【正文】 供和專用網(wǎng)絡(luò)同樣的功能。 Private表示VPN是被特定企業(yè)或用戶私有的，公共網(wǎng)絡(luò)上只有經(jīng)過授權(quán)的用戶才可以使用。在該通道內(nèi)傳輸?shù)臄?shù)據(jù)經(jīng)過了加密和認(rèn)證，保證了傳輸內(nèi)容的完整性和機(jī)密性。3. 簡述VPN使用了哪些主要技術(shù)。1）隧道（封裝）技術(shù)是目前實(shí)現(xiàn)不同VPN用戶業(yè)務(wù)區(qū)分的基本方式。一個(gè)VPN可抽象為一個(gè)沒有自環(huán)的連通圖，每個(gè)頂點(diǎn)代表一個(gè)VPN端點(diǎn)（用戶數(shù)據(jù)進(jìn)入或離開VPN的設(shè)備端口），相鄰頂點(diǎn)之間的邊表示連結(jié)這兩對(duì)應(yīng)端點(diǎn)的邏輯通道，即隧道。 隧道以疊加在IP主干網(wǎng)上的方式運(yùn)行。需安全傳輸?shù)臄?shù)據(jù)分組經(jīng)一定的封裝處理，從信源的一個(gè)VPN端點(diǎn)進(jìn)入VPN，經(jīng)相關(guān)隧道穿越VPN（物理上穿越不安全的互聯(lián)網(wǎng)），到達(dá)信宿的另一個(gè)VPN端點(diǎn)，再經(jīng)過相應(yīng)解封裝處理，便得到原始數(shù)據(jù)。（不僅指定傳送的路徑，在中轉(zhuǎn)節(jié)點(diǎn)也不會(huì)解析原始數(shù)據(jù)）2）當(dāng)用戶數(shù)據(jù)需要跨越多個(gè)運(yùn)營商的網(wǎng)絡(luò)時(shí)，在連接兩個(gè)獨(dú)立網(wǎng)絡(luò)的節(jié)點(diǎn)該用戶的數(shù)據(jù)分組需要被解封裝和再次封裝，可能會(huì)造成數(shù)據(jù)泄露，這就需要用到加密技術(shù)和密鑰管理技術(shù)。目前主要的密鑰交換和管理標(biāo)準(zhǔn)有SKIP和ISAKMP（安全聯(lián)盟和密鑰管理協(xié)議）。3）對(duì)于支持遠(yuǎn)程接入或動(dòng)態(tài)建立隧道的VPN，在隧道建立之前需要確認(rèn)訪問者身份，是否可以建立要求的隧道，若可以，系統(tǒng)還需根據(jù)訪問者身份實(shí)施資源訪問控制。這需要訪問者與設(shè)備的身份認(rèn)證技術(shù)和訪問控制技術(shù)。4. VPN有哪三種類型？它們的特點(diǎn)和應(yīng)用場(chǎng)合分別是什么？1. Access VPN（遠(yuǎn)程接入網(wǎng)） 即所謂移動(dòng)VPN，適用于企業(yè)內(nèi)部人員流動(dòng)頻繁和遠(yuǎn)程辦公的情況，出差員工或在家辦公的員工利用當(dāng)?shù)豂SP就可以和企業(yè)的VPN網(wǎng)關(guān)建立私有的隧道連接。 通過撥入當(dāng)?shù)氐腎SP進(jìn)入Internet再連接企業(yè)的VPN網(wǎng)關(guān)，在用戶和VPN網(wǎng)關(guān)之間建立一個(gè)安全的“隧道”，通過該隧道安全地訪問遠(yuǎn)程的內(nèi)部網(wǎng)（節(jié)省通信費(fèi)用，又保證了安全性）。 撥入方式包括撥號(hào)、ISDN、ADSL等，唯一的要求就是能夠使用合法IP地址訪問Internet。2. Intranet VPN（內(nèi)聯(lián)網(wǎng)） 如果要進(jìn)行企業(yè)內(nèi)部異地分支結(jié)構(gòu)的互聯(lián)，可以使用Intranet VPN的方式，即所謂的網(wǎng)關(guān)對(duì)網(wǎng)關(guān)VPN。在異地兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)之間建立了一個(gè)加密的VPN隧道，兩端的內(nèi)部網(wǎng)絡(luò)可以通過該VPN隧道安全地進(jìn)行通信。3. Extranet VPN（外聯(lián)網(wǎng)） 如果一個(gè)企業(yè)希望將客戶、供應(yīng)商、合作伙伴連接到企業(yè)內(nèi)部網(wǎng)，可以使用Extranet VPN。其實(shí)也是一種網(wǎng)關(guān)對(duì)網(wǎng)關(guān)的VPN，但它需要有不同協(xié)議和設(shè)備之間的配合和不同的安全配置。5. 舉例說明什么是乘客協(xié)議、封裝協(xié)議和傳輸協(xié)議？（1）乘客協(xié)議：用戶真正要傳輸（也即被封裝）的數(shù)據(jù)，如IP、PPP、SLIP等。（2）封裝協(xié)議：用于建立、保持和拆卸隧道，如L2F、PPTP、L2TP、GRE。（3）傳輸協(xié)議：乘客協(xié)議被封裝后應(yīng)用傳輸協(xié)議，例如UDP協(xié)議。8. 了解第三層隧道協(xié)議——GRE。GRE是通用的路由封裝協(xié)議，支持全部的路由協(xié)議（如RIPOSPF等），用于在IP包中封裝任何協(xié)議的數(shù)據(jù)包（IP、IPX、NetBEUI等）。在GRE中，乘客協(xié)議就是上面這些被封裝的協(xié)議，封裝協(xié)議就是GRE，傳輸協(xié)議就是IP。在GRE的處理中，很多協(xié)議的細(xì)微差別都被忽略，這使得GRE不限于某個(gè)特定的“X over Y”的應(yīng)用，而是一種通用的封裝形式。 原始IP包的IP地址通常是企業(yè)私有網(wǎng)絡(luò)規(guī)劃的保留IP地址，而外層的IP地址是企業(yè)網(wǎng)絡(luò)出口的IP地址，因此，盡管私有網(wǎng)絡(luò)的IP地址無法和外部網(wǎng)絡(luò)進(jìn)行正確的路由，但這個(gè)封裝之后的IP包可以在Internet上路由——最簡單的VPN技術(shù)。（NAT，非IP數(shù)據(jù)包能在IP互聯(lián)網(wǎng)上傳送） GRE VPN適合一些小型點(diǎn)對(duì)點(diǎn)的網(wǎng)絡(luò)互聯(lián)。第二十章 安全掃描技術(shù)一、問答題1. 簡述常見的黑客攻擊過程。1 目標(biāo)探測(cè)和信息攫取 先確定攻擊日標(biāo)并收集目標(biāo)系統(tǒng)的相關(guān)信息。一般先大量收集網(wǎng)上主機(jī)的信息，然后根據(jù)各系統(tǒng)的安全性強(qiáng)弱確定最后的目標(biāo)。1) 踩點(diǎn)（Footprinting） 黑客必須盡可能收集目標(biāo)系統(tǒng)安全狀況的各種信息。Whois數(shù)據(jù)庫查詢可以獲得很多關(guān)于目標(biāo)系統(tǒng)的注冊(cè)信息，DNS查詢(用Windows/UNIX上提供的nslookup命令客戶端)也可令黑客獲得關(guān)于目標(biāo)系統(tǒng)域名、IP地址、DNS務(wù)器、郵件服務(wù)器等有用信息。此外還可以用traceroute工具獲得一些網(wǎng)絡(luò)拓?fù)浜吐酚尚畔ⅰ?) 掃描（Scanning） 在掃描階段，我們將使用各種工具和技巧(如Ping掃射、端口掃描以及操作系統(tǒng)檢測(cè)等)確定哪些系統(tǒng)存活著、它們?cè)诒O(jiān)聽哪些端口(以此來判斷它們?cè)谔峁┠男┓?wù))，甚至更進(jìn)一步地獲知它們運(yùn)行的是什么操作系統(tǒng)。3) 查點(diǎn)（Enumeration） 從系統(tǒng)中抽取有效賬號(hào)或?qū)С鲑Y源名的過程稱為查點(diǎn)，這些信息很可能成為目標(biāo)系統(tǒng)的禍根。比如說，一旦查點(diǎn)查出一個(gè)有效用戶名或共享資源，攻擊者猜出對(duì)應(yīng)的密碼或利用與資源共享協(xié)議關(guān)聯(lián)的某些脆弱點(diǎn)通常就只是一個(gè)時(shí)間問題了。查點(diǎn)技巧差不多都是特定于操作系統(tǒng)的，因此要求使用前面步驟匯集的信息。2 獲得訪問權(quán)（Gaining Access） 通過密碼竊聽、共享文件的野蠻攻擊、攫取密碼文件并破解或緩沖區(qū)溢出攻擊等來獲得系統(tǒng)的訪問權(quán)限。3 特權(quán)提升（Escalating Privilege） 在獲得一般賬戶后，黑客經(jīng)常會(huì)試圖獲得更高的權(quán)限，比如獲得系統(tǒng)管理員權(quán)限。通?？梢圆捎妹艽a破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱點(diǎn)等技術(shù)。4 竊取（Stealing） 對(duì)敏感數(shù)據(jù)進(jìn)行篡改、添加、刪除及復(fù)制（如Windows系統(tǒng)的注冊(cè)表、UNIX的rhost文件等）。5 掩蓋蹤跡（Covering Tracks） 此時(shí)最重要就隱藏自己蹤跡，以防被管理員發(fā)覺，比如清除日志記錄、使用rootkits等工具。6 創(chuàng)建后門（Creating Bookdoor） 在系統(tǒng)的不同部分布置陷阱和后門，以便入侵者在以后仍能從容獲得特權(quán)訪問。9．什么是漏洞掃描？ 系統(tǒng)漏洞檢測(cè)又稱漏洞掃描，就是對(duì)重要網(wǎng)絡(luò)信息進(jìn)行檢查，發(fā)現(xiàn)其中可被攻擊者利用的漏洞。第二十二章 網(wǎng)絡(luò)病毒防范三、問答題1. 掌握惡意代碼的概念和分類，以及幾種主要的惡意代碼。黑客編寫的擾亂社會(huì)和個(gè)人，甚至起著破壞作用的計(jì)算機(jī)程序，就是惡意代碼。1）按惡意代碼是否需要宿主，即特定的應(yīng)用程序、工具程序或系統(tǒng)程序。需要宿主的惡意代碼具有依附性，不能脫離宿主而獨(dú)立運(yùn)行；不需宿主的惡意代碼具有獨(dú)立性，可不依賴宿主而獨(dú)立運(yùn)行。2) 按惡意代碼是否能夠自我復(fù)制，不能自我復(fù)制的惡意代碼是不感染的，能夠自我復(fù)制的惡意代碼是可感染的。1. 不感染的依附性惡意代碼（1）特洛伊木馬 一段能實(shí)現(xiàn)有用的或必需的功能的程序，但是同時(shí)還完成一些不為人知的功能，這些額外的功能往往是有害的（試圖訪問未授權(quán)資源、試圖阻止正常訪問、試圖更改或破壞數(shù)據(jù)和系統(tǒng)等）。 它一般沒有自我復(fù)制的機(jī)制，但欺騙性是其得以傳播的根本原因。電子新聞組和電子郵件是它的主要傳播途徑。特洛伊木馬經(jīng)常偽裝成游戲軟件、搞笑程序、屏保、非法軟件、色情資料等，上載到網(wǎng)上直接傳播，容易被不知情的用戶接收和繼續(xù)傳播。（2）邏輯炸彈 一段具有破壞性的代碼，事先預(yù)置于較大的程序中，等待某扳機(jī)事件（特殊日期或指定事件）發(fā)生觸發(fā)其破壞行為。它往往被那些有怨恨的職員使用，一旦邏輯炸彈被觸發(fā)，就會(huì)造成數(shù)據(jù)或文件的改變或刪除、計(jì)算機(jī)死機(jī)等。（3）后門或陷門 是進(jìn)入系統(tǒng)或程序的一個(gè)秘密入口，它能夠通過識(shí)別某種特定的輸入序列或特定帳戶，使訪問者繞過訪問的安全檢查、直接獲得訪問權(quán)利，并且通常高于普通用戶的特權(quán)。2. 不感染的獨(dú)立性惡意代碼（1）點(diǎn)滴器 為傳送和安裝其他惡意代碼而設(shè)計(jì)的，它本身不具有直接的感染性和破壞性。它專門對(duì)抗反病毒檢測(cè)，使用了加密手段，以阻止反病毒程序發(fā)現(xiàn)它們。當(dāng)特定事件出現(xiàn)時(shí)，它將啟動(dòng)，將自身包含的惡意代碼釋放出來。3. 可感染的依附性惡意代碼 計(jì)算機(jī)病毒是一段附著在其他程序上的可以進(jìn)行自我復(fù)制的代碼，由于絕大多數(shù)惡意代碼都或多或少地具有計(jì)算機(jī)病毒的特征。4. 可感染的獨(dú)立性惡意代碼（1）蠕蟲 一種通過計(jì)算機(jī)網(wǎng)絡(luò)能夠自我復(fù)制和擴(kuò)散的程序。蠕蟲不需要宿主，不會(huì)與其他特定功能程序混合。蠕蟲感染的是系統(tǒng)環(huán)境（如操作系統(tǒng)或郵件系統(tǒng)）。新感染系統(tǒng)采取同樣的方式進(jìn)行復(fù)制和傳播，使得蠕蟲傳播非常迅速。蠕蟲可以大量地消耗計(jì)算機(jī)時(shí)間和網(wǎng)絡(luò)通信帶寬，導(dǎo)致整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的崩潰，成為拒絕服務(wù)攻擊的工具。（2）細(xì)菌 在計(jì)算機(jī)系統(tǒng)中不斷復(fù)制自己的程序。一個(gè)典型的細(xì)菌是在多任務(wù)系統(tǒng)中生成它的兩個(gè)副本，然后以指數(shù)級(jí)增長，最終占用全部的系統(tǒng)資源，無法為用戶提供服務(wù)。6. 計(jì)算機(jī)病毒的定義和特征是什么？計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。1）主動(dòng)傳染性 這是病毒區(qū)別于其他程序的一個(gè)根本特性。病毒能夠?qū)⒆陨泶a主動(dòng)復(fù)制到其他文件或扇區(qū)中，這個(gè)過程并不需要人為的干預(yù)。病毒通過各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)。所謂“感染”，就是病毒將自身嵌入到合法程序的指令序列中，致使執(zhí)行合法程序的操作會(huì)招致病毒程序的共同執(zhí)行或以病毒程序的執(zhí)行取而代之。2）破壞性 這也是計(jì)算機(jī)病毒的一個(gè)基本特性，比如刪除文件、毀壞主板BIOS、影響正常的使用等。近年來隨著將特洛伊木馬程序、蠕蟲程序等納入計(jì)算機(jī)病毒的范疇，將盜取信息、使用他人計(jì)算機(jī)的資源等也列入了破壞行為的范圍。3）寄生性（隱蔽性） 早期的計(jì)算機(jī)病毒絕大多數(shù)都不是完整的程序，通常都是附著在其他程序中。病毒取得系統(tǒng)控制權(quán)后，可以在很短時(shí)間里傳染大量其他程序，而且計(jì)算機(jī)系統(tǒng)通常仍能正常運(yùn)行，用戶不會(huì)感到任何異常（非常危險(xiǎn)）。當(dāng)然現(xiàn)在的某些病毒本身就是一個(gè)完整的程序。4）潛伏性 病毒進(jìn)入系統(tǒng)之后一般不會(huì)馬上發(fā)作，可以或長或短地潛伏在合法程序中，進(jìn)行傳染而不被人發(fā)現(xiàn)。潛伏的時(shí)間越長，傳染范圍越大。5）多態(tài)性 病毒試圖在每一次感染時(shí)改變它的形態(tài)，使對(duì)它的檢測(cè)變得更困難。一個(gè)多態(tài)病毒還是原來的病毒，但不能通過掃描特征字符串來發(fā)現(xiàn)。病毒代碼的主要部分相同，但表達(dá)方式發(fā)生了變化，也就是同一程序由不同的字節(jié)序列表示。9．什么是病毒的特征代碼？它有什么作用？病毒的特征代碼是病毒程序編制者用來識(shí)別自己編寫程序的唯一代碼串。因此檢測(cè)病毒程序可利用病毒的特征代碼來檢測(cè)病毒，以防止病毒程序感染。10．什么是網(wǎng)絡(luò)蠕蟲？它的傳播途徑是什么？ 網(wǎng)絡(luò)蠕蟲是一種可以通過網(wǎng)絡(luò)（永久連接網(wǎng)絡(luò)或撥號(hào)網(wǎng)絡(luò)）進(jìn)行自身復(fù)制的病毒程序。一旦在系統(tǒng)中激活，蠕蟲可以表現(xiàn)得象計(jì)算機(jī)病毒或細(xì)菌?？梢韵蛳到y(tǒng)注入特洛伊木馬程序，或者進(jìn)行任何次數(shù)的破壞或毀滅行動(dòng)。普通計(jì)算機(jī)病毒需要在計(jì)算機(jī)的硬件或文件系統(tǒng)中繁殖，而典型的蠕蟲程序會(huì)在內(nèi)存中維持一個(gè)活動(dòng)副本。蠕蟲是一個(gè)獨(dú)立運(yùn)行的程序，自身不改變其他的程序，但可以攜帶一個(gè)改變其他程序功能的病毒。 整理分享