【读书笔记】:网络安全复习
关于一些概念:
拒绝服务攻击包括:flood + smurf
flood 包括 ping of death + synflood
smurf:使用被攻击者的IP向广播地址发送ICMP包,使的全部广播地址的全部主机产生应答包,使的被攻击主机没法响应而使的被攻击网络瘫痪web
缓冲区溢出:
经过往程序的缓冲区写超过其长度的内容,形成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其余的指令,以达到攻击的目的。算法
shellcode:中文名,填充数据,用来发送给被攻击服务器形成数据溢出shell
密码学:研究信息安全保密的科学
密码编码学:研究对信息的编码,实现对信息的隐蔽
密码分析学:研究加密信息的破译或者消息的伪造数据库
所以密码编码学和密码分析学是逆向过程安全
对称密码算法(symmetric cipher):加密和解密算法都相同服务器
非对称密码算法(asymmetric cipher):加密和解密算法不一样,加密的算法可以公开,咱们称其为公钥,解密的算法不能公开,咱们称其为私钥网络
单字母替换:
用一个字符串进行替代,而后以后就从已有的序列日后推,一直到26个字母所有出现一次 - -
**spectacular
ABCDEFGHIJKLMNOPQRSTUVWXYZ
spectaulrbdfghijkmnoqvwxyz**
能分析明白这个就ok了~负载均衡
DES简单版
DES简单版的思路大体是这样,P盒制造雪崩效应,关键是在S盒,S盒是算法的关键所在 - -svg
Diffie-hellman密钥交换协议 与 RSA密码体制
RSA算法:给出p,q,求公私钥
n = p*q(只在最后算公钥的时候有用) φ(n)=(p-1)*(q-1)
gcd(e,φ(n))=0 说明质数
公钥e就求出来了
私钥d*emod(φ(n))=1 以此求d函数
数字签名及验证过程
消息经过散列算法变成摘要,而后经过发送方的私钥对摘要进行加密变成数字签名,发送方把摘要和数字签名一块儿发送给接收方。
接收方经过一样的散列算法对消息进行计算。接收方经过公钥对摘要进行解密,若是获得了的数据和计算出的摘要一致,说明报文确实来自于发送者
电子信封技术
这里仍是两我的,发送方和接收方
发送方经过对称密钥加密报文,而后利用收信方的公钥去加密对称密钥,而后发送过去给接收方,接收方接收到报文后,用本身的私钥去解密对称密钥,而后用解密后的对称密钥去解密报文,这样获得真正的报文。
证书
公钥体制中的一种密钥管理介质
证实主体身份及公钥的合法性
保密的概念:发送者先得到接受者的证书,检验合格后用其中的公钥加密邮件发送
IPSec:传输模式和隧道模式
口令认证过程:
口令->MD5->摘要->可是不发送给认证系统
认证系统产生一个随机数用来用来质询用户口令摘要
输入端收到响应后用摘要对这个质询进行加密,加密后的结果成为响应
IPSec
令牌
认证令牌:不能够反复使
时间令牌:时间令牌每过60s能够从新使
门票
Bob的门票
KDC为Bob和alice生成一个共享密钥Kab,而后用主密钥加密Kab,把用Bob主密钥加密的会话密钥Kab以及alice的名字成为访问 Bob的门票~
基于此双方能够互认身份
入侵检测(49页数学模型没看)
入侵检测经过采用滥用检测和异常检测的方法,发现未受权的或者是恶意的网络行为
非法和合法行为是可区分的
入侵检测须要解决的两个问题:
1,如何充分并可靠的提取描述特征行为的数据
2,如何根据特征数据高效而准确的断定行为的性质
滥用检测:根据已知的系统的缺陷和已知的入侵方法进行相应的检测,精确性较高,不能检测未知的入侵,也不能检测已知入侵的变种
**异常检测:创建目标系统及用户的正常活动模型
,而后利用这个系统对系统及用户的行为进行审计**
面向主机的检测系统,面向网络的检测系统
CIDF
事件
GIDO 一般入侵检测事件
CIDF规定IDS的模块构成:事件产生器,事件分析器,事件数据库,响应单元
snort系统
snort采用基于规则的网络信息搜索机制,对数据包进行内容的模式匹配,进而从中发现入侵和探测行为
数据包捕获和解析子系统 检测引擎 日志和报警子系统
堡垒主机(bastion host)在网络上配置了安全防范措施的计算机,为网络之间的通讯提供了一个阻塞点,若是没有堡垒主机,网络上的计算机将没法互相访问
双宿主机(Dual-homed host)有两个接口的主机,一个是内部接口,一个是外部接口
DMZ(DemilitarizedZone) 非军事区或者停火区
在内部网络和外部网络之间增长的一个子网 - -
防火墙策略
未被禁止的就是容许的
未被容许的就是禁止的
大概有这两种观点,第一种可以给用户不少的服务,可是不能给用户提供很强的安全保护,第二种恰好就反过来了
会话结束的断定和临时条目的删除
TCP会话的结束:两组FIN位被设置的TCP分组,临时条目几秒钟删除,表示会话即将关闭
在RST位被设置的TCP分组,临时条目当即删除,表示会话当即关闭
在超时时间段内,没有检测到和特定会话相关的数据分组,临时条目被删除
UDP会话的结束:在超时时间段内,没有检测到和特定会话相关的数据分组,表示会话结束
网络地址翻译
1,解决IP地址不足的问题
2,可以向外界隐藏内部网络
3,网络地址翻译技术实现负载均衡
4,网络地址翻译技术处理网络地址交迭
防火墙的操做系统
Aho-Corasick树形有限自动机(详见我转的一篇博文 - -)
该算法巧妙的把字符比较变成了状态转移
就是很简单的自动机
在预处理阶段,AC自动机算法创建了三个函数
转向函数goto,失效函数failure,输出函数output
转向函数g(pre,x) = next 状态pre遇到x以后调到next状态
f(i)= k 若是i不是匹配的状态,那么结果为0,若是不是匹配的状态,就到以前可以匹配的状态
输出函数 i表明终结匹配的状态,output(i)表明该状态能匹配到的串
计算机病毒相关
计算机病毒的防治分为四个阶段,检测,清除,免疫,预防
病毒免疫原理是经过病毒签名实现的,若是一个程序中有了病毒签名,病毒就再也不感染,所以咱们能够人为的经过向程序中植入病毒签名达到预防病毒的效果、 蠕虫具备自动传播性