网络安全期末整理

什么网络安全

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改或泄露，系统连续、可靠、正常地运行，网络服务不中断。

网络安全的特征

保密性

完整性

可用性

可控性

面对威胁网络安全的安全措施

用备份和镜像技术提高数据完整性

防止病毒

安装补丁程序

提高物理安全

构筑因特网防火墙

仔细阅读日志

加密

提防虚假的安全

主要部分P2DR模型包括四个主要部分：

Policy(安全策略)、Protection(防护)、Detection(检测)和 Response(响应)。

什么是访问控制，分哪两种

访问控制技术，指防止对任何资源进行未授权的访问，从而使计算机系统在合法的范围内使用

系统访问控制

选择性访问控制

数据库的特性

多用户

高可靠性

频繁的更新

文件大

数据库安全系统特性

1.数据独立性（物理独立性和逻辑独立性）

2.数据安全性

3.数据的完整性（正确性和有效性和一致性）

4.并发控制

5.故障恢复

数据库的安全性怎么保护

1.将数据库中需要保护的部分与其他部分隔离

2.使用授权规则。数据库给用户ID号、口令和权限，当用户使用此id号和口令登录后，就会获得相应的权限，不同的用户会获得不同的权限。

3.将数据加密，以密码的形式存于数据库内。

制定备份的策略

备份周期是按日还是按什么

是冷备份还是热备份

是增量式备份还是全部备份还是两者并用

用什么介质备份

备份介质是否防火防磁防盗

什么是计算机病毒

计算机病毒(Computer Virus)是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

计算机病毒有什么类型

引导扇区病毒

文件型病毒

混合型病毒

计算机病毒的特点

1 可以编写人为破坏

2 自我复制能力

3 夺取系统控制权

4 隐蔽性

5 潜伏性

6 不可预见性

木马的工作原理

1.客户端/服务器端之间采用TCP/UDP的通信方式，攻击者控制的是相应的客户端程序，服务器端程序是木马程序，木马程序被植入到毫不知情的用户的计算机中。

2.以“里应外合”的工作方式工作，服务程序通过打开特定的端口并进行监听，这些端口就如“后门”一样，攻击者所掌握的客户端程序向该端口发出请求，木马便与其连接起来。攻击者可以使用控制器进入计算机，通过客户端程序命令达到控制服务器端的目的。

蠕虫病毒的特点

1 较强的独立性

2 利用漏洞主动攻击

3 传播更快更广

4 更好的伪装和隐藏方式

5 技术更加先进

蠕虫病毒和传统病毒的区别

1普通病毒需要传播受感染的驻留文件来进行复制，而蠕虫不使用驻留文件即可在系统之间进行自我复制。

2普通病毒的传染目标主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机。

传统病毒包括哪几个模块

计算机病毒程序通常由三个单元和一个标志构成:引导模块、感染模块、破坏表现模块和感染标志
,

病毒的预防

当出现病毒传染迹象时候，应立即隔离被感染的系统和网路并且进行处理。

不应让系统带病毒继续工作下去，要按照特别情况查清整个网络，使病毒无法反复出现来干扰工作。

计算机病毒的清除（没写）

对称加密的和非对称加密的原理，各自特点

1.对称加密
对称加密指的就是加密和解密使用同一个秘钥，对称加密只有一个秘钥，作为私钥。
常见的对称加密算法：DES，AES，3DES等等。

优点

• 算法简单，加解密容易，效率高，执行快。

缺点

• 相对来说不安全，只有一把钥匙，密文如果被拦截，且密钥被劫持，那么信息很容易被破译

2.非对称加密
非对称加密指的是：加密和解密使用不同的秘钥，一把作为公开的公钥，另一把作为私钥。公钥加密的信息，只有私钥才能解密。私钥加密的信息，只有公钥才能解密。
常见的非对称加密算法：RSA，ECC

特点

优点

• 安全，即使密文和公钥被拦截，但是由于无法获取到私钥，也就无法破译到密文。

缺点

• 加密算法复杂，安全性依赖算法和密钥， 且加密和解密效率很低。

RSA算法的特点

优点：
1.密钥分发简单。由于加密密钥和解密密钥不同，并且不能由加密密钥推出解密密钥，从而使得加密密钥表可以像电话号码本一样由主管部门发送给各个用户。
2.需要秘密保存的密钥量减少。
3.可以满足互不认识的人之间的私人通信的保密性要求。
4.可以完成数字签名和认证。
缺点
1.产生密钥很麻烦。受到素数产生技术的影响，很难做到一次一密。
2.速度慢。

数字签名的作用

数字签名是维护数据信息安全的重要方法之一，可以解决伪造、抵赖、冒充和篡改等问题，数字签名的作用主要体现在以下几个方面：

1.数字签名可以实现防重放攻击。

重放攻击（Replay Attacks），是计算机世界黑客常用的攻击方式，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。这种攻击会不断恶意或欺诈性地重复一个有效的数据传输。攻击者利用网络监听或者其他方式盗取认证凭据，之后再把它重新发给认证服务器。在数字签名中，如果采用了对签名报文加盖时戳等或添加流水号等技术，就可以有效防止重放攻击。

2.数字签名可以防止数据被伪造。

其他人不能伪造对消息的签名，因为私有密钥只有签名者自己知道，所以其他人不可以构造出正确的签名结果数据。

3.数字签名可以防止数据被篡改。

数字签名与原始文件或摘要一起发送给接收者，一旦信息被篡改，接收者可通过计算摘要和验证签名来判断该文件无效，从而保证了文件的完整性。

4.数字签名可以防止数据抵赖。

数字签名即可以作为身份认证的依据，也可以作为签名者签名操作的证据。要防止接收者抵赖，可以在数字签名系统中要求接收者返回一个自己签名的表示收到的报文，给发送者或受信任第三方。如果接收者不返回任何消息，此次通信可终止或重新开始，签名方也没有任何损失，由此双方均不可抵赖。

5.数字签名可以对数据进行多重加密。

手写签字的文件一旦丢失，文件信息就极可能泄露，但数字签名可以加密要签名的消息，在网络传输中，可以将报文用接收方的公钥加密，以保证信息机密性。

6.数字签名可以实现客户的身份认证。

在数字签名中，客户的公钥是其身份的标志，当使用私钥签名时，如果接收方或验证方用其公钥进行验证并获通过，那么可以肯定，签名人就是拥有私钥的那个人，因为私钥只有签名人知道。

加密算法的计算

维吉尼亚加密

就是横着看是明文，密钥匙竖着看

对于一段明文：HELLO WORLD，[密钥]CSDN做一下操作；

找到密钥C对应的行序为2；

找到明文H对应的列序为7
就是csdncsdn这样一直跟HELLO WORLD匹配。

这样 H — j

E — w

凯撒密码

凯撒密码（又称[循环移位]

加密原理：

每个英文单词都用在其后面第 N 个单词代替。其中，N 就是密钥；字母 z 的后一位为 a，即 mod 26。例如：明文 acdry，N=2，则密文就是 cefta。

RSA算法

1. n=p*q
2. φ(n)=(p-1)*(q-1) 求φ(n)
3. e*d mod φ(n) =1 求e d其中之一
4. c=m^e mod n 加密
5. m=c^d mod n 解密

只要记住这五条信息即可

平时题目都会给出一个e和d 的若没有给出的话，则有个规则

取一个e e的取值范围为1< e<φ(n) 且e和φ(n)为互为质素，即最大公约数为1如 2和33

线性算

就是NM mod K=D

(NM -D )/K==0

求M

IPSec安全协议的原理

IPSec通过在IPSec对等体间建立一个安全互通的IPSec隧道，并通过定义IPSec保护的数据流将要保护的数据引入该IPSec隧道，然后对流经IPSec隧道的数据通过安全协议进行加密和验证，进而实现在Internet上安全传输指定的数据。

一些协议ESP协议和AH协议

封装安全载荷协议（ESP） 能够确保IP数据包的机密性、数据的完整性以及对数据源⾝份验证，同时也能够抗重 放。

认证头协议（AH） 能够提供数据完整性，数据源验证以及抗重放攻击（⽆法确保IP数据包的机密性）

安全套阶层

称作SSL(Secure Sockets Layer，SSL)，⼴泛应⽤于Web浏览器于服务器之间的⾝份认 证和加密数据传输。位于TCP/IP与各种应⽤层协议之间

网络加密技术 （链路加密 节点加密 端到端加密）（大概知道什么东西）

链路加密

链路加密是⽬前最常⽤的⼀种加密⽅法，通常⽤硬件在⽹络层以下的物理层和数据链路 层中实现，它⽤于保护通信节点间传输的数据。 异步通信加密 字节同步通信加密 位同步通信加密

节点加密 节点加密是在协议运输层上进⾏加密，是对源点和⽬标节点之间传输的数据进⾏加密保 护。它与链路加密类似，只是加密算法要组合在依附于节点的加密模件中。

端到端加密 ⽹络层以上的加密，通常称为端⼀端加密。端⼀端加密是⾯向⽹络⾼层主体进⾏的加密， 即在协议表⽰层上对传输的数据进⾏加密，⽽不对下层协议信息加密。

端⼀端加密具有链路加密和节点加密所不具有的优点：

（1）成本低。

（2）端⼀端加密⽐链路加密更安全。

（3）端⼀端加密可以由⽤户提供，因此对⽤户来说这种加密⽅式⽐较灵活。

什么是包过滤路由器

如果有⼀条规则不允许发送某个包，路由器将它丢弃 仅需要放置⼀个在重要位置的路由器就可以保护整个⽹络。

什么是堡垒主机

把处于防⽕墙关键部位、运⾏应⽤级⽹关软件的计算机系统称为堡垒主机。

体系结构（懂原理）

双重宿主主机体系结构

围绕具有双重宿主的主体计算机⽽构筑的。该计算机⾄少有两个⽹络接⼝，这样的主机可

以充当与这些接⼝相连的⽹络之间的路由器，并能够从⼀个⽹络到另⼀个⽹络发送IP数据

包。

主机过滤体系结构

在主机过滤体系结构中提供安全保护的主机仅仅与内部⽹相连。另外，主机过滤结构还有

⼀台单独的过滤路由器。在这种体系结构中，主要的安全由数据包过滤提供。

⼦⽹过滤体系结构

⼦⽹过滤体系结构添加了额外的安全层到主机过滤体系结构中，即通过添加参数⽹络，更

进⼀步地把内部⽹络与因特⽹隔离开。

⽹络攻击的类型及对策

网络攻击类型

拒绝服务型攻击

使⽬标主机⽆法再提供服务。

利⽤型攻击

已有⽬标主机的部分权限，使⽤这些权限来进⾏更⾼权限的提取。

信息收集型攻击

不对⽬标本⾝造成伤害，被⽤来为进⼀步⼊侵提供有⽤的信息，包括地址扫描、端⼝

扫描、反向映射、慢速扫描、体系结构探测、DNS域转换、Finger服务

虚假信息型攻击

⽤于攻击⽬标配置不正确的消息，主要包括DNS⾼速缓存污染和伪造电⼦邮件攻击。

黑客攻击的3个阶段

信息收集

系统安全弱点的探测

⽹络攻击

怎么检测网络监听

1.当系统运⾏⽹络监听软件时，系统因为负荷过重，因此对外界的响应很慢。

2.对于怀疑运⾏监听程序的机器，⽤正确的 IP地址和错误的物理地址去ping，运⾏监听程序的机器会有响应。这是因为正常的机器不接收错 误的物理地址，处于监听状态的机器能接收。

3.往⽹上发⼤量不存在的物理地址的包，由于监听程序将处理这些包， 将导致性能下降。通过⽐较前后该机器性能加以判断。这种⽅法难度 ⽐较⼤。

4.⼀个可⾏的检查监听程序的⽅法是搜索所有主机上运⾏的进程。 搜索监听程序。⼊侵者很可能使⽤的是⼀个免费软件，管理员就可以 检查⽬录，找出监听程序。

监听的防范措施

从逻辑或物理上对网络进行分段

以交换方式集线器代替共享式集线器

使用加密技术

划分VLAN

使用管理工具

无线网络的常见攻击

什么是IP电子欺骗

所谓IP电⼦欺骗，就是伪造某台主机的IP地址的技术。其实质就是让⼀台机 器来扮演另⼀台机器，以达到蒙混过关的⽬的。被伪造的主机往往具有某种 特权或者被另外的主机所信任。

IP欺骗的方式

当进⼊系统后，⿊客会绕过⼝令以及⾝份验证，来专门守候，直到有合法⽤ 户连接登录到远程站点。⼀旦合法⽤户完成其⾝份验证，⿊客就可控制该连 接。这样，远程站点的安全就被破坏了。

IP欺骗的特征

1. 只有少数平台能够被这种技术攻击，也就是说很多平台都不具有这⽅ ⾯缺陷。

2. 这种技术出现的可能性⽐较⼩，因为这种技术不好理解，也不好操 作，只有⼀些真正的⽹络⾼⼿才能做到这点。

3. 很容易防备这种攻击⽅法，如使⽤防⽕墙等。

⽹络备份系统的主要部件有哪些？

⽹络备份由以下4种基本部件组成。

⽬标。⽬标是指被备份或恢复的任何系统。

⼯具。⼯具是执⾏备份任务（如把数据从⽬标复制到磁带上）的系统。

设备。设备通常指将数据写到可移动介质上的存储设备，⼀般指磁带。

SCSI总线。

SCSI总线是指将设备和连⽹计算机连接在起的电缆和接头。在局域⽹络备份中，SCSI总线通常将设备和备份⼯具连接起来。

请简述数字签名与加密过程密钥对使⽤区别。

数字签名分为签名过程和验证过程，签名时使⽤发送⽅的私钥签名，接收⽅验证
时使⽤发送⽅的公钥验证。
加密过程刚好相反，加密时使⽤接收⽅的公钥，接收⽅解密时使⽤接收⽅的私
钥。
（数字签名使⽤的是发送⽅的密钥对，加密过程使⽤的是接收⽅的密钥对。）

请简述防⽕墙的局限性。

1. 不能防范恶意的知情者
   **防⽕墙可以禁⽌系统⽤户经过⽹络连接发送专有的信息，但⽤户可以将数据
   复制到磁盘、磁带上，放在公⽂包中带出去。**如果⼊侵者已经在防⽕墙内
   部，防⽕墙是⽆能为⼒的。内部⽤户偷窃数据，破坏硬件和软件，并且巧妙
   地修改程序⽽可以不⽤接近防⽕墙。对于来⾃知情者的威胁，只能要求加强
   内部管理，如主机安全防范和⽤户教育等。
2. 防⽕墙不能防范不通过它的连接
   **防⽕墙能够有效地防⽌通过它进⾏传输信息，然⽽不能防⽌不通过它⽽传输
   的信息。**例如，如果站点允许对防⽕墙后⾯的内部系统进⾏拨号访问，那么
   防⽕墙绝对没有办法阻⽌⼊侵者进⾏拨号⼊侵。
3. 防⽕墙不能防备全部的威胁
   防⽕墙被⽤来防备已知的威胁，不能防范未知威胁。
4. 防⽕墙不能防范病毒
   防⽕墙不能消除⽹络上的PC的病毒。

⿊客是如何攻击⼀个⽹站的

1、⿊客要收集进⼊所要攻击的⽬标⽹络的数据库
2、在收集到攻击⽬标的⼀批⽹络信息之后，⿊客会探测⽹络上的每台主机，以寻求
该系统的漏洞或安全弱点。
3、对⽬标系统实⾏攻击

黑客五部曲

隐藏ip

扫描漏洞

获得权限

种植后门

隐身退出