对等实体认证服务:网络通信必须保证双方或多方间身份,特别对等实体身份的相互确认,这是网络间有效通信的前提;对等实体主要指用户应用实体;
数据源点认证服务:高安全级别的网络通信需要对数据源点进行认证,以阻止各种可能的恶意攻击行为。这里,数据源点主要指主机标识,
数据保密服务:信息不泄露给非授权的用户、实体或过程,或供其利用的特性;
数据完整性服务:数据未经授权不能进行改变的特性。即信息在存储或传输过程中不被修改、不被破坏和丢失的特性;
访问控制服务:通信双方应该能够对通信、通信的内容具有不同强度的控制能力,这是有效和高效通信的保障;
可用性:可被授权实体访问并按需求使用的特性。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都是对可用性的攻击。
3:分组密码与流密码 对称密码与非对称密码 按加密方式的不同可分为分组密码与流密码: 流密码(Stream Cipher)(或称序列密码)和分组密码(Block Cipher)
区别是:流密码是将明文消息按字符逐位加密;分组密码是将明文消息先进行分组,再逐组加密。
按密钥的特点分为对称密码和非对称密码: 对称密码体制(Symmetric Cryptosystem):单钥(One-Key)体制或私钥(Private Key)体制或传统密码体制(Classical Cryptosystem);加密解密密码相同;密钥必须保密存放;通信前,收发双方必须实现密钥共享;主要应用于数据加解密、可以实现数据保密性、认证等安全服务。
非对称密码体制(Asymmetric Cryptosystem):双钥(Two-Key)或公钥(Public Key)密码体制。 加密解密密码不同;私钥保密存放,公钥公开存放;通信前,收发双方无需实现密钥共享;可应用于数据加解密、数字签名、密钥交换等方面,实现数据保密、认证、数据完整性、不可否认性等安全服务。
4:保证密码系统安全就是要保证密码算法的安全性,这种说法是否错误,并解释。
说法错误,系统的保密性不依赖于对加密体制或算法的保密,而仅依赖于密钥的安全性。对于当今的公开密码系统,加密解密算法是公开的。
5:PKI,PKI的组成部分,各部分的作用。 PKI,Public Key Infrastructure是一个用公钥概念与技术来实施和提供安全服务的具有普适性
的安全基础设施。PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供数字签名服务。是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和。
完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分;
认证机构(CA):即数字证书的申请及签发机关,CA必须具备权威性的特征;
数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥;
密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但须注意,密钥的备份与恢复必须由可信的机构来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。
证书作废系统:证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必
须提供作废证书的一系列机制。
应用接口(API):PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。
6:CA之间的信任模型有哪几个,分别描述。 单CA信任模型:整个PKI中只有一个CA,为所有的终端用户签发和管理证书,PKI中的所有终端用户都信任这个CA。每个证书路径都起始于改CA的公钥,改CA的公钥成为PKI系统中的唯一用户信任锚。
优点:容易实现,易于管理,只需要一个根CA,所有终端用户就可以实现相互认证;
缺点:不易扩展到支持大量用户或者不同的群体用户。终端的用户群体越大,支持所有的必要应用就会越困难。
严格分级信任模型:以主从CA关系建立的分级PKI结构,有一个根CA,根CA下有零层或多层子CA,根CA为子CA颁发证书,子CA为终端用户颁发证书。终端进行交互时,通过根CA来对对证书进行有效性和真实性的认证。信任关系是单向的,上级CA可以而且必须认证下级CA,而下级不能认证上级CA。
优点:
增加新的信任域用户比较容易;
证书由于单向性,容易扩展,可生成从终端用户到信任锚的简单明确路径;
证书路径相对较短;
证书短小、简单,用户可以根据CA在PKI中的位置来确定证书的用途。
缺点:单个CA的失败会影响到整个PKI系统。与顶层的根CA距离越小,则造成的影响越大;
建造一个统一的根CA实现起来不太显示。 网状信任模型:
也成分布式信任模型,CA之间交叉认证。将信任分散到两个或者多个CA上。
优点:具有较好的灵活性;从安全性削弱的CA中恢复相对容易,并且只是影响到相对较少的用户;
增加新的信任域比较容易。
缺点:路径发现比较困难;扩展性差。 桥CA信任模型:
也称中心辐射式信任模型,用于克服分级模型和网络模型的缺点和连接不同的PKI体系。桥CA与不同的信任域建立对等的信任关系,允许用户保持原有的信任域。这些关系被结合起来就形成了信任桥,使得来自不同的信任域用户通过指定信任级别的桥CA相互作用。类似网络中的HUB集线器。
优点:
现实性强;分散化的特性比较准确地代表了现实世界证书之间的交互关系
证书路径较易发现;用户只需要知道到桥的路径就可以了
证书路径较短;桥CA与网状信任相比有更短的可信任路径
WEB信任模型:
构建在浏览器的基础上,浏览器厂商在浏览器中内置了多个根CA,每个根CA相互间是平行的,浏览器用户信任这多个根CA并把这多个根CA作为自己的信任锚。各个嵌入的根CA并不是被浏览器厂商显示认证,而是物理地嵌入到软件中来发布,作为对CA名字和它的密钥的安全绑定。
优点:方便简单,操作性强,对终端用户的要求较低,用户只需简单地信任嵌入的各个根CA。
缺点:安全性较差;若有一个根CA损坏,即使其他的根CA完好,安全性也将被破坏
根CA与终端用户的信任关系模糊;终端用户与嵌入的根CA间交互十分困难,终端用户无法知道浏览器中嵌入了哪个根,根CA也无法知道它的依托方是谁。
扩展性差。根CA预先安装,难于扩展
以用户为中心的信任模型:
每个用户都直接决定信赖和拒绝哪个证书,没有可行的第三方作为CA,终端用户就是自己的根CA;
优点:安全性强;在高技术高利害关系的群体中比较占优势;
用户可控性强:每个用户可以决定是否信赖某个证书
缺点:使用范围较窄;需要用户有非常专业的安全知识
在公司、政府、金融机构不适宜;在这些组织中需要有组织地方式控制公约的使用。
8:攻击的步骤
进行网络攻击是一件系统性很强的工作,其主要工作流程是:收集情报,远程攻击,清除日志,留下后门。
9:可以通过哪些方法搜集信息。
IP扫描 端口扫描 漏洞扫描 操作系统扫描 社会工程
10:操作系统的访问控制方法
自主访问控制(Discretionary Access Control)
基本思想:
对象(object)的创建者为其所有者(owner),
可以完全控制该对象
对象所有者有权将对于该对象的访问权限授予他人(grantee)
不同的DAC模型:
Strict DAC: grantee不能授权他人 Liberal DAC: grantee可以授权他人
根据grantee可以继续授权的深度可以分为一级的和多级的
存在的问题:不易控制权限的传递;容易引起权限的级联吊销;
强制访问控制(Mandatory Access Control) 强制访问控制是系统独立于用户行为强制执行访问控制,它也提供了客体在主体之间共享的控制,但强制访问控制机制是通过对主体和客体的安全级别进行比较来确定授予还是拒绝用户对资源的访问,从而防止对信息的非法和越权访问,保证信息的保密性。与自主访问控制不同的是,强制访问控制由安全管理员管理,由安全管理员根据一定的规则来设置,普通数据库用户不能改变他们的安全级别或对象的安全属性;自主访问控制尽管也作为系统安全策略的一部分,但主要由客体的拥有者管理基本假定,
主体和客体的安全标记一旦指定,不再改变
存在的问题:仅有唯一的管理员,无法实现管理的分层 关系复杂,不易实现
11:简述网络嗅探的原理
以太网的数据传输是基于“共享”原理的:所有的同一本地网范围内的计算机共同接收到相同的数据包。这意味着计算机直接的通讯都是透明可见的。正常情况下,以太网卡都构造了硬件的“过滤器”这个过滤器将忽略掉一切和自己无关的网络信息。事实上是忽略掉了与自身MAC地址不符合的信息。 嗅探程序正是利用了这个特点,它主动的关闭了这个嗅探器,设置网卡为“混杂模式”。因此,嗅探程序就能够接收到整个以太网内的网络数据信息,从而实现嗅探功能。
12:什么是网络蠕虫,描述其特征。
网络蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒技术,无须计算机使用者干预即可运行的攻击程序或代码。
特征:具有病毒的特征,传染性,隐蔽性,破坏性;
不利用文件寄生,可以主动传播,并且通过网络可快速传播,容易造成网络拥塞;
具有智能化、自动化和高技术化;
13:什么是木马技术,木马技术有哪些植入方
式。
木马本质上是一个客户端、服务器端的网络软件系统,包括主控端和被控端两个程序,其中主控端安装在攻击者自己的计算机上,用于远程遥控被攻击主机,被控端则通过各种隐秘手段植入到被攻击者的计算机中,从而实现攻击者的远程遥控。
木马的植入是指木马程序在被攻击系统中被激活,自动加载运行的过程。常见的植入方式有:通过E-MAIL方式,软件下载,利用共享和Autorun方式,通过网页将木马转换为图片格式,伪装成应用程序扩展程序,利用WinRar制作自释放文件,将木马和其他文件捆绑在一起,基于DLL和远程线程插入。木马的自动运行方式有:修改系统配置文件的自动启动选项、加载自动启动的注册表项、修改文件关联加载。
14:僵尸网络的工作机制,并解释其含义。 僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。
攻击者在公共或者秘密设置的IRC聊天服务器中开辟私有聊天频道作为控制频道,僵尸程序中预先就包含了这些频道信息,当僵尸计算机运行时,僵尸程序会自动寻找和连接这些控制频道,收取频道中的消息。攻击者则通过控制频道向所有连线的僵尸程序发送指令。从而就可以发动各种各样的攻击。攻击机制如下图所示:
15:什么是防火墙,解释防火墙的基本功能,及其局限性。
概念:为了保护计算机系统免受外来的攻击,在内网与外网Internet之间设置了一个安全网关,在保持内部网络与外部网络的连通性的同时,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。
基本功能:
过滤进出网络的数据;
管理进出网络的访问行为; 封堵某些禁止的业务;
记录进出网络的信息和活动; 对网络的攻击进行将侧和报警。 局限性:
使用不便,认为防火墙给人虚假的安全感 对用户不完全透明,可能带来传输延迟、瓶颈
及单点失效
无法防范通过防火墙以外途径的攻击; 不能防范来自内部用户的攻击;
不能防止传送已感染病毒的软件或文件; 无法防止数据驱动型的攻击。
16:简述包过滤防火墙,电路级网关防火墙和应用级网关防火墙的工作原理。
包过滤防火墙对所接收的每个数据包做允许拒绝的决定。防火墙审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包的进入接口和出接口如果有匹配并且规则允许该数据包,那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包,那么该数据包就会被丢弃。如果没有匹配规则,用户配置的缺省参数会决定是转发还是丢弃数据包。
优点:速度快、性能高、对用户透明
缺点:维护比较困难、安全性低、不提供有用的日志、不能根据状态信息进行有用的控制、不能处理网络层以上的信息、无法对网络上流的信息进行有效地控制。
如图:
电路级网关防火墙
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包。只依赖于TCP连接,并不进行任何附加的包处理或过滤。电路级网关首先从客户端获的一个TCP链接请求,认证并授权该客户端,并代表客户端向源服务器建立TCP连接。如果成功建立好TCP连接,电路级网关则简单地在两个连接之间传递数据。另外,电路级网关还提供一个重要的安全功能:代理服务器。通过网络地址转移(NAT)将所有内部网络的IP地址映射到一个“安全”的网关IP地址,这个地址是由防火墙使用。最终,在设有电路级网关的网络中,所有输出地数据包好像是直接由网关产生的,从而就避免了直接在受信任网络与不信任网络间建立连接。对不信任网络只知道电路级网关的地址,从而就可以避免对内部服务器的直接攻击。
应用网关防火墙(Application GateWay Firewall)
应用层网关防火墙检查所有的应用层的信息包,并将检查的内容信息放入决策国策很难过,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机、服务器模式实现的。每个客户机、
服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每一个代理需要一个不同的应用进程,或是一个后台运行的服务程序,对每一个新的应用必须添加针对此应用的服务程序,否则就不能使用该服务,因此应用网关防火墙可伸缩性较差。
如图:
17:防火墙的体系结构有哪几种,分别说明其特点。
屏蔽路由器
由但以分组的包过滤防火墙或状态检测型防火墙来实现。通常防火墙功能由路由器提供,改路由器在内部网络与Internet之间根据预先设置的规则对进入内部网络的信息进行过滤。
特点:数据转发速度快,网络性能损失小,易于实现,费用低
缺点:安全性较低,易被攻破。
双重宿主主机体系结构(Dual Home GateWay) 采用单一的代理服务器防火墙来实现,至少有两个网络接口,它位于内部网络和外部网络之间,这样的主机可以充当与这些接口相连的网络之间的路由器,它能从一个网络接收IP数据包并将之发往另一网络。受到保护的内网与Internet之间不能直
接建立连接,必须通过这种代理主机才可以。
特点:主机的安全至关重要,必须支持多用户的访问,性能很重要;
缺点:一旦双重宿主主机被攻破,内部网络将会失去保护。
屏蔽主机体系结构
采用双重防火墙来实现,一个是屏蔽路由器,构成内部网络的第一道安全防线,一个是堡垒主机,构成内部网络的第二道安全防线,屏蔽路由器基于下列规则进行屏蔽:堡垒主机是内部网络的唯一系统,允许外部网络与堡垒主机建立联系,并且只能通过与堡垒主机建立连接来访问内部网络提供的服务。堡垒主机具有较高的安全级别。
特点:安全性更高双重保护:实现网络层安全、应用层安全
缺点:屏蔽路由器是否安全配置至关重要,一旦屏蔽路由器被损害,堡垒主机将会被穿越,整个内部网络对入侵者开放。
屏蔽子网体系结构
屏蔽子网体系结构在本质上与屏蔽主机体系结构一样,但添加了额外的一层保护体系周边网络。堡垒主机位于周边网络上,周边网络和内部网络被内部路由器分开。周边网络的作用:即使堡垒主机
被入侵者控制,它仍可消除对内部网的侦听。外部路由器的作用:保护周边网络和内部网络的安全。内部路由器:保护内部网络不受外部网络和周边网络的侵害。
特点:有三重屏障,安全性更高,比较适合大型的网络系统,成本也较高。
18:入侵检测系统由哪些部分组成,各自的作用是什么?
事件产生器(Event Generators)
事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。是入侵检测的第一步,采集的内容包括系统日式、应用程序日志、系统调用、网络数据、用户行为、其它IDS信息。
事件分析器(Event analyzers)
事件分析器分析得到的数据,并产生分析结果。分析是入侵检测系统的核心。
响应单元(Response units)
响应单元则是对分析结果作出作出反应的功能单元,功能包括:告警和事件报告、终止进程强制用户退出、切断网络连接修改防火墙配置、灾难评估自动恢复、查找定位攻击者。
事件数据库(Event databases)
事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
19:根据数据的来源不同,入侵检测系统可以分为哪些种类,各自有什么优缺点?
基于主机的入侵检测系统
概念:安装在单个主机或服务器系统上,对针对主机或是服务器系统的入侵行为进行检测和响应,对主机系统进行全面保护的系统。
优点:
性价比高:在主机数量较少的情况下比较适合; 监控粒度更细、配置灵活、可用于加密的以及交换的环境;
可以确定攻击是否成功; 对网络流量不敏感;
不需增加额外的硬件设备; 缺点:
不适合大型的网络中大量主机的检测,侦测速度较慢,只能运行于特定的操作系统中
基于网络的入侵检测系统
概念:基于网络的入侵检测系统用原始的网络包作为数据源,它将网络数据中检测主机的网卡设为混杂模式,该主机实时接收和分析网络中流动的
数据包,从而检测是否存在入侵行为,基于网络的IDS通常利用一个运行在随机模式下的网络适配器来实时检测并分析通过网络的所有通信业务他的攻击辨识模块通常使用四种常用技术来标识攻击标志:模式、表达式或自己匹配;频率或穿越阀值;低级时间的相关性;统计学意义上的非常规现象检测,一旦检测到了攻击行为,IDS响应模块就提供多种选项以通知,报警并对攻击采取响应的反应,尤其适应于大规模网络的NIDS可扩展体系结构,知识处理过程和海量数据处理技术等。
优点:视野更宽 、隐蔽性好 、攻击者不易转移证据;
侦测速度快 通常能在秒级或是微秒级发现问题;
使用较少的监测器 使用一个监测器就可以保护一个网段;
操作系统无关性; 占用资源少; 缺点:
网络入侵检测系统只能够检查它直接相连的网络,不能监测不同网段的网络包;
在使用交换以太网的环境中会出现监测范围的限制;
成本较高;
由于采用特征监测的方法,可以监测出一般的普通攻击,但是很难实现一些复杂的需要大量计算的攻击检测;
产生大量的数据分析流量; 难以监测加密的会话过程; 协同能力较差;
由于各有优缺点,所以采用两者联合的方式会达到更好的监测效果。
20:简述入侵检测IPS和IDS的区别,在网络安全综合方案中各发挥什么作用。
IDS 是一种入侵检测系统,能够发现攻击者的攻击行为和踪迹,但是自身确是不作为,通过与防火墙等安全设备联动进行防护。IPS则是一种主动的、智能的入侵检测、防范、阻止系统,相当于防火墙和IDS的结合,可以预先对入侵活动和攻击性网络流量进行拦截,避免造成任何损失,而非在入侵流量传送时才发出警报。IPS检测攻击的方法也与IDS不同。一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。最主要的区别就是:IPS(Intrusion Prevention System)具有自动拦截和在线运行的能力。
在网络安全综合方案中各发挥的作用:
入侵检测系统注重的是网络安全状况的监管。为了达到可以全面检测网络安全状况的目的,入侵检测系统需要部署在网络内部的中心点,需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个入侵检测分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。入侵检测系统的核心价值在于通过对全网信息的分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整。入侵检测系统需要部署在网络内部,监控范围可以覆盖整个子网,包括来自外部的数据以及内部终端之间传输的数据。
入侵防御系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略不同,入侵防御系统可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断。而为了实现对外部攻击的防御,入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统,入侵防御系统即可实时分析网络数据,发现攻击行为立即予以阻断,保证来自外部的攻击数据不能通过网络边界进入网络。而入侵防御
系统的核心价值在于安全策略的实施对黑客行为的阻击,入侵防御系统则必须部署在网络边界,抵御来自外部的入侵。
1. TCP/IP的分层结构以及它与OSI七层模型的对应关系。
TCP/IP层析OSI层次划分 划分 应用层 应用层 会话层 传输层 会话层 传输层 网络层 网络层 数据链路层 链路层 物理层
2. 简述拒绝服务攻击的概念和原理。
拒绝服务攻击的概念:
广义上讲,拒绝服务(DoS,Denial of service)攻击是指导致服务器不能正常提供服务的攻击。确切讲,DoS攻击是指故意攻击网络协议实现的缺陷或直接通过各种手段耗尽被攻击对象的资源,目的是
让目标计算机或网络无法提供正常的服务,使目标系统停止响应,甚至崩溃。
拒绝服务攻击的基本原理是使被攻击服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统超负荷,以至于瘫痪而停止提供正常的网络服务。
3. 简述交叉认证过程。
首先,两个CA建立信任关系。双方安全交换签名公钥,利用自己的私钥为对方签发数字证书,从而双方都有了交叉证书。其次,利用CA的交叉证书验证最终用户的证书。对用户来说就是利用本方CA公钥来校验对方CA的交叉证书,从而决定对方CA是否可信;再利用对方CA的公钥来校验对方用户的证书,从而决定对方用户是否可信。 4. 简述SSL安全协议的概念及功能。 SSL全称是:Secure Socket Layer (安全套接层)。在客户和服务器两实体之间建立了一个安全的通道,防止客户/服务器应用中的侦听、篡改以及消息伪造,通过在两个实体之间建立一个共享的秘密,SSL提供保密性,服务器认证和可选的客户端认证。其安全通道是透明的,工作在传输层之
上,应用层之下,做到与应用层协议无关,几乎所有基于TCP的协议稍加改动就可以在SSL上运行。
5. 简述好的防火墙具有的5个特性。
(1) 所有在内部网络和外部网络之间传输的数据都必须经过防火墙;(2)只有被授权的合法数据,即防火墙系统中安全策略允许的数据,可以通过防火墙;(3)防火墙本身不受各种攻击的影响;(4)使用目前新的信息安全技术,如一次口令技术、智能卡等;(5)人机界面良好,用户配置使用方便,易管理,系统管理员可以对发防火墙进行设置,对互连网的访问者、被访问者、访问协议及访问权限进行限制。
6. 简述电子数据交换(EDI)技术的特点。
特点:使用对象是不同的组织之间;所传送的资料是一般业务资料;采用共同标准化的格式;尽量避免人工的介入操作,由收送双方的计算机系统直接传送、交换资料。 一、 综述题(20分)
1. 简述ARP的工作过程及ARP欺骗。(10分)
ARP的工作过程:
(1)主机A不知道主机B的MAC地址,以广播方式发出一个含有主机B的IP地址的ARP请求;(2)网内所有主机受到ARP请求后,将自己的IP地址与请求中的IP地址相比较,仅有B做出ARP响应,其中含有自己的MAC地址;(3)主机A收到B的ARP响应,将该条IP-MAC映射记录写入ARP缓存中,接着进行通信。 ARP欺骗:
ARP协议用于IP地址到MAC地址的转换,此映射关系存储在ARP缓存表中。当ARP缓存表被他人非法修改将导致发送给正确主机的数据包发送给另外一台由攻击者控制的主机,这就是所谓的“ARP欺骗”。
2. 简述包过滤型防火墙的概念、优缺点和应用场合。(10分)
包过滤型防火墙的概念:
包过滤防火墙用一台过滤路由器来实现对所接受的每个数据包做允许、拒绝的决定。过滤规则基于协议包头信息。
包过滤型防火墙的优缺点:
包过滤防火墙的优点:处理包的速度快;费用低,标准的路由器均含有包过滤支持;包过滤防火墙对用户和应用讲是透明的。无需对用户进行培训,也不必在每台主机上安装特定的软件。
包过滤防火墙的缺点:维护比较困难;只能阻止外部主机伪装成内部主机的IP欺骗;任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险;普遍不支持有效的用户认证;安全日志有限;过滤规则增加导致设备性能下降;包过滤防火墙无法对网络上流动的信息提供全面的控制。
包过滤型防火墙的应用场合:
非集中化管理的机构;没有强大的集中安全策略的机构;网络的主机数比较少;主要依靠于主机来防止入侵,但当主机数增加到一定程度的时候,依靠主机安全是不够的;没有使用DHCP这样的动态IP地址分配协议。
1、 信息安全目标:
适用性,保密性,可控制性、完整性、不可抵赖性 2、 信息交易时的安全问题:
非法接入、拒绝服务攻击、源地址欺骗、窃取信息 3、 黑客攻击类型:
1拒绝服务攻击(SYN泛洪攻击,Smurf攻击)、2非法访问(非法接入、非法访问资源)、3恶意代码、4窃取和中继攻击(用集线器窃取信息,ARP欺骗,伪造路由信息)
4、 公开密钥的基本特性: 公钥PK是公开的,私钥SK是秘密的,一般情况下PK用于加密,SK用于解密; PK和SK一一对应;
如果用PK加密,则只能用SK解密,无法用PK和用PK加密后的密文得出明文;
SK的私密性要求无法通过PK推导出SK; 得知对方的公钥,可以实现单向保密通信。
5、 报文摘要算法要求及其实现: 算法要求:
把任意长度报文转换成固定位数的报文摘要,且易于实现;
具有单向性,根据报文X求出报文摘要MD(X),不能根据MD(X),推导出报文X;
从计算可可行性讲,对于任何报文X,无法找到另一报文Y,X!=Y,但MD(X)=MD(Y)
即使只改变报文X中的一位二进制,也使得重新计算后的MD(X)变化很大。
实现:1添加填充位(X+Y)mod512=448,2分组操作(每组512个字节),3运算(运算过程包含四级) 算法有:
MD5、SHA-1、HMAC
6、 信息流管制目的和算法: 目的是限制特定信息流的流量,特定信息流是指定源和目的终端之间和某个应用相关的IP分组序列,这样的IP分组通过源和目的终端地址、源和目的端口号、协议字段值等参数唯一标识。
7、 虚拟专用网(VPN)的基本概念:
虚拟专用网络指由公共分组交换网络互连物理上分散的多个子网的内部网络,但和采用专用点对点链路互连的专用网络具有相同安全和使用本地地址
的特性。
8、 WEP加密方式及检测:
。
9、 防火墙的功能及原理:
防火墙的主要功能包括:服务控制、方向控制、用户控制、行为控制。 原理:
防火墙能增强机构内部网络的安全性,防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。
10、 防火墙的分类:
主要分两类:个人防火墙 和 网络防火墙 个人防火墙只保护单台计算机,用于对进出计算机的信息流实施控制,所以它通常是分组过滤器。 网络防火墙通常位于内网和外网之间的连接点,对内网中的信息资源实施保护,目前作为网络防火墙的主要有分组过滤器(有状态和无状态2种)、电路层网关和应用层网关。
11、 拒绝服务攻击的两种方式:
拒绝服务攻击是利用访问权限允许的访问过程不正常地发送请求或其他信息,导致服务器不能正常提供服务或网络节点发生拥塞的一种攻击手段。 1.防火墙通过只中继正常的建立TCP连接请求,来避免服务器遭受SYN泛滥攻击。
2.通过COOKIE技术避免防火墙被SYN泛滥阻塞。
12、 入侵防御系统的基本工作过程:
入侵防御系统的作用是检测网络中可能存在的攻击行为,并对攻击行为进行反制。主要分两类:主机入侵防御系统 和 网络入侵防御系统 其工作过程为: 捕获信息; 检测异常信息; 反制异常信息; 报警; 登记。
13、 信息捕获机制: 信息流捕获方法:
1.利用集线器的广播传输功能,从集线器任何端口进入的信息流,将广播到所有其他端口。 2.利用交换机端口境像捕获信息机制 3.利用虚拟访问控制列表捕获信息机制
14、 入侵检测机制:
入侵检测机制主要可以分为三类:
1.攻击特征检测:元攻击特征和有状态攻击特征)
2.协议译码:IP分组检测(<=64KB)、TCP报文检测、应用层协议检测
3.异常检测:基于统计机制、基于规则机制、异常检测的误报和漏报
简述什么是计算机网络,计算机网络的功能是什么。 计算机网络就是指把地理上分散的、多台独立工作的计算机,用通信设备和线路连接起来,按照网络协议进行数据通信,以实现资源共享的大系统。 计算机网络的功能,主要有以下几点:
资源共享 提高可靠性 负载均衡 分布式处理 数据传输 简述局域网的特点。
网络覆盖的地理范围有限。 传输速率高。 延迟小。 误码率低。 配置简单。 拓扑结构有规则。
在Internet中,IP层有什么特点?
其一是提供无连接的数据报传输机制。IP为TCP、UDP等提供了一种无连接的数据传送服务。无连接是指IP不维护连续数据报的任何状态信息,因此,IP数据报可能会不按照发送的顺序到达,即后发的数据报可能先到达。
其二是能完成点对点的通信。IP协议是点对点的,其对等实体之间的通信不需经过中间机器,而中间机器之间具有实际的物理链路的连接,要求IP协议能支持点对点的寻径以保证点对点协议的可实现性。
第三是在IP协议中,数据的传送是不可靠的。这种不可靠的含义是:数据在传送过程中,没有一种机制来监控数据是否被成功地送达了目的地。当数据在传送的过程中,如果发生错误,IP协议只是简单地丢弃数据报,并用ICMP消息通知数据的发送
方。要实现可靠的传输,必须通过高层的协议来保证。
简述针对网络安全主要有三个方面的威胁。
人为的无意失误。如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。
人为的恶意攻击这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击;另一类是被动攻击。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
网络软件的漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
简述VLAN的定义,并说明组建VLAN的条件。
(1)VLAN定义
VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。
(2)组建VLAN的条件
VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备。要实现路由功能,既可采用路由器,也可采用三层交换机来完成
简述什么是IP子网,什么是子网掩码,如何获得子网地址。
所谓IP子网,是指把IP地址中主机地址的部分进一步划分为两个部分:其中一个部分为子网地址,而另外一个部分为主机地址。
在IP协议中,是通过子网掩码来标识子网的。子网掩码也是一个32位的二进制数字,写成与IP地址相同的形式,即用三个“.”分为四个部分,如255.255.255.0。
当需要获得子网的地址时,主机通过把IP地址与子网掩码进行“按位与”的运算,就可得到子网地址。
简述什么是加密,什么是解密。
加密是指将数据信息(即明文)转换为不可识别的形式(即密文)的过程,目的是使不应该了解该数据信息的人不能够知道或识别。
将密文还原为明文的过程就是解密。 说明一般从几个方面着手进行网络故障排查。 1、确认是否以网络用户的身份启动(登录)了计算机。
2、检查是否安装了相关的协议,网卡驱动是否工作正常。
3、观察是否有计算机名或IP地址冲突的信息出现,以判断是否存在冲突。
4、检查网络连接是否正常,相关的网络设备是否工作正常。
安装实现一个简单的对等局域网,提供的硬件为两台PC机、两块网卡、双绞线、水晶头及相关的网线制作检测工具;软件有Windows98操作系统、网卡驱动程序。回答以下问题:
1、根据提供的硬件,两台PC机直联应制作哪种连接线,两端各采用什么线序? 2、简述该网线的制作步骤。
1、两台PC机直联应使用RJ-45跳接线,跳接线的线序一端应为T568A,另一端应为T568B。 2、制作步骤如下:
步骤1、剥线:选择一条长度合适的双绞线(一般使用无屏蔽双绞线),用压线钳的“剥线刀口”将双绞线的一端剥掉约2厘米的外绝缘皮,露出4对8根双绞线,每根线上都有不同的颜色。把线的前端捋直并按跳接线线序进行排列,最后用压线钳的“剪切刀口”将8根双绞线的顶端剪掉约4mm,以保证头部平齐。
步骤2、水晶头的连接与压线:取水晶头,将有金属铜触点的一面向上,按照从左至右为1-8引脚的线序将双绞线插入水晶头的线槽中。双绞线的铜线应尽量向水晶头内部推,直到从水晶头的顶部能够看到铜线为止(此时应注意将双绞线的外皮也一并推入水晶头内,以保证在压线时水晶头尾部的塑料固定片能将其压住,增强整体的抗拉性),此时将水晶头放入压线钳内,并用力将压线钳压到底即可。
步骤3、测线:测线的目的是检查水晶头的铜触点是否与双绞线接触完好。8根双绞线的接线顺序是否正确。跳接线制作成功后,正常测试
的灯序为1、3、4、2。
因篇幅问题不能全部显示,请点此查看更多更全内容