网络安全简答题

1.网络攻击和防御分别包括那些内容？攻击技术主要包括：1.网络监听：自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。2.网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。3.网络入侵：当探测发现对方存在漏洞后，入侵到对方计算机获取信息。4.网络后门：成功入侵目标计算机后，为了实现对“战利品”的长期控制，在目标计算机中种植木马等后门.5.网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。防御技术主要包括:1.安全操作系统和操作系统的安全配置：操作系统是网络安全的关键。2.加密技术：为了防止被监听和数据被盗取，将所有的逐句进行加密。3.防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。4.入侵检测：如果网络防线最终被攻破，需要及时发出被入侵的警报。5.网络安全协议：保证传输的数据不被截获和监听。２.什么是数字签名？数字签名有什么作用？数字签名的主要流程？什么是数字签名：数字签名又称公钥数字签名，就是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。数字签名的作用：当通信双方发生了下列情况时，数字签名技术必须能够解决引发的争端：否认：发送方不承认自己发送过某一报文；伪造：接收方自己伪造一份报文，并声称它来自发送方；冒充：网络上的某个用户冒充另一个用户发送或接收报文；篡改：接收方对收到的信息进行篡改。数字签名的主要流程：(1)采用散列算法对原始报文进行运算，得到一个固定长度的数字串，称为报文摘要(MessageDigest)，不同的报文所得到的报文摘要各异，但对相同的报文它的报文摘要却是惟一的。在数学上保证，只要改动报文中任何一位，重新计算出的报文摘要值就会与原先的值不相符，这样就保证了报文的不可更改性。(2)发送方用目己的私有密钥对摘要进行加密来形成数字签名。(3)这个数字签名将作为报文的附件和报文一起发送给接收方。(4)接收方首先对接收到的原始报文用同样的算法计算出新的报文摘要，再用发送方的公开密钥对报文附件的数字签名进行解密，比较两个报文摘要，如果值相同，接收方就能确认该数字签名是发送方的，否则就认为收到的报文是伪造的或者中途被篡改。３.什么是数字证书？数字证书的原理是什么？什么是数字证书：数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。数字证书的原理：数字证书采用公开密钥体制（例如RSA）。每个用户设定一仅为本人所知的私有密钥，用它进行解密和签名；同时设定一公开密钥，为一组用户所共享，用于加密和验证签名。采用数字证书，能够确认以下两点：(1)保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。(2)保证信息自签发后到收到为止未曾做过任何修改，签发的信息是真实信息。４.常见的黑客攻击的过程？（踩点攻击最少６跳）1.目标探测和信息攫取先确定攻击日标并收集目标系统的相关信息。一般先大量收集网上主机的信息，然后根据各系统的安全性强弱确定最后的目标。1)踩点（Footprinting）黑客必须尽可能收集目标系统安全状况的各种信息。Whois数据库查询可以获得很多关于目标系统的注册信息，DNS查询(用Windows/UNIX上提供的nslookup命令客户端)也可令黑客获得关于目标系统域名、IP地址、DNS务器、邮件服务器等有用信息。此外还可以用traceroute工具获得一些网络拓扑和路由信息。2)扫描（Scanning）在扫描阶段，我们将使用各种工具和技巧(如Ping扫射、端口扫描以及操作系统检测等)确定哪些系统存活着、它们在监听哪些端口(以此来判断它们在提供哪些服务)，甚至更进一步地获知它们运行的是什么操作系统。3)查点（Enumeration）从系统中抽取有效账号或导出资源名的过程称为查点，这些信息很可能成为目标系统的祸根。比如说，一旦查点查出一个有效用户名或共享资源，攻击者猜出对应的密码或利用与资源共享协议关联的某些脆弱点通常就只是一个时间问题了。查点技巧差不多都是特定于操作系统的，因此要求使用前面步骤汇集的信息。2.获得访问权（GainingAccess）通过密码窃听、共享文件的野蛮攻击、攫取密码文件并破解或缓冲区溢出攻击等来获得系统的访问权限。3.特权提升（EscalatingPrivilege）在获得一般账户后，黑客经常会试图获得更高的权限，比如获得系统管理员权限。通常可以采用密码破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱点等技术。4.窃取（Stealing）对敏感数据进行篡改、添加、删除及复制（如Windows系统的注册表、UNIX的rhost文件等）。5.掩盖踪迹（CoveringTracks）此时最重要就隐藏自己踪迹，以防被管理员发觉，比如清除日志记录、使用rootkits等工具。6.创建后门（CreatingBookdoor）在系统的不同部分布置陷阱和后门，以便入侵者在以后仍能从容获得特权访问。５.Sniffer的工作原理？开发工具有那些？工作原理：如果网络中某个物理地址不确定的网卡接收所有在网络中传输的帧，无论该帧是广播的还是发送到某一指定地址的，这就形成了监听。如果某一台主机被设置成这种监听模式，它就成了一个sniffer。鉴于Sniffer的工作原理，可以知道：如果一个帧没有被发送到指定的网卡上，那么将无法监听到帧。所以Sniffer所能监听到的信息仅限于同一物理网络内传送的数据。在使用了交换（路由）设备的网络中，由于其数据是根据目的地址进行分发的，单个网卡将无法监听到所有正在传输的信息。以太网是一个广播型的网络，带有令牌的那些帧在传输过程中，平均要经过网络上一半的计算机，无线电本身是一个广播型的传输媒介，弥散在空中的无线电信号可以被轻易的截获。因此，sniffer可以应用于大部分的网络类型中。６.什么是入侵检测系统？目前面临哪些挑战？它常用的检测方法有哪些？什么是入侵检测系统：就是用来监视和检测入侵事件的系统。目前面临哪些挑战：①误报误报是指被入侵检测系统测出但其实是正常及合法使用受保护网络和计算机的警报。假警报不但令人讨厌，并且降低入侵检测系统的效率。攻击者可以而且往往是利用包结构伪造无威胁“正常”假警报，以诱使收受人把入侵检测系统关掉。没有一个入侵检测无敌于误报，应用系统总会发生错误，原因是：缺乏共享信息的标准机制和集中协调的机制，不同的网络及主机有不同的安全问题，不同的入侵检测系统有各自的功能；缺乏揣摩数据在一段时间内行为的能力；缺乏有效跟踪分析等。②精巧及有组织的攻击攻击可以来自四方八面，特别是一群人组织策划且攻击者技术高超的攻击，攻击者花费很长时间准备，并发动全球性攻击，要找出这样复杂的攻击是一件难事。另外，高速网络技术，尤其是交换技术以及加密信道技术的发展，使得通过共享网段侦听的网络数据采集方法显得不足，而巨大的通信量对数据分析也提出了新的要求。常用的检测方法：①静态配置分析静态配置分析通过检查系统的当前系统配置，诸如系统文件的内容或者系统表，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（系统配置信息），而不是系统中的活动。采用静态分析方法主要有以下几方面的原因：入侵者对系统攻击时可能会留下痕迹，这可通过检查系统的状态检测出来；系统管理员以及用户在建立系统时难免会出现一些错误或遗漏一些系统的安全性措施；另外，系统在遭受攻击后，入侵者可能会在系统中安装一些安全性后门以方便对系统进行进一步的攻击。所以，静态配置分析方法需要尽可能了解系统的缺陷，否则入侵者只需要简单地利用那些系统中未知的安全缺陷就可以避开检测系统。②异常性检测方法异常性检测技术是一种在不需要操作系统及其防范安全性缺陷专门知识的情况下，就可以检测入侵者的方法，同时它也是检测冒充合法用户的入侵者的有效方法。但是，在许多环境中，为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事，所以仅使用异常性检测技术不可能检测出所有的入侵行为。目前这类入侵检测系统多采用统计或者基于规则描述的方法建立系统主体的行为特征轮廓：⑴统计性特征轮廓由主体特征变量的频度、均值以及偏差等统计量来描述，如SRI的下一代实时入侵检测专家系统，这种方法对特洛伊木马以及欺骗性的应用程序的检测非常有效。⑵基于规则描述的特征轮廓由一组用于描述主体每个特征的合法取值范围与其他特征的取值之间关系的规则组成（如TIM）。该方案还可以采用从大型数据库中提取规则的数据挖掘技术。⑶神经网络方法具有自学习、自适应能力，可以通过自学习提取正常的用户或系统活动的特征模式，避开选择统计特征这一难题。③基于行为的检测方法通过检测用户行为中那些与已知入侵行为模式类似的行为、那些利用系统中缺陷或间接违背系统安全规则的行为，来判断系统中的入侵活动。目前基于行为的入侵检测系统只是在表示入侵模式（签名）的方式以及在系统的审计中检查入侵签名的机制上有所区别，主要可以分为基于专家系统、基于状态迁移分析和基于模式匹配等几类。这些方法的主要局限在于，只是根据已知的入侵序列和系统缺陷模式来检测系统中的可疑行为，而不能检测新的入侵攻击行为以及未知的、潜在的系统缺陷。入侵检测方法虽然能够在某些方面取得好的效果，但总体看来各有不足，因而越来越多的入侵检测系统都同时采用几种方法，以互补不足，共同完成检测任务。７.对称加密算法的基本原理是什么？对称算法又叫传统密码算法，加密密钥能够从解密中推算出来，反过来也成立。对称算法要求发送者和接收者在安全通信之前，协商一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能对消息进行加解密。对称算法的加密和解密表示为：EK(M)＝C，DK(C)＝M。８.网络监听技术的原理？在局域网中与其他计算机进行数据交换时，数据包发往所有连在一起的主机，也就是广播，在报头中包含目的机正确地址。因此只有与数据包中目的地址一致的那台主机才会接受数据包，其他的机器都会将包丢弃。但是当主机工作在监听模式下时，无论接收到的数据包中目的地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据，一台计算机可以监听同一网段内所有的数据包，不能监听不同网段的计算机传输的信息。９.分组密码体制应遵循的原则（以ＤＮＳ为例说明）遵循的原则：混乱原则和扩散原则。混乱原则：为了避免密码分析者利用明文和密文之间的依赖关系进行破译，密码的设计因该保证这种依赖关系足够复杂。扩散原则：为避免密码分析者对密钥逐段破译，密码的设计因该保证密钥的每位数字能够影响密文中的多位数字。(1)分组长度足够长，防止明文穷举攻击，例如DES，分组块大小为64比特，(2)密钥量足够大，金额能消除弱密钥的使用，防止密钥穷举攻击，但是由于对称密码体制存在密钥管理问题，密钥也不能过大。(3)密钥变化够复杂(4)加密解密运算简单，易于软硬件高速实现(5)数据扩展足够小，一般无数据扩展。差错传播尽可能小，加密或者解密某明文或密文分组出错，对后续密文解密影响尽可能。10.黑客进行的攻击主要有哪几种类型？(1)拒绝服务型攻击:是攻击者通过各种手段来消耗网络带宽或服务器的系统资源，最终导致被攻击服务器资源耗尽或系统崩溃而无法提供正常的网络服务。(2)利用型攻击：是一类试图直接对用户机器进行控制的攻击。最常见的有三种：a、口令猜测b、特洛伊木马c、缓冲区溢出(3)信息收集型攻击：是被用来为进一步入侵系统提供有用的信息。这类攻击主要包括扫描技术和利用信息服务技术等。11、何为网络扫描网络监听？什么样的用户才可以进行网络扫描和网络监听？答：网络扫描就是对计算机系统或其他网络设备进行相关的安全监测，以便发现安全隐患和可被黑客利用的漏洞。（用户：系统管理员）网络监听是管理员为进行网络安全管理，利用相应的工具软件监视网络的状态和数据流动情况，以便及时发现网络中的异常情况和不安全因素。12、何为DNS电子欺骗，何为ip