知识点

• 震网(Stuxnet)，指一种蠕虫病毒
• 网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息。使用网络监听工具可轻而易举地截取包括口令和账号在内的信息资料。采用数据加密的方式保护包括口令和账号在内的信息资料，使得即使网络监听获取密文后也无法解密成明文，是对付网络监听的有效手段。
• 包过滤防火墙对数据包的过滤依据包括源IP地址、源端口号、目标IP地址和目标端口号。
• Windows用户权限:用户组默认权限由高到低的顺序是administrators—power users —users—everyone
• 报文摘要是指单向哈希函数算法将任意长度的输入报文经计算得出固定位的输出。报文摘要是用来保证数据完整性的。传输的数据一旦被修改， 那么计算出的摘要就不同，只要对比两次摘要就可确定数据是否被修改过。
• ARP攻击(ARP欺骗)是欺骗攻击的一种，通过伪造IP地址和MAC地址，能够在网络中产生大量的ARP通信量使网络阻塞，如果伪造网关的IP地址和MAC地址对，则所有发往网关的IP包将因为MAC地址错误而无法到达网关(ARP攻击一般会将MAC地址改为发起ARP攻击的主机地址)，造成无法跨网段通信。
  处理ARP攻击的方法为首先断开ARP攻击主机的网络连接，然后用“arp-d”命令清除受攻击影响的ARP缓存。
• 主机路由和网络路由是由目的地址的完整度区分的，主机路由的目的地址是一个完整的主机地址（子网掩码固定为 255.255.255.255 ）。网络路由目的地址是一个网络地址（主机号部分为 0 ）。当为某个目的IP地址搜索路由表时，主机地址项必须与目的地址完全匹配，而网络地址项只需要匹配目的地址的网络号和子网号就可以了。
• 层次化网络设计中各个层次的主要功能包括：
  • 接入层：用户接入、计费管理、 MAC地址认证、收集用户信息。
  • 汇聚层：网络访问策略控制、数据包处理、过滤、寻址。
  • 核心层：高速数据交换，常用冗余机制。
• HTTPS （全称：Hyper Text Transfer Protocol over Secure Socket Layer ），是以安全为目标的 HTTP 通道，简单讲是 HTTP 的安全版。HTTPS在HTTP的基础上加入了 SSL 协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。
• 在浏览器地址栏输入一个正确的网址后，本地主机将首先在本机hosts文件中查询该网址对应的IP地址。
• 主域名服务器在接收到域名请求后,首先查询的是本地缓存。
• 静态路由是指由用户或网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。
• 随机路由使用前向代理来收集网络中的有限全局信息即当前结点到其源结点的旅行时间，并以此来更新结点的旅行时间表。
• 洪泛路由是一种简单的路由算法，将收到的封包，往所有的可能连结路径上递送，直到封包到达为止。
• 动态路由就是自适应路由选择算法，是指路由器能够自动地建立自己的路由表，并且能够根据实际情况的变化适时地进行调整。
• 网络建设主要包括网络需求分析、网络体系结构设计、网络安全性设计、设备造型等阶段。其中
  • 网络需求分析阶段主要完成：了解企业用户的现状、弄清用户的目的、掌握资金投入的额度、了解企业用户环境、确定企业用户的数据流管理架构等工作。
  • 网络体系结构设计阶段的主要任务是确定网络的层次结构及各层采用的协议。
  • 网络安全性设计阶段的主要任务是完成可靠性与容错设计、网络安全体系的设计。
  • 网络设备选型阶段的主要任务是根据体系结构、安全性要求、结合经济可行性等确定网络设备的选型。
• DNS域名解析有两种算法递归查询，一般客户机和服务器之间属递归查询，即当客户机向DNS服务器发出请求后,若DNS服务器本身不能解析,则会向另外的DNS服务器发出查询请求，得到结果后转交给客户机。
• 迭代查询(反复查询)，一般DNS服务器之间属迭代查询，如：若DNS2不能响应DNS1的请求，则它会将DNS3的IP给DNS2，以便其再向DNS3发出请求。
• 操作系统的系统的性能指标有系统的可靠性、系统的吞吐率（量)、系统响应时间、 系统资源 利用率、可移植性。
• 实现VPN的关键技术主要有隧道技术、加解密技术、密钥管理技术和身份认证技术。L2TP、PPTP是两种链路层的VPN协议，TLS是传输层VPN协议，IPsec是网络层VPN协议。

1、主动攻击

1. 拒绝服务攻击
2. 分布式拒绝服务（DDOS）
3. 信息篡改
4. 资源使用
5. 欺骗
6. 伪装
7. 重放
8. 会话拦截

2、被动攻击

1. 系统干涉
2. 信息泄露

3、防火墙的功能：

• 访问控制、提供基于状态检测技术的ip地址、端口、用户和时间的管理控制、双向nat提供ip地址转换和ip及tcp/udp端口映射、实现ip复用和隐藏网络结构、代理等。
• 保存用户访问网络的记录
• 控制进出网络的数据包和数据流向
• 不具备查毒功能
• 不负责扫描漏洞
• 防火墙工作层次越高，实现过程复杂，对数据包的理解力越好，对非法包的判断能力越高，但工作效率越低，安全性高；
• 防火墙工作层次越低，实现过程越简单，其工作效率越高，同时安全性越差。
• 包过滤技术是一种基于网络层、传输层的安全技术，优点是简单实用，实现成本较低同时，包过滤操作对于应用层来说是透明的，它不要求客户与服务器程序做任何修改。但包过滤技术无法识别基于应用层的恶意入侵，如恶意的Java小程序以及电子邮件中附带的病毒。
• 代理服务技术基于应用层，需要检查数据包的内容，能够对基于高层协议的攻击进行拦截，安全性较包过滤技术要好。缺点是处理速度比较慢，不适用于高速网之间的应用。另外，代理使用一个客户程序与特定的中间节点连接，然后中间节点与代理服务器进行实际连接。因此，使用这类防火墙时外部网络与内部网络之间不存在直接连接，即使防火墙发生了问题，外部网络也无法与被保护的网络连接。

4、Netstat命令

Netstat命令的连接状态包括：

LISTEN：侦听来自远方的 TCP端口的连接请求。

SYN-SENT：在发送连接请求后等待匹配的连接请求。

SYN-RECEIVED：在收到和发送一个连接请求后等待对方对连接请求的确认。

ESTABLISHED：代表一个打开的连接。

FIN-WAIT-1：等待远程 TCP连接中断请求，或先前的连接中断请求的确认。

FIN-WAIT-2：从远程 TCP等待连接中断请求。

CLOSE-WAIT：等待从本地用户发来的连接中断请求。

LOSING：等待远程 TCP对连接中断的确认。

LAST-ACK：等待原来的发向远程 TCP的连接中断请求的确认。

TIME-WAIT：等待足够的时间以确保远程 TCP接收到连接中断请求的确认。

CLOSED：没有任何连接状态。

netstat -n: 显示协议统计信息和当前 TCP/IP 网络连接。

端口

端口号可以分为三个范围：已知端口、注册端口以及动态和/或专用端口。
已知端口：是从 0 到 1023 的端口。这个就是所谓的公共端口

注册端口：是从 1024 到 49151 的端口。
动态和/或专用端口：是从 49152 到 65535 的端口。理论上，不应为服务分配这些端口。

443是HTTPS端口号，该建立的连接一般为安全连接

5、计算机病毒

1)分类

• 文件型计算机病毒
  • 文件型计算机病毒感染可执行文件(包括EXE和COM文件)。
• 引导型计算机病毒
  • 引导型计算机病毒影响软盘或硬盘的引导扇区。
• 宏病毒
  • 宏病毒感染的对象是使用某些程序创建的文本文档、数据库、电子表格等文件
• 目录型计算机病毒
  • 目录型计算机病毒能够修改硬盘上存储的所有文件的地址。

2)病毒的文件名

病毒文件名称一般分为三部分，第一部分表示病毒的类型，如Worm表示蠕虫病毒，Trojan表示特洛伊木马，Backdoor表示后门病毒，Macro表示宏病毒等。

• 特洛伊木马是一种通过网络传播的病毒，分为客户端和服务器端两部分，服务器端位于被感染的计算机，特洛伊木马服务器端运行后会试學建立网络连接，所以计算机感染特洛伊木马后的典型现象是有未知程序试图建立网络连接。
• 木马 (Trojan) ，是指通过特定的程序 ( 木马程序 ) 来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后；会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据 ( 如网络游戏的密码，即时通信软件密码和用户上网密码等 ) ，黑客甚至可以利用这些打开的端口进入电脑系统。
• Sniffer ，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。 Sniffer 不是木马程序。

3)特征

• 传染性
• 隐蔽性
• 触发性

6、Windows IIS身份认证

• 集成Windows身份验证：以Kerberos票证的形式通过网络向用户发送身份验证信息，并提供较高的安全级别。Windows集成身份验证使用Kerberos版本5NTLM身份验证。
• 摘要式身份验证：将用户凭据作为MD5哈希或消息摘要在网络中进行传输，这样就无法根据哈希对原始用户名和密码进行解码。
• .NET Passport身份验证：对IIS的请求必须在査询字符串或Cookie中包含有效的.NET Passport凭据，提供了单一登录安全性，为用户提供对Internet上各种服务的访问权限。
• 基本身份验证：用户凭据以明文形式在网络中发送。这种形式提供的安全级别很低，因为几乎所有协议分析程序都能读取密码。

7、公钥、密钥、数字签名

私钥签名、加密

公钥验证、解密

非对称算法用于数字签名和验签，如RSA

对称算法只能用来进行数据加密，如IDAE、RC4、RC5

摘要算法只能用来生成消息摘要无法进行数字签名，如MD5、SHA-1

公开密钥加密(public-key cryptography)，也称为非对称加密(asymmetric cryptography)，一种密码学算法类型，在这种密码学方法中，需要一对密钥，一个是私人密钥，另一个则是公开密钥。
常见的公钥加密算法有： RSA、ElGamal、背包算法、Rabin(RSA的特例)、迪菲－赫尔曼密钥交换协议中的公钥加密算法、椭圆曲线加密算法(Elliptic Curve Cryptography, ECC) ；DSA数字签名(又称公钥数字签名)，将摘要信息用发送者的私钥加密，接收者只有用发送者的公钥才能解密被加密的摘要信息，也是属于公开密钥加密算法。
DES是典型的私钥加密体制，属于对称加密，不属于公开秘钥加密。是共享密钥加密算法，DES加密算法的密钥长度为56位。

对称加密比非对称加密效率高

RAS：基于大数定律，可以用于签名

RC5：适合对大量的明文消息进行加密传输

MD5：摘要算法，对任意长度的输入计算得到的结果为128位，确保信息传送完整一致

SHA-1：摘要算法，生成160位，确保信息完整性

数字签名的作用：

• 接收者可验证消息来源的真实性
• 发送者无法否认发送过该消息
• 接收者无法伪造或篡改消息

8、协议

8.1 POP3

全名为“ Post Office Protocol - Version 3 ”，即“邮局协议版本 3 ”。主要用于支持使用客户端远程管理在服务器上的电子邮件。提供了 SSL 加密的 POP3 协议被称为 POP3S 。

POP3协议特性：

• POP3协议默认端口： 110；
• POP3协议默认传输协议： TCP；
• POP3协议适用的构架结构： C/S；
• POP3协议的访问模式：离线访问。

8.2 PPP

①安全认证介绍

• PPP的NCP可以承截多种协议的三层数据包。
• PPP使用LCP控制多种链路的参数 ( 建立、认证、压缩、回拨 ) 。

② PPP的认证类型

• PPP的pap认证是通过二次握手建立认证 ( 明文不加密 ) 。
• PPP的chap挑战握手认证协议，通过三次握手建立认证( 密文采用 MEDS 加密 ) 。
• PPP的双向验证，采用的是chap的主验证风格。
• PPP的加固验证，采用的是两种 (pap 、 chap) 验证同时使用。

8.3 SSH

SSH(Secure Shell ，安全外壳协议 ) ，由IETF的网络工作小组（ Network Working Group ）所制定，常用的应用层网络通信协议（如FTP、POP3和Telnet ）大多数是不安全的，因为它们在网络上用明文传送用户名、口令和数据，很容易被窃听、假冒、篡改和欺骗。

SSH 是一种在不安全网络中用于安全远程登录和其他安全网络服务的协议。它提供了对安全远程登录、安全文件传输和安全 TCP/IP及 X-Windows 系统通信量进行转发的支持。它可以加密、认证并压缩传输的数据。

8.4 FTP

FTP 协议占用两个标准的端口号： 20 和 21 ，其中 20 为数据口，21为控制口。

8.5 SMTP

SMTP（ Simple Mail Transfer Protocol ，简单邮件传输协议）

• 默认端口：25，主要用于发送邮件。

8.6 SNMP

简单网络管理协议（ SNMP ），由一组网络管理的标准组成，包含一个应用层协议（ application layer protocol ）、数据库模型（ database schema ）和一组资源对象。该协议能够支持网络管理系统，用以监测连接到网络上的设备是否有任何引起管理上关注的情况。

• SNMP使用UDP（用户数据报协议）作为第四层协议（传输协议），进行无连接操作。

8.7 PPPoE

PPPoE（英语：Point-to-Point Protocol Over Ethernet），以太网上的点对点协议，是将点对点协议（PPP）封装在以太网（Ethernet）框架中的一种网络隧道协议。提供用户身份验证、用户管理以及数据加密等功能。

端口

FTP：20（数据）、21（控制）

SMTP：25

DNS：53

Telnet：23

HTTPS：443

POP3：110

安全协议工作层次

PGP 的工作层次是应用层，PGP(Pretty Good Privacy)，是一个基于RSA公钥加密体系的邮件加密软件。可以用它对邮件保密以防止非授权者阅读，它还能对邮件加上数字签名从而使收信人可以确认邮件的发送者，并能确信邮件没有被篡改。它可以提供一种安全的通讯方式，而事先并不需要任何保密的渠道用来传递密匙。它采用了一种RSA和传统加密的杂合算法，用于数字签名的邮件文摘算法，加密前压缩等，还有一个良好的人机工程设计。它的功能强大，有很快的速度。

SSL工作层次是应用层到传输层之间

IPSec 工作层次是网络层

9、网络号和主机号计算

当前使用的IP地址有4个字节（32bit）组成，即IPV4编码方式。每个IP地址包括两部分：网络号和主机号。当分配给主机号的二进制位越多，则能标识的主机数就越多，相应地能标识的网络数就越少，反之同理。

IP地址分为五类，A类保留给政府机构，B类分配给中等规模的公司，C类分配给任何需要的人，D类用于组播，E类用于实验，各类可容纳的地址数目不同。

A、B、C三类IP地址的特征：当将IP地址写成二进制形式时，A类地址的第一位总是0，B类地址的前两位总是10，C类地址的前三位总是110。

给出一个IP地址，我们可以通过子网掩码确定这个IP地址的网络号和主机号。

子网掩码的作用就是将某个IP地址划分成网络地址和主机地址两部分。

例如

有一个C类地址为: 192.9.200.13

其缺省的子网掩码为: 255.255.255.0

则它的网络号和主机号可按如下方法得到：

① IP地址 192.9.200.13

    转换为二进制11000000　00001001　11001000　00001101

② 子网掩码255.255.255.0

    转换为二进制11111111　11111111　11111111　00000000

③ 将两个二进制数做按位与（&）运算后得出的结果即为网络部分

  11000000　00001001　11001000　00001101　

& 11111111　11111111　11111111　00000000

-------------------------------------------------------------

  11000000　00001001　11001000　00000000

= 192 . 9 . 200 . 0

即网络号为192.9.200.0

④将子网掩码取反再与IP地址按位与（&）后得到的结果即为主机部分

     11000000　00001001　11001000　00001101　

&　 00000000　00000000　00000000　11111111 --- >已将掩码取反

------------------------------------------------------------

    00000000　00000000　00000000　00001101　

= 0 . 0 . 0 . 13

即主机号为13(或者0.0.0.13)。

已知192.168.1.133、255.255.255.0，这个子网掩码是C类地址的默认的子网掩码，在使用这个掩码时，这个IP地址并没有划分子网，将其转换为8位二进制数，其中的1所的对应的部分就是网络号，而0所对应的部分就是主机号。根据计算方法，192.168.1.0就是网络号（代表当前网络），0.0.0.133就是主机号。同时根据定义，主机号位全为一的地址为此网段的广播地址可知，此时的广播地址为192.168.1.255。此种默认情况是最常见的。

下面看下将网络划分子网后的情况，如：已知192.168.1.133、255.255.255.192.判断网络号，主机号和广播地址。

我们来看掩码255.255.255.192，将其转换成二进制后和255.255.255.0对比可发现，前掩码的前24位没有变化，只是在原来表示主机号的部分头两位变成了1。

                ![](https://upload-images.jianshu.io/upload_images/26112725-0fac82fd7692f9f7.jpg?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

我们把IP地址中的前24位（192.168.1）不看，因为前24位对应掩码没有变化它们始终表示网络号。

按照子网掩码的定义

子网掩码1所对应的位为网络号位

而0所对应的位为主机号位

如图中深蓝色部分所示，主机号中的两位被用来表示网络号了，这就是子网号。（二进制一位用0或1表示，那么占用了两位就有2*2=4种表示，这里占用了2位，也就是说我们将原有的192.168.1.这个网络分成了四份，即4个子网）这四段的网络号分别是00000000、01000000、10000000、11000000，现在我们将它们转换成10进制就分别是0、64、128、192，现在把前24位加进来。

这四段网络分别是192.168.1.0 (~192.168.1.63)

192.168.1.64 (~192.168.1.127)

192.168.1.128 (~192.168.1.191)

192.168.1.192 (~192.168.1.255)

现在我们来看广播地址，既然我们把一个网段分成了四份，它就应该有4个广播地址。 广播地址的定义是主机号位全位1的地址就是广播地址。所以这四个网段的广播地址末八位就是00111111、01111111、10111111、11111111，转换成10进制分别为63、127、191、255。加上原来的网络号位，广播地址就是

192.168.1.63

192.168.1.127

192.168.1.191

192.168.1.255

**四个网段中刨除网络地址和广播地址中间的部分就是可用的主机IP地址了。**

**通过以上分析方法可知192.168.1.133这个IP地址的网络号是192.168.1.128，其主机号是0.0.0.5，广播地址是192.168.1.191。**

根据以上分析和计算方法，子网划分建议按以下步骤和实例计算子网掩码。

1. 将要划分的子网数目转换为2的m次方。如要分8个子网，8=2³。
2. 取上述要划分子网数的2^m的幂m。如2³，即m=3。
3. 将上一步确定的幂m按高序占用主机地址m位后转换为十进制。
4. 如m为3 则是11100000，转换为十进制为224，即为最终确定的子网掩码。如果是C类网，则子网掩码为255.255.255.224；如果是B类网，则子网掩码为255.255.224.0；如果是A类网，则子网掩码为255.224.0.0。在这里，子网个数n与占用主机地址位数m有如下等式成立：2^m=n。

根据这些原则，将一个C类网络分成4个子网。若我们用的网络号为192.9.200.0，则该C类网内的主机IP地址就是192.9.200.1～192.9.200.254
(因为全“0”和全“1”的主机地址有特殊含义，不作为有效的IP地址)

例：学校新建5个机房，每个房间有30台机器，如果给定一C类网络地址：192.168.1.0，问如何将其划分为5个子网，子网掩码该如何设置？

答：2³ =8（大于5的最小的2的整幂次数），取2³的幂，即3，即占用了主机号中的高3位即为11100000，转换为十进制为224，所以该地址为C类地址的子网掩码应该设置为255.255.255.224。各机房IP和子网掩码配置如下（已经去掉广播地址和主机地址）：

机房号 子网掩码 IP地址范围

机房1 255.255.255.224 192.168.1.1~192.168.1.30

机房2 255.255.255.224 192.168.1.33~192.168.1.62

机房3 255.255.255.224 192.168.1.65~192.168.1.94

机房4 255.255.255.224 192.168.1.97~192.168.1.126

机房5 255.255.255.224 192.168.1.129~192.168.1.158

转自https://www.cnblogs.com/gylei/archive/2012/12/17/2822480.html