网络安全100问

 
1、信息安全5个层次：安全的密码算法、安全协议、网络安全、系统安全、应用安全

2、通常说的信息安全是从“自然科学”的角度介绍的

3、计算机安全的目标：机密性、完整性、可用性（CIA）、抗否认性

4、信息保障的核心思想是对系统或数据的：保护、检测、反应、恢复

5、网络攻击技术：网络监听、扫描、入侵、后门、隐身

6、网络防御技术：安全操作系统和操作系统的安全配置、加密技术、防火墙技术、入侵检测、网络安全协议

7、计算机安全保护划分为5个级别：用户自主、系统审计、安全标记、结构化、访问验证

8、TGP目的是在计算和通信系统中广泛使用基于硬件安全模式支持下的可信计算平台（TCP），以提高整体的安全性

9、安全威胁事件平均年增长50%左右

10、网络安全橙皮书：可信任计算机标准评价准则，安全的级别由低到高分为4个级别：D、C、B、A

B级中有3个级别，B2又叫做结构化保护级别，它要求计算机中所有的对象都要加上标签，而且给设备分配单个或多个安全级别。

11、网络安全的研究内容分为两大体系：攻击、防御

12、从层次上网络安全可以分成4层：物理、逻辑、操作系统、联网

物理：包括5个方面：防盗、防火、防静电、防雷击、防电磁泄漏

逻辑：需要口令、文件许可

操作系统：能区分用户，以便防止相互干扰，不允许一个用户修改由另一个账户产生的数据

联网：通过访问控制服务和通信安全服务，访问控制服务：用来保护计算机和联网资源不被非授权使用；通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性。

13、OSI参考模型是国际标准化组织（ISO）制定的模型，把计算机与计算机之间的通信分成7个协议层，由下到上为：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层

14、表示层服务的一个例子：用一种一致选定的标准方法对数据进行编码

15、判断任意两台计算机的IP地址是否属于同一子网络的依据是：子网掩码

16、通过ICMP,主机和路由器可以报道错误并交换相关的状态信息

17、DNS使用UDP协议

18、网络层：完成网络中主机间的报文传输

19、TCP/IP协议族包括4个功能层：网络接口层、网络层、传输层、应用层。

网络接口层：又分为数据链路层和物理层，威胁：未授权用户的接入、物理盗窃、涉密信息被复制或破坏。保护措施主要有：实时存档和检测网络、提高通信线路的可靠性、软硬件设备安全性、防干扰、保证设备的运行环境、不间断电源

网络层：威胁：IP欺骗攻击。保护措施：使用防火墙过滤和打系统补丁

传输层：威胁：拒绝服务（DOS）、分布式拒绝服务（DDOS）。保护措施：正确设置客户端SSL，使用防火墙对来源不明的有害数据进行过滤。

应用层：SMTP：威胁：邮件炸弹、病毒、匿名邮件、木马。保护措施：认证、附件病毒扫描、用户安全意识教育

FTP：威胁：明文传输、黑客恶意传输、非法使用。保护措施：不许匿名登录、单独的服务器分区、禁止执行程序

HTTP：威胁：恶意程序

20、Email服务使用的两个主要协议：SMTP、POP3

21、Ping指令通过发送ICMP来验证与另一台TCP/IP计算机的IP级连接，应答消息的接受情况将和往返过程的次数一起显示出来。Ping用来侦测网络上得远端主机是否存在，并判断网络状况是否正常的网络侦测工具。校验与远程计算机或本地计算机的连接，只有在安装TCP/IP协议之后才能使用。

22、ipconfig，查看当前电脑的配置，显示所有TCP/IP网络配置信息，刷新动态主机配置协议（DHCP）和域名系统（DNS）设置，使用不带参数的ipconfig可以显示所有适配器的IP地址、子掩、默认网关。在DOS命令下输入

23、netstat用来查看当前电脑的活动会话

24、net在网络安全领域通常用来查看计算机上的用户列表、添加和删除用户、和对方计算机建立连接、启动或者停止某网络服务等。使用“net user”可查看计算机上的用户列表

25、at，使用at命令建立一个计划任务，并设置在某一刻执行，但是必须首先与对方建立信任连接

26、FTP：21/20 TCP协议

    SMTP：25   TCP

    DNS：53    TCP/UDP

    WEB: 80    TCP

    HTTP（带SSL）：443  TCP

    Smb:445    TCP/UDP

    WIN终端服务：3389  TCP

27、黑客攻击五部曲：隐藏IP、踩点扫描、获得系统或管理员权限、种植后门、在网络中隐身

28、踩点就是通过各种途径对所要攻击的目标进行多方面的了解，确定攻击的时间和地点。常见的方法有：在域名及其注册机构的查询、公司性质的了解、对主页进行分析、邮件地址的搜集、目标IP地址范围查询。目的就是探索对方的各方面情况，确定攻击的时机，摸清对方最薄弱的环节和守卫最松散的时刻，为下一步的入侵提供良好的策略。

29、扫描分成两种策略：主动式和被动式

被动式策略是基于主机之上，对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查

主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞，但是可能会对系统造成破坏。方式可以分成两大类：

  慢速扫描：对非连续端口进行的，源地址不一致、时间间隔长而没有规律的扫描

  乱序扫描：对连续的端口进行的，源地址一致，时间间隔短的扫描

扫描工具：ping、namp、X-scan、Retina

30、黑客分类：破坏者、红客、间谍

好的黑客具备4种基本素质：Free精神、探索与创新精神、反传统精神、合作精神

31、黑客攻击与网络安全的关系：两者紧密结合在一起，学前者不学后者是闭门造车，学后者不学前者是纸上谈兵。没有攻击就没有安全。系统管理员可以利用常见的攻击手段对系统进行检测，并对相关的漏洞采取措施。网络攻击有善意的也有恶意的。

32、网络监听技术的原理：在局域网中与其他计算机进行数据交换时，数据包发往所有连在一起的主机，也就是广播，在报头中包含目的机正确地址。因此只有与数据包中目的地址一致的那台主机才会接受数据包。但在监听模式下，无论接受到的数据包中目的地址是什么，主机都将其接收下来，然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以监听同一网段内所有的数据
4000
包，不能监听不同网段的计算机传输的信息。

33、社会工程学主要包括两种方式：打电话请求密码、伪造Email

34、用户登录后，所有的用户信息都存储在系统进程“winlogon.exe”中。可以利用程序将当前登录用户的密码解码出来。用普通用户账户登录后，可以利用GetAdmin.exe等权限提升工具将自己加到管理员组或者新建一个具有管理员权限的用户。

35、一次字典攻击能否成功，很大因素上决定于字典文件。字典攻击是最常见的暴力攻击

36、拒绝服务攻击（DoS）包括：SYN风暴、Smurf攻击、利用处理程序错误进行攻击（Ping of Death攻击、Teardrop攻击、Land攻击）

DOS拒绝服务攻击，目的是使目标计算机或网络无法提供正常的服务。最常见的是计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。连通性攻击是指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。

37、分布式拒绝服务攻击（DDos）特点：是先使用一些典型的黑客入侵手段控制一些高带宽的服务器，然后在这些服务器上安装攻击进程，集数十台，数百台甚至上千台机器的力量对单一攻击目标进行攻击。

攻击工具：trin00、TFN、TFN2K

38、社会工程学的原理：使用计谋和假情报去获得密码和其他敏感信息的科学。研究一个站点的策略，就是尽可能多地了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。另一种是黑客试图通过混淆一个计算机系统去模拟一个合法用户

39、暴力攻击的原理：黑客使用枚举的方法，使用运算能力较强的计算机，尝试每种可能的字符破解密码，这些字符包括大小写，数字、通配符

字典文件为暴力破解提供了一条捷径，程序首先通过扫描得到系统的用户，然后利用字典中每一个密码登录系统，看是否成功，如果成功则显示密码

邮箱的密码一般需要设置为8位以上，7位以下的密码容易被破解。尤其7位全部是数字的密码，更容易被破解。

破解word文档的密码方法与破解邮箱密码相似。

进行适宜的安全设置和策略，通过结合大小写字母、数字、通配符组成健壮的密码可以防御暴力攻击。

40、Unicode漏洞的基本原理：攻击者可通过IE浏览器远程运行被攻击计算机的cmd.exe文件，从而使该计算机的文件暴露，且可随意执行和更改文件。

41、缓冲区溢出攻击的原理：当目标操作系统收到了超过它的能接收的最大信息量时，将发生缓冲区溢出。这些多余的数据使程序的缓冲区溢出，然后覆盖实际的程序数据。缓冲区溢出使目标系统的程序被修改，经过这种修改的结果将在系统上产生一个后门。

42、常见的攻击手段:破坏物理设备、破坏配置文件、利用网络协议或系统的设计弱点和实现漏洞、消耗系统资源

43、防范措施：及时地给系统打补丁设置正确的安全策略、定期检查系统安全、建立资源分配模型、优化路由器配置、由于攻击者掩盖行踪的手段不断加强、使用DNS来跟踪匿名攻击、对于重要的WEB服务器，为一个域名建立多个镜像主机。

44、网络后门的功能：保持对目标主机长久控制

45、木马是一种可以驻留在对方服务器系统中的一种程序，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能，后门程序功能比较单一。

46、后门的好坏取决于被管理员发现的概率,留后门的原则就是不容易被发现，让管理员看了没有感觉、没有任何特别的地方。

47、木马程序一般由两部分组成：服务器端程序、客户端程序

48、留后门程序：踩点、扫描、入侵以后，如果攻击成功，一般就可以拿到管理员密码或者得到管理员权限

49、三种后门程序：Login后门、线程插入后门、网页后门

50、防御后门的方法：建立良好的安全习惯，关闭或删除系统中不需要的服务，经常升级安全补丁，设置复杂的密码，迅速隔离受感染的计算机，经常了解一些反病毒资讯，安装专业的防毒软件进行全面监控等

51、终端服务的功能：通过图形界面远程操纵服务器

52、连接到终端服务器：利用WIN 2000自带的终端服务工具mstsc.exe、利用WIN XP自带的终端服务连接器mstsc.exe、使用web方式连接

53、网络代理跳板的功能：当从本地入侵其他主机时，本地IP会暴露给对方。通过将某一台主机设置为代理，通过该主机再入侵其他主机，这样就会留下代理的IP地址而有效地保护自己的安全。

54、系统日志包括：IIS日志、应用程序日志、安全日志、系统日志。清除日志最简单的方法是直接到该目录下删除这些文件夹，但是文件全部删除以后，一定会引起管理员的怀疑。一般入侵的过程是短暂的，只会保存到一个log文件，只有在该log文件删除所有自己的记录就可以了

55、黑客们在编写扰乱社会和他人的计算机程序，这些代码统称为恶意代码。

【恶意代码长期存在的原因：系统漏洞层出不穷、利益驱使】

【恶意代码的定义：经过存储介质和网络进行传播，从一台计算机系统到另一台计算机系统，未经授权认证破坏计算机系统完整性的程序或代码。】

【恶意代码的分类：PE病毒、脚本病毒、宏病毒、浏览器恶意代码、U盘病毒、网络蠕虫】

56、恶意代码包括：计算机病毒、蠕虫、木马程序、后门程序、逻辑炸弹。早期恶意代码的主要形式是：计算机病毒

57、2003年，Slammer蠕虫在10分钟内导致90%互联网脆弱主机受到感染

58、计算机系统安全很多问题的根源都来自于利用操作系统脆弱性

59、PE文件以一个简单的DOS MZ Header开始，紧接着是DOS Stub，再然后是PE Header

60、PE格式文件：.exe   .dll    .ocx

61、能通过产生的“autorun.inf”进行传播的病毒都称为U盘病毒

62、脚本病毒是以脚本程序语言编写而成的病毒，主要使用的脚本语言是：VBscript、javascript

63、网络蠕虫的功能模块可分为：主程序、引导程序

64、恶意代码的防范方法：分为两方面：基于主机的恶意代码防范方法和基于网络的恶意代码防范方法。

65、操作系统中的每一个实体组件不可能既不是主体也不是客体。

66、1969年，通过形式化表示方法运用主体、客体、访问矩阵的思想第一次对访问控制问题进行了抽象

67、安全策略是指有关管理、保护和发布敏感信息的法律、规定和实施细则

68、操作系统的安全依赖于一些具体实施安全策略的可信的软硬件。这些软硬件和负责安全管理的人员一起组成了系统的可信计算基。

69、自主访问控制是最常用的一类访问控制机制，用来决定一个用户是否有权访问一些特定客体的一种访问约束机制

70、操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用

71、Multics是开发安全操作系统最早期的尝试

72、访问控制机制的理论基础是：访问监控器

73、计算机硬件安全的目标是：保证其自身的可靠性和为系统提供基本安全机制。其中基本安全机制包括：存储保护、运行保护、I/O保护

74、Biba模型主要应用是保护信息的完整性，而BLP模型是保护信息机密性

75、操作系统账号密码的重要性：系统账号密码可视为用户标识符及其鉴别。标识符必须是唯一且不能被伪造，将用户标识符与用户联系的过程称为鉴别。

76、保护密码：不小于6个字符并同时含有数字和字母的口令，并且限定一个口令的生存周期

77、【审核策略：安全审核是WIN 2000最基本的入侵检测方法。当有人尝试对系统进行某种方式入侵时，都会被安全审核记录下来】

78、【密码策略：用于保证密码的安全性】

79、【账号策略：防止字典式攻击。当某一用户连续尝试n次登录都失败后将自动锁定该账户，30分钟后自动复位被锁定的账户。】

80、RSA算法是一种基于“大数不可能质因数分解假设”的公钥体系

81、基于密钥的算法通常有两类：对称算法、公开密钥算法

加密密钥能够从解密密钥中推算出来，反过来也成立。大多数加解密的密钥是相同的。

公开密钥算法，加密密钥能够公开，即陌生者能用加密密钥加密信息，但只有用相应的解密密钥才能解密信息。

82、对称算法又称为传统密码算法，可分为两类：序列算法、分组算法

83、DES算法的入口参数有3个：key、data、mode。其中key为64位，是DES算法的工作密钥

84、PGP加密技术是一个基于RSA公钥加密体系的邮件加密软件，提供了公共钥匙或不对称文件的加密技术。

85、恺撒密码在两千多年前已经开始使用

86、四个著名密码算法的破译:MD5、HAVAL-128、MD4、RIPEMD

87、除了提供机密性外，密码学需要提供三方面的功能：鉴别、完整性、抗抵赖性

88、数字水印应具有3个基本特性：隐藏性、鲁棒性、安全性

89、用户公私钥对产生有两种方式：用户自己产生的密钥对、CA为用户产生的密钥对

90、常见的信任模型包括4种：严格层次、分布式、以用户为中心、交叉认证

91、仅设立防火墙系统，而没有安全策略，防火墙就形同虚设

92、【防火墙的局限性：防火墙不能防范网络内部的攻击、不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开口令，并授予其临时的网络访问权限、不能防止传送已感染病毒的软件和文件】

93、【常见的防火墙：分组过滤防火墙、应用代理防火墙、状态检测防火墙】

分组过滤防火墙作用在应用层，审查每个数据包以便确定其是否与某一条过滤规则相匹配，基于可以提供给IP转发过程的包头信息

94、入侵检测方法有3种分类依据：物理位置、建模方法、时间分析

95、常见防火墙系统一般按照4种模型构建：筛选路由器模型、单宿主堡垒主机、双宿主堡垒主机、屏蔽子网模型

96、入侵检测的3个基本步骤：信息收集、数据分析、响应

97、入侵检测是一种增强系统安全性的有效方法，能检测出系统中违背系统安全性规则或者威胁到系统安全的活动

98、防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域与安全区域的连接，同时不会妨碍安全区域对风险区域的访问，它还可以监控进出网络的数据，仅让安全核准后的数据进入，抵制对局域网构成威胁的数据

【防火墙的功能：可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户、防止入侵者接近网络防御设施、限制内部用户访问特殊站点】

99、编写防火墙规则：禁止除管理员计算机（IP为172.18.25.110）外任何一台计算机访问某主机（IP为172.18.25.109）的终端服务（TCP端口3389）。

答：规则集如下：

组序号   动 作     源IP            目的IP        源端口    目的端口    协议类型

  1      允许  172.18.25.110    172.18.25.109     *         3389        TCP

  2      禁止       *           172.18.25.109     *         3389        TCP

第1条规则:主机172.18.25.110可以以任何端口访问任何主机172.18.25.109的3389端口，基于TCP协议的数据包都允许通过

第2条规则：任何主机的端口访问主机172.18.25.109的任何端口，基于TCP协议的数据包都禁止通过。

【100、如何关闭不需要的端口和服务？

答：用端口扫描器扫描系统所开放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。用记事本打开该文件，设置本机开放的端口和服务，在IP地址设置窗口中单击“高级”按钮，在出现的“高级TCP/IP设置”对话框中选择“选项”选项卡，选择“TCP/IP筛选”，单击“属性”按钮，设置完毕。

一台Web服务器只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙，功能比较强大，可以替代防火墙的部分功能。】