计算机安全保密.doc

“计算机安全保密”课程复习1. 密码的基本思想是什么？伪装信息，使未授权者不能理解信息的真实含义。伪装前的原始信息称为明文，伪装后的信息称为密文；伪装的过程称为加密，去掉伪装还原明文的过程称为解密。加密在加密密钥的控制下进行，解密在解密密钥的控制下进行。2. 密码体制分哪些类型，各有什么优缺点？从加密密钥和解密密钥是否相同来划分，密码可以分为对称密钥密码和非对称密钥密码（公开密钥密码）。对称密钥密码的优点是速度较快；缺点是使用对称密钥密码的通信双方应持有相同的密钥，密钥协商的安全通道难以保证，接收方不能确保所收到的加密信息确实来源于发送方。非对称密钥密码的优点是不用进行密钥交换，缺点是速度较慢。3. 换位密码（置换密码）就是按照一定的方法来重新排列字符，把明文DATA SECURITY写入一个34的矩阵，再按照2-4-1-3的顺序将各列写出，则密文为？AEIAUYDSRTCT4. 非对称密钥密码的基本思想：1）加密密钥和解密密钥不相同；2）加密密钥可以公开，解密密钥不能公开，不能由计算出；3）解密密钥可以成为用户的身份标识。5. 的最后3位等于多少？即求，利用欧拉函数的相关性质，求得；因为，由欧拉定理可得；因为，所以。6. HASH函数: 一般翻译做散列，也有直接音译为哈希的，就是把任意长度的输入（又叫做预映射， pre-image），通过散列算法，变换成固定长度的输出，该输出就是散列值。这种转换是一种压缩映射，也就是，散列值的空间通常远小于输入的空间，不同的输入可能会散列成相同的输出，而不可能从散列值来唯一的确定输入值。7. 公钥证书、证书管理机构、证书管理系统、围绕证书服务的各种软硬件设备以及相应的法律基础基础共同组成公钥基础设施PKI。8. 在进行缓冲区溢出攻击时，可用一段恶意代码的首地址覆盖函数的返回地址，函数返回时，计算机就会执行这段恶意代码。在最开始利用缓冲区溢出漏洞时，通常是为了获得一个交互式shell ，于是为进行缓冲区溢出攻击而构造的恶意代码就被人们称为Shell Code。9. 拒绝服务攻击：DoS (Denial of Service)，是阻止或拒绝合法使用者存取网络服务器（一般为Web，FTP或邮件服务器）的一种破坏性攻击方式。DoS技术严格地说只是一种破坏网络服务的技术方式，具体的实现多种多样，但都有一个共同点，就是其根本目的是是受害主机或网络失去及时接受处理外界请求或无法及时回应外界请求。广义上指任何导致用户不能正常提供服务的攻击，甚至包括泼到服务器上的一杯水，把网线拔下，或者网络的交通堵塞等。10. 逻辑炸弹攻击：一种隐藏于计算机系统中以某种方式触发（时间触发、特定操作触发、满足某一条件的触发等 ）后对计算机系统硬件、软件或数据进行恶意破坏的程序代码。11. 特洛伊木马：是指附着在应用程序中或者单独存在的一些恶意程序，它可以利用网络远程响应网络另一端的控制程序的控制命令，实现对感染木马程序的计算机的控制，或者窃取感染木马程序的计算机上的机密资料。特洛伊木马是一个程序，他看起来具有某个有用的或善意的目的，但是实际上掩盖着一些隐藏的恶意功能：1）欺骗用户或者系统管理员安装；2）在计算机上与“正常”的程序一起混合运行，将自己伪装得看起来属于该系统。12. 防火墙：防火墙(Firewall)是在两个网络之间执行访问控制策略的一个或一组安全系统。它是一种计算机硬件和软件系统集合，是实现网络安全策略的有效工具之一，被广泛地应用到Internet与Intranet之间。通常防火墙建立在内部网和Internet之间的一个路由器或计算机上，该计算机也叫堡垒主机。它就如同一堵带有安全门的墙，可以阻止外界对内部网资源的非法访问和通行合法访问，也可以防止内部对外部网的不安全访问和通行安全访问。13. 入侵检测：入侵检测（Intrusion Detection）技术是一种动态的网络检测技术，对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。主要用于识别对计算机和网络资源的恶意使用行为，包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象，则应当做出适当的反应。对于正在进行的网络攻击，则采取适当的方法来阻断攻击（与防火墙联动），以减少系统损失。对于已经发生的网络攻击，则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹，作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。14. 如何检测以太网络中进行网络监听的处于混杂模式的节点。答案：网卡和操作系统对于是否处于混杂模式会有一些不同的行为，利用这些特征可以判断机器是否运行在混杂模式下。可以采用以下检测手段：1. 观测DNS1) 很多网络监听软件会尝试进行地址反向解析，可以通过观测DNS上是否有明显增多的解析请求2. 根据操作系统的特征1) Linux内核的特性：正常情况下，只处理本机MAC地址或者以太广播地址的包。在混杂模式下，许多版本的Linux内核只检查 数据包中的IP地址以确定是否送到IP堆栈。因此，可以构造无效以太地址而IP地址有效的ICMP ECHO请求，看机器是否返回应答包(混杂模式)，或忽略(非混杂模式)。2) Windows 9x/NT：在混杂模式下，检查一个包是否为以太广播包时，只看MAC地址前八位是否为0xff。3. 根据网络和主机的性能1) 根据响应时间：向本地网络发送大量的伪造数据包，然后，看目标主机的响应时间，首先要测得一个响应时间基准和平均值15. 网络攻击分为哪三个阶段？分别简述各攻击阶段的攻击步骤。答案：网络攻击分为：攻击的准备阶段；攻击的实施阶段；攻击的善后阶段三个阶段。a） 攻击准备阶段的攻击步骤：(1)确定攻击目的；（2）准备攻击工具（选择熟悉的工具；优先考虑多种工具的配合使用；选择扫描工具；最好根据攻击目的编写适合的攻击程序）；（3）收集目标信息。b） 攻击实施阶段的攻击步骤：（1）隐藏自已的位置；（2）利用收集到的信息获取账号和密码，登录主机；（3）利用漏洞或者其它方法获得控制权并窃取网络资源和特权。c） 攻击善后阶段的攻击步骤：（1）日志（其中，对于Windows系统包括禁止日志审计，清除事件日志，清除IIS服务日志；对于Unix系统包括清楚messages、lastlog、loginlog、sulog、utmp、utmpx、wtmp、wtmpx、pacct等文件相应记录）；（2）为了下次攻击的方便，攻击者都会留下一个后门，充当后门的工具种类非常多，最典型的是木马程序。16. 简述缓冲区溢出的基本原理，并指出如何防范缓冲区溢出攻击。答案：缓冲区溢出就是程序使用者向缓冲区中填入过多的数据，超出边界，从而导致数据外溢并覆盖了相邻的内存空间，攻击者通过这种方式来修改某些内存区域，把一段恶意代码存储到一个buffer中，并且使这个buffer被溢出，以便改变程序执行流程干扰系统运行，破坏系统完全性，任意执行恶意代码。缓冲区溢出是代码中固有的漏洞，要防范缓冲区溢出攻击需要从代码开发阶段和用户使用阶段分别采取措施：1） 在代码开发阶段，程序员需要a 采用不可执行的缓冲区，选择适用于堆栈(stack)中的buffer，基本上不影响兼容性b 执行数组越界保护：在每一次引用一个数组元素的时候，都执行检查c 进行指针保护,在指针被引用之前，检测到它的变化2）对于用户而言，一般的防范措施为：a 关闭端口或服务。管理员应该知道自己的系统上安装了什么，并且哪些服务正在运行b 安装软件厂商的补丁c 在防火墙上过滤特殊的流量d 自己检查关键的服务程序，看看是否有可怕的漏洞e 以所需要的最小权限运行软件17. 简述IP欺骗攻击的过程，并分别从主机和网络的角度指出如何避免遭受IP欺骗。答案：IP欺骗攻击的过程如下：首先使被信任主机的网络暂时瘫痪；连接到目标机的某个端口来猜测ISN基值和增加规律；把源址址伪装成被信任主机，发送带有SYN标志的数据段请求连接；等待目标机发送SYN+ACK包给已经瘫痪的主机；再次伪装成被信任主机向目标机发送的ACK，此时发送的数据段带有预测的目标机的ISN+1；连接建立，发送命令请求，从而完成IP欺骗攻击。从主机的角度可以采用以下措施来避免遭受IP欺骗：1 物理防护、登录口令2 权限控制，不允许修改配置信息3 对于Linux系统删除/etc/hosts.equiv，$HOME/.rhost，修改/etc/inetd.conf文件，使得RPC机制无法运作4 修改TCP的ISN变化规律，使得攻击者难以预测从网络的角度可以采用以下措施来避免遭受IP欺骗：1 路由器上设置欺骗过滤器1) 入口过滤，外来的包带有内部IP地址2) 出口过滤，内部的包带有外部IP地址2 在路由器上禁止源路由数据包，保护免受源路由攻击3 设置路由器，过滤来自外部而信源地址却是内部IP的报文18. 简述基于误用的IDS引擎和基于异常的IDS引擎并进行比较。答案：基于误用的IDS：1) 优点 误用检测具有很强的可分割性、独立性，可缩小模式数据库规模 具有很强的针对性，对已知的入侵方法检测效率很高 有能力提供模糊入侵检测引擎 2) 缺点 可测量性与性能