网络安全复习题.docx

网络结构由终端、转发结点、链路组成非法访问：某个用户非法获取没有授权的信息的过程。嗅探：信息窃取这只能获取两个交换机之间传输的信息，但无法中止信息正常传输过程。非法篡改：指某个用户改变他没有权限改变的信息。冒名顶替和重放攻击：终端A与服务端B通信，A发送管理消息给B，B检查封装管理消息的IP分组的源IP地址。这个过程中，C冒充A与B通信，即用A的IP地址封装C的管理信息发送给B；重放，AB两终端通信，C将A发给B的信息拦截，复制一份给B过一段时间不加修改再发给B，使得B重复收到信息。病毒：具有自我复制能力并会对系统造成巨大破坏的恶意代码。非法获取信息:ARP、伪造路由信息ARP：终端A收信息，B发信息，C截获信息，通过路由器传递时，C广播ARP请求，将A的IP地址和自己的MAC地址绑定一起。路由器接收到ARP请求时，缓冲区将A的IP和C的MAC地址绑定，当信息通过路由传输时，将信息封装成B的MAC为源地址，C的MAC为目的地址的帧中，这样信息就给了C而不是A，通常在攻击时先把A攻击瘫痪。伪造路由信息：多路由情况下，A给B发送数据需要进行路由多级跳转，选择最短路径进行时，黑客在A的下一跳路由器网内发送一个伪造的路由信息（黑客终端直接与B所在路由器连接）A发给B数据时，路由器将知道黑客与B直接连接，将信息发送给黑客。拒绝服务攻击：用某种方法耗尽网络设备、链路或服务器资源，使其不能正常提供服务的一种手段。其中SYN泛红攻击耗尽服务器资源；Smurf攻击耗尽网络带宽。网络安全的目标是实现信息的可用性，保密性，完整性，不可抵赖性，可控性。单向加密：只有加密没有解密；恶意代码：经过存储介质和网络实现计算机系统间的传播，未经授权破坏计算机系统完整性的代码。重要特点是非授权性和破坏性。蠕虫广义上也是病毒。但他和狭义的病毒的最大不同在于能够自我复制、激活，无需人工干预。病毒的一般结构分为：感染子程序、破坏子程序和激发条件测试子程序。病毒结构可得出病毒的四个阶段：静寂阶段、传播阶段、触发阶段、执行阶段。木马采用客户/服务器结构，有客户端和服务器端代码组成，激活服务器端代码后，黑客通过启动客户端代码与服务器端建立连接，并通过客户端对服务器端系统进行操作，其过程类似于用telnet实现远程登陆。缓冲器溢出漏洞：函数B使用缓冲区没有检验边界，而函数B的输入数据超过规定长度，发生溢出，超出部分继续占用其他存储空间，覆盖保留函数A返回地址的存储单元，黑客发送数据到该存储空间，覆盖A返回地址的数据是恶意代码的入口地址，当系统返回函数A时，实际上运行的是恶意代码。黑客：那些精通网络软硬件技术的人。骇客：运用黑客技术损害他人权益的人。网络资源主要包括：信息资源，硬件资源，链路带宽。*有计划的黑客攻击过程：收集、扫描、渗透、攻击四个阶段。扫描：ping利用ICMP ECHO检测目标主机是否活跃。Tracerout利用IP分组的TTL字段值和ICMP的出错检测功能构建到达任何主机的传输路径。伪造DHCP服务器窃取信息：正常DHCP服务器设置在另一个局域网中，而黑客在目标攻击网络中建立一个伪造的DHCP服务器，除了网关地址不一样，其他都和正常的DHCP配置一样，由于在同一个局域网中，所有的机器都将发送分组到最近的伪造的DHCP服务器上，黑客在伪造的DHCP上复制分组再发送给正常的DHCP。DDoS攻击分为直接和间接两种。直接：黑客控制多台计算机，通过程序产生大量无用的UDP或ICMP ECHO请求，使攻击目标处理器资源耗尽。无法正常共做，可对任何机器攻击，被攻击主机自身难以应对。间接：黑客控制多台计算机，制造大量IP地址，以这些地址为目的地址，以攻击目标地址为源地址，黑客以攻击目标地址为源地址，向目的IP地址发送信息，到达目的地址后，返回源地址（攻击目标IP）产生大量ICMP ECHO响应报文。造成攻击目标资源耗尽。知道：加密和报文摘要1、用加密防御信息窃取2、用消息鉴别码防御信息篡改3、用序号和时间戳防御重放攻击。对称加密算法由五个元素组成：明文P、密文Y、加密算法E、解密算法D、密匙K。加密体制Kerckhoffs原则：所有加密解密算法都是公开的，只有密匙保密。为神马?黑客在数据传输中能够截取到一部分明文和密文，在K或算法不变的情况下算出k只是时间的问题，所以必须实现动态的K或者算法同步，由于K只是算法的输入参数，而比算法同步简单的多，所以往往公开算法，而把密文的安全性完全基于对K的安全性。对称密匙加密算法的密匙分配过程：1、集中式密匙分配过程2、分布式密匙分配过程。集中式分配采用两个密匙：1、主密匙2、会话密匙集中式加密过程：A用于将发送给B用户的信息通过KDC分配给的主密匙加密，再发送给KDC。KDC通过分配给A的密匙解密，获知A要获得和B通信的会话密匙，KDC随机生成会话密匙，KDC用分配给A的主密匙加密会话密匙。同时还将用KB加密的请求会话信息发送给A，A通过主密匙解密出R1，并的到KDC用KB加密的密文，A再向B转发由KDC加密的密文，B收到密文后用KDC分配的主密匙解密，获知A要用R1和自己通信。分布式密匙交换过程DIffie Hellman算法：RSA公开密匙加密算法：是一种分组密码算法。两种加密体制的优缺点如何完美结合：对称加密解密简单，计算量少，缺点密匙分发困难。公开密匙加密算法缺点加密解密过程复杂，计算量大。结合：用对称加密算法K对信息加密。的到得密文Y1，再用公开密匙算法对K进行加密，的到Y2，将Y1、Y2串接发送给接受端。接收端通过公匙和对应的私匙解密出K，然后对Y1解密。报文摘要的主要用途：1、消息完整性检测2、验证秘密信息：B验证A秘密信息，B以建立A秘密信息绑定关系，B生成一个随机数R发送个A，同时B用秘密信息与R串接生成报文摘要，A收到R后也和秘密信息生成报文摘要，并发送给B，B收到后比较报文摘要，相等则有，不相等则没有。MD5位128位，与SH1区别：两点不同1、初始向量IV和每一段数据段经过SHA-1运算后的结果为5个32位的字，即160位，而不是128位2、每一级的运算过程不同，SHA-1将16个32位子的数据段扩展为80个32位字。终端身份通常有终端以太网卡的MAC标识，用户身份通常由用户名和口令共同标识。接入控制中，主要由身份鉴别和连通操作两部分组成。PPP实现接入控制过程：1、物理连接检测2、LCP协商参数3、用户身份鉴别4、分配全球IP地址PAP口令认证协议。CHAP挑战握手鉴别协议。MTU最大传输单元。STP生成树协议EAP扩展鉴别协议：共定义了4种类型的报文：请求、响应、成功、失败报文。802.1X就是一种实现用户身份鉴别并开通连接有以太网接入权限的用户终端的接入控制协议，他的目的在于通过鉴别过程确定连接用户终端的对口是否开通，开通该端口，表示以太网交换机可以转发从该端口输入输出的数据帧。RADIUS报文4种格式：1、请求接入2、允许接入3、拒绝接入4、挑战接入。NAS？在RADIUS中，用于在用户和服务器之间起中继作用的鉴别者称为网络接入服务器（NAS）访问控制是对用户访问服务器资源过程实施控制，其核心是身份鉴别和授权。鉴别用户身份的鉴别机制必须解决如下安全问题：1、防止其他非授权用户通过冒充授权用户非法访问应用服务器。2、防止其他非授权用户通过盗用授权用户的IP地址访问应用服务器。3、防止非法用户通过嗅探或拦截授权用户的访问请求，实施重放攻击。必考：P89. P95 P99数字签名必须保证唯一性、关联性、可证明性。基于RSA公开秘书算法的数字签名技术的实现原理是私钥的密秘性、私钥和公钥的关联性以及公钥的公开性。 IP Sec（IP安全协议）就是一系列用于增强IP安全功能的协议。AH和ESP区别，谁有加密？AH只对数据进行完整性检测的鉴别首部协议，ESP对数据进行加密和完整性检测的封装安全净荷协议。网络安全技术定义：广义上讲，与实现安全网络有关的技术都是网络安全技术。（路由器、交换机）侠义上：互连网络本身具有的用于实现防御黑客技术的安全功能的技术成为网络安全技术。网络安全技术实现的安全功能：1、接入控制2、IP地址检测3、建立终端间可靠传输路径4、虚拟网络5、隐藏重要信息资源6、容错设计。防DHCP欺骗和DHCP侦听信息库？在以太网交换机端口设置信任端口和非信任端口，只有信任端口的DHCP才会转发，防ARP欺骗？在交换机中建立DHCP侦听信息库，可以判断ARP报文中给出信息的正确性。防伪造IP地址攻击？设置静态DHCP侦听信息库，匹配MAC和IP地址。不符合的丢弃。或服务器对于TCP请求回应SYN和ACK，如果TCP请求再回应RST为1时，释放该连接。防转发表溢出攻击：限制交换机每个端口的最大学习地址数，当学习到上限时，不能再通过该端口学习到新的地址从而避免溢出。防路由欺骗攻击机制：路由器根据路由消息和密匙K生成基于K的报文摘要。并与消息后组播发送其他路由器，其他路由器收到消息是，根据路由信息和自己有的K生成基于K的报文摘要和消息后的报文摘要比对，相等则说明发送和接收者有相同密匙，数据没有篡改。路由器通过单播反响路径验证过程完成防源IP地址欺骗攻击的功能。VPN定义：是一种通过共享的分组交换网络实现各子网间互连，但其安全性又与通过点对点专用链路实现各个子网互连的专用网络一样的网络技术，从虚拟网络角度看，VPN主要采用了虚拟路由器和虚拟点对点路径的技术。NAT网络地址转换？1、端口地址转换2、动态NAT 3、静态NAT。内部网络本地IP地址：10.0.0.0/8；172.16.0.0/12；192.168.0.0/16；防火墙定义：是一种位于网络之间，对网络之间传输信息实施控制的设备。防火墙的分类：个人防火墙，网络防火墙。电路层网关-传输层 应用层网关-应用层。防火墙的功能：服务控制、方向控制、行为控制、用户控制。防火墙的局限性：只能防止外部网络的攻击，