网络安全工程师知识点及题目复习过程

《网络安全工程师知识点及题目复习过程》由会员分享，可在线阅读，更多相关《网络安全工程师知识点及题目复习过程（5页珍藏版）》请在装配图网上搜索。

1、学习-好资料1信息安全的基本属性保密性：保证机密信息不被窃取，窃听者不能了解信息的真实含义。完整性：保证数据的一致性，防止数据被非法用户窜改。可用性：保证合法用户对信息资源的使用不会被不正当的拒绝。不可抵赖性：做过后，必须承认，不能抵赖。2. 公开密钥密码体制使用不同的加密密钥与解密密钥，是一种由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。在公开密钥密码体制中，加密密钥（即公开密钥）PK是公开信息，而解密密钥（即秘密密钥）SK是需要保密的。加密算法E和解密算法 D也都是公开的。虽然秘密密钥SK是由公开密钥PK决定的，但却不能根据 PK计算出SK。3. 数据在途中被攻击者篡改或破坏可

2、以被数据完整性机制防止的攻击方式。4. 数据包过滤是通过对数据包的IP头和TCP头或UDP头的检查来实现的，主要信息有：* IP源地址* IP目标地址*协议（TCP包、UDP包和ICMP包）* TCP或UDP包的源端口* TCP或UDP包的目标端口* ICMP消息类型* TCP包头中的ACK位*数据包到达的端口*数据包出去的端口5. 拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。包括两类：一是以极大的通信量冲击网络，大量消耗其网络资源

3、；二是大量 的连接请求攻击计算机，大量消耗操作系统资源（CPU、内存等）。目的：使计算机或者网络无法的提供正常的服务。拒绝服务攻击的种类：1. ping of death :利用超大的ICMP报文对系统进行攻击，攻击数据包大于 65535字节，而TCP/IP协议规 定最大字节长度为 65536字节。部分操作系统接收到大于 65535字节的数据包会造成内存溢出、 系统崩溃、 重启、内核失败等后果。Synflood攻击：利用TCP三次握手协议的缺陷TCP的建立过程1：客户端发送包含 SYN标志的TCP报文，该同步报文会指明客户端使用的端口和TCP连接的初始序列2:服务器收到报文后，返回一个SYN+

4、ACK报文，表示客户端的请求被接受，同时TCP序列号加1.3:客户端返回一个 ACK，TCP序列号加1,完成一个TCP连接。6. 电子邮件协议包括 POP3、SMTP、IMAP7. VPN虚拟专用网络（Virtual Private Network，简称VPN）指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台如In ternet、ATM （异步传输模式）、Frame Relay（帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的

5、封装、加 密和身份验证链接的专用网络的扩展。VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。学习-好资料VPN的隧道协议主要有三种，PPTP, L2TP和IPSec,其中PPTP和L2TP协议工作在 OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议，是一种开放标准的框架结构，通过 使用加密的安全服务以确保在In ternet协议(IP)网络上进行保密而安全的通讯。L2TP和IPSec配合使用是目前性能最好，应用最广泛的一种。OSI七层模型：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。8. Internet的网络管理协议使用的是SN

6、MP9. DES算法把64位的明文输入块变为数据长度为 位作为密码的长度。64位的密文输出块，其中8位为奇偶校验位，另外5610 HASH加密使用复杂的数字算法来实现有效的加密,典型的哈希算法包括 MD2、MD4、MD5和SHA-1。11. 网络欺骗是一种常见的攻击手段，主要包括ARP欺骗、DNS欺骗、IP欺骗、电子邮件欺骗、源路由欺骗等。12. 系统安全工作的目标主要包括信息机密性、信息完整性、服务可用性、可审查性13. 端口扫描技术主要包括 TCP连接扫描、TCP|SYN扫描、TCP|FIN扫描、IP扫描14代理服务器在网络中应用非常广泛，它除了实现代理上网外，还可以实现缓存、日志和警报、

7、验证等 功能。15.用Diff-Hellman提供的密钥交换办法的优势包括在两个用户和主机间采用公钥加密、提供了安全传输 密钥的方法、提供了强加密算法。16假设某网络中已经安装了IDS，现在IDS系统检测到了新的攻击，那么最适合的应对方法有禁用一台或多台设备、结束预先已经约定好了的网络连接、禁用一个或多个服务器17、Windows系统中可对部分事件进行审核，用户登录及注销、 用户及用户组管理、系统重新启动和关机。18保证操作系统的安全是网管的第一要务， 针对Windows操作系统进行有效的安全加固，从而为其他应 用构筑最基础的安全平台的方法包括密码要符合复杂的密码策略，不使用特殊的密码、定时安

8、装系统补丁，及时修补操作系统的漏洞、只启必需的服务，关闭不必要的服务和端口。19什么是入侵检测系统？试分析基于主机的IDS与基于网络的IDS的基本区别？答：入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析从中发现网络或系统中 是否有违反安全策略的行为和遭到袭击的迹象的一种机制。基于主机的入侵检测系统用于保护单机不受网络攻击行为的侵害，需要安装在被保护主机上。它直接与操 作系统相关，控制文件系统以及重要的系统文件，确保操作系统不会被任意地删改。基于网络的入侵检测系统作为一个独立的个体放置于被保护网络上，它使用原始的网络分组数据包作为进 行攻击分析的数据源，一般利用一个网络适

9、配器来实现实时监视和分析所有通过网络进行传输的通信。20. 一个典型的计算机病毒主要具有哪三种机制？试简述这三种机制。答：学习-好资料若某程序被定义为计算机病毒，则其一般具有传染机制、潜伏机制、表现机制。其中，只有传染机制是强 制性的，潜伏机制和表现机制是非强制性的。1潜伏机制功能包括初始化、隐藏和捕捉。潜伏机制模块随着被感染的宿主程序的执行进入内存，首先初始化其运行 环境，使病毒相对独立于宿主程序，为传染机制做好准备。然后，利用各种可能的隐藏方式，躲避各种检 测，将自己隐藏起来。最后，不停地捕捉感染目标交给传染机制，不停地捕捉触发条件交给表现机制。2、传染机制功能包括判断和感染。先是判断感染

10、目标是否已被感染，感染标记通过感染标记来判断，感染标记是计算 机系统可以识别的特定字符串。如果没有感染标记，就对其进行感染，也就是将病毒代码和感染标记放入 宿主程序中。3、表现机制功能包括判断和表现。首先对触发条件进行判断，然后根据不同的条件决定什么时候表现、如何表现。表 现内容多种多样，然而不管是炫耀、玩笑、恶作剧，还是故意破坏，或轻或重都具有破坏性。表现机制反 映了病毒设计者的意图，是病毒间差异最大的部分。潜伏机制和传染机制是为表现机制服务的。21. 下图是单钥密码体制的密钥分配模型。请补充第3步传递的信息内容。并解释各步骤的目的和意义。能否删掉4和5,解释原因。tpindvrH hOhl

11、riblilUFn rntvr (KM 弘 | Rr叱绷瑪III玉,（毛血co訴】答：第3步传递的信息：（1） a向kdc发出会话密钥请求。n1为一次性随机数。（2） kdc为a的请求发出应答。传递的会话密钥为ks，且使用kdc和a之间的单钥加密。其中 是下一步 a要传递给b的内容。（3） a向b传递kdc为a和b之间的会话产生的密钥。ida指明了 ks是a向kdc申请的。（4） b用会话密钥加密另外一个随机数，并将加密结果发送给a（5） a以a和b之间约定的f函数对随机数进行变换。不能删掉步骤4和5。因为1、2、3虽然完成了密钥分配，但是 4和5两步结合第3步执行的是认证功能。22. 试述恶

12、意代码的概念和分类，并对几种主要的恶意代码进行介绍。 更多精品文档学习 好资料答： 所谓“恶意代码”就是指黑客编写的扰乱社会和个人，甚至起着破坏作用的计算机程序。 按恶意代码是否需要宿主可以分成两类：需要宿主的恶意代码具有依附性，不能脱离宿主而独立运行；不 需宿主的恶意代码具有独立性，可不依赖宿主而独立运行。按恶意代码是否能够自我复制分为两类：不能自我复制的恶意代码（一般是不感染的） ；能够自我复制的 恶意代码（一般是感染的） 。1、不感染的依附性恶意代码（1）特洛伊木马特洛伊木马一般没有自我复制的机制，但欺骗性是其得以传播的根本原因。电子新闻组和电子邮件是它的 主要传播途径。特洛伊木马经常伪

13、装成游戏软件、搞笑程序、屏保、非法软件、色情资料等，上载到网上 直接传播，容易被不知情的用户接收和继续传播。（2）逻辑炸弹一段具有破坏性的代码，事先预置于较大的程序中，等待某扳机事件（特殊日期或指定事件）发生触发其 破坏行为。它往往被那些有怨恨的职员使用，一旦逻辑炸弹被触发，就会造成数据或文件的改变或删除、 计算机死机等。（3）后门或陷门 是进入系统或程序的一个秘密入口，它能够通过识别某种特定的输入序列或特定帐户，使访问者绕过访问 的安全检查、直接获得访问权利，并且通常高于普通用户的特权。2、不感染的独立性恶意代码（1）点滴器为传送和安装其他恶意代码而设计的，它本身不具有直接的感染性和破坏性。

14、它专门对抗反病毒检测，使 用了加密手段，以阻止反病毒程序发现它们。当特定事件出现时，它将启动，将自身包含的恶意代码释放 出来。（2）恶作剧是为欺骗使用者面设计的程序， 它侮辱使用者或让其做出不明智的举动。 恶作剧通过 “心理破坏” 达到“现 实破坏”。3、可感染的依附性恶意代码计算机病毒是一段附着在其他程序上的可以进行自我复制的代码，由于绝大多数恶意代码都或多或少地具 有计算机病毒的特征。4、可感染的独立性恶意代码（1）蠕虫一种通过计算机网络能够自我复制和扩散的程序。蠕虫不需要宿主，不会与其他特定功能程序混合。蠕虫 感染的是系统环境（如操作系统或邮件系统） 。新感染系统采取同样的方式进行复制和传播，使得蠕虫传 播非常迅速。蠕虫可以大量地消耗计算机时间和网络通信带宽，导致整个计算机系统和网络的崩溃，成为 拒绝服务攻击的工具。（2）细菌 更多精品文档学习 好资料在计算机系统中不断复制自己的程序。一个典型的细菌是在多任务系统中生成它的两个副本，然后以指数 级增长，最终占用全部的系统资源，无法为用户提供服务。更多精品文档