文章目录

  • 第八章 网络安全
    • 8.1 什么是网路安全?
    • 8.2 加密原理
      • 对称密钥加密学
      • 公开密钥加密学RSA
    • 8.3 认证
      • Protocol ap1.0
      • Protocol ap2.0
      • Protocol ap3.0
      • Protocol ap3.1
      • Protocol ap4.0
      • Protocol ap5.0
    • 8.4 报文完整性
    • 8.5 密钥分发和证书
    • 8.6 访问控制:防火墙
    • 8.7 攻击和对策
      • 映射
      • 分组嗅探
      • IP Spoofing欺骗
      • DOS

第八章 网络安全

8.1 什么是网路安全?

场景:Alice和Bob要进行通信;Trudy想要截获

Trudy可以做什么?
窃听:截获报文
插入:在连接上插入报文
伪装:在分组的源地址上写上伪装的地址
劫持:将发送方或接收方提出,接管连接
拒绝服务:阻止服务被其他正常用户使用

如何保证传输过程中的信息安全?
机密性:使用加密机制,只有发送方和接收方可以理解传输的报文内容
认证:发送方和接收方要确认对方的身份
报文完整性:发送方和接收方要确认报文在传输过程中或者传输后有没有被改变
访问控制和服务可用性:保证服务可以接入、服务对用户而言是可用的

8.2 加密原理

对称密钥加密学

发送方和接收方密钥相同

  • 替换密码:如a使用m替换,b使用n替换

  • 对称密钥加密学:DES

使用56bit密钥
进行16轮一样的函数应用,每一轮使用不同的48bit密钥

  • AES:用于替换DES

使用128bit密钥
如果输入的块重复,会得到相同的密文块

公开密钥加密学RSA

发送方使用接收方的公钥进行加密
接收方使用自己的私钥进行解密

密钥公之于众,私钥只有自己知道

8.3 认证

背景:Alice和Bob是一对情侣,要进行网络通信,Trudy是网络黑客

Protocol ap1.0

Alice向Bob发送消息:I am Alice
Trudy也可以向Bob发送消息:I am Alice (在网络上Bob并不能看到Alice,所以区分不出来)

Protocol ap2.0

Alice向Bob发送消息:I am Alice,并在IP数据包中包括了Alice的IP地址
Trudy也可以向Bob发送消息:I am Alice ,并且伪造出Alice的IP地址

Protocol ap3.0

Alice向Bob发送消息:I am Alice,并且传送Alice的密码来证明身份
Trudy可以截获Alice的消息,并且事后不断重复发送该消息(重放攻击

Protocol ap3.1

Alice向Bob发送消息:I am Alice,并且传送Alice加密之后的密码来证明身份
Trudy依然可以进行重放攻击

Protocol ap4.0

目标:避免重放攻击
Nonce:一生只使用一次的整数
双方需要共享一个对称式的密钥

Alice向Bob发送消息:I am Alice
Bob向Alice发送一个整数Nonce(我喊你一声,你敢答应吗?)
Alice对这个整数Nonce进行加密,发送给Bob
Bob解密成功(此时Bob才信任这个人是Alice)

Protocol ap5.0

依旧使用Nonce
加解密使用公开密钥加密技术

8.4 报文完整性

数字签名是什么?
数字前面类比于手写签名;
数字签名需要具备的特性:可验证性、不可为造性、不可抵赖性

  1. Bob使用自己的私钥A对m进行了签署,创建数字签名
  2. Alice收到报文m,以及数字签名。
  3. Alice使用Bob的公钥B对数字签名进行解密,若解密成功,那么这个加密的人一定拥有Bob的私钥

报文摘要
若报文很长,对报文加密生成数字签名需要耗费大量的时间。
对报文使用散列函数,获得固定长度的报文摘要;
再对报文摘要进行加密,得到数字签名

Intenet校验和:弱散列函数
Intenet校验和拥有一些散列函数的特性
但是:不同的报文可能拥有相同的校验和

散列函数算法

  • MD5散列函数:4个步骤计算出128bit的报文摘要
  • SHA-1:160bit的报文摘要

8.5 密钥分发和证书

Key Distribution Center(KDC)
对称密钥加密中,用来解决对称式密钥分享的问题

为服务器和每一个注册用户都分享一个对称式的密钥

Certification authority(CA)
公共密钥加密中,用来解决公共密钥分享的问题

将每一个注册实体E和她的公钥捆绑

CA证书整个流程:

  1. E提供给CA自己的身份信息
  2. CA创建了一个证书,捆绑了实体信息和他的公钥
  3. 证书包括了E的公钥,而且这个公钥是被CA签署的(被CA用自己的私钥加密了)
  4. 当另一个服务器E2想拿到E的公钥时
  5. E将证书传给E2,E2使用CA的公钥来解密,得到E的信息,以此来确认身份

证书组成

串号(证书发行者唯一)
证书拥有者信息,包括算法和密钥值本身(不显示)
证书发行者信息
有效日期
颁发者签名

8.6 访问控制:防火墙

防火墙:将组织内部网络和互联网隔离开,按照规则允许某些分组通过,或者阻塞掉某些分组

防火墙的作用:

  • 组织拒绝服务攻击:攻击者伪造很多TCP连接,将服务器所有资源都占用,普通用户就无法再建立连接了
  • 阻止非法的修改/对非授权内容的访问:如攻击者替换掉公司主页
  • 只允许认证的用户访问内部网络资源:经过认证的用户/主机的集合

防火墙分类:

  • 网络级别:分组过滤器
  • 应用级别:应用程序网关

分组过滤-无状态:

  • 路由去对分组逐个过滤,根据以下规则来决定转发还是丢弃:
  • 源IP地址、目标IP地址
  • TCP/UDP源和目标端口
  • TCMP报文类别
  • TCP SYN/ACK

分组过滤-有状态:在无状态分组过滤的基础上,新增判断连接的功能,只有建立连接成功,且满足其他条件的才允许通过。

应用程序网关:

  • 根据应用程序的内容来过滤进出的数据报,就像根据IP/TCP/UDP字段来过滤一样。(检查级别:应用层数据)
  • 如:允许内部用户登录到外部服务器,但不是直接登录

IDS:入侵检测系统

  • 分组过滤只检查TCP/IP的头部。不检查具体内容
  • IDS检查分组的内容(识别分组中的特征串,判断是否是一直病毒和攻击串)
  • 检查分组相关性,判断是否是有害的分组(如是否进行端口扫描、DOS攻击)
  • IDS在不同的地点进行不同类型的检查

8.7 攻击和对策

映射

什么是映射?
在攻击之前要进行踩点,发现网络上实现了哪些服务
使用ping来判断哪些主机在网络上有地址
端口扫描:试图顺序的在每一个端口上建立TCP连接

对策:
记录进入到网络中的通信流量
发现可疑的行为(范围查找IP地址、端口被依次扫描等)

分组嗅探

什么是分组嗅探?
广播式介质
混杂模式的NIC获取所有信道的分组
可获取所有未加密的数据

对策:
机构中的所有主机都运行监测软件,周期性检查是否有网卡处于混杂模式
每个主机一个独立的网段(交换使用以太网而不是集线器)

IP Spoofing欺骗

IP Spoofing是什么?
可以改变分组的源地址字段,随意使用任何IP地址进行替换
接收端无法判断源地址是不是具有欺骗性

对策:
路由器对那些具有非法源地址的分组不进行转发(如:IP源地址不是路由器所在的网络地址)
入口过滤不能在全网范围内安装

DOS

DOS攻击是什么?
产生大量的分组淹没了接收端,占用服务器所有资源。
DDOS:多个相互合作的源站 一起对服务器端发动DOS攻击。

对策:
在到达主机之前过滤掉这些泛洪的分组
回溯到源主机

《计算机网络 自顶向下》第八章==网络安全相关推荐

  1. 《计算机网络 自顶向下方法》答案(第八章)(重制版)

    <计算机网络 自顶向下方法>答案(第八章)(重制版) P1 usai si my cmiw lokngch wasn't that fun P2 如果Trudy知道bob和alice在明文 ...

  2. 《计算机网络——自顶向下方法》学习笔记——计算机网络安全

    计算机网络--计算机网络安全 计算机网络安全 什么是网络安全 密码学的原则 对称密钥密码体制 公开密钥加密 报文完整性和数字签名 密码散列函数 报文鉴别码 数字签名 端点鉴别 鉴别协议 ap1.0 鉴 ...

  3. 史上最全《计算机网络 自顶向下方法》答案合集

    史上最全<计算机网络 自顶向下方法>答案合集 封面: 英文名:Computer Networking: A Top-Down Approach (7th Edition) 答案 第一章 ( ...

  4. 计算机网络自顶向下方法课程实验一华为三层交换机路由器配置静态路由

    一 实验目的 1.识别静态路由的应用场景 2.掌握静态路由的配置 二 实验原理 静态路由是指由用户或网络管理员手工配置的路由信息.当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表 ...

  5. 计算机网络自顶向下方法实验报告,计算机网络自顶向下方法试验三报告.doc

    计算机网络自顶向下方法试验三报告 陕西师范大学 计算机网络 实验报告 年级: 2010级 姓名: 陈翠萍 学号: 实验日期: 2012.9.24 实验名称:Wireshark Lab: HTTP 1至 ...

  6. 《计算机网络 自顶向下方法》 第2章 应用层 Part1

    常见的应用层协议有哪些?  HTTP(HyperText Transfer  Protocol):超文本传输协议 FTP(File Transfer Protocol):文件传输协议 SMTP(Sim ...

  7. 计算机网络自顶向下方法(二)——应用层

    不作理想的巨人,行动的矮子 文章目录 写在前面 应用层协议原理 网络应用程序体系结构 客户-服务器(C/S)体系结构 对等体(P2P)体系结构 C/S和P2P体系结构的混合体 进程通信 分布式进程通信 ...

  8. 计算机网络-自顶向下方法-笔记【第3章-传输层】

    计算机网络-自顶向下方法-笔记[第3章-传输层] 学习的课程及图片来源:中科大郑烇.杨坚全套<计算机网络(自顶向下方法 第7版,James F.Kurose,Keith W.Ross)>课 ...

  9. 计算机网络自顶向下方法 第三章 运输层 3.4 可靠数据传输原理

    计算机网络自顶向下方法总结3.4可靠数据传输原理 目录 3.4 可靠数据传输原理 3.4.1 构造可带数据传输协议 3.4.2 流水线可靠数据传输协议 3.4.3 回退N步 3.4.4 选择重传 3. ...

  10. 计算机网络自顶向下方法华为路由器配置OSPFv3路由协议实现端到端的通信

    一 实验目的 掌握OSPFv3 的基本配置功能,在 R1.R2 和 R3 上启用OSPFv3 路由协议.R1 和R2 引入外部直连路由来与 PC 互联,要求PC1 与能够与PC2 互访. 二 实验原理 ...

最新文章

  1. oracle hot patch david,Oracle EBS使用adpatch工具打patch过程(hotpatch mode)
  2. Linux_Shell_ Map 的使用和遍历
  3. html input或textarea 如何在光标处插入内容
  4. java 闹钟_JAVA可视化闹钟源码
  5. 大话设计模式—装饰模式
  6. Echarts给坐标轴添加自定义属性
  7. 在网站中使用Cookie的简单例子
  8. matlab在电气信息类专业中的应用,MATLAB在电气信息类专业中的应用(高等学校应用型特色规划...
  9. How to Build the Confidence Habit,7 Ways To Start To Value Yourself,Becoming More Me Through Meditat
  10. 手把手教你使用SPSS做出亚组分析的交互作用效应(p for Interaction)
  11. 营销增长系列:从零开始做运营?
  12. 社区专家谈 12306
  13. ARCGIS矢量数据的空间分析——叠加分析
  14. android源码编译1
  15. 浅谈RabbitMQ的基石—高级消息队列协议(AMQP)
  16. 数学建模训练 — 红楼梦作者解析
  17. linux操作系统-----用户与组管理(3)
  18. python计算频率_如何计算给定波的频率和时间
  19. ZUI易入门Android之Bitmap(一)
  20. 广东联通UNT400G_S905L3_XR819双内存线刷包

热门文章

  1. .so文件的基本理解,使用。
  2. JS-BOM基本概念
  3. Hough变换原理-直线检测
  4. Xposed框架未安装解决方法
  5. sklearn- 一元线性回归
  6. C语言课程设计|职工工资管理系统
  7. python 嵌入键值数据库_键值对数据库综述
  8. 阅读替换净化规则_阅读3.0来了 — 全网免费阅读功能更强大
  9. CSS布局大全-案例
  10. rs 华为hcip 课件下载_华为路由与交换hcip最新题库