网络信息安全复习提纲Word文档格式.docx
《网络信息安全复习提纲Word文档格式.docx》由会员分享,可在线阅读,更多相关《网络信息安全复习提纲Word文档格式.docx(11页珍藏版)》请在冰点文库上搜索。
⏹完整性integrity
⏹不可否认性non-repudiation
⏹有效性availability
网络安全的研究方向
⏹以网络管理软件为代表的网络安全管理的研究
⏹以Satan(SystemAdministratorToolforAnalyzingNetworks为代表的网络分析系统的研
究
⏹以Kerberos(网络认证协议为代表的密钥分配和传输系统的研究
⏹以SSL为代表的安全协议的研究
⏹以防火墙(Firewall为代表的局部安全系统的研究
信息收集阶段:
(1TraceRoute程序:
能够用该程序获得到达目标主机所要经过的网络数和路由器数。
Traceroute利用ICMP及IPheader的TTL字段。
首先,traceroute送出一个TTL是1的IPdatagram(其实,每次送出的为3个40字节的包,包括源地址,目的地址和包发出的时间标签到目的地,当路径上的第一个路由器收到这个datagram时,它将TTL减1变为0,所以该路由器会将此datagram丢掉,并送回一个「ICMPtimeexceeded」(包括发IP包的源地址,IP包的所有内容及路由器的IP地址,traceroute收到这个消息后,便知道这个路由器存在于这个路径上,接着traceroute再送出另一个TTL是2的datagram,发现第2个路由器......traceroute每次将送出的datagram的TTL加1来发现另一个路由器,这个重复的动作一直持续到某个datagram抵达目的地。
当datagram到达目的地后,该主机并不会送回ICMPtimeexceeded消息。
Traceroute在送出UDPdatagrams到目的地时,它所选择送达的portnumber是一个一般应用程序都不会用的号码(30000以上,所以当此UDPdatagram到达目的地后该主机会送回一个「ICMPportunreachable」的消息,而当traceroute收到这个消息时,便知道目的地已经到达了。
所以traceroute在Server
端也是没有所谓的Daemon程式。
Traceroute提取发ICMPTTL到期消息设备的IP地址并作域名解析。
每次,Traceroute都打印出一系列数据,包括所经过的路由设备的域名及IP地址,三个包每次来回所花时间。
Traceroute有一个固定的时间等待响应(ICMPTTL到期消息。
如果这个时间过了,它将打印出一系列的*号表明:
在这个路径上,这个设备不能在给定的时间内发出ICMPTTL到期消息的响应。
然后,Traceroute给TTL记数器加1,继续进行。
(2SNMP协议:
用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节。
整个网络管理涉及到3个设备:
被监控设备(也称为代理,是一些我们希望监控的设备,比如路由器、交换机、服务器,管理端(也称为管理器,管理员配置管理器程序,定期从代理读取数据,管理员计算机(仅用来管理员查看数据。
注意:
这里所谓的代理,指希望监控的设备,比如服务器,路由器等。
(3DNS服务器:
该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。
(4Whois协议:
该协议的服务信息能提供所有有关的DNS域和相关的管理参数。
(5Ping实用程序:
可以用来确定一个指定的主机的位置或网线是否连通。
第二章(书17~28页
1、DDos/Smurf的原理是什么?
有什么办法和措施来监测或抵抗这些攻击?
DDoS原理见书21页。
(1定期扫描(2在骨干节点配置防火墙(3用足够的机器承受黑客攻击
(4充分利用网络设备保护网络资源(5过滤不必要的服务和端口
(6检查访问者的来源(7过滤所有RFC1918IP地址(8限制SYN/ICMP
流量
Smurf原理见书20页。
原理图如下:
2、请查阅相关资料,解释DNS欺骗的详细原理。
原理:
如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。
DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。
3、防止ARP欺骗。
采用双向绑定的方法可以解决并且防止ARP欺骗
1、首先,获得网关的MAC地址。
(把自己网段网关的MAC地址记下来
2、然后在DOS命令下执行以下两条命令:
1先删除现有的MAC-->
IP对应表:
arp-d
2设置静态的网关MAC-->
arp-s网关ip网关MAC
第三章(书33~39页
1、对等实体认证是用来验证在某一关联的实体中,对等实体的声称是一致的,它可以确认对等实体没有假冒;
2、信源认证是用于验证所收到的数据来源与所声称的来源是一致的,但不提供防止数据中途被修改的功能。
3、数字签名模型:
数字签名全
过程
摘要B1
对B1进行RSA加密
摘要密文B2
摘要B3
对B2进行RSA解密
摘要B4
B3=B4?
对原文进行
摘要
和RSA算法的数字签名系统
对收到的原文进行摘要
Privatekey
Publickey
原文
基于MD5/SHA-1和RSA算法的数字签名系统
Publickey
)、生物识别技术优缺点(3)、生物识别技术优缺点)、指纹一般是作为非对称密钥的种子!
!
指纹一般是作为非对称密钥的种子!
优点安全性高生理特征使用方便、简洁不易被盗或遗失缺点对识别技术要求很高特征匹配、比较较难。
所有的匹配都是模糊比较,相似度不可能100%。
可以被伪造,且容易泄露,如指纹痕迹(4)、防指纹伪造答:
可以采用活体指纹识别技术,能够感应指纹的湿度、温度或者生物电阻等属性,消除伪造指纹及断指所带来的隐患。
例如电容式传感电容式传感。
电容式传感电容式传感:
电容式传感:
工作原理:
根据活体手指表层上的电阻变化传导指纹图像。
皮肤表皮层下的第一层活体皮(肤细胞,具有一定量电阻。
它们在皮肤表层上组成特定形状。
细胞中的特定电学品质与细胞的排列方式这二者的结合使得皮肤表面的电阻能够被测量且其变化唯一。
)由手指的电信号提取到的特征经过运算后以数字的形式存储。
每次识别都需要经过这个过程,然后按照传统的指纹识别的校验方式进行识别比对。
断指的电属性与活体手指的不同。
手指一旦脱落身体或身体死亡后,该手指的电属性立即开始腐烂,电容式传感器无法读取。
5、网络环境下的身份认证、·
Challenge/ResponseChallenge/Response请求认证123499/Challenge永远不重复客户端Passwd/123499MD5/ResponseYES/NO请求服务服务端例如:
客户C的密钥:
123456两者合并做MD5摘要(摘要1请求认证879x客户端C/摘要1/MD5服务器找到C的密CD钥与879x做MD5摘要(摘要2),与摘要1对比123456876543Y/N·
S/Key认证过程客户向需要身份认证的服务器提出连接请求服务器返回应答,同时挑战两个参数:
服务器返回应答,同时挑战两个参数:
Seed和Seq客户输入口令,混合,计算,客户输入口令,系统将口令与Seed混合,做Seq次Hash计算,Hash函数可以是MD4、MD5、SHA。
将Hash结果送给服务器、、。
如果匹配,则通过认证,服务器也同时计算Hash,然后比较两个Hash值。
如果匹配,则通过认证,并更新,Seed给客户(服务器返回SessionKey给客户(Optional))进行通信(客户和服务器用SessionKey进行通信(Optional))客户C的密钥:
PswcPswc+seed合并做seq次MD5摘要(摘要1请求认证Seed/seq客户端C/摘要1/MD5服务器找到C的密钥Pswc与seed做MD5摘要seq次(摘要2),与摘要1对比CDPswcPswdYes+session或者nokey可以是客户端和服务器一起决定的,见下图:
其中sessionkey可以是客户端和服务器一起决定的,见下图:
2○Master加密Km(rCkeyKm(rC3○产生一个随机数rS1○产生一个随机数rC客户端服务器Km(rS4○Master加密Km(rSkey5○双方用rC和rS经过约定的变换后生成sessionkeySeq需要一个选择方案,由于,服务器一般是计算seq1,seq2,…,seqn(递进的)次需要一个选择方案,由于,,,,(递进的)所以,的hash值,所以,中间人可能截获的是seq1,它发给客户端为seqn,这样他截获客户,,的时候,做完seq1次hash的hash1,然后,它等到服务器发送seqn的时候,可以将hash1做,然后,发给服务器,这样就能登录到服务器上了。
(seqn-seq1)次hash的hashn发给服务器,这样就能登录到服务器上了。
)解决方案如下图:
解决方案如下图:
?
?
Diffie-Hellman也存在中间人攻击:
见书173页也存在中间人攻击:
如果你是一个S/Key系统的设计者,你会怎样选择Seed和Seq?
请尝试给出一个方案,并解析理由课堂讨论:
S/Key的服务器必须保存客户的密码吗?
课堂讨论?
请联系密码学和S/Key的原理,给出一个安全返回SessionKey的方案或协议课堂讨论:
S/Key百分之百的安全吗?
如果不,请给出一个攻击S/Key系统客户端的思路·
Kerberos认证服务课件37页,书177页
升级会员 