UESTC 计算机系统与网络安全技术 期末复习
目录
第 一 章 信息安全概述
信息安全体系(ISS)主要内容
安全服务的分层部署
1. 应用层
2. 传输层
3. 网络层
4. 数据链路层
第 二 章 TCP/IP协议族及其面临的安全威胁
计算机网络的性质
网络设备简介
网络拓扑结构
OSI参考模型
TCP/IP协议栈常见安全风险
网络接口层作用
网卡工作模式
交换机表
网络接口层安全威胁-窃听
*ARP
IP
传输层概念
TCP
三次握手
四次挥手
TCP协议的安全威胁
3. 序列号预测攻击
UDP特点
UDP安全威胁
HTTP
*HTTP安全威胁
DNS劫持方法
第 三 章 网络隔离技术
隔离技术(疫情隔离?)
交换机基本功能
交换机隔离技术-VLAN划分
路由器主要功能
路由器隔离技术
防火墙
*防火墙关键技术
1. 包过滤防火墙-包过滤技术
2. 应用代理防火墙
3. 状态检测防火墙-状态检测技术
防火墙三种结构
网络地址转换
物理隔离
网闸三个关键点
第 四 章 网络安全技术
网络安全模型
预警处理过程
网络安全预警模型
加密应用模式
内部攻击与外部攻击
入侵监测
漏洞成因
安全响应
蜜罐
第 五 章 协议安全技术
常见协议缺陷
内部协议缺陷
DH协议中的中间人攻击
重放攻击的防范
安全协议设计原则(应该不考了)
完整的Kerberos协议(可能不考)
认证函数的分类
哈希函数如何用于消息认证
第 六 章 计算机系统物理安全技术
物理安全的内容
机房线路安全
第 七 章 计算机系统可靠性技术
计算机系统可用性
计算机系统可靠性
容错系统
硬件冗余
数据冗余概念
容灾分类
数据备份技术分类
第八章 操作系统安全技术
计算机系统组成
进程安全分类
访问控制技术
第九章 安全取证与计算机取证技术
计算机取证关键技术
在计算机取证出现的两类错误
作业原题
2-23 图中是一个完整的三次握手过程。假如A忽略自己的第一条消息和B的应答,直接发送自己的第二条消息(即直接发送ACK包),试问当B收到该ACK包后会怎样响应?
2-29 IP协议存在哪些安全威胁,这些安全威胁的根源是什么?
2-32 ARP主要面临的安全威胁有哪些?
5-2 列举5种安全协议攻击方法
5-3 有哪些抗重放攻击方法?各自的特点是什么?
5-7 简述Kerberos认证协议的设计思想和实现方法?
第 一 章 信息安全概述
信息安全体系(ISS)主要内容
- 安全管理-制度
- 安全策略-核心
- 风险分析-前提
- 安全服务-基础
- 安全机制-基础
安全服务的分层部署
1. 应用层
只能在通信两端的主机系统上实施
优点:不依赖操作系统、完整访问权、基于用户定制
缺点:易出错、兼容性差、效率低
2. 传输层
只能在通信两端的主机系统上实施。
优点:简单、更细化、能为其上各种应用提供安全服务
缺点:很难满足每个用户的安全需求
3. 网络层
在端系统和路由器上都可以实现
优点:密钥协商开销小、支持以子网为基础的安全、透明性
缺点:无法实现针对用户和用户数据语义上的安全控制
4. 数据链路层
在链路的两端实现
优点:整个分组都被加密、保密性强
缺点:使用范围有限
第 二 章 TCP/IP协议族及其面临的安全威胁
计算机网络的性质
- 分散性
- 异构性
- 自治性
网络设备简介
- 集线器 - 物理层
- 交换机 - 数据链路层
- 三层交换机 - 传输层
- 路由器 - 网络层
网络拓扑结构
点对点:星型、树型、网状型
广播结构:总线型、环型、无线通信
OSI参考模型
TCP/IP协议栈常见安全风险
物理层
- 设备破坏
- 线路侦听
链路层
- MAC欺骗:攻击者将自己的MAC地址 更改为受信任系统的地址。防范:在交换机上配置静态条目,将特定的MAC地址始终与特 定的端口绑定
- MAC泛洪:伪造大量的未知mac地址进 行通信,导致交换机无法正常工作。防范:配置静态MAC转发表 ,配置端口的MAC学习数目限制
- ARP欺骗:攻击者欺骗局域网内访问者PC的网关MAC地址
网络层
- IP欺骗:攻击者使用相同的IP地址可以模仿网络上合法主机,访问 关键信息
- Smurf攻击:该攻击通过使用将回复地址设置成受害网络的广播地址的 ICMP应答请求(ping)数据包,来淹没受害主机.
- ICMP攻击:伪造一条ICMP重定向信息并发送给被攻击的主机, 让该主机按照黑客的要求来修改路由表。
- IP地址扫描攻击:运用ICMP报文探测目标地址,或者使用TCP/UDP报 文对一定地址发起连接,通过判断是否有应答报文,以确 定哪些目标系统确实存活着并且连接在目标网络上。防范:设置防火墙
传输层
- TCP欺骗:利用IP地址并不是出厂与MAC地址固定在一起,攻击者通 过修改网络节点的IP地址达到欺骗的目的。
- TCP拒绝服务:攻击者通过大量 发送SYN报文,造成大量未完全建立的TCP链接,占 用被攻击者的资源
- UDP拒绝服务:攻击者通过向服务器发送大量的UDP报文,占用服务 器的链路带宽,导致服务器负担过重而不能正常向 外提供服务
- 端口扫描攻击:Port Scan攻击通过使用一些软件,向大范围的主机的一 系列TCP/UDP端口发送连接,根据应答报文判断主机是否 使用这些端口提供服务
应用层
- 缓冲区溢出攻击:攻击软件系统的行为中,最常见的一种方法
- WEB应用攻击:恶意代码网页、通过WEB服务器入侵数据库
网络接口层作用
物理层、数据链路层
集线器、交换机
网络数据在数据链路层的单位是帧,在物理层是bit流;
作用:负责将数据转换为数字信号在物理设备之间传输
网卡工作模式
广播、多播、单播、混杂模式
交换机表
三个字段
- 节点的MAC地址
- 该MAC地址对应的端口
- 该表项在表中的时间
工作原理:自学习功能,即通过观察帧的源MAC地址和到达端口来建立MAC地址和端口的映射关系
网络接口层安全威胁-窃听
交换机毒化
原因: 交换表的空间是有限的,新的“MAC地址——端口” 映射对的到达会替换旧的表项
攻击场景:
1. 攻击者发送大量的具有不同伪造源MAC地址的帧
2. 由于交换机的自学习功能,这些新的“MAC地址—端口” 映射对会填充整个交换机表,而这些表项都是无效的
3. 交换机完全退化为广播模式,攻击者达到窃听数据的目 的。
总结:
以太网所面临的安全威胁主要是窃听,即可能对数据通信的机密性造成威胁。对于使用集线器连接的以太网,这种威胁是难以避免的;对于通过交换机链接的以太网,可以在一定程度上降低这种风险。
*ARP
简答题!!!
ARP(地址解析协议)是根据IP地址获取物理地址的一个TCP/IP协议。
原理:主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有 主机,并接收返回的ARP应答消息,以此确定目标的物理地址。
问:为什么要获取MAC地址呢?
答:是因为在TCP/IP的数据传输过程当中,物理层和数据链路层的设备他只知道所对应主机的物理地址,具体来说,就是这台主机的网卡所对应的地址(MAC地址)。
ARP缓存机制
- 为了减少执行ARP协议的通信开销和时间开销,主机一般会启用 ARP缓存(ARP Caching)机制。
- 所谓ARP缓存,就是当完成一次ARP请求和响应后,主机会将该过 程中所得到IP地址和MAC地址之间的映射保存在本地。
- 当执行ARP协议前,先查询本地ARP缓存中是否有目标IP地址和 MAC地址之间的映射关系。
- 只有本地ARP缓存中不存在该IP地址和MAC地址之间的映射关系数 据时,才需要在网络上广播ARP请求信息。
通信过程
缺陷:
ARP协议信任以太网所有的节点,效率高但是不安全。 这份协议没有其它协议来保证以太网内部信息传输的安全,它不会检查自己是否接收或发送过请求包,只要它接收到ARP广播包,他就会把对应的IP-MAC更新到自己的缓存表。
攻击原理:
如果我们冒充网关主机C,不停的向以太网发送自己的ARP广播包,告知自己的 IP-MAC,此时其它主机就会被欺骗,更新我们C的IP-MAC为网关主机的IP-MAC ,那么其它主机的数据包就会发送到C主机上,因为没有发给真正的网关, 就会造成其它主机的网络中断。
主要安全威胁:
- ARP窃听:网络上所有主机均可以收到ARP请求消息,掌握网络中各节点IP地址、MAC地址、是否在线等信息。 为进一步发动其他攻击(如网络拓扑绘制、拒绝服务等)提供信息。
- ARP欺骗:无论节点收到ARP请求还是响应,该节点均会更新其ARP表。
- GARP滥用攻击:主动发送虚假的GARP请求信息(即伪造的IP地址和MAC地址 的映射)
IP
基本功能:
- 寻址:IP协议可以根据数据报报头包括的目的地址将数据报传送到目的地址
- 分段:如果有些网络内只能传送小数据报,IP协议支持将数据报重新组装并在抱头域内注明
安全威胁:
- IP窃听:IP地址在传输过程中没有加密 ,IP头的信息及IP报文可能被攻击者窃听,可获得IP地址以及报 文等内容
- IP假冒:假冒可信的IP地址而非法 访问计算机资源,解决:采用安全的IP协议(IPSec)
- IP碎片攻击:在IP协议中运行对IP报进行分片,攻击者可发送大量小IP报碎片,导致接收方因重组碎片消耗大量计算资源
传输层概念
使用TCP协议、UDP协议进行端点之间的数据传输
TCP
作用:用来标识发送方和接收方的应用程序(即进程);用来标识TCP的包的类型和含义通过判断某个端口号是否“开放”, 可以判断该应用程序是否启动
常用字符:
- URG : 紧急指针有效
- PSH : 泛洪式发送
- RST : 重置链接
- SYN : 同步有效,协商序列号
- ACK : 确认序列号有效
- FIN : 释放连接
特点:
- 全双工连接
- 面向连接
- 可靠性
- 面向字节流
三次握手
四次挥手
TCP协议的安全威胁
1. SYN 泛洪(Flooding)攻击
当客户端请求服务器时,客户端发起一个TCP SYN包,服务器端接收到该请求后,如果能够响 应该请求,即回复一个TCP ACK SYN包,在这个过程中,客户端可以不理会服务器端的TCP ACK SYN包,而是继续发送假冒的TCP SYN包,在没有超时之前服务器端都会分配资源保持客户端请求的状态信息。然而,服务器的资源总是有限的,如果到达足够多的假冒 TCP SYN包,则会造成服务器资源的枯竭
2. ACK泛洪攻击-随机IP\伪造IP
在TCP连接建立之后,所有的数据传输TCP报文都是带有ACK标志位的,主机在接收到一个带有ACK 标志位的数据包时,需要检查该数据包所标识的连接四元组是否存在,如果存在则检查该数据包所标识的状态是否合法,如果在检查中发现该数据包不合法,例如,该数据包所指向的目的端口在本机未开放(使用了大量随机的错误IP),则主机操作系 统协议栈会回应RST包告诉对方此端口不存在。这里,服务器会进行两个操作:查表和回应ACK/RST。
攻击者一定要用大流量ACK小包冲击才会对服务器造成影响。消耗服务器资源
3. 序列号预测攻击
背景:在一个TCP连接中,接收方接收到的给定序列号的数据包,不是接收方期望的数据包则会被丢弃。由于一旦建立连接后,端口号是不变的,因此攻击者的难点在于序列号预测
攻击者窃听一个TCP会话中两端交互的流量,得出接收方期望的TCP包的序列号(比如,若攻击者能够获得发送者的数据包,则可以对接收方的行为进行推理,则下一个所期望接受到的TCP包 的序列号是S),再加上端口号,便能构造一个TCP包发送出去并被接收方接受。 如果所构造的TCP包里包含的内容或者所设置的标志位并非发送方的后续行为,则形成攻击。
如果攻击包中包含非法的内容,则会破坏数据传输的完整性和可用性。攻击者也看可 以向会话的两端同时发送RST标志位置为1的TCP报文段,从而终止两端的连接。
4. LAND攻击
攻击者构造一种特殊的TCP SYN攻击包,该包的目的地址和源地址均为目的主机,导致被攻击主机自己给自己发送ACK消息并创建一个空连接,每一个这样的连接都将保持到超时为止,从而导致目的主机连续地 自我响应
UDP特点
- 无连接的协议
- 不可靠的协议
- 不保序的协议
UDP安全威胁
1. UDP假冒
本质上就是IP假冒。
攻击者可以构造UDP数据包,其源IP地址为某个可信节点的IP地址,通过这种方式向服务器发起请求, 从而触发服务器的某些操作。如果攻击者能够窃听UDP应答包,则攻击者能够从这样的攻击行为中获得所需的信息。
2. UDP劫持
本质上也是UDP假冒
可信客户端发起UDP请求后,攻击者假冒服务器发出UDP应答,这种应答有可能造成错误的结果。虽然服务器的应答也能到达客户端,但是如果客户端的操作已经触发,则可能会造成损失。
HTTP
- 超文本传输协议(HTTP)是一种用于分布式、协作式和超媒体信息系统的应用层协议
- HTTP是一个基于请求与响应模式的、无状态的应用层协议
- 常基于TCP的链接方式
- 绝大多数Web应用,都是构建在HTTP协议之上
*HTTP安全威胁
大题
1. 钓鱼攻击
原因:HTTP协议并没有考虑用户认证(用户并不能确定远端 服务器的真实身份)
实例:在深圳某公司推出的Web XX 2.0里,具有 Gmail应用程序入口,用户可以通过该页面 直接输入Gmail的用户名和密码登陆邮箱。 但是该页面没有直接将数据发给Google, 而是现将数据发给公司的服务器,再由公司的服务器返回邮箱内容
*防范
通常情况下,用户可以使用HTTPS代替HTTP,避 免一般的中间人攻击,因为HTTPS会对服务器 的身份进行验证,但是 这也不是绝对的,如果攻击者能够同时入侵并操作根证书发布者和域名服务器,那么中 间人攻击几乎不可避免
2. 跨站脚本攻击
脚本:小程序,可以被浏览器解释执行
脚本攻击:攻击者将具有攻击性的脚本发送给浏览器解释执行,从而获取用户数据破坏系统(通常是针对网页的)
分类:持久性跨站、非持久性跨站、文档对象模型跨站(如果客户端脚本,如js,动态生成HTML时,没有严格检查和过滤参数,则可以导致DOM跨站攻击)
跨站脚本攻击漏洞修复:
- 输入过滤;对用户的输入进行检 测,过滤掉输入中的非法字符。
- 输出编码;在将输入输出到页面之前,将输入中未过滤的特殊字符进行转义,使其以文本形式展示,而不是被解析成页面结构或脚本。
DNS劫持方法
- 利用DNS服务器进 行DDOS攻击
- DNS缓存攻击
- DNS信息劫持:攻击者在 DNS服务器之前将虚假的响应交 给用户,从而欺骗客户端访问恶 意的网站。
- **DNS重定向:攻击者 如果将DNS名称查询重定 向到恶意DNS服务器,那么被劫持域名的解析就完 全置于攻击者的控制之下
- ARP欺骗:通过伪造IP地址和 MAC地址实现ARP欺骗
- 本机劫持:木马、流氓软件
第 三 章 网络隔离技术
隔离技术(疫情隔离?)
- 隔离技术是通过对具有不同安全需求的应用系统进行分类保护,从而有助于将风险较大的应用系统与其他应用系统隔离,达到安全保护的目的。
- 隔离技术一般通过隔离设备来实现。
- 隔离设备可以是网络设备,也可以是专门的隔离设备
交换机基本功能
交换机可以识别连在网络上的节点的网卡MAC地址,并把它们放到一个 叫做MAC地址表的地方
交换机隔离技术-VLAN划分
- 基于端口划分的 VLAN
- 基于MAC 地址划分VLAN
- 基于网络层划分VLAN
- 根据IP 组播划分VLAN
路由器主要功能
选择填空
- 网络互连:路由器支持各种局域网和广域网接口,主要用于互连局域网 和广域网,实现不同网络互相通信。
- 数据处理:提供包括分组过滤、分组转发、优先级、复用、加密、压缩 和防火墙等功能。
- 网络管理:路由器提供包括配置管理、性能管理、容错管理和流量控制 等功能。
路由器隔离技术
安全组件
- 路由器作为唯一安全组件:相对交换机,集线器, 能提供更高层次的安全功能
- 路由器作为安全组件的一部分:在一个全面安全体系结构中,常用作屏蔽设备, 执行包过滤功能,而防火墙对能够通过路由器的数据包进行检查
不足:
- 路由器的默认配置对安全性的考虑不够
- 路由器的审计功能使用不便
防火墙
概念
- 防火墙(Firewall)是用一个或一组网络设备(计算机系统或路由器等)在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术。
- 防火墙作为外部网络数据进入内部网络数据的唯一出入口,能根据企业的访 问控制策略(允许通过、拒绝通过等),对出入网络的信息流进行控制。
- 防止外部网络攻击,保证内部网络安全。
特征
- 所有进出网络的网络通信都应该通过防火墙。
- 所有穿过防火墙进入内部网络的网络通信都经过了安全策略的确认和授权。
- 理论上说,防火墙是穿不透的,即违反防火墙安全策略的网络通信无法进入内部网络
*防火墙关键技术
大题
1. 包过滤防火墙-包过滤技术
分组过滤是一种访问控制机制,它控制哪些数据包可以进出网络而那些数据包 应被网络拒绝。分组过滤防火在OSI参考模型的网络层工作,能够准许或阻止IP地址和端口
**包过滤中的过滤规则表:
一个纯包过滤器只关注下列信息:源IP地址、目的IP地址、源端口、目的端口、包类型
规则库中有4条规则,
- 规则1允许内网的机器(10.1.1.*网段)访问外网服务;
- 规则2允许外界通过端口80访 问内网的服务器10.1.1.2,即打开的外部服务器10.1.1.2对外的HTTP服务;
- 规则3允许外界通过端口53访问内 网的服务器10.1.1.3,53号端口是DNS服务器;
- 规则4禁止了所有其他类型的数据包。
优点:
- 包过滤技术的优点在于简单、易于使用,实现成本低。
- 处理开销小,因此对使用该技术的防火墙系统的性能影响不大。
缺点:
- 当过滤规则较多时,对过滤规则表的管理和维护较为麻烦
- 无法识别入侵
- 无法识别恶意代码
- 易遭受IP地址欺骗
2. 应用代理防火墙
应用代理技术是使不具备访问权限的用户可以访问网络服务的一种代理服务技术。
例如:用户A本身不具备访问外部FTP服务的权限 ➢ 但一个主机B不仅具备访问外部FTP的权限,而且还提供代理服务 ➢ 基于应用代理技术,用户A可以借助于主机B的帮助而获得外部FTP服务的访问权限
3. 状态检测防火墙-状态检测技术
- 状态检测技术是根据协议数据的状态来实现包过滤功能的访问控制技术。
- 状态检测技术也叫状态包过滤技术 , 顾名思义,状态检测既要根据IP包头信息也要根据协议的状态信息来制定过滤规则
什么是状态:在TCP/IP协议中,状态是指协议过去执行的历史信息。在TCP/IP协议簇中,有些协议是有状态的协议(如TCP协议等),有些协议是无 状态的协议(如UDP协议等)
一般采用连接状态表来存放状态信息,就是存放协议历史信息的信息表
对于无状态的应用(如UDP协议)状态检测技术通过虚连接的方法来建立起状态信息
虚连接:为保存协议的状态信息而虚构的网络连接
- 例如,对于基于UDP应用的安全需求,状态检测技术通过在UDP通信之上保持一个虚拟连接
- 保存通过防火墙的每一个虚连接的状态信息,允许穿过防火墙的UDP请求包被记录
- 当UDP包在相反方向上通过时,则可以依据连接状态表确定该UDP报是否被授权,若已被授权,则通过, 否则拒绝。
- 典型的组航太信息包包括超时检测、是否有以前的UDP数据包通过等
优点:安全性好 、灵活性强 、扩展性好 、 应用范围广
缺点:计算开销大 、 处理速度慢 、 规则管理复杂
防火墙三种结构
堡垒主机结构:也叫分组过滤防火墙结构、包过滤防火墙结构
屏蔽主机结构:单宿主堡垒主机防火墙,是只有一个网络接口的堡垒主机,通常采用应用代理技术
屏蔽子网结构:用了两个包过滤路由器和一个堡垒主机
网络地址转换
网络地址转换(NAT: Network Address Translation)是一种将一个或多个IP地址转换为另外一个IP或多个地址的技术。主要是将主机的内部私有IP地址转换为外部合法的IP地址,从而为 解决IP地址资源匮乏提供了一种技术手段
为了实现NAT转换,NAT设备维护一个NAT映射表,用来配置或记录非法的IP地址到合 法的IP地址之间的映射关系。
网络地址转换的三种具体方法
- 静态NAT(Static NAT)
- 动态NAT(Dynamic NAT)
- 端口转换NAT(Port level NAT)
物理隔离
背景:如果用户在同一时间访问公网专网,会带来很多安全隐患,因此,如果因为需要访问公网和专网,则必须保证用户在同一时间只能连接到一个网络
如何实现:
物理隔离是通过物理隔离部件来实现的
- 物理隔离部件是在物理手段实现不同安全域之间信息断开的信息安全部件。
- 从物理地址来看,隔离部件是处于不同安全域的网络之间的唯一连接点。
- 常见的物理隔离技术包括物理断开、单向隔离、网闸隔离等
网闸三个关键点
网闸(Gap)是位于两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式 实现数据交换,且只有被系统明确要求传输的信息可以通过。
➢ 协议转换:交换数据的格式
➢ 信息摆渡:交换数据的方式
➢ 明确要求传输:交换数据的访问控制与检测
第 四 章 网络安全技术
网络安全模型
预警处理过程
- 数据采集
- 数据提取
- 事件分析
- 安全预警
- 结果处理
网络安全预警模型
- 基于入侵事件的预警模型
- 基于攻击过程的预警模型
- 基于流量监控的预警模型
加密应用模式
链路加密:
传输数据仅在物理层前的数据链路层进行加密。
优点:➢ 可以提供不安全信道上的安全传输服务 ➢ 可以隐藏通信的信源和信宿 ➢ 可以抵御业务流分析攻击
缺点:➢ 只适合于专用信道,每个节点均必须配置密码装置,因此成本高,实用性差 ➢ 需要在专用链路上进行同步,因此会带来额外的网络开销 ➢ 消息在链路节点以明文形式存在,必须依赖网络中每个节点的可信性 ➢ 密钥管理复杂
节点加密:
在节点处采用一个与节点相连的被保护密码装置
优点:➢ 提供不安全信道上的安全传输服务 ➢ 避免了中间节点易受攻击的问题,安全性较高 ➢ 不需要每个节点均配置密码装置,因此成本相对较低
缺点:➢ 提供不安全信道上的安全传输服务 ➢ 避免了中间节点易受攻击的问题,安全性较高 ➢ 不需要每个节点均配置密码装置,因此成本相对较低
端到端加密:
数据从源端节点传送到目的端节点提供的加密方式
优点:成本低
缺点:存在窃听安全威胁、无法抵御业务流分析攻击
内部攻击与外部攻击
传统网络安全防御技术(如防火墙等)主要考虑的是防范外网对内网的攻击
内部网络用户同样会带来安全威胁,员工拷贝硬盘
入侵监测
对入侵行为的发觉
漏洞成因
- 网络协议本身的缺陷。
- 设计时带来的安全缺陷。
- 配置不当带来的安全缺陷。
按漏洞成因分类:实现漏洞、设计漏洞、配置漏洞
安全响应
在系统受到安全威胁时,根据威胁等级及时对系统采取修正防御 策略,修复系统安全脆弱性,报 警、记录甚至追踪等应急响应措施的技术
被动响应、主动响应
蜜罐
分类:
按照部署的目的:产品型蜜罐、研究型蜜罐
按照交互度的等级:低交互度、中交互度、高交互度蜜罐
主要功能模块:
- 攻击诱骗
- 数据捕捉
- 数据控制
第 五 章 协议安全技术
常见协议缺陷
- 基本协议缺陷:协议中没有或者很少考虑对攻击者的防范而引发的协议缺陷
- 陈旧消息缺陷:在协议涉及过程中,未考虑消息的时效性(即新鲜性),从而 使得攻击者可以利用协议过程中产生的过时消息来对协议进行重放攻击。
- 并行会话缺陷:协议设计仅考虑单个协议执行的情况,对多个协议(或同一个 协议的多个运行实例)并行会话缺乏考虑,使得攻击者可以相互交换适当的协议消息 来获得更为重要的消息。
- 内部协议缺陷:协议中缺少足够的信息让协议参与者能够区分消息的真实性而 导致缺陷。
- 密码系统缺陷:协议中使用的密码算法的安全强度问题导致协议不能完全满足 所要求的机密性、完整性、认证等需要而产生的缺陷。
内部协议缺陷
使用一次性Nonce代替Kab,如果Bob不能区别其类型就会受骗
DH协议中的中间人攻击
重放攻击的防范
- 挑战应答机制
- 挑战-应答机制通过发送挑战值(Nonce)来确保消息的新鲜性。
- Nonce:含义是随机数(比特币中nonce表示一个4-byte大小的一次性随机数, nonce的值设定使得该块的hash是以一串0开头的)
- 时戳机制
- 时戳机制对消息加盖本地时戳
- 只有当消息上的说戳与当前本地时间的差值在意定范围之内,才接受该消息
- 序列号机制
- 序列号机制是指通信双方通过消息中的序列号来判断消息的新鲜性。
- 序列号机制要求通信双方必须事先协商一个初始序列号,并协商递增方法。
安全协议设计原则(应该不考了)
简答题
1. 消息独立性原则
协议中的每条消息应该尽可能是自包含的,消息的含义是一 目了然,而无需依赖于其它协议或协议中的其它消息。
2. 消息前提准确原则
消息所依赖的条件必须明确地定义出来,从而使得协议的评价者知道这些条件是否可以接受。
3. 协议主体身份标识原则
如果协议主体的身份对于理解消息的含义是必须的,那么协议主体身份就 应该在消息中明确地标识出来,以避免歧义。
4. 加密目的明确原则
如果必须使用加密,则必须明确加密在协议安全中的作用和目的。
5. 签名原则
先签名后加密,协议主体对消息的含义是完全清楚的,先加密在签名不应当假设其是清楚的
6. 随机数使用原则
7. 随机数随机性使用原则
8. 时戳使用原则
9. 密钥新鲜性原则
10. 编码原则
11. 信任性原则
完整的Kerberos协议(可能不考)
第一步:认证服务交换 : 用户向认证服务器证明自己的身份, 以便获得票据许可票据 。
第二步:票据许可服务交换 : 用户向票据许可服务器TGS索取访 问服务器的服务许可票据。
第三步:用户与服务器交换 : 访问服务器使用所需服务。
认证函数的分类
- 消息加密函数:用完整信息的密文作为对信息的认证。
- 消息认证码: 是对信源消息的一个编码函数。
- 哈希函数: 是一个公开的函数,它将任意长的信息映射成一个固定长度的信息
哈希函数如何用于消息认证
a. 用对称密钥加密消息和消息摘要
b. 用对称密钥加密消息摘要
c. 用自己的私钥对消息摘要签名
d. 用自己的私钥对消息摘要签名,然后用对称密钥加密签名后的消息摘要和消息
e. 用带密钥的哈希函数生成消息摘要
f. 用带密钥的哈希函数生成消息摘要,然后用对称密钥加密消息和消息摘要
第 六 章 计算机系统物理安全技术
物理安全的内容
- 设备物理安全
- 环境安全
- 系统物理安全
机房线路安全
- 预防线路截获
- 探测线路截获
- 定位线路截获
- 对抗线路截获
第 七 章 计算机系统可靠性技术
计算机系统可用性
可用性(Availability)是指系统在规定条件下,完成规定的功能的能力
系统在t时刻处于正确状态的概率称为可用度,用A(t)来表示。其计算方法为:
A(t)=平均无故障时间 MTBF / (平均无故障时间MTBF +平均修复 时间 MTRF)
计算机系统可靠性
可靠性(Reliability)是指在特定时间内 和特定条件下系统正常工作的相应程度
A=MTBF/(MTBF+MTRF)
提高计算机的可靠性一般可采取两个措施:避错和容错。
避错是指不允许系统出错,容错是指 允许系统出错,但是出错后不会 影响系统的正常工作
容错系统
容错技术是指在一定程度上容忍故障的技术,也称为故障掩盖技术 (fault masking)。采用容错技术的系统称容错系统。
容错主要靠冗余设计来实现:
- 硬件冗余:通过硬件的重复使用来获得容错能力。
- 软件冗余:用多个不同软件执行同一功能,用软件设计差异实现容错。
- 信息冗余:利用在数据中外加的一部分信息位来检测或纠正信息在运算或传 输中的错误而达到容错。常用的可靠性编码包括:奇偶校验码、循环冗余码 CRC、汉明码等。
- 时间冗余:通过消耗时间资源来实现容错,其基本思想是重复运算以检测故 障。程序复算常用程序滚回技术。
容错系统工作:
- 自动帧测
- 自动切换
- 自动恢复
硬件冗余
分类
- 增加设备(如增加线路、设备、部件等)
- 数据备份
- 双机容错系统
- 双机热备份
- 三机表决系统
- 集群系统
硬件冗余数据备份策略 :
- 完全备份
- 差分备份
- 增量备份
- 按需备份
活备份与死备份:
活备份是指备份到可擦写存储介质,以便更新和修改。死备份是指备份到不可擦写的存储介质,以防错 误删除和别人有意篡改。
双机热备份:
当CPU出现故障时由闲置状态的备份系统接替,双机热备份 备用系统的硬件和软件资源处于闲置的冷状态,浪费系统资源。
数据冗余概念
增加数据冗余的典型方法是数据备份,数据备份常用设备是磁盘阵列。
廉价磁盘冗余阵列(RAID:Redundant Arrays of Inexpensive Disks)),以多个低成 本磁盘构成磁盘子系统,提供比单一硬盘更完备的可靠性和高性能。
容灾分类
- 本地容灾
- 异地数据冷备份
- 异地数据热备份
- 异地应用级容灾
数据备份技术分类
- 主机备份
- 网络备份
- 专有存储网络备份
第八章 操作系统安全技术
计算机系统组成
- 硬件
- 操作系统内核
- 操作系统
- 服务
- 应用程序
进程安全分类
- 进程间的数据保护
- 进程的权限分配、控制
- 进程权限的继承
访问控制技术
三要素:主体、客体、控制策略
控制策略分类:
- 强制访问控制
- 自主访问控制
- 基于角色的访问控制
第九章 安全取证与计算机取证技术
计算机取证关键技术
- 电子证据监测技术
- 电子证据收集和保全技术
- 电子证据提交技术
在计算机取证出现的两类错误
- 工具执行错误
- 提取错误
作业原题
2-23 图中是一个完整的三次握手过程。假如A忽略自己的第一条消息和B的应答,直接发送自己的第二条消息(即直接发送ACK包),试问当B收到该ACK包后会怎样响应?
A发送的第二条消息的SEQ字段的值若恰好等于B应答包中的SEQ+1,则成功建立连接,当然这几率非常小,若不相等,B认为A不同意自己的初始序列号请求,会再次发送SYN ACK。
2-29 IP协议存在哪些安全威胁,这些安全威胁的根源是什么?
- IP窃听,根源:IP地址在传输过程中没有加密
- IP假冒,根源:路由器不关心IP分组的源地址
- IP碎片攻击,根源:在IP协议中,允许发送者或中间转发者对IP报进行分片。接收方收到后回对其进行重组
2-32 ARP主要面临的安全威胁有哪些?
- ARP窃听:网络上所有主机均可以收到ARP请求消息,掌握网络中各节点IP地址、MAC地址、是否在线等信息。 为进一步发动其他攻击(如网络拓扑绘制、拒绝服务等)提供信息。
- ARP欺骗:无论节点收到ARP请求还是响应,该节点均会更新其ARP表,而有可能是错误的IP-MAC映射。
- GARP滥用攻击:攻击者主动发送虚假的GARP请求信息(即伪造的IP地址和MAC地址 的映射)
TCP协议安全威胁?
1. SYN 泛洪(Flooding)攻击
持续发送假冒的TCP SYN包,在没有超时之前服务器端都会分配资源保持客户端请求的状态信息。然而,服务器的资源总是有限的,如果到达足够多的假冒 TCP SYN包,则会造成服务器资源的枯竭
2. ACK泛洪攻击-随机IP\伪造IP
在TCP连接建立之后,攻击者一定要用大流量ACK小包,服务器验证合法性,进行查表和回应
3. 序列号预测攻击
攻击者窃听一个TCP会话中两端交互的流量,得出接收方期望的TCP包的序列号,构造一个TCP包发送出去并被接收方接受。
4. LAND攻击
攻击者构造一种特殊的TCP SYN攻击包,该包的目的地址和源地址均为目的主机,导致被攻击主机自己给自己发送ACK消息并创建一个空连接,每一个这样的连接都将保持到超时为止,从而导致目的主机连续地 自我响应
UDP协议安全威胁
UDP假冒
UDP劫持
5-2 列举5种安全协议攻击方法
截获并延迟消息的发送。
截获并重新发送消息到任意接受者。
截获并修改消息,并可转发给任意接受者。
可以产生新的消息(包括新鲜的消息)。
可以对消息进行分离。
可以对多个消息进行组合。
知道密钥后可解密消息和重新加密消息。
可以查看和掌握协议相关的公用信息。
5-3 有哪些抗重放攻击方法?各自的特点是什么?
- 挑战应答机制
挑战-应答机制通过发送挑战值(Nonce)来确保消息的新鲜性。Nonce:含义是随机数
- 时戳机制
时戳机制对消息加盖本地时戳,只有当消息上的说戳与当前本地时间的差值在意定范围之内,才接受该消息
- 序列号机制
序列号机制是指通信双方通过消息中的序列号来判断消息的新鲜性。序列号机制要求通信双方必须事先协商一个初始序列号,并协商递增方法
5-7 简述Kerberos认证协议的设计思想和实现方法?
设计思想:
票据重用;引入票据许可服务器,用于向用户分发服务器的访问票据 , 认证服务器AS并不直接向用户发放访问应用服务器的票据,而是由TGS服务器来向用户发放。
实现方法:
第一步:认证服务交换:用户向认证服务器证明自己的身份, 以便获得票据许可票据 。
第二步:票据许可服务交换:用户向票据许可服务器TGS索取访问服务器的服务许可票据。
第三步:用户与应用服务器交换:用户访问应用服务器使用所需服务。