加密与解密
信息传递中的风险
什么是加解密
加密目的及方式
确保数据的机密性
-对称加密:加密、解密用同一个密钥
-非对称加密:加密、解密用不同的密钥(公钥,私钥)
保护信息的完整性
-信息摘要:基于输入的信息系生成长度较短、位数固定的散列值
常见的加密算法
对称加密
非对称加密
Hash散列技术,用于信息摘要
MD5完整性检验
使用md5sum效验工具
-生成MD5效验值
-与软件官方提供的效验比对
GPG加、解密工具
GnuPG,GNU Privacy Guard
GPG对称加、解密
基本用法
gpg [-c/-d]
-加密操作:--symmetric或-c
-解密操作:--decrypt或-d
GPG非对称加、解密
基本过程
前期准备工作
-UserB创建密钥对:gpg --gen-key
-UserB导出公钥:gpg --export -a 或armor
-UserA导入公钥:--import
基本用法
-加密操作:--encrypt或-e
-指定目标用户:--recipient或-r
-解密操作:--decrypt或-d
GPG软件签名与验证
软件签名与验证过程
-软件官方以私钥对软件包执行数字签名
-用户下载软件包、软件官方的公钥
-以官方公钥验证软件包签名,确保数据来源正确
为软件包建立签名文件
-分离式签名:--detach-sign或-b
验证软件包签名
-验证签名:--verify
案例
AIDE入侵
初始化系统
安装软件包
该软件为一套入侵检测系统
配置yum源配置即可安装aide软件
修改配置文件
AIDE默认配置文件为/etc/aide.conf
AIDE默认配置文件为/etc/aide.conf
初始化检查
在没有被攻击入侵前
根据配置文件,对数据进行效验操作
备份数据库
在被入侵前,将效验的数据库文件备份到安全的地方
如,优盘,光盘,移动硬盘,网络存储
入侵检查
将之前备份的效验数据库文件还原
根据数据库执行入侵检测
案例
扫描与抓包
安全分析概述
为什么要扫描?
以获取一些公开/非公开信息为目的
-检测潜在的风险
-查找可攻击目标
-收集设备/主机/系统/软件信息
-发现可利用的安全漏洞
扫描方式以及工具
典型的扫描方式
-Scan,主动探测
-Sniff,被动监听,嗅探
-Capture,数据包捕获(抓包)
常见的安全分析工具
-扫描器:NMAP
-协议分析:tcpdump,WireShark
NMAP扫描
NMAP简介
一款强大的网络探测利器工具
支持多种探测技术
-ping 扫描
-多端口扫描
-TCP/IP指纹校验
-...
基本用法
-nmap [扫描类型] [选项] <扫描目标...>
常见的扫描类型
-sS,TCP SYN扫描(半开)
-sT,TCP 连接扫描(全开)
-sP,ICMP(ping)扫描
-sU,UDP扫描
-A,目标系统全面分析
NMAP应用示例
检查目标主机开放了那些端口
检查哪些主机开启FTP,SSH服务器
检查目标主机的存活状态(是否可以ping通)
检查操作系统指纹
网络抓包工具
tcpdump抓包命令
命令行抓取数据包的工具
基本用法
-tcpdump [选项] [过滤条件]
常见的监控选项
-i 指定监控的网络接口
-A 转换为ACSII码,以方便阅读
-w 将数据包信息保存到指定文件
-r 从指定文件读取数据包信息
-c 定义抓包个数
tcpdump的过滤条件
-类型:host,net(网段),port,portrange
-方向:src,dst (接收,发出)
-协议:tcp,udp,ip,wlan,arp
-多个条件组个:and,or,not
应用示例:
-按条件(访问指定的POP3服务)抓取数据包
-按Ctrl+c键停止抓包
保存/分析珠宝结果
-抓取访问FTP的包,保存为cap文件
WireShark协议分析器
一款与tcpdump类似的抓包工具,需要图形环境
-http://www.wireshark.org/
RHEL光盘中的两个包
-wireshark
-wireshark-gnome
案例