精华内容
下载资源
问答
  • 学习笔记

    首先需要介绍几个 标准(下文不会解释,也可读到再来看)

    • 美国国家标准与技术研究所(NIST):NIST是一个美国联邦机构,负责处理与美国政府使用和促进美国私营部门创新有关的测量科学。
    • 互联网协会(Internet Society,ISOC):它是一个具有全球组织和个人会员资格的专业会员协会。它在解决未来互联网将面临的问题方面发挥领导作用,并负责互联网基础设施便准的小组的组织机构。
    • ITU-T 国际电信联盟(ITU):联合国系统内的一个国际组织,任务是制定涵盖所有电信领域的技术标准,ITU-T的标准称为建议书。
    • ISO 国际标准化组织:一个非政府组织,致力于促进标准化和相关活动的发展,促进商品和服务的国际交流,并以此促进智力、科学、技术和经济活动领域的何做。
    System.out.println("但行好事,莫问前程");
    System.out.println("The combination of space, time, and strength that must be considered as the basic elements of this theory of defense makes this a fairly complicated matter. Consequently, it is not easy to find a fixed point of departure.");
    System.out.println("防御理论必须保证破解需要 空间、时间和精力");
    

    计算机安全的概念

    计算机安全的定义

    **计算机安全:**对于一个自动化的信息系统,采取保护措施确保信息系统资源(包括硬件、软件、固件、信息/数据和通信)的完整性、可用性和保密性。

    计算机安全最核心的三个关键目标(称为CIA三元组)

    • 保密性(Confidentiality):包括 数据保密性(确保隐私不会泄露或者被非授权者泄露) 和 隐私性(确保个人可以控制或确定哪些信息可以被保存或者公开)。对信息的访问和公开进行授权限制,保护个人隐私和秘密信息。保密性缺失:信息的非授权泄露。
    • 完整性(Integrity):包括 数据完整性(确保信息和程序只能用特定和授权的方式改变) 和 系统完整性(确保系统以一种正常方式来执行预定功能,不会被非授权操控)。防止对信息的不恰当修改或破坏,包括确保信息的不可否认性和真实性。完整性缺失: 对信息的的非授权修改和毁坏。
    • 可用性(Availablity):确保系统工作快速有效,对授权用户不能拒绝服务。确保及时可靠的访问和使用信息。可用性缺失:对信息和信息系统访问的中断。

    除了CIA之外,还引入了两个安全概念来呈现更完整的安全概念:

    • 真实性(Authenticity):一个实体是真实的、可被验证的和可被信任的。(我能证明我是我,还能向你证明我是谁)。
    • 可追溯性(Accountability):要求实体的行为可以唯一追溯到该实体。(支持不可否认性、组织、故障隔离、入侵检测和预防、事后恢复,以及法律诉讼)。系统必须保留他们活动的记录,以允许事后的审计分析,进而跟踪安全事件或解决争执。

    根据前面列举的三个要求,FIPS PUB 199定义了三个层次来安全泄露事件(保密性、完整性或可用性的缺失)对组织和个人的影响。(个人认为这里的内容只需要记得 这是由组织定义出来的一种标准。)
    在这里插入图片描述

    计算机安全的挑战

    • 研究安全机制或算法时必须认真考虑各种各样的攻击,以与设计完全不同的方式来看问题往往可以攻击成功。
    • 安全机制使用的算法和协议不止一个,而不同的位置和协议可能会导致加密算法变得没有意义。
    • 入侵者的优势就在于它只需要找个一个弱点就可以,而设计者必须找到并根除所有的弱点来获取完全的安全。

    OSI安全架构

    OSI 开放系统互联 Open System Interconnection
    ITU-T推荐方案X.800,用来解决 “有效评价安全需求以及安全产品和政策”,即OSI安全框架。对安全人员来说,OSI安全框架是提供安全的一种组织方法

    OSI安全架构关注 安全攻击、安全机制 和 安全服务

    • 安全攻击 : 任何危及信息系统安全的行为
    • 安全机制 : 用来检测、组织攻击或者从攻击状态恢复到正常状态的过程。(或者 实现该过程的设备)
    • 安全服务 : 加强数据处理系统和信息传输的安全性的一种处理过程或通信服务。目的在于 利用一种或多种安全机制进行反攻击。

    威胁 && 攻击
    在这里插入图片描述
    威胁是脆弱性被利用而带来的危险。
    攻击是有意违反安全服务和侵犯系统安全策略的智能行为。

    安全攻击

    被动攻击:试图获取或利用系统的信息但并不影响系统资源
    主动攻击:试图改变系统资源或影响系统运行

    被动攻击

    特性:对传输进行窃听和监测。
    目标:获得传输的信息。
    包括两种形式:

    • 信息内容泄露攻击:数据信息被攻击者截获
    • 流量分析:一般针对于已经加密之后的信息,仍然可以获得这些消息模式。攻击者可以决定通信主机的身份和位置,可以观察传输消息的频率和长度。这些信息可以用于判断通信的性质。

    因此,处理被动攻击的重点是 预防 而不是 监测

    主动攻击

    特性:对数据流进行修改 或 伪造数据流
    可以分为4类:

    • 伪装:某实体假装别的实体。一般会包括其它形式的主动攻击(路径2有效)
    • 重放:攻击者未经授权地将截获的信息再次发送。(路径1、2、3有效)
    • 消息修改:未经授权修改合法消息的一部分或延迟消息的传输或改变消息的顺序以获得非授权的效果。(路径1、2有效)
    • 拒绝服务:阻止或禁止对通信设施的正常使用或管理(可能有具体目标) 另一种形式是破坏整个网络、使网络失效或使其过载来降低其性能。(路径3有效)

    主动攻击 难以绝对地预防,但是容易检测。 主动攻击的重点 在于监测并从攻击造成的破坏或延迟中恢复过来
    在这里插入图片描述

    安全服务

    一种由系统提供的对系统资源进行特殊保护的处理或通信服务;安全服务通过安全机制来实现安全策略。
    X.800 将安全服务分为5类14个特定服务
    在这里插入图片描述
    认证 – 保证每个实体都是他们所声称的实体

    • 同等实体认证:主要用于连接的建立或数据传输阶段。保证:一个实体没有试图进行伪装或对以前的连接进行非授权重播。
    • 数据源认证:为数据的来源提供确认(通信实体之间并没有预先的交互)

    访问控制 – 识别或者认证后才可以获得响应的访问权限

    数据保密性 – 防止传输的数据遭到被动攻击 以及 防止流量分析

    • 连接保密性
    • 无连接保密性
    • 选择域保密性
    • 流量保密性

    数据完整性 – 用于处理消息流、面向连接的完整性服务保证收到的消息和发出的消息一致。往往自动恢复机制是一种更有吸引力的选择

    • 可恢复的服务
    • 无恢复的服务

    不可否认性 – 防止发送方或接收方 否认传输或接收过某条消息。

    • 源不可否认性(源头)
    • 宿不可否认性(宿主)

    可用性服务 – 处理拒绝服务攻击引起的安全问题,依赖于对系统资源的恰当管理和控制,依赖于访问控制服务和其它安全服务。

    安全机制

    在这里插入图片描述
    安全机制分为两类:

    • 在特定的协议层实现,如TCP或应用层协议
    • 不属于任何协议层或安全服务

    X800区分可逆和不可逆加密机制:

    • 可逆加密机制:一种单纯的加密算法,数据可以加密和解密。
    • 不可逆加密机制:包括用于数字签名和消息认证应用中的散列算法与消息认证码。

    基本安全设计准则

    虽然没有一种安全设计或实现技术能够系统地摒除安全漏洞、组织所有非授权的行为。虽然没有这种万无一失的技术,但是能有一些可被广泛人可的设计准则直到保护机制的开发也是有益的。美国国家信息保障/空间防御学术中心与美国国家安全局、美国国土安全部联合倡议了如下安全设计准则:

    • 机制的经济性:嵌入在硬件和软件中的安全机制应设计得尽量简单、短小。
    • 故障安全默认:访问决策应基于允许而非拒绝(默认情况下是五访问权限,保护方案核实是否负荷允许访问的条件)。
    • 完整的监察:必须检查访问控制机制中的每个访问,系统不能依赖从换从中检索到的访问决策。
    • 开放的设计:安全机制的设计应该是开放的,而不是保密的。
    • 权限分离:定义为需要多个权限属性来访问一个受限资源
    • 最小权限:意味着系统的每个进程和用户应该以执行该任务所需的最小权限集来进行操作。(比如基于角色的访问控制)
    • 最小共同机制:把不同用户共享的功能设计得最小化,以便提供共同的安全性。
    • 心理接受度:安全机制在满足授权访问的用户需求的同时,不应过度干预用户的工作。
    • 隔离:公共部分与关键部分分离;各个用户的进程和文件应彼此隔离;安全机制也应该被隔离。
    • 密封:基于面向对象的特定形式的隔离。(即类似于访问控制关键字来限定访问)
    • 模块化:既指将安全功能作为单独的模块开发,也指用于机制设计和实现的模块化架构。
    • 分层:使用多个叠加的保护方法来保护信息系统的人员、技术和操作。(分层方法常用于在攻击者与受保护的信息或服务之间设置多个障碍,这种技术通常称为:深度防御)。
    • 最小意外:指程序或用户接口让用户感到,对意外事故的处理响应最小化。

    攻击面与攻击树

    在评估和分类安全威胁时很有用的两个概念:攻击面 和 攻击树

    攻击面

    攻击面 由系统中一系列可访问且可利用的漏洞组成
    可以分为如下几类:

    • 网络攻击面:此类攻击面涉及的是企业网络、广域网或互联网。(比如网络协议的漏洞,比如进行拒绝服务攻击、中断通信链路、各种形式的入侵攻击的漏洞)。
    • 软件攻击面:此类攻击面涉及的是 应用程序、工具包或操作系统代码。 (比如 Web服务器软件)
    • 人类攻击面:此类攻击面涉及的是 由系统人员或外部人员造成的漏洞。如社会工程学、人为错误和被信任的内部人员。

    评估安全威胁的规模和严重性时,攻击面分析是很有用的技术。对漏洞的系统分析能使开发人员和安全分析师直到系统中的哪些地方需要安全机制。

    一旦明确一个攻击面,设计者就可以想法设法的使攻击面变小,增加攻击者的攻击难度。

    攻击面还提供设置测试、加强安全措施和修改服务或应用的优先权的依据。

    攻击树

    攻击树是 采用分支化、层次化表示来利用安全漏洞的可能技术集合的数据结构。

    攻击的目的 —— 造成安全事件,是攻击树的根节点,而那些攻击者为达到这一目的所采用的方法,被迭代增加地表示为攻击树上的分支和子节点。

    每个从根节点出发的路径上的末端节点,即叶子节点,表示发动攻击的不同方式。每个非叶子节点都是“与节点”或者“或节点”。

    每条分支可以标记不同的值来表示攻击的难度、成本或其他攻击属性,用以对不同的可选攻击方式进行比较。

    使用攻击树的动机:为了更有效地利用关于攻击模式的可用信息。

    安全分析师可以利攻击树的这种结构化方式来归档安全攻击,进而揭示其中的关键漏洞。攻击树还可用来指导系统和应用的设计,以及对抗策略的选择和强度。

    PIN : Personal Indetification Number 个人识别密码

    网络安全模型

    在这里插入图片描述
    消息通过Internet服务从一方传送到另一方,而作为消息交换的主题,双方都必须和对方合作以保证交换的可靠。双方信息通过路由从源地址到目的地址,并协作使用通信协议(如TCP/IP),从而建立起一个逻辑信息通道。

    所有提供安全的技术都包含以下两部分:

    • 对发送消息的安全变换。如加密消息,将消息打乱,使其变得不可读;基于消息内容,附加一段基于消息内容的编码,用来验证发送者的身份。
    • 被两个主体共享且不被攻击者知道的一些机密信息。如在传输之前用于加密消息、收到消息后用于解密消息的密钥。

    设计安全服务应包含如下4个方面的内容:

    • 设计一个算法,它执行与安全相关的变换。该算法应是攻击者无法攻破的。
    • 产生算法所使用的秘密信息。
    • 设计分配和共享秘密信息的方法。
    • 指明通信双方使用的协议,该协议利用安全算法和秘密信息实现安全服务。

    攻击者可以在计算机系统中加入程序,它利用系统的弱点影响应用程序和使用功能程序,如编辑程序和编译程序。对程序的威胁主要有:

    • 信息访问威胁:以非授权用户的名义截获或修改数据
    • 服务威胁:利用计算机中的服务缺陷禁止合法用户使用这些服务。
      在这里插入图片描述
      入侵者:与己方有不同观点,并深入己方进行他方观念或技术的实施。
    展开全文
  • 章节概述 本章节涉及到所有的网络层,因为每个网络层都可能会有漏洞被黑客利用。网络安全的目的就是对付各种各样的网络威胁...网络安全最关键的部分是建立威胁模型,描述威胁的原理以及攻击者能利用威胁做什么

    章节概述


    本章节涉及到所有的网络层,因为每个网络层都可能会有漏洞被黑客利用。网络安全的目的就是对付各种各样的网络威胁,通常我们使用加密技术来防止漏洞。但是本章只是网络安全的一个概要。如果你感兴趣的话可以参加另一门网络安全的课程。


    网络安全就像性能,有些人非常看中安全,有些人却不一定需要。网络安全最关键的部分是建立威胁模型,描述威胁的原理以及攻击者能利用威胁做什么,这是评估危险程度的主要方法。但是网络安全并不都是将消息进行加密。网络威胁有盗窃信息、篡改信息、欺骗SNS、破坏网络服务等。


    要保证网络安全是一件非常困难的事情,因为我们要保证网络的每个环节都没有缺陷。网络的安全程度取决于最脆弱的环节,但是软件中往往都会存在BUG。就拿WIFI举例说明吧。早期的wifi通过WEP算法进行加密,这种算法很容易破解,黑客只要通过一些破解软件就能读取WiFi的所有信号。现在,有了WPA2/802.11i,安全性能提升了很多,因为这种加密算法是无法在有限时间内破解的。但是即使加密无法破解,还是有很多其他的途径来破解网络,比如猜测WiFi密码,从计算机上获取密码,物理盗窃等。其中猜测Wifi密码相对来说还是比较容易的。


    密码学有着丰富的历史,最初是从希腊开始发展的。密码学研究的是如何加密信息,而密码分析学研究的是如何破解加密信息。现代密码学强调计算量,强调破解一段密码需要非常大的计算量,需要计算很久的时间才能破解。


    接下来介绍一下密码学的用途。密码学可以证明通信对方确实是目标用户而不是黑客,可以确认消息没有被篡改或偷听。设计安全的加密方法是非常困难的,因为一不小心就会出现缺陷导致密文被破解。好的加密算法需要经得起数学证明。


    大部分的网络协议都是在互联网还没普及的时候发明的。当时的互联网很小,也不需要考虑安全性,所以目前很多网络协议都是有安全问题的。但是如今互联网普及了,很多安全性需要得到保证。


    接下来几节将会讲到威胁模型、消息保密、信息验证、无线安全、Web安全、DNS安全、VPN、防火墙、DDOS。


    消息保密


    本节主要讲的是通过加密技术来保证信息不被泄漏。加密方法主要分为对称加密和公钥加密。


    加密的目标就是要保证信息不被泄漏。因为网络在传输的过程中信息可能会被窃听。


    加密解密模型就是发送放将消息进行加密,再通过网络传输,对方接收到之后将消息进行解密,得到明文。这样,消息即使在传输的过程中被黑客窃听,他也无法得到消息的明文。这种模式下,需要保证密文是可以解密的;需要假设黑扩知道加密算法,因为安全性并不是依赖于加密算法,而是通过密钥来保证安全性。有两种常见的加密方法,有对称加密和公钥加密。对称加密比较常见的有AES,这种算法双方都有相同的密钥。公钥加密比较常见的有RSA,这种算法需要双方各有一套公钥密钥对。它基于数学上的大数不可分解性。


    接下来介绍一下对称加密的通信过程。首先发送方将消息通过密钥进行加密,再通过网络传输给对方。对方接收到消息后使用相同的密钥将消息进行解密。这样就得到了明文内容。


    下面介绍一下公钥加密的通信过程。首先发送方有对方公钥,接收方有自己的私钥。公钥是公开的,即使黑客知道了也不会造成安全隐患。发送方使用公钥将消息进行加密,再通过网络传输到对方。对方接收到消息后,使用自己的私钥进行解密得到明文内容。由于世界上只有他知道密钥,所以世界上能解密的人也只有他一个。


    密钥和公钥如何通过网络传输呢?实际应用中,我们经常需要和一些从未接触过的主机进行通信,这种情况下密钥和公钥的传输是一个很大的问题。对称加密需要将密钥通过网络传输,这就有可能造成密钥的泄漏。公钥加密系统可以将公钥告诉对方,但是公钥在网络传输的过程中也有可能会被黑客篡改。所以需要引入富有公信力的第三方来保证公钥的安全。这就是证书的概念。关于证书在后续的章节中还会详细分析。


    下面对比一下对称加密和公钥加密。对称加密的密钥很难通过网络进行传输,而公钥加密系统可以将公钥通过网络传输而不会造成安全问题。对称加密的计算速度相对来说是比较快的,而公钥加密系统的计算性能是比较慢的,而且只能将很小的一段数据进行加密。这两种加密算法各有优缺点,所以如果将这两种加密方法组合在一起,就能得到更强大的加密系统。


    组合加密的通信过程是这样的。发送方使用公钥加密系统将对称加密的密钥进行加密后传输给对方,对方使用自己的私钥得到对称加密的密钥。这样,双方就可以通过对称加密进行通信了。这里对称加密的密钥称之为会话密钥,它只是临时生成的一段密钥,仅用于短期通信。


    消息验证


    本节主要介绍消息的验证方法,通过加密信息来确保对方是发送者而不是黑客,确保消息没有被中途篡改。


    为什么已经将信息加密了,信息还会被篡改呢?因为黑客可以将密文进行修改,这样接收方解密之后得到的明文是乱码。黑客还可以将密文的顺序颠倒。如果软件设计不严格就会造成安全问题。


    MAC消息验证码是一小段代码,用于验证消息的正确性。过程是,首先发送方在数据的末尾添加MAC信息,经过加密后发送给对方。对方接收数据,解密,再通过MAC验证消息是否正确。实际应用中常用的MAC是HMAC(Hash MAC)算法。


    另外一种验证消息的方法是通过数字签名。数字签名类似MAC,只是数字签名使用了类似公钥加密的机制。实际应用中常见的数字签名有RSA数字签名。发送方使用私钥将数据进行签名,接收方可以使用公钥验证消息是否准确。


    实际应用中,如果将整个消息进行签名,那需要很大的计算两。所以为了加速签名的计算过程,实际应用中往往会先计算消息的摘要,再对摘要进行签名。接收方先计算消息的摘要,再对摘要进行验证。


    消息摘要是一种安全的哈希函数。这种函数将输入转换成看起来随机的输出,无法在短时间内找到哈希碰撞,而且输出的哈希代码都是固定长度的。固定长度非常有用,它能简化很多算法。


    另外一个问题是,黑客可以将窃听到的消息重新发送一遍。接收方可以正常解密数据,而且数字签名也是正确的。为了防止这个问题,我们需要在消息中加入特殊的消息来保证消息不是重复发送的。一般可以在消息中加入时间戳或者序号。


    密码学的设计可以保证信息是正确的,可以保证信息确实来自对方,可以保证信息不是被黑客重复发送的,可以保证信息不被窃听。实际应用中的各种协议将各种加密技术混合在一起,每种协议都有不同的混合方法。混合方法不当就会导致缺陷。


    无线安全


    本节主要的话题是无线网络中的安全问题,主要讨论802.11。


    无线网络和有线网络的区别在于,无线网络的通信都是广播的,附近所有的设备都能接收到信号。这就导致了很多安全问题。黑客可以劫持用户的网络通信,并且可以越过权限访问网络。就802.11而言,黑客可以通过无线网络接收或者发送数据。


    802.11的安全性是基于密码的。1999年使用WEP来确保安全性,但是后来发现WEP有严重缺陷,非常容易破解。2004年有了WPA/802.11i。目前使用WPA2来保证无线安全。安全性是802.11协议的一部分。它将IP层进行加密,然后通过物理层进行传输。因此,802.11只能保证IP层是安全的,IP层以下的网络层就无法保证安全了。


    在家庭无线网络中,通常设置AP的密码。每个设备都需要知道密码,每个设备都需要证明它知道密码。设备连接无线时,需要经过验证程序。AP和设备各自根据密码生成一段会话密钥。如果设备的会话密钥和AP的会话密钥一直,则说明设备的WiFi密码是正确的。当通信时,设备和AP在发送数据时都需要对数据进行加密。


    下面介绍一下WiFi建立连接的过程。首先是AP向客户端发送一个随机序号。客户端根据MAC地址、序号、密码生成会话密钥,并将序号和MIC-S发送给AP。AP根据客户端的MAC地址、序号、密码生成KeyS,如果没有错误的话,AP生成的KeyS和客户端生成的KeyS应该是一样的。AP使用KeyS将对称密钥KeyG进行加密,并将加密结果和MIC-S发送给客户端。客户端使用KeyS将确认信息ACK进行加密,并将加密结果和MIC-S发送给AP。


    企业的无线网络更加复杂。它需要一台专门的验证服务器。每个客户端都有不同的身份凭证。具体的工作原理由于太复杂,这门课程中就不再详细展开了。


    Web安全


    本节主要讲的是如何保证Web的安全。主要介绍了SSL、TLS、HTTPS和证书机制。


    在Web中,有很多安全问题值得注意。客户端可能会遇到恶意的网页内容,钓鱼网站可能会欺骗用户,服务器和客户端之间可能会被黑客介入,从而导致数据泄漏。为了解决安全问题,有人发明了HTTPS。它能防止客户端和服务端之间被黑客介入,能防止假冒的网站。


    HTTPS只是HTTP的扩展,它只是让普通的HTTP运行于SSL/TLS之上,而不是TCP之上。SSL最初由Netscape发明。1995年发明了SSL2,但是有缺陷。1996年,修复了SSL2中的缺陷,成为SSL3。TLS是一种开放的安全协议,在1999年的时候出现TLS 1.0,2006年1.1,2008年1.2。SSL/TLS可以用在任何应用中,不一定只能使用HTTP。


    SSL的作用就是保证客户端和服务端之间没有任何中介,保证消息的传输是私密的、正确的、经过验证的、新鲜的。SSL由验证阶段和传输阶段组成。


    SSL/TLS的验证过程是重点要介绍的。客户端必须能够安全地连接到服务器,而且这个服务器是从未连接过的,客户端不知道服务器的公钥。SSL/TLS的验证过程主要是通过公钥进行验证的,但是客户端如何获取服务器的公钥呢?答案是通过证书来获取。


    证书就是将SSL/TLS的公钥和网站的信息绑定在一起。证书的格式称之为X.509。证书是PKI公钥基础设施的一部分。公钥基础设施见下图。它是一种分层结构的系统,上级能够验证下级。最高的一级是公钥根,它能验证RA的合法性,RA能验证CA的合法性,CA能验证证书的合法性。证书在整个系统中是最底层的。浏览器或者操作系统都会内置很多Root公钥(100多个)。在实际应用中,公钥可能会被篡改,证书也有可能会过期。所以PKI就需要一种机制让过期的证书得到更新。




    SSL3的验证过程如下:

    • 协商加密算法、发送证书

    • 客户端得到证书之后,再联系CA来验证证书的正确性。验证通过后得到服务器的公钥

    • 客户端使用服务器的公钥将一段随机数和会话密钥进行加密,加密后发送给服务器

    • 服务器收到密文后,使用私钥进行解密,得到随机数和会话密钥,并将随机数发送给客户端

    • 客户端检查随机数是否正确。如果正确的话,就表明对方的身份是正确的,可以安全通信

    • 随后的通信都使用会话密钥将数据加密后通信


    总结一下,SSL/TLS用于安全通信,实际应用中广泛被采用。客户端通过PKI和证书来验证服务器的身份。


    DNS安全


    本节主要介绍如何通过DNSSEC实现DNS安全。


    域名是网络服务的关键。DNS将域名映射到IP地址,如果映射到错误的IP地址上,就会发生灾难性的安全问题。DNS安全的目标就是保证DNS是正确的。DNS在网络传输的过程中可能会被篡改。


    DNS欺骗就是黑客代替DNS服务器作出应答,然后将错误的解析地址返回给客户端。有时候客户端是下游的DNS服务器,如果下游的DNS服务器被污染,那么很多计算机都会遭受污染,影响范围很大。DNS欺骗有很多难点,黑客怎么知道DNS请求什么时候发送?域名是什么?黑客要怎样回应DNS,使得它看起来像真的一样?当真的DNS服务器作出回应后会发生什么?下面对这几个问题进行解答。


    黑客怎么知道主机什么时候发送DNS请求?请求的域名是什么?其实黑客可以自己发送DNS请求,然后自己作出应答。这样就能污染服务器的缓存,让用户受害。 


    黑客如何回应DNS请求,使得它看起来像真的一样?DNS回应时会检测来源IP和请求ID。黑客可以将自己的IP修改成正规IP,通过暴力破解DNS请求ID。客户端发送DNS请求之后,黑客抢先于真服务器作出应答。通过这几个方法,黑客就有很大的可能性成功。


    真服务器返回DNS应答之后会发生什么?会被忽略掉。因为假冒的DNS应答已经被计算机接受了,所以真服务器即使返回了正确的应答,也会被忽略掉。


    DNSSEC就是DNS安全扩展的简称。它在DNS中加入了新的记录类型:RRSIG  DNSKEY  DS。目前DNSSEC还在普及中,需要升级世界上所有的客户端和服务器。RRSIG记录中保存了域名记录的数字签名。DNSKEY记录中保存了RRSIG的公钥。DS保存了委托域名的公钥。NSEC/NSEC3记录用于验证拒绝存在的域名。


    DNSSEC的实现原理是怎样的呢?首先客户端发送常规的DNS请求,服务端作出了普通的回应。客户端需要做的就是验证服务器的回应没有被篡改过。验证的原理和SSL证书类似,也是通过公钥签名算法,也是分层结构的,高层服务器验证下一级的服务器是正常的,以此循环。


    DNSSEC还有其他一些特性。NSEC/NSEC3记录用来证明某个域名的记录不存在。DNSSEC可以选择将请求和应答绑定在一起防止DNS欺骗。DNSSEC还在DNS头部中加入了一些标志,用于今后的部署。


    总结一下,DNS由于没有安全措施,在现实生活中很容易实现DNS欺骗。DNSSEC通过公钥分层结构来验证DNS回应,防止DNS欺骗。


    防火墙


    防火墙禁用了某些IP,让某些IP只能单向通信。防火墙让内网的机器能够连接到外网,但是外网的机器不能连接到内网。


    在前几章中讲到了中间件的概念,处于和路由器相同的位置,但是比路由器的功能更多。防火墙就是中间件的一种。


    防火墙分为两个部分内部和外部。当有数据包试图通过防火墙时,防火墙会根据规则来判断是否允许它通过。如果允许,那就不改变数据包的任何数据,让数据包通过;如果拒绝,那就默默地丢包。


    防火墙最关键的问题在于如何设置过滤规则。策略配置是一种高级配置,因为和数据包的应用、内容有关,而数据包过滤是一种低级的配置。它仅仅限制了网络能够访问的范围。防火墙分为有状态和无状态。无状态防火墙是最简单的防火墙,它只会根据IP、端口规则来过滤数据包,无法根据数据包的内容进行过滤。有状态防火墙比无状态防火墙稍微好一些,它能够根据数据包的前后关系来过滤数据包。比如NAT在连接之后才允许外部的TCP数据包通过防火墙。应用层防火墙比有状态防火墙更好一些。它会根据应用的使用、数据包的内容来过滤数据包。比如有些数据包中含有病毒,这种防火墙就不会允许它通过。数据包通过这种防火墙时,为了分析数据包内容,数据包会被防火墙拆解。


    传统的防火墙在部署的时候会放在内网和DMZ之间,这样才能很好地保护内网。防火墙还有很多其他的部署方式,比如AP之间也会有防火墙、操作系统也会自带防火墙。


    VPN虚拟私有网络


    本节的主要话题是使用VPN在互联网的基础上建立局域网。VPN使用IPSEC来保护消息。


    在互联网中最好的位置就是你能够给所有的计算机发送数据,最差的位置就是所有的计算机都能够给你发送数据。现实生活中经常有一种需求就是将私有网络和互联网隔开,许多公司就有这种需求。为了建立私有的网络,可以铺设一条专线,但是成本太昂贵了。另外一种办法就是在互联网的基础上铺设虚拟的专线,使得私有网络在逻辑上和互联网是隔开的。


    VPN最初的目的是希望私有网络和互联网隔离,最大的隐患在于黑客可能窃听数据包,甚至可能修改数据包。


    那么如何在互联网的基础上建立虚拟连接呢?用隧道技术。私有网络中的各个主机可以正常地相互通信,当网络需要通过虚拟连接时,VPN终端会将数据包进行封装,然后通过IP协议将数据包发送到远端,再进行拆封。封装的时候针对的是IP层,先将IP层进行加密,再将加密后数据通过IP层进行传输。这样的话就相当于在IP层之外再包了一层IP层。封装之后的数据包形式如下图。外层IP用于连接VPN隧道的两端。内层IP用于连接私有网络中的两台主机。但是单独的隧道技术无法保证安全性,因为黑客可以修改数据包、窃听数据包中的内容,所以需要使用IPSEC协议来保证VPN隧道的安全。




    IPSEC是IP层的安全协议。它能够保证通信的私密性、正确性。IPSEC的操作步骤是先配置连接,通信的过程变成类似TCP的通信机制,最后在IP包的头部和尾部分别增加验证信息。下图展示了一个典型的IPSEC数据包。尾部的Authentication其本质是ESP尾。




    总结一下,VPN可以在互联网上建立一个私有网络,在私有网络中通信时,需要将数据包进行封装。VPN在传输的过程中需要IPSEC来保证通信安全。


    DDOS分布式拒绝服务攻击


    本节主要话题是分布式拒绝服务攻击。这种攻击的目的是让网络服务不可用,到目前为止还没有找到高效的对付方法。


    网络中最好的位置是你能够向所有的计算机发送数据,最差的位置是所有的计算机都能向你发送数据。当有很多数据包涌向服务器时,服务器就有可能无法正常提供服务。这就是DOS攻击的一种形式之一。


    黑客将大量的数据涌向服务器,超出了服务器能够处理的能力范围。


    现阶段,DDOS攻击是互联网上一个比较验证的问题。AKAMAI 2012Q3报告指出,美国银行的DDOS攻击流量峰值达到65Gbps。每秒65G的流量!这么大的流量是任何设备都无法处理。所以目前DDOS没有一种完美的解决办法,只能通过CDN、网络数据包过滤来起到一点帮助。


    DOS攻击的目的就是让目标系统无法给正常用户提供服务。通常情况下,黑客占用了所有的系统资源,让正常的用户无法得到服务。在网络中,系统通常指的是服务器,资源指的是网络带宽、CPU、内存等。


    有时候黑客只需要一台机器就能完成DOS攻击。他可以发送少量奇怪的数据包就能让主机消耗所有资源。比如死亡之Ping、SYN洪水攻击等。为了防止SYN洪水攻击,有人发明了SYN Cookie。


    有时候黑客需要通过许多机器来发动攻击。这种攻击方式称之为DDOS。目的是让网络线路达到饱和状态,造成网络高度阻塞、大量丢包,使得正常用户无法访问服务器。通常,黑客会通过僵尸网络发动DDOS攻击。攻击进行时,攻击目标附近的网络会达到饱和状态,使得正常用户无法访问服务。


    身份伪造也是另外一个安全问题。黑客可以修改自己的IP地址,将伪造的IP地址放在数据包的来源地址字段。传统的互联网不会检查来源地址,而是将数据包传递给对方。这种方式称之为IP地址欺骗。通过这种方式可以隐藏黑客的地理位置。黑客还可以通过这种方式来冒充他人的身份。这样会造成很大的安全隐患。


    解决IP地址欺骗最好的办法就是在数据包通过路由器的时候验证IP地址的正确性。这是一种很好的解决办法,但是目前普及的速度依然非常缓慢。


    防御DOS攻击有多种方法。可以增加服务器周围的网络带宽,防止丢包发生,可以使用CDN来保持高度的网络容量。可以过滤攻击流量,越早过滤防御效果越好。目前ISP会统计数据流量,将可疑的攻击流量进行过滤。

    展开全文
  • 计算机网络安全导论笔记(1)1.1.1基本概念 一、基本概念 1.安全相对性 安全程度总是相对于管理员要求的,而管理员的要求随系统任务和环境变化而变化。 资源拥有者需要评估系统的威胁,采取措施消除设计,开发,管理...

    计算机网络安全导论笔记(1)1.1.1基本概念

    一、基本概念
    1.安全相对性
    安全程度总是相对于管理员要求的,而管理员的要求随系统任务和环境变化而变化。

    资源拥有者需要评估系统的威胁,采取措施消除设计,开发,管理,使用中的漏洞,降低 风险;而攻击者往往利用这些漏洞威胁系统安全,试图滥用或破坏资源。无论是攻击还是防御都是一个动态的过程, 没有一劳永逸的攻击和防御,系统环境,安全目标,系统威胁都可以随时间改变而改变。
    //这里说的威胁指各种可能的攻击源;风险指对系统安全和资源造成的损失。 概念来自吴翰清《白帽子讲web安全》。

    2.系统脆弱性
    计算机与国防,金融,社会生活的方方面面都有紧密联系,人们越来越依赖计算机提供的便捷服务,大量的个人隐私信息(电话号码、住址、家庭成员等)都保存在电脑手机或第三方数据库中(中通快递数据库,淘宝,补习班等),因此计算机处理或存储仅供授权人或单位访问时,必须做好安全工作,需要研究可能导致安全问题的薄弱环节。

    到目前为止,已有的系统还是不完善的(支付宝也不能做到百分百安全),还存在许多安全隐患。例如:
    (1)磁盘损坏造成数据丢失。
    (2)数据传输过程中的电磁辐射泄漏,传输信道可以被窃听//传输信道是一段高频电磁波,在改信道内的电磁波有被破解的可能。
    (3)存储媒体,像硬盘内存,许多删除操作都会把垃圾预留在媒体内部,做不到完全清除,非法来访者就可能翻出预留的数据 //预留操作如Undelete、内存dump。
    (4)被不可靠来访者拷贝;本地网络访问控制可能存在漏洞,使数据被非法访问。
    (5)信息具有聚生性(???),细碎的信息价值不大,很多细碎信息拼错起来就有价值。所以精通社会工程学的黑客就会混入公司内部翻垃圾桶,想方设法获取细碎信息…
    (6)安全问题追踪定罪上讲,只有风险可以做判断依据,所采用的技术手段之残忍无法引起法官和公众共鸣。而且能不能追踪到攻击者还是个大问题。

    3系统安全的主要威胁
    1系统无意产生的威胁,例如硬件故障,设备机能失常。
    2操作人员失误操作。
    3软件缺陷引起的软件故障并波及操作系统。
    4自然灾害威胁。
    5人为攻击。
    (1)被动攻击:攻击者按情报机构要求获取敌方数据,获取商业机密。
    (2)主动攻击:对数据篡改,非法利用,攫取利益。

    展开全文
  • 网络安全传输(读书笔记

    千次阅读 2014-01-06 09:56:25
    来确认用户访问的是安全的服务器。从一个需要验证的服务器请求资源,过程如下:  当服务器收到请求,响应发出HTTP 状态码401,报头: WWW-Authenticate , NSURLConnection接收到后,告知APP调用 ...

    服务器验证

        
        通过创建NSURLProtectionSpace,来确认用户访问的是安全的服务器。从一个需要验证的服务器请求资源,过程如下:

        当服务器收到请求,响应发出HTTP状态码401,报头:WWW-AuthenticateNSURLConnection接收到后,告知APP调用willSendRequestForAuthenticationChallenge:;验证服务器工作就在这个函数中完成。
    实现委托:
     - (void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge
    通过验证全部或部分属性,保证APP只连接指定服务器。

    1.验证服务器全部属性

      创建信任的服务器的protection space:
    NSURLProtectionSpace *defaultSpace = [[NSURLProtectionSpace alloc] initWithHost:@"yourbankingdomain.com"
                                                                               port:443
                                                                           protocol:NSURLProtectionSpaceHTTPS
                                                                              realm:@"mobile"
                                                               authenticationMethod:NSURLAuthenticationMethodDefault];

        然后验证challenge.protectionSpace是否是这个信任的服务器的protection space。

    2.验证部分指定的服务器属性

      获取challenge.protectionSpace的各个属性,如: challenge.protectionSpace.host,challenge.protectionSpace.port,
    challenge.protectionSpace.protocol等。依次检查各个属性是否是指定值,即可。

    每一个网络连接操作都是NSOperation,在后台线程执行,所以,如果这些过程中需要更新UI,需要特别注意要在主线程中完成。服务器验证很重要,但其本身不足以防范所有攻击。例如,它不能防止网络通信被偷听。


    HTTP认证

    两种认证方式:标准和加速。

    1.标准认证模式--用户名/密码

    标准认证模式有:
    • HTTP Basic Authentication(基本认证)
    • HTTP Digest Authentication(摘要认证)
    • NTLM Authentication (NTLM认证
        // HTTPBasic
        if (challenge.protectionSpace.authenticationMethod == NSURLAuthenticationMethodHTTPBasic) {
            // 验证
            if (challenge.previousFailureCount == 0) {
                NSURLCredential *creds = [[NSURLCredential alloc] initWithUser:username
                                                                      password:password 
                                                                   persistence:NSURLCredentialPersistenceForSession];
                [challenge.sender useCredential:creds forAuthenticationChallenge:challenge];
            // 之前验证失败
            } else {
                [[challenge sender] cancelAuthenticationChallenge:challenge];
            }
        }

    2.客户端证书认证


    (这一章就是个坑啊……我这种没恒心的人先跳过好了)


    哈希(HASH)和加密(ENCRYPTION)保证数据完整性

        APP必须保证数据在传输过程中是安全的、不会被修改,利用哈希和加密算法可以保护数据。
    1.哈希
        iOS CommonCrypto中包括常用的MD5、SHA-1、SHA-256和一些不常用的哈希算法。以MD5为例:
        NSString *str = @"test string";//原字符串
        const char *ptr = [str UTF8String];
        unsigned char buffer[CC_MD5_DIGEST_LENGTH];
        CC_MD5(ptr, strlen(ptr), buffer);
        NSMutableString *hashString = [NSMutableString stringWithCapacity:CC_MD5_DIGEST_LENGTH * 2];//经过哈希算法后的字符串
        for(int i = 0; i < CC_MD5_DIGEST_LENGTH; i++) {
            [hashString appendFormat:@"%02x",buffer[i]];
        }
          哈希算法的结果长度一定,且不可逆,无法根据结果推断原文。
        哈希算法用于检测数据完整性时,将数据及数据经过哈希算法计算出的值一起明文发送给服务器,服务器接收到后对数据进行哈希计算,将得到的值与接收到的哈希值比较,如果不等则认为数据不完整。
        哈希算法可以应用于验证登录,用户注册时,将密码应用哈希算法计算出一个杂乱无章的值存储在数据库,每一次登录时,输入密码,然后将密码利用哈希算法计算出哈希值,与存储在数据库中的密码哈希值进行比较,相等,则登录成功。
    2.加密
          加密算法的结果长度随原文长度变化,可以,可以根据结果推断出原文。
        加密发送的数据不是明文的,下图是数据传输过程中加密和解密的步骤示意图。可以看到,
    加密过程中,
    1. 生成iv(初始向量)。
    2. 利用iv和加密key对数据进行加密。
    3. 根据HMAC key生成MAC,将加密后的数据、iv及MAC组成request body发送至服务器。
    解密过程中,
    1. 根据共享的加密key、iv,解密数据。
    2. 利用共享的HMAC key和解密后的数据生成服务器端MAC。
    3. 比较两个MAC值是否相等,如果否,则认为数据不安全。
    发送和接受方共有加密和解密过程中重要的值如MAC算法、E-KEY、HMAC-KEY等。


    MAC(Message Authentication Codes)

        MAC用于检测数据是否被修改。计算MAC算法类似哈希算法,但是MAC是成对的,更安全。APP会计算一个MAC随请求一起发送,服务器也会计算一个MAC,两个MAC比较,如果不一致,则数据被修改了。iOS和大多数服务器支持HMAC(Hash-Based Message Authentication Code),它的强度取决于密钥和哈希算法强度。
        const char *ptr = [@"test string" UTF8String];
        const char *keyPtr = [kMACKey UTF8String];
        unsigned char buffer[CC_SHA256_DIGEST_LENGTH];
        
        // 计算哈希值
        CCHmac(kCCHmacAlgSHA256,            // 算法
               keyPtr, kCCKeySizeAES256,    // key 和 key的长度
               ptr, strlen( ptr ),          // 原字符串 和 原字符串长度
               buffer);                     // 哈希值,哈希值长度等于所采用的哈希算法摘要长度
        NSMutableString *output = [NSMutableString stringWithCapacity:CC_SHA256_DIGEST_LENGTH * 2];
        for(int i = 0; i < CC_SHA256_DIGEST_LENGTH; i++) {
            [output appendFormat:@"%02x",buffer[i]];
        }
    MAC和上面HASH算法的区别在于多了一个key,从图6-2可以看出E-key和M-key并没有随着请求一起发送,而是在APP和服务器端被共享的,它对于保护数据不被攻击至关重要。

    加密与解密算法

          已经生成了MAC,就可以对数据进行加密,然后将其发送至服务器。这里主要讨论两种加密方式:高级加密标准(Advanced Encryption Standard,AES)和数据加密标准(Data Encryption Standard,DES)。DES占用资源较大,不适合手机设备,而AES从速度、强度和资源占用方面更适合手机设备。Objective-C中,CommonCryptor库中CCCrypt函数,可以实现加密和解密操作。
    以AES为例,加密过程,首先需要生成iv,这里利用SecRandomCopyBytes函数,创建一组随机字节。加密代码如下:
        NSMutableData *iv = [NSMutableData dataWithLength:kCCBlockSizeAES128];
        SecRandomCopyBytes(kSecRandomDefault,kCCBlockSizeAES128,iv.mutableBytes);
        NSString *str = @"test string";
        NSData *data = [str dataUsingEncoding:NSUTF8StringEncoding];
        NSData *keyData = [kAESEncryptionKey dataUsingEncoding:NSUTF8StringEncoding];
        size_t dataMoved;
        NSMutableData *encryptedData = [NSMutableData dataWithLength:data.length + kCCBlockSizeAES128];
        CCCryptorStatus status = CCCrypt(kCCEncrypt,                    // 加密
                                         kCCAlgorithmAES128,            // 加密标准
                                         kCCOptionPKCS7Padding,
                                         keyData.bytes,
                                         keyData.length,
                                         iv.bytes,
                                         data.bytes,
                                         data.length,
                                         encryptedData.mutableBytes,
                                         encryptedData.length,
                                         &dataMoved);
        
        if (status == kCCSuccess) {
            encryptedData.length = dataMoved;
        }
        NSString *encryptedString = [encryptedData base64Encoding];
    解密算法与加密类似,唯一区别在于,CCCrypt函数第一个参数指定为解密操作。
    NSMutableData *decryptedData = [NSMutableData dataWithLength:encryptedData.length + kCCBlockSizeAES128];
        CCCryptorStatus result = CCCrypt(kCCDecrypt,                    // kCCEncrypt or kCCDecrypt
                                         kCCAlgorithmAES128,
                                         kCCOptionPKCS7Padding,         // Padding option for CBC Mode
                                         keyData.bytes,
                                         keyData.length,
                                         iv.bytes,
                                         encryptedData.bytes,
                                         encryptedData.length,
                                         decryptedData.mutableBytes,    // encrypted data out
                                         decryptedData.length,
                                         &dataMoved);                   // total data moved
        if (result == kCCSuccess) {
            decryptedData.length = dataMoved;
        }
        NSString *decryptedString = [[NSString alloc] initWithData:decryptedData encoding:NSUTF8StringEncoding];
        NSLog(@"%@",decryptedString);

    展开全文
  • 3 防火墙是隔离内外部网络的设备,有软件防火墙,有硬件防火墙(性能高,有售后,报价在1万到2万之间)。 4 对称密码和非对称密码? 5 数字水印? 6 VPN的原理? 7 HTTP状态码: 1XX,请求被接受 2XX,...
  • 网络安全态势感知》读书笔记

    千次阅读 2020-03-19 15:41:36
    文章目录Ⅰ 基础知识1 开启网络安全态势感知的旅程2 大数据平台和技术2.1 大数据基础2.1.1 大数据关键技术2.1.2 大数据计算模式2.2 大数据主流平台框架2.2.1 Hadoop2.2.2 Spark2.2.3 Storm2.3 网络安全态势感知架构...
  • 软考网络工程师5天修炼读书笔记
  • 这是我听我的老师讲课时记录的笔记,未经过整理,我会在发出来之后进行编辑 这个
  • 网络安全的学习笔记

    千次阅读 2020-05-27 15:41:26
    网络改变我们的生活,它使我们交流沟通更加便捷,信息资源共享更加广泛,娱乐更加丰富,日常生活更加便捷,但是网络安全也存在很大威胁,每年发现的漏洞数量增加,黑客职业化等都给我们的生活带来一系列的困扰。...
  • (4)驱动程序木马(不上网的计算机也并非安全) 5,木马的检测与防范== (1)使用netstat -a (n) 检查是否有未知端口监听 ps:DOS中/?==--help==man命令 (2)检测注册表HLM  ...
  • 1. 网络安全问题概述 2. 两类密码体制 3. 数字签名 4. 鉴别 5. 密钥分配 6. 因特网使用的安全协议 7. 链路加密与端到端加密 8. 防火墙 网络安全问题概述 计算机网络通信面临四种威胁:截获、中断、篡改和...
  • 9.2 网络安全构成要素 9.2.1 防火墙 &nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;组织机构(域)内部的网络与互联网相连时,为了避免域内受到非法访问的威胁,往往会设置防火墙(使用NAT...
  • 软硬件实体的副作用和暗功能是不可避免地,他们如果被某种因素出发而影响实体服务功能的可信性,则称这些副作用和暗功能为“内生安全”(Endogenous Safety and Security, ESS)问题。 内生安全问题具有的技术...
  • :open_book: 读书笔记 :slightly_smiling_face: :upside-down_face: 买过很多书,也打印过很多电子版的书籍和资料,断断续续的读,杂乱无章。心血来潮,想自己整理一下,希望可以坚持下去,不断学习,不断提升自己。...
  • 网络信息安全学习笔记之概论

    千次阅读 2018-09-08 17:56:14
    OSI安全框架 该框架主要关注安全攻击,安全机制,和安全服务 安全攻击:任何危机系统安全的行为 安全机制:用来检测,阻止攻击或者从攻击状态恢复到正常状态的过程或实现该过程的设备 安全服务:加强数据处理...
  • 计算机网络读书笔记

    万次阅读 多人点赞 2016-05-23 20:29:25
    七层协议:应用层、表示层、会话层、运输层、网络层、数据链路层、物理层。
  • 网络入侵检测 传统 NIDS 绿盟 IDS 体系架构 绿盟 IPS 体系架构 IDS/IPS 部署示意图 大型全流量 NIDS 由于 NIDS 采用的是基于攻击特征的签名库,只要加载的攻击特征一多,系统负载会马上飙升,远到不...
  • 读书笔记】:网络安全复习

    千次阅读 2015-11-28 20:40:03
    smurf:使用被攻击者的IP向广播地址发送ICMP包,使的所有广播地址的所有主机产生应答包,使的被攻击主机无法响应而使的被攻击网络瘫痪缓冲区溢出: 通过往程序的缓冲区写超过其长度的内容,造成缓冲区的溢出,从而...
  • 2.二级指导保护级:比如市级信息系统,非核心业务系统都是此级别,此类系统需要备案,测评,等保建设以产品为主,有少量的安全服务,一般是两年检查一次。 3.三级监督保护级:比如省级信息系统,核心业务系统
  • 第11章 网站和网站群架构11.4 网络架构核心组成11.4.1 操作系统11.4.2 数据库 11.4 网络架构核心组成 11.4.1 操作系统 2.Linux服务器 1)Linux操作系统简介 Linux操作系统是基于UNIX操作系统发展而来的一种克隆系统 ...
  • 网络空间内生安全问题日益成为信息时代或者数字经济时代最为严峻的挑战之一 网络空间内生安全问题产生的本质原因: 设计缺陷无法彻底避免 经济全球化决定了信息系统软硬件后门不可能从根本上杜绝 ...
  • 因为本书作于2010年前,书中所使用的部分技术版本已经过于老旧,很多书中提到的攻击方法和绕过思路都已经严重落后,但之所以本书会成为安全界的经典必读书目,就是因为本书所讨论的安全思想尤为精华,对于企业来说的...
  • 走进安全网络世界的攻与防读书笔记 本书详细列举了企业安全的威胁和案列,安全设计安全防护的一些规范值得一看。 第一章:安全简历 一、诞生,从计算机到互联网 (一)计算机的发展历史: 1946年2月14日,世界上第...
  • 1 大题部分 1.1 ARP欺骗 1.1.1 首先说明透明网桥的概念 目前使用得最多的网桥是透明网桥(transparent bridge)。 “透明”是指局域网上的站点并不知道所发送的帧将经过哪几个网桥,因为网桥对各站来说是看不见的。...
  • 安全域划分 终端管理 补丁管理 微软自身解决方案中的 SCCM(WSUS/SMS 替代品,支持 Linux 和 OSX) 利用第三方终端管理软件中附带的补丁推送功能 组策略(GPO) 例如允许客户端运行软件的黑白名单,...
  • 计算机网络(第6版) 读书笔记 写在前面:本人产品经理岗位,从事与网络安全产品,大学学的计算机网络知识已大都还给老师,特此学习谢希仁老师编写的书。该书系统且全面地介绍了计算机网络方面知识。 因上传图片大小...
  • 1.1 计算机安全概念 定义(源于NIST):对于一个自动化的信息系统,采取保护措施确保信息系统资源(包括硬件、软件、固件、信息/数据和通信)的完整性、可用性和保密性【CIA三元组】。 ①保密性缺失的定义是信息的...
  • 1. 一种设计网络安全的犯罪方式:使用数字现金的形式支付赎金,警察不能像追踪转账支票一样来追踪数字现金。 数字现金就是电子现金,数字现金可以跨国界、脱离银行网络由个人或者商家发行,这样将严重侵害一个国家...
  • 第七章 网络安全网络安全概述 2 两类密码体制 3 数字签名 4 鉴别 5 密钥分配 6 互联网使用的安全协议 7 系统安全:防火墙与入侵检测 本章的重要内容是: 1、计算机网络面临的安全性威胁和...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 8,692
精华内容 3,476
关键字:

网络安全读书笔记