系统架构设计师备考第22天——信息安全的抗攻击技术

一、核心知识点详解

1. 密钥的选择(

密钥是密码系统的核心,分为两类:

  • 数据加密密钥(DK):直接加密数据。
  • 密钥加密密钥(KK):加密其他密钥以实现安全传输。

抗攻击关键措施

  1. 增大密钥空间

    • 原理:密钥位数((n))决定密钥空间((2^n))。空间越大,穷举攻击难度指数级增加。
    • 示例
      • 4字节密钥:穷举需 1.2小时(假设每秒100万次尝试)。
      • 6字节密钥:穷举需 8.9年
      • 8字节密钥:穷举需 58万年
    • 实践建议:密钥长度至少8字节,避免使用短密钥(如≤6字节)。
  2. 选择强密钥

    • 弱密钥风险:用户为方便记忆选择简单密钥(如"Klone"),易被字典攻击破解。
    • 强钥特征 :包含大小写字母、数字、特殊字符(如*9[hH\A-),长度≥8位。
    • 公钥算法:不同算法对强钥定义不同(如RSA需大素数)。
  3. 密钥的随机性

    • 真随机源:物理噪声发生器、辐射检测器等。
    • 伪随机数生成器(PRNG):需通过随机性检验(如均匀分布、独立性)。
    • 应用场景:会话密钥、公钥加密的密钥生成。

考点提示:密钥空间计算、弱密钥危害、随机性检验方法。


2. 拒绝服务攻击(DoS)与防御

攻击原理

通过耗尽目标资源(带宽、CPU、内存)使其无法正常服务。

  • 常见手段
    • SYN Flood:发送大量半连接请求耗尽连接池。
    • UDP Flood:发送伪造源IP的UDP包触发目标响应。

防御措施

  1. 流量过滤
    • 部署防火墙/IP黑名单,过滤异常流量。
  2. 协议优化
    • 强化TCP/IP堆栈
      • 缩短SYN超时时间。
      • 启用SYN Cookie机制(验证连接合法性)。
  3. 资源扩容
    • 增加带宽/服务器冗余,分散攻击压力。
  4. 入侵检测系统(IDS)
    • 实时监控流量模式,识别DoS特征并拦截。

考点提示:SYN Flood原理、TCP/IP堆栈强化措施、IDS在DoS防御中的作用。


3. 欺骗攻击与防御

攻击类型

  1. IP欺骗
    • 伪造源IP地址冒充可信主机(如TCP序列号预测攻击)。
  2. ARP欺骗
    • 发送虚假ARP响应包,劫持局域网内流量。
  3. DNS欺骗
    • 篡改DNS解析结果,将用户导向恶意站点。

防御策略

  1. 加密认证
    • 使用IPSec/VPN加密通信,验证数据来源。
  2. 协议安全加固
    • ARP:启用动态ARP检测(DAI)。
    • DNS:部署DNSSEC防止记录篡改。
  3. 网络隔离
    • VLAN划分限制广播域,减少ARP欺骗影响。

考点提示:ARP欺骗实现原理、DNSSEC作用、IPSec应用场景。


二、关键考点与典型考题

重点考点总结
考点 核心内容
密钥安全 密钥空间计算、弱密钥风险、真/伪随机数生成原理
DoS攻击防御 SYN Flood原理、TCP/IP堆栈优化、IDS部署
欺骗攻击类型 IP/ARP/DNS欺骗机制及对应防御技术
抗攻击技术关联性 密钥管理、协议加固、加密认证的综合应用
典型考题
  1. 单选题

    若某密钥长度为6字节(字符集为小写字母+数字),穷举攻击需8.9年(每秒100万次)。若密钥长度增至8字节,攻击时间约为?
    A. 58万年 B. 580年 C. 5800年
    答案 :A(密钥空间从(366)增至(368),时间增长(36^2≈1300)倍)。

  2. 多选题

    防御SYN Flood攻击的有效方法包括?
    A. 启用SYN Cookie B. 部署流量清洗设备 C. 缩短TCP半连接超时 D. 关闭UDP端口
    答案:A、B、C。

  3. 简答题

    简述ARP欺骗的攻击过程及两种防御措施。
    :攻击者发送虚假ARP响应包,将自身MAC绑定到目标IP,截获流量。防御措施:①启用动态ARP检测(DAI);②部署静态ARP绑定表。

相关推荐
文火冰糖的硅基工坊6 小时前
[创业之路-640]:通信行业供应链 - 通信网的发展趋势:IP化统一 、云网融合 、算网协同 、FMC(固定移动融合)、空天地一体化
网络·网络协议·tcp/ip·系统架构·通信·产业链
谱写秋天8 小时前
软考-系统架构设计师*数据库基本概念详细讲解
数据库·系统架构·软考架构师
腾飞开源8 小时前
01_系统架构设计
人工智能·系统架构·情感分析·工具调用·ai智能体·意图识别·智能路由
WPG大大通9 小时前
从数据到模型:Label Studio 开源标注工具完整实施指南
经验分享·笔记·ai·系统架构·开源·大大通
lypzcgf1 天前
Coze源码分析-资源库-编辑插件-后端源码-核心技术与总结
系统架构·插件·coze·coze源码分析·智能体平台·ai应用平台·agent平台
谱写秋天1 天前
软考-系统架构设计师 NoSQL数据库详细讲解
数据库·系统架构·软考架构师
做运维的阿瑞2 天前
使用 Python 打造一个轻量级系统信息查看器
开发语言·后端·python·系统架构
君不见,青丝成雪2 天前
六边形架构实现:领域驱动设计 + 端口适配器模式
大数据·微服务·系统架构
编程指南针2 天前
【系统架构师-案例分析】2024年11月份案例分析第一题-架构评估
架构·系统架构
lypzcgf2 天前
Coze源码分析-资源库-编辑插件-后端源码-IDL/API/应用服务层
系统架构·插件·coze·coze源码分析·智能体平台·ai应用平台·agent平台