网络安全技术（第4版）复习资料整理

第一章：

一、2017年6月1日，《网络安全法》开始实施。

二、网络安全5大基本要素：保密性、完整性、可用性、可控性、不能否认性。

三、计算机网络面临的威胁：

（1）主动攻击：终端、篡改、伪造

（2）被动攻击：截获、窃取。

四、网络脆弱性的缘由：

（1）开放的网络环境（网络用户能够自由访问网站，不受时间和空间约束，病毒等有害信息能够在网络快速扩散）。

（2）协议自己脆弱性（网络传输离不开协议，二这些协议在不一样层次、不一样方面都存在漏洞）。

（3）操做系统漏洞（系统设计存在缺陷、系统源代码存在漏洞、用户配置不正确形成的安全问题）。

（4）人为因素（安全意识薄弱）。

五、2015年6月11日增设网络空间安全一级学科。

六、信息安全的四个阶段：

（1）通讯保密阶段（1959年，香农发表《保密通讯的信息理论》将密码学归入科学轨道，1976年Diffie和Hellman提出公钥密码体制，1977年，美国公布《国家数据加密标准DES》）。

（2）计算机安全阶段（1983年，美国国防部出版《可信计算机系统评价准则》）。

（3）信息技术安全阶段（1993-1996年，美国国防部提出《信息技术安全通用评估标准》，即CC标准）。

（4）信息保障阶段（各国提出信息安全保障体系）。

七、DMZ区：

（1）概念：DMZ区，即非军事化区。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，该缓冲区是位于企业内部网络和外部网络之间的小网络区域。

（2）访问权限：内网能够访问外网，内网能够访问DMZ区，外网不能够访问内网，外网能够访问DMZ区，DMZ访问内网有限制，DMZ不能访问外网（SMTP除外）。

第二章：

一、搜索引擎：

Intitle：搜索范围限定在网页标题

Site：搜索范围限定在特定站点中

Inurl：搜索范围限定在url连接中

Filetype：搜索范围限定在指定文档格式中

Link：搜索某个连接的反向连接

例：filetype:xlsintitle:学院

           inurl:login.php title:公司

           intitle:index of /images

二、常见端口：

21：ftp                               443：https

22：ssh                              1433：ms sql server

23：telnet                           1521：oracle

25：smtp                            3306：mysql

53：dns                              3389：rdp

80：http                             8080：proxy

110：pop3

161：snmp

三、nmap扫描：

-sP (Ping扫描)：仅对主机进行ping扫描（主机发现），输出作出响应的主机列表，无进一步测试。

-sT（TCP 全链接扫描）：调用socket函数connect（）链接到目标主机，完成一次完整的三次握手过程，若是目标端口处于开放状态，connect（）成功返回。

       -sS  (TCP 半链接扫描)：扫描器向目标主机发送SYN数据包，若是应答为RST包，那么说明目标端口关闭，若是应答为SYN+ACK包，那么说明该端口处于监听状态，此时向目标主机传送一个RST包来中止链接。

       -sU  (UDP扫描)：发送空的（没有数据）UDP报头到目标端口，若是返回ICMP端口不可达（代码3），该端口关闭，若是返回其余ICMP不可达错误，代表该端口被过滤（filtered）。

       -sF（TCP FIN扫描）：扫描器向目标主机发送FIN包，当FIN包到达关闭的端口，数据包被丢弃，同时返回RST包，若到达打开的端口，数据包被求其且不返回数据包。

四、死亡之ping：ping -t -l 65500

原理：利用ip数据包头部的数据长度进行攻击，经过发送大于65536字节的ICMP包使对方操做系统崩溃。一般咱们不能够发送大于65536字节的ICMP包，但能够把报文分割成片断，而后再目标主机上重组，最终致使目标主机缓冲区溢出。

五、SYN洪水（简答，5分）

原理：客户端向服务器发送SYN请求数据包，服务器发送SYN+AKC数据包对客户端进行响应，在服务器发送响应数据包后，将会等待一段时间以接收来自客户端的确认数据包，此时，服务器与客户端创建链接所需的资源一直被占用。SYN洪水就是利用在这段时间内向服务器发送大量SYN请求而不做ACK确认的方式，使大量链接处于等待状态，最终致使服务器资源被耗尽。

第三章：

一、计算机病毒的定义：计算机病毒，指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用而且可以自我复制的一组计算机指令或者程序代码。

二、计算机病毒是程序。

三、计算机病毒的分类（按宿主分类）：

（1）引导性病毒：引导型病毒隐藏在ROM BIOS中，先于操做系统，依托的环境是BIOS中断服务程序。引导型病毒利用操做系统的引导模块放置在某个固定位置，而且控制权的转交方式是以物理地址为依据，而不是操做系统引导区的内容为依据。所以，病毒占据该物理位置便可得到控制权，而将真正的引导区内容搬家转移或更换，待病毒程序被执行后，将控制权交给真正的引导区内容，使这个带病毒的系统看似正常运转，病毒却已隐藏在系统中乘机传染、发做。

（2）文件型病毒：文件型病毒主要以可执行文件为宿主，通常感染扩展名为“.com””.exe”和”.bat”等可执行文件。文件病毒一般隐藏在宿主程序中，执行宿主程序时，将会先执行病毒程序，再执行宿主程序，看起来一切正常。而后，病毒驻留内存，乘机传染其余文件或直接传染其余文件。

（3）宏病毒：宏病毒主要以MicrosoftOffice的“宏”为宿主，寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，因而宏病毒就会被激活，并能经过DOC文档以及DOT模板进行自我复制及传播。

三、引导型病毒和文件型病毒区别：

（1）文件型病毒是病毒藏在文件里，执行可执行文件时发做。

（2）引导型病毒是病毒藏在硬盘的引导扇区里，系统启动时发做。

四、世界上出现的第一个病毒：

Brain，由巴基斯坦两兄弟为了保护软件著做权制做的引导型病毒。

五、中国出现的第一个病毒：小球病毒。

六、蠕虫病毒和普通病毒的区别：

 七、计算机的四大组成部分：

（1）感染标志：计算机病毒在感染前，须要先经过识别感染标志判断计算机系统是否被感染。若判断没有被感染，则将病毒程序的主体设法引导安装在计算机系统，为其感染模块和破坏表现模块的引入、运行和实施作好准备。

（2）引导模块：实现将计算机病毒程序引入内存，并使得传染和表现模块处于活动状态。引导模块须要提供自我保护功能，避免在内存中的自身代码不被覆盖或清除。计算机病毒程序引入内存后，为传染模块和表现模块设置相应的启动条件，以便在适当的时候或合适的条件下激活传染模块或者出发表现模块。

（3）感染模块：

1感染条件判断子模块：根据引导模块设置的传染条件，判断当前系统环境是否知足传染条件。

2传染功能实现子模块：若是传染条件知足，则启动传染功能，将计算机病毒程序附加在其余宿主程序上。

（4）破坏模块

1激发控制：当病毒知足某一条件，病毒发做。

2破坏操做：不一样病毒由不一样的操做方法，典型的恶性病毒是疯狂拷贝、删除文件等。

八、病毒的防御（简答题、填空题）：

（1）特征代码法（文件特征代码、内存特征代码）：当病毒公司收集到一种新的病毒时，就会从这个病毒程序中街区一小段独一无二并且足以表示这种病毒的二进制代码，来看成扫描程序辨认此病毒的依据，而这段独一无二的二进制代码，就是所谓的病毒特征码。分析出病毒特征码后，并集中存放于病毒代码库文件中，在扫描的时候将扫描对象与特征代码库比较，若是为什么，则判断为感染上病毒。

（2）特征代码法优势：检测准确、可识别病毒名称、误报率低、依据检测结果可作杀毒处理。

（3）特征代码法缺点：速度慢、不能检测多形性病毒、不能对付隐蔽性病毒、不能检测未知病毒。

第四章：

一、密码学五元组：

（1）明文：m      明文空间：M

（2）密文：c       密文空间：C

（3）密钥：k

（4）加密函数：E

（5）解密函数：D

二、对称密码和非对称密码的区别（填空题）：对称密码加密和解密使用的密钥同样，非对称密码加密和解密使用的密钥不同。

三、仿射密码：

（1）例题：密文UCR由仿射函数9x+2（mod 26）加密的，求明文。

（2）解答：由仿射密码解密函数：m=D_k1,k2（c）=（（c-k2）*k1^-1）mod26，其中，k1=9，k2=2。

求k1在mod26条件下的逆元：

N=A*a（0）+r（0）

A=r（0）*a（1）+r（1）

r（0）=r（1）*a（2）+r（2）

…

r（n-1）=r（n）*a（n+1）+0

其中N=26，A=k1=9；

 

              a（n）   a（n-1） …        a2                 a1                a0

b（-1）   b（0）    b（1）   …     b（n-2）       b（n-1）       b（n）

 

26=9*2+8；

9=8*1+1；

8=1*8+0；

由上面公式：b-1=1，b0=1*1=1，b1=1+b0*2=bn

因为商的个数为偶数，因此，k1在mod26条件下的逆元为：3

因此：m=D_k1,k2（c）=（（c-k2）*3）mod26

U=20，C=2，R=17

因此，m（U）= D_k1,k2（20）=2=C

  m（C）= D_k1,k2（2）=0=A

  m（R）= D_k1,k2（17）=19=T

明文为：CAT

四、playfire密码：

（1）例题：明文this is playfire cipher 密钥：can you get the cipher，求密文。

（2）解答：由题中条件，构造playfire密钥矩阵：

将明文拆分红两个一组：th isis pl ay fi re ci ph er

经过密钥矩阵及playfire加密规则，获得密文：hu fc fc rk no sf lr uf dg rl

五、vigenenre密码：

（1）例题：m=VIGENENRE，k=HELLO，求密文。

（2）解答：由vigenenre密码计算公式：c=E_ki（m）=（m+ki）mod26 （i=一、二、三、四、5）

   H=7，E=4，L=11，O=14，因此，k1=7，k2=4，k3=11，k4=14

   V=21，I=8，G=6，E=4，N=13，R=17

   c(V)= E_k1（V）=(21+7)mod26=2=C

   c(I)= E_k2（I）=(8+4)mod26=12=M

   c(G)= E_k3（G）=(6+11)mod26=17=R

   c(E)= E_k4（E）=(4+11)mod26=15=P

   c(N)= E_k5（N）=(13+14)mod26=1=B

c(E)= E_k1（E）=(4+7)mod26=15=P

   c(N)= E_k2（N）=(13+4)mod26=17=R

   c(R)= E_k3（m）=(17+11)mod26=12=M

c(E)= E_k4（E）=(4+11)mod26=15=P

密文为：CMRPBPRMP

六、RSA密码（给出p、q、e，求x）：

（1）例题：给出p=7，q=17，e=5，求x

（2）解答：

  1n=p*q=119

  2Φ（n）=（p-1）*（q-1）=96

  3选取公钥e，使得gcd（e，Φ（n））=1，题目已经选取e=5

  4计算私钥d：使得（d*e）modΦ（n）=1，即（d*e）=k*96+1

  5取k=4，计算得d=77

  公开（n，e）=（119，5），将d保密。明文：m=19

  加密：c=m^emod（n）=19⁵mod（119）=66

  解密：m=c^dmod（n）=66⁷⁷mod（119）=19

七、逆元的含义：模n意义下，1个数a若是有逆元x，那么除以a至关于乘以x。

八、DES的密钥输入的时候是64为，在作了第一次压缩以后，变成56位。

九、摘要算法：MD5算法输出散列值128位，sha算法输出的散列值为160位。

十、数字信封：数字信封是指发送方使用接收方的公钥来加密对称密钥后所得的数据，数字信封是用来确保对称密钥传输安全性的技术。

十一、数字签名：数字签名指用户用本身的私钥对原始数据的哈希摘要进行加密所得的数据，数字签名是用来确保发送者对发送的信息不能否认的技术。

十二、完整加密的加密解密流程：

  

1三、PKI四大组成部分：

（1）权威认证机构（CA）：担任用户公钥证书的生成和发布或CRL的发布职能。

（2）注册机构（RA）：1进行证书申请者的身份认证，2向CA提交证书申请请求，3验证接收到的CA签发的证书，并将之发放给证书申请者。4必要时，协助证书做废过程。

（3）证书：符合必定格式的电子文件，用来识别电子证书持有者的真实身份。

（4）终端实体：1初始化（注册），2证书密钥更新，3证书撤销/废止/更新请求。

1四、PKI中，数字证书包含的内容：

（1）包含姓名、地址、公司、电话号码、Email地址…与身份证上的姓名、地址等相似。

（2）包含证书全部者的公钥。

第五章：

一、实体鉴别方法：

（1）实体所知（知识、口令、密码）

（2）实体全部（身份证、信用卡、钥匙、智能卡、令牌等）

（3）实体特征（指纹，笔迹，声音，手型，脸型，视网膜，虹膜）

二、访问控制的实现：

（1）访问控制列表（ACL）：客体被主体访问的权限。

 

（2）访问控制矩阵（ACM）：

行：主体（用户）

列：客体（文件）

矩阵元素：规定了相应用户对应于相应的文件被准予的访问许可、访问权限。

  

（3）访问控制能力列表（ACCL）：主体可访问客体的权限。

三、防火墙发展历程：

四、防火墙体系结构：

（1）双宿主主机体系结构：双宿主主机位于内部网和Intelnet之间，通常来讲，使用一台装有两块网卡的堡垒主机做防火墙。这两块网卡各自与受保护的内部网和外部网相连，分别属于内网两个不一样的网段。

 

（2）被屏蔽主机体系结构：屏蔽主机防火墙易于实现，由一个堡垒主机屏蔽路由器组成。堡垒主机被安排在内部局域网中，同时在内部网和外部网之间配备了屏蔽路由器，在这种体系结构中，一般在路由器上设置过滤规则，外部网络必须经过堡垒主机才能够访问内部网络中的资源，并使这个堡垒主机成为从外部网络惟一能够直接到达的主机，对内部网络基本控制策略由安装在堡垒主机上的软件决定，确保内网不被未被受权的外部用户攻击。

 

（3）被屏蔽子网体系结构：屏蔽子网防火墙由一个防火墙和两个路由器构成屏蔽子网。与被屏蔽主机体系结构相比，被屏蔽子网体系结构添加了周边网络，在外部网络与内部网络之间加上了额外的安全层。

  

五、防火墙原理：

（1）包过滤防火墙：包过滤防火墙在网络层实现数据的转发，包过滤模块通常检查网络层、传输层内容，包括下面几项，

① 源、目的IP地址；

② 源、目的端口号；

③ 协议类型；

④ TCP报头的标志位。

（2）代理防火墙：在一台代理设备的服务器和客户端之间创建一个过滤措施，就成了“应用代理”防火墙。这种防火墙其实是一台小型的带有数据“检测、过滤”功能的透明代理服务器，可是并非单纯的在一个代理设备中引入包过滤技术，而使用“应用协议分析”技术。

（3）状态检测防火墙：状态检测防火墙经过一种被称为“状态监视”的模块，在不影响网络安全正常工做前提下，采用抽取相关数据的方法，对网络通讯的各个层次实行监测，并根据各类过滤规则作出安全决策。

（4）复合型防火墙：复合型防火墙采用自适应代理技术，初始的安全检测仍然发生在应用层，一旦安全通道创建后，随后的数据包就能够从新定向到网络层，并能够根据用户定义的规则，动态“适应”传送中的数据流量。

第七章：

一、SQL注入流程：

（1）判断环境，寻找注入点，判断网站后台数据库类型。

（2）根据诸如参数类型，在脑海中重构SQL语句原貌，从而猜想数据库中的表名和列名。

（3）在表名和列名猜解成功后，在使用SQL语句，得出字段的值。