每周精选能不能给我解释一下非对称加密?
Posted 知道创宇云安全CLUB
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了每周精选能不能给我解释一下非对称加密?相关的知识,希望对你有一定的参考价值。
知乎
如何用通俗易懂的话来解释非对称加密?
非对称加密算法要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
好,下面我们通俗易懂的来解释~
我们引用《数字签名是什么?》里的一段漫画来看看。原文网址:What is a Digital Signature?
鲍勃有两把钥匙,一把是公钥,另一把是私钥。
鲍勃把公钥送给他的朋友们----帕蒂、道格、苏珊----每人一把。
苏珊要给鲍勃写一封保密的信。她写完后用鲍勃的公钥加密,就可以达到保密的效果。
鲍勃收信后,用私钥解密,就看到了信件内容。这里要强调的是,只要鲍勃的私钥不泄露,这封信就是安全的,即使落在别人手里,也无法解密。
现在我用只有我知道的办法对我的“秘密”进行加密,得到结果:51597
然后我告诉你们,使用11这把“钥匙”和51597相乘就,所得数字的后三位就是我的“秘密”。打开你的手机计算器试一下吧~
51597*11=567567
在这个例子里,我的“秘密”就是原始信息,11就是公钥匙,私钥是91。
你会发现任何一个三位数都满足这个原理~其中的道理也很简单,你们自己琢磨一下~
而这就是非对称加密的基本原理~当然真正在使用的时候,私钥和公钥会比这难很多很多。
我们先来看一张图,这张图完整的展示来企业的网络安全建设路径阶段。
安全建设一共分为六个阶段:
第一阶段:初始认知——参加了相关的安全意识培训,对企业安全有一定的了解。
第二阶段:被动防御——企业面临安全威胁,需要进行防御来减少损失。
第三阶段:主动发现——企业已经树立了一定的安全知识体系,会主动发现潜在威胁规避风险。
第四阶段:体系规划——企业对安全十分重视,能做到一些比较具有前瞻型的安全行为。
第五阶段:态势感知——企业已经能建立集人工智能、大数据分析等为一体的安全体系。
第六阶段:价值创造——最高阶段,已经能对外输出自身的安全能力。
安全防护结构又分为四部分:基础安全、应用安全、业务安全和商业安全。
现在许多企业都处于最基础的被动防御阶段,比如当DDoS攻击来才开始使用防御;当黑客入侵时才想到使用应急响应,而这些往往都是造成损失后的补救。所以建议大家都要向第三个阶段靠拢,做到主动发现,这样才能构建更好的企业网络安全体系。很大程度上降低企业的安全风险。就去年一年来看,网络安全事故频发,企业的安全建立已经成为了当务之急。
最后插一句广告:有任何安全建设需要,都可以来找我们哦~因为我们只专注一件事,那就是——安全。
不管是以什么为目的的非法攻击,都需要为自己的行为付出代价。
网络安全法第二十七条明确规定:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
而这位同学已经满足了非法入侵他人网络和干扰他人网络正常功能这两点。不管你是出于什么目的,都是不可取的。直接给学校反应多好~
学校的官网、教务系统、学工系统、充饭卡的后台等等...被自家的学生黑已经是常态了。谁家还没两个大神呢?然而这样的后果往往是:黑客学生被开、黑客学生被抓、学校被罚、黑客学生被更牛的黑客扒个精光......
同学们,千万不要觉得黑自己的学校不会付出代价!一起做个白帽子多好啊!
PS:作为学校千万不能忽视安全问题,往往坑你的就是“自家人”。定期体检(渗透测试)很重要!预防(创宇盾)工作一定要做好!
区块链技术本身基本上是不可破解的。
但是黑客会瞄准一些交易平台来进行攻击,并且智能合约也有一定的风险。仅在上周一周的时间内,知道创宇404区块链安全研究团队就发出两次关于区块链行业的安全预警。
智能合约重大安全事件
Bitfinex在去年8月2日凌晨发布公告,发现了安全漏洞。该漏洞导致bitfinex全面停止交易,这将导致每位用户的账户平均损失36%,共计6500万美元。
黑客智能合约存在的漏洞攻击The Dao,造成价值逾5000万美元的损失。ETH市场价格从记录高位21.50美元跌至15.28美元。
针对目前主流的以太坊应用,知道创宇提供专业权威的智能合约审计服务,规避因合约安全问题导致的财产损失,为各类以太坊应用安全保驾护航。
KCon!为我们自己打call!
今年主题:聚·变
时间:8月24日——8月26日
地点:待定,等确定了我再来更新!
KCon始于2012年,当时还是由知道创宇安全研究员们牵头组织的一场小规模的安全论坛,举办地点是一家咖啡馆。但从第一年开始,我们就见证了安全技术圈交流的热情。以至于从第二届开始,我们就更换了KCon的主办场地,以容纳更多的技术人员参与进来。
第三届KCon,我们甚至把场地搬到了“鸟巢”,想必参加过的朋友仍然对那届KCon印象深刻。
从第四届KCon开始,KCon在议题方面得到了大幅增加,从过去的数个增长到了数十个。也是从这一年开始,KCon黑客大会每年在连续两天的议程里,各种黑客议题被固定在了18个。会前的“安全入门引导培训”也在这一年被引入,这个培训模式广受好评,并且我们还在此基础上在次年引入了“安全进阶培训”。这一模式也成为了KCon一大亮点,面对不同层次的安全技术人员,都能在会前来一次心灵上的洗礼,或是技能点的专攻提升。也是从这届KCon开始,KCon在追求有趣方面更进一步。“摇滚之夜”表演项目也从这一届开始跟大家正式见面,黑客&摇滚&啤酒的激情碰撞,这种独特的释放方式,后来也是被很多行业安全会议或活动所效仿。
至此,KCon不仅是在国内享有很高的声誉,在国际上也开始打开了一定的知名度。2016年,知道创宇404实验室于Black Hat Asia上邀请DEF CON、Black Hat创始人Jeff Moss先生参加当年 KCon,后者欣然应允。2017年,Jayson E.Street先生再次来到KCon。
KCon 每年都在变,都在创新,比如2017年 KCon 启用了全新的LOGO,以及吃豆人像素风会场风格,但无论KCon走过多少年,再怎样创新,其追求干货有趣的宗旨是永远也不会变的。
2018年的KCon,期待你的参加!
CSDN\51CTO
从分析攻击方式来谈如何防御DDoS攻击
DDoS攻击的定义:
DDoS攻击全称——分布式拒绝服务攻击,是网络攻击中非常常见的攻击方式。在进行攻击的时候,这种方式可以对不同地点的大量计算机进行攻击,进行攻击的时候主要是对攻击的目标发送超过其处理能力的数据包,使攻击目标出现瘫痪的情况,不能提供正常的服务。
DDoS攻击类型:
ICMP Flood:通过对目标系统发送海量数据包,就可以令目标主机瘫痪,如果大量发送就成了洪水攻击。
ACK Flood: 目前ACK Flood并没有成为攻击的主流,而通常是与其他攻击方式组合在一起使用。
SYN Flood:一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽的攻击方式。
CC 攻击:由于CC攻击成本低、威力大据调查目前80%的DDoS攻击都是CC攻击。CC攻击是借助代理服务器生成指向目标系统的合法请求,实现伪装和DDoS。这种攻击技术性含量高,见不到真实源IP,见不到特别大的异常流量,但服务器就是无法进行正常连接。
DNS Query Flood:DNS Query Flood采用的方法是操纵大量傀儡机器,向目标服务器发送大量的域名解析请求。解析过程给服务器带来很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。
DDoS攻击防御办法:
1、云防御:目前,许多的企业面对大攻击时都是采用这种方式来进行防御,一方面可以通过云进行调度,另一方面操作也非常的简单,并且面对各种类型来势汹汹的DDoS攻击都能及时响应。但缺点是攻击量大时是价格会比较高,这个要看企业对DDoS攻击的衡量,是被打垮了损失的费用更大还是花钱抗D花费的费用更大。目前国内做的比较好的四大厂商是:阿里云、腾讯云、知道创宇和绿盟云,下面我们来分析一下各家优势。
阿里云:基本上可以防护各种DDoS攻击,并可以根据用户的流量大小自动调整防御策略,支持BGP和CDN两种引流,并在防御应用层DDOS上有很大优势,最大防护能力达到T级。
腾讯云:腾讯基于自身能力在游戏和社交产品的防御上独具优势,采用BGP防护带宽,单IP对接多线路,线路可靠且覆盖面广。
知道创宇:同样能对互联网上各种类型的DDoS攻击进行防护,并且有自主研发Anti-CC引擎,在防CC攻击上有明显优势,最大防护达2T。他们有免费试用和低价的抗D套餐,有需要的可以试试。
绿盟云:背靠绿盟多年硬件防护能力,基于CPE设备/软件结合云端服务的混合抗D方案,绿盟当前在大客户有广泛的ADS及抗D模块设备如WAF的部署,可以很容易感知业务异常,方便和云端联动和协作。
2、扩充带宽:网络带宽直接决定了承受攻击的能力,国内大部分网站带宽规模在10M到100M,知名企业带宽能超过1G,超过100G的基本是专门做带宽服务和抗攻击服务的网站。但DDoS却不同,攻击者通过控制一些服务器、个人电脑等成为肉鸡,如果控制1000台机器,每台带宽为10M,那么攻击者就有了10G的流量。当它们同时向某个网站发动攻击,带宽瞬间就被占满了。但这种方式的缺点就是价格实在太贵。
4、负载均衡:负载均衡建立在现有网络结构之上,它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性,对DDoS流量攻击和CC攻击都很见效。CC攻击使服务器由于大量的网络传输而过载,而通常这些网络流量针对某一个页面或一个链接而产生。在企业网站加上负载均衡方案后,链接请求被均衡分配到各个服务器上,减少单个服务器的负担,整个服务器系统可以处理每秒上千万甚至更多的服务请求,用户访问速度也会加快。
5、定期检查防御:DDoS的发生可能永远都无法预知,而一来就凶猛如洪水决堤,因此网站的预防措施和应急预案就显得尤为重要。如:定期检查系统发现已存在的攻击漏洞并及时安装系统补丁;过滤不必要的服务和端口,减少攻击者进入和利用已知漏洞的机会;限制特定的流量,检查访问来源并做适当的限制,以防止异常、恶意的流量来袭,主动保护网站安全。
悟空问答
谢邀
攻击资源我只简单的列出来,着重讲如何来进行防御。
DDoS攻击有哪几种?
ICMP Flood、UDP Flood、NTP Flood、SYN Flood、CC 攻击、DNS Query Flood、混合攻击。
如何防御?
1. 扩充带宽硬抗
网络带宽直接决定了承受攻击的能力,国内大部分网站带宽规模在10M到100M,知名企业带宽能超过1G,超过100G的基本是专门做带宽服务和抗攻击服务的网站,数量屈指可数。但DDoS却不同,攻击者通过控制一些服务器、个人电脑等成为肉鸡,如果控制1000台机器,每台带宽为10M,那么攻击者就有了10G的流量。当它们同时向某个网站发动攻击,带宽瞬间就被占满了。增加带宽硬防护是理论最优解,只要带宽大于攻击流量就不怕了,但成本也是难以承受之痛,国内非一线城市机房带宽价格大约为100元/M*月,买10G带宽顶一下就是100万,因此许多人调侃拼带宽就是拼人民币,以至于很少有人愿意花高价买大带宽做防御。
2. 使用硬件防火墙
许多人会考虑使用硬件防火墙,针对DDoS攻击和黑客入侵而设计的专业级防火墙通过对异常流量的清洗过滤,可对抗SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等等流量型DDoS攻击。如果网站饱受流量攻击的困扰,可以考虑将网站放到DDoS硬件防火墙机房。但如果网站流量攻击超出了硬防的防护范围(比如200G的硬防,但攻击流量有300G),洪水瞒过高墙同样抵挡不住。值得注意一下,部分硬件防火墙基于包过滤型防火墙修改为主,只在网络层检查数据包,若是DDoS攻击上升到应用层,防御能力就比较弱了。
3. 负载均衡
普通级别服务器处理数据的能力最多只能答复每秒数十万个链接请求,网络处理能力很受限制。负载均衡建立在现有网络结构之上,它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性,对DDoS流量攻击和CC攻击都很见效。CC攻击使服务器由于大量的网络传输而过载,而通常这些网络流量针对某一个页面或一个链接而产生。在企业网站加上负载均衡方案后,链接请求被均衡分配到各个服务器上,减少单个服务器的负担,整个服务器系统可以处理每秒上千万甚至更多的服务请求,用户访问速度也会加快。
4. CDN流量清洗
CDN是构建在网络之上的内容分发网络,依靠部署在各地的边缘服务器,通过中心平台的分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率,因此CDN加速也用到了负载均衡技术。相比高防硬件防火墙不可能扛下无限流量的限制,CDN则更加理智,多节点分担渗透流量,目前大部分的CDN节点都有200G 的流量防护功能,再加上硬防的防护,可以说能应付目绝大多数的DDoS攻击了。
安全厂商推荐
一般企业要想做到这些可以说是非常难,想要快速直接的防范DDoS攻击还是选择和第三方安全厂商合作是最靠谱的。下面我就推荐三个我认为比较不错安全厂商~
知道创宇:据说是云防御市场第一,抗D防CC效果很不错,并且他们有很多免费试用的产品,需要的可以去体验一下。
阿里云:大厂能力不用质疑,但是价格也是非常高昂,有兴趣也可以去看看。
腾讯云:同阿里云,但是值得一提的是,知道创宇是腾讯系公司,在抗D上也有能力共享。
总结
对抗DDoS攻击是一个涉及很多层面的问题,抗DDoS需要的不仅仅是一个防御方案,一个设备,更是一个能制动的团队,一个有效的机制。面对攻击大家需要具备安全意识,完善自身的安全防护体系才是正解。
以上是关于每周精选能不能给我解释一下非对称加密?的主要内容,如果未能解决你的问题,请参考以下文章