《网络安全协议大作业.docx》由会员分享,可在线阅读,更多相关《网络安全协议大作业.docx(3页珍藏版)》请在第壹文秘上搜索。
1、网络安全协议大作业考虑卜.面的WCb安全威胁,并说明卜面安全威胁能否被SS1.相应的特性所防范?请指出相应的特性是什么?若不能防范,请说明理由。1 .穷举密码分析攻击可以防范。穷举攻击法又称为强力或蛮力(Bruteforce)攻击.这种攻击方法是对截获到的密文尝试遍历所有可能的密钥,直到获得了一种从密文到明文的可理解的转换;或使用不变的密钥对所有可能的明文加密直到得到与截获到的密文一致为止。SS1.3.0在加密会话中的消息时采用传统的对称加密方法,有9种加密方式可以选择-RC4with40-bi1.keysRC4with128-bi1.keysCBCB1.ockCiphers一RC2with4
2、0bitkey-DESwith40bitkeyDESwith56bitkey一Trip1.e-DESwith168bitkeyIdea(128bitkey)Fortezza(96bitkey)“CBC是CiPherB1.oCkChaining的缩写,意思为密码分组链接,表示前一段加密后的密文被用当前段的加密中使用。*DES*是指DataEncryptionStandard,有一系列不同的变被。包括DES40和3DESEDEIdea是口前最好的,也是加密强度岐高的算法。“RC2”是RSAI)S1.专用的算法。RC2用于块加密,RG1.用于流加密。其中共享主密码是通过安全密钥交换生成的临时48位位
3、组织.SS1.3.0使用两个相互独立的128位的密钥,即服务器写密钥和客户写密钥,分别用于两个方向的加/解密:使用两个相互独立的128位MACsecrets,所以穷举密码分析攻击,仅仅有截获的密文很难攻击成功。2 .已知明文字典攻击可以防范。已知明文攻击是指密码分析者除了有截获的密文外,还有一些己知的“明文一密文对”来破译密码。密码分析者的任务H标是推出用来加密的密钥或某种算法,这种算法可以对用该密钥加密的任何新的消息进行解播。在低版本的SS1.协议中,是一种非常有效且简便的攻击方法是对ciphersuit消息的回转攻击。由丁消息的发送采用明文方式,因此中间人可以截断该消息改变客户支持的加密算
4、法列表,使其采用安全性较差的算法,如使用密钥长度小的算法。但在SS1.3.0中由于使用finished消息对握手过程中的所有消息使用双方协商好的进行消息认证,因此中间人对握手消息的任何改变都会通过对finished消息的认证而被双方发现。3 .重放攻击能防范,SS1.通过在生成MAC的数据中加入隐藏的序列号,来防止重放攻击。这种机制也可以防止被耽搁的,被重新排序的,或者是被删除数据的干扰。序列号的长度是64bit,因此打包不会有问题.另外,序列号由每个连接方向分别维护,而且在每一次新的密钥交换时进行更新,所以不会有明显的弱点。4 .中间人攻击已知明文攻击是指密码分析者除f有搬获的密文外,还有一
5、些已知的“明文一密文对”来破译密码。密码分析者的任务目标是推出用来加密的密钥或某种算法,这种算法可以对用该密钥加密的任何新的消息进行解密。能防范,在SS1.3.0中,通过对服务器端的Diffie-He1.加an指数的鉴别,可以抵御众所周知的中间人(man-in-Ihemidd1.e)攻击。5 .口令窃听这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。SS1.协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。分为两层:SS1.记录协议,建立在可赛的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SS1.握手协
6、议,建立在SS1.记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。可确保数据在网络上之传输过程中不会被截取及窃听。6 .IP地址假冒(使用伪造的【P地址欺骗主机接受伪造的数据)可以防范。IP地址欺喘是指行动产生的IP数据包为伪造的源IP地址,以便冒充其他系统或发件人的身分。Interne1.协议或IP是根本议定书发送/接收数据通过计算机网络和互联网。与网际网路通讯协定,每包发送或接收包含有关的资料的运作,例如来源地和目的地的数据包。与IP地址欺骗,信息放岂在源字段是不实际的来源,该数据包。通过使用不同的地址在源领域的数据包,实际发件人可以使像包,被
7、送往由另一台计算机上,从而反应目标计算机将被发送到假地址中指定的数据包-除非攻击者要成定向的反应,他自己的电脑。出口过滤也可以阻止假目IP地址的数据包从退出制度和发动攻击,对其他网络。上层协议,如TCP连接或传输控制协议,其中序列号码是用来建立了一个安全的连接与其他系统也是个有效的方法,防IP地址欺腑,SS1.建立在可拈的TCP上,所以不需要担心IP地址假冒攻击。7 .IP劫持(攻击者对一个正在进行的被认证过的连接进行攻击,并且取代其中一个主机)可以防范“IP劫持是指,当用户连接远程机器的时候,攻击者接管用户的连线,使得正常连线如同经过攻击者中转样,攻击者能任意对连线交换的数据进行修改,冒充合
8、法用户给服务器发送非法命令,或冒充服务器给用户返回虚假信息0SS1.采用了RC4、MD5以及RSA等加密算法,使用40位的密钥,适用于商业信息的加密。同时,Ne1.SCaPe公司相应开发了HTTPS协议并内置于其浏览器中,HTTPS实际上就是HTTPoverSS1.,它使用默认端口443,而不是像HTTp那样使用端口80来和TCP/IP进行通信。HTTPS协议使用SS1.在发送方把原始数据进行加密,然后在接受方进行解密,加密和解密需要发送方和接受方通过交换共知的密钥来实现,因此,所传送的数据不易被搬获篡改,可以防范IP劫持攻击.8 .SYN泛滥攻击可以防范SYN攻击属于IX)S攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。SYN攻击除了能影响主机外,还可以危杏路由冷、防火墙等网络系统。而SS1.协议建立在可独的传输层协议(TCP),与应用U协议无关。所以通过加固TCP/IP协议找防范,SS1.协议就是安全的/