【正文】 供和專用網(wǎng)絡(luò)同樣的功能。 Private表示VPN是被特定企業(yè)或用戶私有的，公共網(wǎng)絡(luò)上只有經(jīng)過授權(quán)的用戶才可以使用。在該通道內(nèi)傳輸?shù)臄?shù)據(jù)經(jīng)過了加密和認(rèn)證，保證了傳輸內(nèi)容的完整性和機(jī)密性。3. 簡述VPN使用了哪些主要技術(shù)。1）隧道（封裝）技術(shù)是目前實(shí)現(xiàn)不同VPN用戶業(yè)務(wù)區(qū)分的基本方式。一個VPN可抽象為一個沒有自環(huán)的連通圖，每個頂點(diǎn)代表一個VPN端點(diǎn)（用戶數(shù)據(jù)進(jìn)入或離開VPN的設(shè)備端口），相鄰頂點(diǎn)之間的邊表示連結(jié)這兩對應(yīng)端點(diǎn)的邏輯通道，即隧道。 隧道以疊加在IP主干網(wǎng)上的方式運(yùn)行。需安全傳輸?shù)臄?shù)據(jù)分組經(jīng)一定的封裝處理，從信源的一個VPN端點(diǎn)進(jìn)入VPN，經(jīng)相關(guān)隧道穿越VPN（物理上穿越不安全的互聯(lián)網(wǎng)），到達(dá)信宿的另一個VPN端點(diǎn)，再經(jīng)過相應(yīng)解封裝處理，便得到原始數(shù)據(jù)。（不僅指定傳送的路徑，在中轉(zhuǎn)節(jié)點(diǎn)也不會解析原始數(shù)據(jù)）2）當(dāng)用戶數(shù)據(jù)需要跨越多個運(yùn)營商的網(wǎng)絡(luò)時，在連接兩個獨(dú)立網(wǎng)絡(luò)的節(jié)點(diǎn)該用戶的數(shù)據(jù)分組需要被解封裝和再次封裝，可能會造成數(shù)據(jù)泄露，這就需要用到加密技術(shù)和密鑰管理技術(shù)。目前主要的密鑰交換和管理標(biāo)準(zhǔn)有SKIP和ISAKMP（安全聯(lián)盟和密鑰管理協(xié)議）。3）對于支持遠(yuǎn)程接入或動態(tài)建立隧道的VPN，在隧道建立之前需要確認(rèn)訪問者身份，是否可以建立要求的隧道，若可以，系統(tǒng)還需根據(jù)訪問者身份實(shí)施資源訪問控制。這需要訪問者與設(shè)備的身份認(rèn)證技術(shù)和訪問控制技術(shù)。4. VPN有哪三種類型？它們的特點(diǎn)和應(yīng)用場合分別是什么？1. Access VPN（遠(yuǎn)程接入網(wǎng)） 即所謂移動VPN，適用于企業(yè)內(nèi)部人員流動頻繁和遠(yuǎn)程辦公的情況，出差員工或在家辦公的員工利用當(dāng)?shù)豂SP就可以和企業(yè)的VPN網(wǎng)關(guān)建立私有的隧道連接。 通過撥入當(dāng)?shù)氐腎SP進(jìn)入Internet再連接企業(yè)的VPN網(wǎng)關(guān)，在用戶和VPN網(wǎng)關(guān)之間建立一個安全的“隧道”，通過該隧道安全地訪問遠(yuǎn)程的內(nèi)部網(wǎng)（節(jié)省通信費(fèi)用，又保證了安全性）。 撥入方式包括撥號、ISDN、ADSL等，唯一的要求就是能夠使用合法IP地址訪問Internet。2. Intranet VPN（內(nèi)聯(lián)網(wǎng)） 如果要進(jìn)行企業(yè)內(nèi)部異地分支結(jié)構(gòu)的互聯(lián)，可以使用Intranet VPN的方式，即所謂的網(wǎng)關(guān)對網(wǎng)關(guān)VPN。在異地兩個網(wǎng)絡(luò)的網(wǎng)關(guān)之間建立了一個加密的VPN隧道，兩端的內(nèi)部網(wǎng)絡(luò)可以通過該VPN隧道安全地進(jìn)行通信。3. Extranet VPN（外聯(lián)網(wǎng)） 如果一個企業(yè)希望將客戶、供應(yīng)商、合作伙伴連接到企業(yè)內(nèi)部網(wǎng)，可以使用Extranet VPN。其實(shí)也是一種網(wǎng)關(guān)對網(wǎng)關(guān)的VPN，但它需要有不同協(xié)議和設(shè)備之間的配合和不同的安全配置。5. 舉例說明什么是乘客協(xié)議、封裝協(xié)議和傳輸協(xié)議？（1）乘客協(xié)議：用戶真正要傳輸（也即被封裝）的數(shù)據(jù)，如IP、PPP、SLIP等。（2）封裝協(xié)議：用于建立、保持和拆卸隧道，如L2F、PPTP、L2TP、GRE。（3）傳輸協(xié)議：乘客協(xié)議被封裝后應(yīng)用傳輸協(xié)議，例如UDP協(xié)議。8. 了解第三層隧道協(xié)議——GRE。GRE是通用的路由封裝協(xié)議，支持全部的路由協(xié)議（如RIPOSPF等），用于在IP包中封裝任何協(xié)議的數(shù)據(jù)包（IP、IPX、NetBEUI等）。在GRE中，乘客協(xié)議就是上面這些被封裝的協(xié)議，封裝協(xié)議就是GRE，傳輸協(xié)議就是IP。在GRE的處理中，很多協(xié)議的細(xì)微差別都被忽略，這使得GRE不限于某個特定的“X over Y”的應(yīng)用，而是一種通用的封裝形式。 原始IP包的IP地址通常是企業(yè)私有網(wǎng)絡(luò)規(guī)劃的保留IP地址，而外層的IP地址是企業(yè)網(wǎng)絡(luò)出口的IP地址，因此，盡管私有網(wǎng)絡(luò)的IP地址無法和外部網(wǎng)絡(luò)進(jìn)行正確的路由，但這個封裝之后的IP包可以在Internet上路由——最簡單的VPN技術(shù)。（NAT，非IP數(shù)據(jù)包能在IP互聯(lián)網(wǎng)上傳送） GRE VPN適合一些小型點(diǎn)對點(diǎn)的網(wǎng)絡(luò)互聯(lián)。第二十章 安全掃描技術(shù)一、問答題1. 簡述常見的黑客攻擊過程。1 目標(biāo)探測和信息攫取 先確定攻擊日標(biāo)并收集目標(biāo)系統(tǒng)的相關(guān)信息。一般先大量收集網(wǎng)上主機(jī)的信息，然后根據(jù)各系統(tǒng)的安全性強(qiáng)弱確定最后的目標(biāo)。1) 踩點(diǎn)（Footprinting） 黑客必須盡可能收集目標(biāo)系統(tǒng)安全狀況的各種信息。Whois數(shù)據(jù)庫查詢可以獲得很多關(guān)于目標(biāo)系統(tǒng)的注冊信息，DNS查詢(用Windows/UNIX上提供的nslookup命令客戶端)也可令黑客獲得關(guān)于目標(biāo)系統(tǒng)域名、IP地址、DNS務(wù)器、郵件服務(wù)器等有用信息。此外還可以用traceroute工具獲得一些網(wǎng)絡(luò)拓?fù)浜吐酚尚畔ⅰ?) 掃描（Scanning） 在掃描階段，我們將使用各種工具和技巧(如Ping掃射、端口掃描以及操作系統(tǒng)檢測等)確定哪些系統(tǒng)存活著、它們在監(jiān)聽哪些端口(以此來判斷它們在提供哪些服務(wù))，甚至更進(jìn)一步地獲知它們運(yùn)行的是什么操作系統(tǒng)。3) 查點(diǎn)（Enumeration） 從系統(tǒng)中抽取有效賬號或?qū)С鲑Y源名的過程稱為查點(diǎn)，這些信息很可能成為目標(biāo)系統(tǒng)的禍根。比如說，一旦查點(diǎn)查出一個有效用戶名或共享資源，攻擊者猜出對應(yīng)的密碼或利用與資源共享協(xié)議關(guān)聯(lián)的某些脆弱點(diǎn)通常就只是一個時間問題了。查點(diǎn)技巧差不多都是特定于操作系統(tǒng)的，因此要求使用前面步驟匯集的信息。2 獲得訪問權(quán)（Gaining Access） 通過密碼竊聽、共享文件的野蠻攻擊、攫取密碼文件并破解或緩沖區(qū)溢出攻擊等來獲得系統(tǒng)的訪問權(quán)限。3 特權(quán)提升（Escalating Privilege） 在獲得一般賬戶后，黑客經(jīng)常會試圖獲得更高的權(quán)限，比如獲得系統(tǒng)管理員權(quán)限。通?？梢圆捎妹艽a破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱點(diǎn)等技術(shù)。4 竊?。⊿tealing） 對敏感數(shù)據(jù)進(jìn)行篡改、添加、刪除及復(fù)制（如Windows系統(tǒng)的注冊表、UNIX的rhost文件等）。5 掩蓋蹤跡（Covering Tracks） 此時最重要就隱藏自己蹤跡，以防被管理員發(fā)覺，比如清除日志記錄、使用rootkits等工具。6 創(chuàng)建后門（Creating Bookdoor） 在系統(tǒng)的不同部分布置陷阱和后門，以便入侵者在以后仍能從容獲得特權(quán)訪問。9．什么是漏洞掃描？ 系統(tǒng)漏洞檢測又稱漏洞掃描，就是對重要網(wǎng)絡(luò)信息進(jìn)行檢查，發(fā)現(xiàn)其中可被攻擊者利用的漏洞。第二十二章 網(wǎng)絡(luò)病毒防范三、問答題1. 掌握惡意代碼的概念和分類，以及幾種主要的惡意代碼。黑客編寫的擾亂社會和個人，甚至起著破壞作用的計算機(jī)程序，就是惡意代碼。1）按惡意代碼是否需要宿主，即特定的應(yīng)用程序、工具程序或系統(tǒng)程序。需要宿主的惡意代碼具有依附性，不能脫離宿主而獨(dú)立運(yùn)行；不需宿主的惡意代碼具有獨(dú)立性，可不依賴宿主而獨(dú)立運(yùn)行。2) 按惡意代碼是否能夠自我復(fù)制，不能自我復(fù)制的惡意代碼是不感染的，能夠自我復(fù)制的惡意代碼是可感染的。1. 不感染的依附性惡意代碼（1）特洛伊木馬 一段能實(shí)現(xiàn)有用的或必需的功能的程序，但是同時還完成一些不為人知的功能，這些額外的功能往往是有害的（試圖訪問未授權(quán)資源、試圖阻止正常訪問、試圖更改或破壞數(shù)據(jù)和系統(tǒng)等）。 它一般沒有自我復(fù)制的機(jī)制，但欺騙性是其得以傳播的根本原因。電子新聞組和電子郵件是它的主要傳播途徑。特洛伊木馬經(jīng)常偽裝成游戲軟件、搞笑程序、屏保、非法軟件、色情資料等，上載到網(wǎng)上直接傳播，容易被不知情的用戶接收和繼續(xù)傳播。（2）邏輯炸彈 一段具有破壞性的代碼，事先預(yù)置于較大的程序中，等待某扳機(jī)事件（特殊日期或指定事件）發(fā)生觸發(fā)其破壞行為。它往往被那些有怨恨的職員使用，一旦邏輯炸彈被觸發(fā)，就會造成數(shù)據(jù)或文件的改變或刪除、計算機(jī)死機(jī)等。（3）后門或陷門 是進(jìn)入系統(tǒng)或程序的一個秘密入口，它能夠通過識別某種特定的輸入序列或特定帳戶，使訪問者繞過訪問的安全檢查、直接獲得訪問權(quán)利，并且通常高于普通用戶的特權(quán)。2. 不感染的獨(dú)立性惡意代碼（1）點(diǎn)滴器 為傳送和安裝其他惡意代碼而設(shè)計的，它本身不具有直接的感染性和破壞性。它專門對抗反病毒檢測，使用了加密手段，以阻止反病毒程序發(fā)現(xiàn)它們。當(dāng)特定事件出現(xiàn)時，它將啟動，將自身包含的惡意代碼釋放出來。3. 可感染的依附性惡意代碼 計算機(jī)病毒是一段附著在其他程序上的可以進(jìn)行自我復(fù)制的代碼，由于絕大多數(shù)惡意代碼都或多或少地具有計算機(jī)病毒的特征。4. 可感染的獨(dú)立性惡意代碼（1）蠕蟲 一種通過計算機(jī)網(wǎng)絡(luò)能夠自我復(fù)制和擴(kuò)散的程序。蠕蟲不需要宿主，不會與其他特定功能程序混合。蠕蟲感染的是系統(tǒng)環(huán)境（如操作系統(tǒng)或郵件系統(tǒng)）。新感染系統(tǒng)采取同樣的方式進(jìn)行復(fù)制和傳播，使得蠕蟲傳播非常迅速。蠕蟲可以大量地消耗計算機(jī)時間和網(wǎng)絡(luò)通信帶寬，導(dǎo)致整個計算機(jī)系統(tǒng)和網(wǎng)絡(luò)的崩潰，成為拒絕服務(wù)攻擊的工具。（2）細(xì)菌 在計算機(jī)系統(tǒng)中不斷復(fù)制自己的程序。一個典型的細(xì)菌是在多任務(wù)系統(tǒng)中生成它的兩個副本，然后以指數(shù)級增長，最終占用全部的系統(tǒng)資源，無法為用戶提供服務(wù)。6. 計算機(jī)病毒的定義和特征是什么？計算機(jī)病毒，是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼。1）主動傳染性 這是病毒區(qū)別于其他程序的一個根本特性。病毒能夠?qū)⒆陨泶a主動復(fù)制到其他文件或扇區(qū)中，這個過程并不需要人為的干預(yù)。病毒通過各種渠道從已被感染的計算機(jī)擴(kuò)散到未被感染的計算機(jī)。所謂“感染”，就是病毒將自身嵌入到合法程序的指令序列中，致使執(zhí)行合法程序的操作會招致病毒程序的共同執(zhí)行或以病毒程序的執(zhí)行取而代之。2）破壞性 這也是計算機(jī)病毒的一個基本特性，比如刪除文件、毀壞主板BIOS、影響正常的使用等。近年來隨著將特洛伊木馬程序、蠕蟲程序等納入計算機(jī)病毒的范疇，將盜取信息、使用他人計算機(jī)的資源等也列入了破壞行為的范圍。3）寄生性（隱蔽性） 早期的計算機(jī)病毒絕大多數(shù)都不是完整的程序，通常都是附著在其他程序中。病毒取得系統(tǒng)控制權(quán)后，可以在很短時間里傳染大量其他程序，而且計算機(jī)系統(tǒng)通常仍能正常運(yùn)行，用戶不會感到任何異常（非常危險）。當(dāng)然現(xiàn)在的某些病毒本身就是一個完整的程序。4）潛伏性 病毒進(jìn)入系統(tǒng)之后一般不會馬上發(fā)作，可以或長或短地潛伏在合法程序中，進(jìn)行傳染而不被人發(fā)現(xiàn)。潛伏的時間越長，傳染范圍越大。5）多態(tài)性 病毒試圖在每一次感染時改變它的形態(tài)，使對它的檢測變得更困難。一個多態(tài)病毒還是原來的病毒，但不能通過掃描特征字符串來發(fā)現(xiàn)。病毒代碼的主要部分相同，但表達(dá)方式發(fā)生了變化，也就是同一程序由不同的字節(jié)序列表示。9．什么是病毒的特征代碼？它有什么作用？病毒的特征代碼是病毒程序編制者用來識別自己編寫程序的唯一代碼串。因此檢測病毒程序可利用病毒的特征代碼來檢測病毒，以防止病毒程序感染。10．什么是網(wǎng)絡(luò)蠕蟲？它的傳播途徑是什么？ 網(wǎng)絡(luò)蠕蟲是一種可以通過網(wǎng)絡(luò)（永久連接網(wǎng)絡(luò)或撥號網(wǎng)絡(luò)）進(jìn)行自身復(fù)制的病毒程序。一旦在系統(tǒng)中激活，蠕蟲可以表現(xiàn)得象計算機(jī)病毒或細(xì)菌?？梢韵蛳到y(tǒng)注入特洛伊木馬程序，或者進(jìn)行任何次數(shù)的破壞或毀滅行動。普通計算機(jī)病毒需要在計算機(jī)的硬件或文件系統(tǒng)中繁殖，而典型的蠕蟲程序會在內(nèi)存中維持一個活動副本。蠕蟲是一個獨(dú)立運(yùn)行的程序，自身不改變其他的程序，但可以攜帶一個改變其他程序功能的病毒。 整理分享