【读书笔记】:网络安全复习

关于一些概念：
拒绝服务攻击包括：flood + smurf
flood 包括 ping of death + synflood
smurf:使用被攻击者的IP向广播地址发送ICMP包，使的所有广播地址的所有主机产生应答包，使的被攻击主机无法响应而使的被攻击网络瘫痪

缓冲区溢出：
通过往程序的缓冲区写超过其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令，以达到攻击的目的。

shellcode:中文名，填充数据，用来发送给被攻击服务器造成数据溢出

密码学：研究信息安全保密的科学
密码编码学：研究对信息的编码，实现对信息的隐蔽
密码分析学：研究加密信息的破译或者消息的伪造

因此密码编码学和密码分析学是逆向过程

对称密码算法（symmetric cipher）：加密和解密算法都相同

非对称密码算法(asymmetric cipher)：加密和解密算法不同，加密的算法能够公开，我们称其为公钥，解密的算法不能公开，我们称其为私钥

单字母替换：
用一个字符串进行替代，然后之后就从已有的序列往后推，一直到26个字母全部出现一次 - -
**spectacular
ABCDEFGHIJKLMNOPQRSTUVWXYZ
spectaulrbdfghijkmnoqvwxyz**
能分析明白这个就ok了~

DES简单版
DES简单版的思路大致是这样，P盒制造雪崩效应，关键是在S盒，S盒是算法的关键所在 - -

Diffie-hellman密钥交换协议 与 RSA密码体制

RSA算法:给出p,q，求公私钥
n = p*q（只在最后算公钥的时候有用） φ（n）=（p-1）*(q-1)
gcd(e，φ（n）)=0 说明质数
公钥e就求出来了
私钥d*emod（φ（n））=1 以此求d

数字签名及验证过程
消息通过散列算法变成摘要，然后通过发送方的私钥对摘要进行加密变成数字签名，发送方把摘要和数字签名一起发送给接收方。
接收方通过同样的散列算法对消息进行计算。接收方通过公钥对摘要进行解密，如果得到了的数据和计算出的摘要一致，说明报文确实来自于发送者

电子信封技术

这里还是两个人，发送方和接收方
发送方通过对称密钥加密报文，然后利用收信方的公钥去加密对称密钥，然后发送过去给接收方，接收方接收到报文后，用自己的私钥去解密对称密钥，然后用解密后的对称密钥去解密报文，这样得到真正的报文。

证书
公钥体制中的一种密钥管理介质
证明主体身份及公钥的合法性
保密的概念：发送者先获得接受者的证书，检验合格后用其中的公钥加密邮件发送
IPSec：传输模式和隧道模式
口令认证过程：
口令->MD5->摘要->但是不发送给认证系统
认证系统产生一个随机数用来用来质询用户口令摘要
输入端收到响应后用摘要对这个质询进行加密，加密后的结果成为响应

IPSec

令牌
认证令牌：不可以反复使
时间令牌：时间令牌每过60s可以重新使

门票
Bob的门票
KDC为Bob和alice生成一个共享密钥Kab,然后用主密钥加密Kab，把用Bob主密钥加密的会话密钥Kab以及alice的名字成为访问 Bob的门票~
基于此双方可以互认身份

入侵检测（49页数学模型没看）

入侵检测通过采用滥用检测和异常检测的方法，发现未授权的或者是恶意的网络行为
非法和合法行为是可区分的
入侵检测需要解决的两个问题：
1，如何充分并可靠的提取描述特征行为的数据
2，如何根据特征数据高效而准确的判定行为的性质

滥用检测：根据已知的系统的缺陷和已知的入侵方法进行相应的检测，精确性较高，不能检测未知的入侵，也不能检测已知入侵的变种

**异常检测：建立目标系统及用户的正常活动模型
，然后利用这个系统对系统及用户的行为进行审计**

面向主机的检测系统，面向网络的检测系统

CIDF
事件
GIDO 通常入侵检测事件
CIDF规定IDS的模块构成：事件产生器，事件分析器，事件数据库，响应单元

snort系统
snort采用基于规则的网络信息搜索机制，对数据包进行内容的模式匹配，进而从中发现入侵和探测行为
数据包捕获和解析子系统 检测引擎 日志和报警子系统

堡垒主机（bastion host）在网络上配置了安全防范措施的计算机，为网络之间的通信提供了一个阻塞点，如果没有堡垒主机，网络上的计算机将无法互相访问

双宿主机（Dual-homed host）有两个接口的主机，一个是内部接口，一个是外部接口

DMZ(DemilitarizedZone) 非军事区或者停火区
在内部网络和外部网络之间增加的一个子网 - -

防火墙策略
未被禁止的就是允许的
未被允许的就是禁止的
大概有这两种观点，第一种能够给用户很多的服务，但是不能给用户提供很强的安全保护，第二种刚好就反过来了

会话结束的判定和临时条目的删除
TCP会话的结束：两组FIN位被设置的TCP分组，临时条目几秒钟删除，表示会话即将关闭
在RST位被设置的TCP分组，临时条目立即删除，表示会话立即关闭
在超时时间段内，没有检测到和特定会话相关的数据分组，临时条目被删除
UDP会话的结束：在超时时间段内，没有检测到和特定会话相关的数据分组，表示会话结束
网络地址翻译
1，解决IP地址不足的问题
2，能够向外界隐藏内部网络
3，网络地址翻译技术实现负载均衡
4，网络地址翻译技术处理网络地址交迭
防火墙的操作系统

Aho-Corasick树形有限自动机(详见我转的一篇博文 - -)
该算法巧妙的把字符比较变成了状态转移
就是很简单的自动机
在预处理阶段，AC自动机算法建立了三个函数
转向函数goto,失效函数failure,输出函数output
转向函数g(pre,x) = next 状态pre遇到x之后调到next状态
f(i)= k 如果i不是匹配的状态，那么结果为0，如果不是匹配的状态，就到之前能够匹配的状态
输出函数 i代表终结匹配的状态,output(i)代表该状态能匹配到的串

计算机病毒相关
计算机病毒的防治分为四个阶段，检测，清除，免疫，预防

病毒免疫原理是通过病毒签名实现的，如果一个程序中有了病毒签名，病毒就不再感染，因此我们可以人为的通过向程序中植入病毒签名达到预防病毒的效果、
蠕虫具有自动传播性