《網(wǎng)絡(luò)信息安全》復(fù)習(xí)

《《網(wǎng)絡(luò)信息安全》復(fù)習(xí)》由會員分享，可在線閱讀，更多相關(guān)《《網(wǎng)絡(luò)信息安全》復(fù)習(xí)（17頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、《網(wǎng)絡(luò)信息安全》期末復(fù)習(xí)要點 1網(wǎng)絡(luò)安全的定義 答案：網(wǎng)絡(luò)安全是指保護網(wǎng)絡(luò)系統(tǒng)中的軟件、 硬件及信息資源，使之免受偶然或惡意的破壞、 篡改和泄露, 保證網(wǎng)絡(luò)系統(tǒng)的正常運行、網(wǎng)絡(luò)服務(wù)不中斷。 2. 網(wǎng)絡(luò)安全的屬性 答案：美國國家信息基礎(chǔ)設(shè)施(Nil )的文獻中，給出了安全的五個屬性：可用性、機密性、完整性、可靠 性和不可抵賴性。 (1) 可用性 可用性是指得到授權(quán)的實體在需要時可以得到所需要的網(wǎng)絡(luò)資源和服務(wù)。 For pers onal use only in study and research; not for commercial use (2) 機密性 機密性是指網(wǎng)絡(luò)

2、中的信息不被非授權(quán)實體(包括用戶和進程等)獲取與使用。 (3) 完整性 完整性是指網(wǎng)絡(luò)信息的真實可信性， 即網(wǎng)絡(luò)中的信息不會被偶然或者蓄意地進行刪除、 修改、偽造、插 入等破壞，保證授權(quán)用戶得到的信息是真實的。 (4) 可靠性 可靠性是指系統(tǒng)在規(guī)定的條件下和規(guī)定的時間內(nèi)，完成規(guī)定功能的概率。 (5) 不可抵賴 不可抵賴性也稱為不可否認性。 是指通信的雙方在通信過程中， 對于自己所發(fā)送或接收的消息不可抵賴。 3. 網(wǎng)絡(luò)安全威脅 答案：網(wǎng)絡(luò)安全威脅是指某個實體(人、事件、程序等)對某一網(wǎng)絡(luò)資源的機密性、完整性、可用性及可 靠性等可能造成的危害。 通信過程中的四種攻擊方式：圖示

3、竊聽、中斷、假冒、篡改 4?安全策略 ? 安全策略是指在某個安全區(qū)域內(nèi)，所有與安全活動相關(guān)的一套規(guī)則 ? 網(wǎng)絡(luò)安全策略包括對企業(yè)的各種網(wǎng)絡(luò)服務(wù)的安全層次和用戶的權(quán)限進行分類，確定管理員的安全 職責(zé)，如何實施安全故障處理、網(wǎng)絡(luò)拓撲結(jié)構(gòu)、入侵和攻擊的防御和檢測、備份和災(zāi)難恢復(fù)等內(nèi) 容。 5 ?網(wǎng)絡(luò)安全模型 ? P 2DR安全模型 P2DR模型是由美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司提出的一個可適應(yīng)網(wǎng)絡(luò)安全模型 （Adaptive Network Security Model）。 P2DR包括四個主要部分， 分別是：Policy 策略，Protecti on 保護，Detectio n 檢

4、測，Respo nse ——響應(yīng)。 P2DR模型的基本思想是：一個系統(tǒng)的安全應(yīng)該在一個統(tǒng)一的安全策略（ Policy ）的控制和指導(dǎo)下，綜合運 用各種安全技術(shù)（如防火墻、操作系統(tǒng)身份認證、加密等手段）對系統(tǒng)進行保護，同時利用檢測工具（如 漏洞評估、入侵檢測等系統(tǒng)）來監(jiān)視和評估系統(tǒng)的安全狀態(tài)，并通過適當?shù)捻憫?yīng)機制來將系統(tǒng)調(diào)整到相對 “最安全”和“風(fēng)險最低”的狀態(tài)。 ? PDRR模型是美國國防部提出的“信息安全保護體系”中的重要內(nèi)容，概括了網(wǎng)絡(luò)安全的整個環(huán)節(jié)。 PDRR表示：Protection （防護）、Detection （檢測）、Response （響應(yīng)）、Recovery （

5、恢復(fù)）。這四個 部分構(gòu)成了一個動態(tài)的信息安全周期。 6 ?研究網(wǎng)絡(luò)安全的意義 網(wǎng)絡(luò)安全與政治、軍事、經(jīng)濟與社會穩(wěn)定，關(guān)系重大。 第3章密碼學(xué)基礎(chǔ) 1. 密碼系統(tǒng) 圖示略 2. 對稱加密算法 ? 對稱加密算法（symmetric algorithm ）,也稱為傳統(tǒng)密碼算法，其加密密鑰與解密密鑰相同或很容易 相互推算出來，因此也稱之為秘密密鑰算法或單鑰算法。對稱算法分為兩類，一類稱為序列密碼算法 （stream cipher ）,另一種稱為分組密碼算法（ block cipher ）。 ? 對稱加密算法的主要優(yōu)點是運算速度快，硬件容易實現(xiàn)；其缺點是密鑰的分發(fā)與管理比較困難，特

6、別 是當通信的人數(shù)增加時，密鑰數(shù)目急劇膨脹。 3. 非對稱加密算法 ? 非對稱加密算法（Asymmetric Algorithm ）也稱公開密鑰算法（Public Key Algorithm ）。 ? 公開密鑰體制把信息的加密密鑰和解密密鑰分離，通信的每一方都擁有這樣的一對密鑰。其中加密密 鑰可以像電話號碼一樣對外公開，由發(fā)送方用來加密要發(fā)送的原始數(shù)據(jù)；解密密鑰則由接收方秘密保 存，作為解密時的私用密鑰。 ? 公開密鑰體制最大的優(yōu)點就是不需要對密鑰通信進行保密，所需傳輸?shù)闹挥泄_密鑰。這種密鑰體制 還可以用于數(shù)字簽名。公開密鑰體制的缺陷在于其加密和解密的運算時間比較長，這在一定程度上

7、限 制了它的應(yīng)用范圍。 4. 密碼的破譯 1） 密鑰的窮盡搜索 2） 密碼分析 ? 已知明文的破譯方法 ? 選定明文的破譯方法 ? 差別比較分析法 5. 古典密碼學(xué) ? 代換密碼：依據(jù)一定的規(guī)則，明文字母被不同的密文字母所代替。 ? 置換密碼：保持明文的所有字母不變，只是利用置換打亂明文字母出現(xiàn)的位置。 缺點：不能掩蓋字母的統(tǒng)計規(guī)律，因而不能抵御基于統(tǒng)計的密碼分析方法的攻擊。 6. 擴散和混亂一分組密碼的基本原理 擴散和混亂是由Sha nnon提出的設(shè)計密碼系統(tǒng)的兩個基本方法，目的是抵抗攻擊者對密碼的統(tǒng)計分析。 ? 擴散就是指將明文的統(tǒng)計特性散布到密文中去 ? 混亂就

8、是使密文和密鑰之間的統(tǒng)計關(guān)系變得盡可能復(fù)雜 7. DES算法一Data Encryption Standard -- 最有影響的對稱密鑰算法 DES算 法： ? 首先把明文分成若干個 64-bit的分組，算法以一個分組作為輸入， ? 通過一個初始置換（IP ）將明文分組分成左半部分（L0）和右半部分（R0）,各為32-bit。 ? 然后進行16輪完全相同的運算，這些運算我們稱為函數(shù) f,在運算過程中數(shù)據(jù)與密鑰相結(jié)合。 ? 經(jīng)過16輪運算后，左、右兩部分合在一起經(jīng)過一個末轉(zhuǎn)換 （初始轉(zhuǎn)換的逆置換IP-1 ）,輸出一個64-bit 的密文分組。 ? 密鑰通常表示為64-bit，但每

9、個第8位用作奇偶校驗，實際的密鑰長度為 56-bit。 3DES--三重 DES DES 一個致命的缺陷就是密鑰長度短，并且對于當前的計算能力， 56位的密鑰長度已經(jīng)抗不住窮舉攻 擊，而DES又不支持變長密鑰。但算法可以一次使用多個密鑰，從而等同于更長的密鑰。 8. AES 算法一現(xiàn)行的 NIST ( National Institute Of Scienee And Technology 美國國家標準研究所)力口 密標準 由于DES算法密鑰長度較小(56位),已經(jīng)不適應(yīng)當今分布式開放網(wǎng)絡(luò)對數(shù)據(jù)加密安全性的要求，因此 1997 年NIST公開征集新的數(shù)據(jù)加密標準 ，即AES經(jīng)過三

10、輪的篩選，比利時Vincent Rijmen 和Joan Daeman提 交的Rijndael算法被提議為AES的最終算法?？傮w來說,AES作為新一代的數(shù)據(jù)加密標準匯聚了強安全性、 高性能、高效率、易用和靈活等優(yōu)點。 AES設(shè)計有三個密鑰長度：128,192,256位，相對而言，AES的128密 鑰比DES的56密鑰強1021倍。 9. RSA算法--最有影響的公鑰密碼算法 RSA算法的思路如下： ? 先取兩個大素數(shù) p和q。為了獲得最大程度的安全性，兩數(shù)的長度一樣。 ? 計算乘積n=p*q , ? 計算機：?( n)=(p-1)*(q-1) ? 然后隨機選取加密密鑰 e,使e和

11、0( n)互素。 ? 用歐幾里得(Euclidean )擴展算法計算解密密鑰 d, 1 d 滿足 ed= 1 mod (p-1)*(q-1) ，即 d = e- mod (p-1)*(q-1) ? 則｛n , e｝為公開密鑰，｛n , d｝是私人密鑰。兩個大數(shù) p和q應(yīng)當銷毀。 RSA算法的安全性基于數(shù)論中大數(shù)分解的困難性。即知道 n,想要分解出p和q非常困難。 第4章密碼學(xué)應(yīng)用 1. 密鑰的生命周期 一個密鑰在生存期內(nèi)一般要經(jīng)歷以下幾個階段： 1) 密鑰的產(chǎn)生 2) 密鑰的分配 3) 啟用密鑰/停有密鑰 4) 替換密鑰或更新密鑰 5) 撤銷密鑰 6) 銷毀密鑰

12、2. 對稱密碼體制的密鑰管理 (1) 密鑰分配中心 KDC KDC 與每一個用戶之間共享一個不同的永久密鑰，當兩個用戶 A和B要進行通信時，由 KDC產(chǎn)生一個 雙方會話使用的密鑰 K,并分別用兩個用戶的永久密鑰 KA KB來加密會話密鑰發(fā)給他們，即將 KA（K）發(fā)給 A, KB（K）發(fā)給B; A B接收到加密的會話密鑰后，將之解密得到 K,然后用K來加密通信數(shù)據(jù)。 （2）基于公鑰體制的密鑰分配 假設(shè)通信雙方為 A和B。使用公鑰體制交換對稱密鑰的過程是這樣的： 首先A通過一定的途徑獲得 B的 公鑰；然后A隨機產(chǎn)生一個對稱密鑰 K，并用B的公鑰加密對稱密鑰 K發(fā)送給B; B接收到加密

13、的密鑰后， 用自己的私鑰解密得到密鑰 K。在這個對稱密鑰的分配過程中，不再需要在線的密鑰分配中心，也節(jié)省了 大量的通信開銷。 3. 公開密鑰體制的密鑰管理 主要有兩種公鑰管理模式，一種采用證書的方式，另一種是 PGP采用的分布式密鑰管理模式。 （1） 公鑰證書 公鑰證書是由一個可信的人或機構(gòu)簽發(fā)的，它包括證書持有人的身份標識、公鑰等信息，并由證書頒發(fā)者 對證書簽字。 （2） 分布式密鑰管理 在某些情況下，集中的密鑰管理方式是不可能的，比如：沒有通信雙方都信任的 CA用于PGP的分布式密 鑰管理，采用了通過介紹人（in troducer ）的密鑰轉(zhuǎn)介方式 4. 數(shù)據(jù)完整性驗證

14、 ? 消息的發(fā)送者用要發(fā)送的消息和一定的算法生成一個附件，并將附件與消息一起發(fā)送出去；消息的接 收者收到消息和附件后，用同樣的算法與接收到的消息生成一個新的附件；把新的附件與接收到的附 件相比較，如果相同，則說明收到的消息是正確的，否則說明消息在傳送中出現(xiàn)了錯誤。 5. 單向散列函數(shù) ? 單向散列函數(shù)（one-way hash function ），是現(xiàn)代密碼學(xué)的三大基石之一。 ? 散列函數(shù)長期以來一直在計算機科學(xué)中使用， 散列函數(shù)是把可變長度的輸入串（叫做原象，pre-image） 轉(zhuǎn)換成固定長度的輸出串（叫做散列值）的一種函數(shù) ? 單向散列函數(shù)是在一個方向上工作的散列函數(shù)，即從預(yù)

15、映射的值很容易計算出散列值，但要從一個特 定的散列值得出預(yù)映射的值則非常難。 6. MD5 —最為人們熟知的消息摘要算法 MD5以512bit的分組來處理輸入文本。算法輸出一個 128bit的散列值。 7. 數(shù)字簽名 ? 簽名機制的本質(zhì)特征是該簽名只有通過簽名者的私有信息才能產(chǎn)生，也就是說，一個簽名者的簽名只 能唯一地由他自己產(chǎn)生。當收發(fā)雙方發(fā)生爭議時，第三方（仲裁機構(gòu)）就能夠根據(jù)消息上的數(shù)字簽名來裁定這條消息是否確實由發(fā)送方發(fā)出，從而實現(xiàn)抗抵賴服務(wù)。另外，數(shù)字簽名應(yīng)是所發(fā)送數(shù)據(jù)的函 數(shù)，即簽名與消息相關(guān)，從而防止數(shù)字簽名的偽造和重用。 數(shù)字簽名的實現(xiàn)方法 (1) 使用對稱加

16、密和仲裁者實現(xiàn)數(shù)字簽名 (2) 使用公開密鑰體制進行數(shù)字簽名 公開密鑰體制的發(fā)明，使數(shù)字簽名變得更簡單，它不再需要第三方去簽名和驗證 數(shù)字簽名的實現(xiàn)過程如下： ? A用他的私人密鑰加密消息，從而對文件簽名； ? A將簽名的消息發(fā)送給 B； ? B用A的公開密鑰解消息，從而驗證簽名； (3) 使用公開密鑰體制與單向散列函數(shù)進行數(shù)字簽名：更小的計算量 假設(shè)通信雙方為A和B 發(fā)送方A: ? ⑴將消息按雙方約定的單向散列算法計算得到一個固定 位數(shù)的消息摘要HA; ? ⑵ 然后使用私鑰對該消息摘要進行加密，這個被加密了的消息摘要即為發(fā)送者的數(shù)字簽名; ? ⑶A把數(shù)字簽名與消息一起發(fā)

17、送給 B。 接收方B收到數(shù)字簽名后 ? ⑴用同樣的單向散列函數(shù)算法對消息計算消息摘要 HB ； ? ⑵然后用發(fā)送者的公開密鑰解密 A發(fā)送來的消息摘要 HA ； A,因為只有用發(fā)送者 A的私鑰加 其特點是用戶只需輸入一次身份驗 訪問多個服務(wù)，即 SSO(Si ngle Sign ? ⑶HA與HB進行比較，如果相等，則說明消息確實是來自發(fā)送者 密的信息才能用發(fā)送者 A的公鑰解密，從而保證了數(shù)據(jù)的真實性。 8. Kerberos 認證交換協(xié)議 Kerberos協(xié)議主要用于計算機網(wǎng)絡(luò)的身份鑒別 (Authentication). 證信息就可以憑借此驗證獲得的票據(jù) (ticket-

18、gra nting ticket) On)。由于在每個Client和Service之間建立了共享密鑰，使得該協(xié)議具有相當?shù)陌踩?。由于協(xié)議 中的消息無法穿透防火墻，這些條件就限制了 Kerberos協(xié)議往往用于一個組織的內(nèi)部， 使其應(yīng)用場 景不同于X.509 PKI。 Kerberos協(xié)議分為兩個部分： 1. Client 向 KDC發(fā)送自己的身份信息， KDC從 Ticket Granting Service 得到 TGT(ticket-granting ticket)，并用協(xié)議開始前 Client與KDC之間的密鑰將TGT加密回復(fù)給Client。 2. Client 利用獲得

19、的TGT向KDC青求其他Service的Ticket，從而通過其他 Service的身份鑒別。 10. 數(shù)字證書 ? 數(shù)字證書中包含證書持有者的個人身份信息、 公鑰及CA的簽名，在網(wǎng)絡(luò)通訊中標識證書持有者的個人 身份，可用于網(wǎng)上購物、網(wǎng)上證券、網(wǎng)上金融、網(wǎng)上拍賣、網(wǎng)上保險等多種應(yīng)用系統(tǒng)。 證書的驗證，是驗證一個證書的有效性、完整性、可用性的過程。證書驗證主要包括以下幾方面的內(nèi)容 ： ? 驗證證書簽名的是否正確有效， 這需要知道簽發(fā)證書的 CA的真正公鑰，有時可能要涉及證書路徑的處 理。 ? 驗證證書的完整性，即驗證 CA簽名的證書散列值與單獨計算出的散列值是否一致。 ? 驗證證

20、書是否在有效期內(nèi) ? 查看證書撤銷列表，驗證證書沒有被撤銷。 ? 驗證證書的使用方式與任何聲明的策略和使用限制一致。 11. PGP ? PGP最初是由菲利浦.齊默爾曼（Philip.Zimmermann） 開始編寫的、用于保護電子通信隱私的加密軟件。 PGP使用了 RSA公開密鑰加密算法，它的第一版在 1991年完成。 PGP軟件有3個主要的功能： （1） 使用強大的IDEA加密算法對存儲在計算機上的文件加密。經(jīng)加密的文件只能由知道密鑰的人解密閱 讀。 （2） 使用公開密鑰加密技術(shù)對電子郵件進行加密。經(jīng)加密的電子郵件只有收件人本人才能解密閱讀。 （3） 使用公開密鑰加密技術(shù)

21、對文件或電子郵件作數(shù)字簽名，鑒定人可以用起草人的公開密鑰鑒別真?zhèn)巍? PGP使用了 4種類型的密鑰：一次性會話對稱密鑰、公鑰、私鑰和基于口令短語的對稱密鑰 密鑰環(huán) 密鑰需要以一種系統(tǒng)化的方法來存儲和組織， 以便有效和高效地使用。 PGP在每個結(jié)點提供一對數(shù)據(jù)結(jié)構(gòu)， 一個是存儲該結(jié)點的公開/私有密鑰對（私有密鑰環(huán)）；另一個是存儲該結(jié)點知道的其他所有用戶的公開密 鑰。相應(yīng)地，這些數(shù)據(jù)結(jié)構(gòu)被稱為私有密鑰環(huán)和公開密鑰環(huán)。 第5章防火墻技術(shù) 1基本概念 防火墻（Firewall ）是指隔離在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道防御系統(tǒng)，它能擋住來自外部網(wǎng)絡(luò)的攻擊 和入侵，保障著內(nèi)部網(wǎng)絡(luò)的安全

22、非軍事化區(qū)（DMZ：為了配置管理方便，內(nèi)網(wǎng)中需要向外網(wǎng)提供服務(wù)的服務(wù)器（如 WWWFTP、SMTP DNS 等）往往放在In ternet 與內(nèi)部網(wǎng)絡(luò)之間一個單獨的網(wǎng)段，這個網(wǎng)段便是非軍事化區(qū)。 包過濾，也被稱為數(shù)據(jù)包過濾，是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾規(guī) 則，檢查數(shù)據(jù)流中的每個數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標地址以及端口等信息來確定是否允許數(shù)據(jù)包 通過。 2防火墻的作用 （1） 可以限制未授權(quán)用戶進入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶； （2） 防止入侵者接近內(nèi)部網(wǎng)絡(luò)的防御設(shè)施，對網(wǎng)絡(luò)攻擊進行檢測和告警； （3） 限制內(nèi)部用戶訪問特殊站點； （

23、4） 記錄通過防火墻的信息內(nèi)容和活動，監(jiān)視 In ternet安全提供方便。 3防火墻技術(shù)分類，以下是教材上的分類 （1） 包過濾防火墻 （2） 代理服務(wù)型防火墻 4包過濾防火墻 使用包過濾技術(shù)的防火墻叫做包過濾防火墻（ Packetfilter ），因為它工作在網(wǎng)絡(luò)層，又叫網(wǎng)絡(luò)層防火墻 （Networklevelfirewall ）。 包過濾防火墻一般由屏蔽路由器 （ScreeningRouter ，也稱為過濾路由器） 來實現(xiàn)，這種路由器是在普通路 由器基礎(chǔ)上加入IP過濾功能而實現(xiàn)的，這是防火墻最基本的構(gòu)件。 包過濾防火墻的優(yōu)點 （1） 一個屏蔽路由器能保護整個網(wǎng)絡(luò) （

24、2） 包過濾對用戶透明 （3） 屏蔽路由器速度快、效率高 包過濾防火墻的缺點 1） 通常它沒有用戶的使用記錄，這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。 2） 配置繁瑣也是包過濾防火墻的一個缺點。 3） 不能在用戶級別上進行過濾，只能認為內(nèi)部用戶是可信任的、外部用戶是可疑的。 4） 一旦屏蔽路由器被攻陷就會對整個網(wǎng)絡(luò)產(chǎn)生威脅。 5代理服務(wù)器 代理服務(wù)器是指代表內(nèi)網(wǎng)用戶向外網(wǎng)服務(wù)器進行連接請求的服務(wù)程序。代理服務(wù)器運行在兩個網(wǎng)絡(luò)之間， 它對于客戶機來說像是一臺真的服務(wù)器，而對于外網(wǎng)的服務(wù)器來說，它又是一臺客戶機 6、防火墻體系結(jié)構(gòu) （1）雙重宿主主機結(jié)構(gòu)； （2） 屏蔽主

25、機結(jié)構(gòu); （3） 屏蔽子網(wǎng)結(jié)構(gòu)。 第6章網(wǎng)絡(luò)攻擊技術(shù) 1、 系統(tǒng)攻擊或入侵 是指利用系統(tǒng)安全漏洞，非授權(quán)進入他人系統(tǒng)（主機或網(wǎng)絡(luò)）的行為。 系統(tǒng)攻擊的三個階段 （1） 收集信息 （2） 探測系統(tǒng)安全弱點 （3） 實施攻擊 2、 主要的攻擊方法 1） 獲取口令 2） 放置特洛伊木馬 3） WWW的欺騙技術(shù) 4） 電子郵件攻擊 5） 網(wǎng)絡(luò)監(jiān)聽 6） 尋找系統(tǒng)漏洞 3、 口令攻擊方法 （1） 通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令 （2） 口令的窮舉攻擊 （3） 利用系統(tǒng)管理員的失誤 4、 掃描器 掃描器是檢測遠程或本地系統(tǒng)安全脆弱性的軟件。 掃描器分類：數(shù)據(jù)庫安全

26、掃描器、操作系統(tǒng)安全掃描器和網(wǎng)絡(luò)安全掃描器 5、 常用的掃描技術(shù) （1） TCP connect （）掃描 （2） TCP SYN掃描 （3） TCP FIN 掃描 6、 網(wǎng)絡(luò)監(jiān)聽 網(wǎng)絡(luò)監(jiān)聽可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?，是網(wǎng)絡(luò)管理員的一種監(jiān)視和管理網(wǎng) 絡(luò)的一種方法，但網(wǎng)絡(luò)監(jiān)聽工具也常是黑客們經(jīng)常使用的工具。 7、網(wǎng)絡(luò)監(jiān)聽的原理 以太網(wǎng)中，當主機工作在監(jiān)聽模式下，不管數(shù)據(jù)幀的目的地址是什么，所有的數(shù)據(jù)幀都將被交給上層協(xié)議 軟件處理。 7、 拒絕服務(wù) DoS是Denial of Service 的簡稱，即拒絕服務(wù)。造成 DoS的攻擊行為被稱為 DoS攻

27、擊，拒絕服務(wù)攻擊是 指一個用戶占據(jù)了大量的共享資源，使系統(tǒng)沒有剩余的資源給其它用戶提供服務(wù)的一種攻擊方式。 最常見的DoS攻擊有計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有 可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊 計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。 8、 DDoS (分布式拒絕服務(wù))是一種基于 DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式， DDoS的主要攻擊方式 1) SYN Floodi ng 攻擊 2) Land 攻擊

28、 3) Smurf 攻擊的過程 9、 緩沖區(qū)溢出 在程序試圖將數(shù)據(jù)放到機器內(nèi)存緩沖區(qū)中的某一個位置的時候，如果沒有足夠的空間，程序又不檢查緩沖 區(qū)的邊界，就會發(fā)生緩沖區(qū)溢出 緩沖區(qū)溢出攻擊的分類： ? 基于棧的緩沖區(qū)溢出 ? 基于堆的緩沖區(qū)溢出 ? 整型溢出 ? 格式化字符串溢出 ? 文件流溢出。 10、 緩沖區(qū)溢出的保護 一是強制編寫正確代碼的方法。二是通過操作系統(tǒng)使得緩沖區(qū)不可執(zhí)行，從而阻止攻擊者植入攻擊代碼。 三是利用編譯器的邊界檢查來實現(xiàn)緩沖區(qū)的保護。 11、特洛伊木馬 木馬是一種基于遠程控制的黑客工具，一般的木馬都有客戶端和服務(wù)器端兩個執(zhí)行程序，其中客戶

29、端是用 于攻擊者遠程控制被植入木馬的機器。服務(wù)器端程序即是木馬程序。攻擊者要通過木馬攻擊你的系統(tǒng)，要 做的第一件事就是把木馬的服務(wù)器端程序通過某種方式植入到用戶的電腦里面。 木馬具有隱蔽性和非授權(quán)性的特點：所謂隱蔽性是指木馬的設(shè)計者為了防止木馬被發(fā)現(xiàn)，會采用多種手段 隱藏木馬；所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后，控制端將享有服務(wù)端的大部分操作權(quán)限，包括 修改文件、修改注冊表、控制鼠標、鍵盤等，而這些權(quán)力并不是服務(wù)端賦予的，而是通過木馬程序竊取的。 12 Sn iffer 軟件的功能 ? 捕獲網(wǎng)絡(luò)流量進行詳細分析 ? 利用專家分析系統(tǒng)診斷問題 ? 實時監(jiān)控網(wǎng)絡(luò)活動 ?

30、收集網(wǎng)絡(luò)利用率和錯誤等 13、 假消息攻擊 利用網(wǎng)絡(luò)協(xié)議（如ARP ICMP TCP設(shè)計中的缺陷或者設(shè)計中對各種問題的折衷， 以及In ternet管理（DNS 中對安全性考慮的欠缺，通過發(fā)送偽造的數(shù)據(jù)包達到欺騙目標、從中獲利的目的。 14、 假消息攻擊分類 數(shù)據(jù)鏈路層攻擊：ARP欺騙； 網(wǎng)絡(luò)層攻擊：ICMP路由重定向、IP分片攻擊； 傳輸層攻擊：SYN Flood攻擊、TCP序號猜測； 應(yīng)用層攻擊：DNS欺騙、SMB中間人攻擊 16 ARP欺騙的防范 ? 不要把網(wǎng)絡(luò)安全信任關(guān)系建立在 IP地址的基礎(chǔ)上或硬件 MAC地址基礎(chǔ)上，（RARP同樣存在欺騙的問 題），理想的關(guān)系

31、應(yīng)該建立在 IP + MAC基礎(chǔ)上； ? 設(shè)置靜態(tài)的MAC-IP對應(yīng)表，不要讓主機刷新你設(shè)定好的對應(yīng)表； 17 SYN Flood是當前最流行的 DoS（拒絕服務(wù)攻擊）方式之一，這是一種利用 TCP協(xié)議缺陷，發(fā)送大量偽 造的TCP連接請求，從而使得被攻擊方資源耗盡（ CPU滿負荷或內(nèi)存不足）的攻擊方式 ?服務(wù)器端忙于處理 攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求 （畢竟客戶端的正常請求比率非常之?。?，此時從正 ?？蛻舻慕嵌瓤磥恚?wù)器失去響應(yīng)，這種情況我們稱作服務(wù)器端受到了 SYNFlood攻擊（SYN洪水攻擊） 第7章入侵檢測技術(shù) 1 入侵檢測（Intrusion

32、Detection ） 顧名思義，即是對入侵行為的發(fā)覺。它在計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息，通過對這些 信息的分析來發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。 2 IDS 進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（ Intrusion Detection System，簡稱IDS）。與其他 安全產(chǎn)品不同的是，入侵檢測系統(tǒng)需要更多的智能， 它必須能將得到的數(shù)據(jù)進行分析， 并得出有用的結(jié)果。 3 IDS的任務(wù)和作用 1） 監(jiān)視、分析用戶及系統(tǒng)活動； 2） 對系統(tǒng)構(gòu)造和弱點的審計； 3） 識別和反應(yīng)已知進攻的活動模式并向相關(guān)人士報警； 4） 異常

33、行為模式的統(tǒng)計分析； 5） 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性； 6） 操作系統(tǒng)的審計跟蹤管理，識別用戶違反安全策略的行為。 4、 入侵檢測系統(tǒng)的分類 ? 按照入侵檢測系統(tǒng)的數(shù)據(jù)來源劃分 （1） 基于主機的入侵檢測系統(tǒng) （2） 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) （3） 采用上述兩種數(shù)據(jù)來源的分布式的入侵檢測系統(tǒng) ? 按照入侵檢測系統(tǒng)采用的檢測方法來分類 （1） 基于行為的入侵檢測系統(tǒng)： （2） 基于模型推理的入侵檢測系統(tǒng)： （3） 采用兩者混合檢測的入侵檢測系統(tǒng) ： 5、 入侵檢測的工作過程分為三部分： ? 信息收集 ? 信息分析 ? 結(jié)果處理 6、 入侵檢測一般通過三種技術(shù)

34、手段進行分析： ? ⑴模式匹配； ? ⑵統(tǒng)計分析； ? ⑶完整性分析 7、入侵檢測工具 ? SNORT ? ISS BlackICE ? ISS RealSecure 第8章計算機病毒與反病毒技術(shù) 1計算機病毒 ? 是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù) 制的一組計算機指令或者程序代碼 2 ?病毒的生命周期 ? 隱藏階段、傳播階段、觸發(fā)階段、執(zhí)行階段 3、 病毒的特征 (1) 傳染性 (2) 破壞性 (3) 潛伏性 (4) 可執(zhí)行性 (5) 可觸發(fā)性 (6) 隱蔽性 4、 病毒的結(jié)構(gòu) 病毒一般由感染標

35、記、感染模塊、破壞模塊、觸發(fā)模塊、主控模塊等主要模塊構(gòu)成。 5、 病毒分類： 1文件型病毒 2、 引導(dǎo)扇區(qū)病毒 3、 混合型病毒 4、 宏病毒 5、 網(wǎng)絡(luò)病毒 6、 病毒的危害 （1） 病毒發(fā)作對計算機數(shù)據(jù)信息的直接破壞 （2） 占用磁盤空間和對信息的破壞 （3） 搶占系統(tǒng)資源 （4） 影響計算機運行速度 （5） 計算機病毒錯誤與不可預(yù)見的危害 （6） 計算機病毒給用戶造成嚴重的心理壓力 7、病毒的命名 病毒前綴?病毒名?病毒后綴 ? 病毒前綴是指一個病毒的種類。比如木馬的前綴是 Trojan，蠕蟲的前綴是 Worm ? 病毒名是指一個病毒的家族特征，如 CI

36、H病毒的家族名都是統(tǒng)一的 CIH,振蕩波蠕蟲病毒的家族名是 Sasser。 ? 病毒后綴是指一個病毒的變種特征，是用來區(qū)別具體某個家族病毒的某個變種的。一般都采用英文中 的26個字母來表示，如：，可以采用數(shù)字與字母混合表示變種標識。 8 CIH 病毒 ? 屬于文件型病毒，主要感染 Windows 9x下的可執(zhí)行文件。 CIH病毒使用了面向 Windows的VxD技 術(shù)，使得這種病毒傳播的實時性和隱蔽性都特別強 ? 發(fā)作日是每年4月26日。v1.3版本發(fā)作日是每年6月26日。v1.4版本發(fā)作日為每月26日。 ? CIH最大的特點就是對計算機硬盤以及 BIOS具有超強的破壞能力。

37、 9、 宏病毒 ? 是一種使用宏編程語言編寫的病毒， 主要寄生于Office文檔或模板的宏中。一旦打開這樣的文檔，宏 病毒就會被激活，進入計算機內(nèi)存，并駐留在Normal模板上。從此以后，所有自動保存的文檔都會感 染上這種宏病毒，如果網(wǎng)上其他用戶打開了感染病毒的文檔，宏病毒又會轉(zhuǎn)移到他的計算機上。 宏病毒通常使用 VB腳本，影響微軟的 Office組件或類似的應(yīng)用軟件，大多通過郵件傳播。最有名的例子 是1999年的美麗殺手病毒 （Melissa ），通過Outlook來把自己放在電子郵件的附件中自動寄給其他收件人。 ? 宏病毒的特點 （1） 感染數(shù)據(jù)文件 （2） 多平臺交叉感染

38、 （3） 容易編寫 （4） 容易傳播 10、 蠕蟲病毒 ? 蠕蟲（Worm是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它通過分布式網(wǎng)絡(luò)來擴散傳播特定的信息或錯誤，進 而造成網(wǎng)絡(luò)服務(wù)遭到拒絕并發(fā)生死鎖。 \ 蠕蟲又與傳統(tǒng)的病毒又有許多不同之處， 如不利用文件寄生、對網(wǎng)絡(luò)造成拒絕服務(wù)、與黑客技術(shù)相結(jié)合等。 ? 蠕蟲的基本程序結(jié)構(gòu) 1） 傳播模塊：負責(zé)蠕蟲的傳播，又分為三個基本模塊：掃描模塊、攻擊模塊和復(fù)制模塊。 2） 隱藏模塊：侵入主機后，隱藏蠕蟲程序，防止被用戶發(fā)現(xiàn)。 3） 目的功能模塊：實現(xiàn)對計算機的控制、監(jiān)視或破壞等功能。 11、防病毒措施 ? 服務(wù)器的防病毒措施 （1） 安裝正版

39、的殺毒軟件 （2） 攔截受感染的附件 （3） 合理設(shè)置權(quán)限 （4） 取消不必要的共享 （5） 重要數(shù)據(jù)定期存檔 ? 終端用戶防病毒措施 （1） 安裝殺毒軟件和個人防火墻 （2） 禁用預(yù)覽窗口功能 （3） 刪除可疑的電子郵件 （4） 不要隨便下載文件 （5） 你認為管用的其他措施 僅供個人用于學(xué)習(xí)、研究；不得用于商業(yè)用途。 For personal use only in study and research; not for commercial use. Nur f u r den pers?nlichen f u r Studien, Forschung, zu kommerziellen Zwecken verwendet werden. Pour l ' e tude et la recherche uniquement a des fins personnelles; pas a des fins commerciales. TO^bgjD a Jirogefi , KOTOpbie ucno^E3yroTCH g貝刃 o6yqeHUE , ucc 貝 egoBaH KOMMepqeckux qe 貝 ax. 以下無正文