通过密码散列函数可以实现保护明文X的完整性,防止报文被篡改。MD5 实现的报文鉴别可以防篡改,但不能防伪造,因而不能真正实现报文鉴别,所以需要报文鉴别码MAC。
报文鉴别码MAC指对散列进行一次加密后的结果,对称加密体制下可以防伪造,非对称加密体制下可以防伪造,防否认(ppt3)
数字签名的实现过程:(ppt3)
如何解决重放攻击?(ppt4-12)
引入随机数,登录时验证随机数和密码。
进一步地,引入消息摘要和加解密。
IP 欺骗:A和B通信,C 可以截获 A 的 IP 地址,然后把 A 的 IP 地址冒充为自己的 IP 地址发送给B。(ppt4-18)
中间人攻击
密码在数据库中应该加密存储(ppt4-24)
因为无线局域网的开放性,任何终端均可对局域网内的其他终端发送接收,于是产生了冒充授权终端,窃取数据,和篡改数据的三个问题,所以无线局域网安全技术就是实现终端身份鉴别、数据加密和完整性检测的技术(ppt5-9)
冒充授权终端:接入控制功能
窃取数据: 加密数据
篡改数据: 检测数据完整性
伪随机数生成器( PRNG)的特性:(ppt5-19)
一是不同的输入产生不同的一次性密钥
二是伪随机数生成器( PRNG)是一个单向函数
只允许授权用户接入以太网是抵御黑客攻击的关键步骤。
以太网交换机(作用于数据链路层) ppt6
以太网交换机实质上就是一个多接口的网桥。
每个接口都直接与一个单台主机或另一个以太网交换机相连,并且一般都工作在全双工方式
以太网交换机具有并行性。
相互通信的主机都是独占传输媒体,无碰撞地传输数据。
以太网交换机的接口有存储器,能在输出端口
繁忙时把到来的帧进行缓存。
以太网交换机是一种即插即用设备,其内部的帧交换表(又称为地址表)是通过自学习算法自动地逐渐建立起来的。
以太网交换机使用了专用的交换结构芯片,用硬件转发,其转发速率要比使用软件转发的网桥快很多。
交换方式:存储转发方式把整个数据帧先缓存后再进行处理。
直通 (cut-through) 方式 接收数据帧的同时就立即按数据帧的目的 MAC 地址决定该帧的转发接口,因而提高了帧的转发速度。
缺点是它不检查差错就直接将帧转发出去,因此有可能也将一些无效帧转发给其他的站。
动态主机配置协议 DHCP ppt6-15 参考链接:https://blog.csdn.net/wangzhen_csdn/article/details/80855261
作用:分配IP地址
地址解析协议ARP ppt6-27
作用:从网络层使用的 IP 地址,解析出在数据链路层使用的硬件地址。
不管网络层使用的是什么协议,在实际网络的链路上传送数据帧时,最终还是必须使用硬件地址。
每一个主机都设有一个 ARP 高速缓存 (ARPcache),里面有所在的局域网上的各主机和路由器的 IP 地址到硬件地址的映射表
网际控制报文协议 ICMP ppt7
ICMP 不是高层协议(看起来好像是高层协议,因为 ICMP 报文是装在 IP 数据报中,作为其中的数据部分),而是 IP 层的协议。
应用:PING通过发送回送请求报文和回送回答报文来检测源主机到目的主机的链路是否有问题,目的地是否可达,以及通信的延迟情况。
traceroute:通过发送探测报文来获取链路地址信息。
ICMP 报文的种类有两种,即 ICMP 差错报告报文和 ICMP 询问报文。
内部网关协议 RIP ppt7-104
RIP 是一种分布式的、基于距离向量的路由选择协议。
RIP 认为一个好的路由就是它通过的路由器的
数目少,即“距离短”
RIP 允许一条路径最多只能包含 15 个路由器。
“距离”的最大值为 16 时即相当于不可达。可见 RIP 只适用于小型互联网。
含义:消息摘要是给定某个任意的报文,通过一种特定的算法对报文进行计算,产生的有限位数信息。具有确定性和唯一性。
特征:能够作用于任意长度的报文;产生有限位数的标识信息;易于实现;具有单向性,只能通过报文x求出MD(x),无法根据标识信息得到报文;具有抗碰撞性,既无法找到两条消息它们的摘要相同;及时只改变报文中的一位二进制位,重新计算后的摘要MD(X)变化也很大。
主要用途:
(1)消息完整性检测
(2)验证密码信息—身份鉴别
含义:数字签名就是只有信息发送者才能产生的、别人无法伪造的一段数字串,这段数字串同时也是对信息发送者发送信息真实性的一个有效证明。
特征:
接收者能够核实发送者对报文的数字签名;发送者事后无法否认对报文的数字签名;接收者无法伪造发送者对报文的数字签名;
数字签名必须保证唯一性、关联性和可证明性:
唯一性保证只有特定发送者能生成数字签名
关联性保证是对特定报文的数字签名
可证明性表明该数字签名的唯一性和与特定报文的关联性可以得到证明
加密解密:HTTP保密通信,密码的传输等。
消息摘要:验证数据完整性,用户身份鉴别。
数字签名:淘宝,网上银行等电子合同。
无线局域网的开放性特点:(1)频段开放性(2)空间开放性
安全问题:
一是任何终端均可向无线局域网中的其他终端发送数据
二是任何位于某个终端电磁波传播范围内的其他终端均可接收该终端发送的数据
冒充授权终端,窃取数据,篡改数据
无线局域网安全协议:
WEP 进化WPA 进化 WPA2
WAPI
在WEP机制中,这个密钥既用来验证身份,允许PC接入,又用来加密传输的数据
WEP使用了一次一密的对称加解密机制
流程:
WEP安全缺陷:
同一BSS中的终端使用相同密钥,无法确保数据的保密性。
一次性密钥集有限,很容易发生重复使用一次性密钥的情况。
循环冗余检验的方法计算完整性检验值,完整性检测能力有限。
鉴别身份过程存在缺陷。
可以详细见这篇博客https://www.jianshu.com/p/b75740a6ca2c?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation
简要概括就是如果入侵终端也接入了无线网络,那么根据无线通信的开放性,该入侵设备可以侦听到鉴别过程中的全部请求和响应,就可以通过监听到的P和Y异或得到一次性密钥K和初始向量IV。
WPA2:
WPA2
企业模式 : 基于用户接入控制,每个用户有独立的用户名和口令
个人模式:基于终端接入控制
WPA2个人模式下:
属于相同BSS的终端配置相同的预共享密钥(Pre-Shared Key,PSK)
每一个终端与AP之间有着独立的密钥,称为成对过渡密钥(PairwiseTransient Key, PTK)
PTK是PSK的派生密钥
加密过程:
终端与AP之间以128位的TKIP TK或者是128位的AES- CCMP TK作为加密密钥,对终端与AP之间传输的数据进行加密
由于每一个终端与AP之间的密钥是不同的,同一BSS中的其他终端无法解密某个终端与AP之间传输的加密数据
TKIP和AES-CCMP加密过程和完整性检测过程是不一样的,AES-CCMP的安全性更高
备注:WPA2几个密钥之间的关系:PSK->PMK->PTK(包括TKIP和AES-CCMP)
两大类:被动攻击,主动攻击
被动攻击指攻击者从网络上窃听他人的通信内容。 通常把这类攻击称为截获。被动攻击又称为流量分析
主动攻击主要有: (1) 篡改——故意篡改网络上传送的报文。这种攻击
方式有时也称为更改报文流。 (2) 恶意程序——种类繁多,对网络安全威胁较大的主要包括:计算机病毒、计算机蠕虫、特洛伊木马、逻辑炸弹、后门入侵、流氓软件等。 (3) 拒绝服务——指攻击者向互联网上的某个服务器不停地发送大量分组,使该服务器无法提供正常服务,甚至完全瘫痪。
分布式拒绝服务 DDoS
若从互联网上的成百上千的网站集中攻击一个网站,则称为分布式拒绝服务 DDoS。有时也把这种攻击称为网络带宽攻击或连通性攻击。
SYN泛洪攻击
原理:TCP三次握手,就是通过快速消耗掉web服务器TCP会话表中的连接项,使得正常的TCP连接建立过程无法正常进行的攻击行为。DDOS的一种
过程:持续的发送TCPSYN连接数据包。
Smurf攻击:
原理:ICMP协议的PING过程,间接攻击过程,放大攻击效果
间接攻击过程:黑客终端,以攻击目标的IP地址为源地址发送ICMP报文
黑客终端发送的请求以攻击目标地址为源地址,以广播地址为目的地址。
DHCP欺骗攻击:
原理:终端自动获取的网络信息来自DHCP服务器;黑客可以伪造一个DHCP服务器,并将其接
入网络中;当终端从伪造的DHCP服务器获取错误的默认网关地址或是错误的本地域名服务器地址时,后续访问网络资源的行为将被黑客所控制 。
过程:钓鱼网站欺骗:用一个错误的IP地址来替换正确网站的IP地址
ARP欺骗攻击:
原理:ARP协议用于查找IP地址对应的MAC地址 ,每台主机上都有一个ARP缓存表用于存储IP地址和MAC地址的对应关系,局域网数据传输依靠的是MAC地址。
过程:黑客终端用自己的MAC地址冒充其他的IP地址。
路由项欺骗攻击
原理:RIP协议更新路由表
过程:
狭义上的病毒是单指那种既具有自我复制能力,又必须寄生在其他实用程序中的恶意代码。
分类:木马,蠕虫,后门
蠕虫:高速自我复制,是自包含程序(或者是一套程序),他能传播自身功能的拷贝或自身的某些部分到其他计算机系统中。主要特征是自我复制传播
特点:隐蔽性,潜伏性,可触发性,传染性,表现性破坏性。
木马:与远程计算机之间建立起连接,使远程计算机能够通过网络控制用户计算机系统并且可能造成用户的信息损失、系统损坏甚至程序的瘫痪。主要特征是里应外合
特点 一:欺骗性的隐藏下载;二:自动运行里应外合;三:远程控制攻击系统
后门:后门是一个允许攻击者绕过系统中常规安全控制机制的程序,他按照攻击者自己的意图提供通道。后门的重点在于为攻击者提供进入目标计算机的通道。
Zombie(俗称僵尸)是一种具有秘密接管其他连接在网络上的系统,并以此系统为平台发起对某个特定系统的攻击的功能的恶意代码