1.replay attack ：重放攻击攻击者窃听一个正常的通信双方的通信包，然后重新发送这些数据包来欺骗某一方来完成与上次相同的通信流程。

一般通过唯一的序列号或者时间戳来防止重放攻击。

所谓重放攻击就是攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程。

为了抵御重放攻击，现在的身份认证一般采用挑战应答方式。

2.cryptanalysis ：密码分析 5种方式3.brute-force attack : 暴力攻击一般指攻击者使用暴力手段来达到攻击目的，比如猜测密码，DOS等拒绝服务攻击。

4.CRL : 证书注销列表CA发布的过期或者废止的证书的序列号。

5.TLS : 传输层安全安全套接层(SSL)及其新继任者传输层安全(TLS)是在互联网上提供保密安全信道的加密协议，为诸如网站、电子邮件、网上传真等等数据传输进行保密。

SSL 3.0和TLS 1.0有轻微差别，但两种规范其实大致相同。

工作在传输层，独立于上层应用，给应用提供一个安全的点点通信隧道。

6.PGP : pretty good privacy一个基于RSA公匙加密体系的邮件加密软件。

主要用来解决身份鉴别和保密性的安全问题。

7.ISAKMP : Internet 安全合约/密钥管理协议是IPsec 体系结构中的一种主要协议。

该协议结合认证、密钥管理和安全连接等概念来建立政府、商家和因特网上的私有通信所需要的安全。

提供自动建立安全关联和管理密钥的功能。

8.Dual-homed Bastion 双宿堡垒主机[两个网卡,两个网络]两个网卡，通常一个连接内部网络，一个连接外部网络，在应用层提供代理服务。

9.Misuse Detection 误用侦测收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。

puter Forensics 计算机取证对电脑犯罪行为进行分析，搜寻确认罪犯及其犯罪证据，并据此提起诉讼。

11.Honeypot 蜜罐蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。

这个定义表明蜜罐并无其他实际作用，因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。

而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。

用来引诱入侵者前来攻击，从而了解攻击者使用的最新的攻击方法，并可能发现现有的漏洞。

判断：1.公开密钥密码体制比对称密钥密码体制更为安全。

[x]错误。

没有可比性，安全性需要考虑使用的算法以及密钥长度来综合衡量。

2.端到端的加密设备可以把数据包中的(网络地址信息一起加密)，从而(抵御了流量分析)类型的攻击。

[x]错误。

端到端的加密设备并不能加密IP地址，不能抵御了流量分析类型的攻击。

3.Diffie-Hellman算法的安全性在与离散对数计算的困难性，可以实现(数字签名)和密钥交换。

[x]Diffie-Hellman算法的安全性在与离散对数计算的困难性，但只能用于密钥交换。

4.我的公钥证书是(不能在网络上公开)的，否则其他人可能假冒我的身份或伪造我的数字签名。

[x]公钥证书可以公开，数字签字是用私钥来签的。

5.Kerberos系统基于对称密钥密码体制，在大规模、跨管理域的应用系统的(可扩展性不好)。

[Y]正确。

因为kerberos协议本身的一些缺陷（1.客户端和服务器端软件都需要做修改；2.使用了时间戳，时间的同步问题；3.kerberos服务器的崩溃将影响到整个系统），其中1和2导致在大规模、跨管理域的应用系统的可扩展性不好。

6.由于S/MIME用于非实时的通信环境，无法实时的协商会话密钥，因此对信息的加密(只能使用公开密钥加密算法)。

[x]S/MIME对信息的加密使用对称密钥来完成，对称密钥用对方的公钥加密来传递。

7.在Ipsec（协议集）通信环境中，两个节点之间的安全通信必须建立在两个或两个以上的SA才能进行双向的安全通信，比如AH或ESP。

[y] // 意思是用AH要两个SA，如果用 ESP 也要两个 SA。

8，IPSec体系中，AH只能实现地址源发认证和数据完整性服务，ESP只能实现信息保密性（数据加密）服务。

[x]ESP也能实现地址源发认证和数据完整性认证，数据加密服务是可选的。

9，PGP协议缺省的压缩算法是ZIP，压缩后的数据由于冗余信息很少，更容易抵御密码分析类型的攻击 [y]10，在SSL握手协议的过程中，Server-Hello消息必须包含服务器的公钥证书。

[x]在SSL协议中，Server-Hello中发送服务器端证书是可选项。

11，误用检测虽然比异常检测的准确率高，但是不能检测未知的攻击类型。

[y]12，可以在局域网的网关处安装一个病毒防火墙，从而解决整个局域网的防病毒问题。

[x]病毒可能不一定从internet外传入，但可能在局域网内部传播。

13，包过滤防火墙对应用层是透明的，增加这种防火墙不需要对应用软件做任何改动。

[y]14，PGP软件中共涉及三种密钥：Public Key ,Private Key,Session Key [y] 15,现代密码体制把算法和密钥分开，只需要保证密钥的保密性就行了，算法是可以公开的。

[y]16，发送方使用AH协议处理数据包，需要对整个IP的数据包计算MAC，包括IP头的所有字段和数据。

[X]错误。

隧道模式需要对包括IP包头的整个IP包进行MAC计算，传输模式不需要。

17，3DES算法的加密过程就是用同一个米要对待加密的数据执行三次DES算法的加密操作。

[x]3DES通常用2个或3个密钥来进行加密，而且不能只进行加密操作，通常采用加密－解密－加密的方式。

18，SSL协议中，多个会话（session）可以同时复用同一个连接（connection）的参数。

[y]19，一种加密方案是安全的，当且仅当解密信息的代价大于被加密信息本身的价值。

[y]简答题。

1，在Diffie-Hellman密钥交换过程中，什么是Man-in-the-Middle攻击？2，简述蠕虫传播过程的传染病模型，解释相关变量，方程的含义。

3，简述BLP安全模型（Bell-Lapadula security model）的基本原理。

BLP安全模型基于强制访问控制系统，以敏感度来划分资源的安全级别。

在强制访问控制中，系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或对象的安全属性。

这样的访问控制规则通常对数据和用户按照安全等级划分标签，访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问。

BLP基于两种规则来保障数据的机秘度与敏感度：上读(NRU)，主体不可读安全级别高于它的数据；下写(NWD)，主体不可写安全级别低于它的数据.论述题。

1，简述SYN FLOOD 攻击的原理，并说明TCP SYN-Cookie机制是如何解决这一问题的。

攻击原理: 一种常见的DOS攻击手段，利用TCP协议的缺陷TCP在传输前需要用三次握手来建立连接。

在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接；如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。

并且如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（此时客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应。

SYN Cookie机制：就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃。

SYN Cookie更依赖于对方使用真实的IP地址，如果攻击者以数万/秒的速度发送SYN报文，那么SYN Cookie就不能抵御这种SYN FLOOD。

2，如果你怀疑自己的计算机被黑客远程控制或被儒虫感染，你计划采用哪些步骤检查自己的计算机？a. 检查系统可疑进程b.检查系统启动脚本c.检查可疑的连接/监听端口等 d.升级杀毒软件，安装防火墙比较流行的Arp病毒原理及防护方法主机在两种情况下会保存、更新本机的ARP缓存表.1. 接收到“ARP广播-请求”包时2. 接收到“ARP非广播-回复”包时从中我们可以看出，ARP协议是没有身份验证机制的，局域网内任何主机都可以随意伪造ARP数据包，ARP协议设计天生就存在严重缺陷。

假设局域网内有以下三台主机（其中GW指网关），主机名、IP地在正常情况下，主机PC02与GW之间的数据流向，以及它们各自的ARP缓存表如下图所示：当网络爱好者，主机PC03出现之后，他为了达到某种目的，于是决定实施一次ARP欺骗攻击。

PC03首先向PC02发送了一个ARP数据包，作用相当于告诉PC02：“嘿，我是192.168.0.1，我的MAC地址是03-03-03-03-03-03”，接着他也向GW发送了一个ARP数据包，作用相当于告诉GW：“嘿，我是192.168.0.2，我的MAC地址是03-03-03-03-03-03”。

于是，主机PC02与GW之间的数据流向，以及它们各自的ARP缓存表就变成如下图所示：从上图我们可以看出，ARP欺骗之后，主机PC02与GW之间的所有网络数据都将流经PC03，即PC03已经掌控了它们之间的数据通讯。

以上就是一次ARP欺骗的实施过程，以及欺骗之后的效果。

ARP欺骗根据欺骗对象的不用可以分为三种：1. 只欺骗受害主机。

实施欺骗后效果如下：2. 只欺骗路由器、网关。

实施欺骗后效果如下：3. 双向欺骗，即前面两种欺骗方法的组合使用。

实施欺骗后的效果如下：ARP欺骗带来的危害可以分为几大类：1. 网络异常。

具体表现为：掉线、IP冲突等。

2. 数据窃取。

具体表现为：个人隐私泄漏（如MSN聊天记录、邮件等）、账号被盗用（如QQ账号、银行账号等）。

3. 数据篡改。

具体表现为：访问的网页被添加了恶意内容，俗称“挂马”。

4. 非法控制。

具体表现为：网络速度、网络访问行为（例如某些网页打不开、某些网络应用程序用不了）受第三者非法控制。

ARP欺骗根据发起个体的不同可以分为两类，(1). 人为攻击。

人为攻击的目的主要是：造成网络异常、窃取数据、非法控制。

(2). ARP病毒。

ARP病毒不是特指某一种病毒，而是指所有包含有ARP欺骗功能的病毒的总称。

ARP病毒的目的主要是：窃取数据（盗号等）、篡改数据（挂马等）。