1. 与VPN相关的协议有哪些? PPTP、IPSec、SSL。
2. 传输层安全协议SSL TLS,协议位置在应用层下传输层上,传输层要求是TCP(连接型传输层)不能UDP,
3. 二层隧道协议有哪些?
PPTP:以PPP(点对点协议)为基础;只支持在IP网络内使用;只能在两端点间建立单一隧道。
L2TP:可以支持多种传输协议 ,如IP,ATM,帧中继。
L2F:L2TP协议支持IP、X.25、帧中继或ATM等作为传输协议。但目前仅定义了基于IP网络的L2TP。L2TP支持在两端点间使用多隧道。
建立在点对点协议PPP的基础上形成的数据包依靠第二层(数据链路层)协议进行传输。
(网络隧道技术的定义:利用一种网络协议来传输另一种网络协议。隧道技术解决了专网与公网的兼容问题。)
3. 三层隧道协议有哪些?  GRE通用路由封装协议IPsec包含两个安全协议(AH、ESP)和一个密钥管理协议(IKE)。是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层(网络层)协议进行传输,在可扩充性、安全性、可靠性方面优于第二层隧道协议。
4. 与相关的协议有哪些? SMTP、POP3、IMAP4、RFC822、MIME、PEM、PGP、S/MIME。
完整性:保障传送过程中数据包不被篡改:mac方法或数字签名
使用MAC方法实现完整性保护的协议有哪些?IPSEC(AH和ESP都有认证)、SSL、SNMP
使用数字签名方法实现完整性保护的协议有哪些?S/MIME、PGP(2都是签名映像)、SET
第一章  基础知识部分:TCP/IP协议主要协议及缺陷分析
ISO/OSI参考模型:应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。
TCP/IP模型:应用层(应用程序)、传输层(TCP、UDP),网络层(ICMP、IP、IGMP),链路层(ARP、RARP)。
一、链路层协议
1. ARP地址转换协议将IP地址转换为硬件MAC地址,与IP协议配合使用。(功能)
地址解析:是一个将主机IP地址映射到硬件地址的过程。过程:ARP请求(发送方硬件地址/发送方IP地址/目标方的硬件地址/目标方的IP地址,本地广播)、ARP响应。
ARP高速缓存:减少广播的数量,生存期。
RARP反地址解析协议:将硬件地址转换为IP地址。
2. ARP欺骗(单选)计算机A收到了一个虚假ARP响应,其中包含了网络中另外一台机器B的硬件地址对路由器(或网关)IP地址的映射。这样,A计算机的ARP缓存将被更新。这种技术称为缓存中毒。也称ARP欺骗。结果:所有由A发往路由器(或网关)的包都将送往BB进行可以分析、篡改、转发等操作。  收到数据包的计算机将数据包进行分析后才将数据包发往真正的路由器。(注意:路由器并非唯一可假冒的机器)
ARP的问题:无状态性。主机信任所有ARP响应包,听响应的进程同发送请求的进程之间没有任何关系。如果机器收到一个ARP响应,无法知道是否真的发送过对应的ARP请求。
ARP地址欺骗类病毒:一般属于木马病毒,发作时会向全网发送伪造的ARP数据包,干扰全网的运行。中毒现象:网络掉线但网络连接正常、内网的部分电脑不能上网、无法打开网页或打开缓慢。
ARP分组格式
硬件类型:16bit,运行ARP的物理网络类型
如以太网取值1,令牌环网取值为4
协议类型:16bit,发送方提供的高层协议类型,如IPV4取值为0X0800
硬件长度:8bit,以字节为单位的物理地址长度,如以太网该值取6
协议长度: 8bit,以字节为单位的逻辑地址长度,如IPV4取值为4
操作字段:16bit,分组类型。ARP请求取值1ARP应答取值2
目的站硬件地址:在ARP请求分组格式中,该字段为0
问题:ARP应答和ARP请求有何种机制保持联系?
ARP的无状态性。
侦听响应的进程同发送请求的进程之间没有任何关系。
如果机器收到一个ARP响应,无法知道是否真的发送过对应的ARP请求。
潜在的攻击方法:
发送虚假的ARP响应,改变ARP缓存表
ARP缓存有一定的有效期
可以编写简单的软件,给目标机器一直发送ARP响应,保证目标机器的ARP缓存有效
ARP请求广播发送,ARP 回应单播响应
二、网络层协议
IP数据报格式
根据IP 8“协议号”字段,区分封装的内容(数据)
TCP:6  UDP:17  ICMP:1  IPV4:4  AH:51  ESP:50
IP分片技术:当一个较长的IP分组经过一个MTU值较小的网络时,把长分组分割成较小的分组进行传输。IP规定分片可以在任何中间路由器上进行,可以走不同的路径,重组只在目的站进行。
传输模式:不加新的IP头,隧道模式:加新的IP头+ah头ESP头+原IP地址包
ICMP发ping命令产生这个数据包
配置IPSec安全策略密钥协商成功后续通信是加密的ESP,应用层协议
第二章  PPTP与虚拟专用网
1、PPTP的基础是什么?适用于什么网络?可以构建哪种类型的VPN?
    以PPP协议(点对点协议为基础,IP网络,远程接入类型的虚拟专用网:允许移动用户通过因特网拨号进入它们本地的因特网服务供应商(ISP)来接入,PPTP协议要求互联网是IP网络
2、什么是网络隧道技术?简述现有的隧道协议。
    网络隧道技术指的是利用一种网络协议来传输另一种网络协议。封装传输和拆封数据的过程称为隧道。是为了在公网上传输私有数据而发展出来的“信息封装”方式。
    二层隧道协议(数据链路层):PPTP,L2TP、L2F、MPLS
    三层隧道协议(网络层):IPSEC、GRE
3、PPTP协议中的安全机制有哪些?
PAP口令认证协议(明文通信+明文存储)、CHAP挑战握手协议(密文通信+明文存放+单向认证+周期重新认证)、MPPE协议
4、CHAP  挑战握手:没有明文发送口令,把口令做哈希值
5、IEEE802.1x的用途
    IEEE802.1X是在利用LAN交换机和无线LAN接入点之前对用户进行认证的技术。普通LAN交换机将缆线连接到端口上即可使用LAN。不过,支持802.1X的LAN交换机连接缆线后
也不能直接使用LAN。只有在对连接的个人电脑进行认证、确认是合法用户以后才能使用LAN。通过认证,LAN交换机就可以通过或者屏蔽用户发送过来的信息。无线LAN接入点也基本上采用这一工作原理。
6、IEEE802.10
通过加密和认证等安全机制保证局域网上数据交换的机密性和完整性。定义了一种安全数据交换的协议数据单元,也称为802.10报头。安全性1在报头中包含源地址字段,用于支持地址认证。2ICV用于数据完整性检查。3可对帧中数据进行数据加密。在VLAN中得到应用,将报头中的安全关联标识符用在VLAN中作为VLAN标识符。
7、理解VLAN:虚拟局域网划分
8、ADSL拨号网络所使用的数据链路层协议是什么?PPP协议
ADSL接入方式中,PPP与其他的协议共同派生出了符合宽带接入要求的新的协议。
第三章  IPSec
VPN的含义及三种常见的应用类型。
虚拟专用网VPN:跨越公网的一条安全连接。通过一个公用网络建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。为了对上层应用透明,VPN采用协议隧道技术。拨号VPN内网扩展VPN、外联网VPN
VPN的关键协议:IPSec协议
IPSec协议集:AHESPIKE,都提供什么功能?
认证头(AH) AH提供完整性保护。数据源身份认证、完整性、抗重放攻击服务
封装安全载荷(ESP):ESP提供机密性、完整性保护;ESP协议主要提供加密保护,也可提供鉴别保护。
AH比ESP认证范围广AH认证整个数据包
IKE协议:密钥协商(1)实现安全协议参数协商。包括加密及鉴别算法、加密及鉴别密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等。(2)在IPSec通信双方之间,建
立起共享安全参数及验证过的密钥(建立SA)。
IPSec的两种工作模式,各用于怎样的通信情形?各自提供的数据保护范围?
两种工作模式:传输模式 和 隧道模式。
区别:保护内容不同。
传输模式:AH和ESP只处理IP有效负载,并不添加新的IP协议报头。
优点: 在于每个数据包只增加了少量的字节。
缺点:IP报头是以明文方式传输的,因此很容易遭到某些通信量分析攻击。
隧道模式:原来的整个IP包都受到保护,并被当作一个新的IP包的有效载荷。
优点:不用修改任何端系统就可以获得IP安全性能。隧道模式同样还可以防止通信量分析攻击。
IPSec使用什么技术来完成完整性和不可否认性验证?
HMAC方法根据SA指定的认证算法和密钥对IP分组计算出消息认证码(MAC),用一个秘密密钥来产生和验证MAC
IKE密钥协商分几个阶段,各自功能是什么,每个阶段各有什么工作模式?
1. IKE协议:以受保护的方式动态协商SA的协议。
作用:在IPSec通信双方之间,建立起共享安全参数及验证过的密钥,即建立安全关联。IKE就是IPSec规定的一种用于动态管理和维护SA的协议。
tcp ip协议有哪几层
功能:协商通信参数和安全特性,认证通信对端,保护实体,用安全的方法产生、交换、建立密钥,管理、删除安全关联SA。
组成:internet密钥交换协议IKE,internet安全关联和密钥管理协议ISAKMP(Oakley密钥确定协议),IPSec DOI协议。
2. IKE密钥协商分两个阶段:
(1)阶段一:协商出安全参数协商如何保护后续的协商传输,并建立一个主密钥,形成一个IS
AKMP SA。涉及大量的密码计算,较复杂;第一阶段的交换结果可以支持多个第二阶段的交换;有主模式(含身份认证)、野蛮/积极模式(不含身份认证)。主模式将SA的建立和对端身份的认证以及密钥协商相结合,使得这种模式能抵抗中间人的攻击;野蛮模式简化了协商过程,但抵抗攻击的能力较差,也不能提供身份保护。
阶段一协商安全参数供第二个阶段使用的,不是AH和ESP。
   
(身份认证环节加密,HASH_I和HASH_R是预共享密钥。)
(1)阶段二:协商建立IPSec SA,用于实际的安全协议(AH或ESP),保护实际通信内容。第
二阶段的消息由第一阶段建立起来的安全关联来保护;阶段一为阶段二交换的所有消息提供源验证,完整性和秘密性的保护;是通过快速模式来建立的。