软件设计师考试-信息安全知识延展
在TCP的实现机制中,为了保障传输的可靠性,所以发送方每发送一个报文,接收方接到之后会回发确认信息。如果发送端的数据过多或者数据发送速率过快,致使接收端来不及处理,则会造成数据在接收端的丢弃。为了避免这种现象的发生,通常的处理办法是采用流量控制,即控制发送端发送的数据量及数据发送速率。
流量控制的目的是在接收端有限承受能力的情况下,通过流量约束,减少接收端处的数据丢失,提高数据发送效率,充分利用接收端资源。
可变滑动窗口流量控制的基本过程如下:
1、在建立TCP连接阶段,双方协商窗口尺寸,同时接收端预留数据缓冲区;
2、发送端根据协商的结果,发送符合窗口尺寸的数据字节流,并等待对方的确认;
3、发送端根据确认信息,改变窗口的尺寸。
注:窗口也就是缓冲区,发送方窗口大小决定了——一次可以连续发送多少个数据。
之前考研复习的时候,看计算机网络王道第三章数据链路层的时候,关于流量控制有两种常见的方法:
1.停止-等待流量控制
2.滑动窗口流量控制
数据链路层的可靠传输通常使用确认和超时重传两种机制来完成
停止等待协议:发送窗口=接收窗口=1
后退n帧协议:发送窗口>1,接收窗口=1
选择重传协议:发送窗口>1,接收窗口>1
王道计算机网络第五章传输层p211:
TCP提供一种基于滑动窗口协议的流量控制机制
tcp这里用的是滑动窗口机制,题目问的是tcp流量控制协议
[解析]
主动攻击包括拒绝服务攻击、分布式拒绝服务( DDos)、信息篡改、资源使用、欺骗、伪装、重放等攻击方法。
被动攻击(针对路上的东西下手)
概念:就是网络窃听,窃取数据包并进行分析,从中窃取重要的敏感信息
措施:防止被动攻击的主要手段是数据加密传输
主动攻击(针对计算机下手)
概念:包括窃取、篡改、假冒和破坏
措施:字典式口令猜测,IP地址欺骗和服务拒绝攻击
中间人攻击(MITM攻击)
一种间接的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为中间人。这种“拦截数据—修改数据—发送数据”的过程就被称为“会话劫持”
DDOS(分布式拒绝服务)攻击
凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。使计算机或网络无法提供正常服务。
网络带宽攻
以极大的通信量冲击网络,使得所有可用网络资源被消耗殆尽,最后导致合法的用户请求无法通过
连通性攻击
用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求
MAC/CAM攻击
交换机主动学习客户端的MAC地址,并建立CAM表,不同交换机的CAM表大小不同,但大小是固定的。MAC/CAM攻击指利用工具产生欺骗MAC,快速填满CAM表,交换价CAM表被填满后,交换机以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息。CAM表满了后,流量以宏泛方式发送到所有接口,也就代表Trunk接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪
ARP攻击(欺骗)
MAC地址表(MAC地址的路径),ARP表(IP转MAC)
MAC地址表全部都是数据时,会广播数据
ARP表的IP和MAC之间的对应出现错误后,将使数据发送到MAC主机上
[解析]
Netstat命令的连接状态包括:
LISTEN :侦听来自远方的TCP端口的连接请求。
SYN-SENT :在发送连接请求后等待匹配的连接请求。
SYN-RECEIVED :在收到和发送-一个连接请求后等待对方对连接请求的确认。
ESTABLISHED :代表- -一个打开的连接。
FIN-WAIT-1 :等待远程TCP连接中断请求,或先前的连接中断请求的确认。
FIN-WAIT-2 :从远程TCP等待连接中断请求。
CLOSE-WAIT :等待从本地用户发来的连接中断请求。
CLOSING :等待远程TCP对连接中断的确认。
LAST-ACK :等待原来的发向远程TCP的连接中断请求的确认。
TIME-WAIT :等待足够的时间以确保远程TCP接收到连接中断请求的确认。
CLOSED :没有任何连接状态。
[解析]
ARP和ICMP是网络层协议, X.25是标准的接口协议,只有SNMP是应用层协议。
SNMP协议的报文是封装在UDP协议中传送。
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
ICMP是(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
简单网络管理协议SNMP(Simple Network Management Protocol )由一组网络管理的标准组成,包含一个应用层协议(application layer protocol)、数据库模型(database schema)和一组资料物件。
[解析]
本题考查网络安全协议知识点。安全需求可分为物理安全、网络安全、系统安全和应用安全。
物理安全中“物理”即身体的、物质的、自然的意思,物理安全是整个网络信息安全的前提,包括物理安全基础、物理安全技术控制错误、物理设置要求、环境和人身安全等方面。A选项属于物理线路安全。
网络安全包含网络体系结构安全、通信和网络技术安全、互联网技术和服务安全。网络安全中常用的安全设备有:防火墙、入侵检测、入侵防御设备等。本题B选项属于网络安全范畴。
系统安全指的是从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。系统安全主要面临的威胁有: 系统实现存在漏洞、系统安全体系缺陷、使用人员的安全意识薄弱、管理制度的薄弱等。本题C选项属于系统安全的范畴。
应用安全指的是针对特定应用所建立的安全防护措施。如Web应用安全、电子邮件安全、电子商务安全、数据库应用安全等。本题D选项属于应用安全范畴。
[解析]
IDEA算法和RC4算法都对称加密算法,只能用来进行数据加密。MD5 算法是消息摘要算法,只能用来生成消息摘要无法进行数字签名。
RSA算法是典型的非对称加密算法,主要具有数字签名和验签的功能。
[解析]
数字签名是信息的发送者才能产生的别人无法伪造的一-段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一
个有效证明。不能验证接收者的合法性。
RSA算法是典型的非对称加密算法,主要具有数字签名和验签的功能。
数字签名采用私钥进行签名,公钥进行验证。
5G网络是第五代移动通信网络,其峰值理可达下行10Gbps。根据各地试点表明,目前试用阶段一般在下行1Gbps左右, 未
来5G网络的传输速率可达下行10Gbps。
[解析]
PGP是一个完整的电子邮件安全软件包,包括加密、鉴别、电子签名和压缩等技术。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议( SSL Record Protocol) : 它建立在可靠的传输
协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议 ( SSL Handshake
Protocol) :它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密
密钥等。IPSec是在IP包级为IP业务提供保护的安全协议标准。DES是一利常用的对称加密算法。
PGP(英语:Pretty Good Privacy,中文翻译"优良保密协议")是一套用于消息加密、验证的应用程序,采用IDEA的散列算法作为加密与验证之用
SSL(Secure Sockets Layer 安全套接层)协议,及其继任者TLS(Transport Layer Security传输层安全)协议,是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密,用于保障网络数据传输安全,利用数据加密技术,确保数据在网络传输过程中不会被截取及窃听。SSL协议已成为全球化标准,所有主要的浏览器和WEB服务器程序都支持SSL协议,可通过安装SSL证书激活SSL协议。
IPSec ( IP Security ) 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中,只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。(Internet连接协议)
[解析]
木马(Trojan) ,是指通过特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序: 一个是控制端,另一个是
被控制端。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后;会
产生-一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,即时通信软件密码和用
户上网密码等) ,客甚至可以利用这些打开的端口进入电脑系统。Sniffer ,中文可以翻译为嗅探器,是一种基于被动侦听原
理的网络分析方式。使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。Sniffer不是木马程
序。
层次化网络设计中各个层次的主要功能包括:
接入层:用户接入、计费管理、MAC地址认证、 收集用户信息。
汇聚层:网络访问策略控制、数据包处理、过滤、寻址。
核心层:高速数据交换,常用冗余机制。
户上网密码等) ,客甚至可以利用这些打开的端口进入电脑系统。Sniffer ,中文可以翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。Sniffer不是木马程序。
虚拟局域网( VLAN , VirtualLocalAreaNetwork )允许逻辑地划分网段
[解析]
包过滤技术是一种基于网络层、传输层的安全技术,优点是简单实用,实现成本较低同时,包过滤操作对于应用层来说是透明的,它不要求客户与服务器程序做任何修改。但包过滤技术无法识别基于应用层的恶意入侵,如恶意的Java小程序以及电子邮件中附带的病毒。代理服务技术基于应用层,需要检查数据包的内容 ,能够对基于高层协议的攻击进行拦截,安全性较包过滤技术要好。缺点是处理速度比较慢,不适用于高速网之间的应用。另外,代理使用一个客户程序与特定的中间节点连接,然后中间节点与代理服务器进行实际连接。因此,使用这类防火墙时外部网络与内部网络之间不存在直接连接,即使防火墙发生了问题,外部网络也无法与被保护的网络连接。
[解析]
本题考查网络安全协议知识点。SSH(Secure Shell ,安全外壳协议) ,由IETF的网络工作小组( Network Working Group )所制定,常用的应用层网络通信协议(如FTP、POP3和Telnet )大多数是不安全的,因为它们在网络上用明文传送用户名、口令和数据,很容易被窃听、假冒、算改和欺骗。
SSH是一种在不安全网络中用于安全远程登录和其他安全网络服务的协议。它提供了对安全远程登录、安全文件传输和安全TCP/IP及X-Windows系统通信 量进行转发的支持。它可以加密、认证并压缩传输的数据。
[解析]
HTTPS (全称: Hyper Text Transfer Protocol over Secure Socket Layer) , 是以安全为目标的HTTP通道,简单讲是HTTP的安全版。HTTPS在HTTP的基础上加入了SSL协议, SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
实现VPN的关键技术主要有隧道技术、加解密技术、密钥管理技术和身份认证技术。L2TP、PPTP是两种链路层的VPN协议, TLS是传输层VPN协议, IPsec是网络层VPN协议。
[解析]
选项A的RSA是非对称加密算法;选项B的SHA-1与选项C的MD5属于信息摘要算法;选项D的RC-5属于非对称加密算法。这些算法中SHA-1与MD5是不能用来加密数据的,而RSA由于效率问题, -般不直接用于大量的明文加密。