前言

内容:

  • 信息摘要

  • 数字签名

  • 公钥基础设施PKI

  • 访问控制

  • 信息安全的抗攻击技术

中论

信息摘要

信息摘要就是一段数据的特征信息,当数据发生了改变,信息摘要也会发生改变。

特点:无论数据多长,都会产生固定长度的信息摘要;不同内容的数据产生不同的信息摘要;只能由数据生成信息摘要,但是不能由信息摘要还原数据。

算法:MD5、SHA-1

数字签名

唯一标识一个发送方。

过程:发送者发送数据时,使用发送者的私钥进行加密,接受者使用发送者的公钥解密,这样就能唯一确定发送方,也是数字签名的过程,但无法保证机密性。

公钥基础设施PKI

以不对称密钥加密技术为基础,以数据机密性、完整性、身份认证、行为不可抵赖为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。

  1. 数字证书:有一个可信任的权威机构签署的信息集合
  2. 签证机构CA:负责签发证书、管理、撤销证书。任何机构可以用CA的公钥验证该证书的合法性。

访问控制

主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。包括三个要素:主体、客体和控制策略

方法:

  1. 访问控制矩阵:通过矩阵形式表示访问控制规则和授权用户权限的方法
  2. 访问控制表:即访问控制矩阵的列(去掉空的单元格)
  3. 能力表:即访问控制矩阵的行(去掉空的单元格)
  4. 授权关系表:即去掉空单元格的访问控制矩阵

信息安全的抗攻击技术

拒绝服务攻击(DOS攻击):

  • 内部用户:长时间占用系统内存、CPU处理时间,从而引起服务器无法接受其他请求服务
  • 外部黑客:占用网络连接

攻击模式:消耗资源、破坏或更改配置信息、物理破坏或改变网络部件、利用服务程序中的处理错误使服务失效

分布式拒绝服务DDOS:攻击者首先入侵并控制一些计算机,然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击,这种攻击克服了传统DOS攻击受网络资源的限制和隐蔽性两大缺点。

防御方式:

  • 加强对数据包的特征识别
  • 设置防火墙监视本地主机端口的使用情况
  • 对通信数据量进行统计也可获得有关攻击系统的位置和数量信息
  • 尽可能的修正已经发现的问题和系统漏洞

基于TCP/IP的拒绝服务攻击模式

  • 同步包风暴(SYN Flooding):利用TCP协议发送大量伪造的TCP连接请求,但不建立连接。消耗目标主机的资源
  • ICMP攻击:比如“Ping of Death”攻击利用操作系统规定的ICMP数据包的最大尺寸不超过64KB这一规定,使目标主机TCP/IP堆栈崩溃
  • SNMP攻击:重定向通信流,改变通信流数据包的优先级甚至断开通信。

防御方法:

  • 同步包风暴(SYN Flooding):修改注册表
  • ICMP攻击:修改注册表
  • SNMP攻击:基于网络的漏洞扫描、基于主机的漏洞扫描

ARP欺骗

正常ARP:主机A想知道局域网内主机B的MAC地址,就会广播发送ARP请求分组,局域网内主机都会收到,但只有B解析后知道是请求自己的MAC地址,所以B会响应A的广播。A收到响应分组以后,建立一个B的IP地址和MAC地址映射。

欺骗原理:攻击者C模拟返回格式,将自己的MAC地址发送给A,A将C的MAC和IP对应,这样A实际上给C发的消息

防范措施:

  • 固化ARP表
  • 使用ARP服务器
  • 采用双向绑定的方式
  • ARP防护软件–ARPGuard

DNS欺骗

冒充域名解析服务器,把查询的IP地址设置为攻击者的IP地址,即用户访问的是攻击者的地址。

防范措施:

  • 被动监听检测:通过旁路监听的方式,如果一定的时间间隔内,一个请求对应两个或两个以上结果不同的应答包,则怀疑收到的了DOS欺骗
  • 虚假报文探测:采用主动发送探测包的手段来检测,即像一个非DNS服务器发送请求包,正常不会收到应答包

IP欺骗

原理:

  1. 攻击者首先使主机B的网络暂时瘫痪,以免对攻击造成干扰
  2. 连接目标机A的某个端口猜测ISN基值以及增加规律
  3. 把源址地址伪装成被冒充主机B,发送带有SYN标志的数据段请求连接
  4. 等待目标机A发送SYN+ACK包给瘫痪主机
  5. 再次冒充主机B向主机A发送ACK,此时发送的数据段带有预测的目标机的ISN+1
  6. 攻击者和A建立连接,发送命令请求

防范:

  • 删除UNIX中所有/etc/hosts.equiv、$HOME/.rhosts文件,修改/etc/inetd.conf文件
  • 设置防火墙过滤来自外部但是信源地址却是内部IP的报文

端口扫描

端口扫描就是尝试与目标主机的某些端口建立连接,如果目标端口有回复,则说明该端口开放。(为活动端口)

扫描原理种类

  • 全TCP连接:与目标计算机建立标准的TCP连接
  • 半打开式扫描(SYN扫描):向目标端口发送SYN数据段,如果目标计算机回应SYN=1 ACK=1,这说明端口是活动的;如果回应RST,则是死端口
  • FIN扫描:依靠发送FIN来判断。发送一个FIN=1的报文到一个关闭的端口时,端口会被丢掉并返回一个RST报文;如果发送到一个活动的端口,则不会返回报文。
  • 第三方扫描:“代理扫描”。利用第三方主机代替入侵者进行扫描。

强化TCP/IP堆栈以抵御拒绝服务攻击

见信息安全的抗攻击技术。

信息安全的保证体系和评估方法

计算机系统安全保护能力的五个等级

  • 第一级 用户自主保护级。自主访问控制
  • 第二级 系统审计保护级。自主访问控制的基础上控制访问权限扩散
  • 第三级 安全标记保护级。强制访问控制
  • 第四级 结构化保护级。强制访问控制,将第三级中的访问控制扩散到所有主体和客体
  • 第五级 访问验证保护级。访问控制的粒度是单个用户

评估方法

风险评估的基本要素:脆弱性、资产、威胁、风险和安全措施

网络安全技术

**防火墙:**内网和外网之间增加的一道安全防护措施

  • 网络级防火墙:层次低,但效率高

  • 应用级防火墙:层次高,但效率低

入侵检测系统IDS

原理:监控当前系统/用户行为,使用入侵检测系统分析引擎进行分析

特点:是一个监听设备,没有跨接在任何链路上,无须网络流量流经就可以工作。但是需要挂接在所关注流量的必经的链路上。

  • 尽可能靠近攻击源
  • 尽可能靠近受保护资源

入侵防御系统IPS

特点:能够提前发现入侵行为,在其还没有进入安全网络之前就进行防御

杀毒软件

用于检测和解决计算机病毒

蜜罐系统

伪造一个蜜罐网络引用黑客攻击

网络攻击和威胁(重点)

image-20240508220046019

网络安全协议

image-20240508220215992

SSL协议:安全套接字协议;HTTPS中的S,端口号为443

SSH协议:安全外壳协议,加强Telnet/FTP安全的传输协议

SET协议:安全电子交易协议,应用于B2C模型保障支付的信息安全,协议复杂;安全性高

Kerberos协议:网络身份认证协议。基于信任的第三方,提供开放型网络中进行身份认证的方法。

PGP协议:使用RSA公钥证书进行身份认证,使用IDEA进行数据加密,使用MD5进行数据完整性校验。

后记

有勇气断舍离,就会匹配更好的人和事。