文章目录

• 一、 络安全概述
• • 1.1 定义
  • 1.2 信息安全特性
  • 1.3 络安全的威胁
  • 1.4 络安全的特征
• 二、入侵方式
• • 2.1 黑客
  • • 2.1.1 入侵方法
    • 2.1.2 系统的威胁
  • 2.2 IP欺骗与防范
  • • 2.2.1 TCP等IP欺骗基础知识
    • 2.2.2 IP欺骗可行的原因
    • 2.2.3 IP欺骗过程
    • 2.2.4 IP欺骗原理
    • 2.2.5 IP欺骗防范
  • 2.3 Sniffer 探测与防范
  • • 2.3.1 Sniffer原理
    • 2.3.2 Sniffer防范
    • 回顾知识：交换机、路由器、集线器
  • 2.4 端口扫描技术
  • • 2.4.1 原理
    • 2.4.2 分类
    • 2.4.3 ping命令
  • 2.5 特洛伊木马
  • • 2.5.1 木马与病毒的区别
    • 2.5.2 木马的组成
    • 2.5.3 木马攻击过程
    • 2.5.4 传播方式
• 三、防火墙技术
• • 3.1 防火墙基础
  • • 3.1.1 基本概念
    • 3.1.2 访问控制机制
  • `1. 包过滤防火墙`
  • `2. 状态检测防火墙`
  • `3. 应用代理防火墙`
  • `4. 复合型防火墙`
  • `5. 核检测防火墙`
  • • 小结
  • 3.2 防火墙设计原则及优缺点
  • • 3.2.1 设计原则
    • 3.2.2 优缺点
  • 3.3 防火墙体系结构
  • 3.4 硬件防火墙的性能指标
  • `1. 吞吐量`
  • `2. 延时`
  • `3. 丢包率`
  • `4. 背靠背`
  • `5. 最大并发连接数`
  • `6. 每秒新建连接数`
  • 3.4 分布式防火墙
  • • 3.4.1 定义
• 四、密码学基础
• • 4.1 定义
  • 4.2 对称和非对称加密
  • • 对比
    • 两类密码攻击法
    • 常见密码分析攻击
    • 数字签名
  • 4.3 加密算法

参考：《系统安全与 上支付》 深圳大学 周天薇

一、 络安全概述

1.1 定义

信息安全:
为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。

络安全：

• 防止未授权的用户访问信息
• 防止未授权而试图破坏与修改信息

1.2 信息安全特性

• 可用性 ：确保授权用户在需要时可以访问信息并使用相关信息资产
• 完整性 ：保护信息和信息的处理方法准确而完整
• 机密性： 确保只有经过授权的人才能访问信息

1.3 络安全的威胁

• 主动攻击
  以各种方式有选择地破坏信息
  添加、修改、删除、伪造、重放、乱序、冒充、病毒等

• 1.4 络安全的特征

  • 
    络信息不被泄露给非授权的用户、实体或过程。即信息只为授权用户使用。
    保密性是在可靠性和可用性基础之上，保障 络信息安全的重要手段
    常用的保密技术
    (1) 物理保密:利用各种物理方法，如限制、隔离、掩蔽、控制等措施，保护信息不被泄露(锁好柜、关好门、看好人)
    (2) 防窃听:使对手侦收不到有用的信息
    (3) 防辐射:防止有用信息以各种途径辐射出去,例:防窥。
    (4) 信息加密:在密钥的控制下，用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息
  • 
    络信息在存储或传输过程中保持不被偶然或蓄意地添加、删除、修改、伪造、乱序、重放等破坏和丢失的特性
    完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成、正确存储和正确传输
    保障完整性的方法：
    （1）良好的协议:通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段
    （2）密码校验和方法: 它是抗窜改和传输失败的重要手段
    （3）数字签名:保障信息的真实性，保证信息的不可否认性
    （4）公证:请求 络管理或中介机构证明信息的真实性
  • 
    （1）系统能够在规定条件和时间内完成规定功能的特性，是所有 络信息系统的运行和建设的基本目标。
    （2）通过抗毁性，生存性与有效性进行衡量。
    （3）可靠性是在给定的时间间隔和给定条件下，系统能正确执行其功能的概率。
    （4）提高可靠性需要强调减少系统中断(故障)的次数。
  • 
    （1） 络信息可被授权实体访问并按需求使用的特性。 即 络信息服务在需要时，允许授权用户或实体 使用的特性，或者是 络部分受损或需要降级使 用时，仍能为授权用户提供有效服务的特性
    （2）可用性是系统在执行任务的任意时刻能正常工作的概率，一般用系统正常使用时间和整个工作时间之比来度量
    （3）提高可用性需要强调减少从灾难中恢复的时间
    （4）是产品可靠性、维修性和维修保障性的综合反映。
  • 
    （1）也称作不可抵赖性，在 络信息系统的信息交互过程中，确信参与者的真实同一性
    （2）所有参与者都不可能否认或抵赖曾经完成的操作和承诺
    保证不可否认性的方法：
    （1）利用信息源证据可以防止发信方不真实地否认已发送信息， 利用递交接收证据可以防止收信方事后否认已经接收的信息
    （2）数字签名技术是解决不可否认性的手段之一
  • 
    对信息的传播及内容具有控制能力
    防止不良内容的传播

  二、入侵方式

  2.1 黑客

  黑客(hacker) :指技术上的行家或热衷于解决问题, 克服限制的人
  骇客(cracker):是那些喜欢进入其他人系统的人
  骇客和黑客之间最主要的不同是:黑客们创造新东西，骇客们破坏东西。

  2.1.1 入侵方法

  （1）物理侵入:侵入者绕过物理控制而获得对系统的访问。对主 有物理进入权限 (比如他们能使用键盘) 。 方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。
  （2）系统侵入: 已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用漏洞获得系统管理员权限的机会
  （3）远程侵入: 通过 络远程进入系统。侵入者从无特权开始这种侵入方式，包括多种形式。如果在他和受害主机之间有防火墙存在，侵入就复杂得多

  2.1.2 系统的威胁

  • 软件bug
    软件bug存在于服务器后台程序, 客户程序， 操作系统， 络协议栈。
  • 系统配置
    （1）缺省配置:许多系统交付给客户的时候采用的缺省的易用的配置
    （2）懒惰的系统管理员:惊人数量的主机被配置成没有系统管理员口令
    （3）生成的漏洞:事实上所有的程序可能被配置成一个非安全的模式
    （4）信任的关系:侵入者常用“跳板”的方法利用信任关系攻击 络。一个互相信任主机的 络和他们最脆弱的环节一样安全。
  • 口令解密
    字典攻击:字典攻击可以利用重复的登陆或者收集加密的口令并且试图同加密后的字典中单词匹配
    暴力破解(Brute Force Attacks): 同字典攻击类似， 侵入者可能尝试所有的字符组合方式
  • 监听不安全的通信
    （1）共享媒体: 传统的以太 中, 你只要在线上启动 Sniffer就可以看到在一个 段的所有通信
    （2）服务器监听: 在一个交换的 络里，如果入侵者可以在一个服务器(特别是做路由器的)安装sniffer程序，入侵者就可以使用得到的信息来攻击客户主机和信任主机。比如，你可能不知道某个用户的口令，通过在他登陆的时候监听Telnet会话，就可以得到他的口令
    （3）远程监听: 大量的主机可以远端 络监控，且使用缺省的community
  • 设计的缺点
    TCP/IP 协议缺点
    系统设计缺点

  2.2 IP欺骗与防范

  IP欺骗就是伪造数据包源IP地址的攻击，

  它基于两个前提:

  • TCP/IP 络在路由数据包时，不对源IP地址进行判断— 可以伪造待发送数据包的源IP地址。目前黑客入侵攻击的重要手段之一。
  • 主机之间有信任关系存在—基于IP地址认证，不再需要用户账户和口令。

  2.2.1 TCP等IP欺骗基础知识

  1. TCP数据 首部标志域
  

  1. A发送带有SYN标志的数据段通知B需要建立TCP连接。并将TCP 头中的sequence number 设置成自己本次连接的初始值ISN。
  2. B回传给A一个带有SYS+ACK标志的数据段，并告诉A自己的ISN，并确认A发送来的第一个数据段，将acknowledge number设置成A的ISN+1。
  3. A确认收到的B的数据段，将acknowledge number设置成B的ISN+1。

  3. 信任与认证
  1 基于口令的认证:如SMTP(TCP 25)和远程登录 Telnet(TCP 23)，只通过帐 /口令认证用户;
  2 基于IP地址的认证(即信任):登录主机的地址受到被登录服务器信任，则从该主机登录不要口令;如远程登录rlogin(TCP 513)，首先是基于信任关系的认证，其次才进行口令认证。

  2.2.2 IP欺骗可行的原因

  1. 在TCP/IP协议组中，IP协议是非面向连接，非可靠传输的协议，IP数据包是进行松散发送的，并不是连续发送的，所以可以在源地址和目的地址中间放入满足要求的IP地址，(也就是说可以进行虚假IP 地址的提供)
  2. 在TCP/IP协议簇中， TCP是面向连接，提供可靠传输。
  3. 面向连接是两个主机首先必须建立连接，然后才能进行数据交换。
  4. 可靠性是有数据包中的多位控制字来提供，其中有 两个是SYN和ACK

  2.2.3 IP欺骗过程

  1. 选定目标主机
     利用端口扫描， 络监听工具
     看有哪些机器和目标主机进行TCP/IP连接
  2. 寻找目标主机信任的主机
     选择好进攻的目标主机后，必须寻找到目标主机信任的主机
     可以尝试显示目标主机的文件系统在哪里被export, 或者使用rpcinfo来分析有用信息
     或者尝试目标主机的相邻IP地址，获取有价值信息
  3. 控制被信任的主机
     黑客向被信任的主机的TCPA发送大量SYN请求， 使得被信任主机的TCP/IP链接达到队列的最上限， 从而无法响应目标主机的SYN请求
  4. 采样目标主机的TCP序列 ，猜测数据包序列 ，尝试建立连接
     在此期间，黑客就有机会伪装成被信任主机的IP地址，将SYN请求返回给目标主机，
     黑客利用 络监听和抓包软件，采样目标主机的 TCP序列 ，并猜测目标主机的数据包序列 ， 尝试建立与目标主机的基于地址验证的应用连接。
  5. 建立连接，种植后门
     一旦与目标主机建立TCP/IP连接，黑客就会使用命令，通过目标主机的安全性较弱的端口，种植后门程序
  6. 进行远程控制和非法操作
     后门种植成功后，黑客一般会断开与目标主机的连 接，并且停止对被信任主机的攻击，全身而退。黑客推出后，找寻合理时机，对目标主机进行远程控制和非法操作。

  2.2.4 IP欺骗原理

  序列 猜测的重要性

  • 攻击者X冒充受攻击目标A信任的对象B，远程连接A 的rlogin端口，如果能连接成功，不再需要口令就能登录A。
  • 因为A对X请求的响应包返回给B，X不可能知道其中A的序列 ，要想在图中的第5步完成三次握手并连 接成功，他必须“猜”到A的序列 (ISN)。

  序列 猜测的过程

  1. X首先连接A的SMTP端口(X是A的合法的邮件用户，但不是它所信任的rlogin用户，因为邮件应用的安全级别相对不高 )，试探其ISN变化规律，以估算下一次连接时A的ISN值。
  2. X必须马上按照图中3—5步的方法假冒B来与A建立rlogin连接。
     1 X必须立刻进行欺骗攻击，否则其他主机有可能与A建立了新的连接，X所猜测的序列 就不准了。
     2 当然就这样也不一定能一次猜测成功。

  不同 络环境下的序列 猜测
  1)若X和A及B在同一局域 中，从理论上说很容易实现IP欺骗攻击。因为攻击者X甚至于不用猜测A发送给B的数据包中包含的序列 ——用嗅探技术即可。
  2)若X来自于外 ，要想猜测到A和B所在的局域 中传送的数据包中的序列 非常困难——理论可行。
  3)美国头 电脑黑客米特尼克是第一个在广域 成功实现IP欺骗攻击的人。但当时的序列 相对现在非常容易猜测。

  关于被冒充对象B
  1)X首先必须对B进行DoS攻击，否则在图中第4步中B 收到A发送来的它未请求过的请求应答包，将向A返 回RST 文而终止连接，黑客不能冒充连接成功。
  2)X发送到A的rlogin端口的伪造数据包的源IP地址是 “假冒”了B的IP地址。
  3)为何X不能直接将自己的IP地址修改为B的IP地址来 连接到A的rlogin端口br> 1 IP地址产生冲突; 2 外 X不能这样修改。

  2.2.5 IP欺骗防范

  1. 使用较强壮的随机序列 生成器，要准确猜测TCP连接的ISN几乎不可能。
  2. 在边界路由器上进行源地址过滤，也就是说，对进入本 络的IP包，要检查其源IP地址，禁止外来的 却使用本地IP的数据包进入，这也是大多数路由器的缺省配置。
  3. 禁止r-类型的服务，用SSH(专为远程登录会话和其 他 络服务提供安全性的协议,传输的数据均加密) 代替rlogin这样的不安全的 络服务。
  4. 在通信时要求加密传输和验证。
  5. 分割序列 空间。Bellovin提出一种弥补TCP序列 随机性不足的方法，就是分割序列 空间，每一个连接都将有自己独立的序列 空间。连接之间序列 没有明显的关联。

  2.3 Sniffer 探测与防范

  2.3.1 Sniffer原理

  1. 广播类 络上，可以将某一 络适配器(NIC)设为接收相应广播域上传输的所有帧
  2. sniffer属第二层次(数据链路层)的攻击。通常是攻击者已经进入了 目标系统
  3. 如果sniffer运行在路由器，或有路由器功能的主机上，则可同时监视多个广播域，危害更大
  4. 通常，sniffer程序只需看到一个数据包的前200-300个字节的数据， 就能发现用户名和口令等信息

  2.3.2 Sniffer防范

  • 设法保证系统不被入侵
    Sniffer往往是攻击者在侵入系统后使用
  • 加密传输
    传输前加密，使收集的信息无法解读
  • 采用安全拓扑结构
    采用交换技术，分割广播域。
    管理员应使各计算机之间的信任关系最小，如lan要和internet相 连，仅有firewall是不行的，要考虑一旦入侵成功后他能得到什么， 保证一旦出现sniffer他只对最小范围有效

  现代 络常常采用交换机作为 络连接设备枢纽
  交换机不会让 络中每一台主机侦听到其他主机的通讯，因此Sniffer技术在这时必须结合 络端口镜像技术进行配合。
  而衍生的安全技术则通过ARP欺骗来变相达到交换 络中的侦听。

  • 络端口镜像技术: 在交换机或路由器上， 将一个或多个源端口的数据流量转发到某一个指定端口来实现对 络的监听
  • • TCPconnect(): 入侵者无须任何权限，速度快，但是其易被发现，也易被过滤;
    • TCPSYN: 扫描器发送syn数据包，如果返回ack/syn同时需要再发送 RST关闭连接过程，表示端口处监听状态;如果返回RST，则不在侦听，不会留下入侵记录，但需要有root权限才能建立自己的syn数据包
    • TCPFIN: 一般防火墙或过滤器会过掉syn包，但FIN可以没有麻烦的通过，于是可能存在关闭的端口会用RST来响应FIN,而打开的端口 则不会响应，但有的系统不管打开与否都响应回复RST包

    2.4.3 ping命令

    Ping的原理
    通过向目标主机传送一个小数据包，目标主机接收并将该包返送回来，如果返回的数据包和发送的数据包一致，则Ping命令成功。根据返回的信息，可以推断TCP/IP参数是否设置正确，以及运行是否正常、 络是否通畅等。

    作用和特点

    • 用来判断目标是否活动;
    • 最常用、最简单的探测手段;
    • Ping 程序一般是直接实现在系统内核中的， 而不是一个用户进程

    Ping命令可以进行以下操作 :

    1. 通过将ICMP(Internet控制消息协议)回显数据包发 送到计算机并侦听回显回复数据包来验证与一台或多 台远程计算机的连接。
    2. 每个发送的数据包最多等待一秒。
    3. 打印已传输和接收的数据包数。

    2.5 特洛伊木马

    2.5.1 木马与病毒的区别

    • 载体
      一般情况下，病毒是依据其能够进行自我复制即传染性的特点而定义的
      木马主要是根据它的有效载体，或者是其功能来定义的，更多情况下是根据其意图来定义的
    • 自我复制和传播
      木马一般不进行自我复制，但具有寄生性，如捆绑在合法程序中得到安装、启动木马的权限，DLL木马甚至采用动态嵌入技术寄生在合法程序的进程中
      木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等特性， 但我们习惯上将其纳入广义病毒，也就是说，木马也是广义病毒的一个子类
    • 意图
      木马的最终意图是窃取信息、实施远程监控
      木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是 否具有隐蔽性、是否具有非授权性

    2.5.2 木马的组成

    木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序) 三部分组成。
    

    • 防火墙是设置在用户 络和外界之间的一道屏障，防止不可预料的、潜在的破坏侵入用户 络;
    • 防火墙在开放和封闭的界面上构造一个保护层，属于内部范围的业务，依照协议在授权许可下进行;外部对内部 络的访问受到防火墙的限制
    • 过滤进出 络的数据
    • 管理进出 络的访问行为
    • 封堵某些禁止的访问行为
    • 记录通过防火墙的信息内容和活动

    优点
    ◆逻辑简单 ◆有较强的透明性 ◆ 络性能的影响较小 ◆开销较小，设备便宜

    状态检测防火墙由动态包过滤防火墙演变而来，工作在，使用各种状态表(state tables)来追踪活跃的TCP会话，它能够根据连接状态信息动态地建 立和维持一个连接状态表，并且把这个连接状态表用于后续 文的处理。
    

  优点
  ◆可以检查应用层、传输层和 络层的协议特征，对数据包的检测能力比较强
  ◆代理完全控制会话，可以提供很详细的日志和安全审计功能
  ◆可以隐藏内部 的IP地址，保护内部主机免受外部主机的进攻
  ◆可以集成认证机制

  缺点
  ◆最大缺点是要求用户改变自己的行为，或者在访问代理服务的 每个系统上安装特殊的软件
  ◆分析困难，实现困难，每一种应用服务必须设计一个代理软件模块进行安全控制，并 且应用升级时，一半代理服务程序也要升级
  ◆影响用户 络速度(命令解释)
  ◆不能防止SYN攻击

  复合型防火墙是指综合了状态检测与应用代理的新一代的防火墙

  • 对整个 文进行访问控制和处理，具体检测内容由策略决定，
  • • 如果策略是包过滤策略，则对TCP、IP 头进行检测，

  • 优点
    ◆ 络层保护强
    ◆应用层保护强
    ◆会话层保护强
    ◆前后 文有联系，可以关联进行出来

    缺点
    ◆不能防病毒传播
    ◆不能防止一些未知的入侵或攻击

    小结

    包过滤防火墙: 包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后 文无关，应用层控制很弱。
    应用代理防火墙:不检查IP、TCP 头，不建立连接状态表 ， 络层保护比较弱，影响用户的 速。
    状态检测防火墙:不检查数据区，建立连接状态表，前后 文相关，应用层控制很弱。
    复合型防火墙:可以检查整个数据包内容，根据需要建立连接状态表， 络层保护强，应用层控制细，会话控制较弱
    核检测防火墙:可以检查整个数据包内容， 络层保护强， 应用层保护强，前后 文有联系。

    3.2 防火墙设计原则及优缺点

    3.2.1 设计原则

    • 过滤不安全服务的原则
      防火墙应封锁所有信息流，然后对希望提供的安全服务逐项开放
      这是一种非常有效实用的方法，可以造成一种十分安全的环境，因为只有经过仔细挑选的服务才能允许用户使用
    • 屏蔽非法用户的原则
      防火墙可先允许所有的用户和站点对内部 络的访问，然后 络管理员按照 IP 地址对未授权的用户或不信任的站点进行逐项屏蔽
      这种方法构成了一种更为灵活的应用环境， 络管理员可以针对不同的服务面向不同的用户开放，也就是能自由地设置各个用户的不同访问权限

    3.2.2 优缺点

    优点:
    允许管理员定义一个中心扼制点防止非法用户进入内部 络
    保护 络中脆弱的服务
    用户可方便的监视 络的安全并产生 警
    集中安全性
    增强保密性
    是审计和记录 络流量的一个最佳地方

    缺点:
    限制有用的服务
    不能有效防止内部的攻击
    Internet防火墙不能防止通过防火墙以外的攻击
    不能完全防止传送已感染病毒的文件和软件
    无法防范数据驱动型攻击
    不能防备新的 络安全问题

    3.3 防火墙体系结构

    • 包过滤路由器只放行到堡垒主机的数据包
      一个分组过滤路由器 连接外部 络
      一个堡垒主机安装在 内部 络上;
      通常在路由器上设立过滤规则，并使这个 堡垒主机成为从外部 络唯一可直接到达 的主机，这确保了内部 络不受未被授权 的外部用户的攻击

    入侵者攻击内部 络至少要突破两个路由器:

    • 内部路由器
      负责管理DMZ到内部
      仅接收来自堡垒主机的数据包
      完成防火墙的大部分工作
    • 外部路由器
      防范通常的外部攻击络的访问
      管理Internet到DMZ的访问
      只允许外部系统访问堡垒主机
    • 堡垒主机
      安全防护、运行各种代理服务

    3.4 硬件防火墙的性能指标

    声明：本站部分文章及图片源自用户投稿，如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢！