计算机网络安全基础复习资料.docx

计算机网络安全基础复习资料.docx

《计算机网络安全基础复习资料.docx》由会员分享，可在线阅读，更多相关《计算机网络安全基础复习资料.docx（23页珍藏版）》请在冰豆网上搜索。

计算机网络安全基础复习资料

第一章网络安全概述

信息安全的定义

Ø计算机安全——信息安全的静态定义

为数据处理系统建立和采用的技术上和管理上的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因遭到破坏、更改和泄露。

Ø网络安全——信息安全的动态定义

从本质上讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件和系统中的数据受到保护，不因自然因素或人为因素而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

威胁网络安全的主要因素？

先天不足——开放性的网络环境、网络协议有缺陷（网络应用层的安全隐患、IP层通信的欺骗性、局域网中以太网协议的数据传输机制是广播发送，使得系统和网络具有易被监视性）、系统软件有缺陷（操作系统有漏洞、应用软件有陷门、数据库管理系统的脆弱性）

天灾——自然环境

人祸——操作失误（误删重要文件、密码口令使用不当、安全配置不合理、防范意识差、病毒泛滥）

网络安全的目标

保密性、完整性、可用性、抗否认性、可控性

Ø保密性（Confidentiality）

–信息不泄漏给非授权的用户、实体和过程，不被非法利用的特性（防泄密）

–静态保密性+动态保密性

–访问控制+加密技术

Ø完整性（Integrity）

–数据XX不能被改变的特性（防篡改）

–访问控制+消息摘要

Ø可用性（Availability）

–信息可被授权实体访问并按需求使用的特性（防中断）

–攻击：

拒绝服务攻击

–备份+冗余配置

Ø抗否认性（Non-repudiation）

–能保证用户无法在事后否认曾对信息进行的生成、签发、接收等行为。

–数字签名+公正机制

Ø可控性（Controllability）

–对信息的传播及内容具有控制能力的特性。

–握手协议+认证+访问控制列表

网络系统的安全涉及的领域

物理安全、运行安全、管理和策略

管理和策略（包含制度和教育两方面内容；安全立法；安全管理；安全策略）

安全策略是指在一个特定的环境中，为保证提供一定级别的安全保护所必须遵循的规则。

正确的策略会对解决安全相关问题产生积极的推进作用。

P2DR模型

策略（Policy）、保护（Protection）、检测（Detection）、响应（Response）

策略是模型的核心，所有的防护、检测和反应都是依据安全策略实施的。

网络安全策略一般包括总体安全策略和具体安全策略两个部分。

保护：

根据系统可能出现的安全问题而采取的预防措施。

这些措施通过传统的静态安全技术实现。

检测：

当攻击者穿透防护系统时，检测功能就发挥作用，与防护系统形成互补。

检测是动态响应的依据。

响应：

系统一旦检测到入侵，响应系统就开始工作，进行事件处理。

响应包括紧急响应和恢复处理，恢复处理又包括系统恢复和信息恢复。

多级安全模型

●将数据划分为多个安全级别与敏感度的系统，称为多级安全系统。

●BLP保密性模型（第一个）

基于强制访问控制系统

对数据提供了分级别的完整性保证

五个安全等级（公开、受限，秘密，机密，高密）

两种规则（上读，下写）

多边安全模型

●Lattice安全模型

通过划分安全边界对BLP模型进行了扩充

在不同的安全集束（部门、组织等）间控制信息的流动

一个主体可以从属于多个安全集束，而一个客体仅能位于一个安全集束

第二章数据加密与认证技术

数字签名和认证的定义

数字签名是通信双方在网上交换信息用公钥密码防止伪造和欺骗的一种身份认证。

消息认证又称为鉴别、确认，它是验证所收到的消息确实是来自真正的发送方且未被修改的消息，它也可验证消息的顺序和及时性。

认证是防止主动攻击的重要技术。

网络攻击的两种手段

被动攻击

通过侦听和截取手段获取数据

主动攻击

通过伪造、重放、篡改、乱序等手段改变数据

报文鉴别的方式

报文加密函数：

加密整个报文，以报文的密文作为鉴别

报文鉴别码：

依赖公开的函数对报文处理，生成定长的鉴别标签

散列函数：

将任意长度的报文变换为定长的报文摘要，并加以鉴别

报文鉴别的过程及每个过程的鉴别方法

报文源的鉴别、报文宿的鉴别、报文时间性的鉴别、报文内容的鉴别

最常用的散列函数

MD5、SHA-1算法

数字签名的特征、体制、问题与改进

数字签名的特征

收方能够确认或证实发方的签名，但不能伪造

发方发出签名的消息给收方后，就不能再否认他所签发的消息

收方对已收到的签名消息不能否认

第三者可以确认双方之间的消息传送，但不能伪造这一过程

签名和验证都比较容易操作

数字签名中的问题与改进

签字后的文件可能被接收方重复使用

改进：

加入特有凭证（如时间戳）

安全的密钥越来越长

问题：

①运算速度较慢；②密钥存储和管理问题

改进：

设计新的算法

公钥算法不宜用于长文件的加密

改进：

先哈希，再加密

Kerberos网络用户认证系统的认证过程

●用户登录工作站并请求主机服务（要输入口令）c,tgs

●认证服务器AS验证用户的访问权限，创建票据许可票据TGT和会话密钥，使用从用户密码得到的密钥加密消息{Kc,tgs}Kc,{Tc,tgs}Ktgs

●工作站提示用户输入密码并使用密码解密输入消息，然后发送票据以及包含用户名、网络地址和TGS时间的认证码。

{Ac,tgs}Kc,tgs,{Tc,tgs}Ktgs

●TGS解密票据和鉴别码，验证请求，然后为被请求的服务器生成票据{Kc,s}Kc,tgs,{Tc,s}Ks

●工作站发送服务授权票据和认证码给服务器{Ac,s}Kc,s,{Tc,s}Ks

●服务器验证票据，认证通过后授权服务访问。

如果需要相互认证，则服务器返回认证码{t}Kc,s

公钥基础设施PKI的基本组成

CA、数字证书库、密钥备份及恢复系统、证书注销系统

公钥的分配方法

公开发布、公开可访问目录、公钥授权、公钥证书

利用公钥分配对称密钥

简单的秘密钥分配

具有保密性和真实性的秘密钥分配

Diffie-Hellman密钥交换

数学基础：

计算离散对数困难性

实验-PGP

加解密

认证

第三章系统漏洞与扫描技术

网络攻击的基本步骤

●隐藏位置

●网络探测和资料收集，寻找攻击目标（踩点）

●弱点挖掘（寻找漏洞）

●掌握控制权

●隐藏行踪

●实施攻击

●开辟后门

漏洞的定义

是一切攻击行为和事件的起源。

从广泛的意义上看，漏洞是在硬件、软件、协议的具体实现或系统安全策略以及人为因素上存在的缺陷，它可以使黑客能够在未经系统的许可者授权的情况下访问或破坏系统。

漏洞的分类

按形成的原因：

逻辑结构、设计错误、开放式协议、人为

按发现的先后顺序：

已知、未知和0day

Windows系统常用命令

ipconfig、ping、nbtstat、netstat、tracert

ipconfig

用于显示当前的TCP/IP配置的设置值

pingIP

用于检查网络是否畅通或网络连接速度的程序

nbtstat

用于查看当前基于NETBIOS的TCP/IP连接状态，通过该工具你可以获得远程或本地机器的组名和机器名

netstat

用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况

tracertIP

是路由跟踪实用程序，用于确定IP数据包访问目标所采取的路径

端口扫描工具的基本工作原理

每种操作系统都有不同的端口开放供系统间通信使用，因此从端口号上可以大致判断目标主机的操作系统

“扫描”的出发点——与目标端口建立TCP连接，探测目标计算机提供了哪些服务

如果目标主机该端口有回应，则说明该端口开放，即为“活动端口”

端口扫描工具的主要功能

⏹扫描目标主机识别其工作状态（开/关机）

⏹识别目标主机端口的状态（监听/关闭）

⏹识别目标主机系统及服务程序的类型和版本

⏹根据已知漏洞信息，分析系统脆弱点

⏹生成扫描结果报告

端口扫描工具的扫描类型

全TCP连接、半打开式扫描、秘密扫描、第三方扫描

常用的端口扫描工具

Nmap、X-Scan…

网络监听原理（Wireshark）

网卡设为混杂模式

实验-网络身份隐藏

代理服务器的工作过程

更改MAC地址隐藏身份

第四章几种常见网络攻击技术

ARP协议的工作过程

1、查询ARP高速缓存区

2、发送ARP请求

3、将发送请求的源地址存入高速缓存区

4、发送ARP应答

5、将得到的目的地址存入高速缓存区

ARP欺骗的基本原理

冒充网关

⏹攻击者以间断循环的方式不停地向整个局域网里所有的计算机发送ARP请求包，欺骗局域网中所有的计算机把攻击者的机器当成网关，从而让局域网中所有的机器都把数据包发给它，然后再由它来转发到Internet上。

⏹注：

ARP不能通过IP路由器发送广播，所以不能用来确定远程网络设备的硬件地址。

IP欺骗的基本原理

☐攻击原理1

⏹攻击者伪造的IP地址不可达或者根本不存在。

⏹主要用于迷惑目标主机上的入侵检测系统,或者是对目标主机进行DOS攻击

☐攻击原理2

⏹攻击者伪造他人的源IP地址。

⏹利用主机之间的正常信任关系。

⏹基于“三次握手”

⏹实现过程

☐使被信任的主机（Y）瘫痪

☐猜出目标主机（X）的序列号ISN

☐发送ACK，建立连接

Dos攻击的基本原理和基本步骤

TCP“三次握手”

Ddos攻击的基本原理

“肉机”攻击

第五章网络安全协议

SSL的体系结构及各协议的作用

记录协议，提供连接的安全性（保密性、完整性）

¡定义了一系列的传输格式

¡用来封装高层协议

¡提供连接的安全性，有两个特点：

¡保密性，使用了对称加密算法

¡完整性，使用HMAC算法

握手协议，密钥协商

¡客户和服务器之间相互认证

¡协商加密算法和会话密钥

¡提供连接的安全性，有三个特点：

¡身份认证、密钥的安全性、协商过程的可靠性

两个重要概念

SSL会话和SSL连接

¡SSL连接（connection）

¡连接是提供合适服务类型的一种传输（OSI模型）

¡SSL的连接是端对端的关系

¡连接是暂时的，每一个连接和一个会话关联

¡SSL会话（session）

¡一个客户端和服务器间的关联。

会话由握手协议创建，会话定义了一组可供多个连接共享的密码安全参数。

¡会话用以避免为每一个连接提供新的安全参数，从而减少了昂贵的协商代价

SET协议

双向签名

IPSec的应用方式

端到端、端到路由、路由到路由

¡端到端（end-end）：

主机到主机的安全通信

¡端到路由（end-router）：

主机到路由之间的安全通信

¡路由到路由（router-router）：

路由到路由之间的安全通信，常用于在两个网络之间建立虚拟专用网（VPN）

IPSec的内容

AH协议：

数据完整性、数据源身份认证和抗重放攻击服务

ESP协议：

通信的机密性或/和完整性保护

IPSec安全体系结构

IPSec的工作模式、协议格式及优缺点

传输模式

隧道模式

实验

第六章防火墙技术

防火墙的概念

网间控制，组件集合

–防火墙是位于两个（或多个）网络间，实施网间访问控制的一组组件的集合。

它满足以下条件：

–内部和外部之间的所有网络数据流必须经过防火墙

–只有符合安全策略的数据流才能通过防火墙

–防火墙自身应对渗透（peneration）免疫（不受各种攻击的影响）

防火墙的发展历史

路由器、软件、通用OS、专用OS

防火墙的四种类型（结构、功能、优缺点）

分组过滤路由器（包过滤技术）

–又称包过滤防火墙或屏蔽路由器

–通过检查经过路由器的数据包源地址、目的地址、TCP端口、UDP端口等参数，并由策略决定是否允许该数据包通过，并对其进行路由选择转发。

•特点

–屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。

–实现IP层的安全

•缺点

–在主机上实现，是网络中的“单失效点”

–不支持有效的用户认证，不提供有用的日志，安全性低

双宿主机（代理服务技术）

•优缺点

–堡垒主机的系统软件可用于身份认证和维护系统日志，有利于进行安全审计

–仍然是“单失效点”

–隔离了一切内部网与Internet的直接连接

屏蔽主机（动态检测）

•特点

–既能够提供代理服务的控制灵活性，又能够提供包过滤的高效性，是二者的结合

•主要优点

–高安全性（工作在数据链路层和网络层之间；“状态感知”能力）

–高效性（对连接的后续数据包直接进行状态检查）

–应用范围广（支持基于无连接协议的应用）

•主要缺点

–状态检测防火墙在阻止DDoS攻击、病毒传播问题以及高级应用入侵问题（如实现应用层内容过滤）等方面显得力不从心

屏蔽子网（NAT技术）

特点：

不需维护地址的转换状态表

PAT特点：

除了地址信息，还包括源/目的端口信息

防火墙的局限性

安全性↑灵活性↓

网络功能↓

并非万无一失

•网络的安全性通常是以网络服务的开放性和灵活性为代价的

•防火墙的使用也会削弱网络的功能：

–由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受到阻碍；

–由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，还减慢了信息传输速率，在大量使用分布式应用的情况下，使用防火墙是不切实际的。

•防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失：

–只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力；

–不能解决来自内部网络的攻击和安全问题；

–不能防止受病毒感染的文件的传输；

–不能防止策略配置不当或错误配置引起的安全威胁；

–不能防止自然或人为的故意破坏；

–不能防止本身安全漏洞的威胁。

实验

第七章反病毒技术

病毒的定义

广义、法律

•广义的定义

–凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒（ComputerVirus）

•法律性、权威性的定义

–指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用，并能够自我复制的一组计算机指令或者程序代码

病毒的特征

寄生性、隐蔽性、传染性、潜伏性、可触发性…

•寄生性

–依附于合法的程序之中

–病毒所寄生的合法程序被称为病毒的载体，也称为病毒的宿主程序

•隐藏性

–短小精悍，发作前不易被用户察觉和发现

–存在的隐蔽性和传染的隐蔽性

•传染性

–通过各种渠道从已被感染的计算机扩散到感染的计算机

–是病毒的基本特征，是判别一个程序是否是计算机病毒的首要条件

•潜伏性

–侵入系统后，不会立即进行活动

–潜伏期越长，病毒的传染性越大

•可触发性

–因某个特征或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性

•破坏性或表现性（书P204）

–降低系统的工作效率，占用系统资源

•针对性

–只破坏某些特定的物理设备或系统

病毒的传播途径

硬盘、移动硬盘、网络、点对点通信

•通过不可移动的计算机硬件设备进行传播

–专用芯片ASIC传播

–通过硬盘感染传播

•通过移动存储设备传播

–软盘、移动硬盘、优盘、光盘等，特别是盗版光盘

•通过计算机网络传播

–文件共享、电子邮件、网页浏览、文件下载

–网络聊天工具

–系统漏洞

•通过点对点通信系统和无线信道传播

病毒的分类**

按照传播媒介、按照感染或者寄生的对象、按照计算机病毒的破坏情况分类…

•按照传播媒介可分类：

–以磁盘为载体的单机病毒

–以网络为载体的网络病毒

•按照感染或者寄生的对象分类

–引导型病毒

–文件型病毒

–混合型病毒

•按照计算机病毒的破坏情况分类

–良性病毒

–恶性病毒

•按攻击的对象分类

–可以分为攻击微机型、攻击小型机、攻击大型机、攻击工作站、攻击便携式电子设备、攻击计算机网络6种

•按攻击的操作系统分类

–可以分为攻击DOS系统、攻击Windows系统、攻击UNIX系统、攻击OS/2系统、攻击嵌入式操作系统5种

•按照恶意操作的类型分类

–分区表病毒、引导区病毒、文件感染病毒、变形病毒、木马病毒、蠕虫病毒、宏病毒、钓鱼程序、恶意软件等

•按链接方式分类

–可以分为源码型病毒、入侵型病毒/嵌入型病毒、外壳型病毒、操作系统型病毒

•从广义病毒定义的角度

–逻辑炸弹

•修改计算机程序，使它在某种特殊条件下按某种不同的方式运行。

逻辑炸弹也是有程序员插入其它程序代码中间的，但并不进行自我复制。

–特洛伊木马

–计算机蠕虫

逻辑炸弹、木马、宏病毒的实现原理

逻辑炸弹

修改计算机程序，使它在某种特殊条件下按某种不同的方式运行。

逻辑炸弹也是有程序员插入其它程序代码中间的，但并不进行自我复制。

木马：

C/S模式，服务器提供服务，客户机接受服务。

作为服务器的主机一般会打开一个默认的端口进行监听，如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序被称为守护进程。

宏病毒：

是一种存储于文档、模板或加载宏程序中的计算机病毒

蠕虫的特点

主动传播、自我复制

利用网络中软件系统的缺陷，进行自我复制和主动传播

与病毒在文件之间的传播不同，它们是从一台计算机传播到另一台计算机，从而感染整个系统

计算机病毒的表现症状**

•屏幕显示异常

–提示一些不相干的话

–产生特定的图象

–强制进行游戏算法

–字符倒置、图形翻转等

•系统声音异常

–内置喇叭发出奇怪的声音

–播放一段的音乐

•键盘工作异常

–封锁键盘、使键盘无法输入

–输入紊乱，屏幕显示和实际输入不一致，或键盘输入变成杂乱字符

•屏幕显示异常

–提示一些不相干的话

–产生特定的图象

–强制进行游戏算法

–字符倒置、图形翻转等

•系统声音异常

–内置喇叭发出奇怪的声音

–播放一段的音乐

•键盘工作异常

–封锁键盘、使键盘无法输入

–输入紊乱，屏幕显示和实际输入不一致，或键盘输入变成杂乱字符

•文件系统异常

–文件长度变化

–出现一些来历不明的文件

–文件目录混乱

–文件丢失或毁坏

–部分文档自动加密码

–对文件无法进行复制、粘贴、删除操作

•网络异常

–自动链接到一些陌生的网站，或主页被修改

–自动发送电子邮件

–浏览器操作异常或无法更改设置

–自动向网络发送大量信息

•其它异常

–Windows桌面图标发生变化

–无意中要求对软盘进行写操作

–硬盘灯不断闪烁

鼠标自己在动

计算机病毒的防范技术

检测、清除、免疫、预防

•检测技术

–是指通过一定的技术手段判定出病毒的技术

•在特征分类的基础上建立的病毒识别技术

•通过病毒行为或文件校验和的病毒判定技术

•清除技术

–根据不同类型病毒的感染机制确定相应的消除方法，进而从被感染的对象中摘除该病毒代码，并恢复被感染程序的原有结构信息

–可用专用软件杀毒或手工进行杀毒

–文件覆盖

•免疫技术

–原理

•根据病毒签名来实现。

由于有些病毒在感染其他程序时要先判断是否已被感染过，即欲攻击的宿主程序是否已有相应病毒签名，如有则不再感染

•预防技术

–通过对病毒分类和采取监控措施，阻止病毒进入系统，以达到保护系统的目的

•对已知病毒的预防采用特征判定技术

•对未知病毒的预防采用行为监控技术

第八章入侵检测系统

入侵检测有关概念

入侵、入侵检测、入侵检测系统

⏹入侵（Intrusion）

⏹是指系统发生的任何违反安全策略的事件，包括对系统资源的非法访问、恶意攻击、探测系统漏洞和攻击准备等对网络系统造成危害的各种行为。

⏹入侵检测（IntrusionDetection）

⏹是指通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现或识别企图入侵、正在进行的入侵或已经发生的入侵的技术。

⏹入侵检测系统（IDS）

⏹用于进行入侵检测的自动化工具，是入侵检测的软件与硬件的组合。

入侵检测的起源

审计技术

入侵检测的工作模式

收集、分析、响应和记录

入侵检测系统的通用模型及其各模块的功能

事件产生器、事件分析器、事件响应器、事件数据库

⏹事件产生器

⏹负责收集、采集各种原始数据，且将其转换为事件，向系统的其他部分提供此事件。

⏹收集内容：

系统、网络数据及用户活动的状态和行为。

⏹不同关键点的信息：

系统或网络的日志文件、网络流量、系统目录和文件的异常变化、程序执行中的异常行为

⏹注意：

首先要保证用来检测网络系统的软件的完整性，特别是IDS本身的坚固性。

⏹事件分析器

⏹接收事件信息，对其进行分析，判断是否为入侵行为或异常现象，最后将判断的结果转变为告警信息。

⏹分析方法

⏹模式匹配（与已知的攻击进行比较）

⏹统计分析（确定对象的异常行为）

⏹完整性分析（常用于事后分析）

⏹事件数据库

⏹存放各种中间和最终数据的地方

⏹从事件产生器或事件分析器接收数据，一般会将数据进行较长时间的保存，以便于今后的关联分析等。

⏹响应单元

⏹根据告警信息作出反应，是IDS中的主动武器

⏹可作出

⏹强烈反应：

切断连接、改变文件属性等

⏹简单的报警：

给管理员发送短信等。

检测IDS性能的两个关键参数

误报率、漏报率

⏹误报（falsepositive）

⏹实际无害的事件却被IDS检测为攻击事件

⏹漏报（falsenegative）

⏹一个攻击事件未被IDS检测到或被分析人员认为是无害的

入侵检测系统的分类

据其采用的分析方法（检测原理）分☆

用检测、异常检测

据数据来源分

HIDS、NIDS

据体系结构

集中式、分布式

据系统的工作方式

离线、在线

入侵检测技术

异常检测技术：

概率统计异常检测

误用/滥用检测技术：

专家系统滥用检测

高级检测技术：

遗传算法、数据挖掘

入侵诱骗技术：

Honeypot

入侵响应技术：

主动响应、被动响应