第一章:
计算机安全的三个目标:CIA
C 机密性:对信息或资源的隐藏,使得消息不能被随意访问。
实现方法:信息内容的置乱、存在性的隐蔽
I 完整性:网络中传输的信息数据必须保持初始状态,没有第三方修改数据内容,所有资源只能由授权方或以授权的方式进行修改。
A:可用性:所有资源在适当的时候可由授权方访问。如果破坏了可用性,就会导致拒绝服务。
实现方式,可以通过备份,或者灾难恢复等方式保证。
计算机安全的概念和理解
激进黑客的分类:
白帽:是正义黑客。出于正义运用编程发现网络漏洞,并上报。
灰帽:介于白帽和黑帽之间。若找到漏洞与他们的目的相符就上报,也可能会在互联网上公布漏洞。
黑帽:利用漏洞谋取非法的个人、经济或政治利益。
安全攻击的概念、分类:
主动攻击:试图改变系统资源或影响其运行。包括窜改、重演、伪造和拒绝服务。
窜改是指未经授权,修改信息,破坏系统数据的完整性。
重演是指捕获一个数据单元,在以后的某个实际重传。
伪造是冒充另一个实体发送信息,破坏了数据的真实性。
拒绝服务是指通过耗尽目标系统的资源来危害目标系统的正常使用。
被动攻击:试图从系统中学习、或利用系统信息,但不影响系统资源。包括窃听、流量分析。
窃听:见识传输和读取信息。破坏数据的保密性。
流量分析:通过对通信业务流的观察,分析出有用的信息,比如主机的位置、业务的变化等等。
受攻击面的概念和分类:
是指攻击者所访问的给定系统中所有漏洞的集合。
分为:
网络受攻击面:利用网络中漏洞实施攻击。这可以包括传统的有线和无线网络协议。
软件受攻击面:利用基于web、云或者软件中的漏洞实施攻击。
人类受攻击面:利用用户行为中的弱点实施攻击,如社交工程。
攻击树的表示和画法:
计算机基本安全设计原则:
经济机制原则:嵌入软硬件的安全机制设计要简单、短小。
安全缺省设置原则:没有设置的权威不允许访问。
绝对中介原则:每一次访问都必须依据访问控制机检查。
特权分离:春旭每部分受限于各自特定权限。
最小特权:每个进程和用户只能使用完成某项任务必须的最小特权集操作。
最小公用制度:最小化不同用户共享功能,以提高安全性。
隔离原则:公共系统与重要资源隔离,个人用户进程与文件隔离,安全机制相互隔离。(隔离方法:物理、时间、密码、逻辑隔离)
封装原则:只能通过特定域的入口点呗调用。
模块化原则:按逻辑分为若干子系统。
安全洋葱、安全洋蓟防御方法:
洋葱:一种分层安全方法。威胁者必须类似于剥洋葱的方式剥掉网络的防御机制,这弱化了对内网安全措施的加固。
洋蓟:威胁者不再需要剥掉每一层。只需要剥掉一些叶子。一层的故障可能使其他层遭到渗透。
TCSEC准则:
六类七级
最高级为A级,最低级为D级。DDoS为D级,win2003/7为B1级,W2000/XP为C2级。
(B3>B2)
刑法四种剪辑犯罪:
非法入侵计算机信息系统罪,破坏计算机系统功能罪,破坏计算机信息系统数据、应用程序罪,制作、传播计算机病毒等破坏性程序罪。
第二章
对称密钥和非对称密钥概念和对比:
对称密钥是指加密和解密使用相同的密钥;非堆成密钥公钥加密,私钥解密。
对比来说,对称密钥算法在速度上优于非对称密钥算法,但在安全性上不如非对称密钥算法。
代换、置换技术:
代换:是一种将原始消息中的每个字符或符号替换为另一个字符或符号的加密技术。
包括凯撒密码、仿射密码和多表代换等。
置换:是一种重新排列原始消息中的字符或符号的加密技术。
包括栅栏密码、列置换和行置换等。
caesar密码、playfair密码的加解密过程:
凯撒密码:
- 选择一个偏移量(通常为一个数字),例如偏移量为3。
- 将明文中的每个字母按照偏移量向右移动,例如将'A'替换为'D','B'替换为'E',以此类推。
- 将移动后的字母组合成密文。
SPN结构和Feistel结构的特点:
feistel:将明文分为两半,金舵多轮处理后组合成密文组。
SPN结构:多次置换
SDES\DES\3DES\AES分组长度、密钥大小等特征描述
SDES:分组长度为8位、密钥10位、子密钥8位,明文8位,2轮迭代
DES:分组长度为64位,密钥为56位
3DES:使用三个长度为56的密钥、密钥大小为168位或112为,分组长度为64位
AES:有三种密钥长度可选:138、192、256,分组长度为128
分组密码工作模式
电码本ECB:无误差传递。不能隐藏明文模式信息,不破译密文就可以操纵明文。用于DES
密文分组链接CBC:有误差传递,密文块损坏,对应的明文块和下一明文块损坏。用于MAC
密文反馈CFB:有误差传递。一个单元的损坏会影响后续所有消息。
输出反馈OFB:无误差传递。
计数器CTR:无误差传递
EULER函数计算
本原根的计算
RSA密钥及加解密计算
公钥、会话密钥的分发方法
公钥的分发:公开分发、公开可访问目录、公钥篡改、公钥证书
密钥的分发:秘密信道分发(数字信封技术,内层使用对称加密,外层使用公钥加密)
公开信道分发(Diffie-Hellman算法)
Diffie-Hellman会话密钥计算
第三章
信息认证、数字签名的作用、概念
消息认证:防止通信过程中被第三方攻击,确保信息传输的完整性。不能保证通信双方之间互相欺骗。
数字签名:用来防范通信双方之间的相互攻击。
信息认证码MAC与Hash函数的概念和特点:
MAC:
MAC:一般为多对一函数,信息数目远远大于MAC数,同一MAC可由不同消息组成。
Hash:不同消息的hash值很难相同(也有相同的可能性)。计算不可逆。提供错误检测能力。
MD4\MD5\SHA信息摘要长度
MD5:四次循环(每个循环16步) 低端存储模式(小端法,低字节存储在寄存器的低地址位)如IBM\ORCALE
MD4:三次循环(每个循环16步) 高端存储模式(大端法,与上相反)如INTEL
SHA-1:160位;SHA-128:128;SHA-384:384;SHA-512:512.
MD5和MD4: 128.
实现信息认证、数字签名、信息加密的示例图以及画法
玩具四字母散列函数信息摘要的计算
Kerberos和x.509公钥证书用途、特点等
前者在分布式环境中提供集中认证服务器来负责服务器和客户端之间的互相认证。
前者采用对称密码技术,基于口令,将用户口令加密后作为会话密钥,高性能,但无法验证用户的真实性。
后者是开放系统互联标准OSI的目录检索标准X.500中的认证标准。将证书持有者的身份信息和其拥有的公钥进行绑定的文件,并由签发该证书的权威机构认证中心CA对证书签名。
后者用于验证网站是否可信,某文件是否可信。
公钥证书的组成、验证过程、证书链
证书链的作用是扩大信任范围,使得信任自己的已来访能够与更多的证书持有者进行安全通信。分为层次认证和交叉认证。交叉认证包含向前证书和向后证书。
PKI技术的特点和组成
一种基于公钥密码学原理和数字证书的安全技术体系。
特点:公钥加密、数字签名、可信性、可靠性、可扩展性。
组成:数字证书、公钥加密算法、数字签名算法、CA、证书验证等
SSL协议的作用和组成
作用:信息加密、完整性效验、身份验证;
包含非对称加密、对称加密、散列算法
SSL记录协议的特点
建立在可靠的传输协议TCP之上;
提供连接安全性:包括保密性(对称加密)和完整性(HMAC)
用来封装高层协议。
SSL握手协议的执行流程(四阶段)
1建立安全协商。包括客户建议的SSL低版本号、服务器产生的随机数、会话ID、挑选密码算法和压缩方法。
2服务器认证和密码交换。服务器发送自己的509证书、密钥交换、请求客户端的证书。
3客户端认证和密钥交换。检查服务机提供的证书并发验证消息,发送自己的证书,密钥交换,如果证书检查失败则连接不成功。
4剪力安全连接,结束握手协议。
第四章 软件安全
缓冲区溢出的概念和危害
大量的输入被放置到缓冲区或数据存储区,超过其所分配的存储能力,覆盖其他信息。攻击者利用这样的状况破坏系统或插入特别编址的代码以获得系统的控制权。
可覆盖已存在的变量,或是覆盖操作码。
0day/1day/nday漏洞
0:漏洞已被发现,但尚未被公开。或者官方还没有不定。攻击有效请较强。
1:漏洞不定刚公布,但尚未进行修补,攻击有效性较强。
n:公布很久,流传很广的漏洞,攻击有效性有限,或大幅降低。
shellcode,NOPsled雪橇
shellcode:一段用于利用软件漏洞而执行的漏洞。缓冲区溢出,程序执行被转移到攻击者提供的、保存在溢出缓冲区中的代码。
特点:机器代码(操作码和操作数);代码内容不包含绝对地址,不能预先准确定位;代码中不能包含NULL代码;代码短小;功能较少。
nopsled:解决不能准确定位shellcode代码起始位置问题。在攻击代码shellcode前包括若干nop指令,如果指针指向nop,执行将继续往下直到获得攻击代码。攻击者只要制定的ret地址在这些nop指令所在的存储单元地址中,最终就可以执行shellcode。
缓冲区溢出的防御方法(DEP/canary/ASLP)
DEP(数据执行保护):将代码与数据分离,将飞代码段的地址空间设置为不可置信属性,禁用stack、heap中的代码。分为硬件DEP和软件DEP。
Canary(缓冲区安全检查):函数调用按成返回时,检查canary的完整性来确定是否有人企图进行堆栈溢出。如果canary的值不等于调用前存储的值,则返回地址可能被覆盖,不能正确返回函数,发生堆栈溢出。
ASLP(地址空间布局随机化):其需要与DEP配合使用,ASLP的熵非常小,硬件可能存在兼容问题。
整数溢出
恶意代码定义
又称恶意软件。为达到恶意目的而专门设计的代码或程序。是一种被秘密植入系统中,以损害受害人数据、应用程序或操作系统的机密性、完整性和可用性,或对用户实时骚动或翻盖的程序。
1木马和后门:
木马:通过欺骗或诱骗的方式安装,并在用户的计算机中隐藏以实现控制用户计算机的目的。
具有远程控制、信息窃取、破坏等功能的恶意代码
特点:欺骗性、隐藏性、非授权性、交互性。
后门:
一种绕过安全控制、允许攻击者访问系统的程序
特点:注意隐蔽性、但没有欺骗性。
2APT高级持续性威胁
指具有良好资源、持续性的应用大量入侵技术和恶意软件的应用程序。
特点:特殊目标性、持续性、、高级。
3网络钓鱼
虚假网站,回复信息,收集信息,骗取信任,获得权限,僵尸机
4网站挂马
5逻辑炸弹:特定条件引爆
计算机病毒与网络蠕虫的特点和区别
病毒:寄生于可执行程序或文档,代码短小。
蠕虫:跨平台,快速扩散,符合攻击手段,多态,变形,0day漏洞利用。
宏病毒原理、特点、传播方式
存在于数据文件或模板中的计算机病毒,使用宏编程语言编写,利用宏语言的功能将自己寄生大其他数据文档中。
特点:平台无关性,只感染文档,不感染执行程序,极易传播,传统的文件访问控制机制对宏病毒的控制能力有限。
传播方式:单机:单个文档>文档模板>多个文档;网络:电子邮件居多。
网站挂马攻击和跨站脚本攻击XSS的区别
网站挂马攻击是通过在网站服务器上部署恶意软件或木马程序,从而使用户在浏览网站时下载恶意软件,或者通过点击链接下载恶意软件。这种攻击通常会对用户的设备和敏感信息造成严重危害。
网站挂马是为了在用户的设备上安装恶意软件,并获取用户的敏感信息,例如银行账户信息、密码等。
跨站脚本攻击(XSS)则是通过在网页中注入恶意脚本,从而攻击用户的浏览器,获取用户的敏感信息。是为了窃取用户的Cookie信息,进行会话劫持或其他违法行为。
计算机病毒的检测技术
第五章 网络安全
DOS,ddos,synflood,land,smurf攻击的定义和特点:
DOS:拒绝服务攻击
一种通过 耗尽CPU、内存、带宽及磁盘空间等系统资源,组织或削弱对网络、系统或应用程序的授权使用行为。
land攻击:
伪造原IP地址=目的地址,原端口=目的端口的tcpsyn数据包发送给攻击目标,导致大量系统资源被占用耗尽。
synflood攻击:
smurf攻击(ICMP反射攻击、放大攻击):
原地址伪造成被攻击目标的ip地址,中介网络作为放大器,目标机器接受大量的来自中介网络的回应包。
ddos攻击:
攻击者控制傀儡机,由傀儡姬=机再控制攻击傀儡机,使用伪造的ip地址攻击主机。
识别方法:来自单个ip地址或范围的可以流量,共享单个行为特征的用户大量流量,对单个页面或端点的请求数量出现不明原因的激增;奇怪的流量模式。
洪泛攻击、放大攻击
入侵检测技术的功能?NIDS与HIDS的特点和比较,异常入侵检测和规则入侵检测的比较。
功能:一种及时发现入侵、成功阻止黑客入侵、并在事后对入侵进行分析,查明系统漏洞并及时修补的动态网络安全技术。
NIDS和HIDS的比较:
- 监测范围:NIDS主要监测网络层面的入侵行为,而HIDS主要监测主机层面的入侵行为。
- 管理方式:NIDS是集中管理的,能够集中管理多个网络中的事件;而HIDS是分布式管理的,每台主机上都需要安装HIDS。
- 实时性:NIDS能够实时监测网络中的活动,及时发现入侵行为;HIDS通常是离线检测的,需要定期收集和分析数据。
- 覆盖范围:NIDS能够监测整个网络中的流量,适合大规模网络的安全监测;而HIDS主要监测单个主机上的活动,适合保护单个主机的安全。
异常入侵检测适用于检测未知攻击和变种攻击,但可能会存在误报问题;规则入侵检测适用于检测已知攻击,但无法适应新的攻击方式。
蜜罐的概念和作用
一个人工构建的用于吸引、诱骗攻击者进行攻击从而获悉攻击活动的隔离环境。
特点:自我暴露的诱饵服务、行为记录、模拟的真是系统环境。
防火墙技术的功能和防火墙特点
功能:在不同网络或网络安全域之间的一种网络访问控制设备。
特点:重安全性,轻可用性。
防火墙的规则配置以及理解
1最先匹配算法:
将最特殊的规则放在规则集的最前面,保证最一般的规则不会覆盖最特殊的规则。
2简单实用
3全面深入
简单包过滤、应用代理、状态检测包过滤防火墙的特点和机制
简单包过滤:通过报头过滤,速度快,效率高,但安全性差
应用代理:在网络层进行内容过滤,效率低,扩充性差,但安全性好。
状态检测:应用层通过状态表过滤,效率快,效率更高,安全性提高。
VPN技术的概念特点以及关键技术(封装技术):
构建在公用网络基础设施之上的虚拟专用网络。
虚拟:利用公共网络资源和设备监理的逻辑线路,用户无需监理各自专用的物理线路。
专用:只有授权用户才可使用。
隧道技术(封装技术):
将一种协议X封装在另一种协议Y中传输,实现协议X对公用网络的透明性。
分为自愿隧道和强制隧道。
545
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
