《《網絡信息安全》復習》由會員分享��,可在線閱讀�,更多相關《《網絡信息安全》復習(17頁珍藏版)》請在裝配圖網上搜索。
1��、《網絡信息安全》期末復習要點
1網絡安全的定義
答案:網絡安全是指保護網絡系統(tǒng)中的軟件、 硬件及信息資源�,使之免受偶然或惡意的破壞、 篡改和泄露,
保證網絡系統(tǒng)的正常運行��、網絡服務不中斷��。
2. 網絡安全的屬性
答案:美國國家信息基礎設施(Nil )的文獻中��,給出了安全的五個屬性:可用性����、機密性��、完整性����、可靠 性和不可抵賴性。
(1) 可用性
可用性是指得到授權的實體在需要時可以得到所需要的網絡資源和服務�����。
For pers onal use only in study and research; not for commercial use
(2) 機密性
機密性是指網絡
2�、中的信息不被非授權實體(包括用戶和進程等)獲取與使用。
(3) 完整性
完整性是指網絡信息的真實可信性�, 即網絡中的信息不會被偶然或者蓄意地進行刪除、 修改、偽造����、插
入等破壞,保證授權用戶得到的信息是真實的��。
(4) 可靠性
可靠性是指系統(tǒng)在規(guī)定的條件下和規(guī)定的時間內�,完成規(guī)定功能的概率。
(5) 不可抵賴
不可抵賴性也稱為不可否認性��。 是指通信的雙方在通信過程中�����, 對于自己所發(fā)送或接收的消息不可抵賴����。
3. 網絡安全威脅
答案:網絡安全威脅是指某個實體(人、事件���、程序等)對某一網絡資源的機密性����、完整性����、可用性及可 靠性等可能造成的危害��。
通信過程中的四種攻擊方式:圖示
3���、竊聽、中斷�����、假冒���、篡改
4?安全策略
? 安全策略是指在某個安全區(qū)域內,所有與安全活動相關的一套規(guī)則
? 網絡安全策略包括對企業(yè)的各種網絡服務的安全層次和用戶的權限進行分類�,確定管理員的安全
職責,如何實施安全故障處理���、網絡拓撲結構�、入侵和攻擊的防御和檢測����、備份和災難恢復等內
容。
5 ?網絡安全模型
? P 2DR安全模型
P2DR模型是由美國國際互聯網安全系統(tǒng)公司提出的一個可適應網絡安全模型 (Adaptive Network Security
Model)�。
P2DR包括四個主要部分, 分別是:Policy 策略,Protecti on 保護��,Detectio n 檢
4����、測,Respo nse
——響應��。
P2DR模型的基本思想是:一個系統(tǒng)的安全應該在一個統(tǒng)一的安全策略( Policy )的控制和指導下�,綜合運
用各種安全技術(如防火墻、操作系統(tǒng)身份認證����、加密等手段)對系統(tǒng)進行保護,同時利用檢測工具(如
漏洞評估���、入侵檢測等系統(tǒng))來監(jiān)視和評估系統(tǒng)的安全狀態(tài)�,并通過適當的響應機制來將系統(tǒng)調整到相對
“最安全”和“風險最低”的狀態(tài)��。
? PDRR模型是美國國防部提出的“信息安全保護體系”中的重要內容����,概括了網絡安全的整個環(huán)節(jié)。
PDRR表示:Protection (防護)��、Detection (檢測)、Response (響應)�����、Recovery (
5��、恢復)���。這四個
部分構成了一個動態(tài)的信息安全周期���。
6 ?研究網絡安全的意義
網絡安全與政治、軍事��、經濟與社會穩(wěn)定��,關系重大����。
第3章密碼學基礎
1. 密碼系統(tǒng)
圖示略
2. 對稱加密算法
? 對稱加密算法(symmetric algorithm ),也稱為傳統(tǒng)密碼算法��,其加密密鑰與解密密鑰相同或很容易
相互推算出來��,因此也稱之為秘密密鑰算法或單鑰算法��。對稱算法分為兩類,一類稱為序列密碼算法
(stream cipher ),另一種稱為分組密碼算法( block cipher )����。
? 對稱加密算法的主要優(yōu)點是運算速度快,硬件容易實現����;其缺點是密鑰的分發(fā)與管理比較困難,特
6��、別
是當通信的人數增加時�����,密鑰數目急劇膨脹���。
3. 非對稱加密算法
? 非對稱加密算法(Asymmetric Algorithm )也稱公開密鑰算法(Public Key Algorithm )�。
? 公開密鑰體制把信息的加密密鑰和解密密鑰分離�,通信的每一方都擁有這樣的一對密鑰。其中加密密 鑰可以像電話號碼一樣對外公開�����,由發(fā)送方用來加密要發(fā)送的原始數據�;解密密鑰則由接收方秘密保 存�����,作為解密時的私用密鑰�。
? 公開密鑰體制最大的優(yōu)點就是不需要對密鑰通信進行保密�,所需傳輸的只有公開密鑰。這種密鑰體制 還可以用于數字簽名�����。公開密鑰體制的缺陷在于其加密和解密的運算時間比較長�,這在一定程度上
7、限 制了它的應用范圍�。
4. 密碼的破譯
1) 密鑰的窮盡搜索
2) 密碼分析
? 已知明文的破譯方法
? 選定明文的破譯方法
? 差別比較分析法
5. 古典密碼學
? 代換密碼:依據一定的規(guī)則,明文字母被不同的密文字母所代替�。
? 置換密碼:保持明文的所有字母不變,只是利用置換打亂明文字母出現的位置��。 缺點:不能掩蓋字母的統(tǒng)計規(guī)律�,因而不能抵御基于統(tǒng)計的密碼分析方法的攻擊����。
6. 擴散和混亂一分組密碼的基本原理
擴散和混亂是由Sha nnon提出的設計密碼系統(tǒng)的兩個基本方法,目的是抵抗攻擊者對密碼的統(tǒng)計分析�����。
? 擴散就是指將明文的統(tǒng)計特性散布到密文中去
? 混亂就
8、是使密文和密鑰之間的統(tǒng)計關系變得盡可能復雜
7. DES算法一Data Encryption Standard -- 最有影響的對稱密鑰算法
DES算 法:
? 首先把明文分成若干個 64-bit的分組���,算法以一個分組作為輸入�����,
? 通過一個初始置換(IP )將明文分組分成左半部分(L0)和右半部分(R0),各為32-bit����。
? 然后進行16輪完全相同的運算����,這些運算我們稱為函數 f,在運算過程中數據與密鑰相結合。
? 經過16輪運算后��,左�����、右兩部分合在一起經過一個末轉換 (初始轉換的逆置換IP-1 ),輸出一個64-bit
的密文分組��。
? 密鑰通常表示為64-bit,但每
9�、個第8位用作奇偶校驗,實際的密鑰長度為 56-bit��。
3DES--三重 DES
DES 一個致命的缺陷就是密鑰長度短���,并且對于當前的計算能力���, 56位的密鑰長度已經抗不住窮舉攻
擊,而DES又不支持變長密鑰���。但算法可以一次使用多個密鑰�,從而等同于更長的密鑰����。
8. AES 算法一現行的 NIST ( National Institute Of Scienee And Technology 美國國家標準研究所)力口
密標準
由于DES算法密鑰長度較小(56位),已經不適應當今分布式開放網絡對數據加密安全性的要求,因此 1997
年NIST公開征集新的數據加密標準 �����,即AES經過三
10�����、輪的篩選�,比利時Vincent Rijmen 和Joan Daeman提 交的Rijndael算法被提議為AES的最終算法?����?傮w來說,AES作為新一代的數據加密標準匯聚了強安全性��、 高性能�、高效率、易用和靈活等優(yōu)點�。 AES設計有三個密鑰長度:128,192,256位,相對而言��,AES的128密
鑰比DES的56密鑰強1021倍��。
9. RSA算法--最有影響的公鑰密碼算法
RSA算法的思路如下:
? 先取兩個大素數 p和q���。為了獲得最大程度的安全性�����,兩數的長度一樣�。
? 計算乘積n=p*q ,
? 計算機:?( n)=(p-1)*(q-1)
? 然后隨機選取加密密鑰 e,使e和
11�����、0( n)互素。
? 用歐幾里得(Euclidean )擴展算法計算解密密鑰 d,
1
d 滿足 ed= 1 mod (p-1)*(q-1) �,即 d = e- mod (p-1)*(q-1)
? 則{n , e}為公開密鑰,{n , d}是私人密鑰����。兩個大數 p和q應當銷毀。
RSA算法的安全性基于數論中大數分解的困難性���。即知道 n,想要分解出p和q非常困難���。
第4章密碼學應用
1. 密鑰的生命周期
一個密鑰在生存期內一般要經歷以下幾個階段:
1) 密鑰的產生
2) 密鑰的分配
3) 啟用密鑰/停有密鑰
4) 替換密鑰或更新密鑰
5) 撤銷密鑰
6) 銷毀密鑰
12、2. 對稱密碼體制的密鑰管理
(1) 密鑰分配中心 KDC
KDC 與每一個用戶之間共享一個不同的永久密鑰����,當兩個用戶 A和B要進行通信時,由 KDC產生一個
雙方會話使用的密鑰 K,并分別用兩個用戶的永久密鑰 KA KB來加密會話密鑰發(fā)給他們���,即將 KA(K)發(fā)給
A, KB(K)發(fā)給B; A B接收到加密的會話密鑰后�����,將之解密得到 K,然后用K來加密通信數據����。
(2)基于公鑰體制的密鑰分配
假設通信雙方為 A和B。使用公鑰體制交換對稱密鑰的過程是這樣的: 首先A通過一定的途徑獲得 B的
公鑰�����;然后A隨機產生一個對稱密鑰 K�,并用B的公鑰加密對稱密鑰 K發(fā)送給B; B接收到加密
13�、的密鑰后, 用自己的私鑰解密得到密鑰 K�����。在這個對稱密鑰的分配過程中��,不再需要在線的密鑰分配中心�����,也節(jié)省了
大量的通信開銷�。
3. 公開密鑰體制的密鑰管理
主要有兩種公鑰管理模式,一種采用證書的方式�����,另一種是 PGP采用的分布式密鑰管理模式。
(1) 公鑰證書
公鑰證書是由一個可信的人或機構簽發(fā)的����,它包括證書持有人的身份標識、公鑰等信息�����,并由證書頒發(fā)者 對證書簽字��。
(2) 分布式密鑰管理
在某些情況下���,集中的密鑰管理方式是不可能的�,比如:沒有通信雙方都信任的 CA用于PGP的分布式密
鑰管理�,采用了通過介紹人(in troducer )的密鑰轉介方式
4. 數據完整性驗證
14、
? 消息的發(fā)送者用要發(fā)送的消息和一定的算法生成一個附件�����,并將附件與消息一起發(fā)送出去�����;消息的接 收者收到消息和附件后�,用同樣的算法與接收到的消息生成一個新的附件�;把新的附件與接收到的附 件相比較�����,如果相同�����,則說明收到的消息是正確的���,否則說明消息在傳送中出現了錯誤。
5. 單向散列函數
? 單向散列函數(one-way hash function )�,是現代密碼學的三大基石之一。
? 散列函數長期以來一直在計算機科學中使用��, 散列函數是把可變長度的輸入串(叫做原象�����,pre-image)
轉換成固定長度的輸出串(叫做散列值)的一種函數
? 單向散列函數是在一個方向上工作的散列函數�,即從預
15、映射的值很容易計算出散列值�,但要從一個特
定的散列值得出預映射的值則非常難。
6. MD5 —最為人們熟知的消息摘要算法
MD5以512bit的分組來處理輸入文本����。算法輸出一個 128bit的散列值�。
7. 數字簽名
? 簽名機制的本質特征是該簽名只有通過簽名者的私有信息才能產生�����,也就是說����,一個簽名者的簽名只
能唯一地由他自己產生。當收發(fā)雙方發(fā)生爭議時�,第三方(仲裁機構)就能夠根據消息上的數字簽名�來裁定這條消息是否確實由發(fā)送方發(fā)出,從而實現抗抵賴服務�。另外,數字簽名應是所發(fā)送數據的函 數��,即簽名與消息相關����,從而防止數字簽名的偽造和重用。
數字簽名的實現方法
(1) 使用對稱加
16���、密和仲裁者實現數字簽名
(2) 使用公開密鑰體制進行數字簽名
公開密鑰體制的發(fā)明�����,使數字簽名變得更簡單���,它不再需要第三方去簽名和驗證
數字簽名的實現過程如下:
? A用他的私人密鑰加密消息���,從而對文件簽名;
? A將簽名的消息發(fā)送給 B�����;
? B用A的公開密鑰解消息���,從而驗證簽名;
(3) 使用公開密鑰體制與單向散列函數進行數字簽名:更小的計算量 假設通信雙方為A和B
發(fā)送方A:
? ⑴將消息按雙方約定的單向散列算法計算得到一個固定 位數的消息摘要HA;
? ⑵ 然后使用私鑰對該消息摘要進行加密���,這個被加密了的消息摘要即為發(fā)送者的數字簽名;
? ⑶A把數字簽名與消息一起發(fā)
17����、送給 B����。
接收方B收到數字簽名后
? ⑴用同樣的單向散列函數算法對消息計算消息摘要 HB ;
? ⑵然后用發(fā)送者的公開密鑰解密 A發(fā)送來的消息摘要 HA �;
A,因為只有用發(fā)送者 A的私鑰加
其特點是用戶只需輸入一次身份驗
訪問多個服務����,即 SSO(Si ngle Sign
? ⑶HA與HB進行比較�,如果相等,則說明消息確實是來自發(fā)送者
密的信息才能用發(fā)送者 A的公鑰解密����,從而保證了數據的真實性。
8. Kerberos 認證交換協(xié)議
Kerberos協(xié)議主要用于計算機網絡的身份鑒別 (Authentication).
證信息就可以憑借此驗證獲得的票據 (ticket-
18����、gra nting ticket)
On)。由于在每個Client和Service之間建立了共享密鑰�,使得該協(xié)議具有相當的安全性。由于協(xié)議
中的消息無法穿透防火墻����,這些條件就限制了 Kerberos協(xié)議往往用于一個組織的內部, 使其應用場
景不同于X.509 PKI����。
Kerberos協(xié)議分為兩個部分:
1. Client 向 KDC發(fā)送自己的身份信息, KDC從 Ticket Granting Service 得到 TGT(ticket-granting
ticket)�,并用協(xié)議開始前 Client與KDC之間的密鑰將TGT加密回復給Client。
2. Client 利用獲得
19、的TGT向KDC青求其他Service的Ticket�����,從而通過其他 Service的身份鑒別����。
10. 數字證書
? 數字證書中包含證書持有者的個人身份信息、 公鑰及CA的簽名����,在網絡通訊中標識證書持有者的個人
身份,可用于網上購物��、網上證券�、網上金融、網上拍賣�����、網上保險等多種應用系統(tǒng)���。
證書的驗證,是驗證一個證書的有效性����、完整性����、可用性的過程����。證書驗證主要包括以下幾方面的內容 :
? 驗證證書簽名的是否正確有效, 這需要知道簽發(fā)證書的 CA的真正公鑰��,有時可能要涉及證書路徑的處
理�����。
? 驗證證書的完整性�����,即驗證 CA簽名的證書散列值與單獨計算出的散列值是否一致�。
? 驗證證
20、書是否在有效期內
? 查看證書撤銷列表�,驗證證書沒有被撤銷。
? 驗證證書的使用方式與任何聲明的策略和使用限制一致����。
11. PGP
? PGP最初是由菲利浦.齊默爾曼(Philip.Zimmermann) 開始編寫的、用于保護電子通信隱私的加密軟件。
PGP使用了 RSA公開密鑰加密算法���,它的第一版在 1991年完成���。
PGP軟件有3個主要的功能:
(1) 使用強大的IDEA加密算法對存儲在計算機上的文件加密。經加密的文件只能由知道密鑰的人解密閱 讀��。
(2) 使用公開密鑰加密技術對電子郵件進行加密�。經加密的電子郵件只有收件人本人才能解密閱讀。
(3) 使用公開密鑰加密技術
21����、對文件或電子郵件作數字簽名,鑒定人可以用起草人的公開密鑰鑒別真?zhèn)巍?
PGP使用了 4種類型的密鑰:一次性會話對稱密鑰���、公鑰�、私鑰和基于口令短語的對稱密鑰
密鑰環(huán)
密鑰需要以一種系統(tǒng)化的方法來存儲和組織�, 以便有效和高效地使用。 PGP在每個結點提供一對數據結構��,
一個是存儲該結點的公開/私有密鑰對(私有密鑰環(huán))����;另一個是存儲該結點知道的其他所有用戶的公開密
鑰。相應地�,這些數據結構被稱為私有密鑰環(huán)和公開密鑰環(huán)。
第5章防火墻技術
1基本概念
防火墻(Firewall )是指隔離在內部網絡與外部網絡之間的一道防御系統(tǒng)���,它能擋住來自外部網絡的攻擊
和入侵����,保障著內部網絡的安全
22����、非軍事化區(qū)(DMZ:為了配置管理方便,內網中需要向外網提供服務的服務器(如 WWWFTP�、SMTP DNS
等)往往放在In ternet 與內部網絡之間一個單獨的網段,這個網段便是非軍事化區(qū)�����。
包過濾����,也被稱為數據包過濾,是在網絡層中對數據包實施有選擇的通過�,依據系統(tǒng)事先設定好的過濾規(guī) 則,檢查數據流中的每個數據包��,根據數據包的源地址、目標地址以及端口等信息來確定是否允許數據包 通過��。
2防火墻的作用
(1) 可以限制未授權用戶進入內部網絡���,過濾掉不安全服務和非法用戶�;
(2) 防止入侵者接近內部網絡的防御設施�����,對網絡攻擊進行檢測和告警�����;
(3) 限制內部用戶訪問特殊站點��;
(
23��、4) 記錄通過防火墻的信息內容和活動�����,監(jiān)視 In ternet安全提供方便�。
3防火墻技術分類,以下是教材上的分類
(1) 包過濾防火墻
(2) 代理服務型防火墻
4包過濾防火墻
使用包過濾技術的防火墻叫做包過濾防火墻( Packetfilter )��,因為它工作在網絡層����,又叫網絡層防火墻
(Networklevelfirewall )。
包過濾防火墻一般由屏蔽路由器 (ScreeningRouter �,也稱為過濾路由器) 來實現,這種路由器是在普通路
由器基礎上加入IP過濾功能而實現的����,這是防火墻最基本的構件。
包過濾防火墻的優(yōu)點
(1) 一個屏蔽路由器能保護整個網絡
(
24���、2) 包過濾對用戶透明
(3) 屏蔽路由器速度快��、效率高
包過濾防火墻的缺點
1) 通常它沒有用戶的使用記錄���,這樣就不能從訪問記錄中發(fā)現黑客的攻擊記錄。
2) 配置繁瑣也是包過濾防火墻的一個缺點�。
3) 不能在用戶級別上進行過濾,只能認為內部用戶是可信任的��、外部用戶是可疑的���。
4) 一旦屏蔽路由器被攻陷就會對整個網絡產生威脅��。
5代理服務器
代理服務器是指代表內網用戶向外網服務器進行連接請求的服務程序����。代理服務器運行在兩個網絡之間,
它對于客戶機來說像是一臺真的服務器��,而對于外網的服務器來說��,它又是一臺客戶機
6�、防火墻體系結構
(1)雙重宿主主機結構;
(2) 屏蔽主
25�、機結構;
(3) 屏蔽子網結構。
第6章網絡攻擊技術
1�����、 系統(tǒng)攻擊或入侵
是指利用系統(tǒng)安全漏洞����,非授權進入他人系統(tǒng)(主機或網絡)的行為。
系統(tǒng)攻擊的三個階段
(1) 收集信息
(2) 探測系統(tǒng)安全弱點
(3) 實施攻擊
2����、 主要的攻擊方法
1) 獲取口令
2) 放置特洛伊木馬
3) WWW的欺騙技術
4) 電子郵件攻擊
5) 網絡監(jiān)聽
6) 尋找系統(tǒng)漏洞
3、 口令攻擊方法
(1) 通過網絡監(jiān)聽非法得到用戶口令
(2) 口令的窮舉攻擊
(3) 利用系統(tǒng)管理員的失誤
4��、 掃描器
掃描器是檢測遠程或本地系統(tǒng)安全脆弱性的軟件。
掃描器分類:數據庫安全
26����、掃描器��、操作系統(tǒng)安全掃描器和網絡安全掃描器
5���、 常用的掃描技術
(1) TCP connect ()掃描
(2) TCP SYN掃描
(3) TCP FIN 掃描
6����、 網絡監(jiān)聽
網絡監(jiān)聽可以監(jiān)視網絡的狀態(tài)�����、數據流動情況以及網絡上傳輸的信息����,是網絡管理員的一種監(jiān)視和管理網 絡的一種方法,但網絡監(jiān)聽工具也常是黑客們經常使用的工具���。
7����、網絡監(jiān)聽的原理
以太網中,當主機工作在監(jiān)聽模式下��,不管數據幀的目的地址是什么�����,所有的數據幀都將被交給上層協(xié)議
軟件處理�。
7、 拒絕服務
DoS是Denial of Service 的簡稱�����,即拒絕服務��。造成 DoS的攻擊行為被稱為 DoS攻
27�����、擊���,拒絕服務攻擊是
指一個用戶占據了大量的共享資源�����,使系統(tǒng)沒有剩余的資源給其它用戶提供服務的一種攻擊方式�。
最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網絡���,使得所有
可用網絡資源都被消耗殆盡���,最后導致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊
計算機�����,使得所有可用的操作系統(tǒng)資源都被消耗殆盡�����,最終計算機無法再處理合法用戶的請求���。
8、 DDoS
(分布式拒絕服務)是一種基于 DoS的特殊形式的拒絕服務攻擊�����,是一種分布�、協(xié)作的大規(guī)模攻擊方式,
DDoS的主要攻擊方式
1) SYN Floodi ng 攻擊
2) Land 攻擊
28、
3) Smurf 攻擊的過程
9�����、 緩沖區(qū)溢出
在程序試圖將數據放到機器內存緩沖區(qū)中的某一個位置的時候���,如果沒有足夠的空間�,程序又不檢查緩沖
區(qū)的邊界���,就會發(fā)生緩沖區(qū)溢出
緩沖區(qū)溢出攻擊的分類:
? 基于棧的緩沖區(qū)溢出
? 基于堆的緩沖區(qū)溢出
? 整型溢出
? 格式化字符串溢出
? 文件流溢出�����。
10����、 緩沖區(qū)溢出的保護
一是強制編寫正確代碼的方法�。二是通過操作系統(tǒng)使得緩沖區(qū)不可執(zhí)行,從而阻止攻擊者植入攻擊代碼����。
三是利用編譯器的邊界檢查來實現緩沖區(qū)的保護。
11�����、特洛伊木馬
木馬是一種基于遠程控制的黑客工具,一般的木馬都有客戶端和服務器端兩個執(zhí)行程序�,其中客戶
29、端是用
于攻擊者遠程控制被植入木馬的機器��。服務器端程序即是木馬程序��。攻擊者要通過木馬攻擊你的系統(tǒng)���,要
做的第一件事就是把木馬的服務器端程序通過某種方式植入到用戶的電腦里面�。
木馬具有隱蔽性和非授權性的特點:所謂隱蔽性是指木馬的設計者為了防止木馬被發(fā)現���,會采用多種手段
隱藏木馬;所謂非授權性是指一旦控制端與服務端連接后���,控制端將享有服務端的大部分操作權限���,包括
修改文件、修改注冊表��、控制鼠標���、鍵盤等����,而這些權力并不是服務端賦予的,而是通過木馬程序竊取的���。
12 Sn iffer 軟件的功能
? 捕獲網絡流量進行詳細分析
? 利用專家分析系統(tǒng)診斷問題
? 實時監(jiān)控網絡活動
?
30����、收集網絡利用率和錯誤等
13���、 假消息攻擊
利用網絡協(xié)議(如ARP ICMP TCP設計中的缺陷或者設計中對各種問題的折衷����, 以及In ternet管理(DNS
中對安全性考慮的欠缺�,通過發(fā)送偽造的數據包達到欺騙目標、從中獲利的目的���。
14���、 假消息攻擊分類
數據鏈路層攻擊:ARP欺騙;
網絡層攻擊:ICMP路由重定向�����、IP分片攻擊;
傳輸層攻擊:SYN Flood攻擊�����、TCP序號猜測�;
應用層攻擊:DNS欺騙、SMB中間人攻擊
16 ARP欺騙的防范
? 不要把網絡安全信任關系建立在 IP地址的基礎上或硬件 MAC地址基礎上���,(RARP同樣存在欺騙的問
題)�����,理想的關系
31��、應該建立在 IP + MAC基礎上�����;
? 設置靜態(tài)的MAC-IP對應表,不要讓主機刷新你設定好的對應表��;
17 SYN Flood是當前最流行的 DoS(拒絕服務攻擊)方式之一�,這是一種利用 TCP協(xié)議缺陷���,發(fā)送大量偽
造的TCP連接請求,從而使得被攻擊方資源耗盡( CPU滿負荷或內存不足)的攻擊方式 ?服務器端忙于處理
攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求 (畢竟客戶端的正常請求比率非常之?���。?,此時從正
?����?蛻舻慕嵌瓤磥?,服務器失去響應,這種情況我們稱作服務器端受到了 SYNFlood攻擊(SYN洪水攻擊)
第7章入侵檢測技術
1 入侵檢測(Intrusion
32���、Detection )
顧名思義����,即是對入侵行為的發(fā)覺���。它在計算機網絡或計算機系統(tǒng)中的若干關鍵點收集信息�,通過對這些
信息的分析來發(fā)現網絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象����。
2 IDS
進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)( Intrusion Detection System��,簡稱IDS)��。與其他
安全產品不同的是���,入侵檢測系統(tǒng)需要更多的智能, 它必須能將得到的數據進行分析���, 并得出有用的結果�。
3 IDS的任務和作用
1) 監(jiān)視���、分析用戶及系統(tǒng)活動�;
2) 對系統(tǒng)構造和弱點的審計�����;
3) 識別和反應已知進攻的活動模式并向相關人士報警��;
4) 異常
33����、行為模式的統(tǒng)計分析�����;
5) 評估重要系統(tǒng)和數據文件的完整性;
6) 操作系統(tǒng)的審計跟蹤管理�����,識別用戶違反安全策略的行為�。
4、 入侵檢測系統(tǒng)的分類
? 按照入侵檢測系統(tǒng)的數據來源劃分
(1) 基于主機的入侵檢測系統(tǒng)
(2) 基于網絡的入侵檢測系統(tǒng)
(3) 采用上述兩種數據來源的分布式的入侵檢測系統(tǒng)
? 按照入侵檢測系統(tǒng)采用的檢測方法來分類
(1) 基于行為的入侵檢測系統(tǒng):
(2) 基于模型推理的入侵檢測系統(tǒng):
(3) 采用兩者混合檢測的入侵檢測系統(tǒng) :
5�����、 入侵檢測的工作過程分為三部分:
? 信息收集
? 信息分析
? 結果處理
6���、 入侵檢測一般通過三種技術
34���、手段進行分析:
? ⑴模式匹配;
? ⑵統(tǒng)計分析�����;
? ⑶完整性分析
7���、入侵檢測工具
? SNORT
? ISS BlackICE
? ISS RealSecure
第8章計算機病毒與反病毒技術
1計算機病毒
? 是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據���,影響計算機使用并且能夠自我復
制的一組計算機指令或者程序代碼
2 ?病毒的生命周期
? 隱藏階段�、傳播階段�、觸發(fā)階段、執(zhí)行階段
3�、 病毒的特征
(1) 傳染性
(2) 破壞性
(3) 潛伏性
(4) 可執(zhí)行性
(5) 可觸發(fā)性
(6) 隱蔽性
4、 病毒的結構
病毒一般由感染標
35����、記、感染模塊��、破壞模塊��、觸發(fā)模塊�����、主控模塊等主要模塊構成�����。
5�、 病毒分類:
1文件型病毒
2、 引導扇區(qū)病毒
3、 混合型病毒
4�����、 宏病毒
5�、 網絡病毒
6���、 病毒的危害
(1) 病毒發(fā)作對計算機數據信息的直接破壞
(2) 占用磁盤空間和對信息的破壞
(3) 搶占系統(tǒng)資源
(4) 影響計算機運行速度
(5) 計算機病毒錯誤與不可預見的危害
(6) 計算機病毒給用戶造成嚴重的心理壓力
7���、病毒的命名
病毒前綴?病毒名?病毒后綴
? 病毒前綴是指一個病毒的種類。比如木馬的前綴是 Trojan�����,蠕蟲的前綴是 Worm
? 病毒名是指一個病毒的家族特征�,如 CI
36、H病毒的家族名都是統(tǒng)一的 CIH,振蕩波蠕蟲病毒的家族名是
Sasser��。
? 病毒后綴是指一個病毒的變種特征���,是用來區(qū)別具體某個家族病毒的某個變種的���。一般都采用英文中
的26個字母來表示,如:,可以采用數字與字母混合表示變種標識���。
8 CIH 病毒
? 屬于文件型病毒�,主要感染 Windows 9x下的可執(zhí)行文件���。 CIH病毒使用了面向 Windows的VxD技
術��,使得這種病毒傳播的實時性和隱蔽性都特別強
? 發(fā)作日是每年4月26日��。v1.3版本發(fā)作日是每年6月26日����。v1.4版本發(fā)作日為每月26日��。
? CIH最大的特點就是對計算機硬盤以及 BIOS具有超強的破壞能力�。
37、
9���、 宏病毒
? 是一種使用宏編程語言編寫的病毒�, 主要寄生于Office文檔或模板的宏中�����。一旦打開這樣的文檔,宏
病毒就會被激活����,進入計算機內存,并駐留在Normal模板上�����。從此以后�����,所有自動保存的文檔都會感 染上這種宏病毒�����,如果網上其他用戶打開了感染病毒的文檔�,宏病毒又會轉移到他的計算機上����。
宏病毒通常使用 VB腳本,影響微軟的 Office組件或類似的應用軟件��,大多通過郵件傳播��。最有名的例子
是1999年的美麗殺手病毒 (Melissa ),通過Outlook來把自己放在電子郵件的附件中自動寄給其他收件人��。
? 宏病毒的特點
(1) 感染數據文件
(2) 多平臺交叉感染
38�、
(3) 容易編寫
(4) 容易傳播
10、 蠕蟲病毒
? 蠕蟲(Worm是一種通過網絡傳播的惡性病毒��,它通過分布式網絡來擴散傳播特定的信息或錯誤�����,進
而造成網絡服務遭到拒絕并發(fā)生死鎖�。 \
蠕蟲又與傳統(tǒng)的病毒又有許多不同之處, 如不利用文件寄生���、對網絡造成拒絕服務�、與黑客技術相結合等��。
? 蠕蟲的基本程序結構
1) 傳播模塊:負責蠕蟲的傳播��,又分為三個基本模塊:掃描模塊�����、攻擊模塊和復制模塊�����。
2) 隱藏模塊:侵入主機后,隱藏蠕蟲程序��,防止被用戶發(fā)現���。
3) 目的功能模塊:實現對計算機的控制�、監(jiān)視或破壞等功能�。
11、防病毒措施
? 服務器的防病毒措施
(1) 安裝正版
39�����、的殺毒軟件
(2) 攔截受感染的附件
(3) 合理設置權限
(4) 取消不必要的共享
(5) 重要數據定期存檔
? 終端用戶防病毒措施
(1) 安裝殺毒軟件和個人防火墻
(2) 禁用預覽窗口功能
(3) 刪除可疑的電子郵件
(4) 不要隨便下載文件
(5) 你認為管用的其他措施
僅供個人用于學習�、研究���;不得用于商業(yè)用途�。
For personal use only in study and research; not for commercial use.
Nur f u r den pers?nlichen f u r Studien, Forschung, zu kommerziellen Zwecken verwendet werden.
Pour l ' e tude et la recherche uniquement a des fins personnelles; pas a des fins commerciales.
TO^bgjD a Jirogefi , KOTOpbie ucno^E3yroTCH g貝刃 o6yqeHUE , ucc 貝 egoBaH
KOMMepqeckux qe 貝 ax.
以下無正文
《網絡信息安全》復習
