计算机网络中科大 - 第7章 网络安全（详细解析）

🛡️ 第8章：网络安全（Network Security）优化整合笔记📌 本章学习目标理解网络安全的基本原理（加密、认证、完整性、密钥分发）熟悉安全实践技术（防火墙、各层安全、攻击与防御）掌握常见协议的安全机制（SSL、IPsec、802.11i 等）一、网络安全概念安全目标

含义

机密性

只有通信双方能读取数据（通过加密实现）

报文完整性

确保报文未被篡改

身份认证

验证对方身份

访问控制

限制未授权用户访问资源

可用性

服务对授权用户始终可用

二、加密技术（Encryption）1. 对称加密（Symmetric Key）加密与解密使用相同的密钥算法：DES、3DES、AES密码块链模式：引入前一密文参与当前加密2. 公钥加密（Public Key）加密与解密使用不同的密钥（公钥加密，私钥解密）算法：RSA应用场景：密钥交换、身份认证三、认证机制（Authentication）协议版本

描述

漏洞

ap1.0

“我是Alice”

可被假冒

ap2.0

携带IP地址

IP可伪造

ap3.0

发送密码

可被重放

ap4.0

使用Nonce和对称密钥加密

安全但需要共享密钥

ap5.0

使用Nonce与公钥加密

避免共享密钥，但存在中间人攻击

四、报文完整性与数字签名散列函数（如MD5, SHA-1）：将任意长度信息压缩成固定长度摘要不可逆、抗碰撞数字签名：发送者使用私钥签署消息的哈希值接收者使用公钥验证实现认证、完整性、不可否认性五、密钥分发与证书机制

描述

KDC

密钥分发中心，给通信双方分发对称密钥

CA

证书认证中心，颁发含公钥的可信数字证书

信任树

根CA签发证书给下级CA，建立链式信任关系

六、防火墙与访问控制1. 防火墙分类网络级（分组过滤器）：依据IP/端口/TCP flag等规则应用级（应用网关）：基于内容进行过滤，安全性更高2. 过滤方式无状态：逐个检查报文头部字段有状态：结合连接状态判断合法性（基于连接表）七、攻击类型与防御措施攻击方式

描述

防御方法

窃听

捕获未加密报文

使用加密

重放攻击

捕获合法数据后重新发送

使用Nonce、时间戳

IP欺骗

冒充他人IP地址

入口过滤、入侵检测

DoS/DDoS攻击

用大量数据报淹没目标主机

流量监控、IP黑名单、源追踪

分组嗅探

在共享网络中监听数据帧

使用交换网络、检测混杂模式

八、典型安全协议实践1. 📧 安全电子邮件（PGP）使用对称加密+数字签名+公钥加密分发对称密钥提供机密性、完整性和认证2. 🔐 SSL / TLS提供浏览器与服务器之间的加密连接过程：握手建立主密钥使用主密钥生成 4 个密钥数据加密与MAC校验3. 🛜 IPsec网络层安全协议：AH（认证）和ESP（加密+认证）创建安全关联（SA），用于加密传输IP报文4. 📶 IEEE 802.11 无线网络安全WEP（已废弃）：容易破解WPA / WPA2（802.11i）：引入动态密钥管理和更强加密使用EAP协议和RADIUS服务器进行认证九、入侵检测系统（IDS）检查网络流量是否包含攻击模式提供对端口扫描、病毒特征串、网络映射等行为的响应能力🔚 本章总结核心技术

说明

加密算法

DES、AES、RSA

认证机制

Nonce、防重放攻击、数字签名

报文完整性

哈希算法、MAC、数字签名

密钥管理

KDC、CA、证书链

网络安全措施

防火墙、IDS、ACL、分组过滤

实践协议

SSL、IPsec、PGP、802.11i

攻击防御

窃听、重放、IP欺骗、DoS及其防范措施

✅ 案例一：银行网站中的中间人攻击（Man-in-the-Middle Attack）📍场景背景：用户Alice登录某银行网站时，攻击者Trudy在她与服务器之间插入中间节点，成功劫持数据。

🧨 攻击流程：Trudy伪装成银行网站向Alice发送伪造的SSL证书。Alice浏览器没有识别出伪造证书，继续通信。Alice向“银行”提交账号和密码，但Trudy截获并查看了这些敏感信息。📚 涉及知识点：公开密钥加密（RSA）原理数字证书与认证中心（CA）中间人攻击在认证协议ap5.0中的风险✅ 防御措施：浏览器启用CA证书验证机制；使用SSL证书链检查来验证网站身份；浏览器提示“不受信任的证书”时立即终止连接；用户应查看HTTPS证书颁发者信息和合法性。✅ 案例二：校园网ARP欺骗导致的分组嗅探📍场景背景：在某高校局域网中，攻击者Trudy通过ARP欺骗，让所有数据流经其主机，从而监听了同学Alice的账户信息。

🧨 攻击方式：Trudy向局域网广播伪造的ARP响应，将网关的IP映射为自己的MAC地址；所有主机数据包路由经过Trudy；Trudy启用混杂模式的网卡监听所有未加密报文。📚 涉及知识点：ARP欺骗与分组嗅探原理混杂模式安全WiFi传输标准（802.11、WEP、WPA）✅ 防御措施：使用交换式以太网，避免共享媒介；检查主机是否运行在混杂模式；全面使用HTTPS、SSH等加密协议；启用WPA2或WPA3代替WEP；局域网防ARP欺骗软件部署。✅ 案例三：DDoS攻击瘫痪政府门户网站📍场景背景：某政府官网在国庆前夕遭到大规模分布式拒绝服务（DDoS）攻击，短时间内无法访问。

🧨 攻击方式：攻击者控制成千上万的“肉鸡”（被感染的主机）；同时向目标网站发送SYN请求，造成连接资源耗尽；正常用户无法与服务器建立连接。📚 涉及知识点：SYN Flood 攻击原理（伪造SYN+ACK无法完成三次握手）防火墙中的分组过滤策略（SYN/ACK位判断）DoS与DDoS攻击的本质与识别✅ 防御措施：启用SYN Cookies机制缓解半连接队列耗尽；使用防火墙/IDS过滤可疑IP请求；建立速率限制规则；利用CDN服务或云安全防护服务进行流量牵引与清洗；追溯攻击源，及时封锁控制中心指令通道。📌 小结：案例启发式复习表案例编号

主要威胁类型

技术知识点

推荐防护措施

案例一

中间人攻击

RSA、数字证书、ap5.0

启用HTTPS验证机制、验证证书链

案例二

分组嗅探、ARP欺骗

ARP协议、WEP/WPA、交换机

HTTPS、交换网络、禁用混杂模式

案例三

拒绝服务攻击（DDoS）

TCP三次握手、SYN flood、防火墙

SYN Cookies、流量牵引、接入防护网关设备等