网络安全必过.docVIP

第1章 基本安全技术：防火墙、加密、身份认证、数字签名、内容检查 防火墙： 它有三种工作方式：使用一个过滤器来检查数据包的来源和目的地；根据系统管理员的规定来接收和拒绝数据包，扫描包，查找与应用相关的数据；在网络层对数据包进行模式检查； 作用：限制着外界用户对内部网络的访问以及管理内部用户访问外界网络的权限。防火墙是保护网络免遭黑客袭击的有效手段与密钥结合，产生密文密钥对密文进行解码的一种保证网络的信息通讯安全保证信息传输的完整性发送者的身份认。替代密码是指先建立一个替换表，加密时将需要加密的明文依次通过查表，替换为相应的字符，明文字符被逐个替换后，生成无任何意义的字符串，即密文，替代密码的密钥就是其替换表 。密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的数据密钥简短，破译极其困难M映射成一个固定长度m散列值h，h=H(M)，h=H(M)为单向散列函数。对MD5（Message-Digest信息摘要算法简要的叙述可以为：MD5以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成一个128位散列值。SHA是一种数据加密算法公认的最安全的散列算法之一该算法的思想是接收一段明文，然后以一种不可逆的方式将它转换成一段（通常更小）密文，也可以简单的理解为取一串输入码（称为预映射或信息），并把它们转化为长度较短、位数固定的输出序列即散列值（也称为信息摘要或信息认证代码）的过程使用一对密钥来分别完成加密和解密操作，一个，即公开密钥，另一个由用户自己秘密保存，即私用密钥。信息发送者用公开密钥去加密，而信息接收者则用私用密钥去解密更加利于密钥分发和管理数字签名在ISO7498-2标准中定义为：“附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）进行伪造”。通过指定路由，以假冒身份与其他主机进行合法通信或发送假报文，使受攻击主机出现错误动作，这就是源路由攻击。IP协议本身的设计漏洞，以及基于IP源地址的服务认证。 方法：通过自封包和修改网络节点的IP地址，冒充某个可信节点的IP地址伪装可信主机进行攻击?在路由器上关闭源路由配置好路由器，使它抛弃那些由外部网进来的却声称是内部主机的报文。许多操作系统TCP/IP栈规定ICMP包的大小限制在64 KB以内。在对ICMP数据包的标题头进行读取之后，是根据该标题头里包含的信息来为有效载荷生成缓冲区的IP协议规定的测试包，对目标IP不停地Ping探测使未采取保护措施的网络系统出现内存分配错误，导致 TCP/IP 协议栈崩溃发生缓冲区溢出的错误使目标主机网络瘫痪对防火墙进行配置，阻断ICMP及任何未知协议数据包(后面的分片整个落入前面的分片中) ，内核将无法进行正常处理。 方法：泪滴攻击利用在TCP/IP协议栈实现中信任IP碎片中的包的标题头所包含的信息把偏移字段设置成不正确的值来实现自己的攻击E2-NP2为负数的包。在防火墙上设置分段重组功能，由防火墙先接收到同一原包中的所有拆分数据包，然后完成重组工作，而不是直接转发。 某些TCP/IP协议栈在收到含有重叠偏移的伪造分段时将崩溃目标计算机操作系统因资源耗尽而崩溃。攻击类型：Land攻击是一种拒绝服务攻击“错误”应答，并等待具有正确序列号的应答返回。导致系统资源消耗完，引起大多数系统死机或重启。 预防：适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为并对这种攻击进行审计IP欺骗技术就是伪造某台主机的IP地址的技术.通过IP地址的伪装使得某台主机能够伪装另外的一台主机,而这台主机往往具有某种特权或者被另外的主机所信任。——反比关系，高信任低认证；基于IP地址的认证；Unix系统中的r服务。 方法：伪造具有假的源IP地址的包，该地址是目标主机的可信任地址。 目的：获得对主机未授权的访问使服务器不对合法用户服务，从而实现了对受害服务器的拒绝服务攻击。抛弃基于地址的信任策略： 阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用禁止基于IP地址的信任关系使用加密法在通信时要求加密传输和验证进行包过滤：可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求——主机接收到SYN请求时，必须在侦听队列中对此连接请求保持75秒的跟踪；由于资源有限，主机能够打开的连接数有限。 方法：攻击者向主机发送多个SYN请求，且不应答对其返回的SYN+ACK包，使其侦听队列被阻塞，从而拒绝接受其它新的连接请求，直到部分打开的连接完成或者超时。 目的：使目标主机无法对正常的连接请求进行应