『壹』 綆榪扮綉緇滃畨鍏ㄧ殑涓昏佸唴瀹瑰強鍏墮噸瑕佹
緗戠粶瀹夊叏鐨勪富瑕佸唴瀹瑰寘鎷淇濇姢緗戠粶緋葷粺鐨勭‖浠躲佽蔣浠跺強鍏舵暟鎹涓嶅彈鍋剁劧鎴栨伓鎰忕殑鐮村潖銆佹洿鏀瑰拰娉勯湶錛岀『淇濈綉緇滅郴緇熺殑姝e父榪愯岋紝浠ュ強鎻愪緵榪炵畫鍙闈犵殑緗戠粶鏈嶅姟銆傚叾閲嶈佹у湪浜庣淮鎶や釜浜恆佷紒涓氬拰鍥藉剁殑淇℃伅瀹夊叏錛岄槻姝㈡暟鎹娉勯湶鍜岃儲浜ф崯澶憋紝淇濋殰紺句細縐╁簭鍜岀粡嫻庣ǔ瀹氬彂灞曘
棣栧厛錛岃╂垜浠鏇磋︾粏鍦頒簡瑙d竴涓嬬綉緇滃畨鍏ㄧ殑涓昏佸唴瀹廣傜綉緇滃畨鍏ㄦ秹鍙婂埌澶氫釜灞傞潰錛屽傜郴緇熷畨鍏ㄣ佹暟鎹瀹夊叏銆佸簲鐢ㄥ畨鍏ㄥ拰緗戠粶璁塊棶鎺у埗絳夈傜郴緇熷畨鍏ㄤ富瑕佸叧娉ㄥ備綍闃叉㈡湭緇忔巿鏉冪殑璁塊棶鍜岀牬鍧忥紝鍖呮嫭闃茬伀澧欒劇疆銆佸叆渚墊嫻嬬郴緇熺瓑錛涙暟鎹瀹夊叏鍒欎晶閲嶄簬淇濇姢鏁版嵁鐨勫畬鏁存с佷繚瀵嗘у拰鍙鐢ㄦэ紝閫氳繃鍔犲瘑銆佸囦喚絳夋墜孌靛疄鐜幫紱搴旂敤瀹夊叏鏃ㄥ湪紜淇濆簲鐢ㄧ▼搴忓厤鍙楁敾鍑伙紝鍑忓皯婕忔礊鍜岄庨櫓錛涚綉緇滆塊棶鎺у埗鍒欐槸瀵圭綉緇滆祫婧愯繘琛屽悎鐞嗗垎閰嶅拰綆$悊錛岄槻姝㈣祫婧愭互鐢ㄥ拰闈炴硶璁塊棶銆
鍏舵★紝緗戠粶瀹夊叏瀵逛簬涓浜恆佷紒涓氬拰鍥藉墮兘鍏鋒湁閲嶈佹剰涔夈傚逛簬涓浜鴻岃█錛岀綉緇滃畨鍏ㄥ叧緋誨埌闅愮佷繚鎶ゅ拰璐浜у畨鍏ㄣ備竴鏃︿釜浜轟俊鎮娉勯湶錛屽彲鑳戒細瀵艱嚧韜浠界洍紿冦佺綉緇滆瘓楠楃瓑涓ラ噸鍚庢灉銆傚逛簬浼佷笟鏉ヨ達紝緗戠粶瀹夊叏鏄淇濋殰鍏舵e父榪愯惀鍜屼笟鍔¤繛緇鎬х殑鍏抽敭銆備紒涓氱綉緇滀竴鏃﹀彈鍒版敾鍑繪垨鏁版嵁娉勯湶錛屼笉浠呬細閫犳垚緇忔祹鎹熷け錛岃繕鍙鑳藉獎鍝嶄紒涓氬0瑾夊拰瀹㈡埛淇′換銆傚逛簬鍥藉惰岃█錛岀綉緇滃畨鍏ㄦ洿鏄鍥藉跺畨鍏ㄧ殑閲嶈佺粍鎴愰儴鍒嗭紝娑夊強鍒板浗瀹舵満瀵嗐佸熀紜璁炬柦淇濇姢浠ュ強紺句細紼沖畾絳夋柟闈銆
姝ゅ栵紝闅忕潃浜掕仈緗戠殑鏅鍙婂拰鏁板瓧鍖栬繘紼嬬殑鍔犻燂紝緗戠粶瀹夊叏闂棰樹篃鏃ョ泭涓ュ郴銆傜綉緇滄敾鍑繪墜孌典笉鏂緲繪柊錛屽傚嫆緔㈣蔣浠躲侀挀楸兼敾鍑匯佸垎甯冨紡鎷掔粷鏈嶅姟錛圖DoS錛夋敾鍑葷瓑錛岀粰涓浜哄拰浼佷笟甯︽潵浜嗗法澶х殑瀹夊叏濞佽儊銆傚洜姝わ紝鍔犲己緗戠粶瀹夊叏闃叉姢鍜岀$悊鏄懼緱灝や負閲嶈併
鏈鍚庯紝涓轟簡鎻愰珮緗戠粶瀹夊叏鎬э紝鎴戜滑闇瑕侀噰鍙栦竴緋誨垪鎺鏂姐傝繖鍖呮嫭鍒跺畾瀹屽杽鐨勭綉緇滃畨鍏ㄧ瓥鐣ュ拰鍒跺害錛屽姞寮虹綉緇滃畨鍏ㄦ暀鑲插拰鍩硅錛屾彁楂樹漢浠鐨勭綉緇滃畨鍏ㄦ剰璇嗭紱閲囩敤鍏堣繘鐨勫畨鍏ㄦ妧鏈鍜屽伐鍏鳳紝濡傚姞瀵嗘妧鏈銆侀槻鐏澧欍佸叆渚墊嫻嬬郴緇熺瓑錛涘畾鏈熻繘琛屽畨鍏ㄦ紡媧炶瘎浼板拰婕旂粌錛屽強鏃跺彂鐜板拰淇澶嶆綔鍦ㄧ殑瀹夊叏椋庨櫓錛涘姞寮哄浗闄呭悎浣滃拰浜ゆ祦錛屽叡鍚屽簲瀵圭綉緇滃畨鍏ㄦ寫鎴樸
鎬諱箣錛岀綉緇滃畨鍏ㄦ槸褰撲粖紺句細涓嶅彲蹇借嗙殑閲嶈侀棶棰樸傞氳繃娣卞叆浜嗚В緗戠粶瀹夊叏鐨勪富瑕佸唴瀹瑰拰閲嶈佹э紝浠ュ強閲囧彇鐩稿簲鐨勯槻鎶ゆ帾鏂藉拰綆$悊絳栫暐錛屾垜浠鍙浠ユ洿濂藉湴淇濇姢涓浜恆佷紒涓氬拰鍥藉剁殑淇℃伅瀹夊叏錛屼績榪涙暟瀛楃粡嫻庣殑鍋ュ悍鍙戝睍鍜岀ぞ浼氱ǔ瀹氥
『貳』 簡述網路的安全威脅主要有哪些
網路系統面臨的典型威脅主要有:竊聽、重傳、偽造、篡改、非授權訪問、拒絕服務攻擊、行為否認、旁路控制、電磁/射頻截獲、人為疏忽。
計算機網路安全的目標:保密性、完整性、可用性、不可否認性、可控性。
網路安全的主要技術:物理安全措施、數據傳輸安全技術、內外網隔離技術、入侵檢測技術、訪問控制技術、審計技術、安全性檢測技術、防病毒技術、備份技術、終端安全技術。
(2)網路安全的簡述題擴展閱讀:
網路的主要功能就是資源共享。共享的資源包括軟體資源、硬體資源以及存儲在公共資料庫中的各類數據資源。網上用戶能部分或全部地共享這些資源,使網路中的資源能夠互通有無、分工協作,從而大大提高系統資源的利用率。
分布在不同地區的計算機系統,可以通過網路及時、高速地傳遞各種信息,交換數據,發送電子郵件,使人們之間的聯系更加緊密。
在網路中,由於計算機之間是互相協作、互相備份的關系,以及在網路中採用一些備份的設備和一些負載調度、數據容錯等技術,使得當網路中的某一部分出現故障時,網路中其他部分可以自動接替其任務。
『叄』 網路安全題,幫忙答下,謝謝
最佳答案 入侵攻擊 可以說當前是一個進行攻擊的黃金時期,很多的系統都很脆弱並且很容易受到攻擊,所以這是一個成為黑客的大好時代,可讓他們利用的方法和工具是如此之多!在此我們僅對經常被使用的入侵攻擊手段做一討論。 【 拒絕服務攻擊 】 拒絕服務攻擊(Denial of Service, DoS)是一種最悠久也是最常見的攻擊形式。嚴格來說,拒絕服務攻擊並不是某一種具體的攻擊方式,而是攻擊所表現出來的結果,最終使得目標系統因遭受某種程度的破壞而不能繼續提供正常的服務,甚至導致物理上的癱瘓或崩潰。具體的操作方法可以是多種多樣的,可以是單一的手段,也可以是多種方式的組合利用,其結果都是一樣的,即合法的用戶無法訪問所需信息。 通常拒絕服務攻擊可分為兩種類型。 第一種是使一個系統或網路癱瘓。如果攻擊者發送一些非法的數據或數據包,就可以使得系統死機或重新啟動。本質上是攻擊者進行了一次拒絕服務攻擊,因為沒有人能夠使用資源。以攻擊者的角度來看,攻擊的刺激之處在於可以只發送少量的數據包就使一個系統無法訪問。在大多數情況下,系統重新上線需要管理員的干預,重新啟動或關閉系統。所以這種攻擊是最具破壞力的,因為做一點點就可以破壞,而修復卻需要人的干預。 第二種攻擊是向系統或網路發送大量信息,使系統或網路不能響應。例如,如果一個系統無法在一分鍾之內處理100個數據包,攻擊者卻每分鍾向他發送1000個數據包,這時,當合法用戶要連接系統時,用戶將得不到訪問權,因為系統資源已經不足。進行這種攻擊時,攻擊者必須連續地向系統發送數據包。當攻擊者不向系統發送數據包時,攻擊停止,系統也就恢復正常了。此攻擊方法攻擊者要耗費很多精力,因為他必須不斷地發送數據。有時,這種攻擊會使系統癱瘓,然而大多多數情況下,恢復系統只需要少量人為干預。 這兩種攻擊既可以在本地機上進行也可以通過網路進行。 ※ 拒絕服務攻擊類型 1 Ping of Death 根據TCP/IP的規范,一個包的長度最大為65536位元組。盡管一個包的長度不能超過65536位元組,但是一個包分成的多個片段的疊加卻能做到。當一個主機收到了長度大於65536位元組的包時,就是受到了Ping of Death攻擊,該攻擊會造成主機的宕機。 2 Teardrop IP數據包在網路傳遞時,數據包可以分成更小的片段。攻擊者可以通過發送兩段(或者更多)數據包來實現TearDrop攻擊。第一個包的偏移量為0,長度為N,第二個包的偏移量小於N。為了合並這些數據段,TCP/IP堆棧會分配超乎尋常的巨大資源,從而造成系統資源的缺乏甚至機器的重新啟動。 3 Land 攻擊者將一個包的源地址和目的地址都設置為目標主機的地址,然後將該包通過IP欺騙的方式發送給被攻擊主機,這種包可以造成被攻擊主機因試圖與自己建立連接而陷入死循環,從而很大程度地降低了系統性能。 4 Smurf 該攻擊向一個子網的廣播地址發一個帶有特定請求(如ICMP回應請求)的包,並且將源地址偽裝成想要攻擊的主機地址。子網上所有主機都回應廣播包請求而向被攻擊主機發包,使該主機受到攻擊。 5 SYN flood 該攻擊以多個隨機的源主機地址向目的主機發送SYN包,而在收到目的主機的SYN ACK後並不回應,這樣,目的主機就為這些源主機建立了大量的連接隊列,而且由於沒有收到ACK一直維護著這些隊列,造成了資源的大量消耗而不能向正常請求提供服務。 6 CPU Hog 一種通過耗盡系統資源使運行NT的計算機癱瘓的拒絕服務攻擊,利用Windows NT排定當前運行程序的方式所進行的攻擊。 7 Win Nuke 是以拒絕目的主機服務為目標的網路層次的攻擊。攻擊者向受害主機的埠139,即netbios發送大量的數據。因為這些數據並不是目的主機所需要的,所以會導致目的主機的死機。 8 RPC Locator 攻擊者通過telnet連接到受害者機器的埠135上,發送數據,導致CPU資源完全耗盡。依照程序設置和是否有其他程序運行,這種攻擊可以使受害計算機運行緩慢或者停止響應。無論哪種情況,要使計算機恢復正常運行速度必須重新啟動。 ※ 分布式拒絕服務攻擊 分布式拒絕服務攻擊(DDoS)是攻擊者經常採用而且難以防範的攻擊手段。DDoS攻擊是在傳統的DoS攻擊基礎之上產生的一類攻擊方式。單一的DoS攻擊一般是採用一對一方式的,當攻擊目標CPU速度低、內存小或者網路帶寬小等等各項性能指標不高它的效果是明顯的。隨著計算機與網路技術的發展,計算機的處理能力迅速增長,內存大大增加,同時也出現了千兆級別的網路,這使得DoS攻擊的困難程度加大了 目標對惡意攻擊包的"消化能力"加強了不少,例如你的攻擊軟體每秒鍾可以發送3,000個攻擊包,但我的主機與網路帶寬每秒鍾可以處理10,000個攻擊包,這樣一來攻擊就不會產生什麼效果。所以分布式的拒絕服務攻擊手段(DDoS)就應運而生了。如果用一台攻擊機來攻擊不再能起作用的話,攻擊者就使用10台、100台…攻擊機同時攻擊。 DDoS就是利用更多的傀儡機來發起進攻,以比從前更大的規模來進攻受害者。 高速廣泛連接的網路也為DDoS攻擊創造了極為有利的條件。在低速網路時代時,黑客佔領攻擊用的傀儡機時,總是會優先考慮離目標網路距離近的機器,因為經過路由器的跳數少,效果好。而現在電信骨幹節點之間的連接都是以G為級別的,大城市之間更可以達到2.5G的連接,這使得攻擊可以從更遠的地方或者其他城市發起,攻擊者的傀儡機位置可以在分布在更大的范圍,選擇起來更靈活了。 一個比較完善的DDoS攻擊體系分成四大部分: 攻擊者所在機 控制機(用來控制傀儡機) 傀儡機 受害者 先來看一下最重要的控制機和傀儡機:它們分別用做控制和實際發起攻擊。請注意控制機與攻擊機的區別,對受害者來說,DDoS的實際攻擊包是從攻擊傀儡機上發出的,控制機只發布命令而不參與實際的攻擊。對控制機和傀儡機,黑客有控制權或者是部分的控制權,並把相應的DDoS程序上傳到這些平台上,這些程序與正常的程序一樣運行並等待來自黑客的指令,通常它還會利用各種手段隱藏自己不被別人發現。在平時,這些傀儡機器並沒有什麼異常,只是一旦黑客連接到它們進行控制,並發出指令的時候,攻擊傀儡機就成為害人者去發起攻擊了。 "為什麼黑客不直接去控制攻擊傀儡機,而要從控制傀儡機上轉一下呢?"。這就是導致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度來說,肯定不願意被捉到,而攻擊者使用的傀儡機越多,他實際上提供給受害者的分析依據就越多。在佔領一台機器後,高水平的攻擊者會首先做兩件事:1.考慮如何留好後門,2. 如何清理日誌。這就是擦掉腳印,不讓自己做的事被別人查覺到。比較初級的黑客會不管三七二十一把日誌全都刪掉,但這樣的話網管員發現日誌都沒了就會知道有人幹了壞事了,頂多無法再從日誌發現是誰乾的而已。相反,真正的好手會挑有關自己的日誌項目刪掉,讓人看不到異常的情況。這樣可以長時間地利用傀儡機。但是在攻擊傀儡機上清理日誌實在是一項龐大的工程,即使在有很好的日誌清理工具的幫助下,黑客也是對這個任務很頭痛的。這就導致了有些攻擊機弄得不是很乾凈,通過它上面的線索找到了控制它的上一級計算機,這上級的計算機如果是黑客自己的機器,那麼他就會被揪出來了。但如果這是控制用的傀儡機的話,黑客自身還是安全的。控制傀儡機的數目相對很少,一般一台就可以控制幾十台攻擊機,清理一台計算機的日誌對黑客來講就輕松多了,這樣從控制機再找到黑客的可能性也大大降低。 ※ 拒絕服務攻擊工具 Targa 可以進行8種不同的拒絕服務攻擊,作者是Mixter,可以在[url] http://packerstorm.security.com[/url]和[url]www.rootshell.com[/url]網站下載。Mixter把獨立的dos攻擊代碼放在一起,做出一個易用的程序。攻擊者可以選擇進行單個的攻擊或嘗試所有的攻擊,直到成功為止。 FN2K DDOS工具。可以看作是Traga加強的程序。TFN2K運行的DOS攻擊與Traga相同,並增加了5種攻擊。另外,它是一個DDOS工具,這意味著它可以運行分布模式,即Internet上的幾台計算機可以同時攻擊一台計算機和網路。Trinoo DDOS工具,是發布最早的主流工具,因而功能上與TFN2K比較不是那麼強大。Trinoo使用tcp和udp,因而如果一個公司在正常的基礎上用掃描程序檢測埠,攻擊程序很容易被檢測到。 Stacheldraht Stacheldraht是另一個DDOS攻擊工具,它結合了TFN與trinoo的特點,並添加了一些補充特徵,如加密組件之間的通信和自動更新守護進程。
『肆』 計算機網路安全的簡答題目
1.(1)防火牆把未授權用戶排除到受保護的網路之外,禁止危及安全的服務 進入或離開網路,防止各種IP盜用和路由攻擊。
(2)防火牆可以監視與安全有關的事件。
(3)防火牆可以為幾種與安全無關的網際網路服務提供方便的平台。
(4)防火牆可以作為IPSec的平台。
2.明文:需要隱藏的消息。
密文:明文被變換成另一種隱藏的形式就稱為密文。
密鑰:決定從明文到密文的映射,加密演算法使用的密鑰為加密密鑰,解密演算法使用的密鑰為解密密鑰。
加密演算法:對明文進行加密時採用的一組規則。
解密演算法:對密文解密時採用的一種規則。
3.入侵檢測技術的原理:
(1)監視、分析用戶及系統活動;
(2)系統構造和弱點的審計;
(3)識別反映已知進攻的活動模式並向相關人士報警;
(4)異常行為模式的統計分析;
(5)評估重要系統和數據文件的完整性;
(6)操作系統的審計跟蹤管理,並識別用戶違反安全策略的行為。
4.計算機病毒:是一種能夠通過修改其他程序而「感染」它們的一種程序,修改後的程序裡麵包含了病毒程序的一個副本,能夠繼續感染其他程序。
5
技術發展趨勢分析
1.防火牆技術發展趨勢
在混合攻擊肆虐的時代,單一功能的防火牆遠不能滿足業務的需要,而具備多種安全功能,基於應用協議層防禦、低誤報率檢測、高可靠高性能平台和統一組件化管理的技術,優勢將得到越來越多的體現,UTM(UnifiedThreatManagement,統一威脅管理)技術應運而生。
從概念的定義上看,UTM既提出了具體產品的形態,又涵蓋了更加深遠的邏輯范疇。從定義的前半部分來看,很多廠商提出的多功能安全網關、綜合安全網關、一體化安全設備都符合UTM的概念;而從後半部分來看,UTM的概念還體現了經過多年發展之後,信息安全行業對安全管理的深刻理解以及對安全產品可用性、聯動能力的深入研究。
UTM的功能見圖1.由於UTM設備是串聯接入的安全設備,因此UTM設備本身必須具備良好的性能和高可靠性,同時,UTM在統一的產品管理平台下,集防火牆、VPN、網關防病毒、IPS、拒絕服務攻擊等眾多產品功能於一體,實現了多種防禦功能,因此,向UTM方向演進將是防火牆的發展趨勢。UTM設備應具備以下特點。
(1)網路安全協議層防禦。防火牆作為簡單的第二到第四層的防護,主要針對像IP、埠等靜態的信息進行防護和控制,但是真正的安全不能只停留在底層,我們需要構建一個更高、更強、更可靠的牆,除了傳統的訪問控制之外,還需要對垃圾郵件、拒絕服務、黑客攻擊等外部威脅起到綜合檢測和治理的作用,實現七層協議的保護,而不僅限於第二到第四層。
(2)通過分類檢測技術降低誤報率。串聯接入的網關設備一旦誤報過高,將會對用戶帶來災難性的後果。IPS理念在20世紀90年代就已經被提出,但是目前全世界對IPS的部署非常有限,影響其部署的一個重要問題就是誤報率。分類檢測技術可以大幅度降低誤報率,針對不同的攻擊,採取不同的檢測技術,比如防拒絕服務攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊、防違規簡訊攻擊等,從而顯著降低誤報率。
(3)有高可靠性、高性能的硬體平台支撐。
(4)一體化的統一管理。由於UTM設備集多種功能於一身,因此,它必須具有能夠統一控制和管理的平台,使用戶能夠有效地管理。這樣,設備平台可以實現標准化並具有可擴展性,用戶可在統一的平台上進行組件管理,同時,一體化管理也能消除信息產品之間由於無法溝通而帶來的信息孤島,從而在應對各種各樣攻擊威脅的時候,能夠更好地保障用戶的網路安全。
6物理層
物理層的主要任務是實現通信雙方的物理連接,以比特流(bits)的形式傳送數據信息,並向數據鏈路層提供透明的傳輸服務。
物理層是構成計算機網路的基礎,所有的通信設備、主機都需要通過物理線路互聯。物理層建立在傳輸介質的基礎上,是系統和傳輸介質的物理介面,它是OSI模型的最低層。
7..網路安全的主要技術:加密技術、認證技術、防火牆技
8計算機病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,並能自我復制的一組計算機指令或者程序代碼。寄生性,傳染性,潛伏性,隱蔽性,破壞性。
9.計算機網路安全設計遵循的基本原則:整體原則、有效性有效性與實用性原則、安全評價性原則、等級性原則、動態化原則