网络安全期末考整合

特注：蓝色和图及波浪线为必考内容，大字型为标题，小字型为主要内容。。。汗啊！！！！！第三单元：DOS拒绝服务攻击：定义：借助网络服务器的安全漏洞实现破坏该服务器的正常运行，利用虚假IP地址周期性地向网络服务器发出正常的服务请求，进而过量占用系统的服务资源，最终导致合法的网络用户无法获取其所需要的信息服务。攻击手段：SYNflood,IP欺骗DOS，PingofDeath,TearDrop,UDPflood,LandAttack,Smurf等分布式拒接服务攻击DDOS步骤：1搜集了解攻击目标的具体情况2占领控制盒攻击傀儡机，3实施分布式拒接服务攻击第四单元：木马的特征：1隐蔽性2自动运行性3欺骗性4自动恢复性5自动打开特别的端口6功能的特殊性7黑客组织趋于公开化第五单元：SnifferPro:功能：捕获网络流量进行详细分析利用专家分析系统诊断问题实时监控网络活动收集网络利用率和错误等在报文捕获面板中进行基本的捕获条件有两种：1、链路层捕获，按源MAC和目的MAC地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。2、IP层捕获，按源IP和目的IP进行捕获。输入方式为点间隔方式，如：10.107.1.1。如果选择IP层捕获条件则ARP等报文将被过滤掉。防止入侵的手段：身份认证安全访问控制入侵检测系统入侵检测系统分类（1）：异常检测模型：首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。误用检测模型：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。入侵检测系统分类（2）：基于主机的入侵检测系统：通过监视与分析主机的审计记录检测入侵基于网络的入侵检测系统：由遍及网络的传感器组成，通过在共享网段上对通信数据的侦听采集数据混合型入侵检测系统：通过对所有相关信息的提取，从而提供对整个信息基础设施的保护入侵检测系统分类（3）：基于脱机分析的入侵检测：在入侵行为已经发生后，对产生的数据进行分析。基于联机分析的入侵检测：在入侵行为发生的同时进行分析入侵检测系统分类（4）：集中式：系统的各个模块包括数据的收集、分析等均集中在一台主机上运行。分布式：系统的各个模块分布在不同的计算机和设备上。异常入侵检测方法：统计异常检测基于特征选择异常检测基于贝叶斯推理异常检测基于贝叶斯网络异常检测基于模式预测异常检测基于神经网络异常检测基于贝叶斯聚类异常检测基于机器学习异常检测基于数据挖掘异常检测误用入侵检测方法：专家系统误用检测键盘监控误用检测模型推理系统模型误用检测状态转换分析模式匹配分析第六单元：数据加密模型：三要素：信息明文、密钥、信息密文数据加密技术原理：分类：对称密钥加密（保密密钥法）非对称密钥加密（公开密钥法）混合加密算法哈希（Hash）算法数字签名数字证书公共密钥体系对称密钥加密（保密密钥法）图：对称密钥密码体制的加密方式：序列密码：加密算法解密算法密钥网络信道明文明文密文加密密钥解密密钥两者相等原理是：通过有限状态机制产生性能优良的伪随机序列，使用该序列加密信息流，得到密文序列。所以，序列密码算法的安全强度完全决定于它所产生的伪随机序列的好坏。优点是：错误扩展小、速度快、利于同步、安全程度高。分组密码：将明文分成固定长度的组，如64位一组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。对称密钥密码体制的特点：对称密钥密码体制的缺点有：在公开的计算机网络上，安全地传送和密钥的管理成为一个难点，不太适合在网络中单独使用；对传输信息的完整性也不能作检查，无法解决消息确认问题；缺乏自动检测密钥泄露的能力。然而，由于对称密钥密码系统具有加解密速度快、安全强度高、使用的加密算法比较简便高效、密钥简短和破译极其困难的优点，目前被越来越多地应用在军事、外交以及商业等领域。非对称密钥密码体制：原理：在加密过程中，密钥被分解为一对。这对密钥中的任何一把都可作为公开密钥通过非保密方式向他人公开，用于对信息的加密；而另一把则作为则私有密钥进行保存，用于对加密信息的解密。所以又可以称为公开密钥密码体制（PKI）、双钥或非对称密码体制。图：优势：具有保密功能，还克服了密钥发布的问题，并具有鉴别功能。首先，用户可以把用于加密的密钥公开地分发给任何人。谁都可以用这把公开的加密密钥与用户进行秘密通信其次，由于公开密钥算法不需要联机密钥服务器，密钥分配协议简单，所以极大地简化了密钥管理。最后，公开密钥加密不仅改进了传统加密方法，还提供了传统加密方法不具备的应用，这就是数字签名系统。混合加密体制：好处：混合加密系统是对称密钥加密技术和非对称密钥加密技术的结合，以实现最佳性能。加密算法解密算法公开密钥网络信道明文明文私有密钥公钥私钥公钥私钥不可相互推导不相等密文即用公开密钥密码技术在通信双方之间建立连接，包括双方的认证过程以及密钥的交换（传送秘密密钥），在连接建立以后，双有可以使用对称加密技术对实际传输的数据进行加密解密。这样既解决了密钥分发的困难，又解决了加、解密的速度和效率问题，无疑是目前解决网络上传输信息安全的一种较好的可行方法。图：工作过程哈希（Hash）算法：可以提供数据完整性方面的判断依据。图：数字签名的工作原理对称密钥加密算法对称密钥网络信道明文密文混合加密系统既能够安全地交换对称密钥又能够克服非对称加密算法效率低的缺陷！非对称密钥加密算法对称密钥公开密钥私有密钥对称密钥解密算法非对称密钥解密算法发方加密C=Ek（P）解密P=Dk（C）收方密钥密钥加密Ck=Epk（K）加密密钥PK解密K=Dpk-1（Ck）解密密钥PK-1采用公开密钥密码体制对传统密码体制的密钥进行加密后的通信采用传统密码体制进行通信明文P密文C明文数字签名的作用：唯一地确定签名人的身份；对签名后信件的内容是否又发生变化进行验证；发信人无法对信件的内容进行抵赖。数字证书：数字证书相当于电子化的身份证明，应有值得信赖的颁证机构（CA机构）的数字签名，可以用来强力验证某个用户或某个系统的身份及其公开密钥。SSL协议:安全套接层协议所在层次SSL协议提供的功能有安全（加密）通信、服务器（或客户）身份鉴别、信息完整性检查等。IP-Sec协议(VPN加密标准):IP-Sec协议试图通过对IP数据包进行加密，从根本上解决因特网的安全问题。两种模式：透明模式信道模式：常见身份认证方法标记-1标记-2非对称解密算法网络信道数据链路层和物理层网络层（IP）传输层（TCP）安全套接层（SSL）Telnt,mail,news,ftp,nntp,dns等S/MIMEHTTPS-HTTP非对称加密算法Alice的私有密钥合同Alice的公开密钥哈希算法标记合同哈希算法比较如果两标记相同，则符合上述确认要求。AliceBob主体特征认证。口令机制。一次性口令。智能卡。身份认证协议：通过网络协议对通信主体进行身份认证。不同的身份认证协议对于窃听、窜扰、重放和冒充等攻击手段具有不同的防御能力。IPSec的工作模式传输模式隧道模式IPSec的三个主要协议：ESP，AH，IKEESP协议主要用来处理对IP数据包的加密。AH只涉及到认证，不涉及到加密。IKE协议主要是对密钥交换进行管理作用：1提供了强大的安全、加密、认证和密钥管理功能2在IP层上对数据包进行高强度的安全管理，提供数据源认证。3在4个层次上作用：加密和封装，验证和重发容错，密钥管理，数字签名和数字证书。基于共享密钥的认证：方式是：通信双方以共享密钥作为相互通信的依据，在相互通信过程中，为每一个新连接选择一个随机生成的会话密钥。主要通信数据采用会话密钥来加密，尽可能减少使用共享密钥加密的数据量，以减少窃听者获得的使用共享密钥加密的消息数量，降低共享密钥被破译的可能性。基于共享密钥的常见认证协议有：质询—回应协议使用密钥分发中心的认证协议Needham-Schroeder认证协议Otway-Rees认证协议质询—回应协议：第四讲数据加密与身份鉴别（改）.pptP70认证协议中的常用技术时间戳询问/应答方式(Challenge/Response)身份认证协议PAPCHAPKerberosX.509第七单元：防火墙的主要技术种类包过滤技术状态包检测技术代理服务技术各作用：包过滤技术：包过滤是一种保安机制，它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。（1）不让任何用户从外部网用Telnet登录；（2）允许任何用户使用SMTP往内部网发电子邮件；（3）只允许某台机器通过NNTP往内部网发新闻翻译成包过滤规则时非常重要的几个概念（1）协议的双向性。协议总是双向的，协议包括一方发送一个请求而另一方返回一个应答。在制定包过滤规则时，要注意包是从两个方向来到路由器的。（2）“往内”与“往外”的含义。在我们制定包过滤规则时，必须准确理解“往内”与“往外”的（1）A向B发送一个消息TA，表示想和B通话。（2）B无法判断这个消息是来自A还是其他人，因此B回应一个质询RB。RB是一个随机数。（3）A用与B共享的密钥KAB加密RB，得到密文KAB(RB)，再发送给B；B收到密文KAB(RB)，用自己同样拥有的KAB加密RB，对比结果，如果相同就确认了A的身份。此时B已完成了对A的单向认证。（4）A同样需要确定B的身份，于是发送一个质询RA给B。RA也是一个随机数。（5）B用与A共享的密钥KAB加密RA，得到密文KAB(RA)，再发送给A；A收到密文KAB(RA)，用自己同样拥有的KAB加密RA，对比结果，如果相同就确认了B的身份，完成了双向认证。（6）A确认B的身份之后，选取一个会话密钥KS，并且用KAB加密之后发送给B。ABTARBKAB(RB)RAKAB(RA)(1)(2)(3)(4)(5)KAB(Ks)(6)包和“往内”与“往外”的服务这几个词的语义。（3）“默认允许”与“默认拒绝”。网络的安全策略中的有两种方法：默认拒绝（没有明确地被允许就应被拒绝）与默认允许（没有明确地被拒绝就应被允许）。从安全角度来看，用默认拒绝应该更合适。包过滤规则制定包过滤规则时应注意的事项：（l）联机编辑过滤规则。（2）要用IP地址值，而不用主机名。依据地址进行过滤[过滤器规则1]：我们不相信从CREE-PHOST来的连接。[过滤器规则2]：我们允许与我们的邮件网关的连接。对于过滤器规则1：阻塞任何从(*)CREE-PHOST端口来的到我们任意(*)主机的任意(*)端口的连接。对于过滤器规则2：允许任意(*)外部主机从其任意(*)端口到我们的Mail-GW主机端口的连接。对于过滤器规则3：表示了一个内部主机发送SMTP邮件到外部主机端口25如果外部站点对SMTP不使用端口25。25，那么SMTP发送者便发送邮件。防火墙的体系结构：筛选路由器双网主机屏蔽主机屏蔽子网第八单元：Administrators和BackupOperators才有从网络上访问注册表的权限。Software\microsoft\windows\currentversion\Policies\system�把DisableRegistryTools的值该为0，类型为DWORD，第九单元：VPN安全技术：◆隧道技术◆加解密技术◆密钥管理技术◆使用者与设备身份认证技术隧道协议主要有三种：点到点隧道协议（PPTP）、第二层隧道协议（L2TP）以及IPSec。SSL：主要用于提高应用程序之间数据的安全性，对传送的数据进行加密和隐藏，确保数据在传送中不被改变，即确保数据的完整性。实现如下三个通信目标：数据加密完整性验证身份认证SSL安全协议是由:SSL记录协议、SSL握手协议、SSL告警协议、SSL修改密文协议组成的一个协议族。SSL握手协议SSL修改密文协议SSL告警协议SSL记录协议TCPIP