pos是Packet over SONET/SDH的缩写,这是一种利用SONET/SDH提供的高速传输通道直接传送IP数据包的技术。POS技术支持光纤介质,它是一种高速、先进的广域网连接技术。在路由器上插入一块POS模块,路由器就可以提供POS 接口。
POS使用的链路层协议主要有PPP和HDLC。POS可以提供155Mbps、622Mbps、2.5Gbps和10Gbps传输速率的接口,最高传输速率达到了10Gbps。POS接口的配置参数有接口带宽、接口地址、接口的链路层协议、接口的帧格式、接口的CRC校验和flag(帧中静负荷类型的标志位)等。在配置POS接口时需要注意的是,有些参数必须与对端接口的参数保持一致,如接口的链路层协议、帧格式、CRC校验和flag。
===============================
SDH采用的信息结构等级称为同步传送模块STM-N(Synchronous Transport,N=1,4,16流程,64),最基本的模块为STM-1,四个STM-1同步复用构成STM-4,16个STM-1或四个STM-4同步复用构成STM-16;SDH 采用块状的帧结构来承载信息,每帧由纵向9行和横向270×N列字节组成,每个字节含8bit,整个帧结构分成段开销(Section OverHead,SOH)区、STM -N净负荷区和管理单元指针(AU PTR)区三个区域,其中段开销区主要用于网络的运行、管理、维护及指配以保证信息能够正常灵活地传送,它又分为再生段开销(Rege nerator Section OverHead,RSOH)和复用段开销(Multiplex Section OverHead,MSOH);净负荷区用于存放真正用于信息业务的比特和少量的用于通道维护管理的通道开销字节;管理单元指针用来指示净负荷区内的信息首字节在STM-N帧内的准确位置以便接收时能正确分离净负荷。SDH的帧传输时按由左到右、由上到下的顺序排成串型码流依次传输,每帧传输时间为125μs,每秒传输1/125×1000000帧,对STM-1而言每帧字节为8bit×
(9×270×1)=19440bit,则STM-1的传输速率为19440×8000=155.520Mbit /s;而STM-4的传输速率为4×155.520Mbit/s=622.080Mbit/s;STM-16的传输速率为16×155.520(或4×622.080)=2488.320Mbit/s。SDH传输业务信号时各种业务信号要进入SDH的帧都要经过映射、定位和复用三个步骤:映射是将各种速率的信号先经过码速调整装入相应的标准容器(C),再加入通道开销(POH)形成虚容器(VC)的过程,帧相位发生偏差称为帧偏移;定位即是将帧偏移信息收进支路单元(TU)或管理单元(AU)的过程,它通过支路单元指针(TU PTR)或管理单元指针(AU PTR)的功能来实现;复用则是将多个低价通道层信号通过码速调整使之进入高价通道或将多个高价通道层信号通过码速调整使之进入复用层的过程。
DDN
·DDN是利用数字信道提供半永久性连接电路,以传输数据信号为主的数字传输网络。
·通过DDN节点的交叉连接,在网络内为用户提供一条固定的,由用户独自完全占有的数字电路物理通道。无论用户是否在传送数据,该通道始终为用户独享,除非网管删除此条用户电路。这是一种电路交换方式。
DDN可向用户提供2.4k、4.8k、9.6k、19.2k、N*64(N=1~31)及2048kbps 速率的全透明的专用电路DDN用户终端可以是异步终端(DTE)、计算机(PC)、可以是局域网络
帧中继
帧中继(Frame Relay)是一种用于连接计算机系统的面向分组的通信方法。它主要用在公共或专用网上的局域网互联以及广域网连接。大多数公共电信局都提供帧中继服务,把它作为建立高性能的虚拟广域连接的一种途径。帧中继是进入带宽范围从56Kbps到1.544Mbps的广域分组交换网的用户接口。
======================================
PSTN
PSTN ( Public Switched Telephone Network )定义公共交换电话网络,一种常用旧式电话系统。即我们日常生活中常用的电话网。工作原理公共交换电话网络是一种全球语音通信电路交换网络,包括商业的和政府拥有的。
ISDN
ISDN综合业务数字网(Integrated Services Digital Network,ISDN)是一个数字电话网络国际标准,是一种典型的电路交换网络系统。它通过普通的铜缆以更高的速率和质量传输语音和数据。ISDN是欧洲普及的电话网络形式。GSM移动电话标准也可以基于ISDN传输数据。
ATM
ATM是在LAN或WAN上传送声音、视频图像和数据的宽带技术。它是一项信元中继技术,数据分组大小固定。你可将信元想像成一种运输设备,能够把数据块从一个设备经过ATM交换设备传送到另一个设备。所有信元具有同样的大小,不像帧中继及局域网系统数据分组大小不定。使用相同大小的信元可以提供一种方法,预计和保证应用所需要的带宽。如同轿车在繁忙交叉路口必须等待长卡车转弯一样,可变长度的数据分组容易在交换设备处引起通信延迟。
优缺点
其特征:基于信元的分组交换技术;快速交换技术;面向连接的信元交换;预约带宽。
其优点:吸取电路交换实时性好,分组交换灵活性强的优点;采取定长分组(信元)作为传输和交换的单位;具有优秀的服务质量;目前最高的速度为10gb/s,即将达到40gb/s.。
其缺点:信元首部开销太大;技术复杂且价格昂贵。
x.25
基本介绍
X.25是一个使用电话或者ISDN设备作为网络硬件设备来架构广域网的ITU-T 网络协议。它的实体层,数据链路层和网络层(1-3层)都是按照OSI体系模型来架构的。在国际上X.25的提供者通常称X.25为分封交换网(Packet switched network),尤其是那些国营的电话公司。它们的复合网络从80年代到90年代覆盖全球,在现在仍然应用于交易系统中。
X.25协议是CCITT(ITU)建议的一种协议,它定义终端和计算机到分组交换网络的连接。分组交换网络在一个网络上为数据分组选择到达目的地的路由。X.25是一种很好实现的分组交换服务,传统上它是用于将远程终端连接到主机系统的。这种服务为
x.25
同时使用的用户提供任意点对任意点的连接。来自一个网络的多个用户的信号,可以通过多路选择通过X.25接口而进入分组交换网络,并且被分发到不同的远程地点。一种称为虚电路的通信信道在一条预定义的路径上连接端点站点通过网络。虽然X.25,吞吐率的主要部分是用于错误检查开销的,X.25接口可支持高达64Kbps 的线路,CCITT在1992年重新制定了这个标准,并将速率提高到2.048Mbps。
X.25的分组交换体系结构具有一些优点和缺陷。信息分组通过散列网络的路由是根据这个分组头中的目的地址信息进行选择的。用户可以与多个不同的地点进行连接,而不象面向电路的网络那样在任何两点之间仅仅存在一条专用线路。由于分组可以通过路由器的共享端口进行传输的,所以就存在一定的分发延迟。虽然许多网络能够通过选择回避拥挤区域的路由来支持过载的通信量,但是随着访问网络人数的增多,用户还是可以感觉到性能变慢了。和此相反,面向电路的网络在两个地点之间提供一个固定的带宽,它不能适应超过这个带宽的传输的要求。
X.25的开销比帧中继要高许多。例如,在X.25中,在一个分组的传输路径上的每个结点都必须完整地接收一个分组,并且在发送之前还必须完成错误检查。帧中继结点只是简单地查看分组头中的目的地址信息,并立即转发该分组,在一些情况下,甚至在它完整地接收一个分组之前就开始转发。帧中继不需要X.25中必须在每个中间结点中存在的用于处理管理、流控和错误检查的状态表。端点结点必须对丢失的帧进行检查,并请求重发。
X.25受到了低性能的影响,它不能适应许多实时LAN对LAN应用的要求。然而,X.25很容易建立,很容易理解,并且已被远程终端或计算机访问,以及传输量较低的许多情况所接收。X.25可能是电话系统网络不可靠的国家建立可靠网络链路的唯一途径。许多国家使用X.25服务。与此不同,在一些国家获得可靠的专用线路并不是不可能的。
在美国,大多数电讯公司和增值电信局(VAC)提供X.25服务,这些公司包括AT&T、US Sprint、compuserve、Ameritech、Pacific Be1l和其它公司。还可以通过在用户所在地安装X.25交换设备,并用租用线路将这些地点连接起来,来建立专用的X.25分组交换网络。
X.25是在开放式系统互联(OSI)协议模型之前提出的,所以一些用来解释x.25的专用术语是不同的。这种标准在三个层定义协议,它和OSI协议栈的底下三层是紧密相关的。
历史
X.25是由ITU第VII组根据一系列的数字网络计划发展出来的,象在Donald Davies领导下的英国的国家物理实验室的研究项目,Donald Davies率先提出了分组交换的概念。在60年代快结束的时候,一个实验性的网络开始运营了,到了1974年已经有一系列的网络都以SERCnet的形式相互链接了。SERCnet在之后不断成长并在1984年改名叫JANET,这个网络直到今天仍然在运行,只是变成了一个TCP/IP网络。其他的对这个标准实施作出贡献的还有70年代开始的由法国,加拿大,日本以及斯坎迪纳维亚半岛的国家合作开发的ARPA计划。各种各样的升级和附加功能使得这一标准日益完善,每4年ITU都会出版一本不同封面颜色新的技术手册来描述这些变化。
结构
X.25的首要原则是在一个基于位差错校验创建一个模拟电话网络之上的全球性的分组交换网络。许多的X.25系统误码率都很高,从而达不到这一要求所以需要接入规程LAP-B。X.25模型实质上是建立基于面向连接的虚电路,通过DTE来提供给用户看似点对点链接的虚连接。
X.25是在一个哑终端的时代发展起来的,需要连接到主计算机。取代直接连接到主计算机—这需要主计算机拥有自己的调制解调器和电话线,而且还需要没有本地通话来进行长距离呼叫请求—主机可以同网络服务器建立X.25连接。这样哑终端用户可以直接进行拨号连接到网络了。本质上来说,调制解调器和端口为一端,X.25连接在另一端,这是由ITU-T X.29和X.3标准定义的。
已经和PAD建立好连接之后,哑终端的用户通知PAD一个类似于电话号码的X.121地址的方式来表明和哪一个主机建立连接。接下来PAD发送一个X.25请求到主机,建立一个虚电路。指出X.25建立好了一个虚电路,从而形成了一个电路交换网络,尽管实际上数据仍然是通过分组交换网络传输的。如果是两个X.25通信的话,
当然就可以直接呼叫对方了;不用PAD了。理论上来说,不用在乎X.25呼叫方和X.25定义方是否在同一个传输上,单是实际上一个传输同其他传输相互呼叫并不总是可行的。
面相链接的虚电路
在X.25的历史上,它曾经用来作永久虚拟电路(permanent virtual circuits, PVCs)来使得两台主计算机精确链接。这些应用是非常常见的,例如在银行,从而使得分散地办公室连接到一台中心主机上,这样比建立实际的长距离电话连接要便宜许多。X.25的每月服务费用通常都是比较平均的。其速度随着时间的推移逐步增长,典型值为48或者96 kbit/s。公用的X.25网络在大多数国家都是在70年代到80年代建造的,为了减少网络服务的费用,用户首先要和网络接口进行连接,称为“虚电路交换”(SVCs)或者“虚连接到公共数据网”,这些X.25应用在90年代随着因特网的出现在大多数地方都不采用了。
许多的系统都直接使用了X.25,这其中的许多都是私有化的应用,然而这已经是X.25还是世界上唯一的网络标准的时候的事了,不过X.400电子邮件系统仍然采用X.25作为传输层。OSI最基本的设想是建立一个全球性的网络标准,然而互联网工业的发展最终采用了因特网的标准。
网络攻防考试资料整理书签也是目录,仔细阅读综述 Abel,Master,刘立 12/7/2010 内容概览: Part1综述 Part2选择题题库 Part3怎样布置一个办公局域网络 Part4课件框架 Part5全部课件原文 (1)感谢信安的历届前辈,这些资料都是历年积累下来的。(2)同时因为每一年的考试情况有所不同,因此这份资料和考试情况难免有所出入。(3)学习好,是平时努力,今后受益;考试好,只是一门技术。
Part1.综述 1.考试综述 1.1.引用文档里面的告诫 1.1.1.“答题的时候不用全抄原话,分重点列出 1234,每条后面加点自己简明扼要 的理解就够了” 1.1. 2.经常有这种情况 1.1. 2.1. 1.1. 2.2. 一般看到内容差不多,很兴奋,就全篇的抄进去了 让同学答题的时候看准问题再抄,别抄了半天和问题对不起来 1.2.推测很可能考试具体的知识点,因此 Ctrl+F会经常用到。 1.2.1.注意使用快捷键:比如说,Foxit Reader里面,F3就是“查找下一个”; 1.2.2.注意搜索关键词:比如说题目是“拒绝服务攻击”,课件里面可能是“DoS” 或者“决绝服务的攻击”,所以需要搜索“拒绝服务”并且熟悉课件。 1.2.3.注意,同样一个名词可能在很多章节里面出现。比如“缓存区溢出”可能出 现了 50次,可能有一个小节标题是“几种类型”。因此,题目“缓存区溢出 的类型”,可能需要浏览、关键词查找相结合。 1.2.4.所以最好是熟悉一下各个课件的框架。如果查找的时候可以知道在哪一张查 找,效率会高得多,并且会减少错误。 2.题型和题目分布 2.1.选择题(见 Part2:“选择题题库”) 2.1.1.据说全部是“选择题题库”里面的原题; 2.1.2.对策:直接应用 Ctrl+F进行关键词查找; 2.2.名词解释(见 Part5:“课件 PDF格式整合”) 2.2.1.基本上是每一节课的内容出一道题目; 2.2.1.1. 2.2.2.对策:通过索引找到考点在哪一次课的课件,然后利用 Ctrl+F在 PDF里面进 行查找,F3查找下一个; 2.3.简答题(见 Part5:“课件 PDF格式整合”) 2.3.1.基本上是每一节课的内容出一道题目 2.3.2.对策:通过索引找到考点在哪一次课的课件,然后利用 Ctrl+F在 PDF里面进 行查找,F3查找下一个; 2.4.应用题(见 Part3 :“布置一个办公局域网络”) 2.4.1.很可能是布置一个办公局域网络 2.4.1.1. 2.4.1.2. 要用到 DMZ,防火墙,路由器的配合要画拓扑图,说的越详细越好
TypeYourNameHere TypeDateHere 网络攻击常用手段介绍 通常的网络攻击一般是侵入或破坏网上的服务器主机盗取服务器的敏感数据或干 扰破坏服务器对外提供的服务也有直接破坏网络设备的网络攻击这种破坏影响较大会导致 网络服务异常甚至中断网络攻击可分为拒绝服务型DoS 攻击扫描窥探攻击和畸形报文攻 击三大类 拒绝服务型DoS, Deny of Service 攻击是使用大量的数据包攻击系统使系统无法接 受正常用户的请求或者主机挂起不能提供正常的工作主要DoS攻击有SYN Flood Fraggle等 拒绝服务攻击和其他类型的攻击不大一样攻击者并不是去寻找进入内部网络的入口而是去阻止合法的用户访问资源或路由器 扫描窥探攻击是利用ping扫射包括ICMP和TCP 来标识网络上存活着的系统从而准确的 指出潜在的目标利用TCP和UCP端口扫描就能检测出操作系统和监听着的潜在服务攻击者通 过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞为进一步侵入系统做好准备 畸形报文攻击是通过向目标系统发送有缺陷的IP报文使得目标系统在处理这样的IP包时 会出现崩溃给目标系统带来损失主要的畸形报文攻击有Ping of Death Teardrop等 一DoS攻击 1. IP Spoofing 攻击 为了获得访问权入侵者生成一个带有伪造源地址的报文对于使用基于IP地址验证的应用 来说此攻击方法可以导致未被授权的用户可以访问目的系统甚至是以root权限来访问即使 响应报文不能达到攻击者同样也会造成对被攻击对象的破坏这就造成IP Spoofing攻击 2. Land攻击 所谓Land攻击就是把TCP SYN包的源地址和目标地址都设置成某一个受害者的IP地址这将 导致受害者向它自己的地址发送SYN-ACK消息结果这个地址又发回ACK消息并创建一个空连接每一个这样的连接都将保留直到超时掉各种受害者对Land攻击反应不同许多UNIX主机将崩 溃NT主机会变的极其缓慢 3. smurf攻击 简单的Smurf攻击用来攻击一个网络方法是发ICMP应答请求该请求包的目标地址设置为 受害网络的广播地址这样该网络的所有主机都对此ICMP应答请求作出答复导致网络阻塞这 比ping大包的流量高出一或两个数量级高级的Smurf攻击主要用来攻击目标主机方法是将上 述ICMP应答请求包的源地址改为受害主机的地址最终导致受害主机雪崩攻击报文的发送需要一定的流量和持续时间才能真正构成攻击理论上讲网络的主机越多攻击的效果越明显 4. Fraggle攻击 Fraggle 类似于Smurf攻击只是使用UDP应答消息而非ICMP UDP端口7 ECHO 和端口19 Chargen 在收到UDP报文后都会产生回应在UDP的7号端口收到报文后会回应收到的内 容而UDP的19号端口在收到报文后会产生一串字符流它们都同ICMP一样会产生大量无用的 应答报文占满网络带宽攻击者可以向子网广播地址发送源地址为受害网络或受害主机的UDP 包端口号用7或19 子网络启用了此功能的每个系统都会向受害者的主机作出响应从而引发大量的包导致受害网络的阻塞或受害主机的崩溃子网上没有启动这些功能的系统将产生一个ICMP不可达消息因而仍然消耗带宽也可将源端口改为Chargen 目的端口为ECHO 这样会自 动不停地产生回应报文其危害性更大 5. WinNuke攻击 WinNuke攻击通常向装有Windows系统的特定目标的NetBIOS端口139 发送OOB out-ofband 数据包引起一个NetBIOS片断重叠致使已与其他主机建立连接的目标主机崩溃还有一 种是IGMP分片报文一般情况下IGMP报文是不会分片的所以不少系统对IGMP分片报文的处 理有问题如果收到IGMP分片报文则基本可判定受到了攻击 6. SYN Flood攻击 由于资源的限制TCP/IP栈的实现只能允许有限个TCP连接而SYN Flood攻击正是利用这一
计算机网络10种硬件设备介绍网络设备主要有网卡、中继器、网桥、集线器、交换机、路由器、网关、调制解调器、防火墙和传输介质等。 一、网卡 网络接口卡(Network Interface Card,NIC),又称网卡或网络适配器,工作在数据链路层的网 络组件,是主机和网络的接口,用于 协调主机与网络间数据、指令或信息 的发送与接收,硬件结构如右图所 示。在发送方,把主机产生的串行数 字信号转换成能通过传输媒介传输的比特流;在接收方,把通过传输媒介接收的比特流重组成为本地设备可以处理的数据。主要作用: (1)读入由其他网络设备传输过来的数据包,经过拆包,将其变成客户机或服务器可以识别的数据,通过主板上的总线将数据传输到所需设备中。 (2)将PC发送的数据,打包后输送至其他网络设备中。 二、中继器 中继器(Repeater)是网络物理层上面的连接设备。适用于完全相同的两类网络的互连,主要功能是对数据信号进行再生和还原,重新发送或者转发,扩大网络传输的距离。由于存在
损耗,在线路上传输的信号功率会逐渐衰减,衰减到一定程度时将造成信号失真,因此会导致接收错误。中继器就是为解决 这一问题而设计的,它完成物理线路的连接,对衰减的信号进行放大,保持与原数据相同。如上图所示,经过远距离传输过来的信号经过中继器处理后,再传输到各设备。 三、网桥 网桥(Bridge)像一个聪明的中继器。中继器从一个网络电缆里接收信号,放大它们,将其送入下一个电缆。相比较而言,网桥将两个相似的网络连接起来,并对网络数据的流通进行管理。它工作于数据链路层,不但能扩展网络的距离或范围,而且可提高网络的性能、可靠性和安全性。网桥可以是专
常见的网络设备 1、中继器repeater: 定义:中继器是网络物理层上面的连接设备。 功能:中继器是一种解决信号传输过程中放大信号的设备,它是网络物理层的一种介质连接设备。由于信号在网络传输介质中有衰减和噪声,使有用的数据信号变得越来越弱,为了保证有用数据的完整性,并在一定范围内传送,要用中继器把接收到的弱信号放大以保持与原数据相同。使用中继器就可以使信号传送到更远的距离。 优点: 1.过滤通信量中继器接收一个子网的报文,只有当报文是发送给中继器所连 的另一个子网时,中继器才转发,否则不转发。 2.扩大了通信距离,但代价是增加了一些存储转发延时。 3.增加了节点的最大数目。 4.各个网段可使用不同的通信速率。 5.提高了可靠性。当网络出现故障时,一般只影响个别网段。 6.性能得到改善。 缺点: 1.由于中继器对接收的帧要先存储后转发,增加了延时。 2.CAN总线的MAC子层并没有流量控制功能。当网络上的负荷很重时, 可能因中继器中缓冲区的存储空间不够而发生溢出,以致产生帧丢失的现 象(3)中继器若出现故障,对相邻两个子网的工作都将产生影响。 2、集线器hub: 定义:作为网络中枢连接各类节点,以形成星状结构的一种网络设备。 作用:集线器虽然连接多个主机,但不是交换设备,它面对的是以太网的帧,它的工作就是在一个端口收到的以太网的帧,向其他的所有端口进行广播(也有可能进行链路层的纠错)。只有集线器的连接,只能是一个局域网段,而且集线器的进出口是没有区别的。 优点:在不计较网络成本的情况下面,网络内所有的设备都用路由器可以让网络响应时间和利用率达到最高。
缺点: 1.共享宽带,单通道传输数据,当上下大量传输数据时,可能会出现塞车,所以 交大网络中,不能单独用集线器,局限于十台计算机以内。 2.它也不具备交换机所具有的MAC地址表,所以它发送数据时都是没有针对性的, 而是采用广播方式发送。也就是说当它要向某节点发送数据时,不是直接把数据发送到目的节点,而是把数据包发送到与集线器相连的所有节点。 2、交换机switcher: 定义:网络节点上话务承载装置、交换级、控制和信令设备以及其他功能单元的集合体。交换机能把用户线路、电信电路和(或)其他需要互连的功能单元根据单个用户的请求连接起来。 功能:交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。目前交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。 优点: 1.扩展传统以太网的带宽:每个以太网交换机的端口对用户提供专用的10Mb/s 带宽,由交换机所提供的端口数目可以灵活有效地伸缩带宽性能,也可以由 以太网交换机提供100Mb/s的快速以太网端口,用以连接高速率的服务器和 网络干线LAN段,以进一步提高网络性能。 2.加快网络响应时间:在以太网交换机端口上,可以由少数几个用户共享同一 个10Mb/s的带宽,甚至只有一个用户独占10Mb/s带宽。这样可以明显地加 快网络的响应速度。这是减少甚至消除了在网络上发生数据包碰撞的直接结 果。 3.部署和安装的费用低:以太网交换机使用现有的10Mb/s的以太网电缆布线 (一般可以使用第3类UTP),原有的网络接口卡,集线器和软件,保护了企 业网原有的投资,在互连网络中加进一台以太网交换机通常简便可行。 4.提高网络的安全性:因为交换机只对和数据包的目的地地址相联系的端口送 出单点传送的数据包,其它地址的用户接收不到通信。当每个交换机端口支 持单个用户,或者当部署虚拟LAN的情况,提高网络安全性的程度是最大的。 缺点: 1、无法隔离广播风暴;
物理层设备 1.调制解调器 调制解调器的英文名称为modem,来源于Modulator/Demodulator,即调制器/解调器。 ⑴工作原理 调制解调器是由调制器与解调器组合而成的,故称为调制解调器。调制器的基本职能就是把从终端设备和计算机送出的数字信号转变成适合在电话线、有线电视线等模拟信道上传输的模拟信号;解调器的基本职能是将从模拟信道上接收到的模拟信号恢复成数字信号,交给终端计算机处理。 ⑵调制与解调方式 调制,有模拟调制和数字调制之分。模拟调制是对载波信号的参量进行连续地估值;而数字调制使用载波信号的某些离散状态来表征所传送的信息,在接收端对载波信号的离散参量进行检测。调制是指利用载波信号的一个或几个参数的变化来表示数字信号的一种过程。 调制方式相应的有:调幅、调频和调相三种基本方式。 调幅:振幅调制其载波信号将随着调制信号的振幅而变化。 调频:载波信号的频率随着调制信号而改变。 调相:相位调制有两相调制、四相调制和八相调制几种方式。 ⑶调制解调器的分类 按安装位置:调解解调器可以分为内置式和外置式 按传输速率分类:低速调制解调器,其传输速率在9600bps以下;中速调制解调器,其传输速率在9.6~19.2kbps之间;高速调制解调器,传输速率达到19.2~56kbps。 ⑷调制解调器的功能 ?差错控制功能:差错控制为了克服线路传输中出现的数据差错,实现调制解调器至远端调制解调器的无差错数据传送。 ?数据压缩功能:数据压缩功能是为了提高线路传输中的数据吞吐率,使数据更快地传送至对方。 ⑸调制解调器的安装 调制解调器的安装由两部分组成,线路的连接和驱动程序的安装。 线路连接: ?将电话线引线的一端插头插入调制解调器后面LINE端口。
得益于国家对信息化建设的大力投入,国内网络市场非常繁荣,目前市场中有着数量众多的网络设备提供商,常见的厂商包括:思科(CISCO),瞻博网络(Juniper)、华三通信(H3C)、Force 10、博科(Brocade)、Exterme、HP Procuve、华为、中兴、迈普、博达、神州数码、锐捷、D-LINK、TP-LINK、联想、NetGear、华硕、TCL、腾达、`金星等。 针对这些常见的网络设备厂商,根据厂商实力、技术研发实力、服务能力等,进行简单的分析:第一梯队:ciscoJuniperH3C 在网络设备厂商中,思科、瞻博、华三是目前市场上的最主流供应商,三家厂商各有擅长,在各自领域内都有非常出色的业绩。 思科 作为一家传统的网络通信产品供应商,占据了全球60%以上的网络设备份额,其产品做工精良、运行稳定,在网设备最长记录为12年,是当之无愧的网络通信老大。 优势:全球第一批网络厂商,和施乐、3COM等以太网始祖为同一时代公司,技术积累深厚,对行业理解深刻,引领技术潮流,产品技术过硬; 劣势:在国内不提供原厂服务(在北美和欧洲都是提供原厂服务),全部依靠渠道完成服务交付;设备价格高,基本为国内最高价格,性价比不足。 Juniper Juniper为思科部分员工离开后创办的网络通信公司,具有良好的市场口碑和技术品牌,在行业内突出的产品不是其网络设备而是安全设备,号称全球技术最先进,其实Juniper的网络产品在全球骨干都拥有非常大的份额,约35%的骨干路由器为Juniper提供,国内很多厂家也通过OEM方式销售Juniper路由器,其交换机产品线为新推出,正在加强对企业网的投入,意图获取更多份额; 优势:良好的技术品牌和口碑,相对而言,产品线较全; 劣势:在国内没有原厂服务,国内渠道资源不足,在产品及服务交付方面存在较大缺陷;
网络攻击类型 比较全面公司网络可能受到的非法侵入和攻击 1、服务拒绝攻击 服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施的攻击行为,主要包括: 死亡之ping (ping of death) 概览:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。 防御:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping of death攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。 泪滴(teardrop) 概览:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。 防御:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。 UDP洪水(UDP flood) 概览:各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。 防御:关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。 SYN洪水(SYN flood) 概览:一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接
目前网络中存在的攻击方式主要有如下几种: SYN Attack(SYN 攻击):当网络中充满了会发出无法完成的连接请求的SYN 封包,以至于网络无法再处理合法的连接请求,从而导致拒绝服务(DoS) 时,就发生了SYN 泛滥攻击。 ICMP Flood(ICMP 泛滥):当ICMP ping 产生的大量回应请求超出了系统的最大限度,以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时,就发生了ICMP 泛滥。当启用了ICMP 泛滥保护功能时,可以设置一个临界值,一旦超过此值就会调用ICMP 泛滥攻击保护功能。如果超过了该临界值,防火墙设备在该秒余下的时间和下一秒内会忽略其它的ICMP 回应要求。 UDP Flood(UDP 泛滥):与ICMP 泛滥相似,当以减慢系统速度为目的向该点发送UDP 封包,以至于系统再也无法处理有效的连接时,就发生了UDP 泛滥。当启用了UDP 泛滥保护功能时,可以设置一个临界值,一旦超过此临界值就会调用UDP 泛滥攻击保护功能。如果从一个或多个源向单个目表发送的UDP 封包数超过了此临界值,Juniper 设备在该秒余下的时间和下一秒内会忽略其它到该目标的UDP 封包。 Port Scan Attack(端口扫描攻击):当一个源IP 地址在定义的时间间隔内向位于相同目标IP 地址10 个不同的端口发送IP 封包时,就会发生端口扫描攻击。这个方案的目的是扫描可用的服务,希望会有一个端口响应,因此识别出作为目标的服务。Juniper 设备在内部记录从某一远程源地点扫描的不同端口的数目。使用缺省设置,如果远程主机在0.005 秒内扫描了10 个端口(5,000 微秒),防火墙会将这一情况标记为端口扫描攻击,并在该秒余下的时间内拒绝来自该源地点的其它封包(不论目标IP 地址为何)。 下面的选项可用于具有物理接口和子接口的区段: Limit session(限制会话):防火墙设备可限制由单个IP 地址建立的会话数量。例如,如果从同一客户端发送过多的请求,就能耗尽Web 服务器上的会话资源。此选项定义了每秒钟防火墙设备可以为单个IP 地址建立的最大会话数量。 SYN-ACK-ACK Proxy 保护:当认证用户初始化Telnet 或FTP 连接时,用户会SYN 封包到Telnet 或FTP服务器。Juniper 设备会截取封包,通过Proxy 将SYN-ACK 封包发送给用户。用户用ACK 封包响应。此时,初始的三方握手就已完成。防火墙设备在其会话表中建立项目,并向用户发送登录提示。如果用户怀有恶意而不登录,但继续启动SYN-ACK-ACK 会话,防火墙会话表就可能填满到某个程度,让设备开始拒绝合法的连接要求。要阻挡这类攻击,您可以启用SYN-ACK-ACK Proxy 保护SCREEN 选项。从相同IP 地址的连接数目到达syn-ack-ack-proxy 临界值后,防火墙设备就会拒绝来自该IP 地址的进一步连接要求。缺省情况下,来自单一IP 地址的临界值是512 次连接。您可以更改这个临界值(为1 到2,500,000 之间的任何数目)以更好地适合网络环境的需求。 SYN Fragment(SYN 碎片):SYN 碎片攻击使目标主机充塞过量的SYN 封包碎片。主机接到这些碎片后,会等待其余的封包到达以便将其重新组合在起来。通过向服务器或主机堆积无法完成的连接,主机的内存缓冲区最终将会塞满。进一步的连接无法进行,并且可能会破坏主机操作系统。当协议字段指示是ICMP封包,并且片断标志被设置为1 或指出了偏
常见的几种上网方式及其设备 在网络基础知识里我们提到了网络互联的一些理论知识,那么具体到实际生活中,我们有哪些方法来接入Internet呢? 目前常见的个人用户接入Internet的方式,除了传统的,目前使用最广的“电话拨号”、“局域网连入”外,还有方兴未艾的“ISDN”和正迅速推广的宽带接入“ADSL”。除了局域网连入,另外三种都属于拨号网络。下面我们就一一来介绍。您可以顺序观看,也可以点击自己有兴趣的内容来选择阅读。 电话拨号 拨号接入是个人用户接入Internet最早使用的方式之一,也是目前为止我国个人用户接入Internet使用最广泛的方式之一。 它的接入非常简单。你只要具备一条能打通ISP(Internet服务供应商)特服电话(比如169,263等等)的电话线,一台计算机,一只接入的专用设备调制解调器(MODEM),并且办理了必要的手续后,就可以轻轻松松上网了。 与另外两种拨号方式(ISDN,ADSL)相比,它的收费也相当的低廉。虽然由于地区和ISP的不同略有差异,但是基本上都能承担的起。 电话拨号方式致命的缺点在于它的接入速度慢。由于线路的限制,它的最高接入速度只能达到56kbps。相对于其它接入方式的1M,2M,10M,乃至百兆、千兆的速度,它的速度只能用“爬”来形容了。 拨号上网的接入设备 个人用户要拨号上网,除了计算机和电话线外,还需要有一个能进行网上通讯,把计算机要发送和接收的数字信号转换成电话线传送的模拟信号的专用设备——调制解调器。它的英文名称为Modem,网友们呢称它为“猫”。 调制解调器按与计算机的连接方法的不同分为两种类型:内置式和外置式。也就是内“猫”和外“猫”。 首先我们来看一下内置式调制解调器。 这就是一只内置式调制解调器,它就是一块卡,外表上和计算机内部安装的其他卡没有什么两样,是安装在计算机内部的一个扩展槽上的。安装起来稍微费点事,断电后打开计算机箱盖,把它插在一条空闲的总线扩展槽上,固定好即可。 我们再来看一下外置式调制解调器 这是一只外置式调制解调器,它是通过计算机的串联口或者并联口与计算机相连接的。它的硬件安装非常简单,只需要把它自带的数据线连接在计算机后边的串行口或者并行口上,接好自带电源就可以了。 无论是内置式或外置式的调制解调器都有两个电话线插口,一个用于接电话线,一个用于接电话机。按照说明用两条连线把它们分别接好,硬件安装就完成了。 将硬件安装在计算机上后,开启计算机电源,按照计算机的提示和说明书的说明安装好驱动程序。只有把硬件连接好并安装完毕驱动程序,您的Modem才算安装完成。 内置式调制解调器的价格相对低一点,它安装在计算机内部,不需要额外电源,连线少,缺点是拆卸不便。外置式调制解调器的价格相对稍高一点,需要额外电源,连线较多,但是拆卸方便,可随时拔下来连接在另一台计算机上,而且还可通过面板上的一排指示灯观察它的工作情况。 选择调制解调器最主要考虑的是它的传输速度,这个标准是用bps来衡量的。bps,英文是bit per second即每秒传输多少个“位”。“位”是计算机中数据存储的单位,8个“位”可构成一个字符,例如一个英文字母。每秒传输的“位”越
常见的网络设备1、中继器repeater: 定义:中继器是网络物理层上面的连接设备。 功能:中继器是一种解决信号传输过程中放大信号的设备,它是网络物理层的一种介质连接设备。由于信号在网络传输介质中有衰减和噪声,使有用的数据信号变得越来越弱,为了保证有用数据的完整性,并在一定范围内传送,要用中继器把接收到的弱信号放大以保持与原数据相同。使用中继器就可以使信号传送到更远的距离。 优点: 1.过滤通信量中继器接收一个子网的报文,只有当报文是发送给中继器所连 的另一个子网时,中继器才转发,否则不转发。 2.扩大了通信距离,但代价是增加了一些存储转发延时。 3.增加了节点的最大数目。 4.各个网段可使用不同的通信速率。 5.提高了可靠性。当网络出现故障时,一般只影响个别网段。 6.性能得到改善。 缺点: 1.由于中继器对接收的帧要先存储后转发,增加了延时。 2.CAN总线的MAC子层并没有流量控制功能。当网络上的负荷很重时, 可能因中继器中缓冲区的存储空间不够而发生溢出,以致产生帧丢失的现 象(3)中继器若出现故障,对相邻两个子网的工作都将产生影响。2、集线器hub: 定义:作为网络中枢连接各类节点,以形成星状结构的一种网络设备。 作用:集线器虽然连接多个主机,但不是交换设备,它面对的是以太网的帧,它的工作就是在一个端口收到的以太网的帧,向其他的所有端口进行广播(也有可能进行链路层的纠错)。只有集线器的连接,只能是一个局域网段,而且集线器的进出口是没有区别的。 优点:在不计较网络成本的情况下面,网络内所有的设备都用路由器可以让网络响应时间和利用率达到最高。 缺点: 1.共享宽带,单通道传输数据,当上下大量传输数据时,可能会出现塞车,所以 交大网络中,不能单独用集线器,局限于十台计算机以内。
“网空”铸剑——网络战的分类、手段和影响 2010年06月11日15:48:57 来源:《中国空军》 最近几年“网络战”一词频频见于报端。然而,对于“网络战”的理解各方却存在很大分歧。本文尽量从不同视角展示网络战的概念,让读者对“网络战”有一个全面了解。 《中国空军》杂志2010年6月刊文/杨学锋 人们对任何一种战争形态、作战样式的认识,都是一个渐进的过程。正如人们真正认识到空军的巨大作用,已经是第一支空中力量成立后几十年那样,现在人们对“网络战”这个新名词的认识仍然充满迷茫。网络战是什么?怎么打网络战?它的影响又有多大? 网络战的形式 2008 年1 月5 日,美国环球战略网曾经发表一篇名为《网络战:终极武器》的文章,对可能爆发的网络战形式进行了分析和预测。尽管这篇文章并非关于网络战的最权威的解释,但是也在很大程度上阐述了人们所能认识到的可能的网络战形式。文章认为,尽管目前尚没有发生真正意义上的全面网络战,但是基于目前已知的网络武器以及可能的作战理论,有三种可能的网络战形式。首先是“有限秘密行动”。该文认为“俄罗斯和其他国家使用网络战技术支援间谍行动”就是“有限秘密行动”的典型例子。这类行动主要通过网络收集、窃取别国秘密。网络战的第二种形态是“局限于网络的战争”(CWO)。这是指公开的使用全面的网络战武器的敌对行动,包括通过网络攻击瘫痪敌方的商业、金融甚至工业活动,其危险程度仅次于导弹攻击或者坦克师的装甲突击,目前还没有发生过这样的冲突。但是2007 年因为爱沙尼亚移动第二次世界大战苏军纪念碑而引起俄罗斯强烈不满时,俄罗斯的网络进攻与这种网络战形态有些相似,据说那次进攻几乎阻塞了整个爱沙尼亚网络,但是俄罗斯官方否认对爱沙尼亚发动了大规模网络攻击。英国电信运营商BT 公司的首席安全技术官布鲁斯·施尼尔认为去年夏天发生的攻击美国和韩国政府网站的行为,也可以被视为网络战行为,尽管他们没有造成任何实质性的伤害。 第三种是使用网络战支援常规战争。从表面上看,这种技术已经诞生几十年了,它一直被称为“电子战”。但是当计算机和数据链的发展使其成为很多主战装备的主要基础之后,
网络攻击类型调研 1.扫描型攻击: 未经授权的发现和扫描系统、服务或漏洞,也被称为信息收集。它是一种基础的网络攻击方式,并不对目标本身造成危害,多数情况下,它是其他攻击方式的先导,被用来为进一步入侵提供有用信息。此类攻击通常包含地址扫描、网络端口扫描、操作系统探测、漏洞扫描。 1.1地址扫描: 是指攻击者利用ping、tracert、firewalk等攻击或者直接利用ICMP消息发向目标网络,请求应答,如果请求和应答没有被网络边界过滤掉,攻击者就可以借此来获得目的网络地址信息,进而分析目的网络的拓扑结构。 1.2端口扫描: 网络端口监听就是一种时刻监视网络的状态、计算机数据流程以及在网络中传输的信息的管理工具.当计算机网络的接口处于监听模式的状态时,其可以快速的截取在网络中传输的数据信息,以此来取得目标主机的超级管理用户的权限。另外还在系统扫描的过程中,可以扫描到系统中那个端口是开放的,对应开放的端口提供的是什么服务,在捕获的服务中的操作信息是什么,此后攻击者就能利用它获取到的操作系统信息对目标主机进行网络入侵。 1.3操作系统探测: 是指攻击者使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对破坏数据包传送做出的响应进行检查。由于每种操作系统都有其独特的响应方法,通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统。 1.4漏洞扫描: 漏洞扫描技术建立在以上三种扫描技术的基础之上,通过以上三种方法可以收集到很多目标主机的各种信息,例如:是否能用匿名登录、是否有可写的FTP目录、是否能用telnet、http、是否是root运行等。在获得目标主机TCP/IP端口和其相应的网络访问服务相关信息后,与网络漏洞扫描系统提供的漏洞库进行匹配,如果满足匹配条件,则视为漏洞存在。 2.访问类攻击: 是指攻击者在获得或者拥有访问主机、网络的权限后,肆意滥用这些权限进行信息篡改、信息盗取等攻击行为。主要分为:口令攻击、端口重定向、会话劫持三类。 2.1. 口令攻击: 攻击者攻击目标时常常把破译用户的口令作为攻击的开始,只要攻击者能猜到或者确定用户的口令,他就能获得机器或网络的访问权限,并能访问到用户能访问到的任何资源。特别是若这个用户是管理员或root用户权限,这将是极其危险的。 2.2 会话劫持: 会话劫持是一种间接的入侵攻击,这种模式,是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间而这台计算机就成为“中间人”,然后入侵者把这台计算机模拟成一台或两台原始计算机,是其能够与原始计算机建立连接,进
人们常用的网络设备及其功能 目录 一、路由器 (2) 1、路由器的功能及特点 (2) 2、路由器的种类 (2) (1).接入路由器 (2) (2).企业级路由器 (2) (3).骨干级路由器 (3) (4).太比特路由器 (3) (5)、无线路由器 (4) 二、HUB 集线器 (5) 1、集线器的功能及特点 (5) 2、集线器的种类 (5) (1)独立型HUB: (5) (2)模块化HUB: (5) (3)可堆叠式HUB: (5) 三、交换机 (7) 1、交换机的功能及特点 (7) 2、交换机的种类 (7) 四、网关(Gatway) (8) 1、网关的功能及特点 (8) 2、网关的种类 (8) (1)语音网关 (8) (3)家用网关 (8)
常用的网络设备及其功能 一、路由器 1、路由器的功能及特点 路由器工作在OSI体系结构中的网络层,这意味着它可以在多个网络上交换和路由数据数据包。路由器通过在相对独立的网络换具体协议的信息来实现这个目标。比起网桥,路由器不但能过滤和分隔网络信息流、连接网络分支,还能访问数据包中更多的信息。并且用来提高数据包的传输效率。路由表包含有网络地址、连接信息、路径信息和发送代价等。路由器比网桥慢,主要用于广域网或广域网与局域网的互连。 2、路由器的种类 (1).接入路由器 接入路由器连接家庭或ISP的小型企业客户。接入路由器已经开始不只是提供SLIP或PPP 连接,还支持诸如PPTP和IPSec等虚拟私有网络协议。这些协议要能在每个端口上运行。诸如ADSL等技术将很快提高各家庭的可用带宽,这将进一步增加接入路由器的负担。由于这些趋势,接入路由器将来会支持许多异构和高速端口,并在各个端口能够运行多种协议,同时还要避开交换网。 (2).企业级路由器 企业或校园级路由器连接许多终端系统,其主要目标是以尽量便宜的方法实现尽可能多的端点互联,并且进一步要求支持不同的服务质量。许多现有的企业网络都是由Hub或网桥连接起来的以太网段。尽管这些设备价格便宜、易于安装、无需配置,但是它们不支持服务等级。相反,有路由器参与的网络能够将机器分成多个碰撞域,并因此能够控制一个网络的大小。此外,路由器还支持一定的服务等级,至少允许分成多个优先级别。但是路由器的每端口造价要贵些,并且在能够使用之前要进行大量的配置工作。因此,企业路由器的成败就在于是否提供大量端口且每端口的造价很低,是否容易配置,是否支持QoS。另外还要求企业级路
《网络安全技术》考试题库 1. 计算机网络安全所面临的威胁分为哪几类?从人的角度,威胁网络安全的因素有哪些? 答:计算机网络安全所面临的威胁主要可分为两大类:一是对网络中信息的威胁,二是对网络中设备的威胁(2分)。从人的因素考虑,影响网络安全的因素包括:(1)人为的无意失误。(1分) (2)人为的恶意攻击。一种是主动攻击,另一种是被动攻击。(1分) (3)网络软件的漏洞和“后门”。 (1分) 2.网络攻击和防御分别包括哪些内容? 答:网络攻击:网络扫描、监听、入侵、后门、隐身; 网络防御:操作系统安全配置、加密技术、防火墙技术、入侵检测技术。 4.分析TCP/IP协议,说明各层可能受到的威胁及防御方法。 答:网络层:IP欺骗欺骗攻击,保护措施:防火墙过滤、打补丁;传输层:应用层:邮件炸弹、病毒、木马等,防御方法:认证、病毒扫描、安全教育等。6.请分析网络安全的层次体系。 答:从层次体系上,可以将网络安全分成四个层次上的安全:物理安全、逻辑安全、操作系统安全和联网安全。 7.请分析信息安全的层次体系。 答:信息安全从总体上可以分成5个层次:安全的密码算法,安全协议,网络安全,系统安全以及应用安全。 10.请说明“冰河”木马的工作方式。 答:病毒通过修改系统注册表,通过执行文本文件的双击打开操作,驻留病毒程序,伺机实现远端控制目的。 【应用题】 1.简述防范远程攻击的技术措施。 答:防范远程攻击的主要技术措施有防火墙技术、数据加密技术和入侵检测技术等。(2分) (1)防火墙技术。用来保护计算机网络免受非授权人员的骚扰和黑客的入侵。(1分) (2)数据加密技术。数据加密技术已经成为所有通信安全的基石。(1分) (3)入侵检测技术。是一种防范远程攻击的重要技术手段,能够对潜在的入侵动作做出记录,并且能够预测攻击的后果。(1分) 2.防范远程攻击的管理措施有那些? 答:防范远程攻击的管理措施: (1) 使用系统最高的安全级别。高安全等级的系统是防范远程攻击的首选。(2分) (2) 加强内部管理。为对付内部产生的黑客行为,要在安全管理方面采取措施。(2分) (3) 修补系统的漏洞。任何系统都是有漏洞的,应当及时堵上已知的漏洞并及时发现未知的漏洞。(1分) 3.简述远程攻击的主要手段。 答:远程攻击的手段主要有: (1)缓冲区溢出攻击。(1分) (2)口令破解。又称口令攻击,口令是网络安全防护的第一道防线。(1分) (3)网络侦听。是指在计算机网络接口处截获网上计算机之间通信的数据。(1分) (4)拒绝服务攻击。是一种简单的破坏性攻击。(1分) (5)欺骗攻击。(1分) 4. 简述端口扫描技术的原理。 答:端口扫描向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的响应(1分)。通过分析响应来判断服务端口是打开还是关闭,就可以得知端口提供的服务或信息(1分)。端口扫描也可以通过捕获本地主机或服务器的注入/流出IP数据包来监视本地主机运行情况(1分)。端口扫描只能对接收到的数据进行分析,帮助我们发现目标主机的某些内在的弱点,而不会提供进入一个系统的详细步骤。 (2分) 5. 缓冲区溢出攻击的原理是什么? 答:缓冲区溢出攻击指的是一种系统攻击的手段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他指令,以达到攻击的目的。(3分) 缓冲区溢出攻击最常见的方法是通过使某个特殊程序的缓冲区溢出转而执行一个Shell,通过Shell的权限可以执行高级的命令。如果这个特殊程序具有System 权限,攻击成功者就能获得一个具有Shell权限的Shell,就可以对系统为所欲为了。(2分) 7.简述暴力攻击的原理。 答:使用穷举法破译密码等信息的一种方法,如:字典攻击、破解操作系统密码、破解邮箱密码、破解软件密码等。 9.简述缓冲区溢出的攻击原理。 答:当目标系统收到了超过其可接收的最大信息量时,会发生缓冲区溢出。易造成目标系统的程序修改,由此产生系统后门。 10.简述拒绝服务的种类和原理。 答:拒绝服务攻击主要是计算机网络带宽攻击和连通性攻击。通过耗用有限计算机资源,使得目标主机无法提供正常网络服务。 11.简述DDoS的特点及常用攻击手段。 答:攻击计算机控制着多台主机,对目标主机实施攻击,大量瞬时网络流量阻塞网络,使得目标主机瘫痪。 12.留后门的原则是什么? 答:原则就是让管理员看不到有任何特别的地方。 13.列举后门的三种程序,并阐述其原理和防御方法。 答:1)远程开启TELNET服务(RTCS.VBE)工具软)件,防御方法:注意对开启服务的监护;2)建立WEB和TELNET服务(WNC.EXE),防御方法:注意对开启服务的监护;3)让禁用的GUEST用户具有管理权限(PSU.EXE 修改注册表),防御方法:监护系统注册表。 14.简述木马由来及木马和后门的差异。 答:木马是一种可以驻留在对方服务器系统中的程序(服务器端、客户端),其功能是通过客户端控制驻留在对方服务器中的服务器端。木马功能较强,具有远程控制功能,后门功能单一,只提供登录使用。 16.简述两种通过UNICODE漏洞,进行攻击的方式。
第六章 网络攻击工具的作用与类别是什么? 攻击工具:能够扰乱计算机系统的正常工作导致系统拒绝服务,破坏系统的数据或在系统内造成安全隐患类别: (1)电子邮件炸弹 电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的宽带。由于这种攻击方式简单易用,也有很多发匿名邮件的工具,而且只要对方获悉你的电子邮件地址就可以进行攻击,所以这是大家最值得防范的一个攻击手段。 (2)蠕虫和病菌 网络蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒技术,无须计算机使用者干预即可运行的攻击程序或代码,它会扫描和攻击网络上存在系统漏洞的节点主机,通过局域网或者国际互联网从一个节点传播到另外一个节点”。此定义体现了新一代网络蠕虫智能化、自动化和高技术化的特征,蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。 蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,它是一种独立智能程序。有两种类型的蠕虫:主机蠕虫与网络蠕虫。主计算机蠕虫完全包含(侵占)在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身(因此在任意给定的时刻,只有一个蠕虫的拷贝运行),这种蠕虫有时也叫"野兔",蠕虫病毒一般是通过1434端口漏洞传播。 (3)计算机病毒 病毒是一种攻击性程序,采用把自己的副本嵌入到其它文件中的方式来感染计算机系统。当被感染文件加载进内存时,这些副本就会执行去感染其它文件,如此不断进行下去。病毒常都具有破坏性作用,有些是故意的,有些则不是。通常生物病毒是指基因代码的微小碎片:DNA或RNA,它可以借用活的细胞组织制造几千个无缺点的原始病毒的复制品。计算机病毒就像生物上的对应物一样,它是带着执行代码进入。感染实体,寄宿在一台宿主计算机上。典型的病毒获得计算机磁盘操作系统的临时控制,然后,每当受感染的计算机接触一个没被感染的软件时,病毒就将新的副本传到该程序中。因此,通过正常用户间的交换磁盘以及向网络上的另一用户发送程序的行为,感染就有可能从一台计算机传到另一台计算机。在网络环境中,访问其它计算机上的应用程序和系统服务的能力为病毒的传播提供了滋生的基础。(4)特洛伊木马 特洛伊木马是一个有用的,或表面上有用的程序或命令过程,包含了一段隐藏的、激活时进行某种不想要的或者有害的功能的代码。它的危害性是可以用来非直接地完成一些非授权用户不能直接完成的功能。洛伊木星马的另一动机是数据破坏,程序看起来是在完成有用的功能(如:计算器程序),但它也可能悄悄地在删除用户文件,直至破坏数据文件,这是一种非常常见的病毒攻击。 (5)逻辑炸弹 在病毒和蠕虫之前最古老的程序威胁之一是逻辑炸弹。逻辑炸弹是嵌入在某个合法程序里面的一段代码,被设置成当满足特定条件时就会发作,也可理解为“爆炸”,它具有计算机病毒明显的潜伏性。一旦触发,逻辑炸弹的危害性可能改变或删除数据或文件,引起机器关机或完成某种特定的破坏工作。
常见的网络设备详细集团标准化工作小组 [Q8QX9QT-X8QQB8Q8-NQ8QJ8-M8QMN]
常见的网络设备 1、中继器repeater: 定义:中继器是网络物理层上面的连接设备。 功能:中继器是一种解决信号传输过程中放大信号的设备,它是网络物理层的一种介质连接设备。由于信号在网络传输介质中有衰减和噪声,使有用的数据信号变得越来越弱,为了保证有用数据的完整性,并在一定范围内传送,要用中继器把接收到的弱信号放大以保持与原数据相同。使用中继器就可以使信号传送到更远的距离。 优点: 1.过滤通信量中继器接收一个子网的报文,只有当报文是发送给中继器 所连的另一个子网时,中继器才转发,否则不转发。 2.扩大了通信距离,但代价是增加了一些存储转发延时。 3.增加了节点的最大数目。 4.各个网段可使用不同的通信速率。 5.提高了可靠性。当网络出现故障时,一般只影响个别网段。 6.性能得到改善。 缺点: 1.由于中继器对接收的帧要先存储后转发,增加了延时。 2.CAN总线的MAC子层并没有流量控制功能。当网络上的负荷很重 时,可能因中继器中缓冲区的存储空间不够而发生溢出,以致产生帧丢失的现象(3)中继器若出现故障,对相邻两个子网的工作都将产生影响。
2、集线器hub: 定义:作为网络中枢连接各类节点,以形成星状结构的一种网络设备。 作用:集线器虽然连接多个主机,但不是交换设备,它面对的是以太网的帧,它的工作就是在一个端口收到的以太网的帧,向其他的所有端口进行广播(也有可能进行链路层的纠错)。只有集线器的连接,只能是一个局域网段,而且集线器的进出口是没有区别的。 优点:在不计较网络成本的情况下面,网络内所有的设备都用路由器可以让网络响应时间和利用率达到最高。 缺点: 1.共享宽带,单通道传输数据,当上下大量传输数据时,可能会出现塞 车,所以交大网络中,不能单独用集线器,局限于十台计算机以内。 2.它也不具备交换机所具有的MAC地址表,所以它发送数据时都是没有针 对性的,而是采用广播方式发送。也就是说当它要向某节点发送数据时,不是直接把数据发送到目的节点,而是把数据包发送到与集线器相连的所有节点。 2、交换机switcher: 定义:网络节点上话务承载装置、交换级、控制和信令设备以及其他功能单元的集合体。交换机能把用户线路、电信电路和(或)其他需要互连的功能单元根据单个用户的请求连接起来。 功能:交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。目前交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。 优点: 1.扩展传统以太网的带宽:每个以太网交换机的端口对用户提供专用的 10Mb/s带宽,由交换机所提供的端口数目可以灵活有效地伸缩带宽性