第二届全国大学生网络安全精英赛初赛笔记
第二届全国大学生网络安全精英赛初赛笔记
模拟题(一)
1.通信保密阶段开始于20世纪40年代,其时代标志是1949年香农发表的《保密系统的信息理论》,该理论首次将密码学的研究纳入了科学的轨道。
注:此条理论的后四个字“信息理论”与香农提出的《信息论》相近
2.信息系统安全保障涵盖生命周期、保障要素和安全特征三个方面。
3.法律法规是和人有关的。
《计算机信息系统安全保护等级划分准则》规定的五个等级:
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级。
4.数字签名的私钥用来加密,公钥用来解密。发送方通过向认证机构注册来生成公钥,进而接收方从认证机构获得公钥,这样保证了数据的不可抵赖性。
5.在访问控制应用方面,常用的主要有:入网访问控制、网络权限限制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制和防火墙控制。
其中,
网络的权限控制是防止网络非法操作而采取的一种安全保护措施,用户对网络资源的访问权限通常用一个访问控制列表来描述。
从用户的角度,网络的权限控制可分为以下3类用户:特殊用户(具有系统管理权限的系统管理员等)、一般用户(系统管理员根加实际需要而分配到一定操作权限的用户)、审计用户(专门负责审计网络的安全控制与资源使用情况的人员);
注:很像微信小程序后台管理给小程序使用人员分配的权限。
目录级安全控制主要是为了控制用户对目录、文件和设备的访问,或指定对目录及目录下的子目录和文件的使用权限;
网络服务器安全控制是指允许通过服务器控制台执行的安全控制操作包括:用户利用控制台装载和卸载操作模块、安装和删除软件等;
6.USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。
7.攻击者成功入侵目标主机后,更希望对目标主机进行远程控制,以便轻松获取目标主机中有价值的数据。攻击者通过木马、webshell、 后门等来实现对目标主机的远程控制。DDOS不能控制目标主机,只能使目标主机无法正常使用。
8.在初始化SSL连接时采用的加密技术是公钥密码。
9.能正常播放的视频不会含有木马,B选项的意思是应用程序的代码中包含木马程序的代码,这样每次运行程序,里面的木马也会运行。
10.SSID是Service Set Identifier的缩写,意思是:服务集标识。SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络。
11.OSI安全体系包括结构包括五类安全服务以及八类安全机制。
五类安全服务:
1.认证(鉴别)服务:在网络交互过程中,对收发双方的身份及数据来源进行验证。
2.访问控制服务:防止未授权用户非法访问资源,包括用户身份认证和用户权限确认。
3.数据保密性服务:防止数据在传输过程中被破解、泄露。
4.数据完整性服务:防止数据在传输过程中被篡改。
5.抗否认性服务:也称为抗抵赖服务或确认服务。防止发送方与接收方双方在执行各自操作后,否认各自所做的操作。
八类安全机制:
1.加密机制:加密机制对应数据保密性服务。加密是提高数据安全性的最简便方法。通过对数据进行加密,有效提高了数据的保密性,能防止数据在传输过程中被窃取。常用的加密算法有对称加密算法(如DES算法)和非对称加密算法(如RSA算法)。
2.数字签名机制:数字签名机制对应认证(鉴别)服务。数字签名是有效的鉴别方法,利用数字签名技术可以实施用户身份认证和消息认证,它具有解决收发双方纠纷的能力,是认证(鉴别)服务最核心的技术。在数字签名技术的基础上,为了鉴别软件的有效性,又产生了代码签名技术。常用的签名算法有RSA算法和DSA算法等。
3.访问控制机制:访问控制机制对应访问控制服务。通过预先设定的规则对用户所访问的数据进行限制。通常,首先是通过用户的用户名和口令进行验证,其次是通过用户角色、用户组等规则进行验证,最后用户才能访问相应的限制资源。一般的应用常使用基于用户角色的访问控制方式,如RBAC(Role Basic Access Control,基于用户角色的访问控制)。
4.数据完整性机制:数据完整性机制对应数据完整性服务。数据完整性的作用是为了避免数据在传输过程中受到干扰,同时防止数据在传输过程中被篡改,以提高数据传输完整性。通常可以使用单向加密算法对数据加密,生成唯一验证码,用以校验数据完整性。常用的加密算法有MD5算法和SHA算法等。
MD5信息摘要算法使用128位摘要值,以确保信息传输的完整性
5.认证机制:认证机制对应认证(鉴别)服务。认证的目的在于验证接收方所接收到的数据是否来源于所期望的发送方,通常可使用数字签名来进行认证。常用算法有RSA算法和DSA算法等。
6.业务流填充机制:也称为传输流填充机制。业务流填充机制对应数据保密性服务。业务流填充机制通过在数据传输过程中传送随机数的方式,混淆真实的数据,加大数据破解的难度,提高数据的保密性。
7.路由控制机制:路由控制机制对应访问控制服务。路由控制机制为数据发送方选择安全网络通信路径,避免发送方使用不安全路径发送数据,提高数据的安全性。
8.公证机制:公正机制对应抗否认性服务。公证机制的作用在于解决收发双方的纠纷问题,确保两方利益不受损害。类似于现实生活中,合同双方签署合同的同时,需要将合同的第三份交由第三方公证机构进行公证。
9.安全机制对安全服务做了详尽的补充,针对各种服务选择相应的安全机制可以有效地提高应用安全性。随着技术的不断发展,各项安全机制相关的技术不断提高,尤其是结合加密理论之后,应用安全性得到了显著提高。本书的后续章节将以加密理论及其相应实现为基础,逐步阐述如何通过加密技术确保企业应用的安全。
12.常见服务以及对应的端口号
HTTP:80
FTP:21
SSH:22
Telnet:23
SMTP:25
DNS:53
13.脚本病毒通常是JavaScript代码编写的恶意代码, 一般带有广告性质,会修改您的IE首页、修改注册表等信息,造成用户使用计算机不方便。
14.数字版权管理的六大功能:
1.数字媒体加密:打包加密原始数字媒体,以便于进行安全可靠的网络传输。
2.阻止非法内容注册:防止非法数字媒体获得合法注册从而进入网络流通领域。
3.用户环境检测:检测用户主机硬件信息等行为环境,从而进入用户合法性认证。
4.用户行为监控:对用户的操作行为进行实时跟踪监控,防止非法操作。
5.认证机制:对合法用户的鉴别并授权对数字媒体的行为权限。
6.付费机制和存储管理:包括数字媒体本身及打包文件、元数据(密钥、许可证)和其他数据信息(例如数字水印和指纹信息)的存储管理。
15.Windows server用户匿名登录主机时,用户名为:Anonymous(匿名的)
16.信息安全管理体系ISMS(Information Security Management Systems)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。其信息安全管理的核心内容是风险管理。
模式应用:P(plan)D(do)C(check)A(act)
17.DES全称为Data Encryption Standard,即数据加密标准,是一种使用密钥加密的块算法,作为算法的DES称为数据加密算法(Data Encryption Algorithm,DEA),已与作为标准的DES区分开来。
18.Access VPN通过一一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。
Intranet VPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。
Extranet VPN通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或感兴趣的群体连接到企业内部网。
模拟题(二)
1.TCP会话劫持的攻击方式可以对基于TCP的任何应用发起攻击,如HTTP、FTP、Telnet等。对于攻击者来说,所必须要做的就是窥探到正在进行TCP通信的两台主机之间传送的报文,这样攻击者就可以得知该报文的源IP、源TCP端口号、目的IP、目的TCP端号,从而可以得知其中一台主机对将要收到的下一个TCP报文段中seq和ackseq值的要求。这样,在该合法主机收到另一台合法主机发送的TCP报文前,攻击者根据所截获的信息向该主机发出一个带有净荷的TCP报文,如果该主机先收到攻击报文,就可以把合法的TCP会话建立在攻击主机与被攻击主机之间。带有净荷的攻击报文能够使被攻击主机对下一个要收到的TCP报文中的确认序号(ackseq)的值的要求发生变化,从而使另一台合法的主机向被攻击主机发出的报文被被攻击主机拒绝。TCP会话劫持攻击方式的好处在于使攻击者避开了被攻击主机对访问者的身份验证和安全认证,从而使攻击者直接进入对被攻击主机的的访问状态,因此对系统安全构成的威胁比较严重。
2.溢出攻击的核心是修改堆栈记录中进程的返回地址。
3.应急响应管理过程分为6个阶段,为准备→检测→遏制→根除→恢复→跟踪总结
.
4.数字证书(又称电子证书、公钥证书或证书)是一段经认证权威机构(CA) 签名的、包含拥有者身份信息和公开密钥的数据体。
注:不包含证书机构,这个是已知的
5.CIA:机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)来划分信息系统的安全等级。
其他:
不可否认性(Non-repudiation) – 对做过的行为和接受过的信息不能抵赖。
可控性(Controlability) – 授权机构对信息的内容和传播是可控的。
认证性/真实性(Authenticity)-- 消息认证和实体认证
6.风险的大小,与资产、威胁、脆弱性这三个引起风险的最基本的要素有关。
7.域名的格式是以".”分隔的分级结构,最右侧为顶级域名(一级域名),顶级域名左侧为二级域名,以此类推,为三级、四级域名或者更高级别域名,格式一般遵循"功能、机构名称、国家”的规范。
8.Cookie是指网站放置在电脑上的小文件,其中存储有关用户和用户偏好的信息。Cookie可让网站记住用户的偏好或者让用户避免在每次访问某些网站时都进行登录,从而改善用户的浏览体验。但是,有些Cookie可能会跟踪用户访问的站点,从而危及个人隐私安全。所以在非私人电脑上使用浏览器,可以对Cookie进行删除和管理,不同的浏览器具有不同的操作步骤。
9.存储管理主要任务是对内存进行分配、保护和扩充,为多道程序运行提供有力的支撑,便于用户使用存储资源,提高存储空间的利用率。实现文件的高速存取为文件管理。
10.常见的三种上网方式: PPPoE 、动态IP、静态IP。
PPPoE(英语:Point-to-Point Protocol Over Ethernet),以太网上的点对点协议,是将点对点协议(PPP)封装在以太网(Ethernet)框架中的一种网络隧道协议。由于协议中集成PPP协议,所以实现出传统以太网不能提供的身份验证、加密以及压缩等功能,也可用于缆线调制解调器(cable modem)和数字用户线路(DSL)等以以太网协议向用户提供接入服务的协议体系。
11.保障信息安全的三个支柱是技术、法律法规、管理。
12.信息安全事件划分为特别重大事件、重大事件、较大事件和一般事件四个级别。
13.密码学的目的是研究数据保密。
14.PKI(公钥基础设施)主要包括四个部分:
X.509格式的证书和证书废止列表;
证书授权中心(Certificate Authority, CA)操作协议;
CA管理协议;
CA政策制定。
PKl管理对象包括证书、密钥、证书撤消。
15.IPSEC密钥交换协议IKE定义了通信实体间进行身份认证、创建安全关联、协商加密算法以及生成共享会话密钥的方法。第一阶段是两个ISAKMP对等终端建立安全认证的通信信道和ISAKMP安全关联(SA) ,运行在该阶段的模式有两种,即“主模式”和“积极模式”。第二阶段对安全关联可提供的服务以及所需要的密钥和参数进行协商,运行在该阶段的模式为快速模式。
16.IPsec(Internet Protocol Security),是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。
IPsec主要由以下协议组成:
1.认证头(Authentication Header,AH)被用来保证被传输分组的完整性和可靠性。此外,它还保护不受重放攻击。认证头试图保护IP数据报的所有字段,那些在传输IP分组的过程中要发生变化的字段就只能被排除在外。当认证头使用非对称数字签名算法(如RSA)时,可以提供不可否认性(RFC 1826)。
2.封装安全载荷(ESP),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性;
3.安全关联(SA),提供算法和数据包,提供AH、ESP操作所需的参数。
4.密钥协议(IKE),提供对称密码的钥匙的生存和交换。
指定AH的工作模式为Transport或Tunnel模式;指定ESP的工作模式为Transport或Tunnel模式。
17.计算机病毒是计算机系统中一类隐藏在存储介质上蓄意破坏的捣乱程序。
18.第二层隧道协议(Layer Two Tunneling Protocol,L2TP)是一种虚拟隧道协议,通常用于虚拟专用网。L2TP协议自身不提供加密与可靠性验证的功能,可以和安全协议搭配使用,从而实现数据的加密传输。经常与L2TP协议搭配的加密协议是IPsec,当这两个协议搭配使用时,通常合称L2TP/IPsec。
19.防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。但是其不提供数据加密技术。
包过滤防火墙主要过滤的信息有源IP地址、目的IP地址、TCP源端口和目的端口。
20.GRE(Generic Routing Encapsulation) 通用路由封装是对某些网络层协议(如: IP , IPX , Apple Talk等)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如IP)中传输。
21.Kerberos的设计目标包括认证、记账、审计。
Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。
认证过程具体如下:客户机向认证服务器(AS)发送请求,要求得到某服务器的证书,然后 AS 的响应包含这些用客户端密钥加密的证书。证书的构成为: 1) 服务器 “ticket” ; 2) 一个临时加密密钥(又称为会话密钥 “session key”) 。客户机将 ticket (包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝)传送到服务器上。会话密钥可以(现已经由客户机和服务器共享)用来认证客户机或认证服务器,也可用来为通信双方以后的通讯提供加密服务,或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。
模拟题(四)
1.Session攻击
https://blog.csdn.net/a562449131/article/details/102113891
2.ICMP(Internet Control Message Protocol)Internet控制报文协议,其主要功能包括,确认IP包是否成功送达目标地址,通知在发送过程中IP包被废弃的具体原因,改善网络设置等。ICMP的消息大致可以分为两类:一类是 通知出错原因的错误消息,另一类用于诊断的查询消息。
3.哈希(Hash)也称为散列,就是把任意长度的输入,通过散列算法,变换成固定长度的输出,这个输出值就是散列值。哈希表(Hash table,也叫散列表),是根据关键码值(Key value)而直接进行访问的数据结构。也就是说,它通过把关键码值映射到表中一个位置来访问记录,以加快查找的速度。这个映射函数叫做散列函数,存放记录的数组叫做散列表。
4.Web应用防护系统(Web Application Firewall,WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
模拟题(五)
1.容灾系统是指在相隔较远的异地,建立两套或多套功能相同的IT系统,互相之间可以进行健康状态监视和功能切换,当一处系统因意外(如火灾、地震等)停止工作时,整个应用系统可以切换到另一处, 使得该系统功能可以继续正常工作。容灾技术是系统的高可用性技术的一个组成部分,容灾系统更加强调处理外界环境对系统的影响,特别是灾难性事件对整个IT节点的影响,提供节点级别的系统恢复功能。
从其对系统的保护程度来分,可以将容灾系统分为:数据容灾和应用容灾。
衡量容灾系统的两个技术指标:
RPO (Recovery Point Objective) : 即数据恢复点目标,主要指的是业务系统所能容忍的数据丢失量。
RTO (Recovery Time Objective) :即恢复时间目标,主要指的是所能容忍的业务停止服务的最长时间,也就是从灾难发生到业务系统恢复服务功能所需要的最短时间周期。
https://wiki.mbalib.com/wiki/%E5%AE%B9%E7%81%BE%E7%B3%BB%E7%BB%9F#.E5.AE.B9.E7.81.BE.E7.B3.BB.E7.BB.9F.E7.9A.84.E7.B1.BB.E5.9E.8B
2.SMTP用于发送电子邮件,POP用于接收电子邮件。
3.蜜罐是一种安全威胁的主动防御技术,它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者,捕获攻击流量与样本,发现网络威胁、提取威胁特征,蜜罐的价值在于被探测、攻陷。其在本质上来说,是一个与攻击者进行攻防博弈的过程。蜜罐提供服务,攻击者提供访问,通过蜜罐对攻击者的吸引,攻击者对蜜罐进行攻击,在攻击的过程中,有经验的攻击者也可能识别出目标是一个蜜罐。为此,为更好的吸引攻击者,蜜罐也需要提供强悍的攻击诱骗能力。
依据蜜罐诱骗能力或交互能力的高低,蜜罐可分为低交互蜜罐与高交互蜜罐(在国内研究中也有低、中、高三类交互能力的分法)。低交互蜜罐主要通过模拟一些服务,为攻击者提供简单的交互,而高交互蜜罐模拟了整个系统与服务,它们大多是真实的系统或设备,存在配置难,难以部署的问题。相反低交互蜜罐配置简单,可以较容易的完成部署,但是受限于交互能力,无法捕获高价值的攻击。在何种场景使用何种蜜罐,就需要部署人员进行认真思考。
4.Tor(The Onion Router)是第二代洋葱路由(onion routing)的一种实现,用户通过Tor可以在因特网上进行匿名交流。
5.横向渗透,就是在已经攻占部分内网主机的前提下,利用既有的资源尝试获取更多的凭据、更高的权限,进而达到控制整个内网、拥有最高权限、发动 APT (高级持续性威胁攻击)的目的。
在横向渗透中,最先得到的主机,以及之后新得到的主机,会成为突破口、跳板。如同一个不断扩大的圆形,获得的主机越多,圆能触及之处越大,让其周遭的「横向」部分由未知成为已知。
6.入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。在OSI模型中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用,IPS弥补四到五层留下的空档。
7.RSA 与 DSA 都是非对称加密算法。其中RSA的安全性是基于极其困难的大整数的分解(两个素数的乘积);DSA 的安全性是基于整数有限域离散对数难题。基本上可以认为相同密钥长度的 RSA 算法与 DSA 算法安全性相当。DSA 只能用于数字签名,而无法用于加密(某些扩展可以支持加密);RSA 即可作为数字签名,也可以作为加密算法。不过作为加密使用的 RSA 有着随密钥长度增加,性能急剧下降的问题。
8.认证和加密的区别在于:
加密用于确保数据的保密性,阻止对手的被动攻击,如截取,窃听等;而认证用以确保报文发送者和接收者的真实性以及报文的完整性,阻止对手的主动攻击,如冒充、篡改、重播等
9.制定自己的路由策略,并以此为准在一个或多个网络群体中采用的小型单位叫做自制系统(AS:Autonomous System)或路由选择域(Routing Domain)路由协议大致分为两大类。一类是外部网关协议EGP,另一类是内部网关协议IGP。
10.设备能在一定时间内正常执行任务的概率体现设备的可靠性。
模拟题(六)
1.分组密码以一定大小作为每次处理的基本单元,而序列密码则是以一个元素(一个字母或一个比特)作为基本的处理单元。
序列密码是一个随时间变化的加密变换,具有转换速度快、低错误传播的优点,硬件实现电路更简单;其缺点是:低扩散(意味着混乱不够)、插入及修改的不敏感性。
分组密码使用的是一个不随时间变化的固定变换,具有扩散性好、插入敏感等优点;其缺点是:加解密处理速度慢、存在错误传播。
2.中继是两点间的一条传输信道,这两点通常是交换中心。中继线是承载多条逻辑链路的一条物理连接。帧中继业务是在用户—网络接口(UNI)之间提供用户信息流的双向传送,并保持原顺序不变的一种承载业务。仅提供面向连接的虚电路服务。
模拟题(七)
1.WWW(万维网)3个重要概念:访问信息的控制手段与位置(URI)、信息的表现形式(HTML)、信息转发(HTTP)
URL和URI之间的主要区别:
有两种类型的URI,统一资源标识符(URL)和统一资源名称(URN)。
URL是统一资源定位器,用于标识资源;URI(统一资源标识符)提供了更简单和可扩展的标识资源的方法。URL是URI的子集,下面我们就来看看一下URL和URI的主要区别是什么。
2.DHCP协议提供自动分配IP地址的服务,其工作在应用层。
3.P2DR模型是美国ISS公司提出的,他是动态网络安全体系的代表模型,也是动态安全模型的雏形。
P2DR模型包括四个主要部分:Policy(安全策略),Protection(防护)、Detection(检测)和Response(响应)。
4.可信计算基(英语:Trusted computing base, TCB)是指为实现计算机系统安全保护的所有安全保护机制的集合,机制可以硬件、固件和软件的形式出现。一旦可信计算机基的某个构件出现程序错误或者安全隐患,就对整个系统的安全造成危害。 与之相反,如果除可信计算基之外的系统的其他部分出现问题,也只是泄漏了系统安全策略赋予它们的相关权限而已,这些权限一般都是比较低的。
模拟题(八)
1.DREAD模型用于判断漏洞优先级,Damage 危害程度,Reproducibility 可复现性,Exploitability 利用难度,Affected users影响面,Discoverability 发现难度。
2.人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。
从攻击代码的工作方式可以分为三个类型:
(1)持久型跨站(存储型):最直接的危害类型,跨站代码存储在服务器(数据库)。
(2)非持久型跨站(RAM):反射型跨站脚本漏洞,最普遍的类型。用户访问服务器-跨站链接-返回跨站代码。
(3)DOM跨站(DOM XSS):DOM(document object model文档对象模型),客户端脚本处理逻辑导致的安全问题。
3.最常用的网络安全模型为PDRR(Protection,Detection,Reaction,Recovery,即防护、检测、响应、恢复)模型,可以描述网络安全的整个环节。
4.信息系统安全运营大致分为信息系统安全防护和信息系统安全运维,其中信息系统.的安全运维工作分为三个层次开展:基础实践层、信息收集层、展示决策层。