07、 网络安全

计算机网络上的通信面临的威胁

• 截获——从网络上窃听他人的通信内容。(被动攻击)(例如cain软件)
• 中断——有意中断他人在网络上的通信。(主动攻击)
• 篡改——故意篡改网络上发送的报文。(主动攻击)(例如cain软件)
• 伪造——伪造信息在网络上传送。(主动攻击)

截取信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击

例如，cain软件能够截获和篡改本网段的的报文。它是在主机通过ARP协议寻找网关地址(想上网)的时候，用ARP欺骗，把本电脑的地址发给那个主机，此时，网段内的所有的计算机的报文都会发给cain，这样主机访问外网的时候，都是通过cain访问的(主机访问cain提供的假域名，cain去访问真的域名，再把信息转给主机，这是一种DNS劫持)，既能篡改DNS解析结果，还能获取密码。同样的道理，局域网管理员可以在网关设置监视端口，获得本网段的所有信息。

• 中断——拒绝服务式攻击
  举例：DoS拒绝服务式攻击，通过在网络上拥挤一些没用的数据包来组断网络。一般会占用下载通道ADSL而不是上传通道UDP，因为下载的带宽要大得多。
  DDoS分布式攻击，可以在网络上找很多有漏洞的网站(肉鸡)，给指定的服务器发流量来使网络拥挤吃掉带宽，对于这种方式没有什么好办法。

DDos攻击

• 篡改——修改域名解析的结果
  类似于钓鱼网站，当用户想出入建设银行的域名，解析错误导致用户访问了错误的网站，当用户输入账号密码的话就会导致信息泄漏。
• 伪造——伪装成其它主机的IP地址
  趁其它主机关机时，把IP地址伪装成该主机的IP地址，从而获取信息。

计算机面临的威胁——恶意程序(rogue program)

• 计算机病毒——会“传染”其它程序，“传染”是通过修改其它程序来把自身或其变种复制进去完成的。(熊猫烧香)
• 计算机蠕虫——通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。(消耗CPU资源)
• 特洛伊木马——一种程序，它执行的功能超过所声称的功能。(和(1)(2)的区别是会和外界通信)
• 逻辑炸弹——一种当运行环境满足某种特定条件时执行其它特殊功能的程序。

木马程序的识别

查看会话netstat -n看看是否有可疑的会话；
运行msconfig服务，把隐藏微软服务掉，看看剩下的有哪些刻意；
杀毒软件。

加密技术

广泛应用于应用层加密。

对称加密

加密密钥和解密密钥是同一个。
缺点：密钥不适合在网上传；密钥是一对一的，如果有很多主机相互通信，有很多密钥需要维护；
优点：效率高。
加密包括加密算法和加密密钥。

数据加密标准DES

• 它属于常规密钥密码体制，是一种分组密码。在加密前，先对整个铭文进行分组，每一个租场为64位，然后对每一个64位二进制数据进行加密处理，产生一组64位密文数据。最后将各组密文串接起来，即得出整个密文。使用的密钥是64位(实际密钥长度位56位，有8位数用来奇偶校验)。
• DES的保密性
  仅取决于对密钥的保密，而算法本身是公开的。尽管人在破译DES上有很多进展，但是至今没有找到比穷举搜索密钥更有效的方法。
  DES是世界上第一个公认的使用密码算法标准，它曾对密码学的发展做出了重大贡献。
  目前较为严重的问题是DES的密钥的长度。
  现在已经设计出来搜索DES密钥的专用芯片。
  DES算法公开，所以破解取决于密钥长度，56位密码破解需要3.5-21min；128位密钥破解需要5.4*10^18年。

非对称加密

• 加密密钥和解密密钥是不同的，有一对密钥对，公钥和私钥。
  要么公钥加密私钥解密；要么私钥加密公钥解密。
• 优点：给出私钥和公钥其中一个无法算出另一个。
• 缺点：效率低。
• 非对称加密实现细节：
  设A是非对称加密机制；B为对称加密机制；A1要给A2传一组数据，很大，如果直接用非对称加密花的时间很长；为了加快速度，用对称加密手段B来加密这个数据得到加密后数据B’和密钥B给A1，速度很快；然后A1对密钥B进行非对称加密得到公钥A1’；A1把密钥A1’和数据B’发给A2；A2运用私钥解密A1’获得密钥B，再用密钥B解密这个数据，最终得到想要的结果。
  通过这种对数据采用对称加密，对对称加密的密钥进行非对称加密的方式能实现快速加密。

数字签名

防止抵赖，能够检查签名后的内容有没有被更改过。

证书颁发机构CA

来验证公钥是否是证书颁发机构认证过。
为企业和用户办法数字证书，确认这些企业和个人的身份；
如果证书丢失，它要发布证书吊销列表；
企业和个人是信任证书颁发机构的。

Internet上使用的安全协议

安全套接字SSL(Secure Sockets Layer)

• SSL的位置
  是在应用层和传输层之间进行加密。好处是应用层和传输层都不需要来加密。不需要应用程序(应用层)来支持，但是需要在服务器配置证书。
  例如，不使用SSL加密使用的是http://，使用SSL加密是https://。
  注意，http://使用的是TCP的80端口，而https://使用的是TCP的443端口。

• SSL的配置(加密的实现)(https://)
  客户端有一个浏览器IE，想要访问服务器端的网站web；
  浏览器IE要访问网站web，此时网站web会把他的公钥给浏览器IE；
  浏览器IE通过校验CA证书确保网站web的公钥是可靠的；
  浏览器IE会产生一个对称密钥；
  浏览器IE拿着网站web的公钥对它的对称密钥进行加密，发给网站web；
  网站web用它的私钥进行解密，就得到了浏览器IE的对称密钥；
  所以说，本质上是用对称密钥对数据进行加密的，公钥和私钥是用来对这个对称密钥进行加密的。这也是为什么https://刚开始打开的时候会有一些慢。
• 另外一些协议使用的安全套接字SSL时对应的TCP端口
  imaps tcp-993
  pop3s tcp-995
  smtps tcp-465
  https tcp-443
• SSL提供的三个功能
  ->SSL服务器鉴别：允许用户证实服务器的身份；具有SSL功能的浏览器维持一个表，上面有一些可信赖的认证中心CA(Certificate Authority)和它们的公钥。
  ->加密的SSL会话：客户和服务器交互的所有数据都在发送方加密，在接收方解密。
  ->SSL客户鉴别：允许服务器证实客户的身份。

网络层安全IPSec

网络层安全是底层安全，不需要应用程序支持，也不需要配置证书，对用户是透明的(感觉不到)。

• 安全关联SA(Security Association)
  在使用AH或ESP之前，先要从源主机到目的主机建立一条网络层的逻辑连接。此逻辑连接叫做安全关联SA。
  IPsec就把传统的Internet无连接的网络层转换为具有逻辑连接的层。
  SA是构成IPSec的基础，是两个通信实体经过协商(利用IKE协议)建立起来的一种协定，它决定了用来保护数据分组安全的安全协议(AH协议(只签名：只关心发送方的身份而不关心数据是否被窃取)或ESP协议(既签名又对数据加密))，转码方式，密钥及密钥的生存周期等。
• IPsec中最主要的2个协议

1. 鉴别首部AH(Authentication Header):AH鉴别源点和检查数据完整性，但不能保密。
   在使用AH时，把AH首部插在原数据报数据部分的签名，同时把IP首部中的协议字段设置为51.
   在传输过程中，中间的路由器都不查看AH首部。当数据报到达终点时，目的主机才会处理AH字段，以鉴别源点和检查数据报的完整性。

2. 封装安全有效载荷ESP(Encapsulation Security Payload):ESP比AH复杂的多，它鉴别源点，检查数据完整性和提供保密。
   使用ESP时，IP数据报首部的协议字段设置为50.当IP首部检查到协议字段是50时，就知道在IP首部后面紧跟着ESP首部，同时在原IP数据报后面增加了2个字段，即ESP尾部和ESP数据。

数据链路层安全(链路加密与端到端加密)

PPP 身份验证
ADSL

防火墙(firewall)

防火墙的功能

(1)阻止：阻止某种类型的通信量通过防火墙(从外部网络到内部网络，或反过来)。
(2)允许：允许某种类型的通信量通过防火墙(从外部网络到内部网络，或反过来)。
防火墙必须能够识别通信量的各种类型。一般是阻止功能。

防火墙的结构

• 边缘防火墙

• 三向外围网

DMZ是公司内部的服务器。内网可以访问外网，外网不能访问内网，只能访问服务器DMZ。

• 背靠背防火墙

• 单一网卡防火墙

参考文献
https://www.bilibili.com/video/av9876107?p=98
https://blog.csdn.net/iwanderu/article/details/103812986