网路安全入门要了解的16个基本问题

2006-10-26 16:27:58   来源：华军软体资讯站 作者：

  问：什么是网路安全？
  答：网路安全是指网路系统的硬体、软体及其系统中的资料受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可以连续可靠正常地运行，网路服务不被中断。

  问：什么是电脑病毒？
  答：电脑病毒（Computer Virus）是指编制者在电脑程式中插入的破坏电脑功能或者破坏资料，影响电脑使用并且能够自我复制的一组电脑指令或者程式码。
  问：什么是木马？
  答：木马是一种带有恶意性质的远端控制软体。木马一般分为用户端（client）和伺服器端（server）。用户端就是本地使用的各种命令的控制台，伺服器端则是要给别人运行，只有运行过伺服器端的电脑才能够完全受控。木马不会像病毒那样去感染档。

  问：什么是防火墙？它是如何确保网路安全的？
  答：使用防火墙（Firewall）是一种确保网路安全的方法。防火墙是指设置在不同网路（如可信任的企业内部网和不可信的公共网）或网路安全域之间的一系列部件的组合。它是不同网路或网路安全域之间资讯的惟一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网路的资讯流，且本身具有较强的抗攻击能力。它是提供资讯安全服务，实现网路和资讯安全的基础设施。

  问：什么是后门？为什么会存在后门？
  答：后门（Back Door）是指一种绕过安全性控制而获取对程式或系统访问权的方法。在软体的开发阶段，程式师常会在软体内创建后门以便可以修改程式中的缺陷。如果后门被其他人知道，或是在发布软体之前没有删除，那么它就成了安全隐患。

  问：什么叫入侵检测？？
  答：入侵检测是防火墙的合理补充，帮助系统对付网路攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和回应），提高资讯安全基础结构的完整性。它从电脑网路系统中的若干关键点收集资讯，并分析这些资讯，检查网路中是否有违反安全策略的行为和遭到袭击的迹象

  问：什么叫资料包监测？它有什么作用？
  答：资料包监测可以被认为是一根窃听电话线在电脑网路中的等价物。当某人在“监听”网路时，他们实际上是在阅读和解释网路上传送的资料包。如果你需要在互联网上通过电脑发送一封电子邮件或请求下载一个网页，这些操作都会使资料通过你和资料目的地之间的许多电脑。这些传输资讯时经过的电脑都能够看到你发送的资料，而资料包监测工具就允许某人截获资料并且查看它。

  问：什么是NIDS？
  答：NIDS是Network Intrusion Detection System的缩写，即网路入侵检测系统，主要用于检测Hacker或Cracker通过网路进行的入侵行为。NIDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通信资讯，另一种是在一台单独的机器上运行以监测所有网路设备的通信资讯，比如Hub、路由器。

  问：什么叫SYN包？
  答：TCP连接的第一个包，非常小的一种资料包。SYN攻击包括大量此类的包，由于这些包看上去来自实际不存在的站点，因此无法有效进行处理。

  问：加密技术是指什么？
  答：加密技术是最常用的安全保密手段，利用技术手段把重要的资料变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。
  加密技术包括两个元素：演算法和密钥。演算法是将普通的资讯或者可以理解的资讯与一串数位（密钥）结合，产生不可理解的密文的步骤，密钥是用来对资料进行编码和解密的一种演算法。在安全保密中，可通过适当的钥加密技术和管理机制来保证网路的资讯通信安全。

  问：什么叫蠕虫病毒？
  答：蠕虫病毒（Worm）源自第一种在网路上传播的病毒。1988年，22岁的康奈尔大学研究生罗伯特。莫里斯（Robert Morris）通过网路发送了一种专为攻击UNIX系统缺陷、名为“蠕虫”（Worm）的病毒。蠕虫造成了6000个系统瘫痪，估计损失为200万到6000万美元。由于这只蠕虫的诞生，在网上还专门成立了电脑应急小组（CERT）。现在蠕虫病毒家族已经壮大到成千上万种，并且这千万种蠕虫病毒大都出自黑客之手。

  问：什么是作业系统型病毒？它有什么危害？
  答：这种病毒会用它自己的程式加入作业系统或者取代部分作业系统进行工作，具有很强的破坏力，会导致整个系统瘫痪。而且由于感染了作业系统，这种病毒在运行时，会用自己的程式片断取代作业系统的合法程式模组。根据病毒自身的特点和被替代的作业系统中合法程式模组在作业系统中运行的地位与作用，以及病毒取代作业系统的取代方式等，对作业系统进行破坏。同时，这种病毒对系统中档的感染性也很强。

  问：莫里斯蠕虫是指什么？它有什么特点？
  答：它的编写者是美国康乃尔大学一年级研究生罗特。莫里斯。这个程式只有99行，利用了Unix系统中的缺点，用Finger命令查联机用户名单，然后破译用户口令，用Mail系统复制、传播本身的根源程式，再编译生成代码。
  最初的网路蠕虫设计目的是当网路空闲时，程式就在电脑间“游荡”而不带来任何损害。当有机器负荷过重时，该程式可以从空闲电脑“借取资源”而达到网路的负载平衡。而莫里斯蠕虫不是“借取资源”，而是“耗尽所有资源”。

  问：什么是DDoS？它会导致什么后果？
  答：DDoS也就是分散式拒绝服务攻击。它使用与普通的拒绝服务攻击同样的方法，但是发起攻击的源是多个。通常攻击者使用下载的工具渗透无保护的主机，当获得该主机的适当的访问许可权后，攻击者在主机中安装软体的服务或进程（以下简称代理）。这些代理保持睡眠状态，直到从它们的主控端得到指令，对指定的目标发起拒绝服务攻击。随着危害力极强的黑客工具的广泛传播使用，分散式拒绝服务攻击可以同时对一个目标发起几千个攻击。单个的拒绝服务攻击的威力也许对带宽较宽的站点没有影响，而分布于全球的几千个攻击将会产生致命的后果。

  问：局域网内部的ARP攻击是指什么？
  答：ARP协定的基本功能就是通过目标设备的IP位址，查询目标设备的MAC位址，以保证通信的进行。
  基于ARP协议的这一工作特性，黑客向对方电脑不断发送有欺诈性质的ARP资料包，资料包内包含有与当前设备重复的Mac位址，使对方在回应报文时，由于简单的位址重复错误而导致不能进行正常的网路通信。一般情况下，受到ARP攻击的电脑会出现两种现象：
  1.不断弹出“本机的XXX段硬体位址与网路中的XXX段位址冲突”的对话方块。
  2.电脑不能正常上网，出现网路中断的症状。
  因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求资料包，不予拦截。因此普通的防火墙很难抵挡这种攻击。

  问：什么叫欺骗攻击？它有哪些攻击方式？
  答：网路欺骗的技术主要有：HONEYPOT和分散式HONEYPOT、欺骗空间技术等。主要方式有：IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、电子邮件欺骗、源路由欺骗（通过指定路由，以假冒身份与其他主机进行合法通信或发送假报文，使受攻击主机出现错误动作）、位址欺骗（包括伪造源位址和伪造中间站点）等。