当前位置:   article > 正文

网络协议底层原理7——网络安全_网络设备底层协议识别原理

网络设备底层协议识别原理

网络通信中面临的4种安全威胁:
截获:窃听通信内容
中断:中断网络通信
篡改:篡改通信内容
伪造:伪造通信内容

1.网络层 - ARP欺骗

ARP欺骗 (ARP spoofing),又称ARP毒化 (ARP poisoning)、ARP病毒、ARP攻击

ARP欺骗可以造成的效果
可让攻击者获取局域网上的数据包甚至可篡改数据包
可让网络上特定电脑之间无法正常通信(例如网络执法官这样的软件)
让送至特定IP地址的流量被错误送到攻击者所取代的地方
在这里插入图片描述
ARP欺骗防护:
静态ARP
DHCP Snooping
网络设备可借由DHCP保留网络上各电脑的MAC地址,在伪造的ARP数据包发出时即可侦测到
利用一些软件监听ARP的不正常变动

2.DoS、DDoS 介绍与防御

DoS攻击(拒绝服务攻击,Denial-of-Service attack):使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问

DDoS攻击(分布式拒绝服务攻击,Distributed Denial-of-Service attack):黑客使用网络上两个或以上被攻陷的电脑作为“僵尸”向特定的目标发动DoS攻击
2018年3月,GitHub遭到迄今为止规模最大的DDoS攻击

DoS攻击可以分为2大类:带宽消耗型:UDP洪水攻击、ICMP洪水攻击
资源消耗型:SYN洪水攻击、LAND攻击

DoS、DDoS防御:
防御方式通常为:入侵检测、流量过滤、多重验证
堵塞网络带宽的流量将被过滤,而正常的流量可正常通过

防火墙:防火墙可以设置规则,例如允许或拒绝特定通讯协议,端口或IP地址,当攻击从少数不正常的IP地址发出时,可以简单的使用拒绝规则阻止一切从攻击源IP发出的通信
复杂攻击难以用简单规则来阻止,例如80端口遭受攻击时不可能拒绝端口所有的通信,因为同时会阻止合法流量
防火墙可能处于网络架构中过后的位置,路由器可能在恶意流量达到防火墙前即被攻击影响

交换机:大多数交换机有一定的速度限制和访问控制能力

路由器:和交换机类似,路由器也有一定的速度限制和访问控制能力

黑洞引导:将所有受攻击计算机的通信全部发送至一个“黑洞”(空接口或不存在的计算机地址)或者有足够能力处理洪流的网络设备商,以避免网络受到较大影响

流量清洗:当流量被送到DDoS防护清洗中心时,通过采用抗DDoS软件处理,将正常流量和恶意流量区分
正常的流量则回注回客户网站

3.传输层 - SYN洪水攻击(SYN flooding attack)

攻击者发送一系列的SYN请求到目标,然后让目标因收不到ACK(第3次握手)而进行等待、消耗资源

攻击方法:跳过发送最后的ACK信息
修改源IP地址,让目标送SYN-ACK到伪造的IP地址,因此目标永不可能收到ACK(第3次握手)

4.传输层 - LAND攻击

LAND攻击(局域网拒绝服务攻击,Local Area Network Denial attack)

通过持续发送相同源地址和目标地址的欺骗数据包,使目标试图与自己建立连接,消耗系统资源直至崩溃
有些系统存在设计上的缺陷,允许设备接受并响应来自网络、却宣称来自于设备自身的数据包,导致循环应答
防护

大多数防火墙都能拦截类似的攻击包,以保护系统
部分操作系统通过发布安全补丁修复了这一漏洞
路由器应同时配置上行与下行筛选器,屏蔽所有源地址与目标地址相同的数据包

5.应用层 - DNS劫持、HTTP劫持

DNS劫持,又称为域名劫持:攻击者篡改了某个域名的解析结果,使得指向该域名的IP变成了另一个IP
导致对相应网址的访问被劫持到另一个不可达的或者假冒的网址
从而实现非法窃取用户信息或者破坏正常网络服务的目的
为防止DNS劫持,可以考虑使用更靠谱的DNS服务器,比如:114.114.114.114

HTTP劫持:对HTTP数据包进行拦截处理,比如插入JS代码:比如你访问某些网站时,在右下角多了个莫名其妙的弹窗广告

6.HTTP协议的安全问题

HTTP协议默认是采取明文传输的,因此会有很大的安全隐患

常见的提高安全性的方法是:对通信内容进行加密后,再进行传输
常见的加密方式

不可逆:单向散列函数:MD5、SHA等
可逆:对称加密:DES、3DES、AES等
非对称加密:RSA等
其它:混合密码系统,数字签名,证书
encrypt:加密
decrypt:解密
plaintext:明文
ciphertext:密文

为了便于学习,设计 4 个虚拟人物:
Alice、Bob:互相通信
Eve:窃听者
Mallory:主动攻击者
在这里插入图片描述
在这里插入图片描述
如何防止被窃听?
在这里插入图片描述

7.单向散列函数(One-way hash function)

单向散列函数,可以根据根据消息内容计算出散列值。
单向散列函数,也被称为:消息摘要函数(message digest function),
哈希函数(hash function)
散列值的长度和消息的长度无关,无论消息是1bit、10M、100G,单向散列函数都会计算出固定长度的散列值。
在这里插入图片描述
单向散列函数特点:根据任意长度的消息,计算出固定长度的散列值
计算速度快,能快速计算出散列值
具备单向性

常见的几种单向散列函数
MD4,MD5:产生128bit的散列值,MD就是Message Digest的缩写
SHA-1:产生160bit的散列值
SHA-2:SHA-256,SHA-384,SHA-512,散列值长度分别是256bit,384bit,512bit
SHA-31:全新标准

8.单向散列函数 - 防止数据被篡改

在这里插入图片描述
应用单向散列函数来防止数据被篡改
在这里插入图片描述

9.单向散列函数 - 密码加密

现在数据库不会直接存储密码明文,存储的都是加密过后的值。(所以现在的找回密码也无法看到原密码,只能重置成新密码)
如何加密解密?
在这里插入图片描述
对称加密(对称密码)
在这里插入图片描述
非对称加密(公钥密码)
在这里插入图片描述

10.对称加密( Symmetric Cryptography)

在对称加密中,加密、解密时使用的是同一个密钥
在这里插入图片描述
常见的对称加密算法:DES,3DES,AES

11.非对称加密(Asymmetric Cryptography)

在非对称加密中,密钥分为加密密钥、解密密钥 2种,它们并不是同一个密钥
加密密钥:一般是公开的,因此该密钥称为公钥(public key)
因此,非对称加密也被称为公钥密码(Public-key Cryptography)
解密密钥:由消息接收者自己保管的,不能公开,因此也称为私钥(private key)
在这里插入图片描述

12.混合密码系统(Hybrid Cryptosystem) - 加密、解密

对称加密的缺点:不能很好地解决密钥配送问题(密钥会被窃听)
非对称加密的缺点:加密解密速度比较慢
混合密码系统:是将对称加密和非对称加密的优势相结合的方法
解决了非对称加密速度慢的问题,并通过非对称加密解决了对称加密的密钥配送问题
网络上的密码通信所用的 SSL/TLS 都运用了混合密码系统

1.混合密码的加密
会话密钥 (session key):为本次通信随机生成的临时密钥,作为对称加密的密钥,用于加密消息,提高速度
加密步骤(发送消息)
① 首先,消息发送者要拥有消息接收者的公钥
② 生成会话密钥,作为对称加密的密钥,加密消息
③ 用消息接收者的公钥,加密会话密钥
④ 将前 步生成的加密结果,一并发给消息接收者

发送出去的内容包括:用会话密钥加密的消息(加密方法:对称加密)
用公钥加密的会话密钥(加密方法:非对称加密)
在这里插入图片描述

2.混合密码的解密
解密步骤(收到消息)
① 消息接收者用自己的私钥解密出会话密钥
② 再用第①步解密出来的会话密钥,解密消息
在这里插入图片描述

3.混合密码 - 加密解密流程
在这里插入图片描述

13.数字签名

在这里插入图片描述
问题来了: Bob 如何确定这段消息的真实性?如何识别篡改、伪装、否认?
在数字签名技术中,有以下 2 种行为

生成签名:由消息的发送者完成,通过“签名密钥”生成
验证签名:由消息的接收者完成,通过“验证密钥”验证
如何能保证这个签名是消息发送者自己签的?
用消息发送者的私钥进行签名
任何人都可以用消息发送者的公钥进行检验解决方案:数字签名

1.数字签名的过程
在这里插入图片描述
在这里插入图片描述

14.证书(Certificate)

为什么需要证书? - 公钥的合法性
如果遭遇了中间人攻击,那么公钥将可能是伪造的
在这里插入图片描述
密码学中的证书,全称叫公钥证书 (Public-key Certificate,PKC),
里面有姓名、邮箱等个人信息,以及此人的公钥
并由 认证机构 (Certificate Authority,CA) 施加数字签名
CA 就是能够认定 “公钥确实属于此人” 并能够生成数字签名的个人或者组织
有国际性组织、政府设立的组织
有通过提供认证服务来盈利的企业
个人也可以成立认证机构

1.证书 - 使用
在这里插入图片描述
各大CA的公钥,默认已经内置在浏览器和操作系统中

2.证书 - 注册和下载
在这里插入图片描述
资料学习:小码哥教育
B站学习链接:网络协议学习
文章借鉴:网络协议从入门到底层原理

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/人工智能uu/article/detail/772046
推荐阅读
相关标签
  

闽ICP备14008679号