---------------------------网络安全----------------------------

万字长文，小编自己手打，如有勘误，敬请谅解！

1. 《网络安全基础》

1.tcp/ip协议架构 tpc/ip开放模型

四层：从下往上
物理和数据链路层（网络设备链接的物理特性，实现传输无差错数据帧）----网络层（IP层，提供网络传输、路由选择等Import,）----传输层(负责端到端的传输，UDP协议不可靠，数据丢失，udp传输效率高于tcp)----应用层（面向用户提供管理和服务的高级应用程序，例如传输协议ftp，超文本传输http，邮件传输smtp/pop3，域名DNS，远程终端telent简单网络管理snmp）

2.Osi/rm开放模型：七层，从下往上

物理层、数据链路层（主要协议ARP/RARP）、网络层、传输层、会话层、表示层、应用层

数据链路层协议：ARP:通过ip地址转换为mac地址
RARP:通过mac转为ip

网络层协议：
IP：唯一性，5类ABCDE类
ICMP:英特尔控制报文协议，提供网络中出错的一个反馈机制，功能主要为差错报告和查询

传输层协议：
主要含TCP和UDP协议：广泛、面向连接、端到端、可靠、三次握手（类似于A：资料交了吗
B：交了
A：好）
数据包由头部和数据两部分组成
UDP协议不可靠，因为无传输连接，易丢失重复、无连接的传输层协议。速度高于tcp，格式为头部字段和数据字段

应用层协议：
http：请求应答协议，客户机与服务器的建立tcp协议交流协议
SMTP：简单邮件传输协议：实现电子邮件发送到邮件服务器，基于TCP，包含邮件客户端程序和邮件传输代理程序两部分
POP3协议为邮件协议第三代，规范从邮局服务器下载东西的规范性
DNS：域名解析系统，将一个代号解析出真实身份，因为真实身份难以记忆，就将真实身份转换为代号易于记忆，电脑通过DNS将代号解析为真实就好了

2《网络安全威胁技术》

1.网络安全威胁主要分为三个阶段：

第一阶段：信息收集
第二阶段：网络嗅探，网络诱骗.，协议分析，漏洞攻击，拒绝服务攻击，web攻击等
第三阶段：成功入侵后 植入木马，或者远程控制程序以获取信息

2.扫描技术：

网络身份信息扫描：通过whois域名注册查询，或者谷歌，获取电话号码，邮箱，Ip地址等信息
Ip地址扫描：ping发送ICMP数据包，回应了即可，处于攻击的开始阶段
端口扫描：开放端口，像开放的窗户一样，是攻击的最佳入口，扫描可借用namp，网络的端是在传输层的tcpUDP协议定义的，端口范围在0—65535内，其中1024内的端口保留给常用的服务，就是要新开放端口要选在1024以上，避免造成端口冲突，例如ftp端口21，Telent：23，，，SMTP：25，HTTP：80，POP3：110

3.端口扫描技术：

（1）TCP全连接扫描：三次握手，能牵手成功就说明对方开机的
（2）TCP SYN：就是半连接扫描，就是只利用三次握手的前两次，也就是半连接扫描，因为没有牵手三次，所以降低了被发现的可能，性能也提高了
（3）TCP FIN：为秘密扫描，不属于TCP协议，发送FIN标志位1的数据包，对方端口开放则丢弃包，未开放则返回一个RST标志位为1 包，使用与UNIX 系统
（4）UDP的ICMP端口不可达扫描：UDP发送数据包，对方UDP端口开放，则不返回，未开放则返回ICMP—PORT——。。。。。。包（开放直接一去不复返，没开放给撞墙哭着回来了）
（5）ICMP扫描：向目标主机发送一个错误项的IP数据包，根据返回的错误信息判断网络服务和使用的端口
（6）乱序扫描和慢速扫描：因为普通扫描规则是从小到大的端口依次快速扫描，短时间内扫描大量端口，这样往往容易被防火墙检查到被报警，因此攻击者往往采用乱序扫描并且降低速度来隐藏行为

4.漏洞扫描：

（1）网络漏洞扫描：网络设备发现，网络漏洞扫描工具包含有漏洞脚本库，会根据目标漏洞的配置调用脚本库的模拟攻击脚本或代码，然后向目标主机发送漏洞脚本数据包，并检测设备响应，查看是否有对应漏洞，常用工具（Nessus , X-Scan , SSS , 绿盟极光漏洞）
（2）主机漏洞扫描：主机操作系统或者程序漏洞，通过系统疏忽导致漏洞或者补丁漏洞而扫描，常用工具（Nessus， 360安全卫士）

5.弱口令扫描（password: 12345678）:字典攻击（字典中收集了上亿条密码，一条一条试），穷举攻击（依据数学排列组合一个一个试）
6.综合漏洞扫描：网络和主机漏洞全扫，推荐Nessus
7.扫描防范技术：扫描往往的入侵的前奏，所以得防着，通过部署防火墙拦截源主机的扫描数据包来防范，还可以采用安全检测工具，有效预警。

3.《网络嗅探》

1.原理：

通过嗅探工具获取目标主机的网络传输数据包，然后利用协议进行还原和分析，获取数据包内大量信息，常用嗅探工具有Sniffer，工具一般设置为混杂模式，因为正常模式只能监测到mac地址，混杂可以监测到所有数据包，嗅探工具分为软件和硬件两种，软件有wireshark , sniffer pro , omnipeek等，优点就是使用方便，缺点就是无法抓取往上所有数据帧，硬件设备往往采用专用协议，优点是能抓取所有数据帧，缺点就是贵

2.防范：

因为嗅探是获取传输的数据包，那可以给数据包加密传输就能达到防范目的，加密有VPN，SSL，SSH等加密传输

4.《网络协议欺骗》

1.IP地址欺骗：

通过伪造第三方IP地址欺骗目标主机，之所以能欺骗是因为目标主机的tcp/ip协议缺少ip认证手段，所以才能欺骗成功，ip欺骗本身并没有造成伤害，往往是配合其他技术手段实行攻击。

2.ARP欺骗：

ARP缓存表具有更新功能，恶意主机发送假的ARP数据包，让目标主机收到后更新ARP缓存表，记录了假的ARP数据包缓存。ARP欺骗分为中间人欺骗和网关欺骗，中间人欺骗主要在局域网中实行，他在两台主机中间作为假传话人，欺骗双方。。。。。。。网关欺骗主要是局域网与外界通信时，伪造假ARP。

3.ARP欺骗防范：

通过IDS或Antiarp或ARP防火墙查找ARP欺骗设备，定位ARP病毒主机，再通过杀毒软件杀死ARP病毒。还能通过mac地址和ip地址的双向静态绑定，使ARP欺骗失效.

4.TCP欺骗：

在传输层实施的通信欺骗攻击包括TCP欺骗和UDP欺骗（外部计算机伪装成合法计算机），TCP攻击包括非盲攻击和盲攻击两手段
（1）非盲攻击：在攻击者和目标主机在同一网络时，通过嗅探工具获取主机数据包，从而预测TCP初始序列号的攻击方法（有眼的）
（2）盲攻击：在攻击者和目标主机在不同网络时。因不在同网络，无法使用嗅探工具获得数据包，，存在盲目性。

5.DNS欺骗：

基于DNS服务器欺骗和基于用户计算机欺骗
（1）基于DNS服务器欺骗：目标DNS服务器，伪造DNS
（2）基于用户计算机欺骗：针对用户

6.诱骗式攻击：

诱惑用户点击访问（你同学发了你小时候照片给你，快点击查看吧）
包括网站挂马，诱骗下载，钓鱼网站，社会工程等
（1）网站挂马：入侵网站后植入木马，让访问者被恶意植入木马
挂马技术：框架挂马，JS 脚本挂马，body挂马，伪装欺骗挂马
（2）诱骗下载：诱惑
（3）钓鱼网站：伪造网站坑你输入账号密码
（4）社会工程学：针对人心的弱点

7.DDOS攻击分类：

IP协议攻击（最低层次） ，TCP协议攻击（本身缺陷，TCP全连接）
UDP协议攻击：带宽消耗攻击
（1）防范：数据包过滤，反欺骗技术，异常识别，协议分析，速率限制

8.Web脚本攻击

（1）注入攻击：SQL注入，代码注入，命令注入，LDAP注入，XPath注入
/ SQL注入：程序没有对请求参数严格检查，直接作为合法请求参数调用数据
/跨站脚本攻击：称为XSS攻击，为客户端脚本攻击，对Web程序输入的数据过滤不严格，导致用户浏览器被自动下载执行脚本代码。分类：
//反射型XSS：非持久型的跨站脚本攻击。向用户发送恶意攻击脚本的URL链接，诱骗用户点击，一点，就自动下载执行脚本，你就死咯，一般就是在博客或者论坛中链接
//存储型：持久型，存在Web网站中，当用户访问特定网页时，你就凉咯，一般在服务器网页中（驻军）
//DOM-based XSS：基于文档对象模型。通过javascript的脚本动态修改DOM结构进而导致XSS漏洞

（2）防范：给关键cookie设置httponly标识（禁止网页的javascript访问带有httponly属性的cookie）

9.远程控制

（1）木马：具有远程控制，信息偷取，隐蔽传输功能的恶意程序，具有伪装性，隐藏性，窃密性，破坏性。木马程序都采用C/S架构，木马分为两部分，客户端程序和服务端程序。
//木马隐藏技术：线程插入技术，DLL动态劫持技术，Rootkit技术
/线程插入技术：一个进程有多个线程，线程之间又是独立可同时运行的，当木马插入到一个线程中时，系统会认这个进程为合法，没发现线程里隐藏的木马
/DLL动态劫持技术：让程序加载非系统目录下DLL的技术
/Rootkit：内核隐藏技术，它使得恶意程序可以逃避系统标准管理的查找

（2）Webshell：Web脚本写的木马后门，用于远程控制服务器网站

5.《防火墙》

1.定义：

部署在内外网交换处，用于拦截不可信数据

2.功能：

（1）内外网之间进行数据包过滤
（2）对网络传输和访问的数据进行记录和审计
（3）防范内外网间异常攻击
（4）通过配置NAT提高网络地址转换

3.分类：

软件防火墙和硬件防火墙

4.防火墙技术：

（1）包过滤技术：过滤非法数据包

（2）状态检测技术：
//静态NAT：内部ip和公有ip建立一对一静态映射关系
//NAT池：采用动态分配，管理员先设定好一组可用的公有ip地址，当员工要对外访问时将在地址池随机抽取一个没有使用的ip地址使用，用完后回收回池子中准备分配给另外一个用户
//端口地址转换：管理员设定一个或多个公网Ip的端口，用户访问时会映射到公网的一个端口。

（3）体系结构：
双重宿主主机体系结构：至少两个接口，一个连外一个连内，一旦双重宿主主机被突破，那么内网就直接敞开大门欢迎入侵了，为了安全，应具有强大的身份认证系统。
屏蔽主机体系结构：一台过滤路由器和堡垒机组成，堡垒机配置在内网上，拥有更强的系统安全配置，一旦路由器被更改，那么堡垒机将被抛弃到 一边，被直接入侵
屏蔽子网体系结构：两个过滤路由器和一个堡垒机，最安全的防火墙，拥有缓冲区

（4）防火墙不能防范的威胁：不能防范内网间攻击和绕过防火墙通道上的攻击、病毒和内部驱动的木马和针对防火墙开放端口攻击

6.《入侵检测系统和入侵防御系统》

1.概念：

部署在网络系统中关键节点上，通过实时收集分析系统中产生的信息检查是否存在违反安全策略的行为是否存在入侵迹象。分为控制台和探测器两部分，探测器主要在前端采集数据，对交换机传输数据分析，部署在子网上。控制台接受探测器采集的数据实行管理控制，该系统是对防火墙的补充。

2.入侵检测系统功能：

（1）检测记录计算机系统或网络中存在的活动和数据
（2）检测黑客攻击前的探测行为，发出告警
（3）检测入侵和异常行为发出告警和响应
（4）提供有关攻击信息，帮助管理员诊断弱点

3.入侵检测系统分类：

（1）根据数据采集方式不同，分为基于网络的入侵检测系统和基于主机的入侵检测系统。
//网络入侵检测系统是根据网络中查找符合入侵规范的数据包。
//主机入侵检测系统是根据主机上审计日志文件寻找具有攻击特性的文件
（2）根据检测原理分类：误用/异常检测型入侵检测系统
//误用检测型入侵检测系统是收集攻击和非正常操作的行为特性，建立特征库，当检测到用户的行为与特征库相匹配时，认为是入侵，因为她是根据特征库来判断的，而新的攻击特征不包含在特征库中，所以这种检测对于新攻击无能为力
//异常检测型入侵检测系统：收集分析正常操作的特征，当发现用户行为违反正常操作特征时，认为是入侵。

4.入侵检测技术：

（1）误用检测技术：与特征库匹配，判为入侵，主要有专家系统，模型推理，状态转换分析
（2）异常检测技术：与正常行为存在差异，判为入侵，主要依靠统计分析方法和神经网络方法实现
（3）其他入侵检测技术，模型匹配技术，文件完整性检验技术，数据挖掘技术

5.入侵检测体系结构：

（1）基于网络的入侵检测系统NIDS和基于主机的入侵检测系统HIDS：网络模型主要是监听，主机模式是安装软件进行日志扫描分析，进程分析等，两种同时使用效果最好
（2）集中式结构：收集发往控制台分析，网络延迟大
（3）分布式结构：采用多个代理部署在多个网络中，每个代理都有独立的控制台和探测器，各代理的控制台将收集的信息汇总到总控制台，就相当于市级–省级–中央，布点管理，树状结构

6.入侵防御系统：

（1）功能：拦截恶意流量，实现对传输内容的深度检测和安全防护，对网络流量检测的同时进行过滤。
（2）部署方式：
//内外网的网络边界
//DMZ的交换机和防火墙之间
//网核心交换机与防火墙之间
//内网关键服务器外侧
（3）不足：由于入侵防御系统属于串联部署，存在以下三点不足
//单点故障：因为串联，导致影响了入侵防御系统
//可能造成性能瓶颈，因为部署在多层，消耗了性能
//漏报误报：量太大

7.PKI

（1）概念：用公钥密码学技术来支撑的一种安全服务认证。
（2）PKI组成：
//安全策略
//证书认证机构
//证书注册机构
//证书分发系统
//基于PKI的应用接口
（3）数字证书：秘钥秘钥签名，存储格式多种，最基本的是X.509

8.VPN

（1）定义：专线网络安全传输，但是贵，VPN为虚拟专用网，价格低廉，部署方便，也实现安全传输需求，克服了专线的缺点。
VPN是利用开放网络的物理链路和专用的安全协议实现逻辑上的网络安全连接技术。连接原理很简单，就一根筋。
（2）连接类型：Client-LAN 、LAN-LAN
//Client-LAN ：远程访问型
//LAN-LAN：网络到网关类型，客户端和服务器各自在自己网络边界部署硬件VPN网关设备，建立安全隧道。
（3）分类：隧道技术、加密解密技术、完整性校验、秘钥管理技术、身份认证技术。

//其中隧道技术最为关键技术，是将一种协议封装在另外一种协议里。封装协议主要是第二隧道协议和第三隧道协议，目前广泛第三隧道协议（IPSec协议）和传输层的SSL协议。

//第二隧道协议：将网络层协议，如ip协议封装到数据链路层协议ppp的数据帧中，再把整个ppp数据帧装入隧道协议中。

//第二隧道协议主要有三种：微软的点对点，北电的二层转发协议，IETF的二层隧道协议

//第三层隧道协议：网络层协议，将所有网络层协议封装好装入隧道协议进行传输。例如IPSec（保护通信）和GRE.

//传输层SSL协议：两部分组成：连接和应用会话
//介于二三层之间的隧道协议：MPLS是一种基于多协议标记交换技术

7.《网络安全协议》

1.IPSec、ESP、AH、SSL协议

（1）网络层安全协议IPSec：一组开放协议的总称包括了网络安全协议（认证协议头协议AH，安全载荷封装协议ESP）和秘钥管理协议（互联网秘钥交换协议IKE）两部分分

（2）ESP：提供安全加密，身份认证和数据完整性，根据封装内容不同，可将ESP分为传输模式和隧道模式两种模式，采用加密标准是DES和3DES
传输模式下，对IP有效数据载荷进行加密和认证。不加密IP头
隧道模式下用于网关到网关的网络连接，会接受隧道保护，加密IP头

（3）认证协议头AH协议：提供数据完整性校验和源数据树身份验证，不提供加密保护，最常用的校验算法有MD5和SHA-1

（4）秘钥协商协议：因为ESP和MD5擦欧洲哦进行封装和解封，需要两端计算机使用相同参数，连接两台计算机的网关必须先通过协商机制协商好相同参数。IKE负责两个对等体的协商好的相关参数，属于混合型协议

（5）SSL协议：为TCP/IP协议的保镖。因为原本的TCP/IP协议没有考虑到安全性，所以导致了四个缺陷：
1.没有数据源认证机制。
2.没有较强的完整性保护机制。
3.没有为数据提供加密保护。
4.存在设计上的缺陷
//SSL协议包含两层协议：记录协议和握手协议。

2.应用层安全协议：Kerberos , SSH , SHTTP , S/MIME SET协议

（1）Kerberos协议：主要用于分布网络中，用于用户和服务器间的安全身份认证。

（2）SSH协议：对传输的数据加密。防止了中间人工攻击，还有DNS欺骗和IP欺骗。
／／支持两种登录模式：基于口令的登录认证，俗称账号密码。
　　　　　　　　　　　登录认证需要依赖密钥啦进行。
／／SSH加密通过以下５个阶段来实现：
／／协商SSH版本（机器自己协商，并非人协商）
／／协商产生会话密钥
／／登录认证
／／处理会话请求
／／交互会话

（3）SHTTP协议：安全超文本协议，提供对称密钥加密，灵活，可对信息多种方式封装

（4）S/MIME协议：安全多用途网际邮件扩充协议，支持电子邮件数字签名和加密，是对SMTP和POP３的补充。

（5）SET协议：安全电子交易协议，防止数据被非法窃取；双签名技术，保证电子商务参与者的信息给隔离开，不能看到对方的账号和密码；多方认证，提供一个开放的标准和规范，让各用户高兼容性。SET由于是将整个过程都提供了加密保护，所以安全性比SSL高。

总结：

１.TCP／ＩＰ协议提供了异构网络互联的通信协议规范，适用于各种范围，体系结构有４层：链路层－－网络层－－传输层－－应用层
链路层包含了ＡＲＰ（ｍａｃ－－ｉｐ）　协议和RARP协议（ｉｐ－－－－ｍａｃ）

网络层：IP协议和ICMP协议
传输层包含了TCP和UDP（TCP传输速度慢，但比较可靠。UDP传输速度快，但是比较不可靠）
应用层包含的协议HTTP协议SMTP协议POP３协议ＤＮＳ协议

２.网络威胁攻击前三阶段：（１）准备阶段　
　　　　　　　　　　（２）具体网络攻击阶段（利用网络嗅探工具获取目标主机传输的数据包按照协议进行还原和分析获取大量信息，还有协议欺骗等攻击手法）　
　　　　　　　　　　（３）成功入侵后控制阶段（植入木马）

３.网络安全防护

（１）防护技术：防火墙、IDS／ＩＰＳ／ＶＰＮ／ＰＫＩ等安全协议

／／防火墙：部署于可信和不可信网络之间，就像家里的外屋围墙，主要技术有包过滤技术、状态检测技术、NAT技术、代理服务器技术等
　／／VPN：实现了身份认证，加密传输、数据完整性功能。VPN协议主要包括第二层隧道技术，第三层隧道技术，介于二三层之间隧道技术，以及传输层的隧道协议
　／／PKI：核心是解决网络中的信任问题，确认网络空间中的用户身份唯一性，真实性，合法性
　／／IPSｅｃ协议：提供网络层和网络层以上协议的安全防护。

习题集：

1.TCP/IP 协议架构的层次和各层次包含的协议。
答：TCP/IP协议结构从下往上分别为：物理和数据链路层，网络层，传输层，应用层
物理和数据链路层主要协议为：ARP，RARP
网络层主要协议为：ip协议，ICMP协议
传输层主要协议为：tcp,udp
应用层主要协议为：ftp,http,https,SMTP/POP3,DNS,Telent,SNMP

2.ARP欺骗原理
答：因为ARP缓存表存在更新机制，恶意主机发送虚假的ARP数据包给目标主机，目标主机收到后将虚假的ARP数据包更新进了ARP缓存表，建立了错误的IP地址和MAC地址对应关系

3.ICMP协议功能
答：ICMP协议主要功能是在tcp/ip网络中发送出错控制消息，允许主机或网络设备报告出错和异常情况，从而提供一个错误侦查和反馈机制。

4.TCP3次握手过程
答：TCP协议3次握手，首先第一次握手主机A发送数据包给主机B，主机B接收后回应给主机A完成第二次握手，主机A再回应主机B完成第三次握手。

5.TCP全连接扫描，TCP SYN扫描，TCP FIN扫描原理
答：TCP全连接扫描原理：利用tcp三次握手来探测目标主机网络端口是否开放状态。
TCP SYN扫描原理：也称为TCP半扫描，它利用tcp三次握手的前两次握手来查看目标主机网络端口是否打开
TCP FIN扫描：利用发送FIN标志位1的数据包进行端口扫描。
不同之处：TCP全连接扫描为TCP三次握手，较容易被察觉；TCPSYN为半连接扫描，只经历前两次握手，降低了被发现的可能，同时性能相对也提高了；TCP FIN没有采用TCP握手扫描，行为更加隐秘，称为秘密扫描。

6.网络漏洞扫描和主机漏洞扫描的区别
答：网络漏洞扫描主要针对网络中的主机和设备，发送漏洞探测数据包进行漏洞扫描，而主机扫描主要是通过漏洞特征匹配技术和补丁安装信息来检测操作系统和一些应用软件系统的漏洞检测。

7.基于DNS服务器的欺骗技术原理
答：攻击者向DNS服务器发送域名对应的IP地址查询请求，DNS服务器在没有此域名的情况下会向更高级的服务器发送查询请求，攻击者伪造更高级杯的DNS服务器将虚假的IP地址返回给被欺骗的DNS服务器，被欺骗的DNS服务器接收后将虚假的IP地址返回个查询请求者并更新进自己缓存表中，下次有用户查询请求时会直接返回个错误的IP地址，用户访问后会到攻击者的服务器中，从而实现DNS欺骗攻击。

8.网站挂马的概念和原理
答：网站挂马就是在网站上植入木马，让访问者不知不觉中被设备被植入了木马。原理：将木马程序植入到某个代码中，将原代码和木马代码捆绑在一起了，藏在了一个看似合法的服务里，导致访问者大意点击了并触发了木马程序被植入了木马。

9.Dos攻击的三种实现方法
答：Dos攻击3种攻击方式分别为IP层协议攻击，TCP协议攻击，UDP协议攻击

10.SYN-Flood攻击原理
答：SYN-Flood攻击原理：攻击者向目标主机发出第一个SYN握手请求数据包，数据包内含虚假源IP地址为一个不可达或不存在的IP地址，目标主机收到后完成第一次握手，目标主机自动回应SYN+ACK数据包，实现第二次握手，随后目标主机就开始等待第三次握手，因为是虚假IP，当然不可能完成第三次握手，所以目标主机只能干等，等到一定时间后丢包，等待过程中占用了很多系统资源，大量SYN数据包发出的话系统资源基本被占用完。

11.ACK-Flood攻击原理
答：ACK-Flood攻击原理：ACK-Flood攻击发送的是TCP协议中标志位为1的数据包，其中的源IP地址是伪造的，攻击者发送大量的这种ACK数据包冲击目标主机，目标主机接受后根据TCP协议规则会回应ACK和RST标志位设为1的数据包。如果ACK流量过大，那目标主机的ACT/RST数据包回应过程就会消耗大量资源，从而达到拒绝服务攻击的效果。

12.洪水攻击原理
答：洪水攻击就是攻击者发送一系列SYN请求到目标系统，但不发ACK，因此，连接半开，吞掉了服务器资源

13.说明SQL注入原理
答：由于用户客户端提交的的恶意信息没有被过滤，通过SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到了欺骗服务器执行恶意SQL命令

14.举例说明跨站点脚本攻击原理
答：跨站脚本攻击缩写为XSS，他是利用WEB程序页面对数据的输入过滤不严或没做过滤的漏洞。原理：因过滤不严或未做过滤，攻击者网页面内插入恶意脚本，当用户浏览网页时触发到脚本则会自动执行下载并加载恶意脚本，从而在用户的浏览器中显示攻击者的恶意脚本，控制用户浏览器或窃取用户资料的目的。
例子：

<? php$user=$_GET[‘user’]Echo “Hello”.$user;?>

如果用户提交请求”www.xxx.com/xss.php? User=”，则代码将被返回给客户端并被执行后显示在客户端浏览器中。

15.跨站点请求伪造攻击概念和原理
答：概念：跨站点请求伪造是属于伪造客户端请求的一种攻击方法，跨站点请求伪造攻击是让用户访问攻击者构造的网页，执行网页中的恶意脚本，伪造用户的请求，对用户有登录权限的网站实施攻击，由于CSRF攻击是通过攻击者的站点对用户可登录的站点发起攻击，而且攻击脚本是利用伪造的用户请求，这就是跨站点请求伪造攻击。
原理：CSRF攻击是XSS的基础上发展出来的一种变种类型攻击，其根源在于浏览器内不同标签共享同域会话认证信息的机制。具体来说就是用户完成用户名和口令的验证后，用户浏览器会存储登录验证，之后会返回一个会话认证信息，也就是cookie数据，之后所有用户针对该web应用服务器的http请求，用户的浏览器会自动通过保存的cookie通过验证，而不用输入用户名和口令。

16.解释木马的端口反弹技术
答：由于防火墙的大量应用有效拦截了外网进入内网的恶意流量，但由于防火墙对于内网连接外网的情况认为是正常的，这就出现了第三代木马利用只这缺陷，让处于内网的木马主动发起对外网的连接，请求到外网木马的客户端，也就是反弹式木马主动发起外网连接请求，客户端木马被动等待连接，这就是木马的端口反弹技术。

17.防护墙的NAT原理
答：原理就是通过配置并接入接口，配置安全策略和NAT地址池后映射

18.防火墙包过滤和动态检测技术的区别
答：包过滤技术是过滤掉数据包里未得到授权的数据，动态检测则是检测数据是否合法
包过滤技术属于静态技术，只按照设定好的安全策略走，而状态检测技术属于动态包过滤技术，不仅会按照设定好的安全策略走，还会额外考虑数据包的连接状态。

19.侵检测系统和入侵防御系统的区别
答：入侵检测系统部署在网络系统的关键节点上，只能在监测到恶意流量的同事或者之后发出简单的告警；入侵防御系统是通过直接串联到网络链路中实现其防御能力的，不仅会入侵检测，同时还能防御。

20.说明防火墙和入侵防御系统的区别
答：防火墙是重要的网络边界控制设备，主要通过安全策略实现对网路的访问控制，属于被动防御。入侵防御系统针对攻击事件和异常行为可提前感知和预防，属于主动防护。

21.介绍PKI中基于数字证书的信任链传递关系原理
答：通过真实的证书来表名用户真实身份是通过信任链的传递关系来保证的，证书机构和证书者双方认可的情况下颁发的数字证书，证书含有数字签名，如果证书的数字签名被篡改，则证书机构的公钥可以验证出来，如果证书没有被篡改，则借由这个信任链的传递关系就可以通过真实的数字证书确认并相信证书拥有者的身份，简单说，证书拥有者可以通过数字证书来证实自己的身份。

22.介绍SSL协议的连接过程
答：1.客户端提交http请求
2.服务器响应客户，并把证书公钥发给客户
3.客户端验证证书公钥的有效性
4.有效后，会生成一个会话秘钥
5.用证书公钥加密这个会话秘钥后，发送给服务器
6.服务器收到公钥加密的会话秘钥后，用私钥解密，恢复会话秘钥
7.客户端与服务器利用这个会话秘钥加密传输的数据进行通信