网络安全资料.docx

拒绝服务攻击通过使计算机功能或性能崩溃来阻止提供服务，典型的拒绝服务攻击有：资源耗尽和资源过 载19社交工程是一种低技术含量的破坏网络安全的方法，它利用说服或欺骗的方式，让网络内部的人来提供必 要的信息22CIA三要素：保密性，完整性，可用性26TCSEC将安全分为四个方面：安全政策、可用说明、安全保障忽然文档，七个安全级别：从低到高为D、C1、C2、B1、B2、B3、A其中 DOS 是 D 级，winnt 是 C2 级，win2000 是 win2000 ）46算法往往不能够保密，因此我们常常规定算法是公开的，真正需要保密的是密钥，所以存储和分发密钥是 最重要的61所谓实际上不可攻破的密码系统，是指它们在理论上虽然是可以攻破的，但是真正要攻破它们，所需要的 计算机资源如计算机时间和容量超出了实际上的可能性62换位密码根据一定的规则重新安排明文字母，使之成为密文常用的换位密码有：列换位密码和周期换位 密码63代替密码就是明文中每一个字符被替换成米问中的另一个字符，接收者对密文进行逆替换就恢复出明文来 分类：1•简单代替密码（如报纸中的密报和凯撒密码）2.同音代替密码3•多表代替密码（如Vigenere密码和 游动钥密码）4.多字母组带密码 65转轮机：20世纪20年代，人们就发明机械加密设备用来自动处理加密，大多数是基于转轮的概念，机械 转轮用线连起来完成通常的密码代替。

转轮机有一个键盘和一系列转轮，每个转轮是字母的任意组合，有 26个位置，并且完成一种简单代替66密码学分为：对称型密码系统（或单钥密码系统）和非对称型密码系统（双钥密码系统）前者称为传统密码系统，后者称为公开密码系统73传统密码系统的特点是：加密和解密时所用的密钥是相同的或者是类似的，即由加密密钥可以很容易的推 导出解密密钥，反之亦正因为如此，我们常称传统密码系统为单密钥密码系统或者对称型密码系统同 时在一个密码系统中，我们不能假定加密算法和解密算法是保密的，因此密钥必须保密74 公开密钥的特点和优点：加密密钥和解密密钥在本质上和算法上不同的，也就是说，知道其中一个密钥， 不能够有效的推导出另一个密钥，当然我们指的有效算法是快速算法，即多项式时间算法不需要分发密 钥的额外信道，因此可以公开加密钥，这样做无损整个系统的保密性，需要保护的紧紧是解密钥）74 1977年7月15日号NBS （美国国家标准局）宣布接受IBM提供的密码算法，作为联邦信息加密标准46 号，即DES正式颁布74DES分组密码系统是分组乘积密码，它用56位密钥将64位的明文转换成64位密文，密钥总长64位，另 外8位是奇偶校验位。

74RSA算法是迄今为止在理论上最成熟完善的共钥密码体制98用公开密钥来保护通信，能很好的保护数据的安全性，但是由于它的加密和解密的速度都相当慢，所以事 实上公开密钥更多的时候是用于常规加密密钥的分发111数字签名的流程（第一步）：采用散列算法对原始报文进行运算，得到一个固定长度的数字串，称为报文摘 要，不同的报文所得到的报文摘要各异，但对相同的报文它的报文摘要却是惟一的在数学上保证，只要 改动报文中任何一位，重新计算出的报文摘要值就会与原先的值不相符，这样就保证了报文的不可更改性135基于口令的认证方式存在严重的安全问题它是一种单因素的认证，安全性仅依赖于口令，口令一旦泄露, 用户即可被冒充更严重的是用户往往选择见大、容易被猜测的口令如与用户名相同的口令、生日、单 词等）这个问题往往成为安全系统最薄弱的突破口口令一般是经过加密后存放在口令文件夹中，如果口 令文件被窃取，那么就可以进行离线的字典式攻击，这也是黑客最常用的手段之一167一次性口令是变动的密码，其变动来源于产生密码的运算因子是变化的一次性口令的产生的因子一般都 采用双运算因子：其一，为用户的私有月密钥它代表用户身份的识别码，是固定不变的。

其二，为变动 因子，正是变动因子的不断变化，才产生了不断变化的一次性口令171Modern Kerberors意指有3个组成部分的网络之门的保卫者三头"包括：认证，计费，审计177 访问控制是通过某种途径显式的准许或限制访问能力及范围的一种方法它是针对越权使用资源的防御措 施，通过限制对关键资源的访问防止非法用户的侵入或因为合法的用户的不慎操作而造成的破坏，从而保 证网络资源受控制地'合法地使用193访问控制的常见实现方法有：访问控制矩阵、访问能力表、访问控制表和授权关系表等194PGP（Pretty Good Privacy）是一种长期在学术界和技术界都得到广泛使用的安全邮件标准PGP的特点是使 用单向散列算法对邮件内容进行签名，以此保证信件内容无法被篡改，使用公钥和私钥技术保证邮件内容 保密且不可否认发信人与收信人的共钥都存放在公开的地方在PGP体系中，“信任”或者是双方之间 的直接关系，或是通过第三者、第四者的间接关系255任何方法都不可能是完全安全的，如果有足够的计算能力，任何形式的密码都可以攻破，问题是破译密码 所花费的时间和精力与受保护的数据价值是否值得259PGP要求用户保持一个密钥的本地缓存。

这个缓存被称为用户的密钥环，每个用户至少有两个密钥环：公 钥环和私钥环每个密钥环都用来存放用于特定目的的一套密钥保持这两个密钥环的安全很重要（如果 有人篡改公钥环，就会使用户错误的验证签名或者给错误的接收者加密消息）公钥环存放所有与用户通信 的人或者单位的公钥、userid、签名和信任参数等在设计公钥的时候，只是想用它保存一些比较亲密的朋 友和同事的公钥私钥环是PGP中存放个人私钥的地方，当用户产生一个私钥时，不能泄露的私钥就存放 在私钥环中，这些数据在私钥环中被加密保存，因此对私钥环的访问不会自动允许对其私钥的使用263防火墙是位于两个（或多个）网络间实施网间访问控制的一组组件的集合279防火墙的功能：（1）隔离不同的网络，限制安全问题的扩散防火墙作为一个中心“遏制点”，它将局域网 的安全进行集中化管理，简化了安全管理的复杂程度2） 防火墙可以很方便地记录网络上各种非法活动，监视网络的安全性，遇到紧急情况报警3） 防火墙可以作为部署NAT （Network Address Translation，网络地址变换）的地点，利用NAT技术，将 有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题或者隐藏内部网络 的结构。

4） 防火墙是审计和记录Internet使用费用的一个最佳地点网络管理员可以在此向管理部门提供Internet 连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费5） 防火墙也可以作为1PSec的平台6） 防火墙可以连接到一个单独的网段上，（从物理上和内部网段隔开，并在此部署WWW服务器和FTP服 务器，将其作为向外部发布内部信息的地点从技术角度来讲，就是所谓的停火区（DMZ） ） .280防火墙的不足之处主要有:（1）网络上有些攻击可以绕过防火墙，而防火墙却不能对绕过它的攻击提供阻 挡2 ）防火墙管理控制的是内部与外部网络之间的数据流，它不能防范来自内部网络的攻击3）防火墙 不能对被病毒感染的程序和文件的传输提供保护4）防火墙不能防范全新的网络威胁5）当使用端到端 的加密时，防火墙的作用会受到很大的限制6）防火墙对用户不完全透明，可能带来传输延迟、瓶颈以及 单点失效等问题280防火墙的分为三大类： （1）分组过滤路由器2）应用级网关3）电路级网关281（1）分组过滤路由器也称包过滤防火墙，又叫网络级防火墙，因为它是工作在网络层这种防火墙可以提供 内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定 义了各种规则来表明是否同意或拒绝包的通过。

包过滤防火墙检查每一条规则直至发现包中的信息与某规 则相符281网络级防火墙的优点是简洁、速度快、费用低，并且对用户透明但它也有不少的缺点：如定义复杂， 容易出现因配置不当带来问题；它只检查地址和端口，允许数据包直接通过，容易造成数据驱动式攻击 的潜在危险；不能理解特定服务的上下文环境，相应控制只能在高层由代理服务和应用层网关来完成281 （2）应用级网关主要工作在应用层应用级网关往往又称为应用级防火墙281（3）电路级网关是防火墙的第三种类型，它不允许端到端的TCP连接，相反，网关建立了两个TCP连接， 一个是在网关本身和内部主机上的一个TCP用户之间，一个是在网关和外部主机上的一个TCP用户之间282堡垒主机的硬件是一台普通的主机，它使用软件配置应用网关程序，从而具有强大而完备的功能它是内 部网络和Internet之间的通信桥梁，它中继所有的网络通信服务，并具有认证、访问控制、日志记录、审计 监控等功能它作为内部网络上外界惟一可以访问的点，在整个防火墙系统中起着重要的作用，是整个系 统的关键点282屏蔽主机模式中的过滤路由器为保护堡垒主机的安全建立了一道屏障典 型 的 屏 蔽 主 机 模 式 如 图 所 示a\L Q H HIB If?. 3屈鞍主机降式屏蔽子网模式增加了一个把内部网与互联网隔离的周边网络（也称为非军事区DMZ）,从而进一步实现屏 蔽主机的安全性，通过使用周边网络隔离堡垒主机能够削弱外部网络对堡垒主机的攻击。

典型的屏蔽子网 模式如图所示，其结构有两个屏蔽路由器，分别位于周边网与内部网之间、周边网与外部网之间应用网关 的代理服务实体将对所有通过它的连接做出日志记录，以便对安全漏洞的检查和收集相关的信息代理服 务技术的特点：网关理解应用协议，可以实施更细粒度的访问控制；对每一类应用都需要一个专门的代理； 灵活性不够；隐蔽信息，例如内部受保护子网的主机名称等信息可以不必为外部所知286网络地址转换NAT （Network Address Translation）即将内网的IP地址与外网的IP地址相互转换，它的目的 一个是可以解决IP地址空间不足的问题286为确保远程网络之间能够安全通信，VPN （Virtual Private Network，虚拟专用网络）是一种很好的技术选择292目前，VPN主要有3个应用领域：远程接入网、内联网和外联网294常见的黑客攻击过程通常包括以下步骤：（1）目标探测和信息攫监门、⑵获得访问权 （3）特权提升（4）掩踪灭迹 （5）创建后门302常见的端口扫描方式：⑴TCP connect （）扫描（2） TCP SYN扫描 （3） TCP FIN扫描 （4） TCP反向 ident 扫描。

303常见的免费扫描工具：1.Nessus 2. Nmap 3. NSS 4. SATAN 5. X-Scan 除了以上这些T -具之外，还有其他一些如Strobe, Jakal, IdentTCPscan, WSS等工具 314入侵检测系统全称为Intrusion Detection System，缩写为IDS 319按照入侵检测输入数据的来源和系统结构来看，入侵检测系统可以分为三类：基于主机的入侵检测系统（HIDS）、基于网络的入侵检测系统（NIDS）和分布式入侵检测系统320入侵检测系统分为4个基本组件：事件产生器、事件分析器、响应单元和事件数据库322不是入侵的异常活动被标识为入侵，我们称之为误报，造成假警报327异常检测指根据使用者的行为或资源使用情况来判断是否入侵，而不依赖于具体行为是否出现来检测，所 以也被称为基于行为的检测基于行为的检测与系统相对无关，通用性较强328滥用检测也称为特征检测或者基于知识的检测，指运用已知攻击方。