加密与解密 、 AIDE入侵检测系统 、 扫描与抓包 、 总结和答疑

加密与解密

信息传递中的风险

什么是加解密

 

加密目的及方式

确保数据的机密性

-对称加密：加密、解密用同一个密钥

-非对称加密：加密、解密用不同的密钥（公钥，私钥）

保护信息的完整性

-信息摘要：基于输入的信息系生成长度较短、位数固定的散列值

 

常见的加密算法

对称加密

非对称加密

 

Hash散列技术，用于信息摘要

 

MD5完整性检验

使用md5sum效验工具

-生成MD5效验值

-与软件官方提供的效验比对

 

GPG加、解密工具

GnuPG,GNU Privacy Guard

 

GPG对称加、解密

基本用法

gpg [-c/-d]

-加密操作：--symmetric或-c

-解密操作：--decrypt或-d

 

GPG非对称加、解密

基本过程

 

前期准备工作

-UserB创建密钥对：gpg --gen-key

-UserB导出公钥：gpg --export -a 或armor

-UserA导入公钥：--import

 

基本用法

-加密操作：--encrypt或-e

-指定目标用户：--recipient或-r

-解密操作：--decrypt或-d

 

GPG软件签名与验证

软件签名与验证过程

-软件官方以私钥对软件包执行数字签名

-用户下载软件包、软件官方的公钥

-以官方公钥验证软件包签名，确保数据来源正确

 

为软件包建立签名文件

-分离式签名：--detach-sign或-b

验证软件包签名

-验证签名：--verify

 

案例

 

AIDE入侵

初始化系统

安装软件包

该软件为一套入侵检测系统

配置yum源配置即可安装aide软件

 

修改配置文件

AIDE默认配置文件为/etc/aide.conf

 

AIDE默认配置文件为/etc/aide.conf

 

初始化检查

在没有被攻击入侵前

根据配置文件，对数据进行效验操作

 

备份数据库

在被入侵前，将效验的数据库文件备份到安全的地方

如，优盘，光盘，移动硬盘，网络存储

 

入侵检查

将之前备份的效验数据库文件还原

根据数据库执行入侵检测

 

案例

 

扫描与抓包

安全分析概述

为什么要扫描？

以获取一些公开/非公开信息为目的

-检测潜在的风险

-查找可攻击目标

-收集设备/主机/系统/软件信息

-发现可利用的安全漏洞

 

扫描方式以及工具

典型的扫描方式

-Scan，主动探测

-Sniff，被动监听，嗅探

-Capture，数据包捕获（抓包）

 

常见的安全分析工具

-扫描器：NMAP

-协议分析：tcpdump,WireShark

 

NMAP扫描

NMAP简介

一款强大的网络探测利器工具

支持多种探测技术

-ping 扫描

-多端口扫描

-TCP/IP指纹校验

-...

 

基本用法

-nmap [扫描类型] [选项] <扫描目标...>

常见的扫描类型

-sS,TCP SYN扫描(半开)

-sT,TCP 连接扫描(全开)

-sP,ICMP(ping)扫描

-sU,UDP扫描

-A,目标系统全面分析

 

NMAP应用示例

检查目标主机开放了那些端口

 

检查哪些主机开启FTP,SSH服务器

 

检查目标主机的存活状态(是否可以ping通)

 

检查操作系统指纹

 

网络抓包工具

tcpdump抓包命令

命令行抓取数据包的工具

基本用法

-tcpdump [选项] [过滤条件]

常见的监控选项

-i 指定监控的网络接口

-A 转换为ACSII码,以方便阅读

-w 将数据包信息保存到指定文件

-r 从指定文件读取数据包信息

-c 定义抓包个数

 

tcpdump的过滤条件

-类型:host,net(网段),port,portrange

-方向:src,dst   (接收,发出)

-协议:tcp,udp,ip,wlan,arp

-多个条件组个:and,or,not

 

应用示例:

-按条件(访问指定的POP3服务)抓取数据包

-按Ctrl+c键停止抓包

 

保存/分析珠宝结果

-抓取访问FTP的包,保存为cap文件

 

WireShark协议分析器

一款与tcpdump类似的抓包工具,需要图形环境

-http://www.wireshark.org/

RHEL光盘中的两个包

-wireshark

-wireshark-gnome

 

 

案例