網(wǎng)絡(luò)安全復(fù)習(xí)題.docx

網(wǎng)絡(luò)結(jié)構(gòu)由終端、轉(zhuǎn)發(fā)結(jié)點、鏈路組成非法訪問：某個用戶非法獲取沒有授權(quán)的信息的過程。嗅探：信息竊取這只能獲取兩個交換機之間傳輸?shù)男畔?，但無法中止信息正常傳輸過程。非法篡改：指某個用戶改變他沒有權(quán)限改變的信息。冒名頂替和重放攻擊：終端A與服務(wù)端B通信，A發(fā)送管理消息給B，B檢查封裝管理消息的IP分組的源IP地址。這個過程中，C冒充A與B通信，即用A的IP地址封裝C的管理信息發(fā)送給B；重放，AB兩終端通信，C將A發(fā)給B的信息攔截，復(fù)制一份給B過一段時間不加修改再發(fā)給B，使得B重復(fù)收到信息。病毒：具有自我復(fù)制能力并會對系統(tǒng)造成巨大破壞的惡意代碼。非法獲取信息:ARP、偽造路由信息ARP：終端A收信息，B發(fā)信息，C截獲信息，通過路由器傳遞時，C廣播ARP請求，將A的IP地址和自己的MAC地址綁定一起。路由器接收到ARP請求時，緩沖區(qū)將A的IP和C的MAC地址綁定，當信息通過路由傳輸時，將信息封裝成B的MAC為源地址，C的MAC為目的地址的幀中，這樣信息就給了C而不是A，通常在攻擊時先把A攻擊癱瘓。偽造路由信息：多路由情況下，A給B發(fā)送數(shù)據(jù)需要進行路由多級跳轉(zhuǎn)，選擇最短路徑進行時，黑客在A的下一跳路由器網(wǎng)內(nèi)發(fā)送一個偽造的路由信息（黑客終端直接與B所在路由器連接）A發(fā)給B數(shù)據(jù)時，路由器將知道黑客與B直接連接，將信息發(fā)送給黑客。拒絕服務(wù)攻擊：用某種方法耗盡網(wǎng)絡(luò)設(shè)備、鏈路或服務(wù)器資源，使其不能正常提供服務(wù)的一種手段。其中SYN泛紅攻擊耗盡服務(wù)器資源；Smurf攻擊耗盡網(wǎng)絡(luò)帶寬。網(wǎng)絡(luò)安全的目標是實現(xiàn)信息的可用性，保密性，完整性，不可抵賴性，可控性。單向加密：只有加密沒有解密；惡意代碼：經(jīng)過存儲介質(zhì)和網(wǎng)絡(luò)實現(xiàn)計算機系統(tǒng)間的傳播，未經(jīng)授權(quán)破壞計算機系統(tǒng)完整性的代碼。重要特點是非授權(quán)性和破壞性。蠕蟲廣義上也是病毒。但他和狹義的病毒的最大不同在于能夠自我復(fù)制、激活，無需人工干預(yù)。病毒的一般結(jié)構(gòu)分為：感染子程序、破壞子程序和激發(fā)條件測試子程序。病毒結(jié)構(gòu)可得出病毒的四個階段：靜寂階段、傳播階段、觸發(fā)階段、執(zhí)行階段。木馬采用客戶/服務(wù)器結(jié)構(gòu)，有客戶端和服務(wù)器端代碼組成，激活服務(wù)器端代碼后，黑客通過啟動客戶端代碼與服務(wù)器端建立連接，并通過客戶端對服務(wù)器端系統(tǒng)進行操作，其過程類似于用telnet實現(xiàn)遠程登陸。緩沖器溢出漏洞：函數(shù)B使用緩沖區(qū)沒有檢驗邊界，而函數(shù)B的輸入數(shù)據(jù)超過規(guī)定長度，發(fā)生溢出，超出部分繼續(xù)占用其他存儲空間，覆蓋保留函數(shù)A返回地址的存儲單元，黑客發(fā)送數(shù)據(jù)到該存儲空間，覆蓋A返回地址的數(shù)據(jù)是惡意代碼的入口地址，當系統(tǒng)返回函數(shù)A時，實際上運行的是惡意代碼。黑客：那些精通網(wǎng)絡(luò)軟硬件技術(shù)的人。駭客：運用黑客技術(shù)損害他人權(quán)益的人。網(wǎng)絡(luò)資源主要包括：信息資源，硬件資源，鏈路帶寬。*有計劃的黑客攻擊過程：收集、掃描、滲透、攻擊四個階段。掃描：ping利用ICMP ECHO檢測目標主機是否活躍。Tracerout利用IP分組的TTL字段值和ICMP的出錯檢測功能構(gòu)建到達任何主機的傳輸路徑。偽造DHCP服務(wù)器竊取信息：正常DHCP服務(wù)器設(shè)置在另一個局域網(wǎng)中，而黑客在目標攻擊網(wǎng)絡(luò)中建立一個偽造的DHCP服務(wù)器，除了網(wǎng)關(guān)地址不一樣，其他都和正常的DHCP配置一樣，由于在同一個局域網(wǎng)中，所有的機器都將發(fā)送分組到最近的偽造的DHCP服務(wù)器上，黑客在偽造的DHCP上復(fù)制分組再發(fā)送給正常的DHCP。DDoS攻擊分為直接和間接兩種。直接：黑客控制多臺計算機，通過程序產(chǎn)生大量無用的UDP或ICMP ECHO請求，使攻擊目標處理器資源耗盡。無法正常共做，可對任何機器攻擊，被攻擊主機自身難以應(yīng)對。間接：黑客控制多臺計算機，制造大量IP地址，以這些地址為目的地址，以攻擊目標地址為源地址，黑客以攻擊目標地址為源地址，向目的IP地址發(fā)送信息，到達目的地址后，返回源地址（攻擊目標IP）產(chǎn)生大量ICMP ECHO響應(yīng)報文。造成攻擊目標資源耗盡。知道：加密和報文摘要1、用加密防御信息竊取2、用消息鑒別碼防御信息篡改3、用序號和時間戳防御重放攻擊。對稱加密算法由五個元素組成：明文P、密文Y、加密算法E、解密算法D、密匙K。加密體制Kerckhoffs原則：所有加密解密算法都是公開的，只有密匙保密。為神馬?黑客在數(shù)據(jù)傳輸中能夠截取到一部分明文和密文，在K或算法不變的情況下算出k只是時間的問題，所以必須實現(xiàn)動態(tài)的K或者算法同步，由于K只是算法的輸入?yún)?shù)，而比算法同步簡單的多，所以往往公開算法，而把密文的安全性完全基于對K的安全性。對稱密匙加密算法的密匙分配過程：1、集中式密匙分配過程2、分布式密匙分配過程。集中式分配采用兩個密匙：1、主密匙2、會話密匙集中式加密過程：A用于將發(fā)送給B用戶的信息通過KDC分配給的主密匙加密，再發(fā)送給KDC。KDC通過分配給A的密匙解密，獲知A要獲得和B通信的會話密匙，KDC隨機生成會話密匙，KDC用分配給A的主密匙加密會話密匙。同時還將用KB加密的請求會話信息發(fā)送給A，A通過主密匙解密出R1，并的到KDC用KB加密的密文，A再向B轉(zhuǎn)發(fā)由KDC加密的密文，B收到密文后用KDC分配的主密匙解密，獲知A要用R1和自己通信。分布式密匙交換過程DIffie Hellman算法：RSA公開密匙加密算法：是一種分組密碼算法。兩種加密體制的優(yōu)缺點如何完美結(jié)合：對稱加密解密簡單，計算量少，缺點密匙分發(fā)困難。公開密匙加密算法缺點加密解密過程復(fù)雜，計算量大。結(jié)合：用對稱加密算法K對信息加密。的到得密文Y1，再用公開密匙算法對K進行加密，的到Y(jié)2，將Y1、Y2串接發(fā)送給接受端。接收端通過公匙和對應(yīng)的私匙解密出K，然后對Y1解密。報文摘要的主要用途：1、消息完整性檢測2、驗證秘密信息：B驗證A秘密信息，B以建立A秘密信息綁定關(guān)系，B生成一個隨機數(shù)R發(fā)送個A，同時B用秘密信息與R串接生成報文摘要，A收到R后也和秘密信息生成報文摘要，并發(fā)送給B，B收到后比較報文摘要，相等則有，不相等則沒有。MD5位128位，與SH1區(qū)別：兩點不同1、初始向量IV和每一段數(shù)據(jù)段經(jīng)過SHA-1運算后的結(jié)果為5個32位的字，即160位，而不是128位2、每一級的運算過程不同，SHA-1將16個32位子的數(shù)據(jù)段擴展為80個32位字。終端身份通常有終端以太網(wǎng)卡的MAC標識，用戶身份通常由用戶名和口令共同標識。接入控制中，主要由身份鑒別和連通操作兩部分組成。PPP實現(xiàn)接入控制過程：1、物理連接檢測2、LCP協(xié)商參數(shù)3、用戶身份鑒別4、分配全球IP地址PAP口令認證協(xié)議。CHAP挑戰(zhàn)握手鑒別協(xié)議。MTU最大傳輸單元。STP生成樹協(xié)議EAP擴展鑒別協(xié)議：共定義了4種類型的報文：請求、響應(yīng)、成功、失敗報文。802.1X就是一種實現(xiàn)用戶身份鑒別并開通連接有以太網(wǎng)接入權(quán)限的用戶終端的接入控制協(xié)議，他的目的在于通過鑒別過程確定連接用戶終端的對口是否開通，開通該端口，表示以太網(wǎng)交換機可以轉(zhuǎn)發(fā)從該端口輸入輸出的數(shù)據(jù)幀。RADIUS報文4種格式：1、請求接入2、允許接入3、拒絕接入4、挑戰(zhàn)接入。NAS？在RADIUS中，用于在用戶和服務(wù)器之間起中繼作用的鑒別者稱為網(wǎng)絡(luò)接入服務(wù)器（NAS）訪問控制是對用戶訪問服務(wù)器資源過程實施控制，其核心是身份鑒別和授權(quán)。鑒別用戶身份的鑒別機制必須解決如下安全問題：1、防止其他非授權(quán)用戶通過冒充授權(quán)用戶非法訪問應(yīng)用服務(wù)器。2、防止其他非授權(quán)用戶通過盜用授權(quán)用戶的IP地址訪問應(yīng)用服務(wù)器。3、防止非法用戶通過嗅探或攔截授權(quán)用戶的訪問請求，實施重放攻擊。必考：P89. P95 P99數(shù)字簽名必須保證唯一性、關(guān)聯(lián)性、可證明性?；赗SA公開秘書算法的數(shù)字簽名技術(shù)的實現(xiàn)原理是私鑰的密秘性、私鑰和公鑰的關(guān)聯(lián)性以及公鑰的公開性。 IP Sec（IP安全協(xié)議）就是一系列用于增強IP安全功能的協(xié)議。AH和ESP區(qū)別，誰有加密？AH只對數(shù)據(jù)進行完整性檢測的鑒別首部協(xié)議，ESP對數(shù)據(jù)進行加密和完整性檢測的封裝安全凈荷協(xié)議。網(wǎng)絡(luò)安全技術(shù)定義：廣義上講，與實現(xiàn)安全網(wǎng)絡(luò)有關(guān)的技術(shù)都是網(wǎng)絡(luò)安全技術(shù)。（路由器、交換機）俠義上：互連網(wǎng)絡(luò)本身具有的用于實現(xiàn)防御黑客技術(shù)的安全功能的技術(shù)成為網(wǎng)絡(luò)安全技術(shù)。網(wǎng)絡(luò)安全技術(shù)實現(xiàn)的安全功能：1、接入控制2、IP地址檢測3、建立終端間可靠傳輸路徑4、虛擬網(wǎng)絡(luò)5、隱藏重要信息資源6、容錯設(shè)計。防DHCP欺騙和DHCP偵聽信息庫？在以太網(wǎng)交換機端口設(shè)置信任端口和非信任端口，只有信任端口的DHCP才會轉(zhuǎn)發(fā)，防ARP欺騙？在交換機中建立DHCP偵聽信息庫，可以判斷ARP報文中給出信息的正確性。防偽造IP地址攻擊？設(shè)置靜態(tài)DHCP偵聽信息庫，匹配MAC和IP地址。不符合的丟棄。或服務(wù)器對于TCP請求回應(yīng)SYN和ACK，如果TCP請求再回應(yīng)RST為1時，釋放該連接。防轉(zhuǎn)發(fā)表溢出攻擊：限制交換機每個端口的最大學(xué)習(xí)地址數(shù)，當學(xué)習(xí)到上限時，不能再通過該端口學(xué)習(xí)到新的地址從而避免溢出。防路由欺騙攻擊機制：路由器根據(jù)路由消息和密匙K生成基于K的報文摘要。并與消息后組播發(fā)送其他路由器，其他路由器收到消息是，根據(jù)路由信息和自己有的K生成基于K的報文摘要和消息后的報文摘要比對，相等則說明發(fā)送和接收者有相同密匙，數(shù)據(jù)沒有篡改。路由器通過單播反響路徑驗證過程完成防源IP地址欺騙攻擊的功能。VPN定義：是一種通過共享的分組交換網(wǎng)絡(luò)實現(xiàn)各子網(wǎng)間互連，但其安全性又與通過點對點專用鏈路實現(xiàn)各個子網(wǎng)互連的專用網(wǎng)絡(luò)一樣的網(wǎng)絡(luò)技術(shù)，從虛擬網(wǎng)絡(luò)角度看，VPN主要采用了虛擬路由器和虛擬點對點路徑的技術(shù)。NAT網(wǎng)絡(luò)地址轉(zhuǎn)換？1、端口地址轉(zhuǎn)換2、動態(tài)NAT 3、靜態(tài)NAT。內(nèi)部網(wǎng)絡(luò)本地IP地址：10.0.0.0/8；172.16.0.0/12；192.168.0.0/16；防火墻定義：是一種位于網(wǎng)絡(luò)之間，對網(wǎng)絡(luò)之間傳輸信息實施控制的設(shè)備。防火墻的分類：個人防火墻，網(wǎng)絡(luò)防火墻。電路層網(wǎng)關(guān)-傳輸層 應(yīng)用層網(wǎng)關(guān)-應(yīng)用層。防火墻的功能：服務(wù)控制、方向控制、行為控制、用戶控制。防火墻的局限性：只能防止外部網(wǎng)絡(luò)的攻擊，