網絡安全技術（第4版）複習資料整理

第一章：

一、2017年6月1日，《網絡安全法》開始實施。

二、網絡安全5大基本要素：保密性、完整性、可用性、可控性、不能否認性。

三、計算機網絡面臨的威脅：

（1）主動攻擊：終端、篡改、僞造

（2）被動攻擊：截獲、竊取。

四、網絡脆弱性的緣由：

（1）開放的網絡環境（網絡用戶能夠自由訪問網站，不受時間和空間約束，病毒等有害信息能夠在網絡快速擴散）。

（2）協議自己脆弱性（網絡傳輸離不開協議，二這些協議在不一樣層次、不一樣方面都存在漏洞）。

（3）操做系統漏洞（系統設計存在缺陷、系統源代碼存在漏洞、用戶配置不正確形成的安全問題）。

（4）人爲因素（安全意識薄弱）。

五、2015年6月11日增設網絡空間安全一級學科。

六、信息安全的四個階段：

（1）通訊保密階段（1959年，香農發表《保密通訊的信息理論》將密碼學歸入科學軌道，1976年Diffie和Hellman提出公鑰密碼體制，1977年，美國公佈《國家數據加密標準DES》）。

（2）計算機安全階段（1983年，美國國防部出版《可信計算機系統評價準則》）。

（3）信息技術安全階段（1993-1996年，美國國防部提出《信息技術安全通用評估標準》，即CC標準）。

（4）信息保障階段（各國提出信息安全保障體系）。

七、DMZ區：

（1）概念：DMZ區，即非軍事化區。它是爲了解決安裝防火牆後外部網絡的訪問用戶不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩衝區，該緩衝區是位於企業內部網絡和外部網絡之間的小網絡區域。

（2）訪問權限：內網能夠訪問外網，內網能夠訪問DMZ區，外網不能夠訪問內網，外網能夠訪問DMZ區，DMZ訪問內網有限制，DMZ不能訪問外網（SMTP除外）。

第二章：

一、搜索引擎：

Intitle：搜索範圍限定在網頁標題

Site：搜索範圍限定在特定站點中

Inurl：搜索範圍限定在url連接中

Filetype：搜索範圍限定在指定文檔格式中

Link：搜索某個連接的反向連接

例：filetype:xlsintitle:學院

           inurl:login.php title:公司

           intitle:index of /images

二、常見端口：

21：ftp                               443：https

22：ssh                              1433：ms sql server

23：telnet                           1521：oracle

25：smtp                            3306：mysql

53：dns                              3389：rdp

80：http                             8080：proxy

110：pop3

161：snmp

三、nmap掃描：

-sP (Ping掃描)：僅對主機進行ping掃描（主機發現），輸出作出響應的主機列表，無進一步測試。

-sT（TCP 全鏈接掃描）：調用socket函數connect（）鏈接到目標主機，完成一次完整的三次握手過程，若是目標端口處於開放狀態，connect（）成功返回。

       -sS  (TCP 半鏈接掃描)：掃描器向目標主機發送SYN數據包，若是應答爲RST包，那麼說明目標端口關閉，若是應答爲SYN+ACK包，那麼說明該端口處於監聽狀態，此時向目標主機傳送一個RST包來中止鏈接。

       -sU  (UDP掃描)：發送空的（沒有數據）UDP報頭到目標端口，若是返回ICMP端口不可達（代碼3），該端口關閉，若是返回其餘ICMP不可達錯誤，代表該端口被過濾（filtered）。

       -sF（TCP FIN掃描）：掃描器向目標主機發送FIN包，當FIN包到達關閉的端口，數據包被丟棄，同時返回RST包，若到達打開的端口，數據包被求其且不返回數據包。

四、死亡之ping：ping -t -l 65500

原理：利用ip數據包頭部的數據長度進行攻擊，經過發送大於65536字節的ICMP包使對方操做系統崩潰。一般咱們不能夠發送大於65536字節的ICMP包，但能夠把報文分割成片斷，而後再目標主機上重組，最終致使目標主機緩衝區溢出。

五、SYN洪水（簡答，5分）

原理：客戶端向服務器發送SYN請求數據包，服務器發送SYN+AKC數據包對客戶端進行響應，在服務器發送響應數據包後，將會等待一段時間以接收來自客戶端的確認數據包，此時，服務器與客戶端創建鏈接所需的資源一直被佔用。SYN洪水就是利用在這段時間內向服務器發送大量SYN請求而不做ACK確認的方式，使大量鏈接處於等待狀態，最終致使服務器資源被耗盡。

第三章：

一、計算機病毒的定義：計算機病毒，指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用而且可以自我複製的一組計算機指令或者程序代碼。

二、計算機病毒是程序。

三、計算機病毒的分類（按宿主分類）：

（1）引導性病毒：引導型病毒隱藏在ROM BIOS中，先於操做系統，依託的環境是BIOS中斷服務程序。引導型病毒利用操做系統的引導模塊放置在某個固定位置，而且控制權的轉交方式是以物理地址爲依據，而不是操做系統引導區的內容爲依據。所以，病毒佔據該物理位置便可得到控制權，而將真正的引導區內容搬家轉移或更換，待病毒程序被執行後，將控制權交給真正的引導區內容，使這個帶病毒的系統看似正常運轉，病毒卻已隱藏在系統中乘機傳染、發做。

（2）文件型病毒：文件型病毒主要以可執行文件爲宿主，通常感染擴展名爲「.com」」.exe」和」.bat」等可執行文件。文件病毒一般隱藏在宿主程序中，執行宿主程序時，將會先執行病毒程序，再執行宿主程序，看起來一切正常。而後，病毒駐留內存，乘機傳染其餘文件或直接傳染其餘文件。

（3）宏病毒：宏病毒主要以MicrosoftOffice的「宏」爲宿主，寄存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔，其中的宏就會被執行，因而宏病毒就會被激活，並能經過DOC文檔以及DOT模板進行自我複製及傳播。

三、引導型病毒和文件型病毒區別：

（1）文件型病毒是病毒藏在文件裏，執行可執行文件時發做。

（2）引導型病毒是病毒藏在硬盤的引導扇區裏，系統啓動時發做。

四、世界上出現的第一個病毒：

Brain，由巴基斯坦兩兄弟爲了保護軟件著做權制做的引導型病毒。

五、中國出現的第一個病毒：小球病毒。

六、蠕蟲病毒和普通病毒的區別：

 七、計算機的四大組成部分：

（1）感染標誌：計算機病毒在感染前，須要先經過識別感染標誌判斷計算機系統是否被感染。若判斷沒有被感染，則將病毒程序的主體設法引導安裝在計算機系統，爲其感染模塊和破壞表現模塊的引入、運行和實施作好準備。

（2）引導模塊：實現將計算機病毒程序引入內存，並使得傳染和表現模塊處於活動狀態。引導模塊須要提供自我保護功能，避免在內存中的自身代碼不被覆蓋或清除。計算機病毒程序引入內存後，爲傳染模塊和表現模塊設置相應的啓動條件，以便在適當的時候或合適的條件下激活傳染模塊或者出發表現模塊。

（3）感染模塊：

1感染條件判斷子模塊：根據引導模塊設置的傳染條件，判斷當前系統環境是否知足傳染條件。

2傳染功能實現子模塊：若是傳染條件知足，則啓動傳染功能，將計算機病毒程序附加在其餘宿主程序上。

（4）破壞模塊

1激發控制：當病毒知足某一條件，病毒發做。

2破壞操做：不一樣病毒由不一樣的操做方法，典型的惡性病毒是瘋狂拷貝、刪除文件等。

八、病毒的防禦（簡答題、填空題）：

（1）特徵代碼法（文件特徵代碼、內存特徵代碼）：當病毒公司收集到一種新的病毒時，就會從這個病毒程序中街區一小段獨一無二並且足以表示這種病毒的二進制代碼，來看成掃描程序辨認此病毒的依據，而這段獨一無二的二進制代碼，就是所謂的病毒特徵碼。分析出病毒特徵碼後，並集中存放於病毒代碼庫文件中，在掃描的時候將掃描對象與特徵代碼庫比較，若是爲什麼，則判斷爲感染上病毒。

（2）特徵代碼法優勢：檢測準確、可識別病毒名稱、誤報率低、依據檢測結果可作殺毒處理。

（3）特徵代碼法缺點：速度慢、不能檢測多形性病毒、不能對付隱蔽性病毒、不能檢測未知病毒。

第四章：

一、密碼學五元組：

（1）明文：m      明文空間：M

（2）密文：c       密文空間：C

（3）密鑰：k

（4）加密函數：E

（5）解密函數：D

二、對稱密碼和非對稱密碼的區別（填空題）：對稱密碼加密和解密使用的密鑰同樣，非對稱密碼加密和解密使用的密鑰不同。

三、仿射密碼：

（1）例題：密文UCR由仿射函數9x+2（mod 26）加密的，求明文。

（2）解答：由仿射密碼解密函數：m=D_k1,k2（c）=（（c-k2）*k1^-1）mod26，其中，k1=9，k2=2。

求k1在mod26條件下的逆元：

N=A*a（0）+r（0）

A=r（0）*a（1）+r（1）

r（0）=r（1）*a（2）+r（2）

…

r（n-1）=r（n）*a（n+1）+0

其中N=26，A=k1=9；

 

              a（n）   a（n-1） …        a2                 a1                a0

b（-1）   b（0）    b（1）   …     b（n-2）       b（n-1）       b（n）

 

26=9*2+8；

9=8*1+1；

8=1*8+0；

由上面公式：b-1=1，b0=1*1=1，b1=1+b0*2=bn

因爲商的個數爲偶數，因此，k1在mod26條件下的逆元爲：3

因此：m=D_k1,k2（c）=（（c-k2）*3）mod26

U=20，C=2，R=17

因此，m（U）= D_k1,k2（20）=2=C

  m（C）= D_k1,k2（2）=0=A

  m（R）= D_k1,k2（17）=19=T

明文爲：CAT

四、playfire密碼：

（1）例題：明文this is playfire cipher 密鑰：can you get the cipher，求密文。

（2）解答：由題中條件，構造playfire密鑰矩陣：

將明文拆分紅兩個一組：th isis pl ay fi re ci ph er

經過密鑰矩陣及playfire加密規則，獲得密文：hu fc fc rk no sf lr uf dg rl

五、vigenenre密碼：

（1）例題：m=VIGENENRE，k=HELLO，求密文。

（2）解答：由vigenenre密碼計算公式：c=E_ki（m）=（m+ki）mod26 （i=一、二、三、四、5）

   H=7，E=4，L=11，O=14，因此，k1=7，k2=4，k3=11，k4=14

   V=21，I=8，G=6，E=4，N=13，R=17

   c(V)= E_k1（V）=(21+7)mod26=2=C

   c(I)= E_k2（I）=(8+4)mod26=12=M

   c(G)= E_k3（G）=(6+11)mod26=17=R

   c(E)= E_k4（E）=(4+11)mod26=15=P

   c(N)= E_k5（N）=(13+14)mod26=1=B

c(E)= E_k1（E）=(4+7)mod26=15=P

   c(N)= E_k2（N）=(13+4)mod26=17=R

   c(R)= E_k3（m）=(17+11)mod26=12=M

c(E)= E_k4（E）=(4+11)mod26=15=P

密文爲：CMRPBPRMP

六、RSA密碼（給出p、q、e，求x）：

（1）例題：給出p=7，q=17，e=5，求x

（2）解答：

  1n=p*q=119

  2Φ（n）=（p-1）*（q-1）=96

  3選取公鑰e，使得gcd（e，Φ（n））=1，題目已經選取e=5

  4計算私鑰d：使得（d*e）modΦ（n）=1，即（d*e）=k*96+1

  5取k=4，計算得d=77

  公開（n，e）=（119，5），將d保密。明文：m=19

  加密：c=m^emod（n）=19⁵mod（119）=66

  解密：m=c^dmod（n）=66⁷⁷mod（119）=19

七、逆元的含義：模n意義下，1個數a若是有逆元x，那麼除以a至關於乘以x。

八、DES的密鑰輸入的時候是64爲，在作了第一次壓縮以後，變成56位。

九、摘要算法：MD5算法輸出散列值128位，sha算法輸出的散列值爲160位。

十、數字信封：數字信封是指發送方使用接收方的公鑰來加密對稱密鑰後所得的數據，數字信封是用來確保對稱密鑰傳輸安全性的技術。

十一、數字簽名：數字簽名指用戶用本身的私鑰對原始數據的哈希摘要進行加密所得的數據，數字簽名是用來確保發送者對發送的信息不能否認的技術。

十二、完整加密的加密解密流程：

  

1三、PKI四大組成部分：

（1）權威認證機構（CA）：擔任用戶公鑰證書的生成和發佈或CRL的發佈職能。

（2）註冊機構（RA）：1進行證書申請者的身份認證，2向CA提交證書申請請求，3驗證接收到的CA簽發的證書，並將之發放給證書申請者。4必要時，協助證書做廢過程。

（3）證書：符合必定格式的電子文件，用來識別電子證書持有者的真實身份。

（4）終端實體：1初始化（註冊），2證書密鑰更新，3證書撤銷/廢止/更新請求。

1四、PKI中，數字證書包含的內容：

（1）包含姓名、地址、公司、電話號碼、Email地址…與身份證上的姓名、地址等相似。

（2）包含證書全部者的公鑰。

第五章：

一、實體鑑別方法：

（1）實體所知（知識、口令、密碼）

（2）實體全部（身份證、信用卡、鑰匙、智能卡、令牌等）

（3）實體特徵（指紋，筆跡，聲音，手型，臉型，視網膜，虹膜）

二、訪問控制的實現：

（1）訪問控制列表（ACL）：客體被主體訪問的權限。

 

（2）訪問控制矩陣（ACM）：

行：主體（用戶）

列：客體（文件）

矩陣元素：規定了相應用戶對應於相應的文件被准予的訪問許可、訪問權限。

  

（3）訪問控制能力列表（ACCL）：主體可訪問客體的權限。

三、防火牆發展歷程：

四、防火牆體系結構：

（1）雙宿主主機體系結構：雙宿主主機位於內部網和Intelnet之間，通常來講，使用一臺裝有兩塊網卡的堡壘主機做防火牆。這兩塊網卡各自與受保護的內部網和外部網相連，分別屬於內網兩個不一樣的網段。

 

（2）被屏蔽主機體系結構：屏蔽主機防火牆易於實現，由一個堡壘主機屏蔽路由器組成。堡壘主機被安排在內部局域網中，同時在內部網和外部網之間配備了屏蔽路由器，在這種體系結構中，一般在路由器上設置過濾規則，外部網絡必須經過堡壘主機才能夠訪問內部網絡中的資源，並使這個堡壘主機成爲從外部網絡惟一能夠直接到達的主機，對內部網絡基本控制策略由安裝在堡壘主機上的軟件決定，確保內網不被未被受權的外部用戶攻擊。

 

（3）被屏蔽子網體系結構：屏蔽子網防火牆由一個防火牆和兩個路由器構成屏蔽子網。與被屏蔽主機體系結構相比，被屏蔽子網體系結構添加了周邊網絡，在外部網絡與內部網絡之間加上了額外的安全層。

  

五、防火牆原理：

（1）包過濾防火牆：包過濾防火牆在網絡層實現數據的轉發，包過濾模塊通常檢查網絡層、傳輸層內容，包括下面幾項，

① 源、目的IP地址；

② 源、目的端口號；

③ 協議類型；

④ TCP報頭的標誌位。

（2）代理防火牆：在一臺代理設備的服務器和客戶端之間創建一個過濾措施，就成了「應用代理」防火牆。這種防火牆其實是一臺小型的帶有數據「檢測、過濾」功能的透明代理服務器，可是並非單純的在一個代理設備中引入包過濾技術，而使用「應用協議分析」技術。

（3）狀態檢測防火牆：狀態檢測防火牆經過一種被稱爲「狀態監視」的模塊，在不影響網絡安全正常工做前提下，採用抽取相關數據的方法，對網絡通訊的各個層次實行監測，並根據各類過濾規則作出安全決策。

（4）複合型防火牆：複合型防火牆採用自適應代理技術，初始的安全檢測仍然發生在應用層，一旦安全通道創建後，隨後的數據包就能夠從新定向到網絡層，並能夠根據用戶定義的規則，動態「適應」傳送中的數據流量。

第七章：

一、SQL注入流程：

（1）判斷環境，尋找注入點，判斷網站後臺數據庫類型。

（2）根據諸如參數類型，在腦海中重構SQL語句原貌，從而猜想數據庫中的表名和列名。

（3）在表名和列名猜解成功後，在使用SQL語句，得出字段的值。