网络攻击与防御ppt复习分析.ppt

* 网络入侵与防范讲义 * 对称密码和非对称密码（Cont.） 非对称密码，又称公开密钥密码算法 加密和解密使用不同的密钥（公钥Kp, 私钥Ks)，把公钥公开，私钥保密： c= EKp(m) , m=DKs (c) 常用算法：RSA, DSA, 背包算法，ElGamal , 椭圆曲线等 优点： 密钥分配：不必保持信道的保密性 密钥个数：n pair 可以用来签名和抗抵赖 缺点 加密速度慢，不便于硬件实现和大规模生产 * 网络入侵与防范讲义 * 单向哈希函数 什么是哈希函数呢？ 哈希函数H把一个值x（值x属于一个有很多个值的集合（或者是无穷多个值）），影射到另外一个值ｙ，ｙ属于一个有固定数量个值（少于前面集合）的集合。 哈希函数不是可逆函数——不同的输入值可能产生相同的输出。 一个哈希函数具有单向函数的性质——也就是说， 给定一个值x，很容易计算H（x） 但是，给定一个值y，很难找到一个值x，使得H（x）=y，这个哈希函数叫做单向哈希函数。 * 网络入侵与防范讲义 * 一次性口令认证 “一次性口令”是只能使用一次的口令，在这之后，这个口令马上失效。 使用一次性口令的思想是，动态产生无法预测的口令，而这个口令也只能用来访问系统一次。第二次使用这个口令时，会返回一个错误。 * 网络入侵与防范讲义 * X.509 认证框架 Certificate Authority 签发证书 Registry Authority 验证用户信息的真实性 Directory 用户信息、证书数据库 没有保密性要求 证书获取 从目录服务中得到 在通信过程中交换 Directory CA RA 用户 用户 注册 签发证书、证书回收列表 申请 签发 查询 身份认证 * 网络入侵与防范讲义 * 防火墙的分类 从使用的技术上划分，防火墙可以分为： 包过滤防火墙 静态包过滤防火墙 动态包过滤防火墙 代理服务器型防火墙 电路级网关 NAT防火墙 * 网络入侵与防范讲义 * 入侵检测系统概述 入侵检测系统的组成主要有采集模块、分析模块和管理模块。 采集模块主要用来搜集数据，供入侵检测系统进行分析； 分析模块完成对数据的解析，给出怀疑值或作出判断； 管理模块主要功能是作决策和响应。 为了更好地完成入侵检测系统的功能，系统一般还有数据预处理模块、通信模块、响应模块和数据存储模块等。 根据数据来源的不同，入侵检测系统常被分为基于网络的入侵检测系统和基于主机的入侵检测系统。 * 网络入侵与防范讲义 * 日志与审计 日志也叫log，日志文件中记录了用户对某个文件或服务访问和操作的细节，一些出错信息也将记录在日志当中。 对于文件系统而言，日志是在传统文件系统的基础上，加入文件系统更改的记录。它的设计思想是：跟踪记录文件系统的变化，并将变化内容记录入日志文件。 对于应用层服务而言，服务访问的结果将记录在一些log文件中，它们记录了什么时间、什么客户访问了什么文件、是否传送成功等信息。 * 网络入侵与防范讲义 * 蜜罐概述 蜜罐是一种在互联网上运行的计算机系统，它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人而设计的。蜜罐系统是一个包含漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标。 蜜罐的用途是拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间。 这样，最初的攻击目标得到了保护，真正有价值的内容没有受到侵犯。此外，蜜罐也可以为追踪者提供有用的线索，为起诉攻击者搜集有力的证据。 * 网络入侵与防范讲义 * 计算机取证的概念 计算机取证是指能对能够为法庭接受的、足够可靠和有说明力的、存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。 它能推动或促进犯罪事件的重构，或者帮助预见有害的未经授权的行为。 * 网络入侵与防范讲义 * 100 X 100 感谢！ * * * * * * * * * * * * * * * * * * * * * * * * * * * 研究 * * 由于网络中的主机系统，数据的收发是由网卡来完成的。网卡接收到传来的数据帧，其内嵌的处理程序会检查数据帧的目的MAC地址，并根据网卡驱动程序设置的接收模式来判断该不该进一步处理。如果应该处理，就接受该数据帧并产生中断信号通知CPU，否则就简单丢弃，因为整个过程是由网卡独立完成的，与主机上的操作系统是没有关系的。 如果共享式局域网中的一台主机的网卡被设置成混杂模式状态的话，那么，对于这台主机的网络接口而言，任何在这个局域网内传输的信息都是可以被听到的。主机的这种状态也就是监听模式，处于监听模式下的主机可以监听到统一个网段下的其他主机发送信息的数据包。共享式局域网的这种工作方式，我们举一个形象的例子，大房间就像是一个共享的信道，里面