网络信息安全复习提纲.docx

1、网络信息安全复习提纲“黑客”(Hacker指对于任何计算机操作系统奥秘都有强烈兴趣的人。“黑客”大都是程序员,他们具有操作系统和编程语言方面的高级知识,知道系统中的漏洞及其原因所在;他们不断追求更深的知识,并公开他们的发现,与其他分享;并且从来没有破坏数据的企图。“入侵者”(Cracker是指怀着不良企图,闯入甚至破坏远程机器系统完整性的人。“入侵者”利用获得的非法访问权,破坏重要数据,拒绝合法用户服务请求,或为了自己的目的制造麻烦。“入侵者”很容易识别,因为他们的目的是恶意的。信息安全的任务机密性confidentiality完整性integrity不可否认性non-repudiation有

2、效性availability网络安全的研究方向以网络管理软件为代表的网络安全管理的研究以Satan(System Administrator Tool for Analyzing Networks为代表的网络分析系统的研究以Kerberos(网络认证协议为代表的密钥分配和传输系统的研究以SSL为代表的安全协议的研究以防火墙(Firewall为代表的局部安全系统的研究信息收集阶段:(1TraceRoute程序:能够用该程序获得到达目标主机所要经过的网络数和路由器数。Tracerout e利用ICMP及IP header的TT L字段。首先,t racerout e送出一个TT L是1的IP da

3、t agram(其实,每次送出的为3个40字节的包,包括源地址,目的地址和包发出的时间标签到目的地,当路径上的第一个路由器收到这个dat agram 时,它将TT L减1变为0,所以该路由器会将此dat agram丢掉,并送回一个ICMP time exceeded(包括发IP包的源地址,IP包的所有内容及路由器的IP地址,tracerout e 收到这个消息后,便知道这个路由器存在于这个路径上,接着traceroute 再送出另一个TT L是2 的datagram,发现第2 个路由器. t racerout e 每次将送出的dat agram的TT L 加1来发现另一个路由器,这个重复的动作

4、一直持续到某个dat agram 抵达目的地。当datagram到达目的地后,该主机并不会送回ICMP time exceeded消息。Tracerout e在送出UDP datagrams到目的地时,它所选择送达的port number 是一个一般应用程序都不会用的号码(30000 以上,所以当此UDP dat agram 到达目的地后该主机会送回一个ICMP port unreachable的消息,而当tracerout e 收到这个消息时,便知道目的地已经到达了。所以traceroute 在Server端也是没有所谓的Daemon 程式。Tracerout e提取发ICMP TT L到期

5、消息设备的IP地址并作域名解析。每次,Tracerout e都打印出一系列数据,包括所经过的路由设备的域名及IP地址,三个包每次来回所花时间。Traceroute 有一个固定的时间等待响应(ICMP TT L到期消息。如果这个时间过了,它将打印出一系列的*号表明:在这个路径上,这个设备不能在给定的时间内发出ICMP TTL到期消息的响应。然后,T racerout e给TT L记数器加1,继续进行。(2SNMP协议:用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节。 整个网络管理涉及到3个设备:被监控设备(也称为代理,是一些我们希望监控的设备,比如路由器、交换机、

6、服务器,管理端(也称为管理器,管理员配置管理器程序,定期从代理读取数据,管理员计算机(仅用来管理员查看数据。注意:这里所谓的代理,指希望监控的设备,比如服务器,路由器等。(3DNS服务器:该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。(4Whois协议:该协议的服务信息能提供所有有关的DNS域和相关的管理参数。(5Ping实用程序:可以用来确定一个指定的主机的位置或网线是否连通。第二章(书1728页1、DDos/Smurf的原理是什么?有什么办法和措施来监测或抵抗这些攻击?DDoS 原理见书21页。(1定期扫描(2在骨干节点配置防火墙(3用足够的机器承受黑客攻击(4充分利用

7、网络设备保护网络资源(5过滤不必要的服务和端口(6检查访问者的来源(7过滤所有RFC1918 IP地址(8限制SYN/ICMP流量Smurf 原理见书20页。原理图如下: 2、请查阅相关资料,解释DNS欺骗的详细原理。原理:如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。3、防止ARP欺骗。采用双向绑定的方法可以解决并且防止ARP欺骗1、首先,获得网关的MAC地址。(把自己网段网关的MAC地址记下来2

8、、然后在DOS命令下执行以下两条命令:1先删除现有的MAC-IP对应表:arp -d2设置静态的网关MAC-IP对应表:arp -s 网关ip 网关MAC第三章(书3339页1、对等实体认证是用来验证在某一关联的实体中,对等实体的声称是一致的,它可以确认对等实体没有假冒;2、信源认证是用于验证所收到的数据来源与所声称的来源是一致的,但不提供防止数据中途被修改的功能。3、数字签名模型:数字签名全过程摘要B1对B1进行RSA 加密摘要密文B2摘要B3对B2进行RSA 解密摘要B4B3=B4?对原文进行摘要和RSA 算法的数字签名系统对收到的原文进行摘要Private keyPublic key原文

9、摘要密文B2数字签名全过程摘要B1对B1进行RSA 加密摘要密文B2摘要B3对B2进行RSA 解密摘要B4B3=B4?对原文进行摘要基于MD5/SHA-1和RSA 算法的数字签名系统对收到的原文进行摘要Private keyP u b l i c k e y原文摘要密文B2 ）、生物识别技术优缺点 （3）、生物识别技术优缺点 ）、 指纹一般是作为非对称密钥的种子！ 指纹一般是作为非对称密钥的种子！ 优点 安全性高 生理特征使用方便、简洁 不易被盗或遗失 缺点 对识别技术要求很高 特征匹配、比较较难。所有的匹配都是模糊比较，相似度不可能 100%。 可以被伪造，且容易泄露，如指纹痕迹 （4）、防

10、指纹伪造 答：可以采用活体指纹识别技术，能够感应指纹的湿度、温度或者生物电阻等属性，消 除伪造指纹及断指所带来的隐患。例如电容式传感 电容式传感。 电容式传感 电容式传感： 电容式传感： 工作原理：根据活体手指表层上的电阻变化传导指纹图像。 皮肤表皮层下的第一层活体皮 （ 肤细胞，具有一定量电阻。它们在皮肤表层上组成特定形状。 细胞中的特定电学品质与细胞的 排列方式这二者的结合使得皮肤表面的电阻能够被测量且其变化唯一。）由手指的电信 号提取到的特征经过运算后以数字的形式存储。每次识别都需要经过这个过程，然后按 照传统的指纹识别的校验方式进行识别比对。 断指的电属性与活体手指的不同。手指一旦脱落

11、身体或身体死亡后，该手指的电属性立 即开始腐烂，电容式传感器无法读取。 5、 网络环境下的身份认证 、 Challenge/Response Challenge/Response 请求认证 123499/Challenge 永远不 重复 客 户 端 Passwd/123499 MD5/Response YES/NO 请求服务 服 务 端 例如： 客户 C 的密钥： 123456 两者合并 做 MD5 摘 要(摘要 1 请求认证 879x 客 户 端 C/ 摘要 1/MD5 服 务 器 找到 C 的密 C D 钥与 879x 做 MD5 摘要 （摘 要 2） ，与摘 要 1 对比 123456

12、876543 Y/N S/Key 认证过程 客户向需要身份认证的服务器提出连接请求 服务器返回应答，同时挑战两个参数： 服务器返回应答，同时挑战两个参数：Seed 和 Seq 客户输入口令， 混合， 计算， 客户输入口令，系统将口令与 Seed 混合，做 Seq 次 Hash 计算，Hash 函数可以是 MD4、MD5、SHA。将 Hash 结果送给服务器 、 、 。 如果匹配，则通过认证， 服务器也同时计算 Hash，然后比较两个 Hash 值。如果匹配，则通过认证，并更新 ， Seed 给客户（ 服务器返回 Session Key 给客户（Optional） ） 进行通信（ 客户和服务器用

13、 Session Key 进行通信（Optional） ） 客户 C 的密钥： Pswc Pswc+seed 合 并做 seq 次 MD5 摘要(摘 要 1 请求认证 Seed/seq 客 户 端 C/ 摘要 1/MD5 服 务 器 找到 C 的密钥 Pswc 与 seed 做 MD5 摘要 seq 次（摘要 2） ， 与摘要 1 对比 C D Pswc Pswd Yes+session 或者 no key 可以是客户端和服务器一起决定的，见下图： 其中 session key 可以是客户端和服务器一起决定的，见下图： 2 Master 加密 Km(rC key Km(rC 3 产生一 个随机

14、数 rS 1 产生一 个随机数 rC 客 户 端 服 务 器 Km(rS 4 Master 加密 Km(rS key 5 双方用 rC 和 rS 经过约定的变换后生成 session key Seq 需要一个选择方案，由于，服务器一般是计算 seq1，seq2，seqn（递进的）次 需要一个选择方案，由于， ， ， ， （递进的） 所以， 的 hash 值，所以，中间人可能截获的是 seq1，它发给客户端为 seqn，这样他截获客户 ， ， 的时候， 做完 seq1 次 hash 的 hash1，然后，它等到服务器发送 seqn 的时候，可以将 hash1 做 ，然后， 发给服务器，这样就能登

15、录到服务器上了。 （seqn-seq1）次 hash 的 hashn 发给服务器，这样就能登录到服务器上了。 ） 解决方案如下图： 解决方案如下图： ？ Diffie-Hellman 也存在中间人攻击：见书 173 页 也存在中间人攻击： 如果你是一个 S/Key 系统的设计者，你会怎样选择 Seed 和 Seq？请尝试给出一个方 案，并解析理由 课堂讨论：S/Key 的服务器必须保存客户的密码吗？ 课堂讨论？请联系密码学和 S/Key 的原理， 给出一个安全返回 Session Key 的方案或 协议 课堂讨论：S/Key 百分之百的安全吗？如果不，请给出一个攻击 S/Key 系统客户端 的思路 Kerberos 认证服务 课件 37 页，书 177 页