IP欺骗的原理是什么?如何防范?
欺骗原理:
(1)信任关系(2)Rlogin(3)TCP 序列号预测(4)序列编号、确认和其它标志信息; 防范措施:(1)抛弃基于地址的信任策略(2)进行包过滤(3)使用加密方法(4)使用随机化的初始序列号
常见的DoS有哪些?如何防范?
DoS具有代表性的攻击手段包括Ping of Death、TearDrop、UDP flood 、SYN flood、Land Attack、IP Spoofing DoS等
1.软件弱点是包含在操作系统或应用程序中与安全相关的系统缺陷,这些缺陷大多是由于错误的程序编制,粗心的源代码审核,无心的副效应或一些不适当的绑定所造成的。由于使用的软件几乎完全依赖于开发商,所以对于由软件引起的漏洞只能依*打补丁,安装hot fixes和Service packs来弥补。当某个应用程序被发现有漏洞存在,开发商会立即发布一个更新的版本来修正这个漏洞。由于开发协议固有的缺陷导致的DoS攻击,可以通过简单的补丁来弥补系统
缺陷。
2.错误配置也会成为系统的安全隐患。这些错误配置通常发生在硬件装置,系统或者应用程序中,大多是由于一些没经验的,无责任员工或者错误的理论所导致的。如果对网络中的路由器,防火墙,交换机以及其他网络连接设备都进行正确的配置会减小这些错误发生的可能性。如果发现了这种漏洞应当请教专业的技术人员来修理这些问题。
3.重复请求导致过载的拒绝服务攻击。当对资源的重复请求大大超过资源的支付能力时就会造成拒绝服务攻击(例如,对已经满载的Web服务器进行过多的请求使其过载)。
要避免系统免受DoS攻击,从前两点来看,网络管理员要积极谨慎地维护系统,确保无安全隐患和漏洞;而针对第三点的恶意攻击方式则需要安装防火墙等安全设备过滤DoS攻击,同时强烈建议网络管理员应当定期查看安全设备的日志,及时发现对系统的安全威胁行为。
2.错误配置也会成为系统的安全隐患。这些错误配置通常发生在硬件装置,系统或者应用程序中,大多是由于一些没经验的,无责任员工或者错误的理论所导致的。如果对网络中的路由器,防火墙,交换机以及其他网络连接设备都进行正确的配置会减小这些错误发生的可能性。如果发现了这种漏洞应当请教专业的技术人员来修理这些问题。
3.重复请求导致过载的拒绝服务攻击。当对资源的重复请求大大超过资源的支付能力时就会造成拒绝服务攻击(例如,对已经满载的Web服务器进行过多的请求使其过载)。
要避免系统免受DoS攻击,从前两点来看,网络管理员要积极谨慎地维护系统,确保无安全隐患和漏洞;而针对第三点的恶意攻击方式则需要安装防火墙等安全设备过滤DoS攻击,同时强烈建议网络管理员应当定期查看安全设备的日志,及时发现对系统的安全威胁行为。
Kerberos(V4)协议有哪些缺陷?针对这些缺陷,Kerberos(V5)协议是如何改进的?
Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性。
1.不存在拒绝服务(Denial of service)攻击.Kerberos不能解决拒绝服务(Denial of
service)攻击,在该协议的很多环节中,攻击者都可以阻断正常的认证步骤.这类攻击只能
由管理员和用户来检测和解决.
(2)主体必须保证他们的私钥的安全.如果一个入侵者通过某种方法窃取了主体的私
钥,他就能冒充身份.
(3)Kerberos无法应付口令猜测(Password guessing)攻击.如果一个用户选择了弱口令,
那么攻击都就有可能成功地用口令字典破解掉,继而获得那些由源自于用户口令加密(由用
户口令形成的加密链)的所有消息.
(4)网络上每个主机的时钟必须是松散同步的(loosely synchronized).这种同步可以
减少应用服务器进行重放攻击检测时所记录的数据.松散程度可以以一个服务器为准进行配
置.时钟同步协议必须保证自身的安全,才能保证时钟在网上同步.
(5)主体的标识不能频繁地循环使用.由于访问控制的典型模式是使用访问控制列表
(ACLs)来对主体进行授权.如果一个旧的ACL还保存着已被删除主体的入口,那么攻击者
可以重新使用这些被删除的用户标识,就会获得旧ACL中所说明的访问权限.
service)攻击,在该协议的很多环节中,攻击者都可以阻断正常的认证步骤.这类攻击只能
由管理员和用户来检测和解决.
(2)主体必须保证他们的私钥的安全.如果一个入侵者通过某种方法窃取了主体的私
钥,他就能冒充身份.
(3)Kerberos无法应付口令猜测(Password guessing)攻击.如果一个用户选择了弱口令,
那么攻击都就有可能成功地用口令字典破解掉,继而获得那些由源自于用户口令加密(由用
户口令形成的加密链)的所有消息.
(4)网络上每个主机的时钟必须是松散同步的(loosely synchronized).这种同步可以
减少应用服务器进行重放攻击检测时所记录的数据.松散程度可以以一个服务器为准进行配
置.时钟同步协议必须保证自身的安全,才能保证时钟在网上同步.
(5)主体的标识不能频繁地循环使用.由于访问控制的典型模式是使用访问控制列表
(ACLs)来对主体进行授权.如果一个旧的ACL还保存着已被删除主体的入口,那么攻击者
可以重新使用这些被删除的用户标识,就会获得旧ACL中所说明的访问权限.
2.提出了利用公开密钥加密进行对称加密密钥分配的方法。该方法是在通信双方通过公开密
钥证书得到对方的公开密钥的基础上实现的。
基于ECC+AES的数据传输加密的Kerberos改进方案
在Kerberos认证协议中,全都采用公开密钥密码体制传送机密信息是不够安全的。在传送机密信息的Client/Server双方,如果使用某个对称密钥密码体制并同时使用不对称密钥密码体制传送对称密钥密码体制的密钥,就可以综合发挥两种密码体制的优点,即对称密钥密码体制的高速性、简便性和不对称密钥密码体制的密钥管理的方便性、安全性。
在Kerberos认证协议中,全都采用公开密钥密码体制传送机密信息是不够安全的。在传送机密信息的Client/Server双方,如果使用某个对称密钥密码体制并同时使用不对称密钥密码体制传送对称密钥密码体制的密钥,就可以综合发挥两种密码体制的优点,即对称密钥密码体制的高速性、简便性和不对称密钥密码体制的密钥管理的方便性、安全性。
什么是VPN?如何对VPN进行分类?
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,但是它并不需要真正的去铺设光缆之类的物理线路.
针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传
统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。
什么是包过滤防火墙?简述它的工作原理
包过滤防火墙也称分组过滤路由器,又叫网络层防火墙,因为它是工作在网络层。路由器便是一个网络层防火墙,因为包过滤是路由器的固有属性。它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过,有静态和动态两种过滤方式。 这种防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则(丢弃该包)。在制定数据包过滤规则时,一定要注意数据包是双向的。
试比较分组密码与序列密码的不同之处?
序列密码是一种对明文中的单个位(有时对字节)运算的算法。分组密码是把明文信息分割成块结构,逐块予以加密和解密。块的长度由算法设计者预先确定。
公开密钥体制的主要特点是什么?
公开密钥密码体制是使用具有两个密钥的编码解码算法,加密和解密的能力是分开的;这两个密钥一个保密,另一个公开。根据应用的需要,发送方可以使用接收方的公开密钥加密消息,或使用发送方的私有密钥签名消息,或两个都使用,以完成某种类型的密码编码解码功能。
什么叫入侵检测系统?入侵检测系统的工作原理是什么?入侵检测系统可以分为哪几类?
入侵检测系统(简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备. IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类。根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和滥用入侵检测。 根据检测对象的不同,入侵检测系统可分为主机型和网络型
具有N个节点的网络如果使用公开密钥密码算法,每个节点的密钥有多少?网络中的密钥共有多少?
每个节点的密钥是2个,网络中的密钥共有2N个
数字签名有什么作用?
当通信双方发生了下列情况时,数字签名技术必须能够解决引发的争端:否认,发送方不承认自己发送过某一报文。 伪造,接收方自己伪造一份报文,并声称它来自发送方。 tcp ip协议只能用于internet冒充,网络上的某个用户冒充另一个用户接收或发送报文。 篡改,接收方对收到的信息进行篡改。
请说明数字签名的主要流程?
(1) 采用散列算法对原始报文进行运算,得到一个固定长度的数字串,称为报文摘要(Message Digest),不同的报文所得到的报文摘要各异,但对相同的报文它的报文摘要却是惟一的。在数学上保证,只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符,这样就保证了报文的不可更改性。(2) 发送方用目己的私有密钥对摘要进行加密来形成数字签名。(3) 这个数字签名将作为报文的附件和报文一起发送给接收方。(4) 接收方首先对接收到的原始报文用同样的算法计算出新的报文摘要,再用发送方的公开密钥对报文
附件的数字签名进行解密,比较两个报文摘要,如果值相同,接收方就能确认该数字签名是发送方的,否则就认为收到的报文是伪造的或者中途被篡改。
什么是数字证书?现有的数字证书由谁颁发,遵循什么标准,有什么特点?
数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。认证中心(CA)作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循X.509 V3标准。X.509标准在编排公共密钥密码格式方面已被广为接受。X.509证书已应用于许多网络安全,其中包括IPSec(IP安全)、SSL、SET、S/MIME。
CA有哪些具体的职责?
验证并标识证书申请者的身份。 确保CA用于签名证书的非对称密钥的质量。 确保整个签证过程的安全性,确保签名私钥的安全性。证书材料信息(包括公钥证书序列号、CA标识等)的管理。确定并检查证书的有效期限。 确保证书主体标识的惟一性,防止重名。 发布并维护作废证书表(CRL)。对整个证书签发过程做日志记录。 向申请人发通知。 其中最为重要的是CA自己的一对密钥的管理,它必须确保高度的机密性,防止他方伪造证书。
IPSec包含了哪2个最重要的协议?简述这2个协议的主要功能?
包含Esp和ah协议; AH协议为IP通信提供数据源认证、数据完整性和反重播保证,它能保护通信免受篡改; ESP为IP数据包提供完整性检查、认证和加密,可以看作是"超级 AH", 因为它提供机密性并可防止篡改。
简述IPSec的两种运行模式的性质和不同?
在隧道模式下,整个原数据包被当作有效载荷封装了起来,外面附上新的IP报头。其中"内部"IP报头(原IP报头)指定最终的信源和信宿地址,而"外部"IP报头(新IP报头)中包含的常常是做中间处理的安全网关地址。在隧道模式中,原IP地址被当作有效载荷的一部分受到IPSec的安全保护,另外,通过对数据加密,还可以将数据包目的地址隐藏起来,这样更有助于保护端对端隧道通信中数据的安全性。
ESP隧道模式中签名部分(完整性检查和认证部分)和加密部分分别如图所示。ESP的签名不包括新IP头
图5 ESP隧道模式
下图标示出了AH隧道模式中的签名部分。AH隧道模式为整个数据包提供完整性检查和认证,认证功能优于ESP。但在隧道技术中,AH协议很少单独实现,通常与ESP协议组合使用。
图6 AH隧道模式
图5 ESP隧道模式
下图标示出了AH隧道模式中的签名部分。AH隧道模式为整个数据包提供完整性检查和认证,认证功能优于ESP。但在隧道技术中,AH协议很少单独实现,通常与ESP协议组合使用。
图6 AH隧道模式
SA的概念、作用和所包含的内容?
AH和ESP都使用安全联盟(SA)来保护通信,而IKE的主要功能就是在通信双方协商SA。S
A是两个IPSec实体(主机/安全网关)之间经过协商建立起来的一种协定,内容包括采用何种IPSec协议、运行模式、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口、计数器等,从而决定保护什么、如何保护以及谁来保护。SA是构成IPSec的基础。
SA是单向的,每个通信方必须有两种SA(进入/外出SA),这两个SA构成一个SA束(Bundle)。
SA是单向的,每个通信方必须有两种SA(进入/外出SA),这两个SA构成一个SA束(Bundle)。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论