• 中斷——拒絕服務(wù)式攻擊
  舉例：DoS拒絕服務(wù)式攻擊，通過在網(wǎng)絡(luò)上擁擠一些沒用的數(shù)據(jù)包來組斷網(wǎng)絡(luò)。一般會占用下載通道ADSL而不是上傳通道UDP，因為下載的帶寬要大得多。
  DDoS分布式攻擊，可以在網(wǎng)絡(luò)上找很多有漏洞的網(wǎng)站(肉雞)，給指定的服務(wù)器發(fā)流量來使網(wǎng)絡(luò)擁擠吃掉帶寬，對于這種方式?jīng)]有什么好辦法。

DDos攻擊

• 篡改——修改域名解析的結(jié)果
  類似于釣魚網(wǎng)站，當(dāng)用戶想出入建設(shè)銀行的域名，解析錯誤導(dǎo)致用戶訪問了錯誤的網(wǎng)站，當(dāng)用戶輸入賬號密碼的話就會導(dǎo)致信息泄漏。
• 偽造——偽裝成其它主機(jī)的IP地址
  趁其它主機(jī)關(guān)機(jī)時，把IP地址偽裝成該主機(jī)的IP地址，從而獲取信息。

計算機(jī)面臨的威脅——惡意程序(rogue program)

• 計算機(jī)病毒——會“傳染”其它程序，“傳染”是通過修改其它程序來把自身或其變種復(fù)制進(jìn)去完成的。(熊貓燒香)
• 計算機(jī)蠕蟲——通過網(wǎng)絡(luò)的通信功能將自身從一個結(jié)點發(fā)送到另一個結(jié)點并啟動運(yùn)行的程序。(消耗CPU資源)
• 特洛伊木馬——一種程序，它執(zhí)行的功能超過所聲稱的功能。(和(1)(2)的區(qū)別是會和外界通信)
• 邏輯炸彈——一種當(dāng)運(yùn)行環(huán)境滿足某種特定條件時執(zhí)行其它特殊功能的程序。

木馬程序的識別

查看會話netstat -n看看是否有可疑的會話；運(yùn)行msconfig服務(wù)，把隱藏微軟服務(wù)掉，看看剩下的有哪些刻意；殺毒軟件。

加密技術(shù)

廣泛應(yīng)用于應(yīng)用層加密。

對稱加密

加密密鑰和解密密鑰是同一個。缺點：密鑰不適合在網(wǎng)上傳；密鑰是一對一的，如果有很多主機(jī)相互通信，有很多密鑰需要維護(hù)；優(yōu)點：效率高。加密包括加密算法和加密密鑰。

數(shù)據(jù)加密標(biāo)準(zhǔn)DES

• 它屬于常規(guī)密鑰密碼體制，是一種分組密碼。在加密前，先對整個銘文進(jìn)行分組，每一個租場為64位，然后對每一個64位二進(jìn)制數(shù)據(jù)進(jìn)行加密處理，產(chǎn)生一組64位密文數(shù)據(jù)。最后將各組密文串接起來，即得出整個密文。使用的密鑰是64位(實際密鑰長度為56位，有8位數(shù)用來奇偶校驗)。
• DES的保密性
  僅取決于對密鑰的保密，而算法本身是公開的。盡管人在破譯DES上有很多進(jìn)展，但是至今沒有找到比窮舉搜索密鑰更有效的方法。
  DES是世界上第一個公認(rèn)的使用密碼算法標(biāo)準(zhǔn)，它曾對密碼學(xué)的發(fā)展做出了重大貢獻(xiàn)。
  目前較為嚴(yán)重的問題是DES的密鑰的長度。
  現(xiàn)在已經(jīng)設(shè)計出來搜索DES密鑰的專用芯片。
  DES算法公開，所以破解取決于密鑰長度，56位密碼破解需要3.5-21min；128位密鑰破解需要5.4*10^18年。

非對稱加密

• 加密密鑰和解密密鑰是不同的，有一對密鑰對，公鑰和私鑰。
  要么公鑰加密私鑰解密；要么私鑰加密公鑰解密。
• 優(yōu)點：給出私鑰和公鑰其中一個無法算出另一個。
• 缺點：效率低。
• 非對稱加密實現(xiàn)細(xì)節(jié)：
  設(shè)A是非對稱加密機(jī)制；B為對稱加密機(jī)制；A1要給A2傳一組數(shù)據(jù)，很大，如果直接用非對稱加密花的時間很長；為了加快速度，用對稱加密手段B來加密這個數(shù)據(jù)得到加密后數(shù)據(jù)B’和密鑰B給A1，速度很快；然后A1對密鑰B進(jìn)行非對稱加密得到公鑰A1’；A1把密鑰A1’和數(shù)據(jù)B’發(fā)給A2；A2運(yùn)用私鑰解密A1’獲得密鑰B，再用密鑰B解密這個數(shù)據(jù)，最終得到想要的結(jié)果。
  通過這種對數(shù)據(jù)采用對稱加密，對對稱加密的密鑰進(jìn)行非對稱加密的方式能實現(xiàn)快速加密。

數(shù)字簽名

防止抵賴，能夠檢查簽名后的內(nèi)容有沒有被更改過。

證書頒發(fā)機(jī)構(gòu)CA

來驗證公鑰是否是證書頒發(fā)機(jī)構(gòu)認(rèn)證過。為企業(yè)和用戶頒發(fā)數(shù)字證書，確認(rèn)這些企業(yè)和個人的身份；如果證書丟失，它要發(fā)布證書吊銷列表；企業(yè)和個人是信任證書頒發(fā)機(jī)構(gòu)的。

Internet上使用的安全協(xié)議

安全套接字ssl(Secure Sockets Layer)

• ssl的位置
  是在應(yīng)用層和傳輸層之間進(jìn)行加密。好處是應(yīng)用層和傳輸層都不需要來加密。不需要應(yīng)用程序(應(yīng)用層)來支持，但是需要在服務(wù)器配置證書。
  例如，不使用ssl加密使用的是http://，使用ssl加密是https://。
  注意，http://使用的是TCP的80端口，而https://使用的是TCP的443端口。

• ssl的配置(加密的實現(xiàn))(https://)
  客戶端有一個瀏覽器IE，想要訪問服務(wù)器端的網(wǎng)站web；
  瀏覽器IE要訪問網(wǎng)站web，此時網(wǎng)站web會把他的公鑰給瀏覽器IE；
  瀏覽器IE通過校驗CA證書確保網(wǎng)站web的公鑰是可靠的；
  瀏覽器IE會產(chǎn)生一個對稱密鑰；
  瀏覽器IE拿著網(wǎng)站web的公鑰對它的對稱密鑰進(jìn)行加密，發(fā)給網(wǎng)站web；
  網(wǎng)站web用它的私鑰進(jìn)行解密，就得到了瀏覽器IE的對稱密鑰；
  所以說，本質(zhì)上是用對稱密鑰對數(shù)據(jù)進(jìn)行加密的，公鑰和私鑰是用來對這個對稱密鑰進(jìn)行加密的。這也是為什么https://剛開始打開的時候會有一些慢。
• 另外一些協(xié)議使用的安全套接字ssl時對應(yīng)的TCP端口
  imaps tcp-993
  pop3s tcp-995
  smtps tcp-465
  https tcp-443
• ssl提供的三個功能
  ->ssl服務(wù)器鑒別：允許用戶證實服務(wù)器的身份；具有ssl功能的瀏覽器維持一個表，上面有一些可信賴的認(rèn)證中心CA(Certificate Authority)和它們的公鑰。
  ->加密的ssl會話：客戶和服務(wù)器交互的所有數(shù)據(jù)都在發(fā)送方加密，在接收方解密。
  ->ssl客戶鑒別：允許服務(wù)器證實客戶的身份。

網(wǎng)絡(luò)層安全I(xiàn)PSec

網(wǎng)絡(luò)層安全是底層安全，不需要應(yīng)用程序支持，也不需要配置證書，對用戶是透明的(感覺不到)。

• 安全關(guān)聯(lián)SA(Security Association)
  在使用AH或ESP之前，先要從源主機(jī)到目的主機(jī)建立一條網(wǎng)絡(luò)層的邏輯連接。此邏輯連接叫做安全關(guān)聯(lián)SA。
  IPsec就把傳統(tǒng)的Internet無連接的網(wǎng)絡(luò)層轉(zhuǎn)換為具有邏輯連接的層。
  SA是構(gòu)成IPSec的基礎(chǔ)，是兩個通信實體經(jīng)過協(xié)商(利用IKE協(xié)議)建立起來的一種協(xié)定，它決定了用來保護(hù)數(shù)據(jù)分組安全的安全協(xié)議(AH協(xié)議(只簽名：只關(guān)心發(fā)送方的身份而不關(guān)心數(shù)據(jù)是否被竊取)或ESP協(xié)議(既簽名又對數(shù)據(jù)加密))，轉(zhuǎn)碼方式，密鑰及密鑰的生存周期等。
• IPsec中最主要的2個協(xié)議

1. 鑒別首部AH(Authentication Header):AH鑒別源點和檢查數(shù)據(jù)完整性，但不能保密。
   在使用AH時，把AH首部插在原數(shù)據(jù)報數(shù)據(jù)部分的簽名，同時把IP首部中的協(xié)議字段設(shè)置為51.
   在傳輸過程中，中間的路由器都不查看AH首部。當(dāng)數(shù)據(jù)報到達(dá)終點時，目的主機(jī)才會處理AH字段，以鑒別源點和檢查數(shù)據(jù)報的完整性。

1. 封裝安全有效載荷ESP(Encapsulation Security Payload):ESP比AH復(fù)雜的多，它鑒別源點，檢查數(shù)據(jù)完整性和提供保密。
   使用ESP時，IP數(shù)據(jù)報首部的協(xié)議字段設(shè)置為50.當(dāng)IP首部檢查到協(xié)議字段是50時，就知道在IP首部后面緊跟著ESP首部，同時在原IP數(shù)據(jù)報后面增加了2個字段，即ESP尾部和ESP數(shù)據(jù)。

數(shù)據(jù)鏈路層安全(鏈路加密與端到端加密)

PPP 身份驗證ADSL

防火墻(firewall)

防火墻的功能

(1)阻止：阻止某種類型的通信量通過防火墻(從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)，或反過來)。(2)允許：允許某種類型的通信量通過防火墻(從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)，或反過來)。防火墻必須能夠識別通信量的各種類型。一般是阻止功能。

防火墻的結(jié)構(gòu)

• 邊緣防火墻

• 三向外圍網(wǎng)

DMZ是公司內(nèi)部的服務(wù)器。內(nèi)網(wǎng)可以訪問外網(wǎng)，外網(wǎng)不能訪問內(nèi)網(wǎng)，只能訪問服務(wù)器DMZ。

• 背靠背防火墻

• 單一網(wǎng)卡防火墻