网络安全考试.docx

《网络安全考试.docx》由会员分享，可在线阅读，更多相关《网络安全考试.docx（17页珍藏版）》请在三一办公上搜索。

1、20102011网络安全考试范围虚拟机技术(virtualmachine )1 什么是虚拟机技术、优点、主要软件产品在一台电脑上模拟多台PC，实现“同时”运行几个不同操作系统，不同操作系统间可以通过网络互访。虚拟机对计算机的CPU、内存要求很高Host:指物理存在的计算机 Host OS:指在Host上运行的操作系统, 虚拟机软件(VMWare)所在操作系统。Guest OS: 在虚拟机环境中安装的操作系统，在一台计算机上可以安装多个GuestOS。可以是：win2K, XP, 2003, linux/Unix等。VMWare创建了一个完全隔离、安全的虚拟机来封装操作系统及其应用程序。VMwa

2、re 虚拟化层(Virtualization Layer)将物理硬件资源映射为虚拟机的资源, 所以每个虚拟机都有自己独立的CPU、内存、磁盘和 I/O 设备，完全等同于一台标准的 计算机。VMware中的GuestOS直接在X86保护模式下运行，使所有的虚拟机操作系统就像运行在单独的计算机上一样。 广泛的设备支持、良好的性能和强大的功能.强大的虚拟网络连接选项，包括NAT设备、DHCP 服务器和多个网络交换机，让您能够将虚拟机连接起来，并连接主机和公共网络。共享文件夹，拖放式操作，在虚拟机操作系统(GuestOS)和主机操作系统(HostOS)之间复制粘贴。 虚拟机彼此隔离，确保一个虚拟机的崩

3、溃不会影响其他虚拟机和主机。 VMWARE：操作简单、执行效率高、应用最广Virtual PC ：微软公司推出的虚拟机软件Xen：linux下的虚拟机软件其他虚拟机软件：Parallels，openVZ，Virtuozzo ，z/VM ，bochs ，pearpc ，qemu 2 vmware的网络模式：不需要知道具体内容，只需要知道每种网络模式的主要功能。VMWare提供了三种联网方式：bridged(桥接模式)、NAT(网络地址转换模式)和host-only(主机模式)。桥接模式：最简单的联网方式，直接将虚拟网卡桥接(bridging)到一个物理网卡上，与linux下一个网卡，绑定两个不同

4、地址类似。实际上是将网卡设置为混杂模式，从而达到侦听多个IP的能力。桥接模式下，虚拟机内部的网卡直接连到了物理网卡所在的网段上，虚拟机(Guest OS)和Host OS处于同一网段上。虚拟机(Guest OS)相当于网络中的一台“真实”主机，所以网络中的其他主机可以通过网络直接访问桥接的虚拟机。虚拟机也可以直接访问网络中其他主机和主操作系统(Host OS)。 host only模式：用的是vmnet1，它包括两个组件，位于Host OS上的主机虚拟网卡(Host Virtual Adapter)和虚拟交换机(Virtual Switch)。Host OS上的物理网卡和虚拟网卡Host Vi

5、rtual Adapter之间不能通信。而虚拟机上的网卡和Host Virtual Adapter都连接到虚拟交换机上，它们组成了一个局域网，这样虚拟机就可以通过Host Virtual Adapter访问到Host OS.NAT模式：实现Host OS与Guest OS的双向访问。但网络内其他机器不能直接访问Guest OS，Guest OS可通过Host OS用NAT协议访问网络内其他机器。 NAT方式下host OS内部出现了一个虚拟的网卡vmnet8(默认情况下)，vmnet8就相当于连接到内网的网卡，而虚拟机本身则相当于运行在内网上的机器，虚拟机内的网卡（eth0）则独立于vmnet

6、8。NAT方式下，vmware自带的dhcp服务会默认地加载到vmnet8网卡上，虚拟机就可以使用dhcp服务获得一个随机的内部地址。vmware自带了nat服务，提供了从vmnet8(内网)到外网的地址转换，所以这种情况是一个实实在在的nat服务器在运行，只不过是供虚拟机使用的。网络嗅探技术嗅探器是能够捕获网络报文的设备（软件或硬件），嗅探器这个术语源于通用网络公司(Network General)开发的捕获网络数据包软件Sniffer。以后的网络协议分析软件，嗅探软件，抓包软件都被称为Sniffer。1 sniffer的网卡工作模式sniffer工作在共享式以太网，也就是说使用Hub来组成

7、局域网，利用以太网数据传输采用广播方式的特点进行数据包的监听。本机的网卡需要设置成混杂模式。2 BPF的组成结构（组件）以及每个组件的作用。BPF：数据包捕获技术BPF是一个核心态的组件，也是一个过滤器Network Tap接收所有的数据包Kernel Buffer，内核保存过滤器送过来的数据包User Buffer，用户态上的数据包缓冲区Filter：用户定义的数据包过滤条件3基于BPF和Libpcap的sniffer流程，不需要记住具体的函数名称，但需要知道每个步骤实现的功能。1、正常情况下，链路层驱动程序将数据包发送给系统协议栈2、如果BPF正在此接口监听，驱动程序首先调用BPF，BPF

8、将数据包发送给过滤器，过滤器对数据包进行过滤，数据被提交给与过滤器关联的上层应用程序3、链路层驱动将重新取得控制权，数据包被提交给上层的协议栈处理。4知道BPF、libpcap、winpcap、tcpdump（课件中没有）、ethereal技术或软件的作用。BPF：数据包捕获技术Libpcap：Libpcap库封装了BPF接口的数据包过滤过程。提供了系统独立的用户级网络数据包捕获接口并充分考虑到应用程序的可移植性。Libpcap 可以在绝大多数类 unix 平台下工作。Winpcap：在 windows 平台下，一个与libpcap 很类似的函数包 winpcap 提供捕获功能。Etherea

9、l：最优秀的跨平台开源嗅探工具，有图形化界面和命令行两种版本。图形化的报文过滤器：通过display filter对话框来创建报文过滤器，用户可以通过指定不同协议的不同字段值来生成报文过滤规则，并且可以使用布尔表达式AND和OR来组合这些过滤规则。TCP会话流重组：ethereal通过follow TCP Stream来重组同一TCP会话的所有数据包。Scanning Techniques网络扫描的目的是获取目标网络的拓扑结构，活动主机IP地址，主要服务器，路由器和防火墙。被扫描主机的响应（TCP和UDP扫描）及其含义。TCP扫描：许多网络防火墙都阻塞ICMP消息，因此，发送一个TCP ack

10、包到80端口，如果获得了RST返回，机器是活跃的。TCP connect扫描：最基本的扫描方式，实际上是利用linux提供的系统调用函数connect与目标主机建立TCP连接，完成三次握手。UDP扫描：这种扫描攻击用来确定目标主机上哪个UDP端口开放。通常是通过发送零字节的UDP数据包到目标机器的各个UDP端口，如果我们收到一个ICMP端口无法到达的回应，那么该端口是关闭的，否则我们可以认为它是敞开大门的。UDP扫描的意义：确定目标主机是否存在那些基于UDP协议的服务如snmp,tftp,NFS,DNS。ICMP数据包的发送速度有限制。而UDP扫描速度更快。TCP扫描的响应：目标主机响应SYN

11、/ACK，则表示这个端口开放。目标主机发送RST，则表示这个端口没有开放。目标主机没有响应，则可能是有防火墙或主机未运行。UDP扫描的响应：目标主机响应端口不可达的ICMP报文则表示这个端口关闭。目标主机没有响应，并且目标主机响应了ping，则这个端口被打开，如果防火墙阻塞了ICMP消息，则这个端口可能是关闭的。DoS Techniques拒绝服务攻击(DoS)：就是利用系统的漏洞使计算机系统无法提供正常的服务。DoS攻击除了利用漏洞进行攻击之外，也可以利用大量合法的服务请求来占用过多的服务资源，使服务过载，从而无法响应其他用户的合法请求。这些服务资源包括网络带宽、文件空间、CPU处理能力、内

12、存空间、连接的进程数。目的：使目标主机无法提供正常的服务或是使目标主机崩溃。而其他类型攻击的目的都是为了获取其控制权。掌握syn flooding攻击和smurf攻击过程及所利用的漏洞。SYN FLOOD攻击原理利用协议设计缺陷：操作系统的TCP/IP协议栈的请求建立TCP连接的队列长度是有限的。当队列排满时，后面的连接请求就被拒绝。在TCP连接的三次握手中，服务器在发出SYN+ACK应答报文后如果没有收到客户端的ACK报文的（三次握手无法完成）。这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一

13、般来说这个时间大约为30秒-2分钟）SYN FLOOD攻击过程Step1：攻击程序向被攻击服务器发送大量带有虚假源地址（未被使用的）的TCP SYN包，请求建立TCP连接。Step2：当服务器收到这些数据包时，向虚假源地址发送一个SYN/ACK的响应数据包，由于源地址是不存在的地址，因此，目标主机发送的SYN/ACK包不会得到确认，目标主机一直等待这个连接直至超时，当这种带有虚假地址的连接请求数目超过了系统规定的最大连接请求数目时，目标主机就无法为其他正常用户提供服务。Syn flood防御技术缩短SYN Timeout时间SYN-cookie技术 地址状态监控的解决方法 Smurf攻击原理：

14、Smurf攻击属于放大攻击。放大攻击的基本原理就是发送一个数据包产生多个响应。smurf攻击过程：黑客向一个局域网（LAN）的广播地址发送一个ping数据包，如果路由器配置允许广播数据包，则路由器将这个广播消息发送给LAN的每一台主机，然后每台主机都发送一个ping响应数据包。Smurf攻击需要指定被攻击主机为源地址。Smurf攻击的条件smurf攻击中包括三方：攻击者、中间网络（也属于受害对象）、目标主机。smurf攻击中攻击者发送一个源地址为目标主机的ICMP回显请求给中间网络的广播地址。smurf攻击的关键是找到允许广播数据包的中间网络。Trojan Horse & Backdoor木马

15、的主要功能和实现木马的关键技术主要功能收集密码或密码文件 收集系统关键信息远程文件操作 远程进程控制 修改注册表其它的特殊功能关键技术传播方式木马的传播：手工，Email，利用漏洞，文件捆绑，文件伪装，web网页启动方式自启动方式：修改配置、服务、驱动，替换或感染系统文件修改配置：注册表，修改默认Shell如explorer.exe，添加用户初始化程序、动态链接库，启动组。Msconfig查询。文件关联启动木马。系统服务和驱动：安装自己的服务、驱动（CreateService函数），修改原有（ImagePath、ServiceDll），替换、感染原有服务、驱动。替换感染系统文件：关闭sfc，替

16、换系统文件，在导入表中添加后门Dll项。隐藏方式：木马程序的文件, 进程, 启动隐藏，包括程序启动隐藏，服务端进程隐藏，网络连接隐藏。常见隐藏：文件属性，相似文件名，隐藏目录，重绑定端口，dll加载，无进程，添加版权签名。内核态的rootkit。内核态，ring 0：特权级CPU指令，OS核心层，完全控制权。运行方式：作为进程，作为动态链接库（替换，动态嵌入hook，挂接api，远程线程等）。获取活动进程信息：PSAPI（Process Status），系统钩子，金山词霸；PDH；ToolHelp API。通讯方式：与远程的木马客户控制端的通信, 发送信息执行命令等.常规方式绑定端口，后门作为

17、服务端运行，等待连接。反向连接，后门作为客户端运行，主动连接外网的client。重绑定合法端口，绕过防火墙。传输的数据加密传输的数据通过HTTP,SOAP等协议封装利用FTP协议打开通路端口复用截获所有网络封包，检查特征字符复制句柄（套接字）或对象（Object）关闭原始句柄或对象，后门使用新的句柄或对象进行通讯很容易就绕过防火墙，但是要注意传输的协议问题，如80对应HTTPhttp - tunnel技术：在HTTP连接上建立一个虚拟的双向数据传输通道。自己的协议实现实现自己的协议（可靠传输）或者TCP协议利用Raw Socket， IpFilterDriver，WinPcap等发送或接收IP

18、报文做到NDIS Miniport一层完全绕过软件防火墙自己实现的协议，Windows中看不到任何信息nc的主要用法：服务器监听，telnet模式NetCat大小仅60k左右，但功能强大，故有“网络瑞士军刀”的美誉。可用来管理系统和侦查网络的错误，也可以作为一个后门程序。原理：从网络的一端读入数据,然后输出到网络的另一端。它可以使用tcp和udp协议。Nc的主要功能：连接远程端口(conneting)、监听本地端口(listening)、扫描远程主机(scaning)、远程主机绑定shell(binding)、文件传输(transfering)简单服务器(监听模式)nc -l -p /这里-l

19、参数表明nc处于监听模式,-p指定port例子:nc -l -p 1234 假设这台主机ip为192.168.0.1从客户端输入，nc 192.168.0.1 1234，然后你从任一端输入的讯息就会显示在另一端了telnet服务器模式(绑定命令)Nc的-e选项,用来指定在连接后执行的程序在windows平台上可以指定-e cmd.exe，linux则指定-e bash，或者是你自己编写的程序,通常是做为后门。例子：server: nc -l -p 1234 -e cmd.execlient: nc 192.168.0.1 1234 就可以远程登陆server了rootkit的主要功能和组件。R

20、ootkit一词最早出现在Unix系统上。黑客为了取得系统管理员级的root权限，或者为了清除被系统记录的入侵痕迹，会重新编译一些软件程序（术语称为kit），例如ps、netstat、w、passwd等等，这些软件即称作Rootkit。Rootkit也可视为一项技术。 组件针对Unix和Linux的rootkit最多，rootkit是由几个独立的程序组成的，一个典型rootkit包括：以太网嗅探器程序(network sniffer)，用于获得网络上传输的用户名和密码等信息。特洛伊木马程序(trojan)，例如：inetd或者login，为攻击者提供后门。 隐藏攻击者的目录和进程的程序，例如：

21、ps、netstat、rshd和ls等。 日志清理工具(log cleaner)，如：zap、zap2或者z2，清除wtmp、utmp和lastlog等日志文件 。 提供telnet、shell和finger等后门服务。 清理/var/log和/var/adm目录中其它文件的一些脚本。监视网络流量和击键记录。 SQL Injection AttackSQL Injection攻击原理及漏洞的原因SQL注入攻击（SQL Injection）是发生于应用程序之数据库层的安全漏洞。简而言之，是在输入的数据字符串之中夹带SQL指令，在设计不良的web程序当中忽略了检查，那么这些夹带进去的指令就会被数据

22、库服务器误认为是正常的SQL指令而运行，因此招致到破坏。SQL 注入攻击原因在应用程序中使用字符串联结方式组合SQL指令。 在应用程序链接数据库时使用权限过大的帐户（系统管理员帐户sa）连接MS SQL Server数据库）。 在数据库中开放了不必要但权力过大的功能 太过于信任用户所输入的数据，未限制输入的字符数，以及未对用户输入的数据做潜在指令的检查。SQL 注入攻击原理SQL支持多个命令的串接，以分号字符“;”为不同命令的区别。SQL命令对于传入的字符串参数是用单引号字符所包起来。但连续2个单引号字符，在SQL数据库中，则视为字符串中的一个单引号字符。SQL命令中可以夹带注解（连续2个减号

23、字符-后的文字为注解，或“/*”与“*/”所包起来的文字为注解）Google hacking1 google hacking的基本思想和原理， google hacking的数据库google hackig 的基本思想:Google hacking技术就是充分利用google 搜索引擎强大的搜索及缓存网页资源, 灵活运用google提供的搜索能力, 实现入侵目标的快速扫描和准确定位。google hacking实际上可以被看成是一种高级的搜索技巧. 黑客利用googe搜索引擎可以快速搜索到公开敏感信息的网站或是存在某种漏洞的网站。也就是说将google作为漏洞扫描器来使用。Google Hac

24、king Database(GHDB)The GHDB is the main repository for Google hacking tips and tricksGoogle Hacking数据库是主要的Google Hacking技术与方法的知识库。Created and Maintained by Johnny Long又Johnny Long建立并不断维护。Over 900 unique search criteria for finding information目前知识库已经包含超过900条特别的用来信息发掘的搜索条件。缓冲区溢出1 什么是缓冲区缓冲区（buffer）,简单说

25、来是一块连续的计算机内存区域, 可以保存相同数据类型的局部变量。2 堆和栈的区别和各自特点堆栈或栈(stack)是存放函数返回地址、参数、局部变量的内存区域。堆栈由编译器自动分配和释放。堆(heap)是程序员自由操作的内存区域，程序运行时动态分配的内存区域，使用时先申请，用完后释放，如何使用完全由程序代码控制。 stack是有大小限制的，heap的大小与系统虚拟内存差不多；stack的运算比heap快；stack由编译器来管理，heap由程序员使用new, malloc, delete, free 进行操作。3 栈底和栈顶指针含义堆栈指针(Stack Pointer, SP/ESP）指向堆栈的

26、栈顶,即堆栈的最后一个地址。帧指针/局部基指针(Frame Pointer, BP/EBP）指向堆栈的栈底,这是一个固定的地址。对局部变量和函数参数引用都使用EBP,因为它们到EBP的距离不会受到PUSH和POP操作的影响,从EBP的位置开始计算, 函数参数的偏移量是正值, 而局部变量的偏移量是负值。4 堆栈的用途和函数调用实现步骤堆栈的用途在函数调用时，需要使用堆栈来保存函数的参数和下一条指令的地址。在函数调用结束时，根据堆栈中的返回地址继续执行后面的指令。堆栈也用于给函数中使用的局部变量动态分配空间。函数调用实现步骤当程序中发生函数调用时，计算机做如下操作：(1) 首先把参数按从右到左的顺

27、序压入堆栈；(2) 然后保存指令寄存器(IP)中的内容，做为返回地址(RET)；(3) 第三个放入堆栈的是基址寄存器(FP)；(4) 然后把当前的栈指针(SP)拷贝到FP，做为新的基地址；(5) 最后为本地变量留出一定空间，把SP减去适当的数值。对局部变量的引用是通过对BP的偏移量来实现的。通常，函数参数相对于BP的偏移是正的，局部变量是负的。5 缓冲区溢出的原因？缓冲区溢出就是向固定大小的缓冲区填充超过其长度的数据，导致缓冲区后面的数据被覆盖。堆栈可执行: 最流行的X86体系中，堆栈可执行。C/C+语言对程序数组越界检查不够严格。不安全库函数调用，比如strcpy, strcat, strn

28、cpy, strncat操作系统中不安全系统调用，如Windows中vsprintf, WideCharToMultiByte, wsprintf等6 shellcode的含义，以及经典的缓冲区溢出攻击的结构以及每一部分的含义和作用。Shellcode是指注入内存中获取shell命令执行环境的一段二进制机器码。shellcode一般采用C或汇编编写，然后通过汇编程序成为机器码。缓冲区攻击代码的一般结构：NOPs + shellcode + N copies of address X空指令NOP，猜地址：在shellcode代码前面放一长串的NOP，返回地址可以指向这一串NOP中任一位置，执行完

29、NOP指令后程序将激活shell进程。截获栈底指针：操作系统而言，一个shell下的每一个程序的堆栈段开始地址都是相同的。可以写一个程序，获得运行时的堆栈起始地址。execve函数将执行一个程序。溢出之后，让程序执行我们指定的代码：我们自己提供的一段代码、系统现有的调用函数。这段代码(shellcode)不能太长，所以需要精心设计，并且充分利用系统中现有的函数和指令。防火墙防火墙是在被保护网络（内联子网Intranet和局域网LAN）与公共网络（如Internet）之间实现访问控制的一组硬件或软件系统。1 防火墙的类型包过滤型防火墙(packet filtering) （网络层防火墙）状态检测

30、型防火墙(Stateful Inspection)应用代理(网关)(application gateway)电路层防火墙混合型防火墙 2 防火墙的两种默认访问控制策略防火墙两种默认安全策略：严格：一切未被允许的就是禁止的。宽松：一切未被禁止的就是允许的。3 防火墙的规则动作防火墙对流出入网络数据包有以下几种动作：通过（accept）：允许数据包通过防火墙传输。放弃（deny）：不允许数据包通过防火墙传输，但仅仅丢弃，不做任何响应。拒绝（reject）：不允许数据包通过防火墙传输，并向源端发送目的主机不可达的ICMP报文。返回（return）： 没有发现匹配的规则，缺省动作。4 包过滤和应用网关

31、的工作原理及优缺点包过滤防火墙属于网络层防火墙，它根据预定义的IP层访问控制策略（规则），对进出的数据包的IP地址及端口进行规则匹配，来决定数据包是否允许通过、阻断还是被丢弃。访问控制策略主要网络数据包的源地址、报文的目标地址、协议类型、报文的源端口和目的端口等。优点：速度快，对用户透明。缺点：访问控制能力较弱，粒度较粗。为完成某一项特定任务，包过滤规则逻辑关系可能比较复杂，且规则的逻辑性验证不易实现审计功能较弱，安全性较差。用包过滤控制远程过程调用RPC也是比较困难的，因为RPC服务是通过服务号标识的，分配的服务端口不固定。应用层(代理)网关应用层代理也被称为：应用级网关，堡垒主机，代理服务

32、器等。应用代理型防火墙(Application Proxy)工作在应用层。通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。其特点是完全“阻隔”了网络通信流。与包过滤防火墙相比，应用网关提供更高的安全性但是牺牲了服务透明性。应用层代理对客户端程序来说是服务器，而对目标服务器来说是一个客户端。代理服务器对客户请求进行验证，具体包括：IP地址、目的端口、用户身份验证并记录网络连接日志。5 DMZ概念以及DMZ的作用和哪些服务器可以被部署在DMZ区域DMZ区允许Internet流量进出Intranet同时还可以保证Intranet的安全。DMZ提供了Internet和Intra

33、net之间的安全缓冲。DMZ是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题。DMZ区域中一般包括为内部用户提供的代理服务器、Web服务器、FTP服务器和论坛等。Internet流量可以访问DMZ区域。但不能直接访问防火墙后面的内部网络。6 NAT和PAT概念NAT许多IP地址不能用于Internet，而是作为保留地址，内部网络使用。这些内部网络的保留地址在经过防火墙访问Internet时，必须翻译成Internet上可路由的地址，这个过程叫做网络地址转换（NAT）NAT技术能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，同时使用NAT的网络，与外部网络的连接只能

34、由内部网络发起，极大地提高了内部网络的安全性。NAT还可以解决IP地址匮乏问题。属于保留地址的IP地址：10.0.0.0 10.255.255.255 172.16.0.0 172.31.255.255192.168.0.0 192.168.255.255PAT端口转换(PAT)：通过PAT，一个网络内部所有的本地地址都可以映射到一个全球地址上。PAT是通过修改端口地址并维护一张开放连接表来实现的。端口地址转换(PAT)又叫端口重定向，端口映射。7 状态检测防火墙的工作流程（针对一个新的网络连接及其后面的数据包，规则表和状态表的工作过程）和主要组件状态检测防火墙规范了网络层和传输层行为。基于会

35、话(session)信息做出决策的，而不是数据包的信息。将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。 实时建立所有合法连接的状态表，所有的合法连接只是在最开始访问的时候去匹配防火墙的规则，当规则通过后，就把当前的连接写到状态表中去，这个连接的所有数据包都是只检查一下状态表，不去匹配规则库，转发效率大幅提高。IPSec1 IPSec两种工作模式传输模式：IPsec的默认模式，保护的IP数据包载荷(payload)，用于端对端（客户端和服务器间）的通信保护。隧道模式 ：隧道模式保护的是整个IP数据包。适用于当SA的

36、一或两端都是安全网关(Router/Firewall)。2 IPSec服务实现的具体位置及实现的功能IPSec的实施位置：端主机、路由器。实现功能：访问控制、无连接完整性、数据源认证、拒绝重播放、保密性(加密)、限制流量保密性访问控制：根据用户身份验证可以用于访问控制。无连接的完整性：IPsec对单个IP数据包进行完整性校验而不需要知道其他数据包的状态。此功能可以通过使用安全散列技术来完成。数据源身份验证：IPsec利用数字签名算法实现数据源身份验证。数据包重播放攻击(replayed packets)的防御：作为无连接协议， IP很容易受到重播放攻击的威胁。重放攻击是指攻击者发送一个目的主机

37、已接收过的包，通过占用接收系统的资源，这种攻击使系统的可用性受到损害。 IPsec提供了数据包计数器机制来阻止数据包重放攻击。利用ESP头和AH，上述所有功能都有可能得以实现。3 AH、ESP和ESP（带认证功能）三种实现技术在两种工作模式下附加的数据包结构以及它们实现的安全功能。（不是指具体的AH包头字段）AH鉴别首部身份验证报头 (AH) 可对整个数据包（IP 报头与数据包中的数据负载）提供身份验证、数据完整性与抗重播保护。但是它不提供保密性，即它不对数据进行加密。数据可以读取，但是禁止修改。AH 使用加密哈希算法(MD5, SHA-1)计算签名数据包以求得完整性。具体实现以下功能：数据完

38、整性(detection of change)：防止传输过程中对数据包内容的修改。数据源身份验证（鉴别）：防止地址欺骗攻击。一些有限的抗重播服务 ：防止消息重放攻击。不保证任何的机密性。封装安全载荷（ESP）ESP协议提供保密性(encryption) 、完整性(detection of change)、数据源的身份验证和抗重播保护 。包括数据包内容的保密性和有限的流量保密性。ESP 可以独立使用，也可与 AH 组合使用。可选：提供数据完整性和鉴别服务。 ESP是一个通用的、易于扩展的安全机制。协议定义同具体的算法是分开的。4 ESP在传输模式和隧道模式下应用加密和认证的数据范围和顺序。（资料

39、不全）5隧道技术的定义和分类。隧道技术是指把一个数据包封装到另一个数据包内进行传输，实现多协议转换功能。隧道协议包括数据包封装、传输、解包整个过程。隧道协议可分为数据链路层隧道协议（第二层隧道协议）和网络层隧道协议（第三层隧道协议）。前者包括：PPTP、L2F、LPTP协议；后者是IPsec协议和GRE协议。可以在下列配置中使用隧道模式：网关到网关服务器到网关服务器到服务器乘客协议被封装的协议，如PPP、SLIP。封装协议隧道的建立、维持和断开，如L2TP、IPSec等。承载协议承载经过封装后的数据包的协议，如IP和ATM等。6 安全关联的含义安全关联(SA, Security Associa

40、tion)是指由IPSec安全服务的发送者到接收者建立的一个单向逻辑关系，用来表示IPSec如何为SA所承载的数据通信提供安全服务。其方式是使用AH或ESP之一，一个SA不能同时使用AH和ESP两种保护措施。安全关联(SA)是一个单向连接。它由一个三元组唯一地确定，包括：安全协议: AH 或 ESP目的IP地址：即SA中接收实体的IP地址，该地址可以是终端用户系统地址，也可以是防火墙或安全网关等网络设备的地址。安全参数索引 SPI (Security Parameter Index)一个 32 bit 的连接标识符，其位置在AH和ESP的首部，作用是使接收实体在收到数据时能够确定在哪个SA下进

41、行处理，只具有本地意义。通过此 SA 的所有数据报都使用同样的 SPI 值。 7 AH协议在发送方和接收方的处理过程。采用AH协议可以实现传输数据的完整性校验。首先，双方需要共享一个加密密钥key。然后，发送方在ip报头和数据载荷之间添加AH包头，然后对整个数据包（除了一些可变字段）进行散列计算，产生整个数据包的一个报文摘要，并用共享的加密密钥key对其加密，加密后作为AH包头的验证数据字段内容。接收方首先用加密密钥key 对接收的数据包的验证数据字段进行解密得到原始报文摘要，然后再对接收数据进行相同的散列计算，将计算得到报文摘要与原始报文摘要进行比较来决定数据是否被修改。SSL1 清楚SSL

42、和IPsec所处的网络层次。IPSec：网络层SSL：传输层SSL协议分为两层底层：SSL记录协议上层：SSL握手协议、SSL修改密文协议、SSL告警协议2 SSL的作用和最常见网络应用。SSL是一个以公钥（public key）为基础的安全通信协议，因此必须为网站向CA申请证书(X.509数字证书技术)。SSL的优势是与应用层协议无关。SSL的主要功能：连接是保密的。使用对称加密法进行数据加密（如用DES和RC4等）。 对方的身份使用非对称(公钥)密码进行认证（如用RSA和DSS等）。 连接是可靠的。消息传输包括使用消息认证码（MAC）的消息完整性检查，安全哈希函数（如SHA和MD5等）用于

43、消息认证码计算。应用：SSL VPNSSL VPN比较适合用于移动用户的远程接入，而IPSec VPN则在网对网的VPN。SSL VPN隧道可以穿透Firewall；而IPSec客户端需要支持“NAT穿透”功能。SSL VPN只需要维护中心节点的网关设备，客户端免维护，降低了部署和支持费用。SSL VPN 更容易提供细粒度访问控制。3 SSL记录协议对原始数据的处理过程。记录协议SSL记录协议建立在可靠的传输协议(如TCP)之上它提供连接安全性，有两个特点保密性，使用了对称加密算法完整性，使用HMAC算法用来封装高层的协议建立在可靠的传输协议（如TCP）基础上；提供连接安全性；保密性，使用了对

44、称加密算法； 完整性，使用HMAC算法；用来封装高层的协议。SSL记录由记录头和长度不为0的记录数据组成。SSL通信数据包括：握手消息、应用数据等。记录头：记录头长度、记录数据长度、记录数据中是否有粘贴数据（填充数据）。记录数据：MAC数据、实际数据和填充数据。MAC用于数据完整性检查。对原始数据处理过程第一步，分段（fragmentation）：上层消息的数据被分片成214字节大小的块，或者更小。第二步，压缩（compression(可选)）：必须是无损压缩，如果数据增加的话，则增加部分的长度不超过1024字节。第三步，计算消息认证码(MAC)计算公式：HMAC_hash(MAC_write

45、_secret, seq_num| TLSCompressed.type | TLSCompressed.version| TLSCompressed.length| TLSCompressed.fragment)第四步，encryption采用CBC，算法由cipher spec指定数据长度不超过214+2048字节，包括加密之后的数据内容HMACpadding, 共padding_length，每个字节的值也是padding_lengthpadding_lengthIV，初始协商指定，以后，前后记录连接起来说明：如果是流密码算法，则不需要padding信息安全1 OSI X.800定义的五

46、种安全机制（不需要知道具体包括的内容）认证，数据完整性，访问控制，数据保密性，不可否认性2 什么是密钥密钥(key)：密码算法在加解密时输入的一个参数,用于算法的初始化，一般是一个二进制串。密钥是由数字、字母或特殊符号组成的字符串组成的，用来控制加解密的过程。加密密钥（Encryption Key），简称为ke；解密密钥(Decryption Key)，简称为kd。3 对称加密和非对称加密的特性（即加、解密算法和加、解密密钥是否公开）、两种加密算法的优缺点。对称加密加密和解密使用相同的密钥：KE=KD。密钥必须使用秘密的信道分配。安全性依赖于密钥的安全性。对称加密算法优缺点分析优点：安全算法公开，算法过程简单，加密速度快，便于硬件实现和大规模使用。缺点密钥分配和管理复杂：必须通过保密的信道协商、交换密钥，不适合分布式应用。密钥数量巨大：两两之间用一对密钥时，则n个用户需要n(n-1)/2个密钥。无法用来签名和抗抵赖（没有第三方公证时），一般不能提供信息完整性的鉴别。它无法验证发送者和接受者的身份。非对称加密在公开密钥密码体制中，加密密钥(即公开密钥) PK 是公开信息，而解密密钥(即秘密密钥) SK 是需要保密的。加密算法 E 和解密算法 D 也都是公开的。非对称密码又称公开