网络信息安全复习提纲-

黑客”大?黑客”(Hacked对于任何计算机操作系统奥秘都有强烈兴趣的人是程序员 ,他们具有操作系统和编程语言方面的高级知识,知道系统中的漏洞及其丿、原因所在;他们不断追求更深的知识 ,并公开他们的发现 ,与其他分享 ;并且从来没有破坏数据的企图。?入侵者” (Cracke是指怀着不良企图，闯入甚至破坏远程机器系统完整性的人。“入侵者”利用获得的非法访问权 ,破坏重要数据 ,拒绝合法用户服务请求 ,或为了自己的目的制造麻烦。 “入侵者”很容易识别 ,因为他们的目的是恶意的。信息安全的任务? 机密性 confidentiality? 完整性 integrity? 不可否认性 non-repudiation? 有效性 availability网络安全的研究方向? 以网络管理软件为代表的网络安全管理的研究? 以 Satan(System Administrator Tool for Analyzing Networks 为代表的网络分析系统的研?以Kerberos（网络认证协议为代表的密钥分配和传输系统的研究?以SSL为代表的安全协议的研究? 以防火墙（Firewall 为代表的局部安全系统的研究信息收集阶段 :（仃raceRoute程序:能够用该程序获得到达目标主机所要经过的网络数和路由器数。Tracerout e利用 ICMP 及 IP header的 TT L 字段。首先,t racerout e送出一个TT L是1的IP dat agram其实,每次送出的为3个40 字节的包,包括源地址,目的地址和包发出的时间标签到目的地 ,当路径上的第一个路由器收到这个dat agram时,它将TT L减1变为0,所以该路由器会将此dat agram丢掉，并送回一个ICMP time exceededj （包括发IP包的源地址,IP包的所有内容及路由器的IP地址,tracerout e收到这个消息后，便知道这个路由器存在于这个路径上，接着traceroute再送出另一个 TT L是2的datagram发现第2个路由器 t racerout e 每次将送出的dat agram的TT L加1来发现另一个路由器，这个重复的动作一直持续到某个dat agram抵达目的地。当datagram到达目的地后，该主机并不会送回ICMP time exceeded消息。 Tracerout e在送出UDP datagrams到目的地时，它所选择送达的port number是一个一般应用程序都不会用的号码（30000以上，所以当此UDP dat agram到达目的地后该主机会送回一个ICMP port unreachable的消息，而当tracerout e收到这个消息时便知道目的地已经到达了。所以 traceroute在Server端也是没有所谓的 Daemon 程式。Tracerout e提取发ICMP TT L到期消息设备的IP地址并作域名解析。每次,Tracerout e都打印出一系列数据，包括所经过的路由设备的域名及IP地址,三个包每次来回所花时间。Traceroute有一个固定的时间等待响应（ICMP TT L到期消息。如果这个时间过了，它将打印出一系列的*号表明：在这个路径上，这个设备不能在给定的时间内发出 ICMP TTL到期消息的响应。然后,T racerout e给TT L记数器加1,继续进行。（2SNMP协议:用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节。整个网络管理涉及到3个设备:被监控设备（也称为代理，是一些我们希望监控的设备，比如路由器、交换机、服务器，管理端（也称为管理器，管理员配置管理器程序定期从代理读取数据，管理员计算机（仅用来管理员查看数据。注意:这里所谓的代理，指希望监控的设备，比如服务器，路由器等。（3DNS服务器:该服务器提供了系统中可以访问的主机 IP地址表和它们所对应的主机名。（4Whois协议:该协议的服务信息能提供所有有关的 DNS域和相关的管理参（5Ping实用程序:可以用来确定一个指定的主机的位置或网线是否连通第二章（书1728页1、DDos/Smurf的原理是什么？有什么办法和措施来监测或抵抗这些攻击？DDoS原理见书21页。（1定期扫描（2在骨干节点配置防火墙（3用足够的机器承受黑客攻击（4充分利用网络设备保护网络资源（5过滤不必要的服务和端口（6检查访问者的来源（7过滤所有RFC1918 IP地址（8限制SYN/ICMPSmurf原理见书20页。原理图如下：MHJkJk -2、请查阅相关资料解释DNS欺骗的详细原理原理:如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是 DNS 欺骗的基本原理。 DNS 欺骗其实并不是真的 “黑掉 ”了对方的网站 ,而是冒名顶替、招摇撞骗罢了。3、防止 ARP 欺骗。采用双向绑定的方法可以解决并且防止 ARP 欺骗1、首先，获得网关的MAC地址。（把自己网段网关的MAC地址记下来2、然后在 DOS 命令下执行以下两条命令 :1先删除现有的 MAC-IP对应表:arp -d2设置静态的网关MAC-IP对应表:arp -s网关ip网关MAC第三章（书 3339页1、对等实体认证是用来验证在某一关联的实体中 ,对等实体的声称是一致的 ,它可以确认对等实体没有假冒 ;2、信源认证是用于验证所收到的数据来源与所声称的来源是一致的,但不提供防止数据中途被修改的功能。3、数字签名模型 :数字签名全过程摘要 B1对 B1 进行 RSA 加密摘要密文 B2对 B2 进行 RSA 解密摘要 B4B3=B4?对原文进行摘要和 RSA 算法的数字签名系统对收到的原文进行摘要Private keyPublic key原文摘要密文 B2数字签名全过程摘要 B1对 B1 进行 RSA 加密摘要密文 B2摘要 B3对 B2 进行 RSA 解密B3=B4?对原文进行摘要基于 MD5/SHA-1 和 RSA 算法的数字签名系统对收到的原文进行摘要Private keyP u b l i c k e y原文摘要密文 B2C, UMKF W： XEHOC . el3i 4TM WRHVAI佯“A II丄.,tUH 他ta tnK5t幻就*St 1.EIt弭！“的*玄介“*ni -tttcLe 3i ro f-ta(xsi)ntxnR.ita4WftlV#7兀从宅|9川.t 1 圭f 人SlMQiftBHR*t*tuv，人千創!iit力rjtJiQ HlfRKRAB氏上aF(hi!ktUlir H* Rr餐扫时口少事農倉常一丁臭贞击耳口等“壘活类止埶爭鼻山序丁节佩也出rit * ip iiMj . I I . * ia, : .- a - i.i，4 墾井罢聊评舟吐层V應的孚输期ittb难怜*.-4NHiKZVM*i4H.Kh 上K+it孔 rtPItil EA4 filiKI ff A4Jdn arr U T1 WE璋，山僵呻 i -./ it 1： . -1 AJtlL imhBJ XI d IJ iMh . iSITAil怔Hl!国比、们冇利低 fl . It - fr- -J I ?： 1 KM 11：.Ati -.百对:；nii -1 / . ii- i HJ tr :. iT iitsn f ：i.(tX- 3- IJ k. 7 fl 7 ft j i .Ij *ey. EhfcBB*igB,rflipiM*爭诃曲什當 T ffiTtt. MAd-创語方疋Ki平UI*UL電di. n山誉4|岭耳口 *曲崎立+ “ iilitr. ruch fr-jAfr*.： M.仍甫讯枯甫附期峙肪I cdhnigt itwsc監 Window ttBBflM*#“.1担诞冬琳ci十扌 MfflHi H WLttAB ftHKIti vMKtiKtM-a- -标W辛Xtsni rhiAi 冒的怖训*韶加匱 II*NVhH）、生物识别技术优缺点（3）、生物识别技术优缺点）、指纹一般是作为非对称密钥的种子！指纹一般是作为非对称密钥的种子！优点安全性高生理特征使用方便、简洁不易被盗或遗失缺点对识别技术要求很高特征匹配、比较较难。所有的匹配都是模糊比较，相似度不可能100%。可以被伪造，且容易泄露，如指纹痕迹（4）、防指纹伪造答：可以采用活体指纹识别技术，能够感应指纹的湿度、温度或者生物电阻等属性，消除伪造指纹及断指所带来的隐患。例如电容式传感电容式传感。电容式传感电容式传感：电容式传感：工作原理：根据活体手指表层上的电阻变化传导指纹图像。皮肤表皮层下的第一层活体皮（肤细胞，具有一定量电阻。它们在皮肤表层上组成特定形状。细胞中的特定电学品质与细胞的排列方式这二者的结合使得皮肤表面的电阻能够被测量且其变化唯一。）由手指的电信号提取到的特征经过运算后以数字的形式存储。每次识别都需要经过这个过程，然后按照传统的指纹识别的校验方式进行识别比对。断指的电属性与活体手指的不同。手指一旦脱落身体或身体死亡后，该手指的电属性立即开始腐烂，电容式传感器无法读取。5、网络环境下的身份认证、Challe nge/Respo nse Challe nge/Respo ns请求认证 123499/Challenge永远不重复客户端 Passwd/123499 MD5/Response YES/NO青求服务服务端例如：客户 C 的密钥： 123456 两者合并做 MD5 摘要（摘要 1 青求认证 879x 客户端 C/ 摘要 1/MD5 服务器找到 C 的密 C D 钥与 879x 做 MD5 摘要（摘要 2），与摘要 1 对比 123456 876543 Y/N S/Key 认证过程客户向需要身份认证的服务器提出连接青求服务器返回应