《网络安全重要知识点》由会员分享,可在线阅读,更多相关《网络安全重要知识点(5页珍藏版)》请在金锄头文库上搜索。
1、1、在PGP中,发送方执行签名、加密、压缩操作的顺序是什么?为什么要按这样的顺序进行?答:对未压缩的邮件正文进行散列计算后,再对散列值进行签名。然后将邮件正文和签名拼接后进行压缩后加密。在压缩之前进行签名的主要原因有两点:一是对没压缩的消息进行签名,可便于对签名的验证,如果在压缩后再签 名,则需要保存压缩后的消息或在验证时重新压缩消息,增加了处理的工作量;二是由于压缩算法ZIP在不同的实 现中会在运算速度和压缩率之间寻求平衡,因而可能会产生不同的压缩结果,因此压缩后再进行签名就可能导致无 法实现鉴别(接收方在验证签名时可能会因压缩的原因而出现验证失败)。PGP对加密前的明文(含签名)进行压 缩
2、,而不是在加密后再压缩的主要原因也有两点:一方面因为先压缩再加密方案缩短了报文大小,从而减少了网络 传输时间和存储空间;另一方面经过压缩实际上是经过了一次变换,变换后减少了明文中上下文的关系,比原始消 息的冗余信息更少,再加密的安全性更高,而如果先加密,再压缩,效果会差一些。2、分析DNSSEC的优缺点答:DNSSEC通过数字签名保证域名信息的真实性和完整性,防止对域名服务信息的伪造、篡改。但是,DNSSEC并 不保证机密性,因为它不对DNS记录进行加密,同时它也解决不了 DNS服务器本身的安全问题,如被入侵、存储 的Zone数据被篡改、拒绝服务攻击、DNS软件的实现问题等。另外,由于DNSS
3、EC的报文长度增加和解析过程繁复, 在面临DDoS攻击时,DNS服务器承受的负担更为严重,抵抗攻击所需的资源要成倍增加。3、简述Web应用防火墙的工作原理答:对每一个HTTP/HTTPS请求进行内容检测和验证,确保每个用户请求有效且安全的情况下才交给Web服务器处 理,对非法的请求予以实时阻断或隔离、记录、告警等。WAF主要提供对Web应用层数据的解析,对不同的编码方式做强制多重转换还原为可分析的明文,对转换后的消 息进行深度分析。主要的分析方法有两类,一类是基于规则的分析方法,另一类是异常检测方法4、设H是一个安全的哈希函数,Alice将消息和其哈希值M|H(M)一并发送,以检测消息是否在传
4、输过程中被篡改, 问:这样做可否达到Alice的安全目标?为什么?答:不能,因为Hash函数本身没有密钥,给定M,任何人(包括攻击者)都可以正确计算出其哈希值,所以 攻击者可以将Alice发送的消息M修改为M,并计算H( M,),而接收方无法确定原始消息的完整性。5、考虑RSA密码体制:令p=3, q=11, d=7, m=5,给出密文C的计算过程。6、考虑RSA密码体制:设n=35,已截获发给某用户的密文C = 10,并查到该用户的公钥e = 5,求出明文M7、在网络攻击中,拒绝服务攻击除了用于致瘫攻击目标外,是否还可作为其他攻击的辅助手段?试举例说明。答:SYN Flood攻击可以用于IP
5、劫持、IP欺骗等。当攻击者想要冒充C跟B通信时,通常要求C不能响应B的 消息,为此,攻击者可以先攻击C (如果它是在线的)使其无法对B的消息进行响应。然后攻击者就可以通过窃听 发向C的数据包,或者猜测发向C的数据包中的序列号等,然后冒充C与第三方通信。一些系统在启动时会有漏洞,可以通过拒绝服务攻击使之重启,然后在该系统重启时针对漏洞进行攻击。如 RARP-boot,如果能令其重启,就可以将其攻破。有些网络中,当防火墙关闭时允许所有数据包都能通过(特别是对于那些提供服务比保障安全更加重要的场合, 如普通的ISP),则可通过对防火墙进行拒绝服务攻击使其失去作用达到非法访问受保护网络的目的如果攻击者
6、已经修改了系统的管理权限,可能需要采取拒绝服务攻击的手段使系统重启或者迫使系统的真正管理员 重启系统,以便使改动的配置生效。8、拒绝服务攻击的核心思想是什么?答:依靠消耗网络带宽或系统资源(如,处理机、磁盘、内存)导致网络或系统不胜负荷以至于瘫痪而停止提供 正常的网络服务或使服务质量显著降低,或通过更改系统配置使系统无法正常工作(如,更改路由器的路由表),来 达到攻击的目的。9、有状态的包过滤防火墙相比于无状态的包过滤防火墙有哪些优点?答:有状态的包过滤防火墙在接收到数据包时,将以连接状态表为基础,依据配置的包过滤规则,判断是否允 许数据包通过,从而更加有效地保护网络安全;有状态的包过滤防火墙
7、能够提供更全面的日志信息。9、论述SSL/TLS是如何应对Web应用面临的下述安全威胁:(1) 已知明文字典攻击:许多消息中可能会包含可预测的明文,女HTTP中的GET命令。攻击者首先构造一个包含 各种可能的已知明文加密字典。然后,截获加密消息,并将包含已知明文的加密部分和字典中的密文进行比较。如 果多次匹配成功,就可以获得正确的密码;(2) 穷举密码分析攻击:穷举传统加密算法的密钥空间;(3) 重放攻击:重放先前的SSL握手消息;(4) 中间人攻击:在交换密钥时,攻击者假冒服务器与客户端联系,或假冒客户端与服务器联系;(5) 密码监听:监听HTTP或其它应用流量中的密码;(6) IP欺骗:使
8、用伪造的IP地址向目标主机发送数据。答:(1)使用128位密钥,而不是40位密钥。使得明文字典必须足够大才行。(2) 使用的密钥长度大于40位160位。(3) 使用现时(Nonce)。(4) 使用公钥证书进行身份认证。(5) 使用加密。(6) 攻击者必须有私钥和假冒的IP地址才行。10、画出屏蔽子网防火墙体系结构的示意图,论述该结构防火墙的工作原理。11、请简要评述以RSA为代表的公开密钥密码系统的优点和缺点。优点:可以解决对称密钥密码系统密钥分发困难的问题,密钥管理简单。缺点:加密操作和解密操作的速度比对称密钥密码系统慢很多。27、请简要评述以DES为代表的对称密钥密码系统的优点和缺点答:优
9、点:对称密钥密码系统具有很高的安全性,而且,无论密码系统是以硬件实现还是以软件实现,加、解 密的速度都很快。缺点:通信双方为了约定密钥往往需要付出高昂代价;在加解密涉及到多人时需要的密钥量大, 管理困难。12、什么是消息重放?有哪些方法可以抵御消息的重放攻击,各有什么优缺点?答:重放攻击是指攻击者利用通信双方没有有效认证消息的发送顺序,将截获的消息在以后的时间重新发送,扰乱 正常通信的一种攻击方式。解决办法:在通信中增加标识报文顺序的信息,如序列号、时间戳、挑战响应。采用序列号的方法需要维护具有全局性的序列号,每一方都要记住其它各方与其通信时的最后一个序列号,管理起 来比较复杂。采用时间戳的方
10、法要求保证通信主机间的时间同步。挑战及响应的认证方式在每次通信前握手,通过 握手使双方确定通信状态,不必自始至终维护序列号、时间之类的状态信息,相对而言灵活性较强。13、有了公钥证书,为什么还需要PKI?答:有了证书以后,就会涉及证书的申请、发布、查询、撤销等一系列管理任务,因此需要一套完整的软硬件 系统、协议、管理机制来完成这些任务,这就是公钥基础设施(PKI)。14、分析AH协议不能与NAT兼容的原因答:被AH认证的区域是整个IP包(可变字段除外),包括IP包首部,因此源IP地址和目的IP地址如果被修改 就会被检测出来。但是,如果该包在传输过程中经过NAT,其源或目的IP地址将被改变,将造
11、成到达目的地址后的 完整性验证失败。因此,AH传输模式和NAT不能同时使用。15、IKE协议的作用是什么?它与AH和ESP协议有什么关系?答:IKE负责密钥管理,定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法IKE将密 钥协商的结果保留在安全联盟(SA)中,供AH和ESP以后通信时使用。16、简述XSS攻击的前提条件答:进行XSS攻击需要两个前提:第一,Web程序必须接受用户的输入,这显然是必要条件,输入不仅包括URL中 的参数和表单字段,还包括HTTP头部和Cookie值;第二,Web程序会重新显示用户输入的内容,只有用户浏览器将 Web程序提供的数据解释为HTML标
12、记时,攻击才会发生。17、应用网关防火墙有哪些优点和缺陷?优点:应用网关防火墙由于理解应用协议,能够细粒度的对通信数据进行监控、过滤和记录。此外,可以通过 应用网关防火墙对用户身份进行认证,确保只有允许的用户才能通过。缺点:每种应用服务需要专门的代理模块进行安全控制,而不同应用服务采用的网络协议存在较大差异,例如 HTTP协议、FTP协议、Telnet协议,不能采用统一的方法进行分析,给代理模块的实现带来了很大困难。实际应用 中,大部分代理服务器只能处理相对较少的应用服务;从性能上看,应用网关防火墙的性能往往弱于包过滤防火 墙;从价格上看,应用网关防火墙通常比包过滤防火墙更为昂贵,因为应用网关
13、防火墙对硬件设备有更高的要求; 从配置和管理的复杂性看,应用网关防火墙需要针对应用服务类型逐一设置,而且管理员必须对应用协议有深入 理解,管理的复杂性较高18、远程控制型木马与远程控制软件之间存在什么区别?答:首先,访问是否经过了授权,远程控制软件一般需要访问者输入在被访问主机上的账号和密码等信息,只 有通过身份验证的用户才能进入系统,根据账户的权限进行操作,这种访问是在身份认证基础上进行的合法授权访 问。而利用远程控制型木马对远程主机的访问是非授权的,木马程序在远程主机上的运行使得黑客能够在远程主机 上进行文件查看、服务管理、注册表修改等各种操作。其次,访问是否具有隐蔽性。通过远程控制软件对
14、主机进行 远程访问时,被访问主机的任务栏或者系统托盘等区域通常会有明显的图标标识,表明有用户正在进行远程访问。 如果计算机旁有用户在操作计算机,用户能够实时了解到发生了远程访问事件。而对于远程控制型木马,必须考虑 到一旦计算机用户发现自己的主机感染木马,会采用各种手段进行清除,黑客很可能丧失对主机的控制,所以隐蔽 性对于远程控制型木马而言非常重要。19、描述D-H算法的作用与过程。20、为什么WPA协议比WEP协议的安全性强?答:引入了临时密钥完整性协议(TKIP)。相比WEP,TKIP在安全方面主要有两点增强:一是增加了密钥长度, 虽然仍然使用RC4加密算法,但将密钥长度从40位增加到128
15、位,从而防止类似WEP网络在短时间内被攻破的风 险;二是使用比CRC强得多的消息完整性检验码MIC (Message Integrity Code)。21、什么条件下会产生操作系统命令注入漏洞?如果应对这种攻击?答:Web应用通过Shell执行OS命令,或开发中用到的某个方法在其内部使用Shell,就有可能出现恶意利用Shell提供 的功能来执行任意OS命令的情况。防御OS命令注入的策略一般包括以下几种:(1)选择不调用操作系统命令的实现方法,即不调用Shell功能,而用其它方法实现;(2)避免使用内部可能会调用Shell的函数;(3)不将外部输入的字符串作为命令行参数;(4)使用安全的函数对
16、传递给操作系统的参数进行转义,消除Shell元字符带来的威胁。22、ESP传输模式下,如果使用了加密,为什么ESP首部(SPI和序列号字段)不在加密范围之内?答:主要原因在于接收端需要SPI字段加上源IP地址、IPsec协议来唯一确定对应的SA,利用该SA进行验证、 解密等后续处理。如果SPI被加密了,就无法找到对应的SA,也就无法进行后续的验证、解密操作。对于序列号字 段,主要用于抗重放攻击,不会泄露明文中的任何机密信息;此外,不加密序列号字段也使得一个包无需经过耗时 的解密过程就可以判断包是否重复,如果重复则直接丢弃,节省了时间和资源。23、什么是基于异常和基于误用的入侵检测方法?它们各有什么特点?答:基于误用的入侵检测方法的基本思路是事先提取出
