2024年3月20日发(作者:)

attack :重放攻击

攻击者窃听一个正常的通信双方的通信包,然后重新发送这些数据包来

欺骗某一方来完成与上次相同的通信流程。一般通过唯一的序列号或者

时间戳来防止重放攻击。所谓重放攻击就是攻击者发送一个目的主机已

接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。为了抵

御重放攻击,现在的身份认证一般采用挑战应答方式。

nalysis :密码分析 5种方式

-force attack : 暴力攻击

一般指攻击者使用暴力手段来达到攻击目的,比如猜测密码,DOS等拒

绝服务攻击。

: 证书注销列表

CA发布的过期或者废止的证书的序列号。

: 传输层安全

安全套接层(SSL)及其新继任者传输层安全(TLS)是在互联网上提供保密

安全信道的加密协议,为诸如网站、电子邮件、网上传真等等数据传输

进行保密。SSL 3.0和TLS 1.0有轻微差别,但两种规范其实大致相同。

工作在传输层,独立于上层应用,给应用提供一个安全的点点通信隧

道。

: pretty good privacy

一个基于RSA公匙加密体系的邮件加密软件。主要用来解决身份鉴别

和保密性的安全问题。

: Internet 安全合约/密钥管理协议

是 IPsec 体系结构中的一种主要协议。该协议结合认证、密钥管理和

安全连接等概念来建立政府、商家和因特网上的私有通信所需要的安

全。提供自动建立安全关联和管理密钥的功能。

-homed Bastion 双宿堡垒主机[两个网卡,两个网络]

两个网卡,通常一个连接内部网络,一个连接外部网络,在应用层提供

代理服务。

Detection 误用侦测

收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统

行为与库中的记录相匹配时,系统就认为这种行为是入侵。

er Forensics 计算机取证

对电脑犯罪行为进行分析,搜寻确认罪犯及其犯罪证据,并据此提起诉

讼。

ot 蜜罐

蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表

明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能

预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动

进行监视、检测和分析。用来引诱入侵者前来攻击,从而了解攻击者使

用的最新的攻击方法,并可能发现现有的漏洞。

判断:

1.公开密钥密码体制比对称密钥密码体制更为安全。 [x]

错误。没有可比性,安全性需要考虑使用的算法以及密钥长度来综合衡

量。

2.端到端的加密设备可以把数据包中的(网络地址信息一起加密),从而

(抵御了流量分析)类型的攻击。 [x]

错误。端到端的加密设备并不能加密IP地址,不能抵御了流量分析类型

的攻击。

-Hellman算法的安全性在与离散对数计算的困难性,可以实现

(数字签名)和密钥交换。 [x]

Diffie-Hellman算法的安全性在与离散对数计算的困难性,但只能用于密

钥交换。

4.我的公钥证书是(不能在网络上公开)的,否则其他人可能假冒我的身

份或伪造我的数字签名。 [x]

公钥证书可以公开,数字签字是用私钥来签的。

os系统基于对称密钥密码体制,在大规模、跨管理域的应用系

统的(可扩展性不好)。 [Y]

正确。因为kerberos协议本身的一些缺陷(1.客户端和服务器端软

件都需要做修改;2.使用了时间戳,时间的同步问题;os服务器

的崩溃将影响到整个系统),其中1和2导致在大规模、跨管理域的应用

系统的可扩展性不好。

6.由于S/MIME用于非实时的通信环境,无法实时的协商会话密钥,因

此对信息的加密(只能使用公开密钥加密算法)。[x]

S/MIME对信息的加密使用对称密钥来完成,对称密钥用对方的公钥加

密来传递。

7.在Ipsec(协议集)通信环境中,两个节点之间的安全通信必须建立在

两个或两个以上的SA才能进行双向的安全通信,比如AH或ESP。

[y] // 意思是 用AH要两个SA, 如果用 ESP 也要两个 SA。

8,IPSec体系中,AH只能实现地址源发认证和数据完整性服务,ESP只

能实现信息保密性(数据加密)服务。 [x]

ESP也能实现地址源发认证和数据完整性认证,数据加密服务是可选

的。

9,PGP协议缺省的压缩算法是ZIP,压缩后的数据由于冗余信息很少,

更容易抵御密码分析类型的攻击 [y]

10,在SSL握手协议的过程中,Server-Hello消息必须包含服务器的公钥

证书。 [x]

在SSL协议中,Server-Hello中发送服务器端证书是可选项。

11,误用检测虽然比异常检测的准确率高,但是不能检测未知的攻击类

型。 [y]

12,可以在局域网的网关处安装一个病毒防火墙,从而解决整个局域网

的防病毒问题。 [x]

病毒可能不一定从internet外传入,但可能在局域网内部传播。

13,包过滤防火墙对应用层是透明的,增加这种防火墙不需要对应用软

件做任何改动。 [y]

14,PGP软件中共涉及三种密钥:Public Key ,Private Key,Session Key [y]

15,现代密码体制把算法和密钥分开,只需要保证密钥的 保密性就行

了,算法是可以公开的。 [y]

16,发送方使用AH协议处理数据包,需要对整个IP的数据包计算

MAC,包括IP头的所有字段和数据。 [X]

错误。隧道模式需要对包括IP包头的整个IP包进行MAC计算,传输模式

不需要。

17,3DES算法的加密过程就是用同一个米要对待加密的数据执行三次

DES算法的加密操作。 [x]

3DES通常用2个或3个密钥来进行加密,而且不能只进行加密操作,通

常采用加密-解密-加密的方式。

18,SSL协议中,多个会话(session)可以同时复用同一个连接

(connection)的参数。 [y]

19,一种加密方案是安全的,当且仅当解密信息的代价大于被加密信息

本身的价值。[y]

简答题。

1,在Diffie-Hellman密钥交换过程中,什么是Man-in-the-Middle攻击?

2,简述蠕虫传播过程的传染病模型,解释相关变量,方程的含义。

3,简述BLP安全模型(Bell-Lapadula security model)的基本原理。

BLP安全模型基于强制访问控制系统,以敏感度来划分资源的安全级

别。在强制访问控制中,系统独立于用户行为强制执行访问控制,用户

不能改变他们的安全级别或对象的安全属性。这样的访问控制规则通常

对数据和用户按照安全等级划分标签,访问控制机制通过比较安全标签

来确定的授予还是拒绝用户对资源的访问。BLP基于两种规则来保障数

据的机秘度与敏感度:上读(NRU),主体不可读安全级别高于它的数

据;下写(NWD),主体不可写安全级别低于它的数据.

论述题。

1, 简述SYN FLOOD 攻击的原理,并说明TCP SYN-Cookie机制是如

何解决这一问题的。

攻击原理: 一种常见的DOS攻击手段,利用TCP协议的缺陷

TCP在传输前需要用三次握手来建立连接。在TCP连接的三次握手中,

假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器

在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次

握手无法完成),这种情况下服务器端一般会重试(再次发送

SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接;如果

有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常

大的半连接列表而消耗非常多的资源。并且如果服务器的TCP/IP栈不够

强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强

大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户

的正常请求(此时客户端的正常请求比率非常之小),此时从正常客户

的角度看来,服务器失去响应。

SYN Cookie机制:就是给每一个请求连接的IP地址分配一个Cookie,如

果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以

后从这个IP地址来的包会被一概丢弃。SYN Cookie更依赖于对方使用真

实的IP地址,如果攻击者以数万/秒的速度发送SYN报文,那么

SYN Cookie就不能抵御这种SYN FLOOD。

2, 如果你怀疑自己的计算机被黑客远程控制或被儒虫感染,你计划

采用哪些步骤检查自己的计算机?

a. 检查系统可疑进程 b.检查系统启动脚本 c.检查可疑的连接/监听

端口等 d.升级杀毒软件,安装防火墙

比较流行的Arp病毒原理及防护方法

主机在两种情况下会保存、更新本机的ARP缓存表.

1. 接收到“ARP广播-请求”包时

2. 接收到“ARP非广播-回复”包时

从中我们可以看出,ARP协议是没有身份验证机制的,局域网内任何

主机都可以随意伪造ARP数据包,ARP协议设计天生就存在严重缺陷。

假设局域网内有以下三台主机(其中GW指网关),主机名、IP地

址、MAC地址分别如下:

主机名 IP地址 MAC

地址

GW 192.168.0.1

01-01-01-01-01-01

PC02 192.168.0.2

02-02-02-02-02-02

PC03 192.168.0.3

03-03-03-03-03-03

在正常情况下,主机PC02与GW之间的数据流向,以及它们各自的

ARP缓存表如下图所示:

当网络爱好者,主机PC03出现之后,他为了达到某种目的,于是决定

实施一次ARP欺骗攻击。PC03首先向PC02发送了一个ARP数据包,作

用相当于告诉PC02:“嘿,我是192.168.0.1,我的MAC地址是03-03-03-

03-03-03”,接着他也向GW发送了一个ARP数据包,作用相当于告诉

GW:“嘿,我是192.168.0.2,我的MAC地址是03-03-03-03-03-03”。于

是,主机PC02与GW之间的数据流向,以及它们各自的ARP缓存表就变

成如下图所示:

从上图我们可以看出,ARP欺骗之后,主机PC02与GW之间的所有网

络数据都将流经PC03,即PC03已经掌控了它们之间的数据通讯。以上

就是一次ARP欺骗的实施过程,以及欺骗之后的效果。

ARP欺骗根据欺骗对象的不用可以分为三种:

1. 只欺骗受害主机。实施欺骗后效果如下:

2. 只欺骗路由器、网关。实施欺骗后效果如下:

3. 双向欺骗,即前面两种欺骗方法的组合使用。实施欺骗后的效果如

下:

ARP欺骗带来的危害可以分为几大类:

1. 网络异常。具体表现为:掉线、IP冲突等。

2. 数据窃取。具体表现为:个人隐私泄漏(如MSN聊天记录、邮件

等)、账号被盗用(如QQ账号、银行账号等)。

3. 数据篡改。具体表现为:访问的网页被添加了恶意内容,俗称“挂

马”。

4. 非法控制。具体表现为:网络速度、网络访问行为(例如某些网页

打不开、某些网络应用程序用不了)受第三者非法控制。ARP欺骗根据

发起个体的不同可以分为两类,

(1). 人为攻击。人为攻击的目的主要是:造成网络异常、窃取数据、

非法控制。

(2). ARP病毒。ARP病毒不是特指某一种病毒,而是指所有包含有

ARP欺骗功能的病毒的总称。ARP病毒的目的主要是:窃取数据(盗号

等)、篡改数据(挂马等)。

针对arp病毒泛滥,可在交换上做以下设置:

华为交换机:可在接入层或汇聚层交换机封源mac地址

int 某端口

mac-address backhole **************

港湾交换机:可在汇聚层做acl

service acl enable

create acl deny_mac mac-ip destination any any source ************** any

deny ports any predence 60

其中******************表示mac地址