网络安全复习 - 图文

1.对称算法非对称算法优缺点：

对称算法优点：加/解密速率快，密钥管理简单，适宜一对一的信息加密传输

对称算法缺点：加密算法简单，秘钥长度有限，加密强度不高，密钥分发困难，不适宜一对多的加密信息传输

非对称算法优点：安全性好，其公钥公开，私钥自己保存，不需要像对称加密呢样在通信前要先同步秘钥。

非对称算法缺点：加密和解密花费时间长，速度慢，只适合对少量数据进行加密

2.证书验证步骤：1.用户将数字证书中出最后一个字段以外的所有字段输入消息摘要算法 2.由消息摘要算法计算数字证书中除最后一个字段外其他字段的消息摘

要，设该消息摘要为MD-1

3.用户从证书中取出CA的数字签名

4.用户用CA的公钥对CA的数字签名信息进行解密运算 5.解密运算后获得CA签名所使用的消息摘要，设为MD-2。

6.用户比较MD-1与MD-2。若两者相符，即MD-1= MD-2，则可肯定数字

证书已由CA用其私钥签名，否则用户不信任该证书，将其拒绝 3.证书认证过程：

1.生成，存储与发布数字证书 2.用户发出登录请求

3.服务器随机生成挑战值 4.用户对随机挑战值签名

5.服务器向用户返回相应的消息

4.入侵检测专家系统组成的6部分：主体，对象，审计记录，轮廓特征，异常记录和活动规则

5.入侵检测系统分哪几个模块：

1.数据收集器：主要负责收集数据 2.检测器：负责分析和检测入侵的任务

3.知识库：为检测器和控制器提供必需的数据信息支持

4.控制器：根据检测器发来警报，人工或自动的对入侵行为做出响应

入侵检测系统的三步骤：

1）信息收集2）安全保障3）服务质量保证4）可扩充性与灵活性5）可管理性

6.Arp欺骗怎样利用主机冒充网关：发送arp应答给其他的主机,其中包含网关的IP地址和进行ARP欺骗的主机MAC地址;并且也发送了ARP应答给网关,其中包含局域网中所有主机的IP地址和进行arp欺骗的主机MAC地址。当局域网中主机和网关收到ARP应答跟新ARP表后,主机和网关之间的流量就需要通过攻击主机进行转发。

7.ARP欺骗怎么实现: ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。

第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网

8.嗅探使用原因：两个重要的原因。1）在分析网络攻击并设计应对措施时，深入数据包的细节可显示出其巨大的价值2）诊断安全设备的问题 9.怎样设置防火墙过滤规则防止漏洞出现：

开启

（1） SQL注入拦截

（2）HTTP行为限制，只允许 HEAD / GET / POST 三个 HTTP行为动作 （3）限制URL长度，防止URL溢出攻击 （4）URL过滤拦截，过滤特殊行为的URL

10.画出一个通用型网络安全模型，并说明每个功能实体的功能

发送方是信源，接收方是信宿，信息通道是一条从信源的路由，并共同使用通信协议

11.设计一个方案，能实现数字签名，需要注意效率，保证真实性，完整性，发送方不可抗拒性

发送端A：采用双钥体制，用A的秘钥Ksa对杂凑值进行签名的Eka【h（M）】，然后与M链接发出发出，收端则用A形公钥对Eksa【h（M）】解密得到h（M），再与接收端自己由接受的消息M’计算得到的h（M’）进行比较实现认证

11.理论上，加密信息的安全性不取决于加密算法的保密性，而取决于密钥的保密 12.被动攻击的特性是对所传输的信息进行窃听和监测

13.主动攻击（网络嗅探）是指而已篡改数据流或伪造数据流等攻击行为，分为四类：1）伪造攻击2）重放攻击3）消息篡改4）拒绝服务。主动攻击与被动攻击相反，被动攻击虽然难以检测，但采取某些安全防护措施就可以有效阻止，主动攻击虽然易于检测，但却难以阻止

14.内部网络中，DHCP服务器面临的主要威胁是什么？ 由于DHCP服务器通常没有对查询信息进行认证，所以查询响应容易受到中间人攻击和DOS攻击，攻击者可用假冒的DHCP服务器压制合法的DHCP服务器，对查询提供响应并导致各种类型攻击

15.密码存储的方法：

1）每个用户都有一个用户加密文件备份，只与一个人有关，只与一个人有关，由个人负责，是最简单的存储办法

2）存入ROM钥卡或磁卡中，用户将自己的密钥输入系统，或将卡放入读卡器或计算机终端

3）难以记忆的密钥可用加密形式存储，利用密钥加密密钥来做

4）若利用确定性算法来生成密钥，呢每次需要时，用易于记忆的口令启动密钥产生器对数

据进行加密

15.密钥建立协议—采用双密钥体系： 1）A从数据中获得B的公钥

2）A随机生成一个会话密钥，用B的公钥加密 3）B用自己的私钥解密获得会话密钥

4）A，B都采用同一会话密钥对通信过程加密 16.密钥交换协议

1）A取一个随机数X，对B发送消息X=g^x modn 2）B取一个随机数y，对A发送消息Y=g^y modn 3）A计算得K=Y^X modn 4）B计算得K’=X^y modn

17.12306是不是一个安全的网站？为什么？ 不是。原因

1）证书.12306网站的安全证书是企业自己给自己颁发的，是不受信任的证书机构颁发的，且安全证书问题可能会给攻击者提供欺骗或截获个人向服务器发送数据的机会

2）下载安装根证书：当用户将根证书下载并安装在计算机上时，就已默认了浏览器对证书的信任，如果该证书是攻击者建立的，呢么在浏览器对证书的信任条件下，攻击者颁发其他证书，浏览器也不会发现，根证书会派生出很多证书

P253 10.攻击者创建了一个证书，放置了一个真实的组织名（假设是银行B）以及攻击者自己的公钥，你在不知道是攻击者发送的情况下，得到了该证书，误以为该证书来自银行B，请问如何防止该问题产生？ 将证书进行完整性验证，要确定这个证书有没有被别人篡改过，这项验证可通过验证证书中CA的数字签名，其次，证书可信性验证，即确认该证书是由一个可信的CA颁发，为此必须验证证书书链，即从对方的CA信任域层开始，逐层向上查询，一直追溯到信任链终点，通常是根CA为止，最后，将收到的证书与银行B证书的属性进行比对，从而验证数字证书是否可行

本文来源：https://www.bwwdw.com/article/b2y3.html