计算机网络安全技术复习笔记

1.网络脆弱性的原因：开放性的网络环境、协议本身的缺陷、操作系统的漏洞、人为因素；
2.网络安全的定义：（文献）安全就是最大程度地减少数据和资源攻击的可能性；（本质）网络安全是指网络系统的硬件、软件和系统中的数据受到保护，不受偶然的或者恶意的攻击而遭到破坏、更改、泄露，系统连续可靠的正常运行，网络服务不中断；（广义）凡是涉及网络上信息的【网络安全的基本要素】保密性、完整性、可用性、可控性和不可否认性的相关技术和理论都是网络安全所要研究的领域。
3.信息安全的发展历程：通信保密阶段、计算机安全阶段、信息技术安全阶段、信息保障阶段。
4.网络安全所涉及的内容：物理安全、网络安全、系统安全、应用安全、管理安全。
5.网络安全的威胁：非授权访问、信息泄露或丢失、破坏数据完整性、拒绝服务攻击、网络传播病毒。
6.数据保密：数据加密、数字签名、数据加密传输。



1.黑客的定义：①研究计算机程序并以此增长自身技巧的人；②对编程有无穷兴趣和热忱的人；③能快速编程的人；④某专门系统的专家，如“UNIX系统黑客”；⑤恶意闯入他人计算机或系统，意图盗取敏感信息的人。
2.黑客入侵的一般过程：确定攻击的目标、收集被攻击对象的有关信息、利用适当的工具进行扫描、建立模拟环境，进行模拟攻击、实施工具、清楚痕迹。
3.目标系统探测方法：入侵者确定攻击目标后，首先要收集该目标的相关的信息，即地址范围、域名空间等，这类工具一般称为Whois查询。
4.口令破解：一般入侵者常常通过下面几种方法获取用户的密码口令，包括暴力破解【穷举法、字典法】、Sniffer密码嗅探、社会工程学（即通过欺诈手段获取）以及木马程序或键盘记录程序等手段。
5.网络监听：主要用来监听网络的流量、状态、数据等信息......网络加纳特工具称为Sniffer（嗅探器），Sniffer可以是软件，也可以是硬件。硬件的Sniffer也称为网络分析仪。<在共享式HUB连接的网络中，根据Internet的工作原理，数据传输是广播方式的。当网卡不是工作在普通模式下，而是工作在“混杂”模式下，会砸模式不关心数据包头内容，让所有经过的数据包都传递给操作系统处理，可以捕获网络上所有的数据帧。....而在交换机连接的网络，当数据进入交换机时，交换机先查看数据帧中的目的地址，然后按照地址表转发到相应的端口，其他端口收不到数据。>


1.网络监听是【监视网络的状态、传输的数据流。
2.DDos攻击破坏了【可用性
3.计算机病毒的传播方式有【共享资源传播、网页恶意脚本传播、网络文

件传输传播、电子邮件传播

。
4.计算机病毒按期表现性质可分为【良性的、恶性的
5.加密和解密的过程都是在【密钥】的控制下进行的。
6.【数字证书】是网络通信中标注通信各方身份信息的一系列数据。
7.数字证书采用公钥体制是，每个用户设定一把公钥，由本人公开，用其进行【加密和验证签名】
8.在公开密钥体制中，加密密钥即【公开密钥】
9.防火墙采用的最简单的技术是【包过滤】
10.防火墙技术可以分为【包过滤、状态检测和应用代理】防火墙系统通常由【过滤路由器和代理服

务器】组成，防止不希望的、未经授权的通信进出被保护的内部网络，是一种【被动的】网络安全措

施。
11.防火墙是建立在内外网络边界上的一类安全保护机制，其安全架构基于【访问控制技术】，一般

作为代理服务器的堡垒主机上装有【一块网卡且有一个IP地址】，其上运行的是【代理服务器软件】
12.WS系统的安全日志通过【本地安全策略】设置。
13.【读取及执行】不是W的共享访问权限。
14【REGEDIT.EXE REGEDT32.EXE】可以启动WS的注册表编辑器。

1.防火墙的功能：a.内部网络和外部网络之间的所有网络数据流都必须经过防火墙；b.只有符合安全策略的数据流才能通过

防火墙；c.防火墙自身具有非常强的抗攻击能力；①针对用户指定各种访问控制；②对网络存取和访问进行监控审计；③支

持VPN功能；④支持网络地址转换；⑤支持的身份认证等。
2.防火墙的技术分类：包过滤防火墙、代理防火墙、状态检测防火墙、复合型防火墙。


.............................................................................................................

包过滤防火墙：包过滤防火墙工作在网络层，其工作原理。在网络层实现数据的转发，包过滤模块一般检查网络层、传输层

内容，包括下面几项：①源、目的IP地址；②源、目的端口号；③协议类型；④TCP数据报的标志位。
【通过检查模块，防火墙拦截和检查所有进站和出站的数据：防火墙检查模块首先验证这个包是否符合规则，无论是否过滤

规则，防火墙一般都要记录数据报的情况，对不符合规则的数据报要进行报警或通知管理员。】
包过滤防火墙的特点：【优点：①利用路由器本身的包过滤功能，以访问控制列表方式实现；②处理速度较快；③对安全要

求低的网络采用路由器附带防火墙功能的方法，不需要其他设备；④对用户来说是透明的，用户的应用层不受影响。....缺

点：①无法阻止“IP欺骗”；②对路由器中过滤规则的设置和配置十分复杂；③不支持应用层协议，无法发现基于应用层的

攻

击、④实施的是静态的、固定的控制，不能跟踪TCP状态；⑤不支持用户认证，只判断数据包来自哪台机器，不能判断是来

自哪个用户。
设计访问控制列表的注意点：①自上而下的处理过程。一般的访问控制列表的检测是按照自上而下的过程处理，所以必须注

意访问控制列表中语句的顺序；②语句的位置。应该将更为具体的表项放在不太具体的表项的前面，保证不会否定后门语句

的作用；③访问控制列表的位置。将扩展的访问控制列表尽量靠近过滤的位置上，过滤规则不会影响其他接口上的数据流；

④注意访问控制列表作用的接口以及数据的流向；⑤只注意路由器默认设置，从而注意最后一条语句的设置。有的路由器默

认设置是允许，有的是默认拒绝，后缀比前者更安全、更简便。
防火墙的主要参数：硬件参数、并发连接数、吞吐量、安全过滤带宽、用户数限制、VPN功能。

.............................................................................................................

Windows Server2003的新特性：可靠性、高效率、联网能力、安全性。
注册表：HKEY_CLASSES_ROOT根键：一种是已经注册的各类文件的扩展名，另一种是各种文件类型的有关信息。
HKEY_CURRENT_USER根键：包含当前用户的登录信息。 HKEY_USER：计算机上所有用户的配置文件（本根键中的大部分设置

都可以通过控制面板来修改。 HKEY_LOCAL_MACHINE根键：包了本地计算机（相对网络环境而言）的硬件和软件的全部信

息。 HKEY_CURRENT_CONFIG根键：包含了SOFTWARE和SYSTEM两个子键，也是指向HKEY_LOCAL_MACHINE结构中相对应的

SOFTWARE和SYSTEM两个分支中的部分内容。
注册表文件夹：Defualt——默认主粗表文件。
SAM——安全账户管理器注册表文件。
Security——安全注册表文件。
Software——应用软件注册表文件。
System——系统注册表文件。
网络安全策略的制定原则：实用性原则、动态性原则、简单些原则、系统性原则、最小授权原则。
网络安全系统的设计原则：木桶原则、整体性原则、有效性和实用性原则、安全性评价原则、等级性原则、动态化原则、设

计为本原则、自主和可控制性原则、权限最小化原则、有的放矢原则。

1.网络安全涉及的内容分为那几个方面？【物理安全、网络安全、系统安全、应用安全、管理安全】
2.一般的系统攻击有哪些步骤？个步骤主要完成什么工作？【①确定攻击目标；②收集被攻击对象的有关信息（根据收集的

这些信息进行分析，可得到被攻击方系统中可能存在的漏洞）；③利用适当的工具进行扫描（可

以对所获数据进行分析，发

现安全漏洞）；④建立模拟环境进行模拟攻击（测试对方可能的反应，通过检查被攻击方的日志，可以了解攻击过程中留下

的“痕迹”）；⑤实施工具（根据已知的漏洞实施攻击）；⑥清楚痕迹；】
3.特洛伊木马是什么？工作原理是什么？【特洛伊木马是一种基于远程控制的黑客工具（病毒程序）....木马被植入用户的

计算机中，以“里应外合”的工作方式，服务程序通过打开特定的端口并进行监听，攻击者所掌握的客户端程序向该端口发

出请求，木马便与其连接起来】



分享复制地址
日志地址:
请用Ctrl+C复制后贴给好友。
绝念 2010年12月30日 10:15 阅读(1) 评论(0) 分类：个人日记 权限: 公开
字体：中▼
小中大更多▼
设置置顶 权限设置 推荐日志 转为私密日志 删除编辑

1.、拒绝服务Dos攻击：（广义）指任何导致网络设备（服务器、防火墙、交换机、路由器等）不能正常提供服务的攻击，现在一般指的是只对服务器的Dos攻击。.......Dos攻击就是想办法让目标机器停止提供服务或资源访问，这些资源包括磁盘空间、内存、进程甚至网络宽带，从而阻止正常用户的访问。【一种是：以消耗目标主机的可用资源为目的，使目标服务器忙于应付大量非法的、无用的链接请求，占用了服务器所有的资源，造成服务器对正常的请求无法再做出及时响应，从而形成事实上的服务中断，这也是最常见的拒绝服务攻击形式......另一种以消耗服务器链路的有效宽带为目的。】
2.Dos攻击的目的：①使服务器崩溃并让其他人也无法访问；②黑客为了冒出某个服务器，就对其进行Dos攻击，使之瘫痪；③黑客为了启动安装的木马，要求系统重新启动，Dos攻击可以用于强制服务器重新启动。
3.死亡之ping、 SYN Flood攻击、Land攻击<特别的SYN包的源IP和目的IP都被设置成被攻击的服务器地址>、Teardrop攻击<片段、偏移量0长度N，偏移小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源。>
4..分布式拒绝服务攻击：是一种基于Dos的特殊形式的工具，是一种分布、协作的大规模攻击方式。......Smurf攻击就是在网络中发送源地址为要攻击的主机地址，目的地址为广播地址的包，会使许多系统响应发送大量的信息给被攻击主机（因为其他地址被攻击者假冒了）。使用网络发送一个包而引出大量响应的法师也被叫做“放大镜”
5.缓冲区溢出：缓冲区中存放数据的长度事先已经被程序或者操作系统定义好，如果往程序的缓冲区写超出其长度的内容，就会造成缓冲区的溢出，覆盖其他空间的数据，从而破坏程序的堆栈，使程

序转而执行其他指令。

1.密码学的有关概念：
加密：（Encryption,记为E）。将计算机中信息进行一组可逆的数学变换的过程。用于加密的这一组数学变换称为加密算法。
明文：(Plaintext,记为P）。信息的原始形式，即加密前的原始信息。
密文：(ciphertext,记为C）。明文经过了加密后就变成了密文。
解密：（decryption记为D）。授权的接受者接收到密文之后，进行与加密相逆的变换，去掉密文的伪装，恢复明文的过程，就称为解密。（用于解密的一组数学变换 称为解密算法。）
2.密码学发展的3个阶段：古典密码学阶段、现代密码学阶段、公钥密码学阶段
3.替换密码技术：用一组密文字母来代替明文字母，以达到隐藏明文的目的。（单表替换密码、多表替换密码、同音替换密码、多字母组替换密码）
4.换位密码技术：通过改变明文字母的排列次序达到加密的目的。
5.如果在一个密码体系中，加密密钥和解密密钥相同，就称之为对称加密算法。（一类是一次只对明文中的一个位<有时是对一个字节>进行运算的算法，称为序列加密算法。另一类是每次对明文中的一个位进行加密的算法，称为分组加密算法。）
6.DES算法及其基本思想：DES以算法实现快、密钥简短等特点成为现在使用非常广泛的一种加密标准。...是按分组方式进行工作的短发，通过反复使用替换和环卫两种基本的加密组块的方法，达到加密的目的。（最后一次迭代后所得的左半部分和右半部分不再交换，这样做的目的是为了使加密和解密可以使用同一个算法。
7.RSA算法：其公钥和私钥是一对大素数的函数，从一个公钥和密文中恢复出明文的难度等价于分解两个大素数的乘积。这种大素数的运算是一种“单向”运算（单向运算的安全性就决定了RSA算法的安全性）。
8.在认证要求方面：SSL不能实现多方认证；相比之下SET的安全要求较高，所有参与SET交易的成员都必须申请数字证书进行身份识别。...在安全方面：SET协议规范了整个商务活动的流程以及必须采用的加密，从而最大限度地保证了商务性、服务性、协调性和集成性。因此SET的安全性比SSL高。....在网络层协议位置方面：SSL是基于传输层的，通用安全协议，而SET位于应用层，对网络上其他各层也有涉及。... 在应用领域方面：SSL主要是和Web应用一起工作，而SET是为信用卡交易提供安全。
9.公开密钥算法由于解决了对称加密算法中的加密和解密密钥都需要保密的问题，在网络安全中得到了广泛的应用。
10.一个完善的数字签名应该解决好下面的3个问题：（1）接收方能够核实发送方对报文的签名，如果当事双

方对签名真伪发生争议，应该能够在第三方面前通过验证签名来确认其真伪。...(2）发送方事后不能否认自己对报文的签名。...（3）除了发送方的其他任何人不能伪造签名，也不能对接收或发送的信息进行篡改、伪造。
11.报文鉴别：就是验证对象身份的过程，如验证用户身份，网址或数据串的完整性等，保证其他人不能冒名顶替。因此报文鉴别就是信息在网络通信的过程中，通信的接收方能够验证所收到的报文的真伪的过程，包括验证发送方的身份、发送时间、报文内容等。


1.计算机病毒的定义：一般来说，凡是能够引起计算机故障、破坏计算机数据的程序或指令集合统称为计算机病毒（Computer Virus).我国在《条例》中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码.” 弗雷德·科恩在他的论文中，将病毒定义为“一个可以通过修改其他程序来复制自己并感染它们的程序”。
2.我国的计算机病毒最早发现于1989年，来自西南铝加工厂的病毒报告——小球病毒报告。
（DOS引导阶段）1987年，计算机病毒主要是引导型病毒；
（DOS可执行阶段）1989年可执行文件型病毒出现；
（伴随阶段）1992年，伴随型病毒出现；
（多形阶段）1994年，随着汇编语言的发展，发现同一功能可以用不同的方式进行完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。；
（生成器、变体机阶段）1995年，在汇编语言中，一些数据的运算放在不同的通用寄存器中，可以运算出同样的结果；
（网络、蠕虫阶段）1995年，随着网络的普及，病毒开始利用网络进行传播，是上几代病毒的改进；
（视窗阶段）1996年，随着Windows95的日益普及，利用Windows进行工作的病毒开始发展，修改（NE、PE）文件；
（宏病毒阶段）1996年，随着Windows Word 功能的增强，使用Word宏语言也可以编制病毒；
（邮件病毒阶段）1999年，随着E-mail的使用越来越多，一些病毒通过电子邮件来传播；
（手持移动设备病毒阶段）2000年，随着手持终端处理能力的增强，病毒也随之攻击移动电话和PDA等手持移动设备。
3.计算机病毒的特征：传染性、破坏性、潜伏性及可触发性、非授权性、隐蔽性、不可预见性。
4.计算机病毒的分类：
<1>.按照计算机病毒依附的操作系统分类：①基于DOS系统的病毒（只能在DOS环境下运行、传染的计算机病毒、是最早出现的计算机病毒。如，米开朗基罗病毒、 “黑色星期五）；②基于Windows系统的病毒；③基于UNIX/Linux系统的病毒；④基于嵌

入式操作系统的病毒
<2>.按照计算机病毒的传播媒介分类：①通过浏览网页传播；②通过网络下载传播；③通过即时通信软件传播；④通过邮件传播；⑤通过局域网传播
<3>.按照计算机病毒的宿主分类： 引导型病毒、文件型病毒（覆盖型文件病毒、依附型文件病毒、伴随型文件病毒）、宏病毒
5.蠕虫病毒的概念：是一种常见的计算机病毒，通过网络复制和传播，具有病毒的一些共性，如传播性、隐蔽性、破坏性等，同时具有自己的一些特征，如不利用文件寄 生(有的只存在于内存中），对网络造成拒绝服务，以及与黑客技术相结合。
6.蠕虫病毒与传统病毒的区别：蠕虫一般不采用利用PE格式插入文件的方法，而是复制自身在Internet环境下进行传播。病毒的传染能力主要针对计算机内的文件系统而 言，而蠕虫病毒的传染目标是Internet内的所有计算机。
7.计算机病毒的结构：一般由引导模块、传染模块、表现模块3部分组成。
8.CIH病毒：陈盈豪大学生编写的文件型病毒，现已被认定是首例能够破坏计算机系统的病毒，同时也是最具有杀伤力的恶性病毒。
9.宏病毒；1.特点；传播极快，制作、变种方便，破环可能性极大，宏病毒感染数据文件。
10.“熊猫烧香”是一种蠕虫病毒（尼姆亚Worm.Nimaya.w)的变种，而且是经过多次变种而来的。
11.感染“熊猫烧香”病毒的现象：①关闭众多杀毒软件和安全工具；②感染所有EXE/SCR/PIF/COM文件，并更改图标为烧香的熊猫；③循环遍历磁盘目录，感染文件，对 关键系统文件跳过，不感染Windows媒体播放器、MSN、IE等程序。在硬盘各个分区下生成文件autorun,inf和setup.exe；④感染所 有.htm/.html/.asp/.php/.jsp/.aspx文件，添加木马恶意代码，导致用户一打开这些网页文件，IE就会自动连接到制定的病毒网址中下载病毒；⑤自动删除*.gho文 件，使用户的系统备份文件丢失；⑥病毒攻击计算机弱口令；⑦计算机会出现蓝屏、频繁重新启动。
12.“磁碟机”病毒；起初仅仅作为一种蠕虫病毒（在%system%\system32生成lsass.exe和smss.exe感染用户计算机上的EXE文件。之后吸取了“AV终结者”、“机器狗 ”等流行病毒的特性后，其破坏能力，自我保护和反杀毒软件能力均10倍于“熊猫烧香”（系统运行缓慢，频繁出现死机、蓝屏、报错等现象）
13.计算机防病毒技术：特征代码法（是检测已知病毒最简单、开销小的方法）、校验和法（根据病毒在感染程序时，大多数会使被感染的程序大小增加或者日期改变的这种行为进行判断）、行为检测法（找不同于正常程序的行为）、虚拟机技术（在计算机中创造一个虚拟

CPU环境，讲病毒在虚拟环境中激活，从而观察病毒的执行过程，根据其行为特征，从而判断是否罚病毒）。


一.木马
1.木马的工作原理：常见的普通木马一般是客户端/服务端（Client/Server，C/S）模式，客户端/服务端之间采用TCP/UDP的通信方式，攻击者控制的是相应的客户端程序，服务器端程序是木马程序，，木马程序被植入到毫不知情的用户的计算机中。以“里应外合”的工作方式，服务程序通过打开特定的端口并进行监听，这些端口好像“后门”一样，所以，也有人把特洛伊木马叫做后门工具。
2.木马的分类：远程访问型木马、键盘记录木马、密码发送型木马、破坏性木马、代理木马、FTP木马。
3.木马的工作过程：配置木马<实现木马伪装、信息反馈>、传播木马、启动木马、建立连接、远程控制。
4.反弹端口木马：与一般的木马相反，客户端（控制端）使用被动端口，反弹端口型木马的服务端（被控制端）主动与该端口连接，客户端（控制端）使用被动端口，木马定时检测控制端的存在，发现控制端上线立即弹出端口主动连接控制端打开的主动端口。
5.木马文件的隐藏于伪装方式：①文件的位置：木马的服务器程序文件的一般位置是在c:\WINNT和c:\WINNNT\systen32中，因为Windows的一些系统文件在这两个位置，所以许多人不敢随便删除这里的文件，如果误删了文件，计算机可能崩溃；②文件的属性：把文件的属性设置为隐藏，这是最简单、最初级的隐藏方法；③文件的捆绑：这种伪装手段是将摸个可执行程序和木马捆绑成一个程序，而其会自动更改图标，使捆绑后的程序和捆绑钱的程序图标一样，做到天衣无缝；④文件的名字：有些木马是独立的文件，经常使用的是常见的文件名或扩展名，或者仿制一些不易被人区别的文件名；⑤文件的扩展名：⑥文件的图标：现在已经有些木马可以将木马服务器端程序的图标改成HTML、TXT、ZIP、JPG各种文件的图标。
6.木马的启动方式：配置文件中启动、在启动组中启动、在注册表中启动、捆绑式启动、在超链接中启动
7.木马的检测：查看端口、检查注册表、检查DLL类木马、检查配置文件。