网络安全倍受关注,网络安全设备的性能也引起用户广泛的重视:在许多企业的网络中,防火墙处于内网与外网唯一联系的“咽喉要道”,很容易成为整个网络的性能瓶颈;VPN的使用变得越来越频繁,而且,通过VPN传送的大多为关键数据,用户对于VPN的性能十分在意。 防火墙在实际使用时一般都会工作在多条防火墙规则条件下, 清华紫光比威UF3500的防火墙性能下降比较显着,64字节包长的吞吐量下降为原来的1/3左右,延迟也有不同程度的增加。而对于其他大多数参测设备来讲,设置的1000条规则对防火墙性能几乎没有产生什么影响,所得结果与一条规则的大致一样。D-Link DFL-1500的所有结果与一条规则下的都相差不超过1%,是所有产品中1000条规则对其性能影响最小的一款。
对于防火墙来说,最能够体现其安全性和保护功能的便是它的防攻击能力。性能优良的防火墙设备能够阻拦外部的恶意攻击,同时还能够使内网正常地与外界通信,对外提供服务。随着宽带以太网建设规模的迅速扩大,网络上原有的认证系统已经不能很好的适应用户数量急剧增加和宽带业务多样性的要求。IEEE802.1x协议具有完备的用户认证、管理功能,可以很好地支撑宽带网络的计费、安全、运营和管理要求,对宽带IP城域网等电信级网络的运营和管理具有极大的优势。IEEE802.1x协议对认证方式和认证体系结构上进行了优化,解决了传统PPPOE和WEB/PORTAL认证方式带来的问题,更加适合在宽带以太网中的使用。
㈡ 我想学习网络安全防护方面的知识
景程华瑞(北京)科技有限公司
入侵攻击
可以说当前是一个进行攻击的黄金时期,很多的系统都很脆弱并且很容易受到攻击,所以这是一个成为黑客的大好时代,可让他们利用的方法和工具是如此之多!在此我们仅对经常被使用的入侵攻击手段做一讨论。
【 拒绝服务攻击 】
拒绝服务攻击(Denial of Service, DoS)是一种最悠久也是最常见的攻击形式。严格来说,拒绝服务攻击并不是某一种具体的攻击方式,而是攻击所表现出来的结果,最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务,甚至导致物理上的瘫痪或崩溃。具体的操作方法可以是多种多样的,可以是单一的手段,也可以是多种方式的组合利用,其结果都是一样的,即合法的用户无法访问所需信息。
通常拒绝服务攻击可分为两种类型。
第一种是使一个系统或网络瘫痪。如果攻击者发送一些非法的数据或数据包,就可以使得系统死机或重新启动。本质上是攻击者进行了一次拒绝服务攻击,因为没有人能够使用资源。以攻击者的角度来看,攻击的刺激之处在于可以只发送少量的数据包就使一个系统无法访问。在大多数情况下,系统重新上线需要管理员的干预,重新启动或关闭系统。所以这种攻击是最具破坏力的,因为做一点点就可以破坏,而修复却需要人的干预。
第二种攻击是向系统或网络发送大量信息,使系统或网络不能响应。例如,如果一个系统无法在一分钟之内处理100个数据包,攻击者却每分钟向他发送1000个数据包,这时,当合法用户要连接系统时,用户将得不到访问权,因为系统资源已经不足。进行这种攻击时,攻击者必须连续地向系统发送数据包。当攻击者不向系统发送数据包时,攻击停止,系统也就恢复正常了。此攻击方法攻击者要耗费很多精力,因为他必须不断地发送数据。有时,这种攻击会使系统瘫痪,然而大多多数情况下,恢复系统只需要少量人为干预。
这两种攻击既可以在本地机上进行也可以通过网络进行。
※ 拒绝服务攻击类型
1 Ping of Death
根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。
2 Teardrop
IP数据包在网络传递时,数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。
3 Land
攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。
4 Smurf
该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。
5 SYN flood
该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。
6 CPU Hog
一种通过耗尽系统资源使运行NT的计算机瘫痪的拒绝服务攻击,利用Windows NT排定当前运行程序的方式所进行的攻击。
7 Win Nuke
是以拒绝目的主机服务为目标的网络层次的攻击。攻击者向受害主机的端口139,即netbios发送大量的数据。因为这些数据并不是目的主机所需要的,所以会导致目的主机的死机。
8 RPC Locator
攻击者通过telnet连接到受害者机器的端口135上,发送数据,导致CPU资源完全耗尽。依照程序设置和是否有其他程序运行,这种攻击可以使受害计算机运行缓慢或者停止响应。无论哪种情况,要使计算机恢复正常运行速度必须重新启动。
※ 分布式拒绝服务攻击
分布式拒绝服务攻击(DDoS)是攻击者经常采用而且难以防范的攻击手段。DDoS攻击是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了 目标对恶意攻击包的"消化能力"加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。所以分布式的拒绝服务攻击手段(DDoS)就应运而生了。如果用一台攻击机来攻击不再能起作用的话,攻击者就使用10台、100台…攻击机同时攻击。
DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
高速广泛连接的网络也为DDoS攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。
一个比较完善的DDoS攻击体系分成四大部分:
攻击者所在机
控制机(用来控制傀儡机)
傀儡机
受害者
先来看一下最重要的控制机和傀儡机:它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别,对受害者来说,DDoS的实际攻击包是从攻击傀儡机上发出的,控制机只发布命令而不参与实际的攻击。对控制机和傀儡机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。
"为什么黑客不直接去控制攻击傀儡机,而要从控制傀儡机上转一下呢?"。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说,肯定不愿意被捉到,而攻击者使用的傀儡机越多,他实际上提供给受害者的分析依据就越多。在占领一台机器后,高水平的攻击者会首先做两件事:1.考虑如何留好后门,2. 如何清理日志。这就是擦掉脚印,不让自己做的事被别人查觉到。比较初级的黑客会不管三七二十一把日志全都删掉,但这样的话网管员发现日志都没了就会知道有人干了坏事了,顶多无法再从日志发现是谁干的而已。相反,真正的好手会挑有关自己的日志项目删掉,让人看不到异常的情况。这样可以长时间地利用傀儡机。但是在攻击傀儡机上清理日志实在是一项庞大的工程,即使在有很好的日志清理工具的帮助下,黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净,通过它上面的线索找到了控制它的上一级计算机,这上级的计算机如果是黑客自己的机器,那么他就会被揪出来了。但如果这是控制用的傀儡机的话,黑客自身还是安全的。控制傀儡机的数目相对很少,一般一台就可以控制几十台攻击机,清理一台计算机的日志对黑客来讲就轻松多了,这样从控制机再找到黑客的可能性也大大降低。
※ 拒绝服务攻击工具
Targa
可以进行8种不同的拒绝服务攻击,作者是Mixter,可以在[url]http://packerstorm.security.com[/url]和[url]www.rootshell.com[/url]网站下载。Mixter把独立的dos攻击代码放在一起,做出一个易用的程序。攻击者可以选择进行单个的攻击或尝试所有的攻击,直到成功为止。
FN2K
DDOS工具。可以看作是Traga加强的程序。TFN2K运行的DOS攻击与Traga相同,并增加了5种攻击。另外,它是一个DDOS工具,这意味着它可以运行分布模式,即Internet上的几台计算机可以同时攻击一台计算机和网络。Trinoo
DDOS工具,是发布最早的主流工具,因而功能上与TFN2K比较不是那么强大。Trinoo使用tcp和udp,因而如果一个公司在正常的基础上用扫描程序检测端口,攻击程序很容易被检测到。
Stacheldraht
Stacheldraht是另一个DDOS攻击工具,它结合了TFN与trinoo的特点,并添加了一些补充特征,如加密组件之间的通信和自动更新守护进程。
㈢ cyber安全和网络安全的区别
无线局域网被认为是一种不可*的网络,除了加强网络管理以外,更需要测试设备的构建、实施、维护和管理尽管IT的寒冬还未渡过,但WLAN以其便利的安装、使用,高速的接入速度,可移动的接入方式赢得了众多公司、政府、个人以及电信运营商的青睐。但WLAN中,由于传送的数据是利用无线电波在空中辐射传播,无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备,数据安全也就成为最重要的问题。问题一容易侵入无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。解决方案:加强网络访问控制容易访问不等于容易受到攻击。一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏,当然通过强大的网络访问控制可以减少无线网络配置的风险。如果将AP安置在像防火墙这样的网络安全设备的外面,最好考虑通过VPN技术连接到主干网络,更好的法是使用基于IEEE802.1x的新的无线网络产品。IEEE802.1x定义了用户级认证的新的帧的类型,借助于企业网已经存在的用户数据库,将前端基于IEEE802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。问题二非法的AP无线局域网易于访问和配置简单的特性,使网络管理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的AP,不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网,用户通过非法AP接入给网络带来很大安全隐患。解决方案:定期进行的站点审查像其他许多网络一样,无线网络在安全管理方面也有相应的要求。在入侵者使用网络之前通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率,但是这样会花费很多的时间并且移动性很差。一种折衷的法是选择小型的手持式检测设备。管理员可以通过手持扫描设备随时到网络的任何位置进行检测。问题三未经授权使用服务一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式,未经授权擅自使用网络资源不仅会增加带宽费用,更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款,可能会导致ISP中断服务。解决方案:加强安全认证最好的防御方法就是阻止未被认证的用户进入网络,由于访问特权是基于用户身份的,所以通过加密法对认证过程进行加密是进行认证的前提,通过VPN技术能够有效地保护通过电波传输的网络流量。一旦网络成功配置,严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试,以确保网络设备使用了安全认证机制,并确保网络设备的配置正常。问题四服务和性能的限制无线局域网的传输带宽是有限的,由于物理层的开销,使无线局域网的实际最高有效吞吐量仅为标准的一半,并且该带宽是被AP所有用户共享的。无线带宽可以被几种方式吞噬:来自有线网络远远超过无线网络带宽的网络流量,如果攻击者从快速以太网发送大量的Ping流量,就会轻易地吞噬AP有限的带宽;如果发送广播流量,就会同时阻塞多个AP;攻击者可以在同无线网络相同的无线信道内发送信号,这样被攻击的网络就会通过CSMA/CA机制进行自动适应,同样影响无线网络的传输;另外,传输较大的数据文件或者复杂的client/server系统都会产生很大的网络流量。解决方案:网络检测定位性能故障应当从监测和发现问题入手,很多AP可以通过SNMP报告统计信息,但是信息十分有限,不能反映用户的实际问题。而无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识别网络速率、帧的类型,帮助进行故障定位。问题五地址欺骗和会话拦截由于802.11无线局域网对数据帧不进行认证*作,攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱,通过非常简单的方法,攻击者可以轻易获得网络中站点的MAC地址,这些地址可以被用来恶意攻击时使用。除攻击者通过欺骗帧进行攻击外,攻击者还可以通过截获会话帧发现AP中存在的认证缺陷,通过监测AP发出的广播帧发现AP的存在。然而,由于802.11没有要求AP必须证明自己真是一个AP,攻击者很容易装扮成AP进入网络,通过这样的AP,攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11MAC帧进行认证的技术前,通过会话拦截实现的网络入侵是无法避免的。解决方案:同重要网络隔离在802.11i被正式批准之前,MAC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。问题六流量分析与流量侦听802.11无法防止攻击者采用被动方式监听网络流量,而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前,WEP有漏洞可以被攻击者利用,它仅能保护用户和网络通信的初始数据,并且管理和控制帧是不能被WEP加密和认证的,这样就给攻击者以欺骗帧中止网络通信提供了机会。早期,WEP非常容易被Airsnort、WEPcrack一类的工具解密,但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩展,最新的无线局域网产品的防护功能更进了一步,利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。解决方案:采用可*的协议进行加密如果用户的无线网络用于传输比较敏感的数据,那么仅用WEP加密方式是远远不够的,需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。问题七高级入侵一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳,以防止非法攻击,但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干,但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络,同样也会使网络暴露出来从而遭到攻击。解决方案:隔离无线网络和核心网络由于无线网络非常容易受到攻击,因此被认为是一种不可*的网络。很多公司把无线网络布置在诸如休息室、培训教室等公共区域,作为提供给客人的接入方式。应将网络布置在核心网络防护外壳的外面,如防火墙的外面,接入访问核心网络采用VPN方式。无线局域网安全性作者:unknown更新时间:2005-03-20前言即使无线局域网络的系统管理者使用了内置的安全通讯协议:WEP(WiredEquivalentPrivacy),无线局域网的安全防护仍然不够。在伦敦一项长达7个月的调查显示,94%的无线局域网都没有正确设定,无法遏止黑客的入侵。隶属于国际商会()的网络犯罪部门(CybercrimeUnit)就发现,即使无线网络很安全,也会因为种种原因而大打折扣。现在非常盛行“路过式的入侵(drive-byhacking)”,黑客开车进入商业公区,在信号所及的地方,直接在车里渗透企业的无线局域网。(美国加州柏克莱大学)的三名研究人员,NikitaBorisov、IanGoldberg、以及DabidWagner,在去年发现WEP编码的重大漏洞;除此之外,在2001年8月,密码学家ScottFluhrer、ItsikMantin、以及AdiShamir在一篇论文中,指出了RC4编码的缺点,而RC4正是WEP的基础。就在几天后,2001年8月底,RiceUniversity(美国莱斯大学)的学生与两名AT&T(美国电报电话公司)实验室的员工(AdamStubblefield与JohnJoannidis、AvielD.Rubin),将这两篇论文的内容化为实际的程序代码。令人惊讶的是,其中完全没有牵扯到任何特殊装置,你只要有一台可以连上无线网络的个人计算机,从网络上下载更新过的驱动程序,接下来就可以开始记录网络上来往的所有封包,再加以译码即可。WEP的运作方式在许多无线局域网中,WEP键值(key)被描述成一个字或位串,用来给整个网络做认证。目前WEP使用2种编码大小,分别是64与128位,其中包含了24位的初始向量(IV,InitializationVector)与实际的秘密键值(40与104位)。大家耳熟能详的40位编码模式,其实相当于64位编码。这标准中完全没有考虑到键值的管理问题;唯一的要求是,无线网卡与基地台必须使用同样的算法则。通常局域网的每一个用户都会使用同样的加密键值;然而,局域网用户会使用不同的IV,以避免封包总是使用同样WEP键值所“随机”产生的RC4内容。在封包送出之前,会经过一个“忠诚检查(IC,IntegrityCheck)”,并产生一个验证码,其作用是避免数据在传输过程中,遭到黑客窜改。RC4接下来会从秘密键值与IV处,产生一个keystream,再用这个keystream对数据与IC做互斥运算(XOR,Exclusive-Or)。首先IV会以一般文字方式传送出去,然后才是加密后的数据。只要将IV、已知的键值、以及RC4的keystream再做一次互斥运算,我们就可以将数据还原。弱点:初始向量(IV,InitializationVector)40或64位编码可以填入4组键值;然而我们只使用了第一组。WEP编码的弱点在于IV实作的基础过于薄弱。例如说,如果黑客将两个使用同样IV的封包记录起来,再施以互斥运算,就可以得到IV的值,然后算出RC4的值,最后得到整组数据。如果我们使用的初始向量为24位,那我们就可以在繁忙的网络点上(例如以11Mbps的频宽,不断传送1500字节的封包),以不到5小时的时间算出结果。以这样的例子来说,总数据量为24GB。因此,要在几小时的时间内,记录所有传输的封包,并以笔记本计算机算出其结果,是绝对可行的事情。由于该标准并没有规定IV所产生的相关事宜,所以并不是每家厂商都用到IV的24个位,并在短时间内就重复用到相同的IV,好让整个程序快一点。所以黑客所要记录的封包就更少了。以Lucent(朗讯)的无线网卡来说,每次激活时它就会将IV的初始值设为0,然后再往上递增。黑客只要记录无线网络上几个用户的数据内容,马上就可以找到使用同样IV的封包。Fluhrer、Martin、Shamir三人也发现,设计不良的IV有可能会泄漏键值的内容(信心水准为5%),所以说只要记录400~600万个封包(顶多8.5GB的数据量),就有可能以IV来算出所有的WEP键值。更进一步探讨,如果WEP键值的组合不是从16进位表,而是从ASCII表而来,那么因为可用的字符数变少,组合也会变少。那么被黑客猜中的机率就会大增,只要一两百万个封包,就可以决定WEP的值。网络上可找到的入侵工具AdamStubblefield在其论文中详尽的描述了整个过程,却仅限于理论;但现在网络上四处可见这些免费的入侵工具程序。与Stubblefield所提的类似,所有程序支持的几乎清一色是Prism-2芯片。使用这芯片的包括了Compaq(康柏)WL100、友讯(D-Link)DWL-650、LinksysWPC11、以及SMC2632W等,都是市面上常见的产品。会选用这芯片的原因是因为其Linux驱动程序(WLAN-NG)不需要登入网络,即可监听封包。这程序会先搜寻设计不良、有漏洞的IV,然后记录500~1,000万不等的封包,最后在刹那间将WEP键值算出来。黑客可以采取主动式攻击由于以上所说的被动式攻击(单纯的纪录封包)十分可靠、有效,所以主动式攻击反而失去了其重要性。不过毫无疑问的,黑客也可以主动的侵入网络,窃取数据。我们假设黑客知道了原始数据及加密后的数据,收讯方会将这些信息视为正确无误。接下来黑客就可以在不需要知道键值的情形下,将数据偷天换日,而收讯方仍然会将这些数据当成正确的结果有效的解决方法RSASecurity(RC4编码的发明机构)与Hifn(位于加州,专精于网络安全的公司,)正努力加强WEP的安全,并发展新的运算法则。两家机构为RC4发展的解决方案为“快速封包加密(FastPacketKeying)”,每个封包送出时,都会快速的产生不同的RC4键值。传送与接收双方都使用了128位的RC4键值,称为暂时键值(TK,TemporalKey)。当双方利用TK连结时,会使用不同的keystream,其中会加入16位的IV,再一次的产生128位的RC4键值。用户可以通过软硬件与驱动程序更新,在现有无线局域网中使用RC4快速封包加密。思科自行其道网络大厂Cisco(思科)则大幅改进其Aironet系列产品,不过这系列只能搭配自家产品使用。无线局域网安全的第一步应该是双方面,而非单方面的。为了搭配其RadiusServer(AccessControlServer2000V2.6),思科还发展了LEAP通讯协议(,轻量可延伸授权通讯协议)。思科使用的是分享键值(shared-key)方法,以响应双方的通讯要求。不可逆、单方向的杂凑键(hashkey)可以有效阻隔复制密码式的攻击。至于WEP键值,思科采取了动态的、每个用户、每次通讯只用一次的WEP键值,由系统自行产生,系统管理者完全不需介入。每个通讯过程中,用户都会收到独一无二的WEP,而且不会跟其它人共享。在将WEP广播送出之前,还会以LEAP加密一次,只有拥有相对应键值的人,才能存取信息。与AccessControlServer20002.6结合以后,就可以建立重复的认证模式。用户会每隔一段时间为自己做认证,并在每次登录时获得一个新的键值。每次通讯时,IV都会被更改,黑客就无法使用这些信息,建立密码表。最后,这些方法都不能提供万无一失的防护,因为背后用的都还是IV与WEP加密机制;不过不断变换的键值,的确能有效的遏止黑客攻击,让使用密码表的作法失败。如果键值更换的速度够频繁,黑客所记录的封包就无法提供足够的破解信息,你的无线局域网就会比较安全。
㈣ 网络安全试题及答案
第一章 网络安全概述
【单选题】
1.计算机网络的安全是指( )
A、网络中设备设置环境的安全
B、网络使用者的安全
C、网络中信息的安全
D、网络的财产安全
正确答案: C 我的答案:C
2.黑客搭线窃听属于( )风险。
A、信息存储安全信息
B、信息传输安全
C、信息访问安全
D、以上都不正确
正确答案: B 我的答案:B
3.为了保证计算机信息安全,通常使用( ),以使计算机只允许用户在输入正确的保密信息时进入系统。
A、口令
B、命令
C、密码
D、密钥
正确答案: A 我的答案:C
4.对企业网络最大的威胁是()。
A、黑客攻击
B、外国政府
C、竞争对手
D、内部员工的恶意攻击
正确答案: D 我的答案:D
5.信息不泄露给非授权的用户、实体或过程,指的是信息( )特性。
A、保密性
B、完整性
C、可用性
D、可控性
正确答案: A 我的答案:A
6.信息安全就是要防止非法攻击和病毒的传播,保障电子信息的有效性,从具体意义上理解,需要保证以下( )。
Ⅰ.保密性 Ⅱ.完整性 Ⅲ.可用性 Ⅳ.可控性 Ⅴ.不可否认性
A、Ⅰ、Ⅱ和Ⅳ B
B、Ⅱ和Ⅲ C
C、Ⅱ、Ⅲ和Ⅳ D
D、都是
正确答案: D 我的答案:D
7.信息风险主要指( )
A、信息存储安全
B、信息传输安全
C、信息访问安全
D、以上都正确
正确答案: D 我的答案:D
8.( )不是信息失真的原因
A、信源提供的信息不完全、不准确
B、信息在编码、译码和传递过程中受到干扰
C、信宿(信箱)接受信息出现偏差
D、信箱在理解上的偏差
正确答案: D 我的答案:A
9.以下( )不是保证网络安全的要素
A、信息的保密性
B、发送信息的不可否认性
C、数据交换的完整性
D、数据存储的唯一性
正确答案: D 我的答案:B
第二章 黑客常用系统攻击方法1
【单选题】
1.网络攻击的发展趋势是( )
A、黑客攻击与网络病毒日益融合
B、攻击工具日益先进
C、病毒攻击
D、黑客攻击
正确答案: A 我的答案:A
2.拒绝服务攻击( )
A、A.用超过被攻击目标处理能力的海量数据包消耗可用系统、带宽资源等方法的攻击
B、全程是Distributed Denial Of Service
C、拒绝来自一个服务器所发送回应请求的指令
D、入侵控制一个服务器后远程关机
正确答案: A 我的答案:A
3.局域网中如果某台计算机受到了ARP欺骗,那么它发出去的数据包中,( )地址是错误的
A、源IP地址
B、目标IP地址
C、源MAC地址
D、目标MAC地址
正确答案: D 我的答案:A
4.在网络攻击活动中,Tribal Flood Netw(TFN)是( )类的攻击程序
A、拒绝服务
B、字典攻击
C、网络监听
D、病毒程序
正确答案: A 我的答案:A
5.HTTP默认端口号为( )
A、21
B、80
C、8080
D、23
正确答案: B 我的答案:B
6.DDOS攻击破坏了( )
A、可用性
B、保密性
C、完整性
D、真实性
正确答案: A 我的答案:A
7.漏洞评估产品在选择时应注意( )
A、是否具有针对网络、主机和数据库漏洞的检测功能
B、产品的扫描能力
C、产品的评估能力
D、产品的漏洞修复能力
E、以上都不正确
正确答案: E 我的答案:A
第二章 黑客常用系统攻击方法2
【单选题】
1.关于“攻击工具日益先进,攻击者需要的技能日趋下降”的观点不正确的是( )
A、网络受到的攻击的可能性越来越大
B、.网络受到的攻击的可能性将越来越小
C、网络攻击无处不在
D、网络风险日益严重
正确答案: B
2.在程序编写上防范缓冲区溢出攻击的方法有( )
Ⅰ.编写正确、安全的代码 Ⅱ.程序指针完整性检测
Ⅲ.数组边界检查 Ⅳ.使用应用程序保护软件
A、 Ⅰ、Ⅱ和Ⅳ
B、 Ⅰ、Ⅱ和Ⅲ
C、 Ⅱ和Ⅲ
D、都是
正确答案: B
3.HTTP默认端口号为( )
A、21
B、80
C、8080
D、23
正确答案: B
4.信息不泄露给非授权的用户、实体或过程,指的是信息( )特性。
A、保密性
B、完整性
C、可用性
D、可控性
正确答案: A
5.为了避免冒名发送数据或发送后不承认的情况出现,可以采取的办法是( )
A、数字水印
B、数字签名
C、访问控制
D、发电子邮箱确认
正确答案: B
6.在建立网站的目录结构时,最好的做法是( )。
A、将所有文件最好都放在根目录下
B、目录层次选在3到5层
C、按栏目内容建立子目录
D、最好使用中文目录
正确答案: C
【判断题】
7.冒充信件回复、冒名Yahoo发信、下载电子贺卡同意书,使用的是叫做“字典攻击”的方法
正确答案:×
8当服务器遭受到DoS攻击的时候,只需要重新启动系统就可以阻止攻击。
正确答案:×
9.一般情况下,采用Port scan可以比较快速地了解某台主机上提供了哪些网络服务。
正确答案:×
10.Dos攻击不但能使目标主机停止服务,还能入侵系统,打开后门,得到想要的资料。
正确答案:×
11.社会工程攻击目前不容忽视,面对社会工程攻击,最好的方法使对员工进行全面的教育。
正确答案:√
第三章 计算机病毒1
【单选题】
1.每一种病毒体含有的特征字节串对被检测的对象进行扫描,如果发现特征字节串,就表明发现了该特征串所代表的病毒,这种病毒而检测方法叫做( )。
A、比较法
B、特征字的识别法
C、搜索法
D、分析法
E、扫描法
正确答案: B 我的答案:E
2.( )病毒式定期发作的,可以设置Flash ROM 写状态来避免病毒破坏ROM。
A、Melissa
B、CIH
C、I love you
D、蠕虫
正确答案: B 我的答案:D
3.以下( )不是杀毒软件
A、瑞星
B、Word
C、Norton AntiVirus
D、金山毒霸
正确答案: B 我的答案:B
4.效率最高、最保险的杀毒方式( )。
A、手动杀毒
B、自动杀毒
C、杀毒软件
D、磁盘格式化
正确答案: D 我的答案:D
【多选题】
5.计算机病毒的传播方式有( )。
A、通过共享资源传播
B、通过网页恶意脚本传播
C、通过网络文件传输传播
D、通过电子邮件传播
正确答案: ABCD 我的答案:ABCD
6.计算机病毒按其表现性质可分为( )
A、良性的
B、恶性的
C、随机的
D、定时的
正确答案: AB 我的答案:ABCD
【判断题】
7.木马与传统病毒不同的是:木马不自我复制。( )
正确答案:√ 我的答案:√
8.在OUTLOOKEXPRESS 中仅预览邮件的内容而不打开邮件的附件不会中毒的。( )
正确答案:× 我的答案:×
9.文本文件不会感染宏病毒。( )
正确答案:× 我的答案:√
10.按照计算机病毒的传播媒介来分类,可分为单机病毒和网络病毒。( )
正确答案:√ 我的答案:√
11.世界上第一个攻击硬件的病毒是CIH.( )
正确答案:√ 我的答案:√
第三章 计算机病毒2
【单选题】
1.计算机病毒的特征( )。
A、隐蔽性
B、潜伏性、传染性
C、破坏性
D、可触发性
E、以上都正确
正确答案: E 我的答案:E
2.每一种病毒体含有的特征字节串对被检测的对象进行扫描,如果发现特征字节串,就表明发现了该特征串所代表的病毒,这种病毒而检测方法叫做( )。
A、比较法
B、特征字的识别法
C、搜索法
D、分析法
E、扫描法
正确答案: B 我的答案:B
3.下列叙述中正确的是( )。
A、计算机病毒只感染可执行文件
B、计算机病毒只感染文本文件
C、计算机病毒只能通过软件复制的方式进行传播
D、计算机病毒可以通过读写磁盘或网络等方式进行传播
正确答案: D 我的答案:D
4.计算机病毒的破坏方式包括( )。
A、删除修改文件类
B、抢占系统资源类
C、非法访问系统进程类
D、破坏操作系统类
正确答案: ABCD 我的答案:ABCD
【判断题】
5.只是从被感染磁盘上复制文件到硬盘上并不运行其中的可执行文件不会是系统感染病毒。( )
正确答案:× 我的答案:×
6.将文件的属性设为只读不可以保护其不被病毒感染.( )
正确答案:× 我的答案:×
7.重新格式化硬盘可以清楚所有病毒。( )
正确答案:× 我的答案:√
8. GIF和JPG格式的文件不会感染病毒。( )
正确答案:× 我的答案:×
9.蠕虫病毒是指一个程序(或一组程序),会自我复制、传播到其他计算机系统中去( )。
正确答案:√ 我的答案:√
第四章 数据加密技术1
【单选题】
1.可以认为数据的加密和解密是对数据进行的某种交换,加密和解密的过程都是在( )的控制下进行的
A、名文
B、密文
C、信息
D、密钥
正确答案: D 我的答案:D
2.为了避免冒名发送数据或发送后不承认的情况出现,可以采取的办法是( )
A、数字水印
B、数字签名
C、访问控制
D、发电子邮箱确认
正确答案: B 我的答案:B
3.以下关于加密说法正确的是( )
A、加密包括对称加密和非对称加密两种
B、信息隐蔽式加密的一种方法
C、如果没有信息加密的密钥,只要知道加密程序的细节就可以对信息进行解密
D、密钥的位数越多,信息的安全性越高
正确答案: D 我的答案:A
4.( )是网络通信中标志通信各方身份信息的一系列数据,提供一种在INTERNER上验证身份的方式。
A、数字认证
B、数字证书
C、电子认证
D、电子证书
正确答案: B 我的答案:B
5.数字证书采用公钥体制时,每个用户设定一把公钥,由本人公开,用其进行( )
A、加密和验证签名
B、解密和签名
C、加密
D、解密
正确答案: A 我的答案:A
第四章 数据加密技术2
【单选题】
1.在公开密钥体制中,加密密钥即( )
A、解密密钥
B、私密密钥
C、公开密钥
D、私有密钥
正确答案: C 我的答案:C
2.Set协议又称为( )
A、安全套协议层协议
B、安全电子交易协议
C、信息传输安全协议
D、网上购物协议
正确答案: B 我的答案:B
3.数字签名为保证其不可更改性,双方约定使用( )
A、Hash算法
B、RSA算法
C、CAP算法
D、ACR算法
正确答案: B 我的答案:A
4.安全套接层协议时( )。
A、SET
B、S-HTTP
C、HTTP
D、SSL
正确答案: D 我的答案:D
第五章 防火墙技术1
【单选题】
1.为确保企业管理局域网的信息安全,防止来自Internet的黑客入侵,采用( )可以实现一定的防范作用。
A、网络管理软件
B、邮件列表
C、防火墙
D、防病毒软件
正确答案: C
2.防火墙采用的最简单的技术是( )。
A、安装保护卡
B、隔离
C、包过滤
D、设置进入密码
正确答案: C
3.下列关于防火墙的说法正确的是( )。
A、防火墙的安全性能是根据系统安全的要求而设置的
B、防火墙的安全性能是一致的,一般没有级别之分
C、防火墙不能把内部网络隔离为可信任网络
D、一个防火墙只能用来对两个网络之间的互相访问实行强制性管理的安全系统
正确答案: A
4.( )不是防火墙的功能。
A、过滤进出网络的数据包
B、保护存储数据安全
C、封堵某些禁止的访问行为
D、记录通过防火墙的信息内容和活动
正确答案: B
5.( )不是专门的防火墙产品。
A、ISA server 2004
B、Cisco router
C、Topsec 网络卫士
D、check point防火墙
正确答案: B
6.有一个主机专门被用做内部网络和外部网络的分界线。该主机里插有两块网卡,分别连接到两个网络。防火墙里面的系统可以与这台主机进行通信,防火墙外面的系统(Internet上的系统)也可以与这台主机进行通信,但防火墙两边的系统之间不能直接进行通信,这是( )的防火墙。
A、屏蔽主机式体系结构
B、筛选路由式体系结构
C、双网主机式体系结构
D、屏蔽子网式体系结构
正确答案: A
7.对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种防火墙技术称为( )。
A、包过滤技术
B、状态检测技术
C、代理服务技术
D、以上都不正确
正确答案: B
8.防火墙的作用包括( )。(多选题)
A、提高计算机系统总体的安全性
B、提高网络速度
C、控制对网点系统的访问
D、数据加密
正确答案: AC
第五章 防火墙技术2
【单选题】
1.防火墙技术可以分为( )等三大类。
A、包过滤、入侵检测和数据加密
B、包过滤、入侵检测和应用代理
C、包过滤、应用代理和入侵检测
D、包过滤、状态检测和应用代理
正确答案: D
2.防火墙系统通常由( )组成。
A、杀病毒卡和杀毒软件
B、代理服务器和入侵检测系统
C、过滤路由器和入侵检测系统
D、过滤路由器和代理服务器
正确答案: D
3.防火墙防止不希望的、未经授权的通信进出被保护的内部网络,是一种( )网络安全措施。
A、被动的
B、主动的
C、能够防止内部犯罪的
D、能够解决所有问题的
正确答案: A
4.防火墙是建立在内外网络边界上的一类安全保护机制,其安全架构基于( )。
A、流量控制技术
B、加密技术
C、信息流填充技术
D、访问控制技术
正确答案: D
5.一般作为代理服务器的堡垒主机上装有( )。
A、一块网卡且有一个IP地址
B、两个网卡且有两个不同的IP地址
C、两个网卡且有相同的IP地址
D、多个网卡且动态获得IP地址
正确答案: A
6.代理服务器上运行的是( )
A、代理服务器软件
B、网络操作系统
C、数据库管理系统
D、应用软件
正确答案: A
7.在ISO OSI/RM中队网络安全服务所属的协议层次进行分析,要求每个协议层都能提供网络安全服务。其中,用户身份认证在( )进行。
A、网络层
B、会话层
C、物理层
D、应用层
正确答案: D
8.在ISO OSI/RM中队网络安全服务所属的协议层次进行分析,要求每个协议层都能提供网络安全服务。其中,IP过滤型防火墙在( )通过控制网络边界的信息流动来强化内部网络的安全性。
A、网络层
B、会话层
C、物理层
D、应用层
正确答案: A
第六章 Windows Server的安全1
【单选题】
1.WindowServer2003系统的安全日志通过( )设置。
A、事件查看器
B、服务器管理器
C、本地安全策略
D、网络适配器
正确答案: C
2. 用户匿名登录主机时,用户名为( )。
A、guest
B、OK
C、Admin
D、Anonymous
正确答案: D
3.为了保证计算机信息安全,通常使用( ),以使计算机只允许用户在输入正确的保密信息时进入系统。
A、口令
B、命令
C、密码
D、密钥
正确答案: C
【多选题】
4.( )是Windows Server2003服务器系统自带的远程管理系统。(多选题)
A、Telnet services
B、Terminalservices
C、PC anywhere
D、IPC
正确答案: ABD
5.1、 Windows Server2003服务器采取的安全措施包括( )。(多选题)
A、使用NTFS格式的磁盘分区
B、及时对操作系统使用补丁程序堵塞安全漏洞
C、实行强有力的安全管理策略
D、借助防火墙对服务器提供保护
E、关闭不需要的服务器组件
正确答案: ABCDE
第六章 Windows Server的安全2
【单选题】
1.( )不是Windows 的共享访问权限。
A、只读
B、完全控制
C、更改
D、读取及执行
正确答案: D
2.WindowsServer2003的注册表根键( )是确定不同文件后缀的文件类型。
A、HKEY_CLASSES_ROOT
B、HKEY_USER
C、HKEY_LOCAL_MACHINE
D、HKEY_SYSTEM
正确答案: A
3.为了保证Windows Server2003服务器不被攻击者非法启动,管理员应该采取( )措施.
A、备份注册表
B、利用SYSKEY
C、使用加密设备
D、审计注册表的用户权限
正确答案: B
【多选题】
4.( )可以启动Windows Server2003的注册编辑器。(多选题)
A、REGERDIT.EXE
B、DFVIEW.EXE
C、FDISK.EXE
D、REGISTRY.EXE
E、REGEDT32.EXE
正确答案: AE
5.有些病毒为了在计算机启动的时候自动加载,可以更改注册表,()键值更改注册表自带加载项。(多选题)
A、HKLM\software\microsoft\windows\currentversion\run
B、HKLM\software\microsoft\windows\currentversion\runonce
C、HKLM\software\microsoft\windows\currentversion\runservices
D、HKLM\software\microsoft\windows\currentversion\runservicesonce
正确答案: ABCD
6.在保证密码安全中,应该采取的正确措施有( )。(多选题)
A、不用生日密码
B、不使用少于5位数的密码
C、不用纯数字
D、将密码设的很复杂并在20位以上
正确答案: ABC
㈤ 网络安全问题有哪些
(1)操作系统没有进行相关的安全配置
不管使用的是哪一种操作系统,安装不完全的情况下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,只要自己设置的密码很强就没有问题。网络软件的漏洞和“后门”是进行网络攻击的首选目标。
(2)没有进行CGI程序代码审计
如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。
(3)拒绝服务(DoS,DenialofService)攻击
现在的网站对于实时性的要求是越来越高,DoS或DDoS对网站的威胁越来越大。如果一个网络攻击是以网络瘫痪为目标的,那么它的袭击效果是很强烈的,破坏性很大,造成危害的速度和范围也是我们预料不到的,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪。
(4)安全产品使用不当
虽然很多网站都采用了基本的网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有发挥到应有的作用。很多安全厂商的产品对配置人员的技术要求很高,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。
(5)缺少严格的网络安全管理制度
网络安全最重要的还是要有相应的制度去保障,建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。
㈥ 无线网络的网络安全
无线网络安全并不是一个独立的问题,企业需要认识到应该在几条战线上对付攻击者,但有许多威胁是无线网络所独有的,这包括:
1、插入攻击:插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。
2、漫游攻击者:攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving ” ; 走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。
3、欺诈性接入点:所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开公司已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。
4、双面恶魔攻击:这种攻击有时也被称为“无线钓鱼”,双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别网络的数据或攻击计算机。
5、窃取网络资源:有些用户喜欢从邻近的无线网络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件,或下载盗版内容,这会产生一些法律问题。
6、对无线通信的劫持和监视:正如在有线网络中一样,劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况,一是无线数据包分析,即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,所以很少见。
当然,还有其它一些威胁,如客户端对客户端的攻击(包括拒绝服务攻击)、干扰、对加密系统的攻击、错误的配置等,这都属于可给无线网络带来风险的因素。
企业无线网络所面临的安全威胁
(1)加密密文频繁被破早已不再安全:
曾几何时无线通讯最牢靠的安全方式就是针对无线通讯数据进行加密,加密方式种类也很多,从最基本的WEP加密到WPA加密。然而这些加密方式被陆续破解,首先是WEP加密技术被黑客在几分钟内破解;继而在11月国外研究员将WPA加密方式中TKIP算法逆向还原出明文。
WEP与WPA加密都被破解,这样就使得无线通讯只能够通过自己建立Radius验证服务器或使用WPA2来提高通讯安全了。不过WPA2并不是所有设备都支持的。
(2)无线数据sniffer让无线通讯毫无隐私:
另一个让用户最不放心的就是由于无线通讯的灵活性,只要有信号的地方入侵者就一定可以通过专业无线数据sniffer类工具嗅探出无线通讯数据包的内容,不管是加密的还是没有加密的,借助其他手段都可以查看到具体的通讯数据内容。像隐藏SSID信息,修改信号发射频段等方法在无线数据sniffer工具面前都无济于事。
然而从根本上杜绝无线sniffer又不太现实,毕竟信号覆盖范围广泛是无线网络的一大特色。所以说无线数据sniffer让无线通讯毫无隐私是其先天不安全的一个主要体现。
(3)修改MAC地址让过滤功能形同虚设:
虽然无线网络应用方面提供了诸如MAC地址过滤的功能,很多用户也确实使用该功能保护无线网络安全,但是由于MAC地址是可以随意修改的,通过注册表或网卡属性都可以伪造MAC地址信息。所以当通过无线数据sniffer工具查找到有访问权限MAC地址通讯信息后,就可以将非法入侵主机的MAC地址进行伪造,从而让MAC地址过滤功能形同虚设。 要诀一
采用强力的密码。正如我在文中所指出,一个足够强大的密码可以让暴力破解成为不可能实现的情况。相反的,如果密码强度不够,几乎可以肯定会让你的系统受到损害。
使用十个字符以上的密码——即便是比较新的加密方案,如WPA2,也可以被那些自动套取密码的进程攻克。不见得要用长而难记的密码,大可以使用一些表达,如“makemywirelessnetworksecure”等取代原来较短的密码。或者使用更为复杂的密码,如“w1f1p4ss”。这类密码更具安全性。
在密码中,添加数字,特殊符号和大小写字母——复杂的密码增加了字符数,这样便会增加密码破解的难度。例如,如果你的密码包含四个字节,但你仅使用了数字,那么可能的密码就是10的四次方,即10000个。如果你只使用小写字母,那么密码的可能性达到36的四次方。这样就迫使攻击者测试巨大数量的密码,从而增加他解密的时间。
要诀二
严禁广播服务集合标识符(SSID)。如果不能对服务集合标识符也就是你给无线网络的命名进行保护的话,会带来严重的安全隐患。对无线路由器进行配置,禁止服务集合标识符的广播,尽管不能带来真正的安全,但至少可以减轻受到的威胁,因为很多初级的恶意攻击都是采用扫描的方式寻找那些有漏洞的系统。隐藏了服务集合标识符,这种可能就大大降低了。大多数商业级路由器/防火墙设备都提供相关的功能设置。
不要使用标准的SSID——许多无线路由器都自带默认的无线网络名称,也就是我们所知道的SSID,如“netgear”或“linksys”,大多数用户都不会想到要对这些名称进行更改。 WPA2加密将这一SSID作为密码的一部分来使用。不对其进行更改意味着允许骇客使用密码查询列表,而这样无疑会加速密码破解的进程,甚至可以让他们测试密码的速度达到每秒几百万个。使用自定义的SSID则增大了不法分子破坏无线网络的难度。
要诀三
采用有效的无线加密方式。动态有线等效保密(WEP)并不是效果很好的加密方式。只要使用象aircrack一样免费工具,就可以在短短的几分钟里找出动态有线等效保密模式加密过的无线网络中的漏洞。无线网络保护访问(WPA)是通用的加密标准,你很可能已经使用了。当然,如果有可能的话,你应该选择使用一些更强大有效的方式。毕竟,加密和解密的斗争是无时无刻不在进行的。
使用WPA2加密——旧的安全选项,如WEP可被瞬间破解且无需特殊设备或是技巧。只需使用浏览器插件或是手机应用即可。WPA2是最新的安全运算法则,它贯彻到了整个无线系统,可以从配置屏幕中进行选取。
要诀四
可能的话,采用不同类型的加密。不要仅仅依靠无线加密手段来保证无线网络的整体安全。不同类型的加密可以在系统层面上提高安全的可靠性。举例来说,OpenSSH就是一个不错的选择,可以为在同一网络内的系统提供安全通讯,即使需要经过因特网也没有问题。采用加密技术来保护无线网络中的所有通讯数据不被窃取是非常重要的,就象采用了SSL加密技术的电子商务网站一样。实际上,如果没有确实必要的话,尽量不要更换加密方式。
要诀五
对介质访问控制(MAC)地址进行控制。很多人会告诉你,介质访问控制(MAC)地址的限制不会提供真正的保护。但是,象隐藏无线网络的服务集合标识符、限制介质访问控制(MAC)地址对网络的访问,是可以确保网络不会被初级的恶意攻击者骚扰的。对于整个系统来说,针对从专家到新手的各种攻击进行全面防护,以保证系统安全的无懈可击是非常重要的。
要诀六
在网络不使用的时间,将其关闭。这个建议的采用与否,取决于网络的具体情况。如果你并不是需要一天二十四小时每周七天都使用网络,那就可以采用这个措施。毕竟,在网络关闭的时间,安全性是最高的,没人能够连接不存在的网络。
要诀七
关闭无线网络接口。如果你使用笔记本电脑之类的移动终端的话,应该将无线网络接口在默认情况下给予关闭。只有确实需要连接到一个无线网络的时间才打开相关的功能。其余的时间,关闭的无线网络接口让你不会成为恶意攻击的目标。
调节无线信号的覆盖范围——调制解调器的接入点具备多个天线和传输功率,所以,用户可以调节信号的覆盖范围。有些产品可以让我们通过菜单选项来调节传输功率。这样就限制了别人能获取你的无线信号的范围,从而可以避免其损坏你的网络。
要诀八
对网络入侵者进行监控。对于网络安全的状况,必须保持全面关注。你需要对攻击的发展趋势进行跟踪,了解恶意工具是怎么连接到网络上的,怎么做可以提供更好的安全保护。你还需要对日志里扫描和访问的企图等相关信息进行分析,找出其中有用的部分,并且确保在真正的异常情况出现的时间可以给予及时的通知。毕竟,众所周知最危险的时间就是事情进行到一半的时间。
要诀九
确保核心的安全。在你离开的时间,务必确保无线路由器或连接到无线网络上正在使用的笔记本电脑上运行了有效的防火墙。还要注意的是,请务必关闭不必要的服务,特别是在微软Windows操作系统下不需要的服务,因为在默认情况下它们活动的后果可能会出乎意料。实际上,你要做的是尽一切可能确保整个系统的安全。
要诀十
不要在无效的安全措施上浪费时间。我经常遇到一些不太了解技术的用户对安全措施的疑问,他们被有关安全的免费咨询所困扰。一般来说,这方面的咨询,不仅只是无用的,而且往往是彻头彻尾有害的。我们最经常看到的有害的建议就是,在类似咖啡馆的公共无线网络环境中进行连接的时间,你应该只选择采用无线加密的连接。有时,人们对建议往往就理解一半,结果就成为了你应该只连接到带无线网络保护访问模式(WPA)保护的无线网络上。实际上,使用了加密功能的公共接入点并不会给你带来额外的安全,因为,网络会向任何发出申请的终端发送密钥。这就象把房子的门给锁了起来,但是在门上写着“钥匙在欢迎的垫子下面”。如果你希望将无线网络提供给大家,任何人都可以随便访问,加密是不需要。实际上对无线网络来说,加密更象是一种威慑。只有使用特定的无线网络,才会在降低方便性的情况下,提高安全性。
要诀十一
改变无线路由口令。为无线路由的互联网访问设置一个口令至关重要,一个强口令有助于无线网络的安全,但不要使用原始无线路由器的默认口令,建议更改较为复杂的口令避免简单被攻破。
对于无线网络安全来说,大部分的要诀可以说就是“普通常识” 。但可怕的是,“普通常识” 是如此之多,以至于不能在同时给予全面考虑。因此,你应该经常对无线网络和移动电脑进行检查,以保证没有漏掉一些重要的部分,并且确保关注的是有效的而不是不必要甚至是完全无效的安全措施。
㈦ 网络安全容易学么
给你个文件就知道了。
实验一 交换机功能及配置
一、 交换机的联接
1、 使用普通端口联接(不可取,严重影响网速)
有一个48口交换机,普通端口100Mbps,两个高速端口,为1000Mbps,背板带宽为:
(48*100+2*1000)*2Mbps=13.2Gbps --à13.2Gbps
2、级联
3、堆叠(最优联接方法)
二、交换机的性能指标:
1、 支持的MAC地址数目
2、 背板带宽
3、 包转发率
4、 支持的协议
SNMP(简单网络管理协议),IEEE802.11(无线),IEEE802.1q(VLAN)
三、交换机配置的几种模式:
1. 用户模式(switch>)
2.特权模式(switch#) switch>enable (ena)
3.全局配置模式( (config)#) switch#config terminal (config t)
(1)接口配置模式 (config)#interface fa 0/1
启用接口:no shutdown 使能
(2)线路配置模式(config)#line vty 10 00-15
Exit end
Ip address
三、交换机的初始配置及console端口配置:
1.带外管理
适用范围:
联线方法:
使用:超级终端
Usb-à串口
2. 带内管理
联线方法:
三种方法登录。(telnet、http、厂家专用网管软件)
3.交换机的初始配置
Switch>ena
Switch#Setup(更改交换名字、三个密码、vlan1的IP地址、保存返回)
带外管理配置交换机
流程:
结束
共享式以太网特征::中心结点是集线器这是共享式以太网。(物理上是星状,逻辑上是总线拓扑结构),每一结点共享带宽。
交换式以太网特征:(中心结点是交换机)
交换机带宽为30Mbps,每一个结点的带宽为:30Mbps
1、独享带宽
2、能够为多对结点同时建立并发联接
3、并行性
注:集线器收到数据帧一定会向所有端口转发。(因为集线器工作物理层,相当于一条线)
交换机在以下两种情况下会向所有端口转发数据帧:
1、 目标地址为全1时(广播地址)
2、 端口-MAC地址映射表还没有内容时。(即查不到目的MAC地址时)。
PDU:是指协议数据单元。
ARP:地址解析协议,实现从IP地址到MAC地址的映射。 IP--àMAC
查看计算机中的ARP缓存: Arp -a
删除计算机中的ARP缓存:arp -d
查看路由路的ARP解析缓存 Show arp
查看路由路的IP路由 Show ip route
查看路由路的接口配置 Show int
查看交换机的端口-MAC地址映射表:Show mac-address-table
删除交换机的端口-MAC地址映射表:Clea mac-address-table
1、交换机的地址学习功能和转发/过滤决策
端口-MAC地址映射表
设备名
MAC地址
端口号
PC0
00e006123456
Fa0/1
内存(ram)
PC0向交换机发送了一个 帧 :包含目标MAC地址、源MAC地址
掌握两类帧:
假设主机PC1去ping主机pc1,使用的PDU是icmp格式的帧,由于PC1第一次与PC2通信,还不知道PC2的MAC地址,无法组装ICMP帧。(此时模拟器中的紫色帧无法发出,查看这个ICMP帧发现,没有源MAC地址)
为了获得PC2的MAC地址,PC1发出了一个ARP请求(绿色的帧,查看帧结构发现,其目标MAC地址是全1,即向所有结点广播,查询192.168.1.2的MAC地址)
ARP帧到达交换机时,交换机学习到了PC1的信息,可以在交换机中用SHOW验证。
交换机向所有结点查询:192.168.1.2的MAC地址,PC2收到后回复交换机一个ARP帧,交换机学习到了PC2的信息。交换机向PC1回复一个ARP信息,PC1记下192.168.1.2对应的MAC地址在ARP缓存中。(可以用arp –a验证)
问题关键:
1、 PC1、PC2中的各个帧中的目的MAC地址、源MAC地址(帧结构)。
2、 不同阶段的PC1、PC2中的ARP缓存内容。
Arp –a arp -d
3、 不同阶段的交换机中的端口-MAC地址映射表。
Show mac-address-table 查看端口-MAC地址映射表
Clea mac-address-table 清除端口-MAC地址映射表
2、地址学习与转发/过滤决策
思考练习题:
1、 刚开机时,
PC1的ARP缓存内容:no
PC2的ARP缓存内容:no
交换机内容:no
2、 工作在模拟模式,pc1向pc2 发送ping, 当PC1发出的arp包到达交换机时,
交换机内容:
Arp帧的结构:
3、 当PC1发出的arp包到达pc2时,
PC2的ARP缓存内容:
回复Arp帧的结构:
4、 当PC2发出的回复ARP包到达交换机时
交换机内容:
回复Arp帧的结构:
5、 当回复的ARP包到达PC1时,
PC1的ARP缓存内容:
6、 当PC1发送的ICMP帧到达交换机时,
交换机这时候该干什么?
7、 ICMP帧到达PC2时,
观察进出PC2的两个ICMP帧有什么不同?
当PC2发出的回应ICMP帧经交换机到达PC1后,整个PING过程完成。
8、 实验中,ARP帧起到了什么作用?(提示:有两个作用)。
9、 不使用ARP帧,直接由PC1向PC2发出ICMP帧可以吗?
实验二:三层交换实验(单个路由器)
接入路由器:
1、支持slip(串行线路网际协议、用于普通modem拨号上网)协议
2、ppp协议(点对点协议)
路由器实验:(三层交换实验)
1、 搭建网络(如图)
2、 配置
S0交换机网段为:192.168.1.0/24 网关为:192.168.1.254/24
S1交换机网段为:192.168.2.0/24 网关为:192.168.2.254/24
(注意:交换机初始配置中接口IP不能与各PC的IP地址重合)
Router1的fa0/0的IP为:192.168.1.254/24
(ip address 192.168.1.254 255.255.255.0)
No shutdown开启端口
查看路由路IP show ip route
查看路由路端口 show int
查看路由路的ARP解析缓存 Show arp
Router1的fa0/1的IP为:192.168.2.254/24
No shutdown开启端口
Write 保存
路由器直接相连的路径,是直连路由,不需要配置,路由器自动识别。
3、 在模拟状态下,pc1向pc1发送ping数据, 分析过程:
(过滤:只允许icmp和arp帧通过。)
实验三:网络常用的检测命令(八个命令)
一、 Ipconfig
1、 ipconfig 查看TCP/IP的基本配置。
(可以看到什么?)
2、 ipconfig /all 查看TCP/IP的完整配置
DHCP:动态主机分配协议,DHCP服务器为网络终端分配IP地址。
DNS:域名服务器。网址(域名)与IP的映射
域名-----àip地址-----------àMAC地址
DNS(域名解析)arp(地址解析)
RARP(反向地址解析)
3、 ipconfig /renew 从dhcp服务器重新获取一个新的ip地址。
4、 ipconfig/release 释放IP地址。
5、 ipconfig/flushdns 清理DNS解析缓存的内容
dns:域名服务器。域名(网址)与IP的映射
6、ipconfig/displaydns 显示DNS解析缓存的内容
二、ping命令
功能:向目标主机发送回送请求信息。
测试网络连通性
1、 回环测试
Ping 127.0.0.1
Ping localhost
本机的IP地址
2、 Ping网关
3、持续不断发送回送请求信息
Ping -t www..com
检测网络质量
4、-a 反向解析出IP地址或域名。
5、 -n 3
6、-l 300 icmp包的大小为300B 默认为32B
三、tracert (路由跟踪)
跟踪到达目的主机的路径,即从本机到达目的主机经过了哪些网关(结点、路由器)。
-d 不将地址解析成主机名。加快显示速度。
-h 搜索目标的最大跃点数。默认30
–w 等待每个回复的超时时间(以毫秒为单位)。
-j与主机列表一起的松散源路由(仅适用于 IPv4)。
路由器(wan口)、光modem、无线ap(无线网桥)
四、netstat
端口65536 80
-a 显示所有活动连接信息及端口号 all active
-n 以数字形式显示连接信息
-r 显示本机路由信息。
-s 显示每个协议的统计信息
-p tcp 显示指定协议连接。
五、arp
arp攻击 Ip到mac地址映射
处理(清除、建立)ARP解析缓存。
-d 删除ARP解析缓存
-a 显示ARP解析缓存
arp -s 157.55.85.212 00-aa-00-62-c6-09 添加静态项。
局域网的组建:
1、线路及设备连接
传输介质、网卡
网络互联设备:路由器(不用在局域网)、交换机(二层)、无线AP(access point、无线访问点、无线桥接器)、Modem(调制解调器)(不用在局域网)、网关(工作在传输层及传输层以上)(不用在局域网)
2、网络地址的配置
3、连通性测试
4、共享资源(文件夹、打印机)
Gpedit.msc 组策略编辑器 regedit
开启Guest帐号:计算机管理本地用户和组用户Guest,[属性]中“帐号已停用”去勾。
取消“使用简单文件共享”方式:资源管理器工具文件夹选项查看,“使用简单件共享(推荐)”去勾。
本地安全策略里的一些设置:(1)用户权利指派--删除“拒绝从网络访问这台计算机”的guest帐号。(2)安全选项--“网络访问:本地帐户的共享和安全模式”改成“经典:本地用户自己的身份验证”(3)安全选项--“帐户:使用空白密码的本地用户只允许进行控制台登录”设置为“禁用”。(即禁用:没有密码的账户只能在本机登录)
六、net命令
Net view \\IP 查看对方局域网的共享资源。
Net view 查看本地局域网的共享资源
Net use x: \\ip\文件夹 映射远程计算机上文件夹为本机上磁盘(x)。 映射网络驱动器
Net start 启动远程主机上服务。
Net stop 关闭远程主机上服务。
Net user查看有哪些用户
net user 用户名密码/add 建立用户 (关闭防火墙)
net user guest /active:yes 激活guest用户
net user 帐户名 查看指定帐户的属性
net user 用户名 /delete 删除用户
net localgroup administrators 用户名 /add
把“用户”添加到管理员组中使其具有管理员权限。
Net time 查看远程主机当前时间
七、route
Route print 显示路由表信息 (与netstat /r功能一样)
Route add 增加一条静态路由
Route delete 删除一条路由
Route change 修改路由信息
route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1 METRIC 3 IF 2
destination mask gateway 最大跃点数 interface
目标 掩码 网关 接口
route CHANGE 157.0.0.0 MASK 255.0.0.0 157.55.80.5 METRIC 2 IF 2
route DELETE 157.0.0.0
route DELETE 3ffe::/32 (ipv6地址)
3ffe:0000: 0000: 0000: 0000: 0000: 0000: 0000 16*8=128
目标地址 下一站(下一跳)
北京 武胜
重庆 万隆
八、nslookup命令
查询DNS域名和主机的IP地址
Nslookup www..com 别名
实验四:静态路由与默认路由配置
一、 实训目的
1、 掌握静态路由的设置
静态路由是指路由信息由管理员手工配置,而不是路由器通过路由算法学习得到。适合拓扑结构固定的小规模网络。
2、 掌握默认路由的设置
默认路由也是一种静态路由,位于路由表最后,当数据包与所有路由信息都不匹配时,就使用默认路由。
静态路由优于默认路由。
3、 掌握配置命令:
格式:R0(config)#ip route 目的网络 掩码 下一跳IP地址(一定在邻近的路由器上)
例:R0(config)#ip route 0.0.0.0 0.0.0.0 172.16.30.254
二、配置训练:
配置路由器要求:
设备名
端口
IP地址
默认网关
路由器R0
Fa0/0
192.168.1.254/24
Fa0/1
192.168.2.1/24
路由器R1
Fa0/1
192.168.3.1/24
Fa0/0
192.168.2.2/24
路由器R2
Fa0/0
192.168.3.2/24
Fa0/1
192.168.4.254/24
PC0
Fa0/0
192.168.1.1/24
192.168.1.254/24
Pc1
Fa0/0
192.168.4.1/24
192.168.4.254/24
目标网络:192.168.4.0/24 下一跳:192.168.2.2(最近的路由器上面最近的接口)
Ip route 192.168.1.0 255.255.255.0 192.168.2.1
1、 配置静态路由:
分析:
R0: 192.168.1.0/24与192.168.2.0/24这两个网络与R0直连,R0能直接判断,不需要配置静态路由。但R0不知道192.168.3.0/24与192.168.3.0/24的路由,需要配置下一跳地址。如下:
目标网络:192.168.3.0/24 下一跳地址:192.168.2.2
ip route 192.168.3.0 255.255.255.0 192.168.2.2
目标网络:192.168.4.0/24 下一跳地址:192.168.2.2
R1:请同学们思考,写出路由。
192.168.4.0 /24 192.168.3.2
192.168.1.0/24 192.168.2.1
R2:请同学们思考,写出路由。
配置完成后,保存(write),显示路由(show ip route)。
2、配置默认路由R0为例,
目标网络:192.168.3.0/24 下一跳地址:192.168.2.2
目标网络:192.168.4.0/24 下一跳地址:192.168.2.2
去往这两个网络的下一跳都是192.168.2.2,我们可以使用一条默认路由来完成这个功能。
目标网络:ip route 0.0.0.0 0.0.0.0 192.168.2.2
R1不适合设置默认路由。(思考:为什么?)
R2的默认路由:(自行设置)
删除路由命令:no ip route 目标网络 掩码 下一跳
Show running-config show ip route
三、总结
进入特权模式 ena
进入全局配置模式 config t
进入接口模式 interface fa0/0
为接口配置IP地址:ip address ip地址
在全局配置模式下配置路由:ip route 目标网络 掩码 下一跳
怎样确定下一跳?(最近的路由器上面最近的接口)
实验五:交换机的VLAN实验
1、 实验目的
理解二层交换机的缺陷,理解VLAN并掌握其应用,掌握VLAN的基础配置。
2、 VLAN基础知识
(1)、二层交换机的缺陷
二层交换机是一个广播域(广播域就是一个广播帧所能到达的范围)。过多的广播帧会发生碰撞,最终将网络资源耗尽。
(2)虚拟局域网(VLAN)
根据功能、部门及应用,将局域网设备从逻辑上划分成一个网段,一个网段就是一个广播域,与具体的物理位置无关。这种建立在交换技术上的逻辑网络就是VLAN。
一个VLAN就是一个广播域,VLAN工作在第二层,VLAN之间通信是通过第三层的路由器来完成的。
VLAN的优点:
安全:敏感数据用户与其他用户隔离,降低了泄密的风险。
成本降低:成本高昂的网络升级需求减少,使现有的带宽和上行链路的利用率更高,节约了成本。
性能提高:划分了VLAN后减少了网络上不必要的流量,提高了性能。
防范广播风暴:减少了参与广播风暴的设备数量。
简化项目管理或应用管理:根据用户或应用划分后,VLAN将用户与网络设备聚合到一起,以支持商业或地域上的需求。
(3)VLAN帧格式
IEEE802.1Q规定:在以太网报文的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLAN Tag (VLAN标签),用来标识VLAN相关信息。
802.3以太网帧格式:
前导码
目标MAC地址
源MAC地址
类型
数 据
帧校验序列
8B
6B
6B
2B
46-1500B
4B
以太网最小的帧64B,最大的帧1518B
这四个字节的802.1Q标签头包含了2个字节的标签协议标识(TPID)和2个字节的标签控制信息(TCI)。
标签协议标识(TPID)(Tag ProtocolIdentifier)是IEEE定义的新的类型,表明这是一个加了802.1Q标签的帧。TPID包含了一个固定的值0x8100。
标签控制信息(TCI)是包含的是帧的控制信息,它包含了下面的一些元素:
Priority:这3 位指明帧的优先级。一共有8种优先级,0-7。IEEE 802.1Q标准使用这三位信息。
Canonical Format Indicator( CFI ):,CFI值为0说明是规范格式,1为非规范格式。它被用在令牌环/源路由FDDI介质访问方法中来指示封装帧中所带地址的比特次序信息。
VLAN Identified( VLAN ID ):
这是一个12位的域,指明VLAN的ID,取值范围为0~4095,一共4096个,由于0 和4095 为协议保留取值,所以VLAN ID 的取值范围为1~4094,网络设备根据报文是否携带VLAN tag,及相关信息对报文进行处理,利用VLAN ID识别属于哪一个VLAN。
(4)划分方法:
基于交换机端口的划分:
是最简单、最有效的划分方法,按照设备的端口来定义VLAN成员,将指定端口加入VLAN后,该端口就可以转发该VLAN报文了。
但无法自动解决终端的移动、增加和变更的问题,终端一旦离开这个端口就需要重新定义新端口的VLAN。
基于MAC地址的划分:(基于用户的VLAN)
按照报文的源MAC地址来定义VLAN成员,将指定报文加入该VLAN的Tag后发送。通常与安全技术(如802.1X)联合使用,以实现终端的安全、灵活接入。
虽然操作繁琐,但可以对VLAN成员实现自动跟踪。
基于ip子网的划分:(子网VLAN)
根据报文的源ip地址及子网掩码进行划分的。
设备从端口收到Untagged的报文后,根据报文的源ip地址来确定所属的VLAN,自动划分到指定的VLAN中传输。
此特性主要用于将指定网段或IP地址的报文划分到VLAN中传送。
基于协议的划分(协议VLAN)
根据端口接收报文所属的协议(族)类型,以及封装格式来给报文分配不同的VLANID。可用来划分VLAN的协议有IP、IPX(互联网分组交换协议,是netware网络的协议)、AT(Appletalk, apple计算机网络协议)等。封装格式有EthernetⅡ、802.3RAW(novell公司)、802.2LLC、802.2SNAP等。
此特性主要用于将网络中提供的服务类型与VLAN相关联,以方便管理和维护。
㈧ 对网络安全的攻击分为哪几种
①截断信息;②伪造;③篡改;④介入。
㈨ 网络字节问题 网络字节问题 网络字节问题
都是这样的哈·
因为1024字节=1K 1024K=1M 如果你听歌看小说3小时过后,连网页的流量加起来就会有9位数了啊~~
呵呵,明白了吧?
关于360显示的多个网站是正常的哈~~