一、核心知识点详解
1. 密钥的选择(
密钥是密码系统的核心,分为两类:
- 数据加密密钥(DK):直接加密数据。
- 密钥加密密钥(KK):加密其他密钥以实现安全传输。
抗攻击关键措施:
增大密钥空间
- 原理:密钥位数((n))决定密钥空间((2^n))。空间越大,穷举攻击难度指数级增加。
- 示例:
- 4字节密钥:穷举需 1.2小时(假设每秒100万次尝试)。
- 6字节密钥:穷举需 8.9年。
- 8字节密钥:穷举需 58万年。
- 实践建议:密钥长度至少8字节,避免使用短密钥(如≤6字节)。
选择强密钥
- 弱密钥风险:用户为方便记忆选择简单密钥(如"Klone"),易被字典攻击破解。
- 强钥特征:包含大小写字母、数字、特殊字符(如
*9[hH\A-),长度≥8位。 - 公钥算法:不同算法对强钥定义不同(如RSA需大素数)。
密钥的随机性
- 真随机源:物理噪声发生器、辐射检测器等。
- 伪随机数生成器(PRNG):需通过随机性检验(如均匀分布、独立性)。
- 应用场景:会话密钥、公钥加密的密钥生成。
考点提示:密钥空间计算、弱密钥危害、随机性检验方法。
2. 拒绝服务攻击(DoS)与防御
攻击原理:
通过耗尽目标资源(带宽、CPU、内存)使其无法正常服务。
- 常见手段:
- SYN Flood:发送大量半连接请求耗尽连接池。
- UDP Flood:发送伪造源IP的UDP包触发目标响应。
防御措施:
- 流量过滤:
- 部署防火墙/IP黑名单,过滤异常流量。
- 协议优化:
- 强化TCP/IP堆栈:
- 缩短SYN超时时间。
- 启用SYN Cookie机制(验证连接合法性)。
- 强化TCP/IP堆栈:
- 资源扩容:
- 增加带宽/服务器冗余,分散攻击压力。
- 入侵检测系统(IDS):
- 实时监控流量模式,识别DoS特征并拦截。
考点提示:SYN Flood原理、TCP/IP堆栈强化措施、IDS在DoS防御中的作用。
3. 欺骗攻击与防御
攻击类型:
- IP欺骗:
- 伪造源IP地址冒充可信主机(如TCP序列号预测攻击)。
- ARP欺骗:
- 发送虚假ARP响应包,劫持局域网内流量。
- DNS欺骗:
- 篡改DNS解析结果,将用户导向恶意站点。
防御策略:
- 加密认证:
- 使用IPSec/VPN加密通信,验证数据来源。
- 协议安全加固:
- ARP:启用动态ARP检测(DAI)。
- DNS:部署DNSSEC防止记录篡改。
- 网络隔离:
- VLAN划分限制广播域,减少ARP欺骗影响。
考点提示:ARP欺骗实现原理、DNSSEC作用、IPSec应用场景。
二、关键考点与典型考题
重点考点总结
| 考点 | 核心内容 |
|---|---|
| 密钥安全 | 密钥空间计算、弱密钥风险、真/伪随机数生成原理 |
| DoS攻击防御 | SYN Flood原理、TCP/IP堆栈优化、IDS部署 |
| 欺骗攻击类型 | IP/ARP/DNS欺骗机制及对应防御技术 |
| 抗攻击技术关联性 | 密钥管理、协议加固、加密认证的综合应用 |
典型考题
单选题
若某密钥长度为6字节(字符集为小写字母+数字),穷举攻击需8.9年(每秒100万次)。若密钥长度增至8字节,攻击时间约为?
A. 58万年 B. 580年 C. 5800年
答案:A(密钥空间从(366)增至(368),时间增长(36^2≈1300)倍)。多选题
防御SYN Flood攻击的有效方法包括?
A. 启用SYN Cookie B. 部署流量清洗设备 C. 缩短TCP半连接超时 D. 关闭UDP端口
答案:A、B、C。简答题
简述ARP欺骗的攻击过程及两种防御措施。
答:攻击者发送虚假ARP响应包,将自身MAC绑定到目标IP,截获流量。防御措施:①启用动态ARP检测(DAI);②部署静态ARP绑定表。