计算机网络中科大 - 第7章 网络安全(详细解析)-以及案例

知孤云出岫2025-04-20 22:23

目录

    • [🛡️ 第8章:网络安全(Network Security)优化整合笔记](#🛡️ 第8章:网络安全(Network Security)优化整合笔记)
      • [📌 本章学习目标](#📌 本章学习目标)
    • 一、网络安全概念
    • 二、加密技术(Encryption)
      • [1. 对称加密(Symmetric Key)](#1. 对称加密(Symmetric Key))
      • [2. 公钥加密(Public Key)](#2. 公钥加密(Public Key))
    • 三、认证机制(Authentication)
    • 四、报文完整性与数字签名
    • 五、密钥分发与证书
    • 六、防火墙与访问控制
      • [1. 防火墙分类](#1. 防火墙分类)
      • [2. 过滤方式](#2. 过滤方式)
    • 七、攻击类型与防御措施
    • 八、典型安全协议实践
      • [1. 📧 安全电子邮件(PGP)](#1. 📧 安全电子邮件(PGP))
      • [2. 🔐 SSL / TLS](#2. 🔐 SSL / TLS)
      • [3. 🛜 IPsec](#3. 🛜 IPsec)
      • [4. 📶 IEEE 802.11 无线网络安全](#4. 📶 IEEE 802.11 无线网络安全)
    • 九、入侵检测系统(IDS)
    • [🔚 本章总结](#🔚 本章总结)
    • [✅ 案例一:银行网站中的中间人攻击(Man-in-the-Middle Attack)](#✅ 案例一:银行网站中的中间人攻击(Man-in-the-Middle Attack))
      • 📍场景背景:
      • [🧨 攻击流程:](#🧨 攻击流程:)
      • [📚 涉及知识点:](#📚 涉及知识点:)
      • [✅ 防御措施:](#✅ 防御措施:)
    • [✅ 案例二:校园网ARP欺骗导致的分组嗅探](#✅ 案例二:校园网ARP欺骗导致的分组嗅探)
      • 📍场景背景:
      • [🧨 攻击方式:](#🧨 攻击方式:)
      • [📚 涉及知识点:](#📚 涉及知识点:)
      • [✅ 防御措施:](#✅ 防御措施:)
    • [✅ 案例三:DDoS攻击瘫痪政府门户网站](#✅ 案例三:DDoS攻击瘫痪政府门户网站)
      • 📍场景背景:
      • [🧨 攻击方式:](#🧨 攻击方式:)
      • [📚 涉及知识点:](#📚 涉及知识点:)
      • [✅ 防御措施:](#✅ 防御措施:)
    • [📌 小结:案例启发式复习表](#📌 小结:案例启发式复习表)

🛡️ 第8章:网络安全(Network Security)优化整合笔记

📌 本章学习目标

  • 理解网络安全的基本原理(加密、认证、完整性、密钥分发)
  • 熟悉安全实践技术(防火墙、各层安全、攻击与防御)
  • 掌握常见协议的安全机制(SSL、IPsec、802.11i 等)

一、网络安全概念

安全目标 含义
机密性 只有通信双方能读取数据(通过加密实现)
报文完整性 确保报文未被篡改
身份认证 验证对方身份
访问控制 限制未授权用户访问资源
可用性 服务对授权用户始终可用

二、加密技术(Encryption)

1. 对称加密(Symmetric Key)

  • 加密与解密使用相同的密钥
  • 算法:DES、3DES、AES
  • 密码块链模式:引入前一密文参与当前加密

2. 公钥加密(Public Key)

  • 加密与解密使用不同的密钥(公钥加密,私钥解密)
  • 算法:RSA
  • 应用场景:密钥交换、身份认证

三、认证机制(Authentication)

协议版本 描述 漏洞
ap1.0 "我是Alice" 可被假冒
ap2.0 携带IP地址 IP可伪造
ap3.0 发送密码 可被重放
ap4.0 使用Nonce和对称密钥加密 安全但需要共享密钥
ap5.0 使用Nonce与公钥加密 避免共享密钥,但存在中间人攻击

四、报文完整性与数字签名

  • 散列函数(如MD5, SHA-1):

    • 将任意长度信息压缩成固定长度摘要
    • 不可逆、抗碰撞

  • 数字签名

    • 发送者使用私钥签署消息的哈希值
    • 接收者使用公钥验证
    • 实现认证、完整性、不可否认性

五、密钥分发与证书

机制 描述
KDC 密钥分发中心,给通信双方分发对称密钥
CA 证书认证中心,颁发含公钥的可信数字证书
信任树 根CA签发证书给下级CA,建立链式信任关系

六、防火墙与访问控制

1. 防火墙分类

  • 网络级(分组过滤器):依据IP/端口/TCP flag等规则
  • 应用级(应用网关):基于内容进行过滤,安全性更高

2. 过滤方式

  • 无状态:逐个检查报文头部字段
  • 有状态:结合连接状态判断合法性(基于连接表)

七、攻击类型与防御措施

攻击方式 描述 防御方法
窃听 捕获未加密报文 使用加密
重放攻击 捕获合法数据后重新发送 使用Nonce、时间戳
IP欺骗 冒充他人IP地址 入口过滤、入侵检测
DoS/DDoS攻击 用大量数据报淹没目标主机 流量监控、IP黑名单、源追踪
分组嗅探 在共享网络中监听数据帧 使用交换网络、检测混杂模式

八、典型安全协议实践

1. 📧 安全电子邮件(PGP)

  • 使用对称加密+数字签名+公钥加密分发对称密钥
  • 提供机密性、完整性和认证

2. 🔐 SSL / TLS

  • 提供浏览器与服务器之间的加密连接
  • 过程:
    1. 握手建立主密钥
    2. 使用主密钥生成 4 个密钥
    3. 数据加密与MAC校验

3. 🛜 IPsec

  • 网络层安全协议:AH(认证)和ESP(加密+认证)
  • 创建安全关联(SA),用于加密传输IP报文

4. 📶 IEEE 802.11 无线网络安全

  • WEP(已废弃):容易破解
  • WPA / WPA2(802.11i):引入动态密钥管理和更强加密
  • 使用EAP协议和RADIUS服务器进行认证

九、入侵检测系统(IDS)

  • 检查网络流量是否包含攻击模式
  • 提供对端口扫描、病毒特征串、网络映射等行为的响应能力

🔚 本章总结

核心技术 说明
加密算法 DES、AES、RSA
认证机制 Nonce、防重放攻击、数字签名
报文完整性 哈希算法、MAC、数字签名
密钥管理 KDC、CA、证书链
网络安全措施 防火墙、IDS、ACL、分组过滤
实践协议 SSL、IPsec、PGP、802.11i
攻击防御 窃听、重放、IP欺骗、DoS及其防范措施

✅ 案例一:银行网站中的中间人攻击(Man-in-the-Middle Attack)

📍场景背景:

用户Alice登录某银行网站时,攻击者Trudy在她与服务器之间插入中间节点,成功劫持数据。

🧨 攻击流程:

  1. Trudy伪装成银行网站向Alice发送伪造的SSL证书。
  2. Alice浏览器没有识别出伪造证书,继续通信。
  3. Alice向"银行"提交账号和密码,但Trudy截获并查看了这些敏感信息。

📚 涉及知识点:

  • 公开密钥加密(RSA)原理
  • 数字证书与认证中心(CA)
  • 中间人攻击在认证协议ap5.0中的风险

✅ 防御措施:

  • 浏览器启用CA证书验证机制
  • 使用SSL证书链检查来验证网站身份;
  • 浏览器提示"不受信任的证书"时立即终止连接;
  • 用户应查看HTTPS证书颁发者信息和合法性。

✅ 案例二:校园网ARP欺骗导致的分组嗅探

📍场景背景:

在某高校局域网中,攻击者Trudy通过ARP欺骗,让所有数据流经其主机,从而监听了同学Alice的账户信息。

🧨 攻击方式:

  1. Trudy向局域网广播伪造的ARP响应,将网关的IP映射为自己的MAC地址;
  2. 所有主机数据包路由经过Trudy;
  3. Trudy启用混杂模式的网卡监听所有未加密报文。

📚 涉及知识点:

  • ARP欺骗与分组嗅探原理
  • 混杂模式
  • 安全WiFi传输标准(802.11、WEP、WPA)

✅ 防御措施:

  • 使用交换式以太网,避免共享媒介;
  • 检查主机是否运行在混杂模式;
  • 全面使用HTTPS、SSH等加密协议;
  • 启用WPA2或WPA3代替WEP;
  • 局域网防ARP欺骗软件部署。

✅ 案例三:DDoS攻击瘫痪政府门户网站

📍场景背景:

某政府官网在国庆前夕遭到大规模分布式拒绝服务(DDoS)攻击,短时间内无法访问。

🧨 攻击方式:

  1. 攻击者控制成千上万的"肉鸡"(被感染的主机);
  2. 同时向目标网站发送SYN请求,造成连接资源耗尽;
  3. 正常用户无法与服务器建立连接。

📚 涉及知识点:

  • SYN Flood 攻击原理(伪造SYN+ACK无法完成三次握手)
  • 防火墙中的分组过滤策略(SYN/ACK位判断)
  • DoS与DDoS攻击的本质与识别

✅ 防御措施:

  • 启用SYN Cookies机制缓解半连接队列耗尽;
  • 使用防火墙/IDS过滤可疑IP请求;
  • 建立速率限制规则
  • 利用CDN服务或云安全防护服务进行流量牵引与清洗;
  • 追溯攻击源,及时封锁控制中心指令通道。

📌 小结:案例启发式复习表

案例编号 主要威胁类型 技术知识点 推荐防护措施
案例一 中间人攻击 RSA、数字证书、ap5.0 启用HTTPS验证机制、验证证书链
案例二 分组嗅探、ARP欺骗 ARP协议、WEP/WPA、交换机 HTTPS、交换网络、禁用混杂模式
案例三 拒绝服务攻击(DDoS) TCP三次握手、SYN flood、防火墙 SYN Cookies、流量牵引、接入防护网关设备等
相关推荐
用户9623779544816 小时前
VulnHub DC-3 靶机渗透测试笔记
安全
叶落阁主2 天前
Tailscale 完全指南:从入门到私有 DERP 部署
运维·安全·远程工作
用户962377954484 天前
DVWA 靶场实验报告 (High Level)
安全
数据智能老司机4 天前
用于进攻性网络安全的智能体 AI——在 n8n 中构建你的第一个 AI 工作流
人工智能·安全·agent
数据智能老司机4 天前
用于进攻性网络安全的智能体 AI——智能体 AI 入门
人工智能·安全·agent
用户962377954484 天前
DVWA 靶场实验报告 (Medium Level)
安全
red1giant_star4 天前
S2-067 漏洞复现:Struts2 S2-067 文件上传路径穿越漏洞
安全
用户962377954484 天前
DVWA Weak Session IDs High 的 Cookie dvwaSession 为什么刷新不出来?
安全
cipher6 天前
ERC-4626 通胀攻击:DeFi 金库的"捐款陷阱"
前端·后端·安全
一次旅行9 天前
网络安全总结
安全·web安全
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04本地部署 OpenClaw + DeepSeek-R1 完全指南05Window 10部署openclaw报错node.exe : npm error code 12806OpenClaw优化飞书API 额度已耗尽问题07Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services08OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录09小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)10OpenClaw大龙虾机器人完整安装教程