欢迎来到天天文库
浏览记录
ID:27530870
大小:255.51 KB
页数:54页
时间:2018-12-03
《网络安全i密码学基础》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第18章网络安全I—密码学基础-1网络安全基本概念安全服务对安全的攻击Internet上常见的攻击:IP欺骗(IPspoofing)服务拒绝(denialofservice)密码学基础-1网络安全基本概念—安全服务安全服务:国际标准化组织ISO在提出开放系统互连参考模型OSI之后,在1989年提出网络安全体系结构SA(SecurityArchitecture),称为OSI-SA,它定义了五类安全服务。身份认证(authentication):验证通信参与者的身份与其申明的一致,不是冒名顶替者。认证服务是
2、向接收方保证消息确实来自所声称的源。身份认证是其它服务,如访问控制的前提。网络安全基本概念—安全服务(续)访问控制(accesscontrol):保证网络资源(主机系统、应用程序…)不被未经授权的用户使用。访问权限包括读、写、删、执行等。在用户进程被授予权限访问资源前,必须首先通过身份认证。访问权限一般由目标系统控制。数据机密性(dataconfidentiality):通过加密,保护数据免遭泄漏,防止信息被未授权用户获取,包括防分析。网络安全基本概念—安全服务(续)不可抵赖(non-repudiati
3、on):防止通信参与者事后否认曾参与通信。有两种不可抵赖服务:发送的不可抵赖,防止数据发送者否认曾发送过此数据;接收的不可抵赖,防止数据接收者否认曾收到此数据。例:签名函、挂号信。数据完整性(dataintegrity):确保收到的信息在传递过程中没有被插入、篡改、删除、重放。目前讨论安全服务,常常增加:可用性(availability):防止或恢复因攻击造成系统的不可用。对安全的攻击假冒(fabrication):非授权用户假冒合法用户、甚至特权用户的身份进行通信,这是对身份认证和访问控制的攻击。它还
4、包括在网络中插入伪造的报文,截取通信双方交换的信息进行重放攻击等。正常通信假冒对安全的攻击(续)截取(interception):非授权用户截获了对某资源的访问,这是对访问控制的攻击。例如通过监控网络或搭线窃听以获取数据。截取对安全的攻击(续)篡改(modification):非授权用户不仅获得了对某资源的访问,而且篡改了某资源,这是对数据完整性的攻击。例如篡改文件、程序、在网络中传输的信息内容等。篡改对安全的攻击(续)破坏(interruption):破坏系统资源,使系统不能使用或不可访问。如破坏通信
5、设备,切断通信线路,破坏文件系统等。破坏性攻击还包括对特定目标发送大量信息流,使目标超载以至瘫痪。破坏对安全的攻击(续)对网络的攻击又分主动攻击和被动攻击:被动攻击:是在传输中的偷听或监视,目的是截取在网上传输的重要敏感信息,包括消息内容析取和通信量分析。在局域网如以太网上监听是很容易的…。在用telnet作远程登录时,用户的标识名和口令也是一个个字符封装传输。被动攻击检测困难,主要通过加密防止其成功。主动攻击:包括假冒、重放、篡改、破坏。杜绝主动攻击很困难,要对所有设施保护,主要是靠检测,及时发现和恢
6、复。IP欺骗(IPspoofing)IP欺骗是指攻击者在IP层假冒一个合法的主机。攻击者只要用伪造的源IP地址生成IP数据报,就可以进行IP欺骗了。IP欺骗常和其它攻击(如服务拒绝)结合使用,攻击者利用IP欺骗隐瞒自己的真实地址。攻击者可以使用窃听和协议分析确定TCP连接的状态和数据片序号,当某个连接建立后,在客户和服务器之间进行的数据片交换过程中,攻击者可利用IP欺骗冒充该客户方,插入自己的数据片,这种攻击称TCP会话劫持。Telnet...服务拒绝(denialofservice)所谓服务拒绝是一种
7、破坏性攻击,是对某特定目标发送大量或异常信息流,使该目标无法提供正常服务。这类攻击有“PingO’Death”,“SYNflooding”等。“pingA”是向主机A发送ICMP的“回答请求”报文,它封装在IP数据报中。IP数据报最大长度是216-1=65535字节。若攻击者发送ICMP“回答请求”报文,且总长度超过65535字节。IP层在发送此报文会分段,目标主机在段重组时会因缓冲区溢出而瘫痪。这就是“PingO’Death”。服务拒绝(续)TCP连接的建立需要三次握手,它以发起方的同步数据片SYN开
8、始,并以发起方的确认数据片ACK结束。攻击者向某目标的某TCP端口发送大量的同步数据片SYN,但在收到目标方的ACK和SYN后,不发送作为第三次握手的ACK片。这样使大量TCP连接处于半建立状态,最终将超过TCP接收方设定的上限,而使它拒绝后面的连接请求,直至前面的连接过程超时。这就是“SYN泛滥(flooding)”攻击。服务拒绝(续)2002年10月21日,有人针对DNS的13台根服务器发动了“服务拒绝”攻击,攻击持续了1个小时,13台
此文档下载收益归作者所有