freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

chapter10網(wǎng)絡(luò)安全-文庫吧資料

2024-09-09 14:57本頁面
  

【正文】 eout 48 ? 攻擊者:發(fā)送大量偽造的用于 TCP連接請求的 SYN數(shù)據(jù)段,源 IP地址常常是偽造的 ? 目標(biāo)機(jī):存在大量的半開連接,耗盡系統(tǒng)資源而無法處理正常連接建立請求 TCP SYN Flood攻擊過程 49 TCP SYN Flood防御 ? 縮短 SYN Timeout時間 ,例如設(shè)置為 20秒以下 ? 限制在給定的時間內(nèi) TCP半開連接的數(shù)量 ? SYN Proxy ? 原理:客戶只有在和服務(wù)器前端的防火墻完成三步握手連接建立以后,才能與服務(wù)器建立連接 1)防火墻攔截客戶端發(fā)往服務(wù)器的 SYN數(shù)據(jù)段,并且回應(yīng) SYN/ACK 2)如果收到客戶端發(fā)送的 ACK,則構(gòu)造 SYN發(fā)往服務(wù)器,建立真正的 TCP連接 ? 本質(zhì)上是由防火墻來承擔(dān) SYN Flood攻擊 ? SYN Cookie ? 原理:客戶只有在完成三步握手連接建立以后,在服務(wù)器端才分配資源 1)收到 SYN后,服務(wù)器端把對客戶端的 IP和端口號、服務(wù)器的 IP和端口號等信息進(jìn)行散列運(yùn)算得到的 cookie作為 SYN/ACK的序列號,并且不分配任何資源 2)如果收到來自客戶端的 ACK,則采用和步驟 1相同的方法計算 cookie,以驗證ACK中的序列號是否正確,如果正確,則建立 TCP連接 ? 服務(wù)器需要計算 cookie,消耗資源 目前對于 TCP SYN Flood攻擊還沒有行之有效 的解決方案,只能緩解,不能從根本上消除 50 DMZ Firewall Inter Intra Attacks 防范技術(shù) ? 防火墻是最常用的抵擋各種網(wǎng)絡(luò)攻擊的防范技術(shù) DMZ:停火區(qū),一般放置 Inter上主機(jī)能夠訪問的 web服務(wù)器、 FTP服務(wù)器等 Intra:受保護(hù)的內(nèi)部網(wǎng)絡(luò),禁止 Inter上的主機(jī)直接訪問 51 防火墻定義 ? 防火墻是在兩個網(wǎng)絡(luò)(內(nèi)部和外部)之間強(qiáng)制實行訪問控制策略的一個系統(tǒng)或者一組系統(tǒng) ? 防火墻由多個部件組成,并具有以下特性: ? 所有的從內(nèi)部到外部或者從外部到內(nèi)部的通信都必須經(jīng)過它 ? 只有內(nèi)部訪問策略授權(quán)的通信才允許通過 ? 系統(tǒng)本身具有高可靠性 52 防火墻功能 ? 過濾不安全的服務(wù)和禁止非法訪問 ? 控制對特殊站點的訪問,可以允許受保護(hù)網(wǎng)絡(luò)的一部分主機(jī)被外部訪問,而其它部分則禁止 ? 提供訪問記錄和審計等功能 53 防火墻分類 ? 分組過濾防火墻 ? 僅根據(jù)分組中的信息(地址、端口號、協(xié)議)執(zhí)行相應(yīng)的過濾規(guī)則,每個分組的處理都是獨(dú)立的 ? 狀態(tài)檢測防火墻 ? 不僅根據(jù)分組中的信息,而且還根據(jù)記錄的連接狀態(tài)、分組傳出請求等來進(jìn)行過濾 ? TCP:為建立連接的 SYN分組建立狀態(tài),只允許對該 SYN的應(yīng)答分組進(jìn)入。 ? 數(shù)字簽名標(biāo)準(zhǔn)( DSS) ? DSA(數(shù)字簽名算法,是 ElGamal公鑰算法的一種變體) Bob的 私鑰 DB Alice的 公鑰 EA Alice的 私鑰 DA Bob的 公鑰 EB M M Alice的主機(jī) Bob的主機(jī) 傳輸線 DA(M) EB(DA(M)) DA(M) 29 ? 單向散列函數(shù)( hash,雜湊函數(shù))可以從一段很長的消息中計算出一個固定長度的比特串,該比特串通常稱為消息摘要( MD: Message Digest) ? 單向散列函數(shù)有以下特性: ? 給定 M,易于計算出 消息摘要 MD( M) ? 只給出 MD( M),幾乎無法找出 M ? 無法生成兩條具有同樣相同摘要的消息 ? 常用單向散列函數(shù) ? MD5:消息任意長度,消息摘要 128比特 ? SHA1:消息任意長度,消息摘要 160比特 30 單向散列函數(shù)舉例 ? MD5: Message Digest 5 ? 計算過程:消息填充為 512比特長度的整數(shù)倍 變換 變換 變換 512比特 512比特 512比特 。 27 ? 數(shù)字簽名,實現(xiàn)消息的不可否認(rèn)性 ? 接收方可以驗證發(fā)送方所宣稱的身份 ? 發(fā)送方以后不能否認(rèn)發(fā)送該消息的內(nèi)容 ? 接收方不可能自己編造這樣的消息 ? 認(rèn)證 ? 保證消息的完整性,發(fā)送方發(fā)送的消息如果被惡意篡改,接收方能夠知道 ? 惡意用戶無法向網(wǎng)絡(luò)中發(fā)送偽造消息 需要注意的是這里的認(rèn)證是指認(rèn)證的算法,而不 是認(rèn)證協(xié)議,在認(rèn)證協(xié)議中使用了這些認(rèn)證算法 28 ? 公鑰密碼體制的一個重要應(yīng)用就是數(shù)字簽名,數(shù)字簽名就是利用私鑰生成簽名,而用公鑰驗證簽名。 26 其它公鑰密碼算法 ? ElGamal密碼 ? 1985年 ElGamal設(shè)計的密碼算法,該算法是基于有限域上離散對數(shù)問題求解的困難性。 ? 1999年,一個 292臺計算機(jī)組成的網(wǎng)絡(luò)花了 155位的十進(jìn)制數(shù)( 512比特)。 ? ? 選擇 p ,q, p ,q為互異素數(shù),計算 n=p*q, φ(n)=(p1)(q1), 選擇整數(shù) e與 φ(n)互素,即 gcd(φ(n),e)=1,1eφ (n),計算d,使 d=e1(modφ (n))),公鑰 Pk={e,n}。單向函數(shù)是一些易于計算但難于求逆的函數(shù),而單向陷門函數(shù)就是在已知一些額外信息的情況下易于求逆的單向函數(shù),這些額外信息就是所謂的陷門。 ? 對稱算法無法實現(xiàn)抗否認(rèn)需求 ? 非對稱密鑰體制 /公鑰密碼體制的基本原則 ? 加密能力與解密能力是分開的 ? 密鑰分發(fā)簡單 ? 需要保存的密鑰量大大減少 ? 可滿足不相識的人之間保
點擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1