第1章 網絡安全概述與環境配置
- 網絡攻擊和防禦分別包括哪些內容?
答:攻擊技術主要包括以下幾個方面。
(1)網絡監聽:自己不主動去攻擊別人,而是在計算機上設置一個程序去監聽目標計算機與其他計算機通信的數據。
(2)網絡掃描:利用程序去掃描目標計算機開放的端口等,目的是發現漏洞,爲入侵該計算機做準備。
(3)網絡入侵:當探測發現對方存在漏洞後,入侵到目標計算機獲取信息。
(4)網絡後門:成功入侵目標計算機後,爲了實現對“戰利品”的長期控制,在目標計算機中種植木馬等後門。
(5)網絡隱身:入侵完畢退出目標計算機後,將自己入侵的痕跡清除,從而防止被對方管理員發現。
防禦技術主要包括以下幾個方面。
(1)安全操作系統和操作系統的安全配置:操作系統是網絡安全的關鍵。
(2)加密技術:爲了防止被監聽和數據被盜取,將所有的數據進行加密。
(3)防火牆技術:利用防火牆,對傳輸的數據進行限制,從而防止被入侵。
(4)入侵檢測:如果網絡防線最終被攻破,需要及時發出被入侵的警報。
(5)網絡安全協議:保證傳輸的數據不被截獲和監聽。 - 從層次上,網絡安全可以分成哪幾層?每層有什麼特點?
答:從層次體系上,可以將網絡安全分成4個層次上的安全:物理安全,邏輯安全,操作系統安全和聯網安全。
物理安全主要包括5個方面:防盜,防火,防靜電,防雷擊和防電磁泄漏。
邏輯安全需要用口令、文件許可等方法來實現。
操作系統安全,操作系統必須能區分用戶,以便防止相互干擾。操作系統不允許一個用戶修改由另一個賬戶產生的數據。
聯網安全通過訪問控制服務和通信安全服務兩方面的安全服務來達到。(1)訪問控制服務:用來保護計算機和聯網資源不被非授權使用。(2)通信安全服務:用來認證數據機要性與完整性,以及各通信的可信賴性。
(感覺如果說是特點的話這樣回答有點彆扭。。) - 爲什麼要研究網絡安全?
答:網絡需要與外界聯繫,同時也就受到許多方面的威脅:物理威脅、系統漏洞造成的威脅、身份鑑別威脅、線纜連接威脅和有害程序威脅等。(可詳細展開)
第2章 網絡安全協議基礎
- 簡述OSI參考模型的結構
答:OSI參考模型是國際標準化組織(International Standards Organization,ISO)制定的模型,把計算機與計算機之間的通信分成7個互相連接的協議層,自頂向下分別爲應用層、表示層、會話層、傳輸層、網絡層、數據鏈路層、物理層。 - 簡述常用的網絡服務及提供服務的默認端口。
答:
常見服務及提供服務的默認端口和對應的協議如下表所示
端 口 協 議 服 務
21 TCP FTP服務
25 TCP SMTP服務
53 TCP/UDP DNS服務
80 TCP Web服務
135 TCP RPC服務
137 UDP NetBIOS域名服務
138 UDP NetBIOS數據報服務
139 TCP NetBIOS會話服務
443 TCP 基於SSL的HTTP服務
445 TCP/UDP Microsoft SMB服務
3389 TCP Windows終端服務 - 簡述ping指令、ipconfig指令、netstat指令、net指令和at指令的功能和用途。
答:(1)ping指令:ping指令通過發送ICMP包來驗證與另一臺TCP/IP計算機的IP級連接。應答消息的接收情況將和往返過程的次數一起顯示出來。ping指令用於檢測網絡的連接性和可到達性。
(2)ipconfig指令:ipconfig指令顯示所有TCP/IP網絡配置信息、刷新動態主機配置協議(Dynamic Host Configuration Protocol, DHCP)和域名系統(DNS)設置。使用不帶參數的ipconfig可以顯示所有適配器的IP地址、子網掩碼和默認網關。
(3)netstat指令:netstat指令顯示活動的連接、計算機監聽的端口、以太網統計信息、IP 路由表、IPv4統計信息(IP,ICMP,TCP和UDP協議)。使用“netstat -an”命令可以查看目前活動的連接和開放的端口,是網絡管理員查看網絡是否被入侵的最簡單方法。
(4)net指令:net指令的功能非常的強大,在網絡安全領域通常用來查看計算機上的用戶列表、添加和刪除用戶、與對方計算機建立連接、啓動或者停止某網絡服務等。
(5)at指令:使用at命令建立一個計劃任務,並設置在某一時刻執行。
第4章 網絡掃描與網絡監聽
- 簡述黑客的分類,以及黑客需要具備哪些基本素質。
答:目前將黑客分成3類:第1類爲破壞者,第2類爲紅客,第3類爲間諜。
要成爲一名好的黑客,需要具備4種基本素質:“Free”精神,探索與創新精神,反傳統精神和合作精神。 - 黑客在進攻的過程中需要經過哪些步驟?目的是什麼?
答:黑客一次成攻的攻擊,可以歸納成基本的五個步驟:
第一, 隱藏IP;
第二, 踩點掃描;
第三, 獲得系統或管理員權限;
第四, 種植後門;
第五, 在網絡中隱身。
以上幾個步驟根據實際情況可以隨時調整。 - 簡述黑客攻擊和網絡安全的關係。
答:黑客攻擊和網絡安全是緊密結合在一起的,研究網絡安全不研究黑客攻擊技術等同於紙上談兵,研究攻擊技術不研究網絡安全等同於閉門造車。某種意義上說沒有攻擊就沒有安全,系統管理員可以利用常見的攻擊手段對系統進行檢測,並對相關的漏洞採取措施。
網絡攻擊有善意也有惡意的,善意的攻擊可以幫助系統管理員檢查系統漏洞,惡意的攻擊可以包括:爲了私人恩怨而攻擊,爲了商業或個人目的獲得祕密資料而攻擊,爲了民族仇恨而攻擊,利用對方的系統資源滿足自己的需求、尋求刺激、給別人幫忙,以及一些無目的攻擊。 - 掃描分成哪兩類?每類有什麼特點?可以使用哪些工具進行掃描、各有什麼特點?
答:掃描,一般分成兩種策略:一種是主動式策略,另一種是被動式策略。被動式策略是基於主機之上,對系統中不合適的設置、脆弱的口令及其他同安全規則抵觸的對象進行檢查,不會對系統造成破壞。主動式策略是基於網絡的,它通過執行一些腳本文件模擬對系統進行攻擊的行爲並記錄系統的反應,從而發現其中的漏洞,但是可能會對系統造成破壞。
常見的掃描工具包括:
第一,系統自帶的掃描工具如windows和linux中的ping,linux中的namp。這類工具操作簡單,大多工作在命令行模式下。
第二,開源的和免費的掃描工具如Nessus,X-scan,Netcat,X-port以及Google在2010年新推出的Skipfish等。這類掃描工具一般具有單一、獨特的功能,因此掃描速度極快、更新速度快、容易使用,由於其開源、免費的特點,使其具有更廣泛的影響力。
第三,商用的掃描工具,如eEye公司的Retina,Network Associates的CyberCop Scanner以及Symantec 的NetRecon等。基本上大部分商業掃描器都工作在黑盒模式,在這種模式下無法看到源代碼,以一個近似於滲透者或攻擊者的身份去看待需要評估的。在商業化應用中,對誤報、漏報的容忍程度比較低。商用掃描器在精確掃描之後,會給出一些建議和手段來屏蔽。最初是提供一些修補建議,這種方式對專業人員來說有相當價值,但對於一些較薄弱或者比較懶惰的用戶,修補建議的作用就被忽略了。在新一代的商用掃描器中,提出了修補聯動的概念,通過發送註冊表去提示用戶,用戶雙擊註冊表,就可以導入需要修改、升級補丁的信息,並且還可以和WSUS進行聯動。這樣就可以基本上達到自動化的修補。
第5章 網絡入侵
- 簡述社會工程學攻擊的原理。
答:社會工程是使用計謀和假情報去獲得密碼和其他敏感信息的科學。研究一個站點的策略,就是儘可能多地瞭解這個組織的個體,因此黑客不斷試圖尋找更加精妙的方法從他們希望滲透的組織那裏獲得信息。
另一種社會工程的形式是黑客試圖通過混淆一個計算機系統去模擬一個合法用戶。 - 簡述暴力攻擊的原理。暴力攻擊如何破解操作系統的用戶密碼、如何破解郵箱密碼、如何破解Word文檔的密碼?針對暴力攻擊應如何防禦?
答:
暴力攻擊的原理:黑客使用枚舉的方法,使用運算能力較強的計算機,嘗試每種可能的字符破解密碼,這些字符包括大小寫、數字和通配符等。
字典文件爲暴力破解提供了一條捷徑,程序首先通過掃描得到系統的用戶,然後利用字典中每一個密碼來登錄系統,看是否成功,如果成功則顯示密碼。
郵箱的密碼一般需要設置爲8位以上,7位以下的密碼容易被破解。尤其7位全部是數字的密碼,更容易被破解。使用相應暴力破解軟件可以每秒50到100個密碼的速度進行匹配。
破解Word文檔的密碼方法與破解郵箱密碼相似。
進行適宜的安全設置和策略,通過結合大小寫字母、數字和通配符組成健壯的密碼可以防禦暴力攻擊。
4.簡述拒絕服務的種類與原理。
一:什麼是UNICODE漏潤NSFOCUS安全小組發現IIS4.0和IS5.0在Unicode字符解碼的實現中存在一個安全漏洞,導致用戶可以遠程通過IIS執行任意命令。當IIS打開文件時,如果該文件名包含unicode字符,它會對其進行解碼,如果用戶提供一些特殊的編碼,將導致IIS錯誤的打開或者執行某些web根目錄以外的文件。
攻擊者可以利用這個漏洞來繞過IIS的路徑檢查,去執行或者打開任意的文件。(1)如果系統包含某個可執行目錄,就可能執行任意系統命令。
二.駭客是如何利用UNICODE漏洞來入侵使用Unicode漏洞的攻擊方式,書上介紹兩種:入侵到對方的操作系統和刪除對方站點主頁。
1.首先我們的來尋找一臺存在UNICODE漏洞的主機,這裏我們可以使用的工具非常多,只要是能掃CGI漏洞的都可以,不過我更喜歡流光,因爲流光的功能是非常強大的。注意:
我們這裏是的目的是通過入侵方法來學會防範,所以以下我們使用的主機都是假設的。
建議簡單解決方案:
1.限制網絡用戶訪問和調用cmd的權限。
2.在Scripts、Msadc目錄沒必要使用的情況下,刪除該文件夾或者改名。
3.安裝NT系統時不要使用默認WINNT路徑,比方說,可以改名爲lucky或者其他名字。
臨時解決方法:
NSFOCUS建議您再沒有安裝補丁之前,暫時採用下列方法臨時解決問題:
1、如果不需要可執行的CGI,可以刪除可執行虛擬目錄例如/scripts等等。
2、如果確實需要可執行的虛擬目錄,建議可執行虛擬目錄單獨在一個分區 - 簡述緩衝區溢出攻擊的原理。
答:當目標操作系統收到了超過了它的能接收的最大信息量時,將發生緩衝區溢出。這些多餘的數據使程序的緩衝區溢出,然後覆蓋實際的程序數據。緩衝區溢出使目標系統的程序被修改,經過這種修改的結果將在系統上產生一個後門。最常見的手段是通過製造緩衝區溢出使程序運行一個用戶shell,再通過shell執行其他命令,如果該shell有管理員權限,就可以對系統進行任意操作。
6.簡述拒絕服務的種類與原理。
凡是造成目標計算機拒絕提供服務的攻擊都成爲DoS攻擊,其目的是使目標計算機或網絡無法提供正常的服務。最常見的DoS攻擊是計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊是以極大的信息量衝擊網絡,是網絡所有可用的帶寬都被消耗掉,最後導致合法用戶的請求無法通過。連通性攻擊指用大量的連接請求衝擊計算機,最終導致計算機無法再處理合法用戶的請求。
比較著名的拒絕服務攻擊包括:SYN風暴、Smurf攻擊和利用處理程序錯誤進行攻擊。
SYN風暴:它是通過創建大量“半連接”來進行攻擊,任何連接到Internet上並提供基於TCP的網絡服務的主機都可能遭受這種攻擊。針對不同的系統,攻擊的結果可能不同,但是攻擊的根本都是利用這些系統中TCP/IP協議族的設計弱點和缺陷。攻擊者通常僞造主機D不可達的IP地址作爲源地址。爲了使拒絕服務的時間長於超時所用的時間,攻擊者會持續不斷地發送SYN包,故稱爲“SYN風暴”。
Smurf攻擊:這種攻擊方法結合使用了IP欺騙和帶有廣播地址的ICMP請求-響應方法是大量網絡傳輸充斥目標系統,引起目標系統拒絕爲正常系統進行服務,屬於間接、借力攻擊方式。任何連接到互聯網上的主機或其他支持ICMP請求-響應的網絡設備都可能成爲這種攻擊的目標。
利用處理程序錯誤進行攻擊:SYN flooding和Smurf攻擊利用TCP/IP協議中的設計弱點,通過強行引入大量的網絡包來佔用帶寬,迫使目標受害主機拒絕對正常的服務請求響應。利用TCP/IP協議實現中的處理程序錯誤進行攻擊,即故意錯誤地設定數據包頭的一些重要字段。
第6章 網絡後門與網絡隱身
-
留後門的原則是什麼?
答:後門的好壞取決於被管理員發現的概率,留後門的原則就是不容易被發現,讓管理員看了沒有感覺、沒有任何特別的地方。 -
如何留後門程序?列舉三種後門程序,並闡述原理及如何防禦。
答:網絡攻擊經過踩點、掃描、入侵以後,如果攻擊成功,一般就可以拿到管理員密碼或者得到管理員權限。
第一,Login後門。在Unix裏,login程序通常用來對telnet來的用戶進行口令驗證。入侵者獲取login。c的原代碼並修改,使它在比較輸入口令與存儲口令時先檢查後門口令。如果用戶敲入後門口令,它將忽視管理員設置的口令讓你長驅直入。這將允許入侵者進入任何賬號,甚至是root。由於後門口令是在用戶真實登錄並被日誌記錄到utmp和wtmp前產生一個訪問的,所以入侵者可以登錄獲取shell卻不會暴露該賬號。管理員注意到這種後門後,便用“strings”命令搜索login程序以尋找文本信息。許多情況下後門口令會原形畢露。入侵者就開始加密或者更好的隱藏口令,使strings命令失效。所以更多的管理員是用MD5校驗和檢測這種後門的。
第二,線程插入後門。這種後門在運行時沒有進程,所有網絡操作均播入到其他應用程序的進程中完成。也就是說,即使受控制端安裝的防火牆擁有“應用程序訪問權限”的功能,也不能對這樣的後門進行有效的警告和攔截,也就使對方的防火牆形同虛設!這種後門本身的功能比較強大,是現在非常主流的一種,對它的查殺比較困難,很讓防護的人頭疼。
第三,網頁後門。網頁後門其實就是一段網頁代碼,主要以ASP和PHP代碼爲主。由於這些代碼都運行在服務器端,攻擊者通過這段精心設計的代碼,在服務器端進行某些危險的操作,獲得某些敏感的技術信息或者通過滲透,提權獲得服務器的控制權。並且這也是攻擊者控制服務器的一條通道,比一般的入侵更具有隱蔽性。
防禦後門的方法主要有:建立良好的安全習慣,關閉或刪除系統中不需要的服務,經常升級安全補丁,設置複雜的密碼,迅速隔離受感染的計算機,經常瞭解一些反病毒資訊,安裝專業的防毒軟件進行全面監控等。 -
簡述終端服務的功能,如何連接到終端服務器上?如何開啓對方的終端服務?
答:終端服務是Windows操作系統自帶的,可以通過圖形界面遠程操縱服務器。可通過以下三種方式連接到終端服務器上:第一,利用Windows 2000自帶的終端服務工具mstsc.exe。該工具中只需設置要連接主機的IP地址和連接桌面的分辨率即可。第二,使用Windows XP自帶的終端服務連接器mstsc.exe。它的界面比較簡單,只要輸入對方主機的IP地址就可以了。第三,使用Web方式連接,該工具包含幾個文件,需要將這些文件配置到IIS的站點中去。假設對方不僅沒有開啓終端服務,而且沒有安裝終端服務所需要的軟件,使用工具軟件djxyxs.exe可以給對方安裝並開啓該服務。 -
簡述木馬由來,並簡述木馬和後門的區別。
答:“木馬”一詞來自於“特洛伊木馬”,英文名稱爲Trojan Horse。傳說希臘人圍攻特洛伊城,久久不能攻克,後來軍師想出了一個特洛伊木馬計,讓士兵藏在巨大的特洛伊木馬中,部隊假裝撤退而將特洛伊木馬丟棄在特洛伊城下,讓敵人將其作爲戰利品拖入城中,到了夜裏,特洛伊木馬內的士兵便趁着夜裏敵人慶祝勝利、放鬆警惕的時候從特洛伊木馬裏悄悄地爬出來,與城外的部隊裏應外合攻下了特洛伊城。由於特洛伊木馬程序的功能和此類似,故而得名。本質上,木馬和後門都是提供網絡後門的功能,但是木馬的功能稍微強大一些,一般還有遠程控制的功能,後門程序則功能比較單一,只是提供客戶端能夠登錄對方的主機。 -
簡述網絡代理跳板的功能。
答:網絡代理跳板作用如下:當從本地入侵其他主機時,本地IP會暴露給對方。通過將某一臺主機設置爲代理,通過該主機再入侵其他主機,這樣就會留下代理的IP地址而有效地保護自己的安全。本地計算機通過兩級代理入侵某一臺主機,這樣在被入侵的主機上,就不會留下自己的信息。可以選擇更多的代理級別,但是考慮到網絡帶寬的問題,一般選擇兩到三級代理比較合適。 -
系統日誌有哪些?如何清楚這些日誌?
答:系統日誌包括IIS日誌,應用程序日誌、安全日誌和系統日誌等。
清除日誌最簡單的方法是直接到該目錄下刪除這些文件夾,但是文件全部刪除以後,一定會引起管理員的懷疑。一般入侵的過程是短暫的,只會保存到一個Log文件,只要在該Log文件刪除所有自己的記錄就可以了。
使用工具軟件CleanIISLog.exe可以刪除IIS日誌。使用工具軟件clearel.exe可以方便地清除系統日誌,首先將該文件上載到對方主機,然後刪除這3種主機日誌。清除命令有4種:Clearel System,Clearel Security,Clearel Application和Clearel All。
7.利用三種方法在對方計算機種植後門程序。
1)利用工具RTCS.vbe遠程啓動Telnet服務:利用主機上的Telnet服務,有管理員密碼就可以登錄到對方的命令行,進而操作對方的文件系統。
2)利用工具Win2kPass.exe記錄修改的新密碼。
3)建立Web服務和Telnet服務:使用工具軟件wnc.exe可以在對方的主機上開啓兩個服務:Web服務和Telnet服務其中Web服務的端口是808,Telnet服務的端口是707執行很簡單,只要在對方的命令行下執行一下wnc.exe就可以
8.在對方計算機上種植“冰河”程序,並設置“冰河”的服務端口是“8999”,連接的密碼是“0987654321”。
首先將win32.exe文件在遠程計算機上執行後,通過Y_Clinet.exe文件來控制遠程服務器。然後在冰河界面處設置端口爲8999。選擇菜單欄“設置”下的菜單項“配置服務器程序”,將訪問口令設置爲0987654321.
9.使用二級網絡跳板對某主機進行入侵。
使用snake代理跳板。
首先將“sksockserver -install”安裝主機中。然後運行“sksockserver –config port 1122”並設置端口爲1122.再執行“sksockserver –config starttype 2”將服務的啓動方式設置爲自動啓動。然後執行“net start skserver”啓動代理服務。其後,使用“nerstat -an”命令查看1122端口是否開放。然後設置完畢後再在網絡上其他主機設置二級代理。跟本機同樣的的代理配置。使用SkServerGUI.exe。選擇主菜單“配置”下的菜單項目“經過的SkServer”,將複選框“允許”勾上。然後打開“客戶端”選項,設置子網掩碼“255.255.255.255”並勾上“允許”。再點“開始”。然後安裝sc32r231.exe再安裝補丁HBC-SC32231-Ronnier.exe。出現了“SocksCap”設置代理服務器爲本地IP地址,端口1913,選擇SOCKS版本5作爲代理。然後添加需要代理的應用程序。然後“運行”。
10.編程實現當客戶端連接某端口的時候,自動在目標主機上建立一個用戶“Hacker”,密碼“HackerPWD”,並將該用戶添加到管理員組。
第7章 惡意代碼分析與防治
- 簡述研究惡意代碼的必要性。
答:在Internet安全事件中,惡意代碼造成的經濟損失佔有最大的比例。如今,惡意代碼已成爲信息戰、網絡戰的重要手段。日益嚴重的惡意代碼問題,不僅使企業及用戶蒙受了巨大經濟損失,而且使國家的安全面臨着嚴重威脅。 - 簡述惡意代碼長期存在的原因。
答:在信息系統的層次結構中,包括從底層的操作系統到上層的網絡應用在內的各個層次都存在着許多不可避免的安全問題和安全脆弱性。而這些安全脆弱性的不可避免,直接導致了惡意代碼的必然存在。 - 惡意代碼是如何定義,可以分成哪幾類?
答:惡意代碼的定義隨着計算機網絡技術的發展逐漸豐富,Grimes 將惡意代碼定義爲,經過存儲介質和網絡進行傳播,從一臺計算機系統到另外一臺計算機系統,未經授權認證破壞計算機系統完整性的程序或代碼。
它可以分成以下幾種類型:計算機病毒(Computer Virus)、蠕蟲(Worms)、特洛伊木馬(Trojan Horse)、邏輯炸彈(Logic Bombs)、病菌(Bacteria)、用戶級RootKit、核心級RootKit、腳本惡意代碼(Malicious Scripts)和惡意ActiveX 控件。
第9章 密碼學與信息加密
- 密碼學包含哪些概念?有什麼功能?
答:
密碼學(Cryptology)是研究信息系統安全保密的科學,密碼編碼學(Cryptography)主要研究對信息進行編碼,實現對信息的隱藏。密碼分析學(Cryptanalytics)主要研究加密消息的破譯或消息的僞造。
密碼學主要包含以下幾個概念:
1)密碼學的目標:保護數據的保密性、完整性和真實性。保密性就是對數據進行加密,使非法用戶無法讀懂數據信息,而合法用戶可以應用密鑰讀取信息。完整性是對數據完整性的鑑別,以確定數據是否被非法纂改,保證合法用戶得到正確、完整的信息。真實性是數據來源的真實性、數據本身真實性的鑑別,可以保證合法用戶不被欺騙。
2)消息的加密與解密:消息被稱爲明文,用某種方法僞裝消息以隱藏它的內容的過程稱爲加密,加了密的消息稱爲密文,而把密文轉變爲明文的過程稱爲解密。
3)密碼學的功能:提供除機密性外,密碼學還提供鑑別、完整性和抗抵賴性等重要功能。這些功能是通過計算機進行社會交流至關重要的需求。
鑑別:消息的接收者應該能夠確認消息的來源;入侵者不可能僞裝成他人。
完整性:消息的接收者應該能夠驗證在傳送過程中消息沒有被修改;入侵者不可能用假消息代替合法消息。
抗抵賴性:發送消息者事後不可能虛假地否認他發送的消息。
4)密碼算法和密鑰:
密碼算法也叫密碼函數,是用於加密和解密的數學函數。通常情況下,有兩個相關的函數:一個用做加密,另一個用做解密。
密鑰是一種參數,它是在明文轉換爲密文或將密文轉換爲明文的算法中輸入的數據。基於密鑰的算法通常有兩類:對稱算法和公開密鑰算法。
對稱密鑰加密,又稱公鑰加密,即信息的發送方和接收方用一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快,適合於對大數據量進行加密,但密鑰管理困難。
非對稱密鑰加密,又稱私鑰密鑰加密。它需要使用一對密鑰來分別完成加密和解密操作,一個公開發布,即公開密鑰,另一個由用戶自己祕密保存,即私用密鑰。信息發送者用公開密鑰去加密,而信息接收者則用私用密鑰去解密。私鑰機制靈活,但加密和解密速度卻比對稱密鑰加密慢得多。 - 簡述公開密鑰算法的基本原理。
答:
公開密鑰算法,加密密鑰能夠公開,即陌生者能用加密密鑰加密信息,但只有用相應的解密密鑰才能解密信息。如果發信方想發送只有收信方纔能解讀的加密信息,發信方必須首先知道收信方的公鑰,然後利用收信方的公鑰來加密原文;收信方收到加密密文後,使用自己的私鑰才能解密密文。顯然,採用不對稱加密算法,收發信雙方在通信之前,收信方必須將自己早已隨機生成的公鑰送給發信方,而自己保留私鑰。
公開密鑰K1加密表示爲:EK1(M)=C。公開密鑰和私人密鑰是不同的,用相應的私人密鑰K2解密可表示爲:DK2(C)=M。
第10章 防火牆與入侵檢測
- 什麼是防火牆?古時候的防火牆和目前通常說的防火牆有什麼聯繫和區別?
答:防火牆的本義原指古代人們的房屋之間修建的牆,這道牆可以防止火災發生時蔓延到別的房屋。現今防火牆不是指爲了防火而造的牆,而是指隔離在本地網絡與外界網絡之間的一道防禦系統。在互聯網上,防火牆是一種非常有效的網絡安全系統,通過它可以隔離風險區域(Internet或有一定風險的網絡)與安全區域(局域網)的連接,同時不會妨礙安全區域對風險區域的訪問。可見,不管古代和今天的防火牆,在安全意義上都是在防範某種特定的風險。 - 簡述防火牆的分類,並說明分組過濾防火牆的基本原理。
答:常見的防火牆有3種類型:分組過濾防火牆,應用代理防火牆,狀態檢測防火牆。
分組過濾防火牆基本原理如下:
數據包過濾可以在網絡層截獲數據。使用一些規則來確定是否轉發或丟棄各個數據包。通常情況下,如果規則中沒有明確允許指定數據包的出入,那麼數據包將被丟棄。
分組過濾防火牆審查每個數據包以便確定其是否與某一條包過濾規則匹配。過濾規則基於可以提供給IP轉發過程的包頭信息。包頭信息中包括IP源地址、IP目的地址、內部協議(TCP,UDP或ICMP)、TCP、UDP目的端口和ICMP消息類型等。如果包的信息匹配所允許的數據包,那麼該數據包便會按照路由表中的信息被轉發。如果不匹配規則,用戶配置的默認參數會決定是轉發還是丟棄數據包。 - 編寫防火牆規則:禁止除管理員計算機(IP爲172.18.25.110)外任何一臺計算機訪問某主機(IP爲172.18.25.109)的終端服務(TCP端口3389)。
答:規則集如下:
組 序 號 動 作 源 IP 目 的 IP 源 端 口 目 的 端 口 協 議 類 型
1 允許 172.18.25.110 172.18.25.109 * 3389 TCP
2 禁止 * 172.18.25.109 * 3389 TCP
第1條規則:主機172.18.25.110可以以任何端口訪問任何主機172.18.25.109的3389端口,基於TCP協議的數據包都允許通過。第2條規則:任何主機的端口訪問主機172.18.25.109的任何端口,基於TCP協議的數據包都禁止通過。
這樣寫對嗎?組序號優先級怎麼判定? - 什麼是入侵檢測系統?簡述入侵檢測系統目前面臨的挑戰。
答:
入侵檢測系統(Intrusion Detection System,IDS)指的是一種硬件或者軟件系統,該系統對系統資源的非授權使用能夠做出及時的判斷、記錄和報警。
沒有一個入侵檢測能無敵於誤報,因爲沒有一個應用系統不會發生錯誤,原因主要有:主機與入侵檢測系統缺乏共享數據的機制、缺乏集中協調的機制、缺乏揣摩數據在一段時間內變化的能力、缺乏有效的跟蹤分析。另外攻擊可以來自四方八面,特別是技術高超、由一羣人組織策劃的攻擊。攻擊者要花費長時間準備及在全球性發動攻擊。時至今日,找出這樣複雜的攻擊也是一件難事。有着不同種類漏洞的廣泛分佈異構計算機系統,使入侵檢測系統很難對付,尤其是這樣的系統有大量未經處理的流動數據,而實體之間又缺乏通信及信任機制。