《网络信息安全复习提纲》由会员分享,可在线阅读,更多相关《网络信息安全复习提纲(14页珍藏版)》请在金锄头文库上搜索。
1、黑客”大?黑客”(Hacked对于任何计算机操作系统奥秘都有强烈兴趣的人是程序员 ,他们具有操作系统和编程语言方面的高级知识,知道系统中的漏洞及其丿、原因所在;他们不断追求更深的知识 ,并公开他们的发现 ,与其他分享 ;并且从来 没有破坏数据的企图。?入侵者” (Cracke是指怀着不良企图,闯入甚至破坏远程机器系统完整性的 人。“入侵者”利用获得的非法访问权 ,破坏重要数据 ,拒绝合法用户服务请求 ,或为了自己的目的制造麻烦。 “入侵者”很容易识别 ,因为他们的目的是恶意的。信息安全的任务? 机密性 confidentiality? 完整性 integrity? 不可否认性 non-repu
2、diation? 有效性 availability网络安全的研究方向? 以网络管理软件为代表的网络安全管理的研究? 以 Satan(System Administrator Tool for Analyzing Networks 为代表的网络分析系统的研?以Kerberos(网络认证协议为代表的密钥分配和传输系统的研究?以SSL为代表的安全协议的研究? 以防火墙 (Firewall 为代表的局部安全系统的研究信息收集阶段 :(仃raceRoute程序:能够用该程序获得到达目标主机所要经过的网络数和路由器 数。Tracerout e利用 ICMP 及 IP header的 TT L 字段。首先,
3、t racerout e送出一个TT L是1的IP dat agram其实,每次送出的为3个40 字节的包,包括源地址,目的地址和包发出的时间标签到目的地 ,当路径上的第一个路 由器收到这个dat agram时,它将TT L减1变为0,所以该路由器会将此dat agram丢 掉,并送回一个ICMP time exceededj (包括发IP包的源地址,IP包的所有内容及路 由器的IP地址,tracerout e收到这个消息后,便知道这个路由器存在于这个路径上,接 着traceroute再送出另一个 TT L是2的datagram发现第2个路由器 t racerout e 每次将送出的dat a
4、gram的TT L加1来发现另一个路由器,这个重复的动作一直持 续到某个dat agram抵达目的地。当datagram到达目的地后,该主机并不会送回ICMP time exceeded消息。 Tracerout e在送出UDP datagrams到目的地时,它所选择送达的port number是一个 一般应用程序都不会用的号码(30000以上,所以当此UDP dat agram到达目的地后 该主机会送回一个ICMP port unreachable的消息,而当tracerout e收到这个消息 时便知道目的地已经到达了。所以 traceroute在Server端也是没有所谓的 Daemon
5、程式。Tracerout e提取发ICMP TT L到期消息设备的IP地址并作域名解析。每 次,Tracerout e都打印出一系列数据,包括所经过的路由设备的域名及IP地址,三个包 每次来回所花时间。Traceroute有一个固定的时间等待响应(ICMP TT L到期消息。如果这个时间过 了,它将打印出一系列的*号表明:在这个路径上,这个设备不能在给定的时间内发出 ICMP TTL到期消息的响应。然后,T racerout e给TT L记数器加1,继续进行。(2SNMP协议:用来查阅网络系统路由器的路由表,从而了解目标主机所在网络 的拓扑结构及其内部细节。整个网络管理涉及到3个设备:被监控设
6、备(也称为代理,是一些我们希望监控的 设备,比如路由器、交换机、服务器,管理端(也称为管理器,管理员配置管理器程序 定期从代理读取数据,管理员计算机(仅用来管理员查看数据。注意:这里所谓的代理,指希望监控的设备,比如服务器,路由器等。(3DNS服务器:该服务器提供了系统中可以访问的主机 IP地址表和它们所对应 的主机名。(4Whois协议:该协议的服务信息能提供所有有关的 DNS域和相关的管理参(5Ping实用程序:可以用来确定一个指定的主机的位置或网线是否连通第二章(书1728页1、DDos/Smurf的原理是什么?有什么办法和措施来监测或抵抗这些攻击 ?DDoS原理见书21页。(1定期扫描
7、(2在骨干节点配置防火墙(3用足够的机器承受黑客攻击(4充分利用网络设备保护网络资源(5过滤不必要的服务和端口(6检查访问者的来源(7过滤所有RFC1918 IP地址(8限制SYN/ICMPSmurf原理见书20页。原理图如下:MHJkJk -2、请查阅相关资料 解释DNS欺骗的详细原理原理:如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了 ,这 就是 DNS 欺骗的基本原理。 DNS 欺骗其实并不是真的 “黑掉 ”了对方的网站 ,而是冒名顶替、招摇撞骗罢了。3、防止 ARP 欺骗。采用双向绑定的方法可
8、以解决并且防止 ARP 欺骗1、首先,获得网关的MAC地址。(把自己网段网关的MAC地址记下来2、然后在 DOS 命令下执行以下两条命令 :1先删除现有的 MAC-IP对应表:arp -d2设置静态的网关MAC-IP对应表:arp -s网关ip网关MAC第三章(书 3339页1、对等实体认证是用来验证在某一关联的实体中 ,对等实体的声称是一致的 ,它 可以确认对等实体没有假冒 ;2、 信源认证是用于验证所收到的数据来源与所声称的来源是一致的,但不提供 防止数据中途被修改的功能。3、数字签名模型 :数字签名全过程摘要 B1对 B1 进行 RSA 加密摘要密文 B2对 B2 进行 RSA 解密摘要
9、 B4B3=B4?对原文进行摘要和 RSA 算法的数字签名系统对收到的原文进行摘要Private keyPublic key原文摘要密文 B2数字签名全过程摘要 B1对 B1 进行 RSA 加密摘要密文 B2摘要 B3对 B2 进行 RSA 解密B3=B4?对原文进行摘要基于 MD5/SHA-1 和 RSA 算法的数字签名系统对收到的原文进行摘要Private keyP u b l i c k e y原文摘要密文 B2C, UMKF W: XEHOC . el3i 4TM WRHVAI佯“A II丄.,tUH 他ta tnK5t幻就*St 1.EIt弭!“的*玄介“*ni -tttcLe 3i
10、 ro f-ta(xsi)ntxnR.ita4WftlV#7兀从宅|9川.t 1 圭f 人SlMQiftBHR*t*tuv,人千創!iit力rjtJiQ HlfRKRAB氏上aF(hi!ktUlir H* Rr餐扫时口少事農倉常一丁臭贞击耳口等“壘活类止埶爭鼻山序丁节佩也出rit * ip iiMj . I I . * ia, : .- a - i.i,4 墾井罢聊评 舟吐层V應的孚输期ittb难怜*.-4NHiKZVM*i4H.Kh 上K+it孔 rtPItil EA4 filiKI ff A4Jdn arr U T1 WE璋,山僵呻 i -./ it 1: . -1 AJtlL imhBJ
11、 XI d IJ iMh . iSITAil怔Hl!国比、们 冇利低 fl . It - fr- -J I ?: 1 KM 11:.Ati -.百对:;nii -1 / . ii- i HJ tr :. iT iitsn f :i.(tX- 3- IJ k. 7 fl 7 ft j i .Ij *ey. EhfcBB*igB,rflipiM*爭诃曲什當 T ffiTtt. MAd-创語方疋Ki平UI*UL電di. n山誉4|岭耳口 *曲崎立+ “ iilitr. ruch fr-jAfr*.: M.仍甫讯枯甫附期峙肪I cdhnigt itwsc監 Window ttBBflM*#“.1担诞冬
12、琳ci十扌 MfflHi H WLttAB ftHKIti vMKtiKtM-a- -标W辛Xtsni rhiAi 冒的怖训*韶加匱 II*NVhH)、生物识别技术优缺点(3)、生物识别技术优缺点)、指纹一般是作为非对称密钥的种子!指纹一般是作为非对称密钥的种子! 优点安全性高生理特征使用方便、简洁不易被盗或遗失缺点对识别技术要求很高 特征匹配、比较较难。所有的匹配都是模糊比较, 相似度不可能100%。可以被伪造,且容易泄露,如指纹痕迹(4)、防指纹伪造 答:可以采用活体指纹识别技术,能够感应指纹的湿度、温度或者生物电阻等属 性,消 除伪造指纹及断指所带来的隐患。例如电容式传感 电容式传感。
13、电容式传 感 电容式传感: 电容式传感: 工作原理:根据活体手指表层上的电阻变化传导指 纹图像。 皮肤表皮层下的第一层活体皮 ( 肤细胞,具有一定量电阻。它们在皮肤 表层上组成特定形状。 细胞中的特定电学品质与细胞的 排列方式这二者的结合使 得皮肤表面的电阻能够被测量且其变化唯一。)由手指的电信 号提取到的特征经 过运算后以数字的形式存储。每次识别都需要经过这个过程,然后按 照传统的指 纹识别的校验方式进行识别比对。 断指的电属性与活体手指的不同。手指一旦脱 落身体或身体死亡后,该手指的电属性立 即开始腐烂,电容式传感器无法读取。5、网络环境下的身份认证、Challe nge/Respo nse Challe nge/Respo ns请求认证 123499/Challenge永远不 重复客户端 Passwd/123499 MD5/Response YES/NO青求 服务 服 务 端 例如:客户 C 的密钥: 123456 两者合并 做 MD5 摘要(摘要 1 青求认证 879x 客户 端 C/ 摘要 1/MD5 服务器找到 C 的密 C D 钥与 879x 做 MD5 摘要(摘 要 2), 与摘 要 1 对比 123456 876543 Y/N S/Key 认证过程 客户向需要身份认证的服务器 提出连接青求 服务器返回应
