网络安全专业课复习笔记

1.信息安全的五个基本要素及其含义、对应产品
答：信息的机密性、完整性、可用性、真实性、不可否认性。
机密性:要求数据内容不被泄露，加密是实现机密性要求的常见手段。
完整性：要求保护的数据内容是完整的、没有被篡改的。常见的保证完整性的技术手段是数字签名。
真实性：对信息来源进行判断，能对伪造来源的信息予以鉴别。
可用性：指授权主体在需要信息是能及时得到服务的能力。
不可否认性：指在网络环境中，信息交换的双方不能否认其在交换过程中发送信息或接受信息的行为。
2.Kerberos V4流程及其基本含义（未完成）
答：Kerberos利用集中的认证服务器来实现用户对服务器的认证和服务器对用户的认证。
Kerberos利用对称加密机制，而不是用公钥加密机制。
其要解决的问题：假设在一个开放的分布式环境中，工作站的用户希望访问分布在网络各种的服务器上的服务。希望服务器能够将访问权限限制在授权用户范围内，并且能够认证服务请求。
Kerberos V4
认证服务：利用DES

3.ARP攻击 DDOS攻击
答：ARP：一台不可信赖的计算机发出假冒的的ARP查询或者应答信息，并将所有流向它的数据流转移。这样，他就可以伪装成某台机器，或修改数据流。这种攻击叫做ARP欺骗攻击。
DDOS攻击：
原理：攻击者向网络广播地址发送ICMP包，并将回复地址设置成受害网络的广播地址，通过使用ICMP应答请求数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对次ICMP应答请求作出答复，导致网络阻塞。更加复杂的Smurf攻击攻击将源地址改为第三方受害者，最终导致第三方崩溃。
防范措施：
1 配置路由器禁止IP广播包进网
2 配置网络上所有计算机的操作系统，禁止对目标地址为广播地址的ICMP包响应。
3 被攻击目标与ISP协商，有ISP暂时阻止这些流量。
4 对于从本网络向外部网络发送的数据包，本网络应该将其源地址为其他网络的这部分数据包过滤掉。

4.四个优化Windows2000默认基础配置
答：本地安全策略
1.密码策略（强制服务器上的用户账号设置的密码满足安全要求。防止用户自己设置的密码太短或太简单）
密码长度最小值
密码最长使用期限
密码最短使用期限
强制密码历史
用可还原的加密来存储密码
2.账户策略
账户锁定阈值（账户锁定阈值默认是“0次无效登录”可以设置为若干次）
账户锁定时间
复位账户锁定计数器
3.用户权限分配
用户权限是允许用户在计算机系统或域中执行的任务。有两种类型的用户权限：登录权限和特权。
登录权限控制为谁授予登录计算机的权限以及他们的登录方式。
特权控制对计算机上系统范围的资源的访问，并可以覆盖在特定对象上设置的权限。
4.安全选项
在交互式登陆环境下，Windows默认禁用，禁用“不显示上次登录”应当禁用该选项。

5.数字签名及其第三方不可否认性
答：数字签名是一个加密的消息摘要，附加在一个文档后面。它可以用于确认发送者的身份和文档的完整性。数字签名建立在公开密钥加密和单向安全哈希函数的组合基础上。
发送加密
1.数字签名用户发送电子文件时，发送方通过哈希函数对电子数据文件进行加密生成数据摘要；
2.数字签名发送方用自己的私钥对数据摘要进行加密，私钥加密后的摘要即为数字签名；
3.数字签名和报文将一起发送给可信的第三方
第三方步骤
1.用发送方的公钥对数字签名解密，然后再利用自己的私钥对数字签名进行加密
2.数字签名和报文将一起发送给接受方（数据摘要在这个过程中对第三方完全可见，所以第三方必须是完全可信任的）
3.发送者的公钥能够对数字签名解密，证明数字签名由发送方发送
接受解密
1.接受方首先与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要
2.接受方用第三方提供的公钥来对报文附加的数字签名进行解密，得到一个数字摘要
3.如果以上两个摘要相一致，则可以确定文件内容没有被篡改
4.第三方的公钥能够对数字签名解密，证明数字签名由第三方发送。

6.防火墙配置 IP tables

1. 设置iptables防火墙禁止来自外部的任何tcp主动请求，并对此请求行为进行事件记录
   iptables -A INPUT -p tcp --tcp-flags ALL SYN -j ULOG –ulog-prefix “SYN request”
   iptables -A INPUT -p tcp --tcp-flags ALL SYN -j DROP
   【-p tcp --tcp-flags 匹配指定的tcp标记，有两个参数列表，列表内部逗号隔开，两个列表之间用空格隔开，第一个列表用作参数检查，第二个列表用作参数匹配，可用以下标志 SYN、ACK、FIN、RST、UGR、PSH、ALL、NONE，–tcp-flags ALL NONE 匹配所有标记都未设置成1的包，–tcp-flags SYN,ACK,FIN SYN 匹配所有那些SYN标记被设置而ACK与FIN未被设置的包】
2. 设置iptables防火墙允许来自外部的某种类型/代码的ICMP数据包
   iptables -A INPUT -p icmp --icmp-type X/Y -j ACCEPT
3. 将filter链表的所有链规则清空
   iptables -t filter -F
4. nmap端口扫描
   nmap -sS -T5 同组主机IP地址
5. 查看INPUT、FORWARD、OUTPUT链默认策略
   iptables -t filter -L
6. 将INPUT、FORWARD、OUTPUT链默认策略均设置为DROP
   iptables -P INPUT DROP
   iptables -P FORWARD DROP
   iptables -P OUTPUT DROP
7. 利用功能扩展命令选项（ICMP）设置防火墙仅允许ICMP回显请求及回显应答。
   ICMP回显请求类型 8 ；代码 0 。ICMP回显应答类型 0 ；代码 0 。
   iptables -I INPUT -p icmp --icmp-type 8/0 -j ACCEPT
   iptables -I OUTPUT -p icmp –icmp-type 0/0 -j ACCEPT
8. 对外开放Web服务（默认端口80/tcp）
   iptables -I INPUT -p tcp --dport 80 -j ACCEPT
   iptables -I OUTPUT -p tcp –sport 80 -j ACCEPT
9. 设置防火墙允许eth0（假如eth0为网络内部接口）的任何数据通过
   iptables -A INPUT -i eth0 -j ACCEPT
   iptables -A OUTPUT -o eth0 -j ACCEPT

7入侵检测系统（IDS）snort
答：入侵检测系统模型
检测器：分析和检测入侵，并向控制器发出警报信号
数据收集器：主要负责收集数据
知识库：为控制器和检测器提供必要的数据信息支持
控制器：根据警报信号人工或自动地对入侵行为做出反应
主要功能：网络流量地跟踪与分析功能
已知攻击特征的识别功能
异常行为的分析、统计与响应功能
特征库地在线和离线升级功能
数据文件的完整性检查功能
自定义响应功能
系统漏洞地预报警功能
IDS探测器集中管理功能
IDS的评价标准

IDS的主要方法
1.误用检测（对已知的入侵行为和手段进行分析，提取检测特征，构建攻击模式或攻击签名，判断入侵行为）将收集到数据信息与数据库进行比较
2.异常检测（收集操作活动的历史数据，建立代表主机的、用户或网络连接的正常行为描述，判断是否发生入侵）测量属性的平均值将被用来与系统行为作比较
3.完整性分析（关注数据是否被修改）
基于异常检测原理的入侵检测方法
1.统计异常检测法（较成熟）
2.特征选择异常检测方法（较成熟）
3.基于贝叶斯网络异常检测方法（理论研究中）
4.基于贝叶斯推理异常检测方法
5.基于模式预测异常检测方法

基于误用检测原理的入侵检测方法
1.基于条件的概率误用检测方法
2.基于专家系统误用检测方式
3.基于状态迁移分析误用检测方法
4.基于键盘监控误用检测方法
5.基于模型误用检测方法

入侵检测步骤
1.信息收集：系统、网络、数据用户活动的状态和行为
2.数据分析：入侵检测系统的核心（找出）
3.响应:分为主动响应和被动响应：
主动响应：由用户驱动或系统本身自动执行。
被动响应：告警或通知、简单网络管理协议陷阱和插件。
8.分布式入侵检测
DIDS
系统的漏洞或弱点分散在网络的各个主机上，这些弱点有可能被入侵者一起利用来攻击网络，而依靠唯一的主机或网络，IDS不能发现入侵行为。
入侵行为不再是单一的行为，而是展现出协作入侵的特点（分布式拒绝服务攻击DdoS）
数据来源分散化，收集原始数据变得困难
网络传输速度加快，网络流量大，集中处理原始数据的方式往往造成检测瓶颈，从而导致漏检。

1.数据采集构建：收集采用的数据
2.通信传输构件：传递加工、处理原始数据的控制命令
3.入侵检测分析构件：采用检测算法对数据进行误用和异常分析，产生检测结果、报警和应急信号
4.应急处理构件：按照检测结果和主机、网络的实际情况做出决策判断，但对入侵行为进行响应。
5.用户管理构件：管理其他构建的配置，产生入侵总体报告，供用户查询和检测入侵系统的情况。
9.IPSec（未完成）
答：IPsec协议使用认证头AH和封装安全净载ESP两种安全协议来提供安全通信。两种安全协议都分为隧道模式和传输模式。
传输模式用在主机到主机的通信，隧道模式用在其他任何方式的通信。
AH（认证头协议）包括的功能有访问认证、认证、消息完整性、重放保护
ESP（封装安全载荷）包括的主要功能有访问控制、重放保护、机密性
工作原理：
1.IPSec的工作原理类似于包过滤防火墙，可以把 它看做是包过滤防火墙的一种扩展
2.IPSec网关通过查询安全策略数据库（SPD）决定 对接收到的IP数据包进行转发、丢弃或IPSec处理。
3.IPSec网关可以对IP数据包只进行加密或认证， 也可以对数据包同时实施加密和认证。
传送模式：
1.用传输模式时，IPSec只对IP数据包的净荷进行加密或认证。
2.封装数据包继续使用原IP头部，只对部分域进行修改。
3.IPSec协议头部插入到原IP头。部和传送层头部之间。

隧道模式：
1.采用隧道模式时，IPSec对整个IP数据包进行加密或认证。 产生一个新的IP头，IPSec2.
2.头被放在新IP头和原IP数据包之间， 组成一新IP头。

10.TLS VPN（原理利用和工作流程）
答：TLS协议采用主从式架构模型，用于在两个应用程序之间透过网络创建起安全的连线，防止在交换数据时受到窃听且篡改。
工作流程：
在企业的防火墙后面放置一个TLS代理服务器。用户欲安全地连接到公司网络首先要在 浏览器上输入一个URL（Universal Resource Locator）；该连接请求将被TLS代理 服务器取得；用户通过身份验证；TLS代理服务器提供用户与各种不同应用服务器之间 的连接。
TLS VPN的实现主要依靠下面三种协议的支持：
1. 握手协议
TLS客户机连接至TLS 服务器，并要求服务器验证客户机的身份；TLS 服务器通过发送它的数字证书证明其身份；服务器发出一个请求，对客户端的证书进行验证；协商用于消息加密的加密算法和用于完整性检验的杂凑函数；客户机生成一个随机数，用服务器的公钥对其加密后发送给TLS服务器；TLS服务器通过发送另一随机数据做出响应；对以上两个随机数进行杂凑运算，从而生成会话密钥。
2. TLS记录协议
协议建立在TCP/IP协议之上，用在实际数据传输开始前通信双方进行身份认证、协商加密算法和交换加密密钥等。
3. 警告协议
警告协议用于提示何时TLS协议发生了错误，或者两个主机之间的会话何时终止；只有TLS协议失效时警告协议才会被激活。
TLS VPN的优缺点：
优点：无需安装客户端软件，适用于大多数设备，可以绕过防火墙进行访问，内嵌在浏览器中。
缺点：认证方式单一，是应用层加密，性能差，不能保护UDP通道安全，加密级别通常不够。