网路层-淡江大学.ppt

是藉由傳送大量SYN封包給目標主機，使得目標主機忙於處理這些封包，而無法正常地提供合法使用者服務 SYN封包是當使用者要跟目標主機通訊時，會先送出一個SYN封包來要求目標主機進行通訊，目標主機收到後會回應一個SYN-ACK封包給使用者，使用者再送一個ACK封包給目標主機確認 然後才開始進行通訊協議。攻擊者就送出多個SYN封包給目標主機，主機以為要進行通訊便開啟一個通訊埠並傳送SYN-ACK訊息給使用者，並等待使用者回覆ACK封包 這個等待必須等到該封包溢時 (Overflow)才會移除，若一個時段內有多個這樣的等待事件，則會使得系統處理速度變緩慢 請求氾濫攻擊 回覆氾濫攻擊 攻擊者傳送一連串Ping封包(或 ICMP echo messages)給一個第三者 然後以IP欺騙的方式將之送給第三者的這些封包上之來源位址改為受攻擊主機的IP位址 第三者會誤以為這些封包是由這個受害主機所傳送過來的，因此將回覆封包傳送給這個受害主機 由於Ping封包會要求路由器對網路廣播，使得網路上充滿了要求及回應封包，進而讓網路壅塞甚至中斷 分散式攻擊 指多個遠端主機在同一時段內傳送許多訊息給目標主機，使得目標主機在短時間內因收到大量的訊息而癱瘓(DDoS) 另一種分散攻擊方式是針對網路來進行攻擊，其攻擊方式就是在網路上傳輸許多訊息，藉以浪費頻寬，造成網路壅塞，這種攻擊雖不致會對電腦主機造成傷害，但能使合法的使用者無法正常地存取資料 一般來說分散式阻斷服務攻擊是很難防範的，因為由這些分散主機所做的傳輸都跟正常的使用者無異，因此系統很難去分辨真假 * * * * 應用層的網路安全通訊協定 SMTP : 簡易電子郵件傳輸協定 TELNET : 遠端登入協定 FTP : 檔案傳輸協定 DNS : 網域名稱伺服器 SNMP : 簡易網路管理協定 應用層的網路安全通訊協定(續) 以資訊為基礎的服務 Gopher：一種選項導向的資訊瀏覽器與伺服器 WAIS：廣域資訊服務，用來索引並蒐尋資料庫檔的服務 WWW/HTTP：通訊協定的資訊系統 以遠端程序呼叫為基礎的服務 NFS : 網路檔案系統(Network File System) NIS : 網路資訊服務(Network Information Services) 作業系統(OS) 安全評量 UDP IP GSSAPI IP SEC HTTP Telnet, FTP E-Mail SHTTP SSL GSAPPI PGP PEM 網際網路安全架構 PGP安全電子郵件系統 PGP是1991年Philip Zimmermann 設計，以公開金鑰演算法為基礎所發展出來的電子郵件傳送工具，提供隱密性、資料來源鑑別、資料真確性與不可否認性等服務 PGP應用下列技術提供電子郵件安全服務： 隱密性：採用CBC模式的IDEA加密演算法 金鑰管理：應用RSA長度384、512或1024位元 訊息真確性及數位簽章：使用RSA與MD5的演算法 壓縮：訊息在加密前先用ZIP2.0 壓縮，可減少資料量和明文資料的重複性 PGP 訊息的傳送及接收 電子郵件系統所使用的符號及其意義 PGP的數位簽章結構圖 PGP協定的數位簽章機制 鑑別性 PGP的訊息加密結構圖 PGP協定的訊息加密機制 機密性 PGP協定的郵件傳遞流程 機密、完整、鑑別 發送方 上面應該是RSA加密(EP) ＝ PGP協定的郵件傳遞流程(續) 接收方 上面應該是RSA解密(DP) ＝ SSL安全傳輸協定 SSL (Secure Socket Layer)是由Netscape於1995年所發表的網路安全協定。其主要功能是建立瀏覽器與web伺服器間資料傳遞的安全通道 SSL透過加密的技術來保障交易資料的安全，當用戶端在傳送資料時，便啟動SSL加密機制 「https://」開頭，即表示具有SSL保護的網頁 SSL安全傳輸協定(續) SSL提供的安全服務主要有下列幾項： 提供資料傳送的機密性 (Confidentiality) 提供資料傳送的完整性 (Integrity) 提供使用者與顧客間的身分鑑別機制 (Authenticity) SSL協定主要分成兩部份： SSL紀錄協定(SSL Record Protocol) 提供資料機密性及完整性兩種服務 SSL交握協定(SSL Handshake Protocol) 提供使用者與伺服器間的身分驗證機制 數位憑證格式(1/2) - X.509 V3 【憑證版本】 標明憑證的版本格式。 【序號】 由發行的 CA 所指定的獨一無二的