计算机网络安全复习资料

计算机网络的安全需求：数据完整性服务可用性数据完整性：P26服务可用性：是一种可被授权实体访问并按需求使用的特性，即当需要是被授权实体能否存取所需的信息。它是指对符合权限的实体能提供优质服务，是适用性、可靠性、及时性和安全保密性的综合体现。PDRR:Protection防护，Detection检测Response响应Recovery恢复最小特权原则，是指一个对象（程序，人，或任何事物）应该只拥有为执行其分配的任务所必要的最小特权，并且绝不超越此限。密码体制的基本要素是密码算法和密钥，密钥是密码算法中的可变参量。对称密码体制和非对称密码体制：根据密码算法所使用的加密秘钥和解密秘钥是否相同分。如果密文仅与给定的密码算法和密钥有关，与被处理的明文数据段在整个明文（或密文）中所处位置无关，则称为“分组密码体制”。确定型密码体制和概率密码体制P46对称密码体制，常用的：DES、IDEA、AES等DES：DataEncryptionStandard美国数据加密标准S-盒替换方式是把6位输入最左与最右2个位取出来当列数，而中间的四个位则拿出来当行数。RSA算法属于非对称密码体制，使用公开密钥加密。KDC：KeyDistributionCenter密钥分配中心，负责按照需要分配密钥给各对用户（主机、进程和应用）。每个用户必须与KDC共享一个唯一的密钥，以便进行密钥分配。PKI：PublicKeyInfrastructure公钥的全局管理体制，PKI的基本组成元素是CA。CA的主要功能有（1）为用户生成公开密钥，私有密钥对，并通过一定途径发给用户。（2）为用户签发数字证书，形成用户的公开密钥信息，并通过一定途径分发给用户。（3）对用户证书的有效性的验证。（4）对用户的数字证书进行管理。这些处理包括有效证书的公布、撤销证书的公布和证书归档等。散列函数对明文认证或是数字签名都是非常必要的工具。强散列函数（完全满足以下的五条）和弱散列函数（满足以下的1-4条）（1）散列函数必须对任意长度的明文产生固定长度的散列函数值（2）对任意明文M，散列函数值h（m）可通过软件或硬件很容易产生（3）对任意的h(m)值x，要找到一个明文与之对应，在计算上是不可行的（4）对一个明文m1，要找到另一个不同的明文m2,而且具有相同的散列函数值，在计算上是不可能的（5）要找到一对不同的明文，而且具有相同的散列函数值，在计算上是不可行的。数字签名是证明签字者身份和所属内容真实性的一段电子信息。计算机病毒的特征：传染性非授权性隐蔽性潜伏性破坏性不可预见性按病毒的计生方式分类：文件形病毒引导形病毒混合型病毒什么是蠕虫病毒？P101蠕虫病毒是利用网络从一台主机传播到其他主机，他们自动计算网络地址，不断复制自身，通过网络发送，造成网络阻塞，使网络服务器不能访问，同时在传播过程中，蠕虫病毒还可能在被攻击的主机上安装后门、特洛伊木马等，达到入侵目的主机的目的。（蠕虫病毒同其他病毒相比较，除了传播模块较大区别外，其他地方并没有太大区别）计算机病毒检测的方法：特征代码法、校验和法、行为检测法与软件模拟法。校验和法的原理，方式，优缺点？P107在文件使用过程中，定期的或在每次使用文件之前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法。三种方式：（1）在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入备查文件中或检测工具中，而后进行比较；（2）在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当程序启动时，比较现行检验和与原校验和值。实现应用程序的自检测；（3）将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和行为检测法的原理：利用病毒的特有行为特征来检测病毒的方法，称为行为检测法。通过对病毒多年的观察与研究，有一些行为时病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。访问控制常用的方法：访问控制矩阵访问能力表访问控制表授权关系表P1164.14.2访问能力表访问控制表自主访问控制（DAC）？强制访问控制（MAC）？自主访问控制是一种最为普遍的访问控制手段，他是在确认主体身份以及他们所属组的基础上对访问进行限定的一种方法，其基本思想是：允许某个主体显示地制定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型强制访问控制是“强加”给访问主体的，即系统强制主体服从访问控制政策，这种政策是强制性规定的，用户或用户的程序不能加以修改。如果系统认为某一个用户不适合访问某个文件，那么任何人（包括文件所有者)都无法具有使该用户具有访问该文件的权利。P135冷备份：是在没有最终用户访问它的情况下关闭数据库，并将其备份。这是保持数据完整性的最好办法，但如果数据量太大，无法在备份窗口中完成对它的备份，该方法就不适用了。热备份：是在数据库正在被写入的数据更新时进行。热备份严重依赖于日志文件。如何利用日志文件恢复事务？从头扫描日志文件，找出那些事务在故障发生时已经结束，哪些事务尚未结束。对尚未结束的事务进行撤销处理，对已结束的事务进行重做处理。按照入侵方式，拒绝服务可以分为资源消耗型配置修改型物理破坏型服务利用型SYNflood原理（我的理解）P183恶意入侵者大量模拟产生半连接制造SYNtimeout，使得服务器端为了维护数量巨大的半连接而消耗大量的资源，使得服务器忙于处理伪造的半连接而无暇理睬用户的正常请求，造成失去响应。DDoS工作原理分析（我的理解）P1851.入侵者通过常规方法入侵主机。2.安装特殊的后门程序并通过网络监听进一步扩充被入侵的主机群3.在所入侵的主机上安装入侵软件（入侵服务器和入侵执行器）4.从攻击控制台向各个供给服务器发出特定的目标命令。5攻击器接收到命令在之后开始向目标主机发送大量的服务请求数据包。导致主机网络和系统资源耗尽，从而停止服务。.缓冲区溢出攻击的原理缓冲区溢出攻击，通过在程序的缓冲区写超出出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他命令，以达到攻击目的。IPSeC三个主要协议：封装安全载荷（ESP）认证头（AH）IKEIPSeC分为两种模式：传输模式和隧道模式防火墙是在两个网络之间执行控制和安全策略的系统，他可以是软件，也可以是硬件，或两者并用。包过滤型防火墙工作原理？一般作用在网络（IP）层，他对进出内部网络的所有信息进行分析，并按照一定的安全策略对进出内部网络的信息进行限制和过滤，允许授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础的堡垒主机？堡垒主机是一种被强化的可以防御进攻的计算机，是高度暴露于INTERNET中的，也是网络中最容易受到侵害的主机牺牲主机？牺牲主机是一种上面没有任何需要保护信息的主机，而他也不与任何入侵者想要攻击的内部网主机相连。他通常用来向外部网提供服务信息，他可以让用户随意登录。应用级代理工作原理？P308（没看懂）VPN技术（虚拟专用网技术）虚拟专用网的分类在公司总部和他的分支机构之间建立的VPN，称为内部网VPN在公司总部和远地雇员或旅行之中的雇员之间建立VPN称为远程访问VPN在公司于商业伙伴、顾客、供应商和投资者之间建立VPN称为外联网VPN异常入侵检测原理，误用入侵检测原理异常入侵检测指的是根据非正常行为和使用计算机资源非正常情况检测出入侵行为。首先建立系统或用户的正常行为模式库，不适于该库的行为被视为异常行为。通过被检测系统或用户的行为模式与正常模式之间的比较和匹配来检测入侵，如果不匹配，则说明该行为异常属于异常行为模式，是需要系统报警的。误入入侵检测是指根据以致的入侵模式来检测入侵。入侵者常常利用系统和应用软件中的弱点攻击，而这些弱点易编成某种模式，如果入侵者攻击方式恰好匹配上检测系统模式库，则入侵者即被检测到。TCSEC将计算机系统的安全划分为四个等级，八个级别，分别是：D类安全级别：D1C类安全级别：C1C2B类安全级别：B1B2B3A类安全级别：A1超A1