2022年网络信息安全 .pdf

《2022年网络信息安全 .pdf》由会员分享，可在线阅读，更多相关《2022年网络信息安全 .pdf（16页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、1、网络信息安全（1）通用定义：网络信息安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统能够连续、可靠、正常地运行，网络服务不中断。（2）内容：信息系统安全，即信息处理和传输系统的安全。系统信息安全。信息传播安全。信息内容安全。（3）特征：保密性完整性可用性不可否认性可控性2、网络信息安全的基本原则：（1）最小特权原则：一个对象(或实体)应该只拥有为执行其分配的任务所必要的最小特权，并绝对不超越此限。（2）纵深防御原则：指不能只依靠单一的安全机制，而应该通过多种机制互相支撑以实现安全的目的。（3）阻塞点原则：就是设置一个窄道，目的是强迫

2、攻击者使用这个窄道，以对其进行监视和控制。（4）最薄弱链接原则：是指链的强度取决于它的最薄弱链接，墙的坚固程度取决于它的最薄弱处，即网络信息安全中的“短板原理”。（5）失效保护状态原则：是指当系统失效以后应该自动处于安全保护状态，能够拒绝入侵者的入侵。（默认拒绝状态；默认许可状态）（6）普遍参与原则：为了使安全机制更有效，应该要求包括官员、管理者、普通职工和用户等每一成员都能有意识地普遍参与。（7）防御多样化原则：使用从不同厂商那里得到的安全保护系统可以降低因产品缺陷或配置错误而危及整个系统的机会。但是操作中要注意提防虚假多样化。（8）简单化原则3、OSI 安全体系结构（1）安全服务：对象认证

3、安全服务；访问控制安全服务；数据保密性安全服务；数据完整性安全服务；防抵赖性安全服务。（2）安全机制：加密机制；数字签名；访问控制机制；数据完整性机制；认证交换机制；防业务流量分析机制；路由控制机制；公证机制。（3）安全管理：对安全服务和安全机制进行管理，把管理信息分配到有关的安全服务和安全机制中去，并收集与它们的操作有关的信息。4、我国计算机安全保护的五个级别第一级：用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。第二级：系统审计保护级。除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己行为的合法性负责。第三

4、级：安全标记保护级。除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制访问。第四级：结构化保护级。在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。第五级：访问验证保护级。这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。5、主动攻击：中断（破坏可用性）修改（破坏完整性）伪造（破坏真实性）被动攻击：窃听（获取消息内容流量分析）名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 16 页 -6、（1）密码学的基本术语

5、：明文(plain text)，密文(cipher text)，加密(encrypt,encryption)，解密(decrypt,decryption)，密码算法（Algorithm），密码（Cipher）用来加密和解密的数学函数：c=E(m),m=D(c),D(E(m)=m 密钥（Key）：算法中的一个变量c=Eke(m),m=Dkd(c),Dkd(Eke(m)=m（2）密码算法的分类：1 按照算法和密钥是否分开，可以分为：古典密码算法和现代密码 算 法，又 可 以 称 为 受 限 制 的（restricted)算 法 和 基 于 密 钥（key-based)的算法2 按照加密和解密是否使

6、用相同的密钥，可以分为：对称密钥密码（symmetric cipher）和非对称密钥密码（asymmetric cipher）3 按照每次操作的数据单元是否分块，可以分为：分组密码（block cipher）和序列密码（stream cipher）7、对密码算法安全性的认识（1）无条件安全（Unconditionally secure）无论破译者有多少密文，也无法解出对应的明文，即使解出了明文,也无法验证结果的正确性。One-time pad：除了一次一密的方案外，没有无条件安全的算法（2）计算上安全（Computationally secure）：破译的成本超过加密信息的价值；破译的时间超过

7、该信息有用的生命周期。8、（1）密码分析的定义：在未知密钥的前提下，从密文恢复出明文、或者推导出密钥，对密码进行分析的尝试称为密码分析或密码攻击。（2）分类：唯密文攻击；已知明文攻击；选择明文攻击；选择密文攻击；选择文本攻击攻击的复杂性分析：数据复杂性；处理复杂性；存储需求9、密码技术的主要应用领域数据保密数据加密/解密：数据加密（存储和传输）认证技术：实体身份认证；数据源发认证信息完整性保护：数据在传输过程中没有被插入、篡改、重发数字签名和抗抵赖（Non-repudiation）：源发抗抵赖；交付抗抵赖10、古典密码算法（1）替代密码（substitution cipher)：就是明文中的每

8、一个字符被替换成密文中的另一个字符。接收者对密文做反向替换就可以恢复出明文。（替代规则、密文所用字符、明文中被替代的基本单位）（2）置换密码(permutation cipher)，又称换位密码（transpositionc ipher)：明文的字母保持相同，但顺序被打乱了。（3）单字母密码（monoalphabetic cipher)：明文的一个字符用相应的一个密文字符替代，而且密文所用的字符与一般的明文所用字符属同一语言系统。（4）多字母密码（ployalphabetic cipher)：明文中的字符映射到密文空间的字符还依赖于它在上下文中的位置。（5）仿射（affine)密码算法设 M=

9、C=Z/(26)K=(a,b)Z/(26)Z/(26)|gcd(a,26)=1，对 k=(a,b)K 定义 Ek(x)=ax+b(mod 26)和 Dk(y)=a-1(y-b)(mod 26)x、y Z/(26)11、转子机的基本原理12、对称密钥加密模型对称密钥加密技术：加密和解密使用相同的密钥：KE=KD 名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 16 页 -密钥必须使用秘密的信道分配生成子密钥：13、DES 算法及其变形DES 算法原理：DES 是一种对称密钥算法，密钥长度为56bits(加上奇偶校验，通常写成64bits)是一种分组加密算法，64 bits 为一个分

10、组基本思想：混乱（Confusion）和扩散（Diffusion）使用标准的算术和逻辑运算DES 加密过程：首先把明文分成以64 bit 为单位的块m，对于每个m,执行如下操作：DES(m)=IP-1?T16?T15?.T2?T1?IP(m)初始置换，IP16 轮迭代，Ti,i=1,2,16 末置换，IP-1 DES 的变形:三重 DES 加密，密钥长度为112 比特,k=k1k2 名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 16 页 -DES 算法概要：14、算法模式电子密码本（Eletronic CoodBook,ECB）密码分组链（Cipher Block Chaini

11、ng,CBC）密文反馈（Cipher FeedBack,CFB）输出反馈（Output FeedBack,OFB）15、非对称密钥加密技术名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 16 页 -非对称密码算法的表示：对称密钥密码密钥：会话密钥（K）加密函数：C=EKP，对密文C，解密函数：DKC，非对称密钥密码密钥对：公钥和私钥(KUa，KRa)加密函数：C=EKUaP，解密函数：P=DKRaC。非对称密钥密码算法的条件：参与方 B 容易产生密钥对（KUb,KRb）已知 KUb，A 的加密操作是容易的：C=EKUb(P)已知 KRb，B 解密操作是容易的：P=DKRb(C)=

12、DKRb(EKUb(P)已知 KUb，求 KRb 是计算上不可行的；已知 KUb 和 C,欲恢复 P 是计算上不可行的17、Diffie Hellman 密钥交换算法第一个发表的公开密钥算法，1976 用于通信双方安全地协商一个会话密钥只能用于密钥交换，基于离散对数计算的困难性，主要是模幂运算a p mod n 19、非对称密码的优缺点优点：解决了密钥交换的难题；可以应用于密钥管理和数字签名；保证数据的完整性和不可抵赖性缺点：算法速度很慢，是一个制约因素；无法应对中间人攻击问题。20、数字信封技术数字信封的工作原理：（1）发送方用对称密钥加密算法（如：DES 算法）加密，明文生成密文，加密密钥

13、为K1；（2）发送方用接收方的公钥加密密钥K1，生成密钥密文（3）发送方将密文和密钥密文封装在一起发送给接受方，其中封装后的信息即为数字信封；（4）接受方收到数字信封后，先用自己的私钥解密密钥，密文获得密钥K1，然后用K1 解密密文获得明文。21、散列函数以及MD5 算法散列函数：hash function：哈希函数、摘要函数。输入：任意长度的消息报文M。输出：一个固定长度的散列码值H(M)是报文中所有比特的函数值。单向函数。散列函数的特性：散列函数H()的输入可以是任意大小的数据块。散列函数H()的输出是定长。计算需要相对简单，易于用软件或硬件实现。单向性：对任意散列码值h，要寻找一个M，使

14、H(M)=h 在计算上是不可行的。弱抗冲突性（weak collision resistance）：对任何给定的报文M，若要寻找不等于M 的报文M1 使 H(M1)H(M)在计算上是不可行的。该性质能够防止伪造。强抗冲突性（stronge collision resistance）：要找到两个报文M 和 N 使 H(M)H(N)在计算上是不可行的。该性质指出了散列算法对“生日攻击”的抵抗能力。安全散列函数MD5输入：任意长度的报文；输出：128 bit 报文MD5 的步骤：第一步，填充。对信息进行填充，使其字节长度对512 求余的结果等于448，即比 512 的倍数少64 位。在信息的后面填充

15、一个1 和无数个0，直到满足上述条件时才停止用 0 对信息的填充。第二步，添加。在第一步结果的后面附加一个以64 位二进制表示的名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 16 页 -填充前信息的原始长度。第三步，分块。将第二步的结果分成一个个512 位的块。第四步，HMD5算法。MD5 算法的核心步骤较为复杂。22、数字签名的定义和特征数字签名的定义：附加在数据单元上的一些数据，或是对数据单元所做的密码变换，这些数据可以帮助数的接受者用来确认数据单元来源和数据单元的完整性，并保护数据，防止被人伪造。数字签名的性质：必须能够验证签名者及其签名的日期时间；必须能够认证被签名消息

16、的内容；签名必须能够由第三方验证，以解决争议。数字签名的特征：签名是不可否认的：签名者不能事后声称他没有签署过文件签名是不可伪造的：数字签名证明是签名者本人而不是别人签署了文件数字签名不能重复使用：签名是文件的一部分，任何人都不能把它转移到别的文件上签名后的文件是不能改变的23、数字证书技术数字证书是一种数字标识，可以说是互联网上的安全护照或身份证明。数字证书提供的是在虚拟的网络世界中的身份证明。证书中包含了密钥、个人或单位的名称以及证书颁发机构的数字签名，密钥的有效期限，发证机构的名称，证书的序列号等信息。证书的格式遵循X.509 国际标准。内容：姓名：Atul Kahate 公钥：序列号：

17、1029101 起始日期：1 Jan 2001中止日期：31 Dec 2004 签发者名：VeriSion 其它数据：Email 数字证书的生命周期：生成数字证书：第一步：密钥生成；第二步：注册证书签名请求pkcs#10（CSR,Certificate Signing Request）；第三步：验证；第四步：证书生成。验证的过程主要分为6 个步骤名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 16 页 -证书链：24、PKI 技术的概念、体系结构、工作流程Public Key Infrastructure（PKI）是硬件、软件、人员、策略和操作规程的总和，它们要完成创建、管理、保

18、存、发放和废止证书的功能。PKI 的体系结构：CA；RA；证书受理点；密钥管理中心-KMC 25.Kerberos V4 认证技术及认证过程名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 16 页 -26、计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。27.计算机病毒的特征：寄生性（依附性），它不是以独立的文件的形式存在的，它寄生在合法的程序中依赖于宿主程序的执行而生存；传染性，通过各种渠道从已被感染的计算机扩散到未被感染的计算机；隐蔽性，传染的隐蔽性与存在的隐蔽性；潜伏性；可触发性，因某个特征或

19、数值的出现，诱使病毒实施感染或进行攻击的特性；破坏性，降低计算机系统的工作效率，占用系统资源，其具体情况取决于入侵系统的病毒程序。28.计算机病毒的分类：按照计算机病毒攻击的操作系统分类（1）攻击 DOS 系统的病毒（2）攻击 Windows 系统的病毒（3）攻击 UNIX 系统的病毒。攻击 UNIX 操作系统的计算机病毒相对来讲，为数不多，传播效率低，不易流行（4）攻击OS/2 系统的病毒（5）攻击嵌入式操作系统的病毒。随着掌上电脑、手机各种便携电子设备的出现，Palm、EPOC 等嵌入式操作系统也未能幸免于难。一种名为“自由A”的特洛伊木马，是目前已知的第一个在Palm 操作系统平台上发作

20、的病毒。按照计算机病毒的链结方式分类（1）源码型病毒:该病毒攻击高级语言编写的程序，在高级语言所编写的程序编译前插入到原程序中，经编译成为合法程序的一部分（2）入侵型病毒:这种病毒是将自身嵌入到攻击目标中，代替宿主程序中不常用到的堆栈区或功能模块，而不是链接在它的首部或尾部（3）外壳型病毒:寄生在宿主程序的前面或后面，并修改程序的第一个执行指令，使病毒先于宿主程序执行，这样随着宿主程序的使用而传染扩散（4）操作系统型病毒:这种病毒在运行时，用自己的逻辑模块取代操作系统的部分合法程序模块。按照计算机病毒的危害程度分类（1）良性计算机病毒，良性病毒是指那些不对计算机系统直接进行破坏，只是具有一定表

21、现症状的病毒。（2）恶性计算机病毒，恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用，诸如删除数据、格式化硬盘。（3）中性病毒，中型病毒指那些对计算机系统不造成直接破坏，又没有表现症状，只是疯狂复制自身的病毒，也就是常说的蠕虫性病毒。按照寄生方式分类引导型病毒就是通过磁盘引导区传染的病毒，主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方。文件型病毒主要以感染可执行程序为主，病毒通常寄生在可执行程序中，一旦程序被执行，病毒也就被激活，并将自身驻留内存，然后设置触发条件，进行感染。混合型病毒是指既传染磁盘引导

22、扇区又传染可执行文件的病毒，综合了系统型和文件型病毒的特性。按照传染途径分类又可分为驻留内存型和不驻留内存型，驻留内存型按其驻留内存方式又可细分。29、计算机病毒的命名对病毒命名的目的使人们快速、准确地辩识出该病毒，以便防范和诊治。一种计算机病毒往往有多个名字，如“PE_KRIZ.3740”病毒，又称圣诞CIH 病毒，圣诞节病毒（Christmas Virus）、W32.KRIZ 病毒。命名病毒的常用方法有以下几种：1.按病毒发作的时间命名，即按病毒表现或破坏的时间命名。如“黑色星期五病毒”在某月 13 日恰逢星期五发作，“米开朗基罗”病毒的发作时间是3 月 6 日，即意大利著名艺术家米开朗基

23、罗的生日。“PE_KRIZ.3740”病毒，每逢12 月 25 日发作，由于刚好是圣诞节的时间，所以我们也称它为圣诞节病毒（Christmas Virus）名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 16 页 -2.按病毒发作症状命名，如“小球”病毒、“火炬”病毒、“Yankee”病毒、蠕虫 病毒等。3.按病毒中出现的标志命名，如“大麻(Marijunana)”病毒、“Liberty”病毒、“磁盘杀手（DiskKiller）”病毒、“CIH”病毒等。4.按病毒的首先发现的地点命名，如“ZHENJIANG_JES”其样本最先来自镇江某用户，“黑色星期五病毒”又名“耶路撒冷（Ju

24、rusalem）”病毒，它首先在Jurusalem发现。5.按病毒感染文件时文件增加的字节长度或病毒自身代码长度命名，如 4096、1210、1554、1701、1704、903 等。6.按计算机传染方式命名，如“黑色星期五”病毒感染文件时不作标记，故反复感染，因此又名疯狂拷贝病毒。7.以计算机病毒宣布的编写者的名称来命名，如“Ogre”病毒也即“DiskKiller”病毒。8.按病毒宣布的编写时间命名，如“4 月 1 日”病毒。国际上对病毒命名的惯例：前缀+病毒名+后缀。前缀表示该病毒发作的操作平台或者病毒的类型，而DOS 下的病毒一般是没有前缀的；病毒名为该病毒的名称及其家族；后缀一般可以

25、不要的，只是以此区别在该病毒家族中各病毒的不同，可以为字母，或者为数字以说明此病毒的大小。“W97M.Melissa.BG”病毒，BG 表示在Melissa 病毒家族中的一个变种，W97M 表示该病毒是一个Word97 宏病毒。30、计算机病毒的逻辑结构计算机病毒程序一般包括3 个功能模块：病毒的引导模块、传染模块、破坏(或表现)模块。(1)病毒的引导模块：引导模块的作用是当病毒的宿主程序开始工作时将病毒程序从外存引入内存，使其与宿主程序独立，并且使病毒的传染模块和破坏模块处于活动状态，以监视系统运行。(2)病毒传染模块：染模块负责将病毒传染给其他计算机程序，使病毒向外扩散。病毒的传染模块由两

26、部分组成：病毒传染的条件判断部分和病毒传染程序主体部分。(3)病毒破坏（表现）模块：该模块是病毒的核心部分，它体现了病毒制造者的意图。病毒的破坏模块也是由两部分组成：病毒破坏的条件判断部分和破坏程序主体部分31.防火墙技术的概念及特征、分类防火墙是一个或一组实施访问控制策略的系统，在内部网络（专用网络）与外部网络（公用网络）之间形成一道安全保护屏障，以防止非法用户访问内部网络上的资源和非法向外传递内部消息，同时也防止这类非法和恶意的网络行为导致内部网络的运行遭到破坏。防火墙的特性：从内到外和从外到内的所有通信流都要经过。为此，首先要防止对本地网的所有访问，只允许通过防火墙访问。只允许本地安全策

27、略授权的通信流经过。防火墙本身对于渗透是免疫的。防火墙分类：从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙。根据防火墙应用在网络中的层次不同进行划分，从总体来讲可分为：网络层防火墙、应用层防火墙。网络层防火墙又称包过滤防火墙，数据包过滤技术是防火墙为系统提供安全保障的主要技术，其技术依据是网络中的分包传输技术。应用层防火墙也称为应用层网关32.包过滤防火墙的两种基本策略和基本工作原理（动态和静态）两种基本策略：（1）没有被拒绝的流量都可以通过管理员必须针对每一种新出现的攻击，制定新的规则名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 16 页 -（2）没有被

28、允许的流量都要拒绝比较保守；根据需要，逐渐开放静态：根据流经该设备的数据包头信息，决定是否允许该数据包通过；创建包过滤规则动态：状态检测（Stateful inspection）：其工作原理是检测每一个有效连接的状态，并根据这些状态信息决定网络数据包是否能够通过防火墙。防火墙跟踪客户端口，而不是打开全部高编号端口给外部访问，因而更安全。状态检测防火墙建立连接状态表，记录外出的TCP 连接及相应的高编号客户端口，以验证任何进入的通信是否合法。可动态生成/删除规则目前的状态检测技术仅可用于TCP/IP 网络。分析高层协议33.防火墙的体系结构包过滤型防火墙（Package Filtering)双宿

29、/多宿主机模式(Dual-Homed/Multi-Homed Host Firewall)屏蔽主机模式(Screened Host Firewall)屏蔽子网模式(Screened Subnet mode)其他模式34.堡垒主机、双宿主机和DMZ 的概念堡垒主机（Bastion Host）：堡垒主机是一种配置了安全防范措施的网络上的计算机，堡垒主机为网络之间的通信提供了一个阻塞点，也就是说如果没有堡垒主机，网络之间将不能相互访问。可以配置成过滤型、代理型或混合型。双宿主机（Dual-homed Host）：有两个网络接口的计算机系统，一个接口接内部网，一个接口接外部网。DMZ(Demilita

30、rized Zone，非军事区或者停火区)在内部网络和外部网络之间增加的一个子网。DMZ 是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业 Web 服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ 区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。35.防火墙的局限性防火墙主要是保护网络系统的可用性，不能保护数据的安全，缺乏一整套身份认证和授权管理系统。防火墙不能防御

31、绕过它本身的攻击。防火墙无法防止病毒攻击内部网络。无法防护内部网用户的攻击。36.入侵检测技术的概念入侵检测ID（Intrusion Detection），就是对入侵行为的发觉，它通过计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。入侵检测系统的概念入侵检测系统IDS（Intrusion Detection System）是基于入侵检测技术对网络与其上的系统进行监视，并根据监视结果进行不同的安全动作，最大限度地降低可能的入侵危害。入侵检测系统是一系列在适当的位置上对计算机未授权访问进行警告的机制，同时对于假冒身

32、份的入侵者，入侵检测系统也能采取一些措施来拒绝其访问。37.入侵检测系统的分类名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 16 页 -基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害，需要安装在被保护的主机上。按照检测对象的不同，基于主机的入侵检测系统可以分为两类：网络连接检测和主机文件检测。1.网络连接检测网络连接检测是对试图进入该主机的数据流进行检测，分析确定是否有入侵行为，避免或减少这些数据流进入主机系统后造成损害。2.主机文件检测通常入侵行为会在主机的各种相关文件中留下痕迹，主机文件检测能够帮助系统管理员发现入侵行为或入侵企图，及时采取补救措施。（1）系

33、统日志。系统日志文件中记录了各种类型的信息，包括各用户的行为记录。（2）文件系统。恶意的网络攻击者会修改网络主机上包含重要信息的各种数据文件（3）进程记录。主机系统中运行着各种不同的应用程序，包括各种服务程序基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上，它使用原始的网络分组数据包作为进行攻击分析的数据源，一旦检测到攻击，入侵检测系统应答模块通过通知、报播以及中断连接等方式来对攻击做出反应。基于网络的入侵检测可以侦听一个IP，保护特定服务器的安全，也可以侦听整个网段。为了能够对整个网段进行侦听，系统会将本身的网卡设置为混杂模式以接收网段内的所有数据包。最常用的处理是数据包的

34、流量统计以及数据包的归类分析。获取包的主要目的是要对它进行处理以获得需要的信息。基于网络的入侵检测系统可以执行以下任务：（1）检测端口扫描。（2）检测常见的攻击行为。（3）识别各种各样可能的IP 欺骗攻击。（4）当检测到一个不希望的活动时，基于网络的入侵检测系统将采取行动。基于网络的入侵检测系统通过检查所有的数据包来进行检测，而基于主机的入侵检测系统并不查看包头。基于网络的入侵检测系统可以研究负载的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的入侵检测系统迅速识别；而基于主机的入侵检测系统无法看到负载，因此也无法识别嵌入式的负载攻击。38.异常检测技术基于行为的检测的优缺

35、点异常检测技术有以下优点：能够检测出新的网络入侵方法的攻击；较少依赖于特定的主机操作系统；对于内部合法用户的越权违法行为的检测能力较强。异常检测技术有以下不足：误报率高；行为模型建立困难；难以对入侵行为进行分类和命名。39.误用检测技术基于知识的检测的优缺点误用检测技术有以下优点：检测准确度高；技术相对成熟；便于进行系统防护。误用检测技术有以下缺点：不能检测出新的入侵行为；完全依赖于入侵特征的有效性；维护特征库的工作量巨大；难以检测来自内部用户的攻击。40.黑客攻击的步骤和常用攻击手段黑客攻击的步骤：（1）信息收集黑客首先要确定攻击的目标，然后利用社会学攻击、黑客技术等方法和手段收集目标主机的

36、各种信息。收集信息并不会对目标主机造成危害，只是为进一步攻击提供有价值的信息。（2）入侵并获得初始访问权名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页，共 16 页 -黑客要想入侵一台主机，必须要有该主机的账号和密码，。所以黑客首先要设法盗取账户文件，并进行破解，以获得用户的账号和密码，然后以合法的身份登录到被攻击的主机上。（3）获得管理员权限，实施攻击有了普通账号就可以侵入到目标主机之中，由于普通账号的权限有限，所以黑客会利用系统的漏洞、监听、欺骗、口令攻击等技术和手段获取管理员的权限，然后实施对该主机的绝对控制。（4）种植后门为了保持对“胜利果实”长期占有的欲望，在已被攻破的主

37、机上种植供自己访问的后门程序。（5）隐藏自己当黑客实施攻击以后，通常会在被攻击主机的日志中留下相关的信息，所以黑客一般会采用清除系统日志或者伪造系统日志等方法来销毁痕迹，以免被跟踪。黑客常用的攻击手段：目前常见的黑客攻击手段主要有以下几种：社会工程学攻击社会工程学攻击是指利用人性的弱点、社会心理学等知识来获得目标系统敏感信息的行为。（1）打电话请求密码尽管不像前面讨论的策略那样聪明，但打电话寻问密码却经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员，经常通过这种简单的方法重新获得密码。（2）伪造 Email 通过使用 telnet黑客可以截取任何用户Email 的全部信息，这样的 Emai

38、l 消息是真实的，因为它发自于合法的用户。利用这种机制黑客可以任意进行伪造，并冒充系统管理员或经理就能较轻松地获得大量的信息，以实施他们的恶意阴谋。41.漏洞，漏洞扫描 的概念漏洞就是指允许非法用户未经授权就获得访问权限或可以提高其访问层次、或者可以影响系统正常运行的软件和硬件特征。42.拒绝服务攻击的概念以及分类拒绝服务是指利用协议或不同系统实现的漏洞，使目标服务器资源耗尽或过载、没有能力向外提供服务的攻击。按照所使用的技术，拒绝服务大体上可以分为两大类：一类是基于错误配置、系统漏洞或软件缺陷，如利用传输协议缺陷，发送畸形数据包，以耗尽目标主机资源，使之无法提供服务。利用主机服务程序漏洞，发

39、送特殊格式数据，导致服务处理出错而无法提供服务。另一类是通过攻击合理的服务请求，消耗系统资源，使服务超载，无法响应其他请求。例如制造高流量数据流，造成网络拥塞，使受害主机无法与外界通信。43.几种拒绝服务攻击以及分布式拒绝服务攻击的步骤。1.死亡之 Ping（Ping of Death）（1）ICMP 协议及其缺陷IP 是一种不可靠、无连接的包传送协议，也是一种尽最大努力服务的协议。当一个包在经过多个网际部件的传送途中，可能出现传送方向出错、目的主机不响应、包拥塞、不能出错等情况。这时，由于它没有差错报告和差错纠正机制所以，将无能为力。为了弥补IP 的这些不足，在IP 层引入了一个子协议：网际

40、控制消息协议ICMP（Internet Control Message Protocol）。ICMP 是一种差错报告机制，它为路由器或目标主机提供了一种方法，使它们能把遇到的差错报告给源主机。如图所示，ICMP 报文始终包含IP 首部和产生ICMP名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 16 页 -差错报文的IP 数据报的前8 个字节（64KB）。由于这一特点，早期的许多操作系统在处理 ICMP 协议（如接收ICMP 数据报文）时，只开辟64KB 的的缓存区。在这种情况下，一旦处理的数据报的实际长度超过64KB，操作系统将会产生一个缓冲溢出，引起内存分配错误，最终导致T

41、CP/IP 协议堆栈的崩溃，造成主机死机。（2）Ping 程序与拒绝服务攻击的实现Ping 是 TCP/IP 网络中一个最简单而又非常有用的ICMP 应用程序。它使用ICMP 回应请求/应答，测试一台主机的可达性，具体可以用于下列场合：验证基础 TCP/IP 软件的操作；验证 DNS 服务器的操作；验证一个网络或网络中的设备是否可以被访问。由于早期的Ping 可以用参数“-1”指定所发送数据包的尺寸，有可能发送一个超过 64KB 的报文。如ping-1 65540 212.15.1.0 3.UDP“洪水”（UDP Flood）UDP“洪水”由 ECHO/CHARGEN服务引起。ECHO/CHA

42、RGEN服务是TCP/IP 为 TCP 和 UDP 提供的一种服务。ECHO 的作用就是由接收端将接收到的数据内容返回到发送端，CHARGEN 则随机返回字符。这样简单的功能，为网络管理员提供了进行可达性测试、协议软件测试和选路识别的重要工具，也为黑客进行“洪水”攻击提供了方便。当入侵者假冒一台主机向另一台主机的服务端口发送数据时，ECHO 服务或 CHARGEN 服务就会自动回复。两台机器之间的互相回送，会形成大量数据包。当多台主机之间相互产生回送数据包，最终会导致系统瘫痪。SYN“洪水”（SYN Flood）与 Land 这是两个利用TCP 连接中三次握手过程的缺陷的拒绝服务攻击。正常的

43、TCP握手需要三次包交换来建立。一台服务器一旦接收到客户机的SYN 包后必须回应一个 SYN/ACK 包，然后等待该客户机回应给它一个ACK 包来确认，才真正建立连接。SYN“洪水”的攻击方法是攻击者用伪造的地址（网上没有使用的地址）向然目标主机发出大量初始化的SYN包。目标主机收到请求后，分别回以相应的SYN/ACK。但是由于源地址是虚假的，所以目标主机会因为其SYN/ACK得不到确认，会保持相应的连接直到超时。当这些未释放的连接请求超过一定限度时，就会拒绝新的连接请求。分布式拒绝服务攻击的步骤：步骤一：攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。步骤二：黑客设法入侵有安全漏洞的主

44、机并获取控制权。这些主机将被用于放置后门、sniffer 或守护程序甚至是客户程序。步骤三：黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。步骤四：Using Client program,黑客发送控制命令给主机，准备启动对目标系统的攻击。步骤五：主机发送攻击信号给被控制计算机开始对目标系统发起攻击。步骤六：目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。44.扫描技术的概念，扫描技术的分类扫描器是一种通过收集系统的信息来自动检测远程或本地主机安全性弱点的程序，通过使用扫描器，可以发现远程服务器的

45、各种TCP 端口的分配及提供的服务和它们的软件版本。名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页，共 16 页 -扫描器有主要功能：发现一个主机或网络；发现有什么服务程序正运行在主机上；通过测试这些服务发现漏洞。?按照使用对象的不同：本地和远程?按照扫描的目的来分类：端口和漏洞45.缓冲区溢出攻击的概念与防范措施缓冲区溢出攻击是一种系统攻击的手段，通过往缓冲区写超出其长度的内容，造成缓冲区溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。缓冲区溢出的防范（1）编写正确的代码。编写安全的程序代码是解决缓冲区溢出漏洞的最根本办法。在程序开发时就要考虑可能的安全问题，

46、杜绝缓冲区溢出的可能性，尤其在C 程序中使用数组时，只要数组边界不溢出，那么缓冲区溢出攻击就无从谈起，所以对所有数组的读写操作都应控制在正确的范围内，通常通过优化技术来实现之。（2）非执行的缓冲区。非执行的缓冲区技术是指通过使被攻击程序的数据段地址空间不可执行，从而使得攻击者不可能执行被攻击程序输入缓冲区的代码。（3）指针完整性检查。堆栈保护是一种提供程序指针完整性检查的编译器技术，通过检查函数活动记录中的返回地址来实现。指针完整性检查是指在程序指针被引用之前先检测它是否被改变，一旦改变主不会被使用。（4）用好安全补丁。实际上，让普通用户解决其遇到的安全问题是不现实的，用补丁修补缺陷则是一个不

47、错的，也是可行的解决方法。46.网络监听的概念与特点、防范措施网络监听也被称作网络嗅探（Sniffer）。它工作在网络的底层，能够把网络传输的全部数据记录下来，黑客一般都是利用该技术来截取用户口令的。网络监听是一种常用的被动式网络攻击方法，能帮助入侵者轻易获得用其他方法很难获得的信息，包括用户口令、账号、敏感数据、IP 地址、路由信息、TCP 套接字号等。监听的特点：网络监听通常在网络接口处截获计算机之间通信的数据流，是进行网络攻击最简单、最有效的方法。它具有以下特点：（1）隐蔽性强。进行网络监听的主机只是被动地接收在网络中传输的信息，没有任何主动的行为，既不修改在网络中传输的数据包，也不往链

48、路中插入任何数据，很难被网络管理员觉察到。（2）手段灵活。网络监听可以在网络中的任何位置实施，可以是网络中的一台主机、路由器，也可以是调制解调器。其中，网络监听效果最好的地方是在网络中某些具有战略意义的位置，如网关、路由器、防火墙之类的设备或重要网段；而使用最方便的地方是在网络中的一台主机中。监听的防范1检测网络嗅探网络嗅探的检测其实是很麻烦的，由于嗅探器需要将网络中入侵的网卡设置为混杂模式才能工作，所以可以通过检测混杂模式网卡的工具来发现网络嗅探。还可以通过网络带宽出现反常来检测嗅探。通过某些带宽控制器，可以实时看到目前网络带宽的分布情况，如果某台机器长时间的占用了较大的带宽，这台机器就有可

49、能在监听。通过带宽控制器也可以察觉出网络通信速度的变化。对于 SunOS 和其他的 BSD Unix 系统可以使用Lsof 命令来检测嗅探器的存在。Lsof 的最初的设计目的并非为了防止嗅探器入侵，但因为在嗅探器入侵的系统中，嗅探器会打开名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页，共 16 页 -Lsof 来输出文件，并不断传送信息给该文件，这样该文件的内容就会越来越大。如果利用Lsof 发现有文件的内容不断地增大，就可以怀疑系统被嗅探。2主动防御网络嗅探最好的办法就是使网络嗅探不能达到预期的效果，使嗅探价值降低，可以使用的方法包括：（1）采用安全的拓扑结构。（2）通信会话加密

50、。（3）采用静态的ARP 或者 IP-MAC 对应表。47.IPsec 协议的体系结构48.传输模式和隧道模式各自的特点和区别两种鉴别模式：传输模式：不改变IP 地址，插入一个AH 特点：保护端到端通信；通信的终点必须是IPSec 终点。隧道模式：生成一个新的IP 头，把 AH 和原来的整个IP 包放到新IP 包的载荷数据中。特点：保护点到点通信；通信的终点必须是IPSec 终点；克服了传输模式的一些缺点。49.安全关联SA 的组成三要素SPI：安全参数索引；32 位整数，唯一标识SA；1255 被 IANA 保留将来使用；0 被保留用于本地实现。源/目的 IP：输出处理SA 的目的 IP 地