和server之间的传送数据进行加密和鉴别，是在握手阶段进行的

SSL功能 { 1.SSL服务器鉴别

2.加密的SSL会话

3.SSL客户鉴别

}

3.应用层安全协议

PGP协议：电子邮件软件安全包，包括加密、鉴别、电子签名、压缩

PEM协议：因特网的邮件加密建议标准

链路加密

每条通信链路上加密是独立的，通常采用不同的加密密钥，某条线路破坏不导致其他线路的信心析出，PDU的协议控制信息和数据都被加密，掩盖了源点和终点的地址，防止各种形式的流量分析，也不会减少有效带宽，只要求相邻节点是相同的密钥就行，链路加密对用户来说是透明的，

端对端加密

在源点和终点对PDU进行加密解密，在传输层及以上层实现，如果在传输层实现，安全措施对用户是透明的，但容易遭到攻击，在应用层实现，用户可以自定义选择，适用于互联网环境和广播网

端对端加密，PDU控制信息部分不能被加密，容易受到流量分析的攻击
一般而言采用的是用链路加密对PDU的目的地址加密，端对端加密是对数据进行保护

防火墙
防火墙是特殊编程的路由器，实施访问控制策略
网络级防火墙：防止整个网站出现外来入侵，例如分组过滤和授权服务器
应用级防火墙：从应用程序来控制访问，例如应用网关和代理服务器

常见的安全问题：
1.ARP（地址解析协议，将网络层地址解析为数据链路层物理地址）欺骗：由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通
2.交换机攻击：VALN跳跃攻击，依靠动态中继协议DTP，从一个VALN跳转到另一个VLAN
生成树攻击，生成树协议(STP)可以防止冗余的交换环境出现回路。要是网络有回路，就会变得拥塞不堪，从而出现广播风暴，引起MAC表不一致，最终使网络崩溃。

3.ARP攻击

4.VTP攻击