器和先进的过滤才能实现。
第十九章 VPN技术
二、问答题
1. 解释VPN的基本概念。
VPN是Virtual Private Network的缩写,是将物理分布在不同地点的网络通过公用骨干网,尤其是Internet连接而成的逻辑上的虚拟子网。
Virtual是针对传统的企业“专用网络”而言的。VPN则是利用公共网络资源和设备建立一个逻辑上的专用通道,尽管没有自己的专用线路,但它却可以提供和专用网络同样的功能。
Private表示VPN是被特定企业或用户私有的,公共网络上只有经过授权的用户才可以使用。在该通道内传输的数据经过了加密和认证,保证了传输内容的完整性和机密性。
3. 简述VPN使用了哪些主要技术。
1)隧道(封装)技术是目前实现不同VPN用户业务区分的基本方式。一个VPN可抽象为一个没有自环的连通图,每个顶点代表一个VPN端点(用户数据进入或离开VPN的设备端口),相邻顶点之间的边表示连结这两对应端点的逻辑通道,即隧道。
隧道以叠加在IP主干网上的方式运行。需安全传输的数据分组经一定的封装处理,从信源的一个VPN端点进入VPN,经相关隧道穿越VPN(物理上穿越不安全的互联网),到达信宿的另一个VPN端点,再经过相应解封装处理,便得到原始数据。(不仅指定传送的路径,在中转节点也不会解析原始数据)
2)当用户数据需要跨越多个运营商的网络时,在连接两个独立网络的节点该用户的数据分组需要被解封装和再次封装,可能会造成数据泄露,这就需要用到加密技术和密钥管理技术。目前主要的密钥交换和管理标准有SKIP和ISAKMP(安全联盟和密钥管理协议)。
3)对于支持远程接入或动态建立隧道的VPN,在隧道建立之前需要确认访问者身份,是否可以建立要求的隧道,若可以,系统还需根据访问者身份实施资源访问控制。这需要访问者与设备的身份认证技术和访问控制技术。
4. VPN有哪三种类型?它们的特点和应用场合分别是什么?
1. Access VPN(远程接入网)
即所谓移动VPN,适用于企业内部人员流动频繁和远程办公的情况,出差员工或在家办公的员工利用当地ISP就可以和企业的VPN网关建立私有的隧道连接。
通过拨入当地的ISP进入Internet再连接企业的VPN网关,在用户和VPN网关之间建立一个安全的“隧道”,通过该隧道安全地访问远程的内部网(节省通信费用,又保证了安全性)。
拨入方式包括拨号、ISDN、ADSL等,唯一的要求就是能够使用合法IP地址访问Internet。2. Intranet VPN(内联网)
21
如果要进行企业内部异地分支结构的互联,可以使用Intranet VPN的方式,即所谓的网关对网关VPN。在异地两个网络的网关之间建立了一个加密的VPN隧道,两端的内部网络可以通过该VPN隧道安全地进行通信。 3. Extranet VPN(外联网)
如果一个企业希望将客户、供应商、合作伙伴连接到企业内部网,可以使用Extranet VPN。其实也是一种网关对网关的VPN,但它需要有不同协议和设备之间的配合和不同的安全配置。
5. 举例说明什么是乘客协议、封装协议和传输协议?
(1)乘客协议:用户真正要传输(也即被封装)的数据,如IP、PPP、SLIP等。 (2)封装协议:用于建立、保持和拆卸隧道,如L2F、PPTP、L2TP、GRE。 (3)传输协议:乘客协议被封装后应用传输协议,例如UDP协议。
8. 了解第三层隧道协议——GRE。
GRE是通用的路由封装协议,支持全部的路由协议(如RIP2、OSPF等),用于在IP包中封装任何协议的数据包(IP、IPX、NetBEUI等)。在GRE中,乘客协议就是上面这些被封装的协议,封装协议就是GRE,传输协议就是IP。在GRE的处理中,很多协议的细微差别都被忽略,这使得GRE不限于某个特定的“X over Y”的应用,而是一种通用的封装形式。
原始IP包的IP地址通常是企业私有网络规划的保留IP地址,而外层的IP地址是企业网络出口的IP地址,因此,尽管私有网络的IP地址无法和外部网络进行正确的路由,但这个封装之后的IP包可以在Internet上路由——最简单的VPN技术。(NAT,非IP数据包能在IP互联网上传送) GRE VPN适合一些小型点对点的网络互联。
第二十章 安全扫描技术
一、问答题
1. 简述常见的黑客攻击过程。
1 目标探测和信息攫取
先确定攻击日标并收集目标系统的相关信息。一般先大量收集网上主机的信息,然后根据各系统的安全性强弱确定最后的目标。 1) 踩点(Footprinting)
黑客必须尽可能收集目标系统安全状况的各种信息。Whois数据库查询可以获得很多关于目标系统的注册信息,DNS查询(用Windows/UNIX上提供的nslookup命令客户端)也可令黑客获得关于目标系统域名、IP地址、DNS务器、邮件服务器等有用信息。此外还可以用traceroute工具获得一些网络拓扑和路由信息。
2) 扫描(Scanning)
在扫描阶段,我们将使用各种工具和技巧(如Ping扫射、端口扫描以及操作
22
系统检测等)确定哪些系统存活着、它们在监听哪些端口(以此来判断它们在提供哪些服务),甚至更进一步地获知它们运行的是什么操作系统。3) 查点(Enumeration)
从系统中抽取有效账号或导出资源名的过程称为查点,这些信息很可能成为目标系统的祸根。比如说,一旦查点查出一个有效用户名或共享资源,攻击者猜出对应的密码或利用与资源共享协议关联的某些脆弱点通常就只是一个时间问题了。查点技巧差不多都是特定于操作系统的,因此要求使用前面步骤汇集的信息。2 获得访问权(Gaining Access) 通过密码窃听、共享文件的野蛮攻击、攫取密码文件并破解或缓冲区溢出攻击等来获得系统的访问权限。
3 特权提升(Escalating Privilege) 在获得一般账户后,黑客经常会试图获得更高的权限,比如获得系统管理员权限。通常可以采用密码破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱点等技术。 4 窃取(Stealing)
对敏感数据进行篡改、添加、删除及复制(如Windows系统的注册表、UNIX的rhost文件等)。5 掩盖踪迹(Covering Tracks)
此时最重要就隐藏自己踪迹,以防被管理员发觉,比如清除日志记录、使用rootkits等工具。
6 创建后门(Creating Bookdoor)
在系统的不同部分布置陷阱和后门,以便入侵者在以后仍能从容获得特权访问。
9.什么是漏洞扫描?
系统漏洞检测又称漏洞扫描,就是对重要网络信息进行检查,发现其中可被攻击
者利用的漏洞。
第二十二章 网络病毒防范
三、问答题
1. 掌握恶意代码的概念和分类,以及几种主要的恶意代码。
黑客编写的扰乱社会和个人,甚至起着破坏作用的计算机程序,就是恶意代码。
1)按恶意代码是否需要宿主,即特定的应用程序、工具程序或系统程序。需要宿主的恶意代码具有依附性,不能脱离宿主而独立运行;不需宿主的恶意代码具有独立性,可不依赖宿主而独立运行。
2) 按恶意代码是否能够自我复制,不能自我复制的恶意代码是不感染的,能够自我复制的恶意代码是可感染的。1. 不感染的依附性恶意代码 (1)特洛伊木马
23
一段能实现有用的或必需的功能的程序,但是同时还完成一些不为人知的功能,这些额外的功能往往是有害的(试图访问未授权资源、试图阻止正常访问、试图更改或破坏数据和系统等)。
它一般没有自我复制的机制,但欺骗性是其得以传播的根本原因。电子新闻组和电子邮件是它的主要传播途径。特洛伊木马经常伪装成游戏软件、搞笑程序、屏保、非法软件、色情资料等,上载到网上直接传播,容易被不知情的用户接收和继续传播。 (2)逻辑炸弹
一段具有破坏性的代码,事先预置于较大的程序中,等待某扳机事件(特殊日期或指定事件)发生触发其破坏行为。它往往被那些有怨恨的职员使用,一旦逻辑炸弹被触发,就会造成数据或文件的改变或删除、计算机死机等。(3)后门或陷门
是进入系统或程序的一个秘密入口,它能够通过识别某种特定的输入序列或特定帐户,使访问者绕过访问的安全检查、直接获得访问权利,并且通常高于普通用户的特权。
2. 不感染的独立性恶意代码 (1)点滴器
为传送和安装其他恶意代码而设计的,它本身不具有直接的感染性和破坏性。它专门对抗反病毒检测,使用了加密手段,以阻止反病毒程序发现它们。当特定事件出现时,它将启动,将自身包含的恶意代码释放出来。3. 可感染的依附性恶意代码
计算机病毒是一段附着在其他程序上的可以进行自我复制的代码,由于绝大多数恶意代码都或多或少地具有计算机病毒的特征。 4. 可感染的独立性恶意代码 (1)蠕虫
一种通过计算机网络能够自我复制和扩散的程序。蠕虫不需要宿主,不会与其他特定功能程序混合。蠕虫感染的是系统环境(如操作系统或邮件系统)。新感染系统采取同样的方式进行复制和传播,使得蠕虫传播非常迅速。蠕虫可以大量地消耗计算机时间和网络通信带宽,导致整个计算机系统和网络的崩溃,成为拒绝服务攻击的工具。 (2)细菌
在计算机系统中不断复制自己的程序。一个典型的细菌是在多任务系统中生成它的两个副本,然后以指数级增长,最终占用全部的系统资源,无法为用户提供服务。
6. 计算机病毒的定义和特征是什么?
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能够自我复制的一组计算机指令或者程序代码。 1)主动传染性
这是病毒区别于其他程序的一个根本特性。病毒能够将自身代码主动复制到其他文件或扇区中,这个过程并不需要人为的干预。病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机。所谓“感染”,就是病毒将自身嵌入到合法程序的指令序列中,致使执行合法程序的操作会招致病毒程序的共同执行或以病毒程序的执行取而代之。 2)破坏性
24
这也是计算机病毒的一个基本特性,比如删除文件、毁坏主板BIOS、影响正常的使用等。近年来随着将特洛伊木马程序、蠕虫程序等纳入计算机病毒的范畴,将盗取信息、使用他人计算机的资源等也列入了破坏行为的范围。3)寄生性(隐蔽性)
早期的计算机病毒绝大多数都不是完整的程序,通常都是附着在其他程序中。病毒取得系统控制权后,可以在很短时间里传染大量其他程序,而且计算机系统通常仍能正常运行,用户不会感到任何异常(非常危险)。当然现在的某些病毒本身就是一个完整的程序。 4)潜伏性
病毒进入系统之后一般不会马上发作,可以或长或短地潜伏在合法程序中,进行传染而不被人发现。潜伏的时间越长,传染范围越大。5)多态性 病毒试图在每一次感染时改变它的形态,使对它的检测变得更困难。一个多态病毒还是原来的病毒,但不能通过扫描特征字符串来发现。病毒代码的主要部分相同,但表达方式发生了变化,也就是同一程序由不同的字节序列表示。
9.什么是病毒的特征代码?它有什么作用?
病毒的特征代码是病毒程序编制者用来识别自己编写程序的唯一代码串。因此检测病毒程序可利用病毒的特征代码来检测病毒,以防止病毒程序感染。
10.什么是网络蠕虫?它的传播途径是什么?
网络蠕虫是一种可以通过网络(永久连接网络或拨号网络)进行自身复制的病毒程序。一旦在系统中激活,蠕虫可以表现得象计算机病毒或细菌。可以向系统注入特洛伊木马程序,或者进行任何次数的破坏或毁灭行动。普通计算机病毒需要在计算机的硬件或文件系统中繁殖,而典型的蠕虫程序会在内存中维持一个活动副本。蠕虫是一个独立运行的程序,自身不改变其他的程序,但可以携带一个改变其他程序功能的病毒。
25