2.假冒

3.重放#xff1a;重复一份报文或者报文的一部分#xff0c;以便产生一个被授权的效果。

4.流量分析

3.重放重复一份报文或者报文的一部分以便产生一个被授权的效果。

4.流量分析

8.陷门和特洛伊木马木马病毒有客户端和服务端两个版本不具备自我复制性。

10.诽谤

可以是基于网络跟踪通信链路或者基于系统用秘密抓取数据的特洛伊木马代替系统部件。

无法预防但易于检测。

主要对付手段有防火墙、入侵检测系统等检测手段。

3.物理临近攻击

4.审计确保任何发生的交易在事后都可以被证实发信者和收信者都认为交换发生过即所谓的不可抵赖性。

基本安全技术

使用的基本方法仍然是替换和换位但是采用更加复杂的加密算法和简单的密钥而且增加了主动攻击的手段。

DES

明文被分为64位的块对每个块进行19次变换替代和换位其中16次变换由56位的密钥的不同排列形式控制IBM采用的是128位的密钥。

最后产生64位的密文块。

对称加密。

三重DES

对称加密。

可以用硬件或软件实现比DES速度快。

使用128位密钥把明文分成64位的块进行8轮迭代加密。

高级加密标准AES

对称加密。

支持128、192、256位3种密钥长度能够在时间范围内免版税使用提供的安全级别足以保护未来20~30年内的数据可以提供硬件或软件实现。

流加密算法

密钥长度可以选择64位或128位。

256内的加法、置换和异或运算。

以上加密算法中使用的加密密钥和解密密钥是相同的称为共享密钥算法或对称密钥算法。

公钥加密算法

1.实体认证识别通信双方的身份防止假冒可以使用数字签名的方法。

2.消息认证验证消息在传送或者存储过程中有没有被篡改通常使用报文摘要的方法摘要算法。

数字签名

用于差错控制的报文检验是根据冗余位检查报文是否受到信道干扰的影响。

与之类似的报文摘要方案是计算密码校验和即固定长度的认证码附加在消息后面发送根据认证码检查报文是否被篡改。

由于报文摘要是原报文唯一的压缩表示代表了原来报文的特征所以也叫做数字指纹。

报文摘要算法MD5

散列式报文认证码HMAC是利用对称密钥生成报文认证的散列算法可以提供数据完整性数据源身份认证。

一个典型应用是在“提问/响应”式身份认证中。

数字证书

每个用户用自己的私钥来进行解密和签名。

同时设置一个公钥为一组用户共享用于加密和认证。

虚拟专用网VPN

建立在公用网上的、由某一组织或某一群用户专用的通信网络。

虚拟性、专用性。

隧道协议将其他协议的数据包重新封装在新的包头中发送新的包头提供路由信息从而使封装的负载数据能够通过因特网传递。

3.密钥管理技术

3.远程接入VPN解决远程用户访问企业内部网络的方法。

传统方法是采用长途拨号方式接入企业的网络访问服务器。

通过一个拥有与专用网络相同策略的共享基础设施提供对企业内部网或外部网的远程访问。

第二层隧道协议

隧道协议PPTP和L2TP把数据封装在PPP协议的帧中在因特网上传输。

数据链路层协议

1.封装协议用于包装各种上层协议的数据报。

提供了在同一链路上传输各种网络层协议的多路复用功能也你能与各种常见的支持硬件保持兼容。

2.链路控制协议LCP

3.网络控制协议在PPP的链路建立过程中的最后阶段将选择承载的网络层协议。

例如IP、IPX、等。

1.链路建立PPP通过链路控制协议建立、维护或终止逻辑连接。

在这个阶段将对通信方式数据压缩、加密以及认证协议的参数等进行协商。

2.用户认证客户端将自己的身份证明发送给网络接入服务器进行身份认证。

如果认证失败连接被终止。

在这一阶段只传送链路控制协议、认证协议和链路质量监控协议的分组其他分组都被丢弃。

CHAP挑战——握手验证协议三次握手认证协议传输由用户密码生成的散列值。

PPTP点对点隧道协议在PACPPTP接入集中器和PNSPPTP网络服务器之间对拨入的电路交换呼叫进行控制和管理并传送PPP数据的协议。

只在PAC和PNS之间实现与其他任何设备无关连接到PAC的拨号网络也与PPTP无关标准的PPP客户端软件仍然可以在PPP链路上进行操作。

在一对PAS和PNS之间必须建立两条并行的PPTP连接。

一条是运行在TCP协议上的控制连接一条是传输PPP协议数据单元的IP隧道。

报文类型

控制报文使用了可靠的控制信道以保证提交数据报文被丢失后不再重传。

在IP网上使用UDP和一系列的L2TP消息对隧道进行维护同时使用UDP将L2TP封装的PPP帧通过隧道发送可以对封装的PPP帧中的负载数据进行加密或压缩。

都使用PP协议对数据进行封装添加附加包头用于数据在互联网上的传输。

L2TP可以在IP使用UDP、帧中继永久虚拟电路、X.25虚电路或ATM网络上使用。

2.L2TP可以提供包头压缩此时系统开销占用4个字节而在PPTP协议下占用6个字节。

3.L2TP可以提供隧道验证PPTP不支持隧道验证。

但是当二者与IPSec共同使用时由IPSec提供隧道验证。

1.数据完整性。

保证数据的完整性防止未授权地生成、修改或删除数据。

2.认证。

保证接收的数据与发送的相同保证实际发送者就是声称的发送者。

3.保密性。

传输的数据是经过加密的只有预定的接收者知道发送的内容。

4.应用透明的安全性。

任何网络服务和网络应用都可以不经修改地从标准IP

转为IPSec同时IPSec通信也可以透明地通过现有的IP路由器。

1.认证头AH用于数据完整性认证和数据源认证。

但是不提供保密服务。

2.封装安全负荷ESP提供数据保密性和数据完整性认证也包括了防止重放攻击的顺序号。

3.Internet密钥交换协议IKE用于生成和分发在ESP和AH中使用的密钥也对远程系统进行初始认证。

两种模式传输模式IPSec认证头插入原来的IP头之后IP数据和IP头用来计算AH认证值。

变化字段实际上并没有被认证。

隧道模式IPSec用新的IP头封装原来的IP数据报原来IP数据报的所有的字段都经过了认证。

带认证的封装安全负荷ESP加密算法本身并没有提供认证算法不能保证数据的完整性。

Internet密钥交换协议IPSec在传送认证或加密数据之前就协议、加密算法和使用的密钥进行协商并且在密钥交换之前还要对远程系统进行初始的认证。

安全套接层SSL

传输错安全协议。

用于实现web安全通信。

实现两个应用实体之间安全可靠的通信。

分为两层底层是SSL记录协议运行在TCP之上用于封装各种上层协议另一个是SSL握手协议由服务器和客户端用来进行身份认证并且协商通信中使用的加密算法和密钥。

计算机病毒

1.潜伏阶段病毒处于未运行状态一般需要某个事件激活。

并不是所有的病毒都需要经历这一阶段。

4.执行阶段

1.系统病毒一般共同特性是感染Windows的exe和dll文件并通过这些文件进行传播。

如win32、PE、win95、W32、W95、CIH病毒。

2.蠕虫病毒前缀是worm通过网络或者系统漏洞传播大部分都有向外界发送带毒邮件、阻塞网络的特性。

如冲击波病毒阻塞网络、小邮差病毒发送带毒邮件。

木马病毒通过网络或系统漏洞进入用户系统并隐藏起来然后向外界泄露用户的解密信息。

4.脚本病毒前缀是script、VBS、JS使用脚本语言编写通过网页进行传播。

5.宏病毒前缀是macro第二前缀是word、word97、excel、excel97等一种寄存在文档或文档模板的宏中的计算机病毒。

7.病毒种植程序前缀是dropper运行时会释放一个或几个新病毒存放在系统目录下并由释放出来的新病毒产生破坏作用。

8.破坏性程序病毒前缀是harm本身具有好看的图标来诱惑用户点击当用户点击图标后便会对计算机产生破坏。

9.玩笑病毒前缀是joke本身具有好看的图标当用户点击后会出现破坏性画面来吓唬用户并没有对计算机进行任何破坏。

10.捆绑机病毒前缀是binder使用特定的捆绑程序将病毒与一些应用程序绑定起来表面上看是一个正常文件。

Exploit病毒会通过溢出系统漏洞来传播自身或者其本身就是一个用于Hacking的溢出工具。

HackTool是一种黑客工具也许它本身并不破坏用户的机器但是会被别人利用劫持工具区破坏其他人。

入侵检测系统IDS

作为防火墙之后的第二道安全屏障通过对计算机系统或网络中的若干关键点收集网络的安全日志、用户的行为、网络数据包和审计记录等信息并对其进行分析从中检查是否有违反安全策略的行为和遭到入侵攻击的迹象。

主要功能包括对用户和系统行为的监测与分析、系统安全漏洞的检查和扫描、重要文件的完整性评估、已知攻击行为的识别、异常行为模式的统计分析、操作系统的审计和跟踪以及违反安全策略的用户行为的检测等。

是一个监听设备无须跨接在任何链路上不产生任何网络流量就可以工作。

一般选择在尽可能靠近攻击源或者尽可能接近受保护资源的地方服务器区域的交换机上、Internet接入路由器之后的第一台交换机上、重点保护网段的局域网交换机上。

1.基于主机的IDSHIDS针对主机或服务器的入侵行为进行检测。

不需要额外的硬件性价比较高检测更加细致误报率较低适用于加密和交换的环境对网络流量不敏感而且可以确定攻击是否成功。

但是只能对主机的特定用户、特定应用程序和日志文件进行检测所能检测到的攻击类型受到一定的限制会影响主机的性能。

2.基于网络的IDS隐蔽性好不影响业务流量由于实时检测和响应关键字不容易转移证据并且能够检测出未获成功的攻击企图。

只检查直接连接的网络段的通信不能检测到包头网段的数据包在交换式以太网环境中会出现检测范围的局限性。

在实时监控环境下很难实现复杂的、需要大量计算与分析时间的攻击的检测。

1.异常检测不是根据攻击的特征来进行监测和识别的。

通用性更强。