网络安全技术
1 对称加密算法
1.1 DES
16轮迭代置换
64位明文块转为64位密文块
密钥为64位,56位为有效位,8位校验位
1.2 AES
区块长度位128位
密钥长度为128位,192位,256位
1.3 RC4
常用于WEP加密
加密:密钥与明文异或得到密文
解密:密钥与密文异或得到明文
2 非对称加密算法
2.1 RSA
取两个大素数p、q
计算n=pq
随机取e,使得gcd(e,(p-1)(q-1))=1
计算d,ed mod (p-1)(q-1)=1
加密:C=M^e mod n
解密:M=C^d mod n
3 哈希摘要算法
3.1 MD5
输入任意长度,输出128位
3.2 SHA-1
输入长度小于2^64,输出160位
4 攻击手段
4.1 拒绝服务攻击
- SYN泛洪攻击
伪造大量IP地址对服务器进行大量SYN请求 - UDP泛洪攻击
- ICMP泛洪攻击
- 分布式拒绝服务攻击
通过控制多个拒绝服务攻击源一起攻击某个受害者
4.1.1 防范方法
- 关闭不必要的服务
- 缩短SYN半连接time out时间
- 限制特定IP的访问
- 受攻击后迅速变更IP
- 启用防火墙DDOS
4.2 中间人攻击
没有对对方身份进行认证
4.3 消息重放攻击
没有设置消息的时间
对策:时戳机制、序列号机制
5 隔离技术
5.1 防火墙
5.1.1 分类
- 包过滤防火墙
分组过滤,根据IP包头部信息进行过滤 - 状态检测防火墙
既根据IP包头部信息检测过滤,也根据协议状态过滤 - 代理防火墙
内外主机通信使用代理服务器
5.1.2 特征
- 所有进出流量必须通过防火墙
- 使用安全策略过滤
- 自身很难被攻破
6 蜜罐技术
蜜罐系统
定义:一个包含漏洞且运行在互联网上的系统
用途:用于引诱攻击者攻击,从而分析攻击者的相关特征
7 安全认证
7.1 Kerberos
7.1.1 主体
- 客户端
- 应用服务器
- 认证服务器
- 票据服务器
7.1.2 过程
- 用户向认证服务器请求,通过身份验证,获取许可证
- 利用许可证向票据服务器请求,获得带有时间戳的票据
- 利用票据向应用服务器请求,获得服务
7.2 X.509
最新为第3版,应用在SSL在内的众多互联网协议中
用户根据CA的公开密钥验证证书的有效性
用户根据证书提供的公钥,加密信息与证书的所有者实现加密通信
7.3 IP Sec,确保IP通信安全的机制
7.3.1 操作模式
- 传输模式
保护IP包的载荷 - 隧道模式
保护整个IP包
7.3.2 通信协议
- AH协议
认证 - ESP协议
加密、认证
7.3.3 算法
- 加密算法
- 认证算法
7.4 SSL
应用层数据->SSL->密文数据
SSL在同一连接的两个方向采用不同的密钥
7.4.1 过程
- 交换安全能力(加密算法、密钥交换算法、摘要算法、压缩算法等同步)
- 服务器密钥交换与认证
- 用户密钥交换与认证
- 完成,结束
7.5 HTTPS
SSL的应用,先建立TCP连接,接着建立SSL连接,然后开始通信
7.5.1 过程
- 浏览器向WEB服务器发起连接,执行SSL握手协议
- 通过SSL加密规约修改协议通知双方使用新的安全参数
- 在建立的SSL信道上,通过SSL记录层协议来传输HTTP数据