网络安全与管理网络安全是指保护网络系统屮软件、硬件及信息资源，使之免受偶然或恶意的破 坏、篡改和泄霜，保护网络系统的正常运行、网络服务不中断。

网络安全的属性c 完整性★不可抵赖性）★可用性*机密性★完整性*可靠性★不可抵赖性考点:意思Eg ： a 给b 传送数据,数据被被修改了 :破坏了完整性保证数据的完整性的技术:消息摘要,最典型的是MD5Eg ：人家发送东西过来,你不可抵赖，怎么确认这个数据是这个人发送给我 的呢? 这里利用了数字签名P3网络安全的威胁（★主动攻击★被动攻击）（选择题）图1-1网络安全威胁是指某个（人、事件、程序等）对某一网络资源的机密性、完整 性、可用性及可靠性等可能造成的危害。

分类：故意的和偶然的主动攻击：屮断总改伪造被动攻击：截获（窃听）P8网络安全模型（应该是填空题）Policy-Protectio n ・ Detection-Resp onse 2 PDRR 防护检测响应恢复 Protection-Detection-Response-Recovery 1.21.3 1.4 不考 P2 第一章选择题2Z X15 30,填空题rxio io z 简答题3宁（4） 计算题25,⑶ Arrian1 P 2DR 策略保护检测响应Sniffer和网络操作命令P31常用的网络协议1、IP协议2、TCP协议3、UDP协议4、ICMP协议P35常用的网络服务1、Telnet2、FTP3、E-MailSMTPPOP4、WWW5、DNSP36 Sniffer是一个嗅探器考点：把几个工具放在一块，能判断哪个是做什么用的Sniffer抓包，靠网卡接受的，要把网卡设为混杂/杂乱模式考点：截图'这个数据包从哪台主机发送到哪台主机，内容可能是什么？2.3重点Windows的常用命令10，1 ping用来检测当前主机与目的主机Z间的通信情况，发ICMP包2 ipconfig /all用于在命令行方式下显示TCP/IP配置信息、刷新动态主机配置协议和域名系统设置。

/all显示所有的配置信息3 tracert 追踪通过向目标发送不同IP生存时间(TTL)值的ICMP数据包，tracent诊断程序确定到口标所采用的路由。

4 net (注意，考题中要写Net指令的话是写4个)1、net start2、net stop启动或者关闭本地主机或远程主机上的服务eg： net start telnet3、net user peter 12345 /add *net user peter /del查看、管理账户有关的情况eg： net user是查看上面的例了是创建与删除用户net user peter/active:yes激活用户4、net localgroupadminstrators 123 /add查看所冇个用户组冇关的信息和进行相关操作，上面的例子是创建一个管理员组，这里123是用户民telnet传输口令是明文重点难点30'不考RSA的计算题P60例题m是分组数，k是置换表（密钥）（出计算题）P57 凯撒密码的k是3 （移位密码）（出计算题，一定要写步骤）（原来的字母不变顺序打乱的加密）对称与非对称加密解密密钥相同。

对称加密解密密钥不同。

非对称xd*^»»»»»»»»»»»»»»»»»»»»»»»»»»»> P63 DES （分组的）密钥的长度64位16次循环（出计算题）1数字加密时先明文分组64bit为-•组，密文64bit密钥64bit实际是56bit （考试问DES 密钥的长度56bit）加密时一个循环的过程，循环了16次，密钥56bit 屮选出16个48bit 子密钥。

采用混乱和扩散的组合64-明文分组56-密钥的长度48•子密钥的长度16-循环次数2图3・5 P6432bit扩展置换（E盒）32bit异或48bit密钥=48bit48bitS•盒代替（压缩）32bitP•置换考点：S盒的作用:S-盒置换是将48bit的输入变成32bit的输出48bit分成8组，每组输入6bit,每一组6bit输入输出4bit 考点给6bit的输入你给我输出4bitEg：怎么找横和列10111010其实是对应S•盒的行对应0~3 屮间的4bit对应S■盒的列对应0~15 P64过程：48bit组被分成8个6 bit组，没一个6 bit组作为一个S盒的输入，输入为一个4 bit组。

每个S•盒式一个4行16列的表，表中的每一项都是一个4bit 的数。

S盒的6bit的输入确定其输出为表中的哪一个项, 其方式是6bit数的首、末两位数决定输出项所在的行；中间的四位决定输出项所在的列。

例如：S盒的输入为110101,则输出为第3行第10列的项，即输出为4bit 组0001见书P64^h^t^»»»»»»»»»»»»»»»»»»»»»»»»»»> P73非对称密码体制里面有RSA 又称,公钥密码体制加密方法：用对方的公钥加密对方用自己私钥解密（可能简答，用AB 描述）第四章P82 4.2消息认证（完整性）图4・2加附件（指纹）MD5问题：附件和消息的关系：一个消息就一个指纹消息认证码生成方法：1对称密钥体制2散列函数P83实际生活屮用MD5单向散列函数P86数字签名，可以用非对称加密体制P87基本原理：签名者的私有信息签名（私钥）数字签名是实现方法：1对称加密和仲裁者（很少用，繁琐、复杂）2公钥体制（非对称）〃主要用自己的私钥签名4.3不考P91 4.4 PKI公钥基础设施（非对称）1 CA认证机关（核心）（管理证书的，记住与证书的所有操作都是CA管的）在win2003中建立一个CACA的功能厂证书颁发％正书更新★证书撤销★证书和CRL的公布 *证书状态的在线查询★证书认证★制定政策（选择题）2数字证书库（数据证书［公钥证书］用于绑定持有人的身份和公钥）用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥3密钥备份及恢复4证书作废系统5应用接口第八早P141 SSL （https）安全套接层协议••为了保护web通信协议http SSL协议提供的安全信道冇以下三个特征：P1421利用认证术识别身份（证书）2利用加密技术保证通信的保密性3利用数字签名技术保证信息传送的完整性（消息认证）SSL的上层包括三种协议：1握手协议（交换证书）P145图6-13Step2,4在发送证书2改变加密规格协议/记录协议P143图6・123报警I办议以https://开头的URL访问SSL安全站点SSL分为2层上层：握手协议和报警协议，而下层：记录协议第七章P165 PGP （对Email和本地文件加密）对称（内容）4■非对称（密钥）结合简答题在后面出第九章P199什么是计算机病毒？（程序）1破坏性2自我复制定义：计算机病毒是指编制或者在计算机出现中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

*木马不是病毒没冇自我复制性P201病毒的特征1传染性2破坏性3潜伏性4可执行性5可触发性6隐蔽性P202病毒的分类选择题，如哪个是宏病毒？1文件感染型主要感染文件扩展名为com ,exe等可执行程序熊猫烧香CIH2引导扇区型主要影响软盘上的引导扇区和硬盘上的主引导扇区3混合型综合了引导型和文件型病毒4宏病毒寄生于文档或者模块的宏屮eg：（1999）美丽杀手病毒Macro 5网络病毒和传统病毒相比，下列类型的病毒不感染文件或引导区，而是通过网络来传播•特洛伊木马•蠕虫病毒（基于网络传播后具有破坏性的，木马只是远程控制，蠕•网页病毒虫是自我复制以后进行破坏）P208蠕虫（爱情后门）P205命名命名格式：病毒前缀（类型）•病毒名•病毒后缀（变种）Worm •蠕虫病毒网络天空、贝革热、高波、震荡波、爱情后门CIH •系统病毒Win95.CIH、Win32.CIHTrojan •木马病毒、黑客病毒灰鸽子冰河Script •脚本病毒欢乐时光、十四日Macro ■宏病毒美丽杀手Backdoor •后门病毒瑞波、IRC后门P206典型病毒分析第十章重点ARP木马扫描器10.1 10.2 10.310.4 不考扫描器scan 问题：哪个是扫描器P228常见的扫描器：X-scan、NSS （网络安全扫描器）、SSTAN （安全管理员的网络分析工具）、ISS、Nessus、JakaK Stobe、IdentTCPscan 等等;可参考ppt网络监听P230只要知道sniffer常用的网络监听工具有NetXray、X-scan> sniffer、tcpdump、winpcap 3.0等”重点* ARP欺骗（简答）1 A->BC是欺骗者，对A欺骗C告诉A, B的Mac是C2 A把映射消息放到缓存表里，若A查自己的映射表找B的mac地址（实际是C的mac）3 3 种模式A->B ・A->|B A<->B★重点* 10.6 （简答）拒绝服务DoS （Denial of Serveice）图10-2P234定义指一个用户占据了大量的共享资源，使系统没冇剩余的资源给其他用户提供服务的一种攻击行为。

攻击过程首先攻击者想服务器发送众多的带有虚假地址的请求，服务器发送冋复信息后等待冋传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源始终没冇被释放。

当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求, 在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。

DoS —个很常见的攻击，是基于TCP三次握手的。

分布式拒绝服务DDoS （Distributed Denial of Service）图10・3 定义它是一种基于Dos的特殊形式的拒绝服务攻击，是一种分布、血作的大规模攻击方式，主要瞄准比较大的站点，像商业公司、搜索引擎和政府部门的站点。

DDoS攻击体系分成三层「攻击者哇控端★代理端被DDoS攻击的表现通常有：•被攻击主机有大量等待的TCP连接•网络中充斥着大量无用的数据包，源地址为假•制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通信。