Network-Security外文学习材料.pptVIP

網路安全 林嘉軒 gslin@.tw 講義的位置 .tw/~gslin/Documents/Network-Security.ppt 網路安全是什麼？ 保障網路上傳輸資料的過程 在電影小說中… 密碼永遠都可以在幾秒內被破解 在網路上永遠都有軍事機密放在上面 可以透過網路控制核子武器 在現實生活中… 密碼其實並不會在幾秒內就被破解，難度最高的密碼系統通常都需要幾萬年的時間才能被破解 軍事機密不會放在一般的網路上 核子武器不會放在網路上讓大家玩 攻擊 直接破台：crack、特洛伊木馬 間接破台：攻擊 DNS、攻擊 Router 監聽：用 Sniffer 聽網路上的封包 DoS：Denied of Service DDoS：Distributed Denied of Service crack 的常見模式 暴力窮舉法 密碼的猜測：字典攻擊法 系統的安全漏洞 最近比較有名安全漏洞的是利用 IIS 的安全漏洞寫出的病毒：CodeRed、Nimda 特洛伊木馬 木馬屠城記 常常是透過信件夾檔、網芳、FTP 上傳區攻擊 執行程式以後，可能是將密碼檔寄出去到某個信箱，也可能是破壞系統 攻擊 DNS 透過 crack 的方法將 DNS Server 上所指到的 IP 換掉 攻擊 Router 將對外的 Router 打掛 監聽 (1) 利用 Sniffer 軟體聽網路上的封包，進而得到使用者的帳號及密碼 在 Hub 上，封包都是以廣播方式傳輸，所以監聽沒有技術上的問題 在 Switch 上，封包是以點對點傳輸，其他的網路孔不會聽到，所以必須透過其他的方式攻擊：Port Mirror 以及 ARP Spoof 監聽 (2) Port Mirror：在 Switch 上面直接設定，將某個網路孔的封包複製一份到另外一個孔 通常要有 Switch 的管理權限 監聽 (3) ARP：用廣播的方式，將網路卡卡號以及 IP Address 對應的協定 運作的方式： 監聽 (4) Port Mirror 和 ARP Spoof 的差別：Port Mirror 可以直接聽到所有封包，ARP Spoof 只能聽到 IP 層的封包 DoS 阻斷攻擊：資源消耗戰 將可服務的空間佔滿 TCP 的 SYN Flood Fragment Packet SYN Flood (1) TCP 連線的過程 SYN Flood (2) 使連線的佇列 (queue) 滿載 Fragment Packet (1) 通常網路上傳輸的封包大小都有限制 對於超過限制的封包，就必須拆散傳輸 利用大量的破碎封包使對方的暫存空間滿載 Fragment Packet (2) 假設最大的大小是 1KB 我要傳 4KB，要分成四份傳輸：A1、A2、A3、A4 我故意只傳輸 A3 過去，於是系統就要等待 A1、A2、A4 如此一來，我就可以塞爆對方的暫存空間 DDoS (1) 分散式阻斷攻擊 CodeRed 會攻擊白宮網站的 IP 但比較有名的是 2000 年二月 Yahoo 以及數個大型商業網站被攻擊，讓社會大眾開始重視網路上的安全問題 DDoS (2) 休息 休息十分鐘 :Q 事前的預防 利用密碼系統保護 利用「存取控制」保護 (防火牆) 備份重要的資料 最早出現的密碼系統 古羅馬時代的凱撒密碼 利用字母的平移來加密以及解密 編碼方法：(以平移三位當作範例)A→D，B→E，…，Y→B，Z→C 解碼方法：D→A，E→B，…，B→Y，C→Z 「HELLO」→「KHOOR」 如何破解凱撒密碼(1) 頻率解析法 母音的出現比率比較高，可以解析哪幾個被編碼過的字母可能是原來的母音 如何破解凱撒密碼(2) 暴力窮舉法 將每種可能的組合都排出，然後去看內容，於是就可以得出原始的內容 而字母平移只有 26-1=25 種組合 凱撒密碼的改進 為了要對抗頻率解析法與暴力窮舉法，有很多改進的方法可以使用 使用 N 個字母 (其中的 N1) 為一組編解碼單位 N=2 時，AA→CE，AB→CF，… 頻率解析法需要重新建立頻率資訊 暴力窮舉法需要 26*26-1=675 次 方法公開，鑰匙不公開 在密碼學的觀念中：方法公開，鑰匙不公開 編碼、解碼的方法公開給大家知道 而編碼、解碼所需要的鑰匙必須藏起來 在凱撒密碼中，方法就是「平移字母」 而鑰匙就是「平移的數量」 鑰匙，金鑰 在「電子簽章法」內，將鑰匙的正式名稱定義為「金鑰」 習慣上，我們有時會叫「鑰匙」，而有時也會叫「金鑰」，指的是一樣的東西 金鑰(1) 在凱撒密碼中，金鑰就是平移的數目 凱撒密碼中，金鑰的可能性有 26N-1 種 金鑰(2) 編解碼的方法公開，但金鑰必須保密 對於同一種密碼系統，金鑰的長度會決定密碼的強度 金鑰愈長，用暴力窮舉法運算的時間也愈久