第八讲网络安全协议.ppt

HTTP攻击 HTTP代理攻击：CC攻击 脚本语言，数据库架构的服务器 不断地“刷新”：查询等 量大，速度快 慢DOS攻击：slowhttptest工具 Slowloris： \r\n\r\n Slow HTTP POST： HTTP的头中声明content-length Slow Read attack：调整TCP协议中的滑动窗口大小 特点： 一组IP安全协议集 多种安全方案：认证、加密等 保障主机之间、安全网关之间或主机与安全网关之间的数据包安全 经过IPsec封装之后仍然是IP包，嵌套提供安全服务 具体做法： 在IP头之后，在要保护的数据之前，插入一个新头，亦即ESP头 受保护的数据可以是一个上层协议，或者是整个IP数据包。 最后，还要在最后追加一个ESP尾。 SA由2个参数唯一确定： SPI：安全变量索引，一个位串并且只有本地有效 SPI在AH和ESP报头中出现，以使得接收系统如何处理接收到的报文。 IPSec安全协议标识符（AH or ESP）、认证算法、加密算法和密钥等安全参数 2.6 IPSec实现 第一版IPsec协议在RFCs 2401-2409中定义 第二版标准文档发布，新的文档定义在RFC 4301和RFC 4309中。 文档提供了3种具体的实现方案： 与操作系统集成实施，把IPsec当作网络层的一部分来实现，这种方式需要访问IP 源码，利用IP 层的服务来构建IP 头。 作为一个楔子实现（Bump in the Stack），插入网络层和数据链路层之间，该方式无需访问IP的源码。 在一个设备中实现，可用于硬件加密。 注意 自由操作系统（Linux）：可以采用第一种方法，改造IP协议栈实现，需要实现安全策略库SPD、安全关联库SAD，AH、ESP、加密算法、认证算法、日志、统计、配置和审计以及面向应用的接口。 openswan IPv4：可选方案，第二种方法，通过建立一个虚拟接口处理IPSec的数据包 IPv6：强制实施的，只需要调用即可 SSL协议是在 Internet 基础上提供的一种保证私密性的安全协议 它能使客户/服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对客户进行认证 SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。 注意 SSL 协议要求建立在可靠的传输层协议 (例如TCP) 之上。 SSL 协议的优势在于它是与应用层协议独立无关的。高层的应用层协议能透明的建立于 SSL 协议之上 SSL 协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。 SSL解决的问题（功能） 客户对服务器的身份认证 SSL服务器允许客户的浏览器使用标准的公钥加密技术和一些可靠的认证中心（CA）的证书，来确认服务器的合法性。 服务器对客户的身份认证 也可通过公钥技术和证书进行认证，也可通过用户名，password来认证。 建立服务器与客户之间安全的数据通道 SSL要求客户与服务器之间的所有发送的数据都被发送端加密、接收端解密，同时还检查 数据的完整性 SSL提供的安全服务 用户和服务器的合法性认证 using X.509v3 digital certificates 传输数据的机密性 DES, Triple DES, IDEA, RC2, RC4, … 传输数据的完整性 MAC with MD5 or SHA-1 两个重要的概念 连接和会话的关系 连接是传输层中的概念 SSL会话联系客户端和服务器，由SSL握手协议建立，制定一系列加密的安全参数。这些安全参数可被连接多次使用。 连接是短暂的，对应一个会话，而一个会话可被多次连接使用。 记录头 1)?内容类型（8位）：封装的高层协议，对于SSL v3已经定义的内容类型是握手协议22、警告协议21、改变密码格式协议20和应用数据协议23。 2)?主要版本（8位）：使用的SSL主要版本。 3)?次要版本（8位）：使用的SSL次要版本。 SSL v3.0，主要版本为3，次要版本值为0。 4)?压缩长度（16位）：明文数据（如果选用压缩则是压缩数据）以字节为单位的长度。 当握手过程或数据加密过程等操作发生错误或异常情况时，报警或终止当前连接。 级别：警告的严重程度； 警报：描述警报信息的代码，如：握手失败、解压失败、意外消息、MAC记录出错等。 Handshake由一些客户与服务器交换的消息所构成，每一个消息都含有以下三个字段： 类型(Type)，1字节：表示消息的类型，总共有十种。 长度(Length)，3字节：消息的位组长度。 内容(Content)，≧1个字节：与此消息有关的参数 VPN（ virtua