计算机网络
计算机安全

计算机网络

在 OSI 参考模型中，协议与服务有何区别与联系？（16 真题，谢书 1-21）
- 协议是控制两个对等实体（或多个实体）进行通信的规则的集合。协议的语法方面的规则规定了所交换的信息的格式，而协议的语义方面的规则定义了发送者或接收者所要完成的操作。
- 服务是指下层为紧邻的上层提供的功能调用，在协议的控制下，两个对等实体间的通信使得本层能够向上一层提供服务。要实现本层协议，还需要使用下面一层所提供的服务
- 协议的实现保证了能够向上一层提供服务。使用本层服务的实体只能看见服务而无法看见下面的实体。下面的协议对上面的实体是透明的
- 协议是水平的，即协议是控制对等实体之间通信的规则。但服务是垂直的，即服务是由下层向上层通过层间接口提供的。另外，并非在一个层内完成的全部功能都称为服务，只有那些能够被高一层实体“看得见”的服务才能称为“服务”
试述具有五层协议的网络体系结构的要点，包括各层的主要功能。（17 真题，谢书 1-24）
- 应用层：应用层是体系结构中的最高层，直接为用户的应用进程提供服务。定义了应用进程间通信和交互的规则。应用层协议有域名系统 DNS、HTTP 协议、SMTP 协议等。应用层交互的数据单元称为报文
- 运输层：运输层的任务就是负责两个主机中进程之间的通信提供服务。由于一台主机可同时运行多个进程，因此运输层有复用和分用的功能。传输控制协议 TCP——提供面向连接、可靠的数据传输服务，其数据传输的单位是报文段。用户数据报协议 UDP——提供无连接的、尽最大努力的数据传输服务（不保证数据传输的可靠性），其数据传输的单位是用户数据报
- 网络层：负责为分组交换网上的不同主机提供通信服务。在发送数据时，网络层把运输层产生的报文段或用户数据报封装成分组或包进行传送。在 TCP/IP 体系中，由于网络层使用 IP 协议，因此分组也叫做 IP 数据报，或简称为数据报
- 数据链路层：数据链路层在两个相邻结点之间传送数据时，数据链路层将网络层交下来的 IP 数据报组装成帧，在两个相邻结点间的链路上“透明”的传输帧中的数据，每一帧包括数据和必要的信息（如同步信息、地址信息、差错控制等）
- 物理层：物理层上所传数据的单位是比特。物理层的任务就是透明的传送比特流
名词解释：服务（模拟二）
- 服务指下层为紧邻的上层提供功能调用，它是垂直的。对等实体在协议的控制下，使得本层能为上一层提供服务，但要实现本层协议，还需要使用下面一层所提供的服务
为什么要使用信道复用技术？常用的信道复用技术有哪些？（谢书 2-13）
- 许多用户通过复用技术就可以共同使用的一个共享信道来进行通信。虽然复用要付出一定的代价（带宽较大因而费用较高，复用器和分用器要增加成本），但如果复用的信道数量较大，那么总的来看在经济上还是合算的
- 常见的复用技术：时分复用、频分复用、波分复用、码分复用
数据帧信道中的传输速率受哪些因素影响？信噪比能否任意提高？为什么？香农公式在数据通信中的意义是什么？“比特/秒”和“码元/秒”有何区别？
- 数据帧信道中的传输速率是有限制的。具体的信道所能通过的频率范围总是有限制的。为了避免码间串扰，码元的传输速率就受到了限制。其次，所有的电子设备和通信信道都存在噪声。
- 在实际的传输环境中，信噪比不可能做到任意大。一方面，我们的信号传输功率是受限的，而任何电子设备的噪声也不可能做到任意小。
- 香农公式的意义在于，只要信息传输速率低于信道的极限传输速率，就一定可以找到某种办法来实现无差错的传输。
- 比特和码元所代表的意思并不相同。在使用二进制编码时，一个码元对应于一个比特。在这种情况下，两者在数值上是一样的。但一个码元不一定总是对应于一个比特。根据编码的不同，一个码元可以对应于几个比特，但也可以是几个码元对应于一个比特。
PPP 协议的主要特点是什么？为什么 PPP 不使用帧的编号？PPP 适用于什么情况？为什么 PPP 协议不能使数据链路层实现可靠传输？（谢书 3-06）
- 主要特点：简单（进行CRC 校验，校验失败就丢弃帧）、封装成帧（帧定界）、透明性（保证数据传输的透明性）、支持多种网络层协议、支持多种类型链路（串行并行、同步异步、低速高速、交换非交换）
- 帧的编号是为了出错时可以有效的重传，但 PPP 并不需要实现可靠传输。
- 适用于线路质量不太差的情况下。如果通信线路太差，传输就会频频出错。
- 但 PPP 没有编号和确认机制，必须靠上层协议才能保证数据的正确无误。
简述 CSMA/CD 的工作流程
- CSMA/CD 的工作流程可简单概括为“先听后发，边听边发，冲突停发，随机重发”
  - 适配器从网络层获得一个分组，封装成以太网帧，放入适配器的缓存，准备发送
  - 如果适配器侦听到信道空闲，那么它开始发送该帧。如果适配器侦听到信道忙，那么它持续侦听直至信道上没有信号能量，然后开始发送该帧
  - 在发送过程中，适配器持续检测信道。若一直未检测到碰撞，则顺利的把这个帧发送完毕。若检测到碰撞，则中止数据的发送，并发送一个拥塞信号，以让所有用户都知道
  - 在中止发送后，适配器就执行指数退避算法，等待一段随机时间后返回到步骤（2）
试说明交换机和网桥的异同。（16 真题，谢书 3-35）
- 交换机的基本功能和网桥一样，具有帧转发、帧过滤和生成树算法功能。
- 交换机工作时，实际上允许许多组端口间的通道同时工作。即网桥一般分有两个端口，而交换机具有高密度的端口
- 由于交换机能够支持多个端口，因此可以把网络系统划分为更多的物理网段，这样使得整个系统具有更高的带宽
- 交换机与网桥数据信息的传输速率相比，交换机要快于网桥
- 交换机具有存储转发和直接转发两种帧转发方式
网络层向上提供的服务有哪两种？试比较其优缺点。
- 网络层向运输层提供“面向连接”虚电路服务或“无连接”数据报服务，前者预约了双方通信所需的一切网络资源。优点是能提供服务质量的承诺。即所传送到分组不出错、丢失、重复和失序（不按序列到达终点），也保证分组传送的时限，缺点是路由器复杂，网络成本高；后者无网络资源障碍，尽力而为，优缺点与前者互异
缓解 IPv4 地址紧缺的方法有哪些？请列举三个并简要说明
- 早期的 DHCP 服务，主机运行时通过 DHCP 服务器租得临时 IP 地址，运行期间可以续租，不用时 DHCP 服务器回收 IP 地址。用户使用 IP 地址的时间错开，可以共享 IP 地址，这样用较少的 IP 地址可为更多的用户服务
- 划分子网，可把多余不用的 IP 地址充分利用
- 使用保留 IP 地址进行内部网络规划，访问公网用 NAT 或者 NAPT 技术，可大大节省公网 IP
名词解释：路由聚合（模拟三）
- 将网络前缀都相同的连续 IP 地址组成“CIDR”地址块，一个 CIDR 地址块可以表示很多地址，这种地址的聚合称为路由聚合。
试比较 OSPF 和 RIP
- OSPF 向本自治系统中所有路由器发送信息。这里使用的方法是洪泛法。而 RIP 仅向与自己相邻的几个路由器发送信息。
- OSPF 发送的信息是与本路由器相邻的所有路由器的链路状态，但这只是路由器所知道的部分信息。而 RIP 发送的信息是本路由器全部知道的信息，即整个路由表。
- OSPF 只有当链路状态发生变化时，才用洪泛法向所有路由器发送信息，并且更新过程收敛得快。而在 RIP 中，不管网络拓扑是否发生变化，路由器之间都会定期交换路由表的信息
- OSPF 是网络层协议，它不使用 UDP 或 TCP，而直接用 IP 数据报传送，而 RIP 是应用层协议，它在传输层使用 UDP。
网络层的路由器执行分组转发的步骤是什么？（模拟五）
- 从数据报的首部提取目的主机的 IP 地址 D，得出目的网络地址 N
- 若网络 N 与此路由器直接相连，则把数据报直接交付给目的主机 D，即直接交付；否则是间接交付，执行步骤 3
- 若路由表中有目的地址 D 的特定主机路由，则把数据报传送给路由表中所指明的下一跳路由器；否则，执行步骤 4
- 若路由表中有到达网络 N 的路由，则把数据报传送给路由表指明的下一跳路由器；否则，执行步骤 5
- 若路由表中有一个默认路由，则把数据报传送给路由表中所指明的默认路由器；否则，执行步骤 6
- 报告转发分组出错
IGMP 协议的要点是什么？隧道技术在多播中是怎样使用的？（17 真题，谢书 4-43）
- IGMP 是网际组管理协议，它不是一个单独的协议，而是属于整个网际协议 IP 的一个组成部分。IGMP 并非是在互联网范围内对所有多播成员进行管理的协议。IGMP 不知道 IP 多播组包含的成员数，也不知道这些成员都分布在哪些网络上。IGMP 协议是让连接在本地局域网上的多播路由器知道本局域网上是否有主机（严格讲，是主机上的某个进程）参加或退出来某个多播组。显然，仅有 IGMP 协议是不能完成多播任务的。连接在局域网上的多播路由器还必须和互联网上的其他多播路由器协同工作，以便把多播数据报用最小代价传送给所有的组成员。这就需要多播路由选择协议。
- 隧道技术的实现：当多播数据报中传输过程中遇到不允许多播路由器的网络时，路由器就对多播数据报进行再次封装（即加上一个普通数据报的首部，使之成为一个向单一目的站发送的单播数据报）通过了隧道以后，再由路由器剥去其首部，使它又恢复成原来的多播数据报，继续向多个目的站转发
什么是 VPN？VPN 有什么特点和优缺点？VPN 有几种类别？（谢书 4-44）
- 虚拟专用网 VPN 利用公用的因特网作为本机构各专用网之间的通信载体，使一个机构中分布在不同场所的主机能够像使用一个本机构的专用网那样进行通信。
- VPN 的优点：价格上比建造专用网更便宜
- VPN 的缺点：需要比较复杂的技术。当需要保密通信时，就需要有更加完善的加密措施（安全性降低）
- VPN 的种类：内联网、外联网、远程接入 VPN
名词解释：套接字（模拟三）
- 在网络中通过 IP 地址来标识和区别不同的主机，通过端口号来标识和区分一台主机中的不同应用进程，端口号拼接到 IP 地址即构成套接字，用来唯一的标识网络中的一台主机和其上的一个应用进程。
拥塞控制与流量控制的区别：
- 拥塞控制是让网络能够承受现有的网络负荷，是一个全局性的过程，涉及所有的主机、所有的路由器，以及与降低网络传输性能有关的所有因素；流量控制往往是指点对点的通信量的控制，是个端到端的问题（接收端控制发送端），它所要做的是抑制发送端发送数据的速率，以便使接收端来得及接收
分别叙述 UDP 协议和 TCP 协议的特点。（15 真题）
- TCP 和 UDP 是 ISO/OSI 模型中运输层中的协议。TCP 是面向连接的通信，提供可靠的通信传输；UDP 不提供复杂的控制机制，利用 IP 提供面向无连接的通信服务。TCP 充分实现了数据传输时各种控制功能，可以进行丢包的重发控制，还可以对次序乱掉的分包进行顺序控制。而这些在 UDP 中都没有。此外，TCP 作为一种面向连接的协议，只有在确认通信对端存在时才会发送数据，从而可以控制通信流量的浪费。TCP 通过检验和、序列号、确认应答、重发控制、连接管理以及窗口控制等机制实现可靠性传输。UDP 主要用于那些对高速传输和实时性有较高要求的通信或广播通信。
使用 TCP 对实时话音数据的传输有没有什么问题？使用 UDP 在传送数据文件时会有什么问题？（17 真题，谢书 5-15）
- TCP 提供面向连接的可靠数据传输，虽然传输可靠，但重传数据会有时延，所有如果话音数据是实时传输，则必须使用 UDP；如果不是实时传输（边接收边播放）则可以使用 TCP。UDP 提供无连接的数据传输，虽然不保证可靠交付，但不会因网络出现的拥塞，而使源主机的发送率降低。因此，只要应用程序接受这样的服务质量就可以使用 UDP
TCP 连接的建立
- 第一步：客户机的 TCP 首先向服务器端 TCP 发送连接请求报文段。这个特殊报文段的首部中的同步位 SYN 置 1，同时选择一个初始序号 seq=x。SYN 报文段不能携带数据，但要消耗掉一个序号。这时TCP 客户进程进入 SYN-SENT（同步已发送）状态
- 第二步：服务器端 TCP 收到连接请求报文段后，如同意建立连接，则向客户机发回确认，并为该 TCP 连接分配缓存和变量。在确认报文段中，把 SYN 位和 ACK 位都置 1，确认号是 ack=x+1，同时也为自己选择以后初始序号 seq=y。确认报文段不能携带数据，但也要消耗掉一个序号。这时，TCP服务器进程进入 SYN-RCVD（同步已发送）状态
- 第三步：当客户机收到确认报文段后，还要向服务器给出确认，并为该 TCP 连接分配缓存和变量。确认报文段的 ACK 位置 1，确认号 ack=y+1，序号 seq=x+1。该报文段可以携带数据，若不携带数据则不消耗序号。这时，TCP 客户进程进入 ESTABLISHED（已建立连接）状态
文件传送协议 FTP 的主要工作过程是怎样的？为什么说 FTP 是带外控制信息？主进程和从属进程各起什么作用？（谢书 6-05）
- 打开熟知端口 21（控制端口），使客户进程能够连接上。等待客户进程发送连接请求。启动从属进程来处理客户进程发来的请求。主进程与从属进程并发执行，从属进程对客户进程的请求处理完毕后即终止。回到等待状态，继续接收其他客户进程的请求
- 带外控制信息：FTP 使用了一个分离的控制连接，其控制信息不在数据连接中传送，而是在控制连接中传送
- 主进程负责接受新的请求；从属进程负责处理单个请求
名词解释：URL（模拟六）
- 为了使用户清楚的知道能够很方便的找到所需的信息，万维网使用统一资源定位符 URL 来标志万维网上的各种文档，并使每一个文档在这个因特网的范围内具有唯一的标识符 URL。
试分析用户访问 http://www.tsinghua.edu.cn/chn/index.htm 的过程。（模拟六）
- 浏览器分析链接指向页面的 URL（http://www.tsinghua edu.cn/chn/index.htm）。
- 浏览器向 DNS 请求解析 www.tsinghua.edu.cn 的 IP 地址。
- 域名系统 DNS 解析出清华大学服务器的IP地址。
- 浏览器与该服务器建立 TCP 连接（默认端口号为 80）。
- 浏览器发出 HTTP 请求: GET /chn/index.htm.
- 服务器通过 HTTP 响应把文件 index.htm 发送给浏览器。
- TCP 连接释放。
- 浏览器解释文件 index.htm，并将 Web 页显示给用户。
名词解释：DNS（模拟二）
- DNS用于把便于人们记忆的具有特点含义的主机名转换为便于机器处理的 IP 地址。DNS 系统采用客户/服务器模型，其协议运行在 UDP 上，使用 53 号端口
  计算机安全
给出计算机安全的定义
- 保证信息系统资产的机密性、完整性、可用性的措施和控制方法，其中资产包括硬件软件、固件以及要处理、存储和通信的信息
解释攻击面和攻击树之间的不同
- 攻击面是由系统中可到达的和可被利用的脆弱点构成的
- 攻击树是一个分支型、层次化的数据结构，表示了一系列潜在技术，这些技术可利用安全漏洞进行攻击
对称密码的基本要素是什么
- 明文、加密算法、秘密密钥、密文、解密算法
安全使用对称加密的两个基本要求是什么？
- 加密算法必须是足够强的
- 发送者和接收者必须在某种安全的形式下获得秘密密钥的副本并且保证密钥的安全
消息认证码（MAC）
- 利用秘密密钥来生成一个固定长度的短数据块
公钥密码体制的三种应用
- 数字签名：在公钥密码体制中，用私钥签名，公钥验证签名，便可以保证原始认证、数据完整性以及签名的不可抵赖性。
- 对称密钥分发：公钥证书由公钥证书加上公钥所有者的用户 ID 以及可信第三方签名的整个数据块组成，用来完成对称密钥的分发。
- 秘密密钥加密：在混合加密中，秘密密钥用来加解密消息，公钥私钥用来加解密秘密密钥
公钥密码体制的主要要素是什么？
- 明文、加密算法、公钥和私钥、密文、解密算法
私钥和秘密密钥的区别是什么？
- 应用于对称加密的密钥一般成为秘密密钥，应用于公钥加密的两个密钥称为公钥和私钥
为什么引入数字签名：
- 消息认证用于保护通信双方之间的数据交换不受第三方攻击；但并不能保证通信双方自身的相互攻击、欺骗。数字签名是附加在数据单元上的一些数据，或是对数据单元所做的密码变换。其能保证原始认证、数据完整性以及签名的不可抵赖性
什么是公钥证书？
- 是一种数字签名的声明，它将公钥的值绑定到持有对应私钥的个人、设备或服务的身份。
怎样利用公钥加密实现秘密密钥的分发？
- 一种方法是使用 Diffie－Hellman 密钥交换，另一种是发送方利用接收方的公钥来加密秘密密钥
口令受到的威胁：
- 离线字典攻击、特定账户攻击、常用口令攻击、单用户口令猜测、工作站劫持、利用用户疏漏、口令重复利用、电子监视
保护用户口令文件的两个常用方法是什么？
- 一种是使用标准的访问控制方法来控制对口令文件的访问，另一种是强制用户选择不容易被破解的口令
描述“挑战－应答协议”的原理
- 计算机系统会产生一个挑战信号，比如一个随机的数字串。智能令牌将会产生一个基于这个挑战信号的应答机制
盐值：
- 用户注册时、系统用来和用户密码进行组合产生的随机数值，这个随机数叫作 salt 值。用户名和密码应该以密文形式存在数据库中。
彩虹表：
- 攻击者产生出一个包括所有可能口令的较大的口令字典，对于口令字典中的每个口令，攻击者都要进行散列运算，产生的结果是一个巨大的散列值表，称为彩虹表。以空间代价换取时间代价。
在访问控制语境中，主体与客体的区别是什么？
- 主体：能够访问客体的实体。任何用户或应用实际上通过代表该用户或应用的进程进行代理。主体应该对他们发起的动作负责，可以用审计来记录主体与其施加在客体上的关系安全的动作之间的关联。
  - 三类主体：所有者，组，世界
- 客体：是外界对其访问受控制的资源。一般的，客体是一个用来包含或接收信息的实体
保护域：
- 保护域是一组客体对这些客体的访问权，根据访问矩阵的规定，一行定义一个保护域
数据库：
- 是存储一个或多个应用所用数据的结构化数据集合。除去数据，数据库还包含数据项之间以及数据项之间的关系
数据库管理系统 DBMS：
- 是创建、维护数据库并为多个用户和应用提供特定的查询服务的程序套件
数据库查询语言：
- 为用户和应用提供了访问数据库的统一接口
恶意软件的三种传播机制是什么？
- 对现有可执行程序的感染或由病毒翻译并随后传播至其他系统的内容
- 利用软件漏洞（无论是从本地发起或借助蠕虫、路过式下载等方式从网络发起）来允许恶意软件自我复制
- 借助社会工程学的方法说服用户绕过安全机制来安装木马或响应网络钓鱼
恶意软件所携带的四大类有效载荷是什么？
- 污染系统或数据文件
- 窃取服务使系统成为僵尸网络的一个僵尸代理
- 窃取系统信息，特别是登录口令和通过键盘记录器或间谍软件获取的机密信息
- 隐蔽恶意软件的存在以防止其被系统检测和锁定
病毒的性质：
- 计算机病毒是一种通过修改正常程序而进行感染的软件。这种修改包括向正常程序注入病毒代码来使病毒程序得到复制，这样就能继续感染其他正常程序。病毒可以实现组成程序所能实现的任何功能，它能够跟着宿主程序的运行而悄悄的运行，一旦病毒执行，它能够实现任何功能
宏病毒：
- 利用某些文档格式所支持的活动内容的新型病毒。宏病毒针对文档类文件，常支持在多种系统中运行
宏病毒的威胁性原因：
- 宏病毒有独立的平台
- 宏病毒感染的是文件而不是可执行部分的代码
- 宏病毒的传播很容易，因为它们所利用的文档通常是共享使用的
- 宏病毒感染的是用户文档而不是系统程序，所以传统文件系统的访问控制中防止其扩散方面的作用有限，因为用户需要修改它们
- 相比一传统的可执行病毒，宏病毒的修改或制造更简单
蠕虫
- 蠕虫是一种主动寻找并感染其他机器的程序，而每台被感染的机器又转而成为自动攻击其他机器的跳板
蠕虫与病毒的区别：
- 病毒可通过任何介质进行传播，蠕虫主要通过网络传播
- 病毒的自身拷贝必须嵌入到其他程序中来传播，蠕虫的自身拷贝都是以独立程序的形式传播
什么是路过式下载？它如何传播蠕虫？
- 用户浏览一个受攻击者控制的 Web 页面时，该页面包含的代码会攻击该浏览器的缺陷并在用户不知情的情况下向系统安装恶意软件。这里恶意软件不像蠕虫那样传播，而是等待那些无防备的用户浏览恶意的 Web 页面来传播
特洛伊木马
- 特洛伊木马是一个有用的或者表面上看起来有用的程序或命令过程，但其内部藏有恶意代码，当被调用时，会执行非预期的或有害的功能
逻辑炸弹
- 逻辑炸弹是嵌入在恶意软件中的代码，在特点条件满足时便会爆炸。它强调破坏作用本身，而实施破坏的程序不具有传染性
后门
- 后门（陷门）是进入程序的一个秘密入口，使得知情者不经过通常的安全访问程序而获取访问权限
拒绝服务攻击的定义：
- 拒绝服务是一种通过耗尽 CPU、内存、带宽以及磁盘空间等系统资源，来阻止或削弱对网络、系统或应用程序的授权使用的行为
哪些类型的资源被 DoS 攻击作为攻击目标？
- 网络带宽、系统资源、应用资源
SYN 欺骗：
- SYN 欺骗攻击通过造成服务器上用于管理 TCP 连接的连接表溢出，从而攻击网络服务器响应 TCP 连接请求的能力。
洪泛攻击的目标是什么？
- 使到服务器的链路超负荷，或使服务器处理和响应网络流量的能力超负荷
在通常的洪泛攻击当中，一般会使用什么样的数据包？
- 几乎任何类型的网络数据包都可以用来进行洪泛攻击，通常攻击数据包类型有：ICMP 数据包、UDP 数据包、TCP SYN 数据包
为什么很多的 DoS 攻击使用带有虚假源地址的数据包？
- 第一，由于攻击源很容易被清楚的识别，那么被发现和受到法律追究的可能性大大增加。
- 第二，目标系统会尽可能响应请求。每当服务器接收到一个 ICMP 回送请求，就会发送一个 ICMP 回送响应数据包给攻击者，这会将攻击反射给攻击源。尽管攻击者拥有较高的网络带宽而不至于被这些反送回来的 ICMP 回送响应数据包“反 ping 死”，但其网络性能也会被显著影响，并且加大了被发现并采取应对措施的可能。
什么是“后向散射流量”？它能为哪种 DoS 攻击提供信息？它不能为哪种 DoS 攻击提供信息？
- 定义：“后向散射流量”是响应具有伪造源地址的数据包而产生的呈发散状发送到网络上的响应数据包，如 ping 洪泛攻击中，目标系统为了响应 ICMP 回送请求数据报所产生的 ICMP 回送响应数据包就属于这种数据包。
- 作用：监视这些数据包可以为我们在判定攻击类型和攻击规模时提供有用信息。
- 它能为使用伪造源地址的各种单一或分布式洪泛攻击、SYN 欺骗攻击提供信息；但不能为不使用伪造源地址，或伪造源地址是目标地址的攻击提供信息，如反射攻击或放大攻击。
分布式拒绝服务攻击 DDoS
- 分布式拒绝服务（DDoS）攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台（将大量控制的僵尸机组合在一起形成一个僵尸网络），对一个或多个目标发动 DDoS 攻击，从而成倍的提高拒绝服务攻击的威力。
反射攻击
- 攻击者将想要攻击的目标系统地址作为数据包的源地址，并将这些数据包发送给中间媒介上的已知网络范围。当中间媒介响应时，大量的响应数据包发送给源地址所指向的目标系统。它能有效的使攻击从中间媒介反射出去
放大攻击
- 放大攻击是反射攻击的一个变种，但中间媒介对每个来自攻击者的初始数据包会产生多个响应数据包。攻击者可以发送初始请求包到某些网络的广播地址，那么这个网络上的所有主机都可能会对数据包中源地址所指向的主机进行响应，形成响应数据包洪泛流。
IDS（入侵检测）
- 一种硬件或软件功能，该功能用于收集和分析计算机或网络中各个区域的信息，以识别可能的安全入侵
IDS 三个逻辑组件：
- 传感器：传感器负责收集数据
- 分析器：分析器从一个或多个传感器或其他分析器接收输入。分析器负责确定是否发生入侵。
- 用户接口：IDS 的用户接口使用户能够查看系统输出或控制系统的行为
IDS 优点：
- 如果能快速的检测到入侵，就可以在损害发生或者数据受到威胁之前，将入侵者识别出来并将其逐出系统。即使未能及时的检测出入侵者，但越早检测到入侵，则对系统造成的损失越小，而且越容易进行快速的恢复
- 有效的 IDS 可以作为一个威慑，从而达到阻止入侵的目的
- 入侵检测可以收集关于入侵检测的信息，用于增强入侵防御系统的防护能力
异常检测
- 包括采集有关合法用户在某段时间内的行为数据，然后分析观察到的行为，以较高的置信度确定该行为是合法用户的行为还是入侵者的行为
特征或启发式检测
- 使用一组已知恶意数据模式（特征）或者攻击规则（启发式）组成的集合来与当前的行为进行比较，最终确定这是否是一个入侵者。
蜜罐
- 蜜罐是掩人耳目的系统，是为引诱潜在的攻击者远离关键系统而设计的
- 蜜罐的功能：
  - 转移攻击者对重要系统的访问
  - 收集有关攻击者活动的信息
  - 引诱攻击者在系统中逗留足够长的时间，以便于管理员对此攻击做出响应
- 蜜罐的分类：
  - 低交互蜜罐：由能够模拟特定 IT 服务或系统的软件包构成，但无法提供所模拟服务或系统的全部功能
  - 高交互蜜罐：带有一个完整操作系统、服务以及应用程序的真实系统，被部署在攻击者能够访问的地方
典型的包过滤防火墙使用了什么信息？
- 源 IP 地址、目的 IP 地址、源和目的端传输层地址、IP 协议域、接口
包过滤防火墙
- 根据过滤的规则来检查每个接收和发送的 IP 包，然后决定转发或者丢弃此包
包过滤防火墙弱点：
- 不检查更高层的数据，因此不能阻止利用了特定应用的漏洞或功能进行的攻击
- 可利用的信息有限，使得包过滤防火墙的日志记录功能有限
- 大多数包过滤防火墙不支持高级的用户认证机制
- 包过滤防火墙对利用 TCP/IP 规范和协议栈存在的问题进行的攻击没有很好的应对措施（如网络层地址欺骗攻击）
- 包过滤防火墙根据几个变量进行访问控制决策，因此不恰当的设置会引起包过滤防火墙的安全性受到威胁
状态检测防火墙
- 传统的包过滤器仅仅对单个数据包执行过滤判断，而不考虑更高层的上下文信息。状态检测防火墙通过建立一个出站 TCP 连接目录来强制执行 TCP 流量的规则。每个当前建立的连接都有一个条目，只有当数据包符合这个目录中的某项时，包过滤器才允许那些到达高端口号的入站流量通过
缓冲区溢出：
- 定义：缓冲区溢出是指接口的一种状况，此时大量的输入被放置到缓冲区或者数据存储区，超过了其所分配的存储能力，覆盖了其他信息。攻击者利用这样的状况破坏系统或者插入特别编制的代码，以获得系统的控制权。
- 目标：栈区、堆区、数据区
- 后果：程序使用的数据受到破坏、在程序中发送意外的控制权转移、可能的非法内存访问导致程序终止
shellcode：
- shellcode 是指机器代码，是与机器指令和数据值相对应的一串二进制值，而这些指令和数据值能够使攻击者实现期望的功能。通常它的功能是将控制权转移给一个用户的命令行解释器或者 shell。
shell 的约束条件：
- shellcode 必须是浮动地址，即不能包含属于它自己的绝对地址，因为攻击者一般不能预先准确确定在函数的栈帧里目标缓冲区设置在什么地方
- shellcode 不能包含任何 null 字符，没有 null 字符才能保证全部的 shellcode 能首先被复制到缓冲区。
NOP sled
- NOP(非操作)指令，这些指令包含在所需的 shell 代码之前，以帮助攻击者克服对 shell 精确地址缺乏了解的问题
NOP sled 作用：
- NOP sled 用多个 NOP 指令填充缓冲区前面的空间，因为这些指令什么都不做，攻击者能够指定进入这段代码使用的返回地址，攻击者能够维持 NOP 运行，不做任何操作，直到找到真正的 shellcode 的起始地址
软件质量和可靠性与软件安全的区别：
- 软件质量和可靠性关心的是一个查询是否意外出错，这些错误是由一些随机的未预料的输入、系统交互或者使用错误代码一起的，它们服从一些形式的概率分布。软件安全不同于软件质量和可靠性，攻击者不会依据一定的概率分布实施攻击，它们的目标是那些特殊利用的 bug，从而造成程序失败，这些 bug 经常能够通过一些罕见的输入被触发，因此一般的测试方法很难发现。软件安全关心的不是程序中 bug 的总数，而是这些 bug 是如何被触发导致程序失败的。
防御性程序设计：
- 防御性程序设计是一个软件设计与实现流程，目的是使生成的软件即使在面临攻击时仍然能够继续工作。如此编写而成的软件能够检测出由攻击所引发的错误条件，并能继续安全的执行；或者即使执行失败，也能优雅的“落地”。防御性程序设计的关键是绝不做任何假设，但是要检查所拥有的假设，并处理任何可能的错误状态。
注入攻击
- 注入攻击涉及多种与输入数据无效处理相关的程序缺陷，特别是程序输入能够有意或无意间影响到程序的执行流。
  - 命令注入攻击：使用的输入数据可以建立一个命令，随后通过拥有 Web 服务器特权的系统执行这个命令
  - SQL 注入：由用户提供的输入数据可以建立一个 SQL 请求，从数据库取回一些信息
  - 代码注入攻击：提供的输入包含被攻击的系统能够运行的代码
XSS 反射：
- 攻击者在提交给站点的数据中包含恶意的脚本代码，如果这个内容未经充分检查就显示给其他用户，而这些用户假设这个脚本是可以信任的，他们将执行这个脚本，访问与那些站点相关的任何数据
内存泄露：
- 程序需要使用内存的时候就动态分配，使用之后随机释放。如果一个程序没有正确管理这个过程，后果可能是堆区的可用内存逐步减少，直至完全用尽。
容器（容器虚拟化或应用程序虚拟化）
- 被称为虚拟化容器的软件运行在主机操作系统内核之上，并为应用程序提供一个隔离的执行环境
- 容器的目的不是模拟物理服务器，主机上所有的容器都共享一个共同的 OS 内核
TLS 连接、TLS 会话
- 连接：连接是一种能够提供合适服务类型的传输。这样的连接是点到点的连接关系，而且这些连接是瞬态的、暂时的。每一个连接都与一个会话关联
- 会话：TLS 会话是一个客户端和一个服务器之间的一种关联。会话由握手协议创建。所有会话都定义了一组密码安全参数，这些安全参数可以在多个连接之间共享。会话可以用来避免每个连接需要进行的、代价高昂的新的安全参数的协商过程
什么是 HTTPS？和 HTTP 有什么区别？
- HTTPS 是指 HTTP 和 SSL 的组合，用以实现 Web 浏览器和 Web 服务器之间的安全通信。
- Web 浏览器用户见到的主要区别是 URL（统一资源定位符）地址是以 https:// 开始而不是 http://。一般和 HTTP 连接使用 80 端口，而 HTTPS 规定使用 443 端口，这个端口可以调用 SSL。一旦使用 HTTPS，通信中下列元素将被加密：被请求文档的 URL；文档的内容、浏览器表单的内容、由浏览器发送到服务器和由服务器发送到浏览器的 cookie、HTTP 头的内容
安全关联 SA
- 关联是发送方和接收方之间的单向关系，该关联为两者间的通信流提供安全服务。如果需要双向安全关联，则需要建立两个安全关联。
IPSec中提供认证的两种方式：传输模式和隧道模式
- 传输模式：主要是针对上层的协议提供保护，也就是说，传输模式将保护扩展到 IP 包的载荷
- 隧道模式：隧道模式是对整个 IP 包提供保护，为实现该目标，在 ESP 域附在 IP 包之后，将整个包和安全域作为一个新的带有新的外部 IP 头的外部 IP 包的载荷处理。
公钥基础设施（PKI）
- 公钥基础设施（PKI）为基于非对称密码体制，用来生成、管理、存储、分配和撤销数字证书的一套硬件、软件、人员、策略和过程。开发一个 PKI 的主要目标是使安全、方便和高效获取公钥成为可能

940计算机网络与安全

940背诵

计算机网络

计算机安全