?“黑客”(Hacker)指对于任何计算机操作系统奥秘都有强烈兴趣的人。“黑客”大都
是程序员,他们具有操作系统和编程语言方面的高级知识,知道系统中的漏洞及其
原因所在;他们不断追求更深的知识,并公开他们的发现,与其他分享;并且从来
没有破坏数据的企图。
?“入侵者”(Cracker)是指怀着不良企图,闯入甚至破坏远程机器系统完整性的人。
“入侵者”利用获得的非法访问权,破坏重要数据,拒绝合法用户服务请求,或为了
自己的目的制造麻烦。“入侵者”很容易识别,因为他们的目的是恶意的。
信息安全的任务
?机密性confidentiality
?完整性integrity
?不可否认性non-repudiation
?有效性availability
网络安全的研究方向
?以网络管理软件为代表的网络安全管理的研究
?以Satan(System Administrator Tool for Analyzing Networks)为代表的网络分析系统的研
究
?以Kerberos(网络认证协议)为代表的密钥分配和传输系统的研究
?以SSL为代表的安全协议的研究
?以防火墙(Firewall)为代表的局部安全系统的研究
信息收集阶段:
(1)TraceRoute程序:能够用该程序获得到达目标主机所要经过的网络数和路由器数。
Tracerout e利用ICMP及IP header的TT L字段。
首先,t racerout e送出一个TT L是1的IP dat agram(其实,每次送出的为3个40字节的包,包括源地址,目的地址和包发出的时间标签)到目的地,当路径上的第一个路由器收到这个dat agram 时,它将TT L减1变为0,所以该路由器会将此dat agram丢掉,并送回一个「ICMP time exceeded」(包括发IP包的源地址,IP包的所有内容及路由器的IP地址),tracerout e 收到这个消息后,便知道这个路由器存在于这个路径上,接着traceroute 再送出另一个TT L是2 的datagram,发现第2 个路由器...... t racerout e 每次将送出的dat agram的TT L 加1来发现另一个路由器,这个重复的动作一直持续到某个dat agram 抵达目的地。
当datagram到达目的地后,该主机并不会送回ICMP time exceeded消息。Tracerout e在送出UDP datagrams到目的地时,它所选择送达的port number 是一个一般应用程序都不会用的号码(30000 以上),所以当此UDP dat agram 到达目的地后该主机会送回一个「ICMP port unreachable」的消息,而当tracerout e 收到这个消息时,便知道目的地已经到达了。所以traceroute 在Server
端也是没有所谓的Daemon 程式。
Tracerout e提取发ICMP TT L到期消息设备的IP地址并作域名解析。每次,Tracerout e都打印出一系列数据,包括所经过的路由设备的域名及IP地址,三个包每次来回所花时间。
Traceroute 有一个固定的时间等待响应(ICMP TT L到期消息)。如果这个时间过了,它将打印出一系列的*号表明:在这个路径上,这个设备不能在给定的时间内发出ICMP TTL到期消息的响应。然后,T racerout e给TT L记数器加1,继续进行。
(2)SNMP协议:用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节。
整个网络管理涉及到3个设备:被监控设备(也称为代理,是一些我们希望监控的设备,比如路由器、交换机、服务器),管理端(也称为管理器,管理员配置管理器程序,定期从代理读取数据),管理员计算机(仅用来管理员查看数据)。
注意:这里所谓的代理,指希望监控的设备,比如服务器,路由器等。
(3)DNS服务器:该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。
(4)Whois协议:该协议的服务信息能提供所有有关的DNS域和相关的管理参数。(5)Ping实用程序:可以用来确定一个指定的主机的位置或网线是否连通。
第二章(书17~28页)
1、DDos/Smurf的原理是什么?有什么办法和措施来监测或抵抗这些攻击?
DDoS 原理见书21页。
(1)定期扫描(2)在骨干节点配置防火墙(3)用足够的机器承受黑客攻击(4)充分利用网络设备保护网络资源(5)过滤不必要的服务和端口(6)检查访问者的来源(7)过滤所有RFC1918 IP地址(8)限制SYN/ICMP 流量
Smurf 原理见书20页。原理图如下:
2、请查阅相关资料,解释DNS欺骗的详细原理。
原理:如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。
3、防止ARP欺骗。
采用双向绑定的方法可以解决并且防止ARP欺骗
1、首先,获得网关的MAC地址。(把自己网段网关的MAC地址记下来)
2、然后在DOS命令下执行以下两条命令:
1)先删除现有的MAC-->IP对应表:arp -d
2)设置静态的网关MAC-->IP对应表:arp -s 网关ip 网关MAC
第三章(书33~39页)
1、对等实体认证是用来验证在某一关联的实体中,对等实体的声称是一致的,它可以确认对等实体没有假冒;
2、信源认证是用于验证所收到的数据来源与所声称的来源是一致的,但不提供防止数据中途被修改的功能。
3、数字签名模型:
数字签名全
过程摘要B1对B1进行RSA 加密摘要密文B2摘要B3
对B2进行
RSA 解密摘要B4B3=B4?
对原文进行摘要和RSA 算法的数字签名系统对收到的原文进行摘要Private key Public key 原文
摘要密文B2
数字签名全过程
摘要B1对B1进行RSA 加密摘要密文B2摘要B3对B2进行
RSA 解密摘要B4
B3=B4?
对原文进行摘要基于MD5/SHA-1和RSA 算法的数字签名系统对收到的
原文进行
摘要Private key P u b l i c k e y 原文
摘要密文B2