计算机三级信息安全技术——网络安全必考知识点

1． IKE协议
IKE属于一种混合型协议。
它包括：ISAKMP（Internet安全关联和密钥管理协议）、OAKLEY（密钥交换协议）、SKEME（密钥交换协议）。
*. ISAKMP协议规定了密钥交换要经过两个阶段：
⑴.第一阶段
双方协商SA，建立一个经过身份鉴别和加密保护的安全通道。
这一阶段交换IKE SA，主要通过两种模式实现。
⑵.第二阶段
建立针对其他具体协议的SA交换。
该阶段利用第一阶段建立的SA来创建其他协议的SA。
*.利用Wireshark对IPSec协议协商的前10个数据包进行网络嗅探，补货的数据包为
ISAKMP协议数据包。
因为IKE是建立在ISAKMP框架上的，所以也使用两阶段协商安全参数。
一个完整的IPSec隧道建立时，通过IKE协议交换密钥。

2． PKI系统
一个典型的PKI系统包括的组件：
（1）． 安全策略
（2）． 证书认证机构（CA）
（3）． 证书注册机构（RA）
（4）． 证书分发机构（CDS）
（5）． 基于PKI的应用接口
PKI信任模式：
（1）． 网状信任模型
（2）． 层次信任模型
（3）． 桥证书认证机构信任模型
*.信任模型是指建立信任关系和验证证书时寻找和遍历信任路径的模型。信任模型的类型有：
⑴.单机CA信任模型
⑵.严格层次结构模型
⑶.分布式（网状）信任模型结构
⑷.Web模型
⑸.桥CA信任模型 *. 该模型支持多种不同类型的CA系统相互传递信任关系。
⑹.用户为中心的信任模型

3． TCP协议
TCP协议这是一种状态检测防火墙技术能够对其动态连接状态进行有效检测和防护的
协议。
TCP端口号范围：0~65535。

4． 访问控制
访问控制是防范计算机系统和资源被未授权访问，采取的第一道防线。

5． 被攻击者用来进行DoS（Denial of Service）攻击（拒绝服务攻击）：
（1）． ICMP——错误处理和传递信息
（2）． UDP
（3）． TCP
DoS攻击的目的是使计算机或网络无法提供正常的服务。

6． IPSec（第三层隧道协议）
一个完整的IPSec隧道建立时，通过IKE协议交换密钥。
IPSec支持IPv4和IPv6协议。
IPSec协议包括：AH、ESP、IKE。（AH和ESP为网络安全协议；IKE为密钥协商协议）

7． SQL攻击
SQL注入攻击主要是通过构建特殊的输入，这些输入往往是SQL语法中的一些组合。
在SQL注入攻击中，，入侵者通常将未授权的数据库语句插入或注入有漏洞的SQL数
据信道中。
未限制输入的字符数，未对输入数据做潜在指令的检查，都将增加SQL注入的风险。
为避免SQL注入，在设计应用程序时，要完全使用参数化查询来设计数据访问功能。
SQL注入攻击可能会破坏硬盘数据，导致系统瘫痪。

8． 网站挂马的主要技术手段：
（1）． 框架挂马
（2）． js脚本挂马
（3）． body挂马
*.下载是木马的传播途径。

9． P2DR模型
该模型是美国ISS公司提出的动态网络安全体系的代表模型。
P2DR的四个组成部分：
（1）． 策略（核心）
（2）． 防护
（3）． 检测
（4）． 响应

10． 防火墙
为了防止网络攻击者对目标主机网络的扫描，可以通过拦截源主机的扫描数据包来实现
有效的防范。实现的方法为在目标主机和网络的外围边界部署防火墙。
防火墙能对扫描行为进行有效拦截。
防火墙不能防范内网之间的恶意攻击，不能防范病毒和内部驱动的木马，不能防备针对防火墙开放端口的攻击。
防火墙的功能：
（1）． 在网络边界进行数据过滤。
（2）． 对网络传输和访问的数据进行旁路检测。
（3）． 防范内外网之间的异常网络攻击。
防火墙的实现技术：
（1）． 包过滤技术
（2）． 状态检测技术
（3）． NAT技术
（4）． 应用级网关技术。

11． 木马反弹端口技术
木马反弹端口技术这是一种常见的网络攻击手段主要用于绕过防火墙或入侵检测系统
（IDS）的限制。
反弹端口技术中，由木马服务端程序主动连接木马客户端程序。
反弹端口技术中，木马客户端的IP地址必须是公网IP地址。
反弹端口技术中，木马的服务端程序可穿透所在内网的包过滤防火墙。

12． ESP（封装式安全措施负载）协议
ESP协议主要是设计在IPv4和IPv6中提供安全服务的混合应用。
ESP不仅为IP负载提供身份验证、完整性和抗重播保护，还提供机密性。
ESP协议在传输模式下可以进行加密的数据包：
（1）． 源端口和目标端口
（2）． 应用层协议数据
（3）． ESP报尾
ESP协议可以进行封装的是：
（1）． 应用层协议
（2）． 传输层协议
（3）． 网络层协议
ESP协议包括：
（1）． 安全加密
（2）． 身份认证
（3）． 数据完整性鉴别

13． 逆向地址转换协议（RARP）
逆向地址转换协议（RARP）是一种网络协议。
该协议的功能与ARP协议相似，只不过RARP协议是用于MAC地址（物理地址）向IP地址转换。
*.通过MAC地址获取对应IP地址的协议是RARP。

14． ICMP协议
ICMP协议该协议是一种面向无连接的协议，用于传输出错报告控制信息。
利用ICMP协议进行扫描时，可以扫描目标主机信息的是IP地址。
ICMP协议是TCP/IP协议族的一个子协议，属于网络层协议，主要用于在主机与路由
器之间传递控制信息，包括报告错误、交换受限控制和状态信息等。
当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时，会自动发送ICPM消息。
*.Ping命令利用ICMP协议。

15． 端口扫描软件
目前的扫描工具有很多种，如Nmap、SuperScan、Netcat、X-port、Netscan tools
等。*.Nmap只能用于端口扫描。
Nessus是功能全面的漏洞扫描工具，它集成了Nmap端口扫描工具，可以扫描网络端口。

16． TCP全连接扫描的是TCP三次握手扫描。
TCP SYN扫描被称为半连接扫描的端口扫描技术。
TCP FIN扫描被称为秘密扫描的端口扫描技术。（隐藏性最高）

17． 应用层协议：HTTP、DNS、SSH。
网络层协议：RIP、OSPF、ICMP协议。
*.网络层是TCP/IP体系结构中最重要的一层，包括用于路由选择的RIP、OSPF
等路由协议，用于数据传输的IP协议，用于网络管理的SNMP协议，以及用户故
障诊断的ICMP协议。

18． 传输层：
能提供源主机应用程序和目标主机应用程序之间数据端到端传输服务的TCP/IP
层次。
应用层：
能面向用户提供管理和网络服务的高层服务协议的TCP/IP层次。

19． OSI/RM参考模型定义的七个层次，从下到上依次是：
（1）． 物理层
（2）． 数据链路层
（3）． 网络层
（4）． 传输层（Port Connection Flood、SYN-Flood、ACK-Flood）
（5）． 会话层
（6）． 表示层
（7）． 应用层

20． Port Connection Flood
Port Connection Flood利用TCP全连接发起DDoS攻击。
*.TCP层协议的DDoS攻击：
（1）． ACK-Flood
（2）． Land攻击——将攻击数据包的源地址和目的地址都设置橙目标主机的
IP地址
（3）． SYN-Flood（TCP协议层攻击。）
*.IP层协议的DDoS攻击：
（1）． ICMP-Smurf攻击
（2）． ICMP攻击
（3）． IGMP攻击

21． 跨站点请求伪造攻击（CSRF）
CSRF属于伪造客户端请求的一种攻击方式。
CSRF攻击是让用户访问攻击者构造的网页，执行网页中的恶意脚本，伪造用户的
请求，对用户有登录权限的网站空间实施攻击。

22． 为了有效防范通过非法Webshell对正常的网站服务器的控制，需要考虑从下面
的几方面进行防范：
（1）． 部署专用的Web防火墙，实现对Web攻击的有效防护。
（2）． 遵循Web安全编程规范，编写安全的网站页面，防止攻击者利用注人、
跨站脚本等网站漏洞对网站的人侵。
（3）． 进行安全的Web权限配置和管理。包括：严格限制甚至关闭服务器FSO
权限；严格限制文件上传权限，尤其是限制可执行脚本文件的上传和运行；将Web应用文件和系统上传文件分开，保持独立的Web应用空间。

23． 采用rootkit技术的木马属于第五代木马。

24． 诱骗式攻击：
（1）． 网站挂马——攻击者通过技术手段将恶意代码植入到网站中，当用户访问
该网站时，恶意代码会自动下载并执行，从而感染用户的设备。
（2）． 网站钓鱼——攻击者通过伪造合法的网站或电子邮件，诱骗用户输入敏感
信息。
（3）． 社会工程——通过心理操纵和人际互动技巧获取敏感信息或访问权限的
攻击手段。

25． ARP欺骗——黑客常用的攻击手段之一
分类：ARP
（1）． 对路由器ARP表的欺骗。
其原理是——截获网关数据。
（2）． 对内网PC的网关欺骗。
其原理是——伪造网关。
ARP进行防范和检测作用的方法：
（1）． ＩＤＳ
（2）． ＩＰ和ＭＡＣ双向静态绑定
（3）． ＡＲＰ防火墙

26． 流行的捆绑技术和方式主要有：
（1）． 多文件捆绑
（2）． 资源融合捆绑
（3）． 漏洞利用捆绑

27． IPS（入侵防御系统）可以检测拦截而硬件包过滤防火墙不能检测拦截的是：应用层。
*.IDS（入侵检测系统）只能对网络行为进行检测。
*.入侵防御系统具备的功能：
（1）． 拦截恶意流量。
（2）． 实现对传输内容的深度检测和安全防护。
（3）． 对网络流量监测的同时进行过滤。

28． 为了捕获网络接口收到的所有数据帧，网络嗅探工具会将网络接口设置为：混杂模
式。
*.数据帧：计算机网络中用于传输数据的基本单位。

29． IP地址公有5种类型，分别是A类、B类、C类、D类和E类。
其中B类IP地址的前两位为1、0，它的网络号长度有14位，有214个B类网络。

30． 可进行网络漏洞扫描的是：Nessus、X-Scan、SSS、绿盟机关漏洞扫买哦器等。
可进行主机漏洞扫描的是：NeSSUS、360安全卫士等。

31． TCP数据包头部的RST标志位表示：出现差错，必须释放TCP连接，重新建立
连接。

32． 证书验证需要确认的信息：
（1）． 有效性
（2）． 可用性
（3）． 真实性

33． 防范网络嗅探协议：ESP、SSL、SSH。

34． 防范网络嗅探工具对数据包嗅探的技术：VPN、SSL、SSH。

35． SMTP协议
将电子邮件发送到邮件服务器的简单邮件传输协议。

36． 用户认证的请求通过加密信道进行传输：HTTPS。

37． 针对80端口传输的数据，专用的Web防火墙比普通的网络防火墙增加了对应用层的过滤。

38． 木马功能：
（1）． 信息窃取
（2）． 隐藏运行
（3）． 远程控制

39． 防火墙
防火墙根据组成形式不同分为：软件防火墙、硬件防火墙。
硬件防火墙以网络硬件设备形式出现。
根据硬件平台的不同分为：
（1）． X86架构的防火墙
（2）． ASIC架构的防火墙
（3）． NP架构的防火墙

40． 操作系统平台中软件漏洞：
（1）． 文件处理软件漏洞
（2）． 浏览器软件漏洞
（3）． 操作系统服务程序漏洞

41． 弱口令扫描技术
弱口令扫描主要包括：基于字典攻击的扫描技术、基于穷举攻击的扫描技术。

42． 网络端口所对应的网络服务
21端——FTP;
23端——TELNET；
25端——SMTP；
80端——HTTP；（webshell在被控制服务器上传递远程控制数据的端口）
110端——POP3
*.TCP协议和UDP协议的端口号在0~65535之间，其中1024一下的端口保留
给常用的网络服务。

43． 在探测器无法直接连接控制台的情况下，常用的IDS控制台与探测器管理模式是主动控制台模式。
若探测器和控制台在同一个子网，中间没有限制访问，则很多NIDS默认采用被动
控制台模式。

44． AH协议
AH协议用以保证数据包的完整性和真实性，防止黑客阶段数据包或向网络中插入
伪造的数据包。
考虑到计算效率，AH没有采用数字签名而是采用了安全哈希算法来对数据包进行
保护。
AH提供：
（1）． 数据完整性检验功能
（2）． 数据源身份检验功能
（3）． 传输模式的封装功能

45． A类IP地址范围：0.0.0.0~127.255.255.255;
B类IP地址范围：128.0.0.0~191.255.255.255;
C类IP地址范围：192.0.0.0~223.255.255.255;
D类IP地址范围：224.0.0.0~239.255.255.25
*.私有IP地址范围：
A：10.0.0.0~10.255.255.255——10.0.0.0/8;
B：172.16.0.0~172.31.255.255——172.16.0.0、12;
C：192.168.0.0~192.168.255.255——192.168.0.0/16;

46． SSL协议
该协议为应用层提供了加密、身份认证和完整性验证的保护。

47． Windows7操作系统中，配置IPSec时支持的身份验证方法：
（1）． Kerberos协议（分布式网络环境的一种认证协议，没有采用公钥密码体制和数字证书）
（2）． 数字证书
（3）． 预共享密钥

48． 木马隐藏技术：
（1）． 线程插入
（2）． DLL劫持
（3）． Rootkit技术（属于内核隐藏技术）

49． 防火墙DMZ区域
DMZ区域的计算机不能访问内网的计算机。DMZ区域的计算机可以访问外网的
计算机。内网的计算机能访问DMZ区域的计算机。

50． 木马作为一种恶意程序，它的特点：
（1）． 伪装性
（2）． 隐藏性
（3）． 窃密性
（4）． 破坏性

51． 盲攻击
无法获得目标主机的初试序列号。
攻击者和目标主机不在同一个网络。
盲攻击相对非盲攻击难度较大。

52． 拒绝服务攻击是指攻击者向目标计算机发出数量众多的攻击数据包，消耗目标
计算机大量的网络带宽和计算机资源，使得计算机没有剩余带宽和资源给正常用户的服务请求提供响应的一种攻击方式。
利用TCP协议的DoS攻击可分成两类：
（1）． 一类是利用TCP协议本身的缺陷实施的攻击，包括SYN-Flood和ACK-Flood攻击。
（2）． 另一类是利用TCP全连接发起的攻击，即Port Connection Flood。
*.Script Flood是最常见的应用层DoS攻击。

53． 能隐藏端口扫描行为：乱序扫描、慢速扫描。

54． 防火墙的功能主要体现在以下几个方面：
（1）． 防火墙在内外网之间进行数据过滤。
（2）． 对网络传输和访问的数据进行记录和审计。
（3）． 防范内外网之间的异常网络攻击。
（4）． 通过配置NAT提高网络地址转换功能。

55． IPv4中的TCP/IP协议栈安全缺陷：
（1）． 没有为通信双方提供良好的数据源认证机制。
（2）． 没有为数据提供较强的完整性保护机制。
（3）． 没有提供对传输数据的加密保护机制。

56． “震荡波”病毒进行扩散和传播所利用的漏洞是操作系统服务程序漏洞。

57． PKI系统中OCSP服务器的功能：为用户提供证书在线状态查询。

58． 根据数据采集方式的不同，IDS（入侵检测系统）可分为：NIDS（网络的乳清检测系统）和HIDS（基于主机的入侵检测系统）。
根据IDS检测入侵行为的方式和原理不同，可分为：基于异常检测和基于误用检
测。
*.误用检测技术包括：
（1）． 状态转换分析
（2）． 模型推理
（3）． 专家系统
（4）． 条件概率
（5）． 键盘监控

59． 在SYN-Flood和ACK-Flood攻击中，数据使用的都是：伪造的源IP。

60． 对外公开发布用户证书的服务器是CDS服务器。

61． S/MIME可为电子邮件提供数字签名和数据加密功能。

62． 误用检测（特征检测）技术：状态转换分析、模型推理、专家系统、太偶见概率、键盘监控。

63． 注入攻击的防范措施包括以下措施：
⑴.使用预编译语句。
⑵.使用存储过程来验证用户的输入。
⑶.在数据类型、长度、格式和范围等方面对用户输入进行过滤。
⑷.使用数据库自带的安全参数。
⑸.按照最小权限原则设置数据库的连接权限。

64． 最早突破软件防火墙的木马是第四代木马。

65． 提供票据需克服去的Kerberos服务器的是TGS。

66． Kerberos V5协议有三方参与者，包括：Server、Kerberos服务器、Client。

67． Kerberos服务器提供身份鉴别服务的是AS。

68． SSL协议建立在TCP协议之上，HTTP协议建立应用层协议之下。

69． 在计算机网络中， NIDS的探测器要连接的设备是交换机。

70． SSL协议中记录协议的作用：完成传输格式的定义。

71． 屏蔽子网体系结构是由两个包过滤路由器和一个堡垒主机构成的防火墙体系结构。

72． Internet上提供的一种查找相关域名、IP地址、E-mail信箱、联系电话等信息服务的是whois。

73． 依据映射方式不同，NAT分为：端口地址转换PAT、NAT池、静态NAT。

74． PKI的核心：数字证书。

75． 综合漏洞扫描：IP地址扫描（Nmap、Superscan、Ping）、网络端口扫描、漏洞扫描。

76． IP和MAC做静态绑定的命令是ARP-s。

77． 和包过滤防火墙比，状态检测防火钱的优点包括：
（1）． 可以在连接终止后即使阻断后续连接，防止伪造流量通过。
（2）． 动态记录连接的各个状态。
（3）． 不用为了大量的正常访问请求而长久的开放大量的端口。

78． UDP Flood攻击
该攻击耗尽目标主机网络带宽的攻击。
79． TCP标志
ACK标志位说明确认序号字段有效。
FIN标志位用于释放TCP连接。
SYN标志位说明建立一个同步连接。

80． 静态包过滤防火墙技术对数据包进行过滤的协议层为：网络层和传输层。

81． 针对ＸＳＳ的防范措施：
（1）． 进行输出检查
（2）． 进行输入检查
（3）． 给关键Ｃｏｏｉｋｅ设置Ｈｔｔｐｏｎｌｙ标识。

82． 防火墙包过滤技术能过滤：
（1）． ＴＣＰ或ＵＤＰ包的目的端口、源端口。
（2）． ＩＣＭＰ消息类型。
（3）． 数据包流向：ｉｎ或ｏｕｔ。

83． 验证所收到的消息确实来自真正的发送法并且未被篡改的过程是消息认证。

84． DoS攻击的实现方式：
（1）． 利用目标主机自身存在的拒绝服务型漏洞进行DoS攻击。
（2）． 通过耗尽目标主机CPU和内存等计算机资源，实施DoS攻击。
（3）． 通过耗尽目标主机的网络带宽，实施DoS攻击。

85． 攻击者利用栈溢发起攻击是，向存在漏洞的软件程序输入的数据包括：
（1）． NOP填充字段
（2）． 随即填充数据
（3）． Shellcode

86． SEHOP
SEHOP是微软针对SHE攻击提出的一种安全防护方案。
SEHOP通过对程序中使用的SHE结构进行安全检测，判断应用程序是否遭受
SHE攻击
SEHOP的核心是检测程序栈中的所有SHE结构链表的完整性。

87． 内存地址对象破坏性调用漏洞属于UAF（Use-After-Free）。