网络安全

目录

• 网络层 - ARP欺骗
  • 核心步骤举例
  • 防护
• Dos、DDoS
  • 防御
• 传输层 — SYN洪水攻击
• 传输层 — LAND攻击
• 应用层 - DNS劫持
• HTTP协议的安全问题
  • 常见的加密方式
• 单向散列函数
  • 散列函数特点
  • 散列函数称呼
  • 常见的几种单向散列函数
  • 如何防止数据被篡改 对比两天的文件，显然不现实，根据文件计算出散列值，看两天的对比是否一致
  • 应用 网站RealVNC提供一个散列值（SHA-256），下载完成后文件进行散列对比，如果一直，证明在镜像下载的文件没有问题
• 如何加密解密？
• 对称加密（又称对称密码）
  • DES (Data Encryption Standard)
  • 3DES(Triple Data Encryption Algorithm)
  • AES (Advanced Encryption Standard)
  • 密钥配送问题
• 非对称加密 (Asymmetric Cryptography)
  • 公钥、私钥
  • 解决密钥配送问题
  • RSA
• 混合密码系统 (Hybrid Cryptosystem)
  • 加密
  • 解密
• 数字签名
• 证书
  • 证书使用
  • 注册和下载

网络通信中面临的4种安全威胁

• 截取：窃听通信内容
• 中断：中断网络通信
• 篡改：篡改通信内容
• 伪造：伪造通信内容
  

网络层 - ARP欺骗

• ARP欺骗(ARP spoofing)，又称ARP毒化(ARP poisoning)、ARP病毒、ARP攻击
• ARP欺骗可以造成的效果
  • 可让攻击者获取局域网上的数据包甚至可篡改数据包
  • 可让网络上特定电脑之间无法正常通信 (例如网络执法官这样的软件)
  • 让送至特定IP地址的流量被错误送到攻击者所取代的地方
  • 等等

核心步骤举例

防护

• 静态ARP
• DHCP Snooping:网络设备可以借由DHCP保留网络上各电脑的MAC地址，在伪造的ARP数据包发出时即可侦测到
• 利用一些软件监听ARP的不正常变动

Dos、DDoS

• DoS攻击(拒绝服务攻击，Denial-Of-Service attack): 使目标电脑的网络或系统资源耗尽，使服务暂时中断或停止，导致其正常用户无法访问
• DDoS攻击(分布式拒绝服务攻击，Distribution Denial-Of-Service attack)：黑客使用网络上两个或以上被攻陷的电脑作为“僵尸(肉鸡)”，向特定的目标发动DoS攻击 > 2018年3月，GitHub遭到迄今为止规模最大的DDoS攻击
• DoS 攻击可以分为2大类
  • 带宽消耗型：UDP洪水攻击、ICMP洪水攻击
  • 资源消耗型：SYN洪水攻击、LAND攻击

防御

• 防御方式通常为：入侵检测、流量过滤和多重验证，堵塞网络带宽的流量将被过滤，而正常的流量可正常通过

• 防火墙

  • 防火墙可以设置规则，例如允许或拒绝特定通讯协议，端口或IP地址
  • 当攻击从少数不正常的IP地址发出时，可以简单的使用拒绝规则阻止一切从攻击源IP发出的通信
  • 复杂攻击难以用简单规则来阻止，例如80端口遭受攻击时，不可能拒绝端口所有的通信，因为同时会阻止合法流量
  • 防火墙可能处于网络框架中过后的位置，路由器可能再恶意流量到达防火墙前即被攻击影响

• 交换机：大多数交换机有一定的速度限制和访问控制能力

• 路由器：和交换机类似，路由器也有一定的速度限制和访问控制能力

• 黑洞引导:将所有受攻击计算机的通信全部发送至一个“黑洞”（空接口或不存在的计算机地址）或者有足够能力处理洪流的网络设备商，以避免网络受到较大的影响

• 流量清洗：当流量被送到DDoS防护清洗中心时，通过采用抗DDoS软件处理，将正常流量和恶意流量区分开，正常的流量则回注回客户网站

传输层 — SYN洪水攻击

• SYN洪水攻击(SYN flooding attack) 攻击者发送一系列SYN请求到目标，然后让目标因收不到ACK（第三次握手）而进行等待、消耗资源
• 攻击方法
  • 跳过发送最后的ACK信息
  • 修改源IP地址，让目标送SYN-ACK到伪造的IP地址，因此目标永不可能收到ACK（第三次握手）
• 防护，参考RFC 4987

传输层 — LAND攻击

应用层 - DNS劫持

HTTP协议的安全问题

HTTP协议默认是采取明文传输的，因此会有很大的安全隐患，常见的提高安全性的方法是：对通信内容进行加密后，再进行传输

常见的加密方式

不可逆

• 单向散列函数： MD5、SHA等

可逆

• 对称加密：DES、3DES、AES等
• 非对称加密：RSA 等

其他

• 混合密码系统
• 数字签名
• 证书

常见英文

encrypt(加密) decrypt(解密) plaintext(明文) ciphertext(密文)

人物设计

如何防止被窃听？

单向散列函数

几个散列函数网站：MD5加密、MD5解密、其他加密、其他

单向散列函数（One-way hash function）：可以根据消息内容计算出散列值 散列值的长度和消息的长度无关，无论消息是1bit、10M、100G，单向散列函数都会计算出固定长度的散列值

散列函数特点

散列函数称呼

常见的几种单向散列函数

如何防止数据被篡改 对比两天的文件，显然不现实，根据文件计算出散列值，看两天的对比是否一致

应用 网站RealVNC提供一个散列值（SHA-256），下载完成后文件进行散列对比，如果一直，证明在镜像下载的文件没有问题

进行数据库的账户密码存储，用户注册时候，数据层存储的密码应该是进行加密后的密码

如何加密解密？

对称加密/非对称加密 主要就是密钥、算法，接下来我们也重点关注这两项

对称加密（又称对称密码）

在对称加密中，加密、解密时使用的是同一个密钥 常见的对称加密算法有 DES、3DES、 AES

DES (Data Encryption Standard)

3DES(Triple Data Encryption Algorithm)

AES (Advanced Encryption Standard)

• 取代DES成为新标准的一种对称加密算法，又称Rijndael加密算法
• AES的密钥长度有128、192、256bit三种
• 目前AES，已经逐步取代DES、3DES，成为首选的对称加密算法
• 一般来说，我们也不应该去使用任何自制的密码算法，而是应该使用AES，它经过了全世界密码学家所进行的高品质验证工作

密钥配送问题

• 使用对称加密时，一定会遇到密钥配送的问题
• 如果Alice将使用对称加密过的消息发送给了Bob，只有将密钥发送给Bob，Bob才能完成解密，但是在发送过程中，密钥可能被Eve窃取，最后Eve也能完成解密

如何解决密钥配送问题？

• 事先共享密钥 （比如私下共享）
• 密钥分配中心 (key Distribution Center, 简称KDC)
• Diffie-Hellman密钥交换
• 使用非对称加密配送

非对称加密 (Asymmetric Cryptography)

• 在非对称加密中，密钥分为加密密钥、解密密钥2种，它们并不是同一个密钥
• 加密密钥：一般是公开的，因此该密钥成为公钥(public key),因此非对称加密也被成为公钥秘密(Public-key Cryptography)
• 解密密钥：由消息接收者自己保管的，不能公开，因此也称为私钥(Private Key)
  

公钥、私钥

• 公钥和私钥是一一对应的，不能单独生成，一对公钥和私钥统称为密钥对(key pair)
• 由公钥加密的密文，必须使用与该公钥相应的私钥才能解密
• 由私钥加密的密文，必须使用与该私钥相应的公钥才能解密（用于签名认证）

解决密钥配送问题

• 由消息的接收者，生成一对公钥、私钥

• 将公钥发给消息的发送者 * 消息的发送者使用公钥加密消息，消息的接收者使用私钥解密消息

• 非对称加密的加密速度比对称加密要慢

RSA

• 目前使用最广泛的非对称加密算法是RSA
• RSA的名字是由它的三位开发者的姓氏首字母组成

混合密码系统 (Hybrid Cryptosystem)

• 对称加密的缺点：不能很好的解决密钥配送问题(密钥会被窃听)
• 非对称加密的缺点：加密解密速度比较慢
• 混合密码系统：是将对称加密和非对称加密的优势相结合的方法

解决了非对称加密速度慢的问题

并通过非对称加密解决了对称加密的密钥配送问题

• 网络上的密码通信所用的SSL/TLS 都运用了混合密码系统

加密

解密

加密解密流程

数字签名

想象以下场景

过程

由于加密整条消息，信息量大而且非对称机密速度慢，因此进行了改进，求出消息的散列值(具有唯一性)进行加密

改进过程

疑惑

公钥、私钥总结

证书

如果遭遇了中间人攻击，那么，公钥将可能是伪造的，如何验证公钥的合法性？ 证书

证书使用

• 各大CA的公钥，默认已经内置在浏览器和操作系统中，也就避免了获取证书的公钥再度被劫持

注册和下载