ch07 Network security-01.md

目录

• 1. 计算机网络都面临哪几种威胁?主动攻击和被动攻击的区别是什么?对于计算机网络的安全措施都有哪些?
• 2. 试解释以下名词:(1)重放攻击:(2)拒绝服务:(3)访问控制:(4)流量分析:(5) 恶意程序。
• 3. 为什么需要进行报文鉴别?鉴别和保密、授权有什么不同?报文鉴别和实体鉴别有什么区别?
• 4. 什么是重放攻击?怎样防止重放攻击?

1. 计算机网络都面临哪几种威胁?主动攻击和被动攻击的区别是什么?对于计算机网络的安全措施都有哪些?

解答:

计算机网络上的通信面临以下四种威胁:

(1)截获( Interception)攻击者从网络上窃听他人的通信内容。

(2)中断( interruption)攻击者有意中断他人在网络上的通信

(3)篡改( modification)攻击者故意篡改网络上传送的报文。

(4)伪造( fabrication)攻击者伪造信息在网络上传送。

在上述情况中,截获信息的攻击称为被动攻击,而中断、算改和伪造信息的攻击称为主动攻击

在被动攻击中,攻击者只是观察和分析某一个协议数据单元PDU而不干扰信息流。即使这些数据对攻击者来说是不易理解的,他也可通过观察PDU的协议控制信息部分,了解正在通信的协议实体的地址和身份,研究PDU的长度和传输的频度,以便了解所交换的数据的某种性质。这种被动攻击又称为流量分析。

主动攻击是指攻击者对某个连接中通过的PDU进行各种处理。如有选择地更改、删除延迟这些PDU(当然也包括记录和复制它们),还可在稍后的时间将以前录下的PDU插入这个连接(即重放攻击)。甚至还可将合成的或伪造的PDU送入到一个连接中去。

对于计算机网络的安全措施有以下几种:

(1)为用户提供安全可靠的保密通信,即把在网络上传送的数据进行加密。
(2)设计出一种尽可能比较安全的计算机网络。
(3)对接入网络的权限加以控制,并规定每个用户的接入权限。

2. 试解释以下名词:(1)重放攻击:(2)拒绝服务:(3)访问控制:(4)流量分析:(5) 恶意程序。

解答:

(1)重放攻击(Replay Attacks)指攻击者对某个连接中通过的PDU进行各种处理。如有选择地更改、删除、延迟这些PDU(当然也包括记录和复制它们),还可在稍后的时间将以前录下的PDU插入这个连接

(2)拒绝服务DoS(Denial of service)指攻击者向互联网上的服务器不停地发送大量分组,使互联网或服务器无法提供正常服务。

syn flood一般指拒绝服务攻击

SYN Flood

SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（Distributed Denial Of Service分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式

SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake)，而SYN Flood拒绝服务攻击就是通过三次握手而实现的

（1）攻击者向被攻击服务器发送一个包含SYN标志的TCP报文，SYN(Synchronize)即同步报文。同步报文会指明客户端使用的端口以及TCP连接的初始序号。这时同被攻击服务器建立了第一次握手

（2）受害服务器在收到攻击者的SYN报文后，将返回一个SYN+ACK的报文，表示攻击者的请求被接受，同时，TCP序号被加一，ACK（Acknowledgment）即确认，这样就同被攻击服务器建立了第二次握手

（3）攻击者也返回一个确认报文ACK给受害服务器，同样TCP序列号被加一，到此一个TCP连接完成，三次握手完成

具体原理是：

TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接。这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况（伪造IP地址），那么服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上，如果服务器的TC P/IP栈不够强大，那么最后的结果往往是堆栈溢出崩溃——即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时，从正常客户的角度看来，服务器失去响应，这种情况就称做：服务器端受到了SYN Flood攻击（SYN洪水攻击）

如果系统遭受SYN Flood，那么第三步就不会有，而且无论在防火墙还是S都不会收到相应的第一步的SYN包，所以我们就击退了这次SYN洪水攻击

(3)访问控制(Access Control)对接入网络的权限加以控制,并规定每个用户的接入权限

(4)流量分析(traffic analysis)攻击者通过观察PDU的协议控制信息部分,了解正在通信的协议实体的地址和身份,研究PDU的长度和传输的频度,以便了解所交换的数据的某种性质

(5)恶意程序(rogue program)属于主动攻击。恶意程序种类繁多,对网络安全威胁较大的主要有以下几种

1. 计算机病毒( computer virus),一种会“传染”其他程序的程序,“传染”是通过修改其他程序来把自身或其变种复制进去完成的

2. 计算机蠕虫( computer worn),一种通过网络的通信功能将自身从一个结点发送到另个结点并自动启动运行的程序。

3. 特洛伊木马( Trojan horse),一种程序,它执行的功能并非所声称的功能而是某种恶意的功能。如一个编译程序除了执行编译任务以外,还把用户的源程序偷偷地拷贝下来,则这种编译程序就是一种特洛伊木马。计算机病毒有时也以特洛伊木马的形式出现

4. 逻辑炸弹( logic bomb),一种当运行环境满足某种特定条件时,执行其他特殊功能的程序。如一个编辑程序,平时运行得很好,但当系统时间为13日又为星期五时,它删去系统中所有的文件,这种程序就是一种逻辑炸弹。

5. 后门入侵( backdoor knocking),是指利用系统实现中的漏洞通过网络入侵系统。索尼游戏网络( Playstation Network)在2011年被入侵,导致700万用户的个人信息,诸如姓名、生日、 email地址、密码等被盗

6. 流氓软件,一种未经用户允许就在用户计算机上安装运行并损害用户利益的软件, 其典型特征是:强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑等。现在流氓软件的泛滥程度已超过了各种计算机病毒,成为互联网上最大的公害

3. 为什么需要进行报文鉴别?鉴别和保密、授权有什么不同?报文鉴别和实体鉴别有什么区别?

解答:

鉴别和加密(或保密)并不相同。

鉴别是要验证通信的对方的确是自己所要通信的对象,而不是其他的冒充者

鉴别与授权是不同的概念。授权涉及到的问题是:所进行的过程是否被允许(如是否可以对某文件进行读或写)。

鉴别可分为两种。

• 一种是报文鉴别,即所收到的报文的确是报文的发送者所发送的,而不是其他人伪造的或篡改的。

• 另一种则是实体鉴别。实体可以是一个人,也可以是一个进程(客户或服务器)。

4. 什么是重放攻击?怎样防止重放攻击?

解答:

重放攻击是这样的。某个入侵者C可以从网络上截获A发给B的报文。

但C并不需要破译这个报文(因为这可能要花很多时间,也许C也没有破译这个报文的能力),而可以直接把这个由A加密的报文发送给B,使B误认为C就是A。

然后B就向伪装是A的C发送许多本来应当发给A的报文。

这样,A就收不到本来应当得到的报文,而C却得到了很多B发送给A的报文。虽然这些报文是加密的。但C可以想办法来破译。这就叫做重放攻击