计算机网络中科大 - 第7章 网络安全(详细解析)-以及案例
目录
- 🛡️ 第8章:网络安全(Network Security)优化整合笔记
- 📌 本章学习目标
- 一、网络安全概念
- 二、加密技术(Encryption)
- 1. 对称加密(Symmetric Key)
- 2. 公钥加密(Public Key)
- 三、认证机制(Authentication)
- 四、报文完整性与数字签名
- 五、密钥分发与证书
- 六、防火墙与访问控制
- 1. 防火墙分类
- 2. 过滤方式
- 七、攻击类型与防御措施
- 八、典型安全协议实践
- 1. 📧 安全电子邮件(PGP)
- 2. 🔐 SSL / TLS
- 3. 🛜 IPsec
- 4. 📶 IEEE 802.11 无线网络安全
- 九、入侵检测系统(IDS)
- 🔚 本章总结
- ✅ 案例一:银行网站中的中间人攻击(Man-in-the-Middle Attack)
- 📍场景背景:
- 🧨 攻击流程:
- 📚 涉及知识点:
- ✅ 防御措施:
- ✅ 案例二:校园网ARP欺骗导致的分组嗅探
- 📍场景背景:
- 🧨 攻击方式:
- 📚 涉及知识点:
- ✅ 防御措施:
- ✅ 案例三:DDoS攻击瘫痪政府门户网站
- 📍场景背景:
- 🧨 攻击方式:
- 📚 涉及知识点:
- ✅ 防御措施:
- 📌 小结:案例启发式复习表
🛡️ 第8章:网络安全(Network Security)优化整合笔记
📌 本章学习目标
- 理解网络安全的基本原理(加密、认证、完整性、密钥分发)
- 熟悉安全实践技术(防火墙、各层安全、攻击与防御)
- 掌握常见协议的安全机制(SSL、IPsec、802.11i 等)
一、网络安全概念
| 安全目标 | 含义 |
|---|---|
| 机密性 | 只有通信双方能读取数据(通过加密实现) |
| 报文完整性 | 确保报文未被篡改 |
| 身份认证 | 验证对方身份 |
| 访问控制 | 限制未授权用户访问资源 |
| 可用性 | 服务对授权用户始终可用 |
二、加密技术(Encryption)
1. 对称加密(Symmetric Key)
- 加密与解密使用相同的密钥
- 算法:DES、3DES、AES
- 密码块链模式:引入前一密文参与当前加密
2. 公钥加密(Public Key)
- 加密与解密使用不同的密钥(公钥加密,私钥解密)
- 算法:RSA
- 应用场景:密钥交换、身份认证
三、认证机制(Authentication)
| 协议版本 | 描述 | 漏洞 |
|---|---|---|
| ap1.0 | “我是Alice” | 可被假冒 |
| ap2.0 | 携带IP地址 | IP可伪造 |
| ap3.0 | 发送密码 | 可被重放 |
| ap4.0 | 使用Nonce和对称密钥加密 | 安全但需要共享密钥 |
| ap5.0 | 使用Nonce与公钥加密 | 避免共享密钥,但存在中间人攻击 |
四、报文完整性与数字签名
-
散列函数(如MD5, SHA-1):
- 将任意长度信息压缩成固定长度摘要
- 不可逆、抗碰撞
-
数字签名:
- 发送者使用私钥签署消息的哈希值
- 接收者使用公钥验证
- 实现认证、完整性、不可否认性
五、密钥分发与证书
| 机制 | 描述 |
|---|---|
| KDC | 密钥分发中心,给通信双方分发对称密钥 |
| CA | 证书认证中心,颁发含公钥的可信数字证书 |
| 信任树 | 根CA签发证书给下级CA,建立链式信任关系 |
六、防火墙与访问控制
1. 防火墙分类
- 网络级(分组过滤器):依据IP/端口/TCP flag等规则
- 应用级(应用网关):基于内容进行过滤,安全性更高
2. 过滤方式
- 无状态:逐个检查报文头部字段
- 有状态:结合连接状态判断合法性(基于连接表)
七、攻击类型与防御措施
| 攻击方式 | 描述 | 防御方法 |
|---|---|---|
| 窃听 | 捕获未加密报文 | 使用加密 |
| 重放攻击 | 捕获合法数据后重新发送 | 使用Nonce、时间戳 |
| IP欺骗 | 冒充他人IP地址 | 入口过滤、入侵检测 |
| DoS/DDoS攻击 | 用大量数据报淹没目标主机 | 流量监控、IP黑名单、源追踪 |
| 分组嗅探 | 在共享网络中监听数据帧 | 使用交换网络、检测混杂模式 |
八、典型安全协议实践
1. 📧 安全电子邮件(PGP)
- 使用对称加密+数字签名+公钥加密分发对称密钥
- 提供机密性、完整性和认证
2. 🔐 SSL / TLS
- 提供浏览器与服务器之间的加密连接
- 过程:
- 握手建立主密钥
- 使用主密钥生成 4 个密钥
- 数据加密与MAC校验
3. 🛜 IPsec
- 网络层安全协议:AH(认证)和ESP(加密+认证)
- 创建安全关联(SA),用于加密传输IP报文
4. 📶 IEEE 802.11 无线网络安全
- WEP(已废弃):容易破解
- WPA / WPA2(802.11i):引入动态密钥管理和更强加密
- 使用EAP协议和RADIUS服务器进行认证
九、入侵检测系统(IDS)
- 检查网络流量是否包含攻击模式
- 提供对端口扫描、病毒特征串、网络映射等行为的响应能力
🔚 本章总结
| 核心技术 | 说明 |
|---|---|
| 加密算法 | DES、AES、RSA |
| 认证机制 | Nonce、防重放攻击、数字签名 |
| 报文完整性 | 哈希算法、MAC、数字签名 |
| 密钥管理 | KDC、CA、证书链 |
| 网络安全措施 | 防火墙、IDS、ACL、分组过滤 |
| 实践协议 | SSL、IPsec、PGP、802.11i |
| 攻击防御 | 窃听、重放、IP欺骗、DoS及其防范措施 |
✅ 案例一:银行网站中的中间人攻击(Man-in-the-Middle Attack)
📍场景背景:
用户Alice登录某银行网站时,攻击者Trudy在她与服务器之间插入中间节点,成功劫持数据。
🧨 攻击流程:
- Trudy伪装成银行网站向Alice发送伪造的SSL证书。
- Alice浏览器没有识别出伪造证书,继续通信。
- Alice向“银行”提交账号和密码,但Trudy截获并查看了这些敏感信息。
📚 涉及知识点:
- 公开密钥加密(RSA)原理
- 数字证书与认证中心(CA)
- 中间人攻击在认证协议ap5.0中的风险
✅ 防御措施:
- 浏览器启用CA证书验证机制;
- 使用SSL证书链检查来验证网站身份;
- 浏览器提示“不受信任的证书”时立即终止连接;
- 用户应查看HTTPS证书颁发者信息和合法性。
✅ 案例二:校园网ARP欺骗导致的分组嗅探
📍场景背景:
在某高校局域网中,攻击者Trudy通过ARP欺骗,让所有数据流经其主机,从而监听了同学Alice的账户信息。
🧨 攻击方式:
- Trudy向局域网广播伪造的ARP响应,将网关的IP映射为自己的MAC地址;
- 所有主机数据包路由经过Trudy;
- Trudy启用混杂模式的网卡监听所有未加密报文。
📚 涉及知识点:
- ARP欺骗与分组嗅探原理
- 混杂模式
- 安全WiFi传输标准(802.11、WEP、WPA)
✅ 防御措施:
- 使用交换式以太网,避免共享媒介;
- 检查主机是否运行在混杂模式;
- 全面使用HTTPS、SSH等加密协议;
- 启用WPA2或WPA3代替WEP;
- 局域网防ARP欺骗软件部署。
✅ 案例三:DDoS攻击瘫痪政府门户网站
📍场景背景:
某政府官网在国庆前夕遭到大规模分布式拒绝服务(DDoS)攻击,短时间内无法访问。
🧨 攻击方式:
- 攻击者控制成千上万的“肉鸡”(被感染的主机);
- 同时向目标网站发送SYN请求,造成连接资源耗尽;
- 正常用户无法与服务器建立连接。
📚 涉及知识点:
- SYN Flood 攻击原理(伪造SYN+ACK无法完成三次握手)
- 防火墙中的分组过滤策略(SYN/ACK位判断)
- DoS与DDoS攻击的本质与识别
✅ 防御措施:
- 启用SYN Cookies机制缓解半连接队列耗尽;
- 使用防火墙/IDS过滤可疑IP请求;
- 建立速率限制规则;
- 利用CDN服务或云安全防护服务进行流量牵引与清洗;
- 追溯攻击源,及时封锁控制中心指令通道。
📌 小结:案例启发式复习表
| 案例编号 | 主要威胁类型 | 技术知识点 | 推荐防护措施 |
|---|---|---|---|
| 案例一 | 中间人攻击 | RSA、数字证书、ap5.0 | 启用HTTPS验证机制、验证证书链 |
| 案例二 | 分组嗅探、ARP欺骗 | ARP协议、WEP/WPA、交换机 | HTTPS、交换网络、禁用混杂模式 |
| 案例三 | 拒绝服务攻击(DDoS) | TCP三次握手、SYN flood、防火墙 | SYN Cookies、流量牵引、接入防护网关设备等 |
相关文章:
计算机网络中科大 - 第7章 网络安全(详细解析)-以及案例
目录 🛡️ 第8章:网络安全(Network Security)优化整合笔记📌 本章学习目标 一、网络安全概念二、加密技术(Encryption)1. 对称加密(Symmetric Key)2. 公钥加密࿰…...
)
2026《数据结构》考研复习笔记一(C++基础知识)
C基础知识复习 一、数据类型二、修饰符和运算符三、Lambda函数和表达式四、数学函数五、字符串六、结构体 一、数据类型 1.1基本类型 基本类型 描述 字节(位数) 范围 char 字符类型,存储ASCLL字符 1(8位) -128…...
XCTF-web(四)
unserialize3 需要反序列化一下:O:4:“xctf”:2:{s:4:“flag”;s:3:“111”;} php_rce 题目提示rce漏洞,测试一下:?s/Index/\think\app/invokefunction&functioncall_user_func_array&vars[0]phpinfo&vars[1][]1 flag࿱…...
在Vue项目中查询所有版本号为 1.1.9 的依赖包名 的具体方法,支持 npm/yarn/pnpm 等主流工具
以下是 在Vue项目中查询所有版本号为 1.1.9 的依赖包名 的具体方法,支持 npm/yarn/pnpm 等主流工具: 一、使用 npm 1. 直接过滤依赖树 npm ls --depth0 | grep "1.1.9"说明: npm ls --depth0:仅显示直接依赖…...
若依微服务版启动小程序后端
目录标题 本地启动,dev对应 nacos里的 xxx-xxx-dev配置文件 本地启动,dev对应 nacos里的 xxx-xxx-dev配置文件...
莒县第六实验小学:举行“阅读世界 丰盈自我”淘书会
4月16日,莒县第六实验小学校园内书香四溢、笑语盈盈,以“阅读世界 丰盈自我”为主题的第二十四届读书节之“淘书会”活动火热开启。全校师生齐聚一堂,以书会友、共享阅读之乐,为春日校园增添了一抹浓厚的文化气息。 活动在悠扬的诵…...
国产数据库与Oracle数据库事务差异分析
数据库中的ACID是事务的基本特性,而在Oracle等数据库迁移到国产数据库国产中,可能因为不同数据库事务处理机制的不同,在迁移后的业务逻辑处理上存在差异。本文简要介绍了事务的ACID属性、事务的隔离级别、回滚机制和超时机制,并总…...
C++学习记录:
今天我们来学习一门新的语言,也是C语言最著名的一个分支语言:C。 在C的学习中,我们主要学习的三大组成部分:语法、STL、数据结构。 C的介绍 C的历史可追溯至1979年,当时贝尔实验室的本贾尼斯特劳斯特卢普博士在面对复杂…...
等离子体浸没离子注入(PIII)
一、PIII 是什么?基本原理和工艺 想象一下,你有一块金属或者硅片(就是做芯片的那种材料),你想给它的表面“升级”,让它变得更硬、更耐磨,或者有其他特殊功能。怎么做呢?PIII 就像是用…...
LeetCode-16.最接近的三数之和 C++实现
一 题目描述 给你一个长度为 n 的整数数组 nums 和 一个目标值 target。请你从 nums 中选出三个整数,使它们的和与 target 最接近。 返回这三个数的和。 假定每组输入只存在恰好一个解 示例 1: 输入:nums [-1,2,1,-4], target 1 输出&…...
【机器学习】每日一讲-朴素贝叶斯公式
文章目录 **一、朴素贝叶斯公式详解****1. 贝叶斯定理基础****2. 从贝叶斯定理到分类任务****3. 特征独立性假设****4. 条件概率的估计** **二、在AI领域的作用****1. 文本分类与自然语言处理(NLP)****2. 推荐系统****3. 医疗与生物信息学****4. 实时监控…...
C 语言中的 volatile 关键字
1、概念 volatile 是 C/C 语言中的一个类型修饰符,用于告知编译器:该变量的值可能会在程序控制流之外被意外修改(如硬件寄存器、多线程共享变量或信号处理函数等),因此编译器不应对其进行激进的优化(如缓存…...
Python自学第1天:变量,打印,类型转化
突然想学Python了。经过Deepseek的推荐,下载了一个Python3.12安装。安装过程请自行搜索。 乖乖从最基础的学起来,废话不说了,上链接,呃,打错了,上知识点。 变量的定义 # 定义一个整数类型的变量 age 10#…...
探索鸿蒙应用开发:ArkTS应用执行入口揭秘
# 探索鸿蒙应用开发:ArkTS应用执行入口揭秘 在鸿蒙应用开发的领域中,ArkTS作为声明式开发语言,为开发者们带来了便捷与高效。对于刚接触鸿蒙开发的小伙伴来说,搞清楚ArkTS应用程序的执行入口是迈向成功开发的关键一步。今天&…...
idea中提高编译速度研究
探索过程: 有三种情况: 第一种: idea中用eclipse编译器编译springboot项目,然后debug启动Application报错找不到类。 有待继续研究。 第二种: idea中用javac编译器编译springboot项目,重新构建用时&a…...
静态链接part2
编译 语义分析 由语义分析器完成,这个步骤只是完成了对表达式的语法层面的分析,它并不了解这个语句是否真的有意义(例如在C语言中两个指针做乘法运算,这个语句在语法上是合法的,但是没有什么意义;还有同样…...
Vue3+Vite+TypeScript+Element Plus开发-17.Tags-组件构建
系列文档目录 Vue3ViteTypeScript安装 Element Plus安装与配置 主页设计与router配置 静态菜单设计 Pinia引入 Header响应式菜单缩展 Mockjs引用与Axios封装 登录设计 登录成功跳转主页 多用户动态加载菜单 Pinia持久化 动态路由 -动态增加路由 动态路由-动态删除…...
MATLAB R2023b如何切换到UTF-8编码,解决乱码问题
网上都是抄来抄去,很少有动脑子的,里面说的方法都差不多,但是在R2023b上怎么试都不管用,所以静下心来分析了下,我的 ...\MATLAB\R2016b\bin\lcdata.xml 里面除了注释几乎是空的,如果这样就能用为什么要加…...
3D语义地图中的全局路径规划!iPPD:基于3D语义地图的指令引导路径规划视觉语言导航
作者: Zehao Wang, Mingxiao Li, Minye Wu, Marie-Francine Moens, Tinne Tuytelaars 单位:鲁汶大学电气工程系,鲁汶大学计算机科学系 论文标题: Instruction-guided path planning with 3D semantic maps for vision-language …...
ShellScript脚本编程
语法基础 脚本结构 我们先从这个小demo程序来窥探一下我们shell脚本的程序结构 #!/bin/bash# 注释信息echo_str"hello world"test(){echo $echo_str }test echo_str 首先我们可以通过文本编辑器(在这里我们使用linux自带文本编辑神器vim),新建一个文件…...
【HarmonyOS 5】敏感信息本地存储详解
【HarmonyOS 5】敏感信息本地存储详解 前言 鸿蒙其实自身已经通过多层次的安全机制,确保用户敏感信息本地存储安全。不过再此基础上,用户敏感信息一般三方应用还需要再进行加密存储。 本文章会从鸿蒙自身的安全机制进行展开,最后再说明本地…...
大厂面试:六大排序
前言 本篇博客集中了冒泡,选择,二分插入,快排,归并,堆排,六大排序算法 如果觉得对你有帮助,可以点点关注,点点赞,谢谢你! 1.冒泡排序 //冒泡排序ÿ…...
.exe变成Windows服务
.exe变成Windows服务) 场景步骤 1: 安装 PyInstaller和win32serviceutil步骤 2: 使用 PyInstaller 创建 .exe 文件步骤 3: 检查生成的 .exe 文件步骤 4: 安装服务步骤 5: 启动服务步骤 6: 配置服务自动启动(可选)步骤 7: 检查服务状态完整示例…...
探索鸿蒙沉浸式:打造无界交互体验
一、鸿蒙沉浸式简介 在鸿蒙系统中,沉浸式是一种极具特色的设计理念,它致力于让用户在使用应用时能够全身心投入到内容本身,而尽可能减少被系统界面元素的干扰。通常来说,就是将应用的内容区巧妙地延伸到状态栏和导航栏所在的界面…...
el-tree组件使用过滤时,不展示筛选目标的子节点
1.el官方示例过滤方法 const filterNode (value: string, data: Tree) > {if (!value) return truereturn data.label.includes(value) }2.修改后的过滤方法 /*** 树节点过滤*/ const filterNode (value, data, node) > {if (!value) return true;let parentNode no…...
超详细!Android 面试题大汇总与深度解析
一、Java 与 Kotlin 基础 1. Java 的多态是如何实现的? 多态是指在 Java 中,同一个行为具有多个不同表现形式或形态的能力。它主要通过方法重载(Overloading)和方法重写(Overriding)来实现。 方法重载&a…...
网站301搬家后谷歌一直不收录新页面怎么办?
当网站因更换域名或架构调整启用301重定向后,许多站长发现谷歌迟迟不收录新页面,甚至流量大幅下滑。 例如,301跳转设置错误可能导致权重传递失效,而新站内容与原站高度重复则可能被谷歌判定为“低价值页面”。 即使技术层面无误&a…...
在Mac上离线安装k3s
目录 首先是安装multipass。 1. 系统要求 2. 环境准备 本来想照着网上文档学习安装一下k3s,没想到在docker被封了之后,现在想通过命令行去下载github的资源也不行了(如果有网友看到这个文档、并且知道问题原因的,请留言告知&am…...
无锁队列--知识分享
目录 无锁队列 无锁队列是什么 为什么需要无锁队列 队列的类型 无锁队列的分类 ringbuffer(SPSC) ret_ring(MPMC) 无锁队列 无锁队列是什么 无锁队列通过原子操作来实现线程安全的队列,属于非阻塞队列 …...
玩转Docker | 使用Docker部署Memos笔记工具
玩转Docker | 使用Docker部署Memos笔记工具 前言一、Memos介绍Memos简介主要特点二、系统要求环境要求环境检查Docker版本检查检查操作系统版本三、部署Memos服务下载镜像创建容器创建容器检查容器状态检查服务端口安全设置四、访问Memos服务访问Memos首页注册账号五、基本使用…...