计算机网络安全复习重点

网络安全目标 理解分辨

• 可用性：是网络信息可被授权实体访问并按需求使用的特性。
• 可靠性：是指网络信息系统能够在规定条件和规定时间内，实现规定功能的特性。
• 机密性：是网络信息不被泄露给非授权用户和实体，或供其利用的特性。
• 完整性：是网络信息未经授权不能进行改变的特性。
• 不可抵赖性：也称可审查性，是指通信双方在通信过程中，对自己所发送或接受的信息不可抵赖。
• 可控性：是对网络信息的内容及其传播具有控制能力的特性。

IIS作用

IIS是网页服务组件，用来搭载网站运行程序的平台。

扫描工具nmap

nmap是开放源码的网络探测和安全扫描工具。

功能：可以查找网络上有哪些主机，它们提供什么服务（端口），运行什么操作系统，过滤防火墙使用哪些类型的数据包等。

数据备份策略（要求：可以区分）

1. 完全备份是指按备份周期对整个系统的所有文件（数据）进行备份。
2. 增量备份是指每次备份的数据只是相当于上一次备份后增加和修改过的内容，即备份的都是已更新过的数据。
3. 差别备份是在完全备份后将新增加或修改过的数据进行备份，但它与增量备份的区别是每次备份都把上次完全备份后更新过的数据进行备份。

传统密码技术（都是对称密码机制）

1. 替代密码
   1. 单表替代密码
   2. 多表替代密码
2. 移位密码
3. 一次一密钥密码

RSA算法（步骤）

数字签名（图+过程）

图：

过程：

1. 发送方利用单项散列函数从报文文本中生成一个128位的散列值（信息摘要）；
2. 发送方用自己的私钥对这个散列值进行加密来形成发送方的数字签名；
3. 该数字签名将作为报文的附件和报文一起被发送给接收方；
4. 接收方从收到的原始报文中计算出128位的散列值（信息摘要）；
5. 接收方用发送方的公开密钥对报文附加的数字签名进行解密得到原散列值。如果这两个散列值相同，则接收方就能确认该数字签名是发送方的。

SSL协议及应用（是什么和原理）

1. SSL协议是一种在客户端和服务器之间建立安全通道的协议。
2. 主要提供用户和服务器的合法性认证、数据加密解密和数据的完整性功能。
3. SSL协议采用公开密钥技术，其目的是保证发收两端通信的保密性和可靠性。

SSH协议及应用（是什么）

1. SSH协议是有IFTF网络工作组制定、建立在应用层和传输层基础上的安全协议。
2. 具有易于使用、安全性和灵活性好等优点，是一种在不安全网络上提供安全远程登录及其他安全网络服务的协议。
3. 通过使用SSH协议，用户可以对所有传输的数据进行加密，这样可以防止“中间人”方式的攻击，同时也能防止DNS欺骗和IP欺骗。

Telnet概念、和SSH之间的区别

概念：Telnet协议是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。

区别：SSH比Telnet更加的安全，但效率比Telnet低。

Kerberos协议及应用（是干什么的）

​ Kerberos是一种提供网络认证服务的系统。

防火墙（概念 安装位置）

概念：防火墙是隔离在本地网络与外界网络之间执行访问控制策略的一道防御系统，是一组由软、硬件设备构成的安全设施。可防止发生不可预测的、外界对内部网资源的非法访问或潜在的破坏性入侵。

包过滤技术

• 基本的思想
  在网络层对数据包进行选择对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包，通常在路由器上实现，实际上是一种网络的访问控制机制。
• 优点：
  实现简单
  对用户透明
  一个包过滤路由器即可保护整个网络
• 缺点：
  正确制定规则并不容易
  不可能引入认证机制
  包过滤防火墙只通过简单的规则控制数据流的进出，没考虑高层的上下文信息

计算机病毒的特征（理解）

特征：

1. 繁殖性
2. 传染性
3. 破坏性
4. 隐蔽性和潜伏性
5. 可触发性
6. 衍生性
7. 不可预见性

蠕虫病毒及其防范

传播方式：网络

木马的预防措施和工作流程

预防措施：

1. 不随便打开来历不的邮件，阻塞可疑邮件
2. 不随便下载来历不明的软件
3. 及时修补漏洞和关闭可疑的端口
4. 尽量少用共享文件夹
5. 运行实时监控程序
6. 经常升级系统和更新病毒库
7. 限制使用不必要的具有传输能力的文件

工作流程：

1. 通过下载文件、安装软件等途径入侵电脑。

2. 修改系统文件并后台运行。

3. 远程木马病毒IP上线

4. 远程主控端连接上线，然后就可以后台远程控制、监控中毒的电脑和达到下载上传文件等目的了。

什么是后门：

​ 后门是攻击者在入侵了计算机以后为了以后能方便的进入该计算机而进行的系统设置或安装的一类软件，一般是指那些绕过安全性控制而获取对程序或系统访问权的程序或方法，要求有很强的隐蔽性。

网络攻击的手段

1. 端口扫描
2. 口令破解
3. 拒绝服务
4. 缓冲区溢出
5. 网络嗅探
6. 漏洞扫描

缓冲区溢出（原理与防范）

原理：缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动

防范：

1. 编写正确的代码
2. 非执行缓冲区保护
3. 数组边界检查
4. 程序指针完整性检查

读懂代码是否存在溢出

网络扫描技术—端口扫描

FTP：21号端口、SSH：22号端口、Telnet:23号端口、SMTP:25号端口、DNS：53号端口、HTTP：80号端口、POPHTTP:110号端口、HTTPS：443号端口

入侵检测系统（IDE）的功能

1. 监视网络的运行状态，查找非法用户的访问和合法用户的越权操作。
2. 对系统的构造和弱点进行审计
3. 识别分析攻击特征并报警
4. 评估重要系统的数据文件的完整性
5. 对操作系统进行跟踪审计，并识别用户违反安全策略的行为。
6. 容错功能

对网段进行检测：var HOME_NET 10.1.1.0/24

ARP电子欺骗（原理、如何防范）

原理：

​ 通过编程的方式构建 arp 应答数据包，然后发送给被欺骗者，用假的IP地址与MAC地址的映射来更新被欺骗者的arp高速缓存，实现对被欺骗者的arp 欺骗。

防范：

1. 将IP和MAC两个地址绑定在一起。
2. 设置静态的MAC地址到IP地址对应表，不要让主机刷新设定好的转换表。
3. 非必要不使用ARP，将ARP作为永久条目保存在对应表中。
4. 使用ARP服务器，通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播，确保这台ARP服务器不被攻击。
5. 使用proxy代理IP的传输。
6. 使用硬件屏蔽主机，设置好路由，确保IP地址能到达合法的路径。
7. 管理员应定期从响应的IP包中获得一个ARP请求，然后检查ARP响应的真实性。
8. 管理员要定期轮询，检查主机上的ARP缓存。
9. 使用防火墙连续监控网络。

怎样发现局域网中存在的ARP欺骗。

在电脑上ping一下网关的IP地址，然后使用ARP －a的命令看得到的网关对应的MAC地址是否与实际情况相符，如不符，可去查找与该MAC地址对应的电脑。

使用抓包工具，分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己，有些是发出虚假ARP回应包来混淆网络通信。

域名劫持原理

​ 域名劫持的基本原理是用户输入要访问的域名，请求DNS服务器遍历DNS数据库，查找该域名对应的IP地址，将其结果返回给用户。在DNS服务器遍历DNS数据库时，如果修改了该域名对应的IP，便实现了域名劫持。

与DNS电子欺骗的不同点

DNS电子欺骗是冒充域名服务器，然后把查询的IP地址设为攻击者的IP。
域名劫持是在DNS服务器遍历DNS数据库时，修改该域名对应的IP。

Wireshark数据抓包分析之传输层协议（TCP协议）

三次握手

1. 第一次握手

   第一次握手建立连接时，客户端向服务器端发送SYN报文（Seq=x，SYN=1），并进入SYN_SEND状态，等待服务器确认。如下图

2. 第二次握手

   第二次握手实际上是分两部分完成的。即SYN+ACK（请求和确认）报文。

   1. 服务器收到了客户端的请求，向客户端回复一个确认信息（Ack=x+1）。
   2. 服务器再向客户端发送一个SYN包（Seq=y）建立连接的请求，此时服务器进入SYN_RECV状态，如下图所示：

3. 第三次握手

   第三次握手，客户端收到服务器的回复（SYN+ACK报文）。此时，客户端也要向服务器发送确认包(ACK).此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手此时，客户端就可以与服务器开始传送数据了。
   

四次断开

1. 客户端通过发送一个设置了FIN和ACK标志的TCP数据包，告诉服务器通信已经完成。

2. 服务器收到客户端发送的数据包后，发送一个ACK数据包来响应客户端。

3. 服务器再向客户端传送一个自己的FIN/ACK数据包。

4. 客户端收到服务器的FIN/ACK包时，响应服务器一个ACK数据包。然后结束通信过程。

IPC是什么

​ IPC(Inter-Process Communication) 进程间通信，是共享"命名管道"的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。

Linux日志路径和账户路径

账户路径：~ 或 /home/用户名

日志路径：

路径1：/var/log/messages：记录 Linux 内核消息及各种应用程序的公共日志信息

路径2：/var/log/cron：记录 crond 计划任务产生的事件信息

路径3：/var/log/dmesg：记录 Linux 操作系统在引导过程中的各种事件信息

路径4：/var/log/maillog：记录进入或发出系统的电子邮件活动

路径5：/var/log/lastlog：记录每个用户最近的登录事件

路径6：/var/log/secure：记录用户认证相关的安全事件信息

路径7：/var/log/wtmp：记录每个用户登录、注销及系统启动和停机事件

路径8：/var/log/btmp：记录失败的、错误的登录尝试及验证事件

防御彩虹表的手段

1. “加盐”：彩虹表只能通过有限密码集合生成查找表——当密码集合扩大，彩虹表占用的空间将以指数速度增加。因此目前最常用的方式是将用户密码添加一段字符串（盐化）后再做散列。

2. 已知彩虹表是应用于主流的哈希算法的，那么通过对哈希算法进行修改，自然能够防御彩虹表破解。

SQL注入原理、如何测试漏洞、如何防范

原理：就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

如何测试漏洞：and 1 = 1

如何防范：输入验证、错误消息处理、加密处理、存储过程来执行所有的查询、使用专业的漏洞扫描工具、确保数据库安全。

获取网页参数、状态码的意思

状态代码有三位数字组成，第一个数字定义了响应的类别，且有五种可能取值：

1xx：指示信息–表示请求已接收，继续处理

2xx：成功–表示请求已被成功接收、理解、接受

3xx：重定向–要完成请求必须进行更进一步的操作

4xx：客户端错误–请求有语法错误或请求无法实现

5xx：服务器端错误–服务器未能实现合法的请求

常见状态代码、状态描述、说明：

200 OK //客户端请求成功

400 Bad Request //客户端请求有语法错误，不能被服务器所理解

401 Unauthorized //请求未经授权，这个状态代码必须和WWW-Authenticate报头域一起使用

403 Forbidden //服务器收到请求，但是拒绝提供服务

404 Not Found //请求资源不存在，eg：输入了错误的URL

500 Internal Server Error //服务器发生不可预期的错误

503 Server Unavailable //服务器当前不能处理客户端的请求，一段时间后可能恢复正常