前言
站在用戶的角度思考問(wèn)題,與客戶深入溝通�,找到安徽網(wǎng)站設(shè)計(jì)與安徽網(wǎng)站推廣的解決方案,憑借多年的經(jīng)驗(yàn)���,讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合�,創(chuàng)造個(gè)性化、用戶體驗(yàn)好的作品���,建站類型包括:成都網(wǎng)站制作����、網(wǎng)站建設(shè)����、企業(yè)官網(wǎng)、英文網(wǎng)站�、手機(jī)端網(wǎng)站、網(wǎng)站推廣�����、空間域名�、網(wǎng)絡(luò)空間、企業(yè)郵箱����。業(yè)務(wù)覆蓋安徽地區(qū)。
在最近一周內(nèi)�����,我收到了安全圈子里面小伙伴的私信,說(shuō)他們非常喜歡信息安全��,但是看了我之前發(fā)布文章�����,覺(jué)得有點(diǎn)難度���,還涉及到C#編程�����,不好理解���,希望我能給些基礎(chǔ)方面的文章,所以有了這篇技術(shù)稿�。
以下是我整理了2天,總結(jié)出來(lái)的一些算是經(jīng)驗(yàn)之談���,希望能幫到大家。
一�����、網(wǎng)絡(luò)安全漫談
1. 數(shù)據(jù)發(fā)送之前面臨的威脅<惡意程序>
- 計(jì)算機(jī)病毒:具有“傳染性”。
- 計(jì)算機(jī)蠕蟲:計(jì)算機(jī)蠕蟲不需要附在別的程序內(nèi)���,可能不用使用者介入操作也能自我復(fù)制或執(zhí)行�����。
- 特洛伊木馬:沒(méi)有復(fù)制能力����,它的特點(diǎn)是偽裝成一個(gè)實(shí)用工具���、一個(gè)可愛(ài)的游戲��、圖片����、軟件���,誘使用戶將其安裝在PC端或者服務(wù)器上���,從而秘密獲取信息。
- 邏輯炸彈:是一種程序�����,平時(shí)處于“休眠”狀態(tài),直到具體的程序邏輯被激發(fā)���。
2. 計(jì)算機(jī)網(wǎng)絡(luò)通信面臨4種威脅<數(shù)據(jù)傳輸中>
- 截獲——從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容
- 中斷——有意中斷網(wǎng)絡(luò)通信 ���。
- 篡改——故意篡改網(wǎng)絡(luò)上傳送的報(bào)文 。
- 偽造——偽造信息在網(wǎng)絡(luò)上的傳送
3. 威脅分類
- 被動(dòng)攻擊—截獲���。
- 主動(dòng)攻擊—中斷�����、篡改�、偽造���。
被動(dòng)攻擊與主動(dòng)攻擊的區(qū)別:
- 主動(dòng)攻擊:對(duì)通信方式和通信數(shù)據(jù)產(chǎn)生影響的攻擊為主動(dòng)攻擊����,指攻擊者對(duì)某個(gè)連接中通過(guò)的PDU進(jìn)行各種處理:1>更改報(bào)文流;2>拒絕報(bào)文服務(wù);3>偽造連接初始化���。
- 被動(dòng)攻擊:攻擊者只是觀察和分析某一個(gè)協(xié)議數(shù)據(jù)單元PDU而不干擾信息流����。
4. 計(jì)算機(jī)網(wǎng)絡(luò)通信安全的目標(biāo)
- 防止析出報(bào)文內(nèi)容
- 防止通信量分析
- 檢測(cè)更改報(bào)文流
- 檢測(cè)拒絕報(bào)文服務(wù)
- 檢測(cè)偽造初始化連接
5. 防范措施
(1) 使用加密機(jī)制防止析出報(bào)文內(nèi)容����。
- Y=Ek(X) // X:明文 Y:密文 k:加密密鑰
(2) 保密性:密碼編碼學(xué)+密碼分析學(xué)=密碼學(xué)。
(3) 安全協(xié)議的設(shè)計(jì)��。
(4) 接入控制:針對(duì)主動(dòng)攻擊的偽造�����。
- 無(wú)條件安全:無(wú)法由密文還原為明文;
- 計(jì)算安全:密碼在有效的時(shí)間內(nèi)無(wú)法計(jì)算出來(lái)���。
6. 兩位類密碼體制<針對(duì)被動(dòng)攻擊中的截獲>
(1) 對(duì)稱密鑰密碼體制
加密密鑰與解密密鑰是相同的密碼體制(類似加密的開鎖鑰匙與解密的開鎖鑰匙是同一把鑰匙)�。
1)DES (Data Encryption Standard)
解密的過(guò)程是上述加密的逆過(guò)程(同一密鑰)�����。
過(guò)程詳解:
- 在加密前���,先對(duì)整個(gè)明文進(jìn)行分組��,每一個(gè)組長(zhǎng)為64bit;
- 然后��,對(duì)每一個(gè)64bit二進(jìn)制數(shù)據(jù)進(jìn)行加密處理����,產(chǎn)生一組64bit密文數(shù)據(jù);
- 最后,將各組密文串接起來(lái)�,即得出整個(gè)報(bào)文。
備注:使用的密鑰為64bit(實(shí)際密鑰長(zhǎng)度為56bit��,有8bit用于奇偶校驗(yàn))���。
2)IDEA (International Data Encryption Algorithm)
IDEA使用128位密鑰���,目前基本不可能通過(guò)暴力破解攻破。
(2) 公鑰密碼體制(非對(duì)稱密碼體制)
1) 產(chǎn)生原因:
- 對(duì)稱加密體制中加密和解密在信息交互時(shí)需要協(xié)商同一把相同的密鑰�����,這一個(gè)過(guò)程是非常復(fù)雜的!而非對(duì)稱加密體制是不需要這一過(guò)程的�����,簡(jiǎn)化對(duì)稱體制的分配過(guò)程���。
- 對(duì)稱密鑰密碼體制無(wú)法數(shù)字簽名�����,而非對(duì)稱可以數(shù)字簽名(數(shù)字簽名:就是只有信息的發(fā)送者才能產(chǎn)生的別人無(wú)法偽造的一段數(shù)字串�,這段數(shù)字串同時(shí)也是對(duì)信息的發(fā)送者發(fā)送信息真實(shí)性的一個(gè)有效證明)���,增強(qiáng)了信息的安全傳輸!
公鑰密碼體制是一種”由已知加密密鑰推導(dǎo)出解密密鑰在計(jì)算上是不可行的”密碼體制:
- 發(fā)送方和接受方要持有一對(duì)密鑰<公鑰PK+私鑰SK;
- 加密算法和解密算法沒(méi)有順序區(qū)別���,可以先加密后解密/先解密后加密。
2)公鑰加密算法
1> 算法概述
- 加密算法:Dsk(Epk(X))=X��?!皃k”是接受方的公鑰;加密和解密的運(yùn)算可以對(duì)調(diào)���。
- 解密算法:Epk(Dsk(X))=X�����。用私鑰加密的數(shù)據(jù)可以用公鑰解密��。
2> 加密密鑰是公開的�����,但不能用來(lái)解密�。原因是公鑰是公開的,那這個(gè)加密數(shù)據(jù)是沒(méi)有任何意義的���,所以公鑰一般是用來(lái)加密的!)�,即:DPK(EPK(X))=X��。
3> 在計(jì)算機(jī)上可容易地產(chǎn)生成對(duì)的PK和SK(不需要雙方進(jìn)行協(xié)商)���。
4>從已知的PK實(shí)際上不可能推導(dǎo)出SK�����,即:PK到SK是”計(jì)算上不可能的”從概念可得此結(jié)論��。
5> 加密和解密算法都是公開的����。
(3) 加密過(guò)程
這一傳送過(guò)程�,發(fā)送方和接受方維持了3個(gè)密鑰:
- 發(fā)送方A:備注:自己維護(hù)的pkA和skA,同時(shí)還要記得對(duì)方的pkB;
- 接收方B:自己維護(hù)的pkB和skB,同時(shí)如果需要與發(fā)送者A通信就需要對(duì)方的pkA。
(4) 數(shù)字簽名
數(shù)字簽名必須保證以下三點(diǎn)以防止偽裝攻擊(重放攻擊):
- 接受者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名;
- 發(fā)送者事后不能抵賴對(duì)報(bào)文的簽名;
- 接受者不能偽造對(duì)報(bào)文的簽名���。
(5) 數(shù)字簽名的實(shí)現(xiàn)
發(fā)送者A使用自己的私鑰進(jìn)行加密��,接受者B使用發(fā)送者A的公鑰進(jìn)行解密(這個(gè)數(shù)字簽名數(shù)據(jù)沒(méi)有任何保密意義的�,因?yàn)樯衔奶岬竭^(guò)任何使用私鑰sk加密的數(shù)據(jù),任何知道公鑰pk的人都可以解密這條數(shù)據(jù))��。數(shù)字簽名的偽造將會(huì)在下文講到����。這一過(guò)程僅僅是實(shí)現(xiàn)數(shù)字簽名�,并且也滿足數(shù)字簽名的3個(gè)特征,這個(gè)我就不多說(shuō)��,自己可以驗(yàn)證一下�。
(6) 具有保密性的數(shù)字簽名
存在意義:存在數(shù)字簽名的偽造,用pk解密的簽名在網(wǎng)上廣播出去�,容易被截獲,獲取其他信息����。
使用了2重非對(duì)稱加密算法:一次簽名+一次加密。
(7) 報(bào)文鑒別(針對(duì)主動(dòng)攻擊中的篡改和偽造)
存在意義:檢測(cè)篡改攻擊���,如果篡改���,丟棄�����。
- 報(bào)文摘要:給要傳輸?shù)臄?shù)據(jù)生成一個(gè)簡(jiǎn)單的指紋(身份ID)�,用來(lái)唯一的標(biāo)識(shí)這段數(shù)據(jù)
- 報(bào)文摘要的優(yōu)點(diǎn):僅對(duì)短得多的定長(zhǎng)報(bào)文摘要H(m)進(jìn)行加密比對(duì)整個(gè)長(zhǎng)報(bào)文m進(jìn)行加密要簡(jiǎn)單的多
此處我想多說(shuō)點(diǎn)����,這種策略還不是最安全,比如游戲防止盜取裝備也是采取類似這種對(duì)裝備關(guān)鍵信息的加密(二進(jìn)制加密)�,不可能對(duì)整個(gè)裝備從頭到腳進(jìn)行加密,如果這樣數(shù)據(jù)包會(huì)非常大�,造成網(wǎng)絡(luò)堵塞。我覺(jué)得最好的防范措施是:不能只用一種加密算法去加密��,要把所有的加密算法要平衡運(yùn)用到所有的裝備身上��,必要要在你網(wǎng)絡(luò)傳輸流暢度和數(shù)據(jù)加密找到一個(gè)平衡點(diǎn)!
(8) 實(shí)體鑒別
是對(duì)每一個(gè)收到的報(bào)文都要鑒別報(bào)文的發(fā)送者�����,而實(shí)體鑒別是在系統(tǒng)接入的全部持續(xù)時(shí)間內(nèi)對(duì)和自己通信的對(duì)方實(shí)體只需驗(yàn)證一次����。
存在的威脅:
1)重放攻擊問(wèn)題
未被攻擊����,上面流程默認(rèn)進(jìn)行了KAB會(huì)話的協(xié)商操作����,以后就A->B進(jìn)行通信。
攻擊時(shí)��,攻擊者C偽裝A(截獲A給B的數(shù)據(jù)包)然后用自己的sk或者pk加密后與B進(jìn)行會(huì)話協(xié)商成功以后C和B進(jìn)行會(huì)話通信����,如下圖所示:
產(chǎn)生重放攻擊的原因:KAB 會(huì)話密鑰是由A B 隨機(jī)產(chǎn)生的,不隨外人的干涉����,那任何人跟B會(huì)話����,都可以形成KAB會(huì)話密鑰。
2)中間人攻擊
分析:中間人C截獲A的信息�,重發(fā)”我是A”給B,B返回給A RB被C截獲���,C再給A發(fā)了一份RB;然后A用自己的私鑰SKA對(duì)RB進(jìn)行加密本來(lái)要返回給B�,在中間又被C截獲并丟掉,然后C用自己的私鑰SKc對(duì)RB進(jìn)行加密�����,發(fā)送給B�,B把公鑰請(qǐng)求返回給C,再重發(fā)一份給A�,A本返回給B公鑰PKa,C截獲并丟掉����,C將自己的PKc偽裝成PKa發(fā)給B,B成功解密出來(lái)被SKc加密的RB�,返回給C,C用自己的SKC解密出來(lái)DATA�,再用剛才截獲來(lái)的PKa對(duì)DATA進(jìn)行加密返回給A。
產(chǎn)生重放攻擊和中間人攻擊的原因:密鑰的管理不當(dāng)引起
7. 密鑰分配<對(duì)稱密鑰分配>
密鑰管理包括:密鑰的產(chǎn)生��、分配�����、注入���、驗(yàn)證和使用���,比加密算法更為復(fù)雜!本技術(shù)稿只討論密鑰的分配�����。
為了防止以上攻擊上演�����,引入一個(gè)可信第三方�,由它對(duì)密鑰進(jìn)行管理和維護(hù)��。
(1) 對(duì)稱密鑰分配
如果A要與B進(jìn)行通信 必須去線下的密鑰分配中心KDC注冊(cè)�����,然后分配中心分別給A和B分配密鑰KA kB生成注冊(cè)表����。類似去銀行開銀行卡�,系統(tǒng)會(huì)記錄你設(shè)置的賬號(hào)和密碼,同時(shí)生成一對(duì)映射表;KAB是通信雙方共享會(huì)話的KAB�。Kerberos 既是鑒別協(xié)議,同時(shí)也是KDC��。
優(yōu)點(diǎn):對(duì)密鑰分配制度進(jìn)行了一個(gè)擴(kuò)充,將到場(chǎng)注冊(cè)的線下改為線上。
(2) 公鑰的分配<非對(duì)稱密鑰分配>
公鑰需要有一個(gè)值得信賴的機(jī)構(gòu)來(lái)將公鑰與其對(duì)應(yīng)的實(shí)體(人或機(jī)器)進(jìn)行綁定(binding)<防止中間人的攻擊手法>這樣的機(jī)構(gòu)就叫做認(rèn)證中心( CA fCertification Authority)
8. 英特網(wǎng)使用的安全協(xié)議<網(wǎng)絡(luò)層+運(yùn)輸層+應(yīng)用層>
(1) 網(wǎng)絡(luò)層的安全協(xié)議
1)IPsec協(xié)議:網(wǎng)絡(luò)層保密是指所有在IP數(shù)據(jù)報(bào)中的數(shù)據(jù)都是加密的�。此外,網(wǎng)絡(luò)層還應(yīng)提供源站鑒別��,即當(dāng)目的站收到IP數(shù)據(jù)包時(shí)�����,能確信這是從該數(shù)據(jù)包的源IP地址的主機(jī)發(fā)來(lái)的��。
總結(jié):
- 完成了一個(gè)實(shí)體鑒別;
- 對(duì)IP數(shù)據(jù)包進(jìn)行了加密���。
2)主要包括2個(gè)部分:
- 鑒別首部AH(Authentication Header):AH提供提供源站鑒別和數(shù)據(jù)完整性����,但不能保密;
- 封裝安全有效載荷 ESP (Encapsulation Sucurity Payload): EPS比AH復(fù)雜的多����,它提供源站鑒別、數(shù)據(jù)完整性和保密;
- 安全關(guān)聯(lián)SA:在使用AH 或ESP 之前����,先要從源主機(jī)到目的主機(jī)建立一條網(wǎng)絡(luò)層的邏輯連接。此邏輯連接叫做安全關(guān)聯(lián)SA;Psec 就將傳統(tǒng)的因特網(wǎng)無(wú)連接的網(wǎng)絡(luò)層轉(zhuǎn)換為具有邏輯連接的層。
安全關(guān)聯(lián)是一個(gè)單向連接�。它由1個(gè)三元組唯一地確定,包括:
- 安全協(xié)議(使用AH/ESP)的標(biāo)識(shí)符;
- 此單向連接的源IP地址;
- 一個(gè)32bit的連接標(biāo)識(shí)符����,稱為安全參數(shù)索引SPI(Security Parameter Index)對(duì)于一個(gè)給定的安全關(guān)聯(lián)SA,每一個(gè)數(shù)據(jù)報(bào)都有一個(gè)存放SPI的字段�。通過(guò)此所有數(shù)據(jù)報(bào)都使用同樣的SPI。
3)IPsec數(shù)據(jù)報(bào)格式
4)IPsec數(shù)據(jù)報(bào)的工作方式
- 第一種工作方式是運(yùn)輸方式(Transport mode)�����。運(yùn)輸方式是整個(gè)運(yùn)輸層報(bào)文段的后面和前面分別添加一些控制字段 �,構(gòu)成IPsec數(shù)據(jù)報(bào)。
- 第二種工作方式是隧道方式(tunnel mode) 隧道方式是在一個(gè)IP數(shù)據(jù)包的后面和前面分別添加一些控制字段��,構(gòu)成IPsec數(shù)據(jù)包���。
5)IPsec 數(shù)據(jù)包封裝過(guò)程
- 在運(yùn)輸層報(bào)文段(或IP數(shù)據(jù)報(bào))后面添加ESP尾部;
- 按照安全關(guān)聯(lián)SA指明的加密算法和密鑰�����,對(duì)“運(yùn)輸層報(bào)文段(或IP數(shù)據(jù)報(bào))+ESP尾部”一起進(jìn)行加密;
- 在已加密的這部分的前面,添加ESP首部;
- 按照SA指明的算法和密鑰��,對(duì)“ESP首部+運(yùn)輸層報(bào)文段(或IP數(shù)據(jù)包)+ESP尾部”生成報(bào)文鑒別碼MAC;
- 把MAC 添加在ESP尾部的后面;
- 生成新的IP首部(通常就是20字節(jié)長(zhǎng),其協(xié)議字段的值50)�����。
(2) 運(yùn)輸層安全協(xié)議
SSL:安全套接層(Secure Socket Layer):可對(duì)萬(wàn)維網(wǎng)客戶端與服務(wù)器之間傳送的數(shù)據(jù)進(jìn)行加密和鑒別(在用第三方網(wǎng)上交易時(shí)用到的協(xié)議�����,比如支付寶)�。
功能:
- SSL服務(wù)器鑒別;
- 加密的SSL會(huì)話;
- SSL客戶鑒別。
類似在淘寶購(gòu)買東西的過(guò)程:
(3) 應(yīng)用層安全協(xié)議
PGP是一個(gè)完整的數(shù)字郵件安全軟件包����,包括加密、鑒別����、電子簽名和壓縮等技術(shù)。
它只是將現(xiàn)有的一些加密算法如MD5���、RSA�����、以及IDEA等綜合在一起而已��,類似我上文說(shuō)的游戲防外掛的策略�����。
下圖為一個(gè)典型的郵件加密過(guò)程:
9. 系統(tǒng)安全:防火墻與入侵檢測(cè)<針對(duì)物理層+數(shù)據(jù)鏈路層>
(1) 防火墻
由軟件�����、硬件����、構(gòu)成的系統(tǒng),用來(lái)在2個(gè)網(wǎng)絡(luò)之間實(shí)施接入控制策略����。
(2) 功能
- 驗(yàn)證與阻止/過(guò)濾;
- 認(rèn)為合法的連接進(jìn)行訪問(wèn);
- 主要功能是阻止。
(3) 防火墻技術(shù)
- 網(wǎng)絡(luò)機(jī)防火墻;
- 應(yīng)用級(jí)防火墻�����。
(4) 入侵檢測(cè)系統(tǒng)(IDS)
分類:基于特征的入侵檢測(cè)(缺點(diǎn):未知的特征無(wú)法檢測(cè))+基于異常的入侵檢測(cè)(DDOS攻擊)�����。
二����、彩蛋(滲透測(cè)試)
下面就以一個(gè)最基本的ARP斷網(wǎng)/欺騙攻擊來(lái)做個(gè)簡(jiǎn)單的關(guān)于網(wǎng)絡(luò)攻擊的實(shí)驗(yàn)吧,理論+實(shí)踐���。
至于ARP協(xié)議以及ARP斷網(wǎng)/欺騙攻擊的原理眾所周知�,我就不廢話了����,開始滲透測(cè)試:
1. ARP斷網(wǎng)攻擊
(1) 環(huán)境搭建
- 物理機(jī):Win7<被攻擊者>
- 虛擬機(jī):KALI<攻擊者>
(2) 過(guò)程
1)用nmap對(duì)存在于WLAN中的主機(jī)進(jìn)行IP地址的嗅探:
攻擊目標(biāo)的IP為192.168.0.104(有時(shí)嗅探不完全,多嗅探幾次�����,才可以將WLAN中的所有主機(jī)嗅探到)�。
2)測(cè)試被攻擊者的網(wǎng)絡(luò)是否正常:
被攻擊者網(wǎng)絡(luò)顯示正常。
3)ARP斷網(wǎng)
- 假如想攻擊電腦的話��,格式是:目標(biāo)IP+網(wǎng)關(guān);
- 假如想攻擊手機(jī)的話����,格式是:網(wǎng)關(guān)+目標(biāo)IP。
4)再次測(cè)試被攻擊者的網(wǎng)絡(luò)是否正常:
瞬間斷網(wǎng)!
(3) ARP欺騙攻擊
由于LAN通信是根據(jù)MAC地址進(jìn)行傳輸����,假如MAC地址被偽造成攻擊者的MAC地址�,就形成的所謂的ARP欺騙���。
示意圖:目標(biāo)IP—>我的網(wǎng)卡—>查看自己網(wǎng)卡上的圖片信息—>網(wǎng)關(guān)
1)用nmap對(duì)存在在WLAN中的主機(jī)進(jìn)行IP地址的嗅探:
和斷網(wǎng)攻擊同一個(gè)姿勢(shì)���,被攻擊者的IP地址為192.168.0.104。
2)對(duì)被攻擊者進(jìn)行ARP流量轉(zhuǎn)發(fā)�����,使其流量轉(zhuǎn)發(fā)到攻擊端:
此指令是沒(méi)有回顯的��。
3)進(jìn)行ARP欺騙
假如被攻擊者在瀏覽周董的照片:
4)使用driftnet進(jìn)行抓取圖片:
以上就是攻擊者的電腦呈現(xiàn)效果!
5)如何防御?
- 靜態(tài)綁定(IP和MAC靜態(tài)綁定)—PC端;
- 路由器實(shí)現(xiàn)IP地址與對(duì)應(yīng)MAC地址的綁定—路由端��。
方法都是根據(jù)攻擊原理進(jìn)行相應(yīng)防御!
或使用電腦管家防御等:
手機(jī)版的360管家似乎沒(méi)有防御ARP攻擊的工具!
記得TK教主曾在微博上說(shuō)過(guò):ICMP重定向基本可以理解為能在互聯(lián)網(wǎng)范圍內(nèi)發(fā)起ARP欺騙�����。有點(diǎn)可怕!希望更多的人能夠像TK一樣將電腦技術(shù)運(yùn)用在造福社會(huì)上!
三�、總結(jié)
萬(wàn)變不離其宗,再高明的攻擊手段��,都是基于以上內(nèi)容��,希望一些新手朋友或者剛?cè)腴T的朋友仔細(xì)閱讀�,推敲���,基礎(chǔ)是最重要的,也不枉費(fèi)我熬夜總結(jié)的資料�����。
網(wǎng)站名稱:網(wǎng)絡(luò)安全漫談及實(shí)戰(zhàn)摘要
分享路徑:
http://uogjgqi.cn/article/dpgsjgd.html
