网络安全原理与应用（第三版）课件 第7章 网络攻击与防范.ppt

*第三种方法在所有方法中危害最大，因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器，而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码，尤其对那些弱口令（如123456、666666、hello、admin等），在极短的时间内就能够破解。Windows系统是sam文件*其背后的推动力包括易于获取的廉价计算能力、生成式人工智能算法（包括生成对抗网络(GAN)和自动编码器）以及用于转换人物图像（例如换脸）的移动应用程序激增。*(SecurityOrchestration,AutomationandResponse,安全编排自动化与响应)，在一个统一平台上协调、自动化和执行各种云安全任务通过零信任策略采用细粒度访问控制和多因素身份验证，确保只有经过授权的用户可以访问资源。*种子文件用户从银行获取的动态口令令牌卡，其内部存储着一份与银行服务器完全一致的种子文件（即图中钥匙所代表的seed），种子文件产生自一种衍变于AES-128的算法（AES-128也是目前顶尖级的对称加密技术）。令牌在硬件上可能存在某种设置，即当令牌卡被人为打开时，种子文件将从令牌卡的内存上擦除。算法动态口令令牌，不使用任何对称或者非对称加密的算法，而采用时间同步型动态口令算法，即TOTP(Time-BasedOne-TimePasswordAlgorithm)。采用TOTP算法，令牌卡对种子文件和当前时间（令牌卡内部有自己的时钟，不依赖电脑时区）进行运算，以源源不断地产生不同的动态口令，并显示到屏幕上，与此同时，银行服务器会进行同样操作。由此可见，时间同步型动态口令对令牌卡和服务器的时间同步要求很高，时间误差会造成整个令牌的失灵，所以每一次用户成功使用令牌认证，服务器都会做相应的时间误差矫正。具体过程如下：令牌卡根据当前时间计算口令并发送至服务器，服务器再根据当前时间前后的数个时间点分别计算口令，若其中某个口令匹配则认为认证成功，并记录误差值，此后服务器在口令认证时，直接在当前时间加上误差值以计算口令。*许多的TCP/IP程序都是可以通过网络启动的客户/服务器结构。服务器上运行着一个守护进程，当客户有请求到达服务器时，服务器就启动一个服务进程与其进行通信。为简化这一过程，每个应用服务程序（如WWW、FTP、Telnet等）被赋予一个唯一的地址，这个地址称为端口。端口号由16位的二进制数据表示，范围为0~65535。守护进程在一个端口上监听，等待客户请求*（1）服务器端Socket绑定于特定端口，服务器侦听Socket等待连接请求。（2）客户端向服务器和特定端口提交连接请求。（3）服务器接受连接，产生一个新的Socket，绑定到另一端口，由此Socket来处理和客户端的交互，服务器继续侦听原Socket来接受其他客户端的连接请求。（4）连接成功后客户端也产生一Socket，并通过它来与服务器端通信（注意：客户端Socket并不与特定端口绑定）。（5）接下来，服务器端和客户端就通过读取和写入各自的Socket来进行通信。*序列号：在建立连接时由内核生成的随机数作为其初始值，通过SYN报文传给接收端主机，每发送一次数据，就「累加」一次该「数据字节数」的大小。用来解决网络包乱序问题。确认号：指下一次「期望」收到的数据的序列号，发送端收到接收方发来的ACK确认报文以后，就可以认为在这个序号以前的数据都已经被正常接收。用来解决丢包的问题。控制位：用来标识TCP报文是什么类型的报文，比如是SYN报文、数据报文、ACK报文，FIN报文。等。*在时刻t1时，攻击主机Z冒用主机X把大批SYN请求发送给B使其TCP队列充满。在时刻t2时，受攻击目标B向主机X作出SYN/ACK应答。由于X为一不可达主机，所以B不会收到应答，此时B将继续发送SYN/ACK，直到达到系统设置的上限回复次数或时间，如WindowsNT4.0中默认的可重复发送SYN/ACK的次数为5。然后在t3时刻，B向X发送RST来表示出现错误的连接。*如果估计的序列号是准确的，进入的数据将被放置在接收缓冲器以供使用。●如果估计的序列号小于期待的数字，那么将被放弃。●如果估计序列号大于期待的数字且在滑动窗口（前面讲的缓冲）之内，该数据被认为是一个未来的数据，TCP模块将等待其他缺少的数据。如果估计序列号大于期待的数字且不在滑动窗口（前面讲的缓冲）之内，TCP将会放弃该数据并返回一个期望获得的数据序列号。*B主机仍然处在丧失处理能力的停顿状态，T1,Z使用B的IP地址向目标主机A发送连接请求。t2，目标主机对连接请求作出反应，发送SYN/ACK数据包给被信任主机B，由于B处