河北大学网络安全期末重点

在学校的时候不着急，考完试知道学了
舍友在考前吐血整理的知识点基本上都考到了就是自己看了俩小时一个也没背会

网络安全期末考试

考试题型

选择题15x2 填空题10x1 简答题5x6 综合 3x10

重点章节

重点章节：入侵检测技术、防火墙技术、虚拟网络技术

重要知识点

1.信息安全的主要目标是：

防止任何对信息进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让信息处于远离危险、免于威胁的状态或特性。

2.信息安全的属性，不会直接考有什么属性，可能考：

破坏了什么属性、涉及到的属性主要防范措施有哪些机密性：对信息资源开放范围的控制完整性：保证计算机系统中的信息处于“保持完整或一种未受损的状态”。可用性：合法用户在需要的时候，可以正确使用所需的信息而不遭服务拒绝。可控性：对信息的传播及内容具有控制能力。不可抵赖性：也称为不可否认性，即防止个人否认先前已执行的动作，其目标是确保数据的接收方能够确信发送方的身份。在电子商务中非常重要。

3.面临的威胁信息安全威胁：

自然因素自然灾害:破坏完整性和可用性电磁辐射破坏保密性硬件故障;软件故障;电源故障;电磁干扰人为因素意外损坏:删除文件,格式化硬盘,带电拔插;系统断电破坏完整性和可用性蓄意攻击网络攻击,计算机病毒,滥用特权破坏保密性、完整性和可用性特洛伊木马；网络窃听；邮件截获破坏保密性

4.不安全的主要原因:自身缺陷＋开放性＋黑客攻击

5.网络攻击的定义：

攻击者利用网络通信协议设计上的缺陷、操作系统、应用软件或硬件设计上的漏洞、管理上的安全隐患等，通过使用网络命令、下载的攻击软件或攻击者自己编写的程序，非法进入本地或远程用户主机系统，非法获得、修改、删除用户系统的信息以及在用户系统上添加垃圾、色情或者有害信息（如特洛伊木马）等一系列过程的总称

6.阻塞类攻击:DoS攻击(带宽攻击和连通性攻击),拒绝服务攻击针对可用性控制类攻击:

口令攻击、特洛伊木马、缓冲区溢出攻击木马技术侧重点是隐藏技术（进程隐藏、通信隐藏）信息探测型攻击:扫描技术、结构刺探、系统信息服务收集欺骗类攻击:ARP缓存虚构、DNS高速缓存污染、伪造电子邮件漏洞的特点:危害性，长久性，隐蔽性，广泛性7.ping命令发送ICMP数据包3DES密钥168位

8.什么是计算机系统漏洞，系统漏洞的定义：

专业上讲是在硬件、软件、协议的具体实现或系统安全策略上(主要是人为）存在的缺陷，是系统的一组特性，从而可以使恶意的主体(攻击者或者攻击程序）能够利用这组特性，在未授权的情况下访问或破坏系统。

9.逻辑炸弹：

逻辑炸弹是一段事先预置于较大的程序中，具有触发执行破坏能力的程序代码，逻辑炸弹的触发条件具有多种方式，一旦触发，有可能造成文件删除、服务停止、软件中断运行等破坏，其不能复制自身，不能感染其他程序。

10.安全是相对的，不安全是绝对的

11.P2DR模型（尤其重要，考大题）

P2DR模型是在整体的安全策略的控制和指导下，在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时，利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态，通过适当的反应将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证信息系统的安全。策略:策略是模型的核心，所有的防护、检测和响应都是依据安全策略实施的。网络安全策略一般包括总体安全策略和具体安全策略2个部分组成防护:防护是根据系统可能出现的安全问题而采取的预防措施,这些措施通过传统的静态安全技术实现。防护技术数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份检测:当攻击者穿透防护系统时，检测功能就发挥作用，与防护系统形成互补。响应:系统一旦检测到入侵，响应系统就开始工作，进行事件处理。响应包括紧急响应和恢复处理，恢复处理又包括系统恢复和信息恢复

12.APPDRR模型，在P2DR模型上增加两个：

灾难恢复、风险分析

13.涉及到中断(可用性)、截取（保密性)、篡改(完整性)、伪造（鉴别性），给图判断破坏了什么性质

14.杂凑函数的用途应用场景用户登彔的身份认证，完整性检测、消息认证码，用于数字签名时的预处理

15.对称算法的安全性依赖于密钥；网络的加密方式可以分为：

链路加密、节点加密、端到端的加密、混合加密；在理论上不可解密的算法体制是：一次一密；最有效的保护E-mail的方法是使用数字签名，常用的数字签名软件有：PGP

16.网卡的工作模式广播方式：

能够接收网络中的广播信息。组播方式：能够接收组播数据，无论是否组内成员。直接方式：只接收目的地址是自己MAC的数据。混杂模式：能够接收到—切通过它的数据。

17.缓冲区溢出的定义：

向固定长度的缓冲区中写入超出其预先分配长度的内容，从而覆盖缓冲区周围的内存空间，造成缓冲区中数据的溢出

18.缓冲区溢出原理里涉及到代码段、数据段和堆栈段

19.栈溢出经典实例

#include<stdio.h> #include<string.h> char name[] = “abcdefgh”； int main(){
char output[8]; strcpy(output, name); for(int i=0;i<8&&output[i];i++)
printf("\0x%x",output[i]); return 0; }

20.缓冲区溢出的三个必要条件

有问题程序返回点的精确位置――可以把它覆盖成任意地址。2. ShellCode――一个提供给我们想要的功能的代码。 3. JMP ESP的地址――把返回点覆盖JMP ESP的地址，这样可跳入ShellCode。

21.IP欺骗：

使用其他计算机的IP来骗取连接，获得信息或者得到特权ARP欺骗：利用ARP协议的缺陷，把自己伪装成“中间人”，实施攻击。DNS欺骗：域名与IP地址转换过程中实现的欺骗

22.分布式拒绝服务攻击，常见的攻击类型：

系统漏洞型攻击：利用操作系统、TCP/IP网络协议、应用程序等的缺陷,构造某种特殊的数据包，使系统无法响应正常用户的访问请求或使操作系统、应用程序崩溃。耗费CPU时间和内存，堆栈溢出崩溃，正常服务无法响应大流量型攻击：攻击者利用比被攻击网络更大的带宽，生成大量发向被攻击网络的数据包，从而耗尽被攻击网络的有效带宽或者被攻击系统的处理能力，使被攻击自标瘫痪。TCP无法建立，耗费大量的CPU资源处理，系统崩溃大流量&应用型&混合型攻击：基于大流量模型，通过对协议特征、源IP、应用层数据内容等利用来实现对攻击目标的复杂隐蔽性攻击。拥塞被攻击主机网络或者系统资源，HTTP服务无法正常进行，带宽拥塞或者系统资源被占用

23.反弹式攻击：

是指收到一个请求数据报后就会产生一个回应数据报的主机

24.反射攻击原理：

1.攻击者首先锁定大量的可以作为反弹服务器的服务器群2.向已锁定的反弹服务器群发送大量的欺骗请求数据包(源地址为目标服务器)3.反弹服务器将向目标服务器发送回应数据报。结果，到达目标服务器的洪泛数据包致使目标服务器无法对外提供正常的服务

25.僵尸网络：

通过各种手段在大量计算机中植入特定的恶意程序，使控制者能够通过相对集中的若干计算
机直接向大量计算机发送指令的攻击网络

26.恶意代码：

是一种可造成目标系统信息泄露和资源滥用，破坏系统的完整性及可用性，违背目标系统安全策略的程序代码。

27.病毒的基本结构：

感染模块、触发模块、破坏模块、主控模块对应的机制潜伏机制、传染机制和表现机
制计算机病毒的几个属性：传染性、隐蔽性、潜伏性、多态性、破坏性计算机病毒按寄生方式：引导型病毒、文件型病毒、混合型病毒蠕虫病毒：是一种具有自我复制和传播能力、可独立自动运行的恶意程序。
蠕虫病毒爆发伴随拒绝服务攻击，不是其本意，原因是其扫描模块、扫描机制

28.蠕虫病毒与普通病毒的区别：

1.存在形式，病毒是寄生，蠕虫独立存在；2复制机制，病毒是插入到宿主程序（文件）中，蠕虫是自身的拷贝；3传染机制，病毒靠宿主程序运行，蠕虫依赖系统存在的漏洞；4攻击目标，病毒针对本地文件，蠕虫针对网络上的计算机；5触发感染，计算机使用者触发病毒感染，蠕虫程序自身进行传染；6影响重点，病毒影响文件系统，蠕虫影响网络性能、系统性能；7防治措施，病毒需要从宿主文件中摘除，蠕虫需要为系统打补丁。

29.特洛伊木马：

指系统中被植入的、人为设计的程序。木马的由控制端、服务端两部分组成。木马的核心技术：木马的植入（自动加载技术）、木马的隐藏（窗口的隐藏、通信的隐藏、木马文件的隐藏）
必出一道设计防火墙过滤规则的大题

30.包过滤防火墙优：

实现简单：在路由器上安装过滤模块实现；速度快：检查规则相对简单，耗时短，效率高，对用户性能影响小缺：安全性差：过滤判断条件受限，前后报文和检测无关，安全性差；可维护性差；应用层控制能力弱不能实现用户级控制
应用代理防火墙：优：安全性高，提供应用层的安全缺;性能差、伸缩性差、只支持有限的应用、不透明

31.防火墙：

指设置在不同网络或网络安全域之间的一种访问控制设备。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全策略，控制（允许、拒绝、监测、记录）出入网络的信息流，且本身具有较强的抗攻击能力。

32.胖防火墙优：

功能全，其次是控制力度细，协作能力强，降低采购和管理成本缺：性能降低、自身安全性差、专业性不强、稳定性差、配置复杂，带来的安全隐患多瘦防火墙优：性能高、专业性强、自身安全性更高、配置简单，功能专业缺点：功能单一、整体防护能力较弱、整体采购成本较高

33.数字证书的国际标准是ITUT X.509协议；

根据隧道的端点是用户计算机还是拨号接入服务器，隧道可以分为两种：自愿隧道、强制隧道；AH协议是51

34.入侵检测的来源：

内部人员外部个人和小组(所谓黑客)、特殊身份人员、内外勾结、竞争对手和恐怖组织、敌对国家和军事组织

35.入侵检测：

对入侵行为的发现，通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术

36.入侵检测系统：

使用入侵检测技术对网络与其上的系统进行监视，并根据监视结果进行不同的安全动作，最大限度地降低可能的入侵危害，是进行入侵检测的软件与硬件的组合。

37.误报：

检测系统在检测时把系统的正常行为判为入侵行为的错误被称为误报。检测系统在检测过程中出现误报的概率称为系统的误报率。漏报：检测系统在检测时把某些入侵行为判为正常行为的错误现象称为漏报。检测系统在检测过程中出现漏报的概率称为系统的漏报率。蜜罐：模拟脆弱性主机诱惑攻击者在其上浪费时间，延缓对真正目标的攻击。混杂模式：网卡的一种接收模式；在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。

38.IDS的基本结构：

事件产生器、事件分析器、响应单元、事件数据库。
事件产生器的目的是从整个所保护的环境中获得事件，并向系统的其他部分提供此事件。收集内容：系统、网络数据及用户活动的状态和行为。可以是网络的数据包，也可以是从系统日志等其他途径搜集到的信息。因此，入侵检测很大程度上依赖于收集信息的可靠性和正确性。事件分析器对事件进行分析，判断是否为入侵行为或异常现象，最后将判断的结果转变为告警信息。事件分析器的功能主要分为两个方面：一是用于分析事件产生器搜集到的数据，区分数据的正确性，发现非法的或者具有潜在危险的、异常的数据现象，通知响应单元做出入侵防范；一是对数据库保存的数据做定期的统计分析，发现某段时期内的异常表现，进而对该时期内的异常数据进行详细分析。响应单元：根据分析结果做出反应，是IDS中的主动武器。可做出：强烈反应：切断连接、改变文件属性等；简单的报警；和其它安全设备进行联动，如和防火墙实现联动，作出切断连接。事件数据库存放各种中间和最终数据的地方。从事件产生器或事件分析器接收数据，一般会将数据进行较长时间的保存。

39.基于主机的入侵检测系统优点：

能够确定攻击是否成功，非常适合于加密和交换环境，不需要额外的硬件，可监视特定的系统行为，对网络流量不敏感不足：额外产生的安全问题、不具有平台无关性，可移植性差、实时性较差、依赖性强，检测效果取决于日志系统、占用主机资源，影响主机性能、如果主机数目多，维护和管理代价大、隐蔽性较差，对入侵者不透明、无法确定基于网络的攻击行为基于网络的入侵检测系统优点独立性和操作系统平台无关性、不影响主机的性能、对攻击者而言，是透明的、检测范围广，监测主机数量大时相对成本低、实时检测和响应、安装方便、基于网络的入侵检测系统缺点对应用层数据处理能力不足，难以发现应用层攻击行为、难以处理加密的会话、对交换网络支持不足、性能受计算机硬件条件限制、很难检测复杂的需要大量计算的攻击、容易受拒绝服务攻击影响、协同工作能力弱

40.入侵检测按照分析方法分类：

异常检测：建立系统正常模型不方便、可以检测到未知攻击、误报率高、漏报率低误用检测：更好的确定能力、开发特征库更方便、只能检测已知攻击、误报率低、漏报率高

41.入侵检测系统的三个指标

有效性：指入侵检测系统针对各种攻击行为的检测处理能力和判断的可信性；可用性：指入侵检测系统对数据的处理能力；安全性：指入侵检测系统本身的抗攻击能力

42.VPN定义：

是企业网在因特网等公共网络上的延伸，指将物理上分布在不同地点的网络通过公用网络连接成逻辑上的虚拟子网，并采用认证、访问控制、保密性、数据完整性等技术，使得数据通过安全的“加密隧道”在公用网络中进行传输。

43.VPN三种类型，考试很灵活。

Access VPN：移动VPN，适用于企业内部人员流动频繁或远程办公情况。Intranet VPN：通过异地两个网络的VPN网关建立一个加密的VPN隧道。Extranet VPN：也是一种网关对网关VPN。

44.IPSec，三个协议：

封装协议AH、ESP，密钥交换协议IKE；数字签名，公式C=En(Ke，H(Km，M）) → T=Dn(Kd，C)，h=H(Km，M），如果h=T，则报文未被改变且确实来自签名者；重放攻击定义：攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程。用序列号来抗重放攻击

45.衡量对称加密算法优劣的尺度一是其密钥的长度。

密钥位数越长，密钥的可能性越多，在找到正确密钥之前必须测试的密钥数量就越多，从而破解这种算法就越困难；另一个指标是看算法是否经得住算法分析的考验，如差分密码分析、线性密码分析等，有的算法的密钥长度虽然很长，但算法有缺陷，可绕过密钥进行破解优点：运算量小、速度快，适合于加密大量数据缺：密钥的管理比较复杂

46.CA定义：

是数字证书认证中心的简称，是指发放、管理、废除数字证书的机构作用：检查证书持有者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理CA是PKI的核心

47.隧道技术利用一种网络协议来传输另一种网络协议的技术隧道的协议有两种：

第二层隧道协议是在数据链路层进行的，先把各种网络协议封装到PPP包中，再把整个数据包装入隧道协议中，这种经过两层封装的数据包由第二层协议进行传输。第二层隧道协议有以下几种:L2F、PPTP、L2TP。Access vpn第三层隧道协议是在网络层进行的，把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议主要是:IP Sec (IP Security)，是目前最常用的VPN解决方案。
密钥管理技术IKE过程：第一阶段进行身份认证和ISAKMP的安全联盟的协商；即IKE SA的协商并完成身份认证和保护；第二阶段则利用第一阶段协商的安全联盟来保护信息，并为IPSec等安全协议进行安全联盟的协商；即IPSec SA的协商

48.第三层隧道协议—— IPSEC的五个功能：

作为一个隧道协议实现VPN通信、保证数据机密性、保证数据完整性：IPSec通过验证算法功能保证数据从发送方到接收方的传送过程中的任何数据篡改和丢失都可以被检测。保证数据来源可靠：在IPSec通信之前双方要先用IKE认证对方身份并协商密钥，只有IKE协商成功之后才能通信。由于第三方不可能知道验证和加密的算法以及相关密钥，因此无法冒充发送方，即使冒充，也会被接收方检测出来。重放攻击保护。

49.传输模式要保护的内容是IP包的载荷，可能是TCP/UDP等传输层协议，也可能是ICMP协议，还可能是AH或者ESP协议(在嵌套的情况下）隧道模式保护的内容是整个原始IP包。NAT与AH冲突的原因：经过NAT会改变源、目的地址，因此，AH在传输模式下和NAT是冲突的