DH算法原理

迪菲－赫尔曼通过公共信道交换一个信息，就可以创建一个可以用于在公共信道上安全通信的共享秘密（shared secret）。

以下解释它的过程（包括算法的数学部分）：

以下是一个更为一般的描述:

1. 爱丽丝和鲍伯写上一个有限循环群G和它的一个生成元生成元g。（这通

常在协议开始很久以前就已经规定好；g是公开的，并可以被所有的攻击者看到。）

2. 爱丽丝选择一个随机自然数a并且将发送给鲍伯。

3. 鲍伯选择一个随机自然数b并且将发送给爱丽丝。

4. 爱丽丝计算。

5. 鲍伯计算。

爱丽丝和鲍伯就同时协商出群元素，它可以被用作共享秘密。和因为群是乘法交换的。

摩斯密码以及十种常用加密方法

摩斯密码以及十种常用加密方法 ——阿尔萨斯大官人整理，来源互联网摩斯密码的历史我就不再讲了，各位可以自行百度，下面从最简单的开始：时间控制和表示方法 有两种“符号”用来表示字元：划（—）和点（·），或分别叫嗒（Dah）和滴（Dit）或长和短。 用摩斯密码表示字母，这个也算作是一层密码的： 用摩斯密码表示数字：

用摩斯密码表示标点符号： 目前最常用的就是这些摩斯密码表示，其余的可以暂时忽略 最容易讲的栅栏密码： 手机键盘加密方式，是每个数字键上有3-4个字母，用两位数字来表示字母，例如：ru用手机键盘表示就是：7382, 那么这里就可以知道了，手机键盘加密方式不可能用1开头，第二位数字不可能超过4，解密的时候参考此

关于手机键盘加密还有另一种方式，就是拼音的方式，具体参照手机键盘来打，例如：“数字”表示出来就是：748 94。在手机键盘上面按下这几个数，就会出现：“数字”的拼音 手机键盘加密补充说明：利用重复的数字代表字母也是可以的，例如a可以用21代表，也可以用2代表，如果是数字9键上面的第四个字母Z也可以用9999来代表，就是94，这里也说明，重复的数字最小为1位，最大为4位。 电脑键盘棋盘加密，利用了电脑的棋盘方阵，但是个人不喜这种加密方式，因需要一个一个对照加密

当铺密码比较简单，用来表示只是数字的密码，利用汉字来表示数字： 电脑键盘坐标加密，如图，只是利用键盘上面的字母行和数字行来加密，下面有注释： 例：bye用电脑键盘XY表示就是： 351613

电脑键盘中也可参照手机键盘的补充加密法：Q用1代替，X可以用222来代替，详情见6楼手机键盘补充加密法。 ADFGX加密法，这种加密法事实上也是坐标加密法，只是是用字母来表示的坐标： 例如：bye用此加密法表示就是：aa xx xf 值得注意的是：其中I与J是同一坐标都是gd，类似于下面一层楼的方法：

中间人攻击之DNS欺骗

在前面的文章（中间人攻击-ARP毒化）中，我们讨论了黑客危险的攻击和实用的ARP中毒原理。在本文中，我将首先探讨检测和防止ARP中毒（或ARP欺骗）攻击，然后我将回顾其他的中间人攻击-DNS欺骗。 ARP缓存攻击是一项非常危险的攻击，重要的是在用户中创建安全的意识和分析有效的工具和策略。如果你操作的是小型网络，那么就很容易维护ARP。但是在大型的网络，维护ARP是很困难和费事的。在前一篇文章的最后我们讨论了工具和技术，能够被用来检测ARP缓存中毒攻击。让我们来回顾下每一步: 静态ARP 你可以在网络ARP表中手动的添加一些信息，一旦信息插入，你就有了静态ARP映射。输入数据的过程也是非常简单，在你的终端/CMS中，只需输入：“arp -s” 例子： 你现在的ARP表： root@bt:~# arp Address HWtype HWaddress Flags Mask Iface ether 00:22:93:cf:eb:6d C eth0 让我们假设一下，我想添加一个新的主机在我的ARP缓存表中，我输入如下命令： arp -s IP MAC root@bt:~# arp -s 00:50:FC:A8:36:F5 root@bt:~# arp Address HWtype HWaddress Flags Mask Iface ether 00:50:fc:a8:36:f5 CM eth0 ether 00:22:93:cf:eb:6d C eth0 root@bt:~# 需要注意的是，手动添加ARP表只适用于当前的会话。当你重新启动计算机，将更新表。如果你想要使用这种方法，那么你可以创建一个批处理文件/BASH文件，并将它们添加到启动项。 ARPwatch (ps：监听ARP记录) 这是一个不错的实用程序，已经被用来监测ARP网络，它能够探测并记录发生更改的网络，同时还发送邮箱详细说明各自的变化。安装过程也是非常简单的。 对于Ubuntu用户： # apt-get install arpwatch root@bt:~# arpwatch -h Version usage: arpwatch [-dN] [-f datafile] [-i interface] [-n net[/width]] [-r file] [-s sendmail_path] [-p] [-a] [-m addr] [-u username] [-R seconds ] [-Q] [-z ignorenet/ignoremask]

无线网络安全威胁—中间人攻击 (ARP 威胁)

作业三 无线网络安全威胁—中间人攻击（ARP威胁） 姓名：陈清早 学号：PT1400158

目录1概述 2ARP欺骗攻击 3防御ARP欺骗的预防方案概览 3.1接入交换机/网关手动绑定 3.2主机端手动绑定 3.3网关定期发送免费ARP 3.4主机安装ARP防御软件 4三重立体ARP防御解决方案 4.1方案原理 4.2方式实现过程及效果 4.3方案总结

1概述 随着科技的发展，无线网络安全越来越受到大家的关注。在无线网络安全中，存在窃听，通信阻断，数据的注入和篡改，中间人攻击，客户端伪装，匿名攻击，漫游造成的问题等等。本次作业就针对中间人攻击中的ARP欺骗做一点了解。 用于攻击个人以及企业的最常见的网络攻击方式就是中间人攻击(MITM)。作为一种主动窃听攻击方式，中间人攻击方式主要是通过与目标机器建立连接并在目标机器间传递信息来发动攻击。在这种情况下，用户会认为自己正在与另一名用户直接通信，而实际上，通过主机的通信流量正在对用户执行攻击。最终结果是，攻击主机不仅能截取重要信息，而且能够注入数据流来进一步控制受害用户。 最常被使用的中间人攻击形式，包括ARP缓存中毒攻击(ARP Cache Poisoning)、DNS 欺骗(DNS Spoofing)、HTTP会话劫持等。 2ARP欺骗攻击 在实验过程中，我的主机（192.168.4.17），telnet虚拟机（192.168.4.116），我的虚拟机（192.168.4.117）作为中间人进行攻击，截获接收方的管理员的密码。在试验之前使用ARP–a检测我的主机的mac地址表。(实验时要把telnet设置成启动) 我的主机（192.168.4.17）的mac地址; 1.打开Cain软件，激活嗅探器，扫描主机.然后设定扫描的mac地址范围.点击配置对话框，设定中间人扫描时使用真实的mac地址 2.点击标签切换到ARP窗口。点击工具栏上+符号类似图标，设置ARP中毒目标IP。 3.点击切换到ARP选项窗口。点击工具栏类似放射性标志的图标。表示开始使目标IP 中毒。

五种常用的数据加密方法

五种常用的数据加密方法.txt22真诚是美酒，年份越久越醇香浓型；真诚是焰火，在高处绽放才愈是美丽；真诚是鲜花，送之于人手有余香。一颗孤独的心需要爱的滋润；一颗冰冷的心需要友谊的温暖；一颗绝望的心需要力量的托慰；一颗苍白的心需要真诚的帮助；一颗充满戒备关闭的门是多么需要真诚这一把钥匙打开呀！每台电脑的硬盘中都会有一些不适合公开的隐私或机密文件，如个人照片或客户资料之类的东西。在上网的时候，这些信息很容易被黑客窃取并非法利用。解决这个问题的根本办法就是对重要文件加密，下面介绍五种常见的加密办法。加密方法一： 利用组策略工具，把存放隐私资料的硬盘分区设置为不可访问。具体方法：首先在开始菜单中选择“运行”，输入 gpedit.msc，回车，打开组策略配置窗口。选择“用户配置”->“管理模板”->“Windows 资源管理器”，双击右边的“防止从“我的电脑”访问驱动器”，选择“已启用”，然后在“选择下列组合中的一个”的下拉组合框中选择你希望限制的驱动器，点击确定就可以了。 这时，如果你双击试图打开被限制的驱动器，将会出现错误对话框，提示“本次操作由于这台计算机的限制而被取消。请与您的系统管理员联系。”。这样就可以防止大部分黑客程序和病毒侵犯你的隐私了。绝大多数磁盘加密软件的功能都是利用这个小技巧实现的。这种加密方法比较实用，但是其缺点在于安全系数很低。厉害一点的电脑高手或者病毒程序通常都知道怎么修改组策略，他们也可以把用户设置的组策略限制取消掉。因此这种加密方法不太适合对保密强度要求较高的用户。对于一般的用户，这种加密方法还是有用的。 加密方法二：

利用注册表中的设置，把某些驱动器设置为隐藏。隐藏驱动器方法如下： 在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer中新建一个DWORD值，命名为NoDrives，并为它赋上相应的值。例如想隐藏驱动器C，就赋上十进制的4(注意一定要在赋值对话框中设置为十进制的4)。如果我们新建的NoDrives想隐藏A、B、C三个驱动器，那么只需要将A、B、C 驱动器所对应的DWORD值加起来就可以了。同样的，如果我们需要隐藏D、F、G三个驱动器，那么NoDrives就应该赋值为8+32+64=104。怎么样，应该明白了如何隐藏对应的驱动器吧。目前大部分磁盘隐藏软件的功能都是利用这个小技巧实现的。隐藏之后，WIndows下面就看不见这个驱动器了，就不用担心别人偷窥你的隐私了。 但这仅仅是一种只能防君子，不能防小人的加密方法。因为一个电脑高手很可能知道这个技巧，病毒就更不用说了，病毒编写者肯定也知道这个技巧。只要把注册表改回来，隐藏的驱动器就又回来了。虽然加密强度低，但如果只是对付一下自己的小孩和其他的菜鸟，这种方法也足够了。 加密方法三： 网络上介绍加密方法一和加密方法二的知识性文章已经很多，已经为大家所熟悉了。但是加密方法三却较少有人知道。专家就在这里告诉大家一个秘密：利用Windows自带的“磁盘管理”组件也可以实现硬盘隐藏！ 具体操作步骤如下：右键“我的电脑”->“管理”，打开“计算机管理”配置窗口。选择“存储”->“磁盘管理”，选定你希望隐藏的驱动器，右键选择“更改驱动器名和路径”，然后在出现的对话框中选择“删除”即可。很多用户在这里不

中间人攻击(MITM)

黑客技术：详细解说MITM攻击手段 摘要：中间人攻击（Man-in-the-Middle Attack，简称“MITM攻击”）是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机…… 错误引导——DNS欺骗 临近过年，一辆长途客车满载着归家的旅人们在高速公路上行驶着，此时已是深夜，旅客们多半都已进入梦乡。司机发现前面不远处摆满了石块，还有一块指向告诉公路旁岔路口的牌子写着：“因前方公路塌方，严禁车辆通过，请绕道。”司机迟疑了一下，把车驶进了岔路。不远处，几双不安分的眼睛正在注视着客车…… 中间人攻击（Man-in-the-Middle Attack，简称“MITM攻击”）是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。然后入侵者把这台计算机模拟一台或两台原始计算机，使“中间人”能够与原始计算机建立活动连接并允许其读取或修改传递的信息，然而两个原始计算机用户却认为他们是在互相通信。通常，这种“拦截数据——修改数据——发送数据”的过程就被称为“会话劫持”（Session Hijack）。 DNS欺骗（DNS Spoofing），就是其中的一种惯用手法。攻击者通过入侵DNS服务器、控制路由器等方法把受害者要访问的目标机器域名对应的IP解析为攻击者所控制的机器，这样受害者原本要发送给目标机器的数据就发到了攻击者的机器上，这时攻击者就可以监听甚至修改数据，从而收集到大量的信息。如果攻击者只是想监听双方会话的数据，他会转发所有的数据到真正的目标机器上，让目标机器进行处理，再把处理结果发回到原来的受害者机器；如果攻击者要进行彻底的破坏，他会伪装目标机器返回数据，这样受害者接收处理的就不再是原来期望的数据，而是攻击者所期望的了。例如让DNS服务器解析银行网站的IP 为自己机器IP，同时在自己机器上伪造银行登录页面，那么受害者的真实账号和密码就暴露给入侵者了。 如此说来，这种攻击理应是最强大最危险的，然而实际上它却很少派上大用场，为什么？因为DNS欺骗的攻击模型太理想了。在实际生活中，大部分用户的DNS解析请求均是通过自己的ISP服务器进行的，换句话说，就是系统在连接网络时会获取到ISP服务器提供的DNS服务器地址，所有解析请求都是直接发往这个DNS服务器的，攻击者根本无处入手，除非他能入侵更改ISP服务器上DNS服务的解析指向。所以这种手法在广域网上成功的几率不大。 当然，这种攻击的成功率也有例外存在，例如一个ISP服务器上存在Bind漏洞，攻击者就能通过Bind漏洞进入服务器更改掉DNS解析指向，甚至取得最高权限；另一种方法是入侵路由设备，修改里面的DNS服务器地址为自己控制的机器地址，这种方法只能在用户机器自身是通过路由器返回域名解析的情况下才能成功，多见于一些使用小区宽带连接

加密算法介绍及加密算法的选择

加密算法介绍及如何选择加密算法 加密算法介绍 一.密码学简介 据记载，公元前400年，古希腊人发明了置换密码。1881年世界上的第一个电话保密专利出现。在第二次世界大战期间，德国军方启用“恩尼格玛”密码机，密码学在战争中起着非常重要的作用。 随着信息化和数字化社会的发展，人们对信息安全和保密的重要性认识不断提高，于是在1997年，美国国家标准局公布实施了“美国数据加密标准（DES）”，民间力量开始全面介入密码学的研究和应用中，采用的加密算法有DES、RSA、SHA等。随着对加密强度需求的不断提高，近期又出现了AES、ECC等。 使用密码学可以达到以下目的： 保密性：防止用户的标识或数据被读取。 数据完整性：防止数据被更改。 身份验证：确保数据发自特定的一方。 二.加密算法介绍 根据密钥类型不同将现代密码技术分为两类：对称加密算法（秘密钥匙加密）和非对称加密算法（公开密钥加密）。 对称钥匙加密系统是加密和解密均采用同一把秘密钥匙，而且通信双方都必须获得这把钥匙，并保持钥匙的秘密。 非对称密钥加密系统采用的加密钥匙（公钥）和解密钥匙（私钥）是不同的。 对称加密算法 对称加密算法用来对敏感数据等信息进行加密，常用的算法包括： DES（Data Encryption Standard）：数据加密标准，速度较快，适用于加密大量数据的场合。

3DES（Triple DES）：是基于DES，对一块数据用三个不同的密钥进行三次加密，强度更高。 AES（Advanced Encryption Standard）：高级加密标准，是下一代的加密算法标准，速度快，安全级别高； AES 2000年10月，NIST（美国国家标准和技术协会）宣布通过从15种侯选算法中选出的一项新的密匙加密标准。Rijndael被选中成为将来的AES。 Rijndael是在 1999 年下半年，由研究员 Joan Daemen 和 Vincent Rijmen 创建的。AES 正日益成为加密各种形式的电子数据的实际标准。 美国标准与技术研究院 (NIST) 于 2002 年 5 月 26 日制定了新的高级加密标准(AES) 规范。 算法原理 AES 算法基于排列和置换运算。排列是对数据重新进行安排，置换是将一个数据单元替换为另一个。AES 使用几种不同的方法来执行排列和置换运算。 AES 是一个迭代的、对称密钥分组的密码，它可以使用128、192 和 256 位密钥，并且用 128 位（16字节）分组加密和解密数据。与公共密钥密码使用密钥对不同，对称密钥密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据的位数与输入数据相同。迭代加密使用一个循环结构，在该循环中重复置换和替换输入数据。 AES与3DES的比较 非对称算法

加密算法

加密算法介绍 褚庆东 一.密码学简介 据记载，公元前400年，古希腊人发明了置换密码。1881年世界上的第一个电话保密专利出现。在第二次世界大战期间，德国军方启用“恩尼格玛”密码机，密码学在战争中起着非常重要的作用。 随着信息化和数字化社会的发展，人们对信息安全和保密的重要性认识不断提高，于是在1997年，美国国家标准局公布实施了“美国数据加密标准（DES）”，民间力量开始全面介入密码学的研究和应用中，采用的加密算法有DES、RSA、SHA等。随着对加密强度需求的不断提高，近期又出现了AES、ECC等。 使用密码学可以达到以下目的： 保密性：防止用户的标识或数据被读取。 数据完整性：防止数据被更改。 身份验证：确保数据发自特定的一方。 二.加密算法介绍 根据密钥类型不同将现代密码技术分为两类：对称加密算法（秘密钥匙加密）和非对称加密算法（公开密钥加密）。 对称钥匙加密系统是加密和解密均采用同一把秘密钥匙，而且通信双方都必须获得这把钥匙，并保持钥匙的秘密。 非对称密钥加密系统采用的加密钥匙（公钥）和解密钥匙（私钥）是不同的。 对称加密算法 对称加密算法用来对敏感数据等信息进行加密，常用的算法包括： DES（Data Encryption Standard）：数据加密标准，速度较快，适用于加密大量数据的场合。 3DES（Triple DES）：是基于DES，对一块数据用三个不同的密钥进行三次加密，强度更高。 AES（Advanced Encryption Standard）：高级加密标准，是下一代的加密算法标准，速度快，安全级别高；

AES 2000年10月，NIST（美国国家标准和技术协会）宣布通过从15种侯选算法中选出的 一项新的密匙加密标准。Rijndael被选中成为将来的AES。Rijndael是在 1999 年下半年，由研究员 Joan Daemen和 Vincent Rijmen 创建的。AES 正日益成为加密各种形式的电子 数据的实际标准。 美国标准与技术研究院 (NIST) 于 2002 年 5 月 26 日制定了新的高级加密标 准 (AES) 规范。 算法原理 AES 算法基于排列和置换运算。排列是对数据重新进行安排，置换是将一个数据单元替换为另一个。AES 使用几种不同的方法来执行排列和置换运算。 AES 是一个迭代的、对称密钥分组的密码，它可以使用128、192 和 256 位密钥，并 且用 128位（16字节）分组加密和解密数据。与公共密钥密码使用密钥对不同，对称密钥密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据的位数与输入数据相同。迭代加密使用一个循环结构，在该循环中重复置换和替换输入数据。 非对称算法 常见的非对称加密算法如下： RSA：由 RSA 公司发明，是一个支持变长密钥的公共密钥算法，需要加密的文件块的长度也是可变的； DSA（Digital Signature Algorithm）：数字签名算法，是一种标准的 DSS（数字签名标准）； ECC（Elliptic Curves Cryptography）：椭圆曲线密码编码学。 ECC

中间人攻击

SSL 中间人攻击 来源：本站转载作者：佚名时间：2012-08-21 19:04:11 免责声明： 本文旨在探讨 SSL 加密的安全问题，对于读者使用本文介绍的方法和工具进行的一切行为不负任何责任。 一、什么是 SSL SSL 是 Secure Socket Layer 的简称，中文意思是安全套接字层，由 NetScap e 公司所开发，用以保障在 Internet 上数据传输的安全，确保数据在网络的传输过程中不会被截取和窃听。 目前比较流行的版本为 SSL3.0，它已被广泛地用于 Web 浏览器与服务器之间的身份认证和加密数据传输。 SSL 协议提供的服务主要有： （1）认证用户和服务器，确保数据发送到正确的客户和服务器。 （2）加密数据以防止数据中途被窃取。 （3）维护数据的完整性，确保数据在传输过程中不被改变。 二、关于 SSLStrip SSLStrip 的工作原理及步骤如下： （1）先进行中间人攻击来拦截 HTTP 流量。 （2）将出现的 HTTPS 链接全部替换为 HTTP,同时记下所有改变的链接。（3）使用 HTTP 与受害者机器连接。 （4）同时与合法的服务器建立 HTTPS。 （5）受害者与合法服务器之间的全部通信经过了代理转发。 （6）其中，出现的图标被替换成为用户熟悉的“小黄锁”图标，以建立信任。（7）这样，中间人攻击就成功骗取了密码、账号等信息，而受害者一无所知。 SSLStrip 的官方下载地址为： http: //https://www.wendangku.net/doc/2715908496.html,/software/sslstrip/,目前仅提供 Linux 系统下的版本，该工具为 Python 语言编写，需要 Python 环境支持，故要先下载 Pyth on 并安装。 三、SSLStrip 攻击实战操作（以破解用户 IP 为 192.168.1.33，用户账号为test 的 126 邮箱的密码为例） 步骤 1： 使用 nmap 对内网中开启的机器进行扫描以确定攻击目标 nmap –sP 192.168.1.0/24 参数解释： -sP：启用 ICMP 探测，即 ping 扫描。 步骤 2： 将网卡模式改为转发模式 Echo “1” >/proc/sys/net/ipv4/ip_forward 步骤 3：

RSA加密算法

RSA加密算法是最常用的非对称加密算法，CFCA在证书服务中离不了它。但是有不少新来的同事对它不太了解，恰好看到一本书中作者用实例对它进行了简化而生动的描述，使得高深的数学理论能够被容易地理解。我们经过整理和改写特别推荐给大家阅读，希望能够对时间紧张但是又想了解它的同事有所帮助。 RSA是第一个比较完善的公开密钥算法，它既能用于加密，也能用于数字签名。RSA以它的三个发明者Ron Rivest,Adi Shamir,Leonard Adleman的名字首字母命名，这个算法经受住了多年深入的密码分析，虽然密码分析者既不能证明也不能否定RSA的安全性，但这恰恰说明该算法有一定的可信性，目前它已经成为最流行的公开密钥算法。 RSA的安全基于大数分解的难度。其公钥和私钥是一对大素数（100到200位十进制数或更大）的函数。从一个公钥和密文恢复出明文的难度，等价于分解两个大素数之积（这是公认的数学难题）。 RSA的公钥、私钥的组成，以及加密、解密的公式可见于下表： 可能各位同事好久没有接触数学了，看了这些公式不免一头雾水。别急，在没有正式讲解RSA加密算法以前，让我们先复习一下数学上的几个基本概念，它们在后面的介绍中要用到： 一、什么是“素数”？ 素数是这样的整数，它除了能表示为它自己和1的乘积以外，不能表示为任何其它两个整数的乘积。例如，15＝3＊5，所以15不是素数；又如，12＝6＊2＝4＊3，所以12也不是素数。另一方面，13除了等于13＊1以外，不能表示为其它任何两个整数的乘积，所以13是一个素数。素数也称为“质数”。 二、什么是“互质数”（或“互素数”）？ 小学数学教材对互质数是这样定义的：“公约数只有1的两个数，叫做互质数。”这里所说的“两个数”是指自然数。 判别方法主要有以下几种（不限于此）： （1）两个质数一定是互质数。例如，2与7、13与19。 （2）一个质数如果不能整除另一个合数，这两个数为互质数。例如，3与10、5与26。 （3）1不是质数也不是合数，它和任何一个自然数在一起都是互质数。如1和9908。 （4）相邻的两个自然数是互质数。如15与16。 （5）相邻的两个奇数是互质数。如49与51。 （6）大数是质数的两个数是互质数。如97与88。 （7）小数是质数，大数不是小数的倍数的两个数是互质数。如7和16。 （8）两个数都是合数（二数差又较大），小数所有的质因数，都不是大数的约数，这两个数是互质数。如357与715，357=3×7×17，而3、7和17都不是715的约数，这两个数为互质数。等等。 三、什么是模指数运算？ 指数运算谁都懂，不必说了，先说说模运算。模运算是整数运算，有一个整数m，以n为模做模运算，即m mod n。怎样做呢？让m去被n整除，只取所得的余数作为结果，就叫做模运算。例如，10mod3=1；26mod6=2；28mod2=0等等。

网络安全_AES和DES加密算法效率比较概要

- 1 - AES 加密算法和DES 加密算法的效率比较 实验要求： 在网上找一个DES 加密程序和一个AES 加密程序，比较两个程序进行大文件加密的效率。 源程序出处： CSDN 网络的共享资源下载。其中DES 为普通DES 加密算法，作者为董清谭，AES 为128位加密算法。 试验步骤： （1）DES 加密程序的编译及运行 软件编写语言为java ，在源代码基础上加入"Long startTime = System.currentTimeMillis(; Long endTime = System.currentTimeMillis (; System. out .println("Totle time is " + (endTime - startTime+ "milliseconds" ; "3个语句，使其能够计算运行时间。 选取文件大小分别为1K ，10K ，100K ，1000K ，10000K 的.txt 或者.doc 文件各一个，计算加密时间(以ms 为单位。（2）AES 加密程序的编译及运行 软件编写语言为C++，由于vc 中无法给出精确的时间，故采用秒表计时。同样选取文件大小分别为1K ，10K ，100K ，1000K ，10000K 的纯文本文档 （.txt ）各一个，记录时间。（3）对比两个程序的加密时间及效率，画出曲线图。注：试验过程均采用“1234ABCD ”为秘钥。

三、试验结果 试验数据： 试验结果图： - 2 - 四、试验结论： 当文件很小时，两个程序加密的时间差不多，但是当文件变大时，DES 对文件加密的效率低于AES 对文件加密的效率。可见AES 具有比DES 更好的安全性、效率。

中间人攻击之DNS欺骗

中间人攻击-DNS欺骗 在前面的文章（中间人攻击-ARP毒化）中，我们讨论了黑客危险的攻击和实用的ARP中毒原理。在本文中，我将首先探讨检测和防止ARP中毒（或ARP欺骗）攻击，然后我将回顾其他的中间人攻击-DNS欺骗。 ARP缓存攻击是一项非常危险的攻击，重要的是在用户中创建安全的意识和分析有效的工具和策略。如果你操作的是小型网络，那么就很容易维护ARP。但是在大型的网络，维护ARP是很困难和费事的。在前一篇文章的最后我们讨论了工具和技术，能够被用来检测ARP缓存中毒攻击。让我们来回顾下每一步: 静态ARP 你可以在网络ARP表中手动的添加一些信息，一旦信息插入，你就有了静态ARP映射。输入数据的过程也是非常简单，在你的终端/CMS中，只需输入：“arp -s” 例子： 你现在的ARP表： root@bt:~# arp Address HWtype HWaddress Flags Mask Iface 192.168.1.1 ether 00:22:93:cf:eb:6d C eth0 让我们假设一下，我想添加一个新的主机在我的ARP缓存表中，我输入如下命令： arp -s IP MAC root@bt:~# arp -s 192.168.1.2 00:50:FC:A8:36:F5 root@bt:~# arp Address HWtype HWaddress Flags Mask Iface 192.168.1.2 ether 00:50:fc:a8:36:f5 CM eth0 192.168.1.1 ether 00:22:93:cf:eb:6d C eth0 root@bt:~# 需要注意的是，手动添加ARP表只适用于当前的会话。当你重新启动计算机，将更新表。如果你想要使用这种方法，那么你可以创建一个批处理文件/BASH文件，并将它们添加到启动项。 ARPwatch (ps：监听ARP记录) 这是一个不错的实用程序，已经被用来监测ARP网络，它能够探测并记录发生更改的网络，同时还发送邮箱详细说明各自的变化。安装过程也是非常简单的。 对于Ubuntu用户： # apt-get install arpwatch

网络安全中主要的攻击手段和防范措施

网络安全中主要的攻击手段和防范措施 摘要:网络的重要性日益突出，网络应用中的安全问题也愈发引人关注，网络安全中对于密码的威胁与相关的防范是最重要的部分之一，因此，了解网络安全体系中密码相关的一些术语与协 议，以及常见的攻击软件与攻击手段能有效的避免大部分的威胁与攻击，减少因为密码信息 泄露而造成的财产损失。 关键词:网络安全，协议，算法，用户，密码…… The main means of attack in the network security and preventive measures Abstract:The growing importance of networks , network applications, security issues also become more concentrate,the password for the network security threats and related prevention is one of the most important part , therefore , to understand the network security system in a number of password-related terminology and protocols , and common means of attack and attack software can effectively prevent most of the threats and attacks , reducing the password information leak caused damage to property . Key words:n etwork，security，algorithm，user，password…… 1 引言 计算机网络正在以惊人的速度向其他领域扩展，网络的应用，将各个原本不相关的科目与技术联系在了一起，随着技术的发展，安全问题也变的越来越复杂和突出，解决网络安全问题，安全协议是十分有效的手段。 密码学是集数学、计算机、电子和通信与一身的交叉学科，保护通信网络的信息和计算机系统，确保信息的真实、安全、保密、防止信息被篡改，伪造假冒，而相关的加密算法是一种高互通协议，是安全协议的基础和核心，所谓加密，就是把称为“明文”的可读信息转换成“密文”，即不可读信息的过程；而解密则是把已加密的信息恢复成“明文”的过程。加密和解密都要使 用密码算法来完成这些工作。密码算法是用于隐藏和显露信息的可计算过程，通常算法越复杂，结果密文越安全。在加密技术中，密钥是不可缺少的，密钥是使密码算法按照一种特定方式运行并产生特定密文的值。密钥越大，结果密文就越安全。安全协议是加密算法的纽带和桥，日常生活中安全协议通常也被人称为加密协议，这种说法未必准确，但是足见加密算法在安全协议中的地位的重要。 2 网络攻击概览 2.1 基本攻击类型和防范措施 2.1.1 监听 监听的目的是从网络通信中窃取数据。这种行为被称为数据嗅探或者网络嗅探。在网络嗅探中，难的是有目标的监听。在想要窃听的线路上安插设备或者控制路径上的路由器，虽然可以做到，但是较为困难。监听无线网则相比显得十分轻松，只要使用的他特制的无线接收器，便可做到。 防止监听的有效方法便是将数据加密后再传输

常用加密算法比较研究

2010年10月（上） 常用加密算法比较研究 刘宇 （天津交通职业学院，天津市 300110） ［摘要］信息加密技术是利用数学或物理手段，对电子信息在传输过程中和存储体内进行保护，以防止泄漏的技术。由于计算机软件的非 法复制，通信的泄密、数据安全受到威胁，解密及盗版问题日益严重，甚至引发国际争端。所以在信息安全技术中，加密技术占有不可替代的位置，本文作者就几种常用的加密算法加以比较。［关键词］信息加密；算法；解密 信息加密技术是利用数学或物理手段，对电子信息在传输过程中和存储体内进行保护，以防止泄漏的技术。由于计算机软件的非法复制，通信的泄密、数据安全受到威胁，解密及盗版问题日益严重，甚至引发国际争端，所以在信息安全技术中，加密技术占有不可替代的位置，因此对信息加密技术和加密手段的研究与开发，受到各国计算机界的重视，发展日新月异。现就几种常用的加密算法加以比较。 1DES DES 算法是由IBM 公司研制的，并于1977年定为美国联邦信息加密标准。它是一种分组密码，以64位为分组对数据加密，它的密钥长度是56位（每个第8位作为奇偶校验），加密解密用同一算法。 DES 算法是对密钥进行保密，而公开算法，包括加密和解密算法。这样，只有掌握了和发送方相同密钥的人才能解读由DES 算法加密的密文数据。因此，破译DES 算法实际上就是搜索密钥的编码。对于56位长度的密钥来说，如果用穷举法来进行搜索的话，其运算次数为256。 随着计算机系统能力的不断发展，DES 的安全性比它刚出现时会弱得多，然而从非关键性质的实际出发，仍可以认为它是足够的。不过，DES 现在仅用于旧系统的鉴定，而更多地选择新的加密标准—高级加密标准（ AdvancedEncryptionStandard ，AES ）。2AES 密码学中的高级加密标准（Advanced Encryption Standard ， AES ），又称Rijndael 加密法，为比利时密码学家Joan Daemen 和VincentRijmen 所设计，结合两位作者的名字，以Rijndael 命名。该算法采用对称分组密码体制，密钥长度的最少支持为128、192、256，分组长度128位，算法应易于各种硬件和软件实现。这种算法是美国联邦政府采用的区块加密标准，这个标准用来替代原先的DES ，已经被多方分析且广为全世界所使用。 AES 算法被设计为支持128/192/256位(/32=Nb)数据块大小（即分组长度）；支持128/192/256位(/32=Nk )密钥长度，在10进制里，对应3.4×1038、6.2×1057、1.1×1077个密钥。 3RSA RSA 是目前最有影响力的公钥加密算法，并且被普遍认为是目前最优秀的公钥方案之一。RSA 是第一个能同时用于加密和数字签名的算法，它能够抵抗到目前为止已知的所有密码攻击，已被ISO 推荐为公钥数据加密标准。RSA 算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但那时想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。 4BASE64 Base64是网络上最常见的用于传输8Bit 字节代码的编码方式之一，Base64编码可用于在HTTP 环境下传递较长的标识信息。例如，在JavaPersistence 系统Hibernate 中，采用了Base64来将一个较长的唯一标识符（一般为128-bit 的UUID ）编码为一个字符串，用作HTTP 表单和HTTPGETURL 中的参数。在其他应用程序中，也常常需要把二进制数据编码为适合放在URL （包括隐藏表单域）中的形式。此时，采用Base64编码不仅比较简短，同时也具有不可读性，即所编码的数据不会被人用肉眼所直接看到。 这个编码的规则：1）把3个字符变成4个字符；2）每76个字符 加一个换行符；3）最后的结束符也要处理。 5MD5 Message DigestAlgorithm MD5为计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护。 对MD5算法简要的叙述可以为：MD5以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成一个128位散列值。 MD5被广泛用于各种软件的密码认证和钥匙识别上。MD5用的是哈希函数,它的典型应用是对一段信息（Message ）产生信息摘要 （Message-Digest ），以防止被篡改。MD5的典型应用是对一段Message(字节串)产生fingerprint(指纹)，以防止被“篡改”。如果再有一个第三方的认证机构，用MD5还可以防止文件作者的“抵赖”，这就是所谓的数字签名应用。MD5还广泛用于操作系统的登陆认证上，如Unix 、各类BSD 系统登录密码、数字签名等诸多方。 6SHA1SHA1（Secure Hash Algorithm ）是和MD5一样流行的消息摘要算法。1995年，联邦信息处理标准（FIPS ）发布了180-1，作为安 全散列标准。180-1出版的算法被定义为安全散列算法1（ SHA1）。国家标准技术研究所（NIST ）和国家安全局（NSA ）开发了SHA1算法。 SHA1算法模仿MD4算法。现在有一个更新SHA1算法的FIPS 180-2草案。SHA1设计为和数字签名算法（DSA ）一起使用。SHA1主要适用于数字签名标准（Digital Signature Standard DSS ）里面定义的数字签名算法（DigitalSignature Algorithm DSA ）。对于长度小于2^ 64位的消息，SHA1会产生一个160位的消息摘要。当接收到消息的时候，这个消息摘要可以用来验证数据的完整性。在传输的过程中，数据很可能会发生变化，那么这时候就会产生不同的消息摘要。SHA1不可以从消息摘要中复原信息，而两个不同的消息不会产生同样的消息摘要。这样，SHA1就可以验证数据的完整性，所以说SHA1是为了保证文件完整性的技术。 SHA1算法可以采用不超过264位的数据输入，并产生一个160位的摘要。输入被划分为512位的块，并单独处理。160位缓冲器用来保存散列函数的中间和最后结果。缓冲器可以由5个32位寄存器（A 、B 、C 、D 和E ）来表示。 SHA1是一种比md5的安全性强的算法，理论上，凡是采取“消息摘要”方式的数字验证算法都是有“碰撞”的——— 也就是两个不同的东西算出的消息摘要相同，互通作弊图就是如此。但是安全性高的算法要找到指定数据的“碰撞”很困难，而利用公式来计算“碰撞”就更困 难———目前为止通用安全算法中仅有md5被破解。 密码算法是密码技术的核心，以上这些密码算法是常用的密码算法，而这些算法有些已经遭到破译，有些安全度不高，有些强度不明，有些待进一步分析，有些需要深入研究，而神秘的密码算法世界，又会有新的成员加入，期待更安全的算法诞生。 ［参考文献］ [1]电子商务中常用的RSA 算法实现.花蓓.商场现代化,2008.[2]分形数据加密算法.刘文涛,孙文生.信息通信技术,2008. 280

无线局域网 WLAN 加密算法比较

WLAN加密算法比较 1. 链路认证方式 (1) 开放系统认证（Open system authentication） 不认证 (2) 共享密钥认证（Shared key authentication） 共享密钥认证需要无线客户端和设备端配置相同的共享密钥 2. WLAN服务的数据安全 (1) 明文数据 所有的数据报文都没有通过加密处理 (2) WEP加密 WEP（Wired Equivalent Privacy，有线等效加密） 密钥长度：WEP40/WEP104/WEP128 WEP加密方式可以分别和 Open system、Shared key认证方式配合使用，与open system配合，只加密，密钥不一样可以接入，但不能传输；与shared key配合， 认证+加密，密钥不一样不能接入。 RC4加密算法（一种流加密算法） z 静态 WEP加密 静态 WEP加密要求手工指定 WEP密钥，接入同一 SSID下的所有无线客户端 使用相同的 WEP密钥。 z 动态 WEP加密（和802.1X一起用） 动态 WEP加密的WEP 密钥并不是手工指定的，而是由无线客户端和服务器通 过802.1X协议协商产生，这样每个无线客户端协商出来的 WEP单播密钥都是 不同的，提高了单播数据帧传输的安全性。 (3) TKIP加密 z 首先，TKIP通过增长了算法的 IV（初始化向量）长度提高了加密的安全性。相 比 WEP算法， TKIP直接使用128位密钥的RC4加密算法，而且将初始化向量的长度由 24位加 长到 48位； z 其次，虽然 TKIP采用的还是和 WEP一样的 RC4加密算法，但其动态密钥的特 性很难被攻破， 并且 TKIP支持密钥更新机制，能够及时提供新的加密密钥，防止由于密钥重用带 来的安全隐 患； z 另外，TKIP 还支持了 MIC 认证（Message Integrity Check，信息完整性校验）和 Countermeasure功能。当 TKIP报文发生 MIC错误时，数据可能已经被篡改，也就 是无线网 络很可能正在受到攻击。当在一段时间内连续接收到两个 MIC 错误的报文，AP 将 会启动 Countermeasure 功能，此时，AP 将通过静默一段时间不提供服务，实现对无线网 络的攻击 防御。 (4) CCMP加密

远程桌面协议中间人攻击漏洞解决方案

Microsoft Windows远程桌面协议中间人攻击漏洞(CVE-2005-1794)解决方案 1.系统版本：windows server 2003 2.漏洞：CVE-2005-1794 3.修复方案： 漏洞介绍:Microsoft Windows远程桌面协议用于连接Windows终端服务。Windows远程桌面协议客户端没有验证会话的服务器公共密钥，远程攻击者可以利用这个漏洞通过Man-in-Middle攻击方式以明文方式读取通信的所有信息。由于客户端在连接服务器中，没有对加密钥的合法性进行正确检查，这就使的RDP存在中间人攻击问题，攻击可以按照如下方式进行： 1、客户端连接服务器，但是我们通过某种方式(DNS欺骗，ARP毒药等)使客户端连接到MITM(攻击者中间控制的机器)机器，然后MITM发送给请求到服务器。 2、服务器发送公共密钥和随机salt通过MITM，MITM发送包到客户端，但是使用MITM知道私钥部分的公钥与其进行交换。 3、客户端发送随机salt，以服务器端公钥进行加密发送给MITM。 4、MITM使用自己的私钥解密客户端随机salt，并使用实际服务器端的公钥进行加密发送给服务器。 5、MITM现在知道服务器端和客户端的salt，拥有足够信息构建会话密钥在客户端和服务器端通信。所有信息以明文方式。个别用户会在linux下使用一些开源的RDP组件，如果扫出该漏洞，并且3389是RDP服务，则确定存在该漏洞，不会误报。 整改方法：* Windows XP和Windows Server 2003用户使用FIPS（3des）加密； 默认情况下，终端服务会话的加密级别设置为“客户端兼容”，以提供客户端支持的最高加密级别。其他可用设置为： 高 - 此设置通过 128 位密钥来提供双向安全性。 低 - 此设置使用 56 位加密。 符合 FIPS 标准 - 使用经过联邦信息处理标准 140-1 验证的方法加密所有数据。 所有级别均使用标准 RSA RC4 加密。 要更改加密级别，请按照下列步骤操作： 单击“开始”，指向“所有程序”，指向“管理工具”，然后单击“终端服务配置”。 在左窗格中，单击“连接”。 在右窗格中，右键单击“RDP-tcp”，然后单击“属性”。 单击“常规”选项卡，在“加密”列表中单击所需的加密级别（选择FIPS），然后单击“确定”。重启主机。 注：微软官方已停止对server 2003的支持，务必尽快升级系统版本。 simon zhu根据相关资料整理