使用虚拟局域网的方法，将流量隔离在虚拟网络，让一个设备只能看到该设备所在的虚拟网上的流量。
使用加密方法也可以减少嗅探，因为攻击者读不到数据。

如果问的不是最常见的，则还有另一类基于流量的攻击：

基于流量的第二类攻击是用大量的流量造成网络崩溃，导致发送到网络上的真实流量减少，在某些情况中，实际流量可以降到零。通过广播地址就可以造成大量流量。当广播包发送时，以太网硬件地址内的每一台机器都会收到这个广播包，且不得不处理它，如果一个攻击者产生足够多的广播包，那么网络上设备速度将降低，整体真实流量会降低。这种类型的攻击会通过直接连接到网络上的一台设备来实施。减少这种攻击很困难，因此需要对网络上的设备进行防护。如果一个攻击者已经访问到网络上的一台设备，那么他就能发动这种攻击。

3. 无线网络中基于协议的攻击是什么？如何遏制这种攻击？

无线网络中基于协议的攻击是探测或钓鱼，即使用接入点广播的SSID确定访问接入点的位置，然后在没有验证的情况下去连接访问接入点。

减少探测的一个常见方法是采用加密手段或网络访问控制器(NAC)。当访问接入点采用加密手段时，SSID广播信息将包含访问接入点需要加密的信息。探测者还是可以看到那个接入点，但接入点被标志为已加密。如果探测者想使用已经加密的访问接入点，则这种攻击就转换为基于验证的攻击。

基于验证的攻击：

有两个方面的无线网络验证：设备验证、访问接入点配置验证。

设备验证是某台无线设备验证访问接入点，以便知道它正在连接的是不是一个有效的访问接入点。访问接入点也会验证这个想连接到网络的无线设备。

访问接入点配置验证是指一个攻击者企图访问指定的访问接入点的配置菜单，试探能否修改访问接入点的网络安全特性。

这里开始提到访问接入点了哎。这个需要了解一下：

无线以太网协议是基于有线以太网协议的，两者的主要区别是无线以太网协议不能检测冲突，而是需要回送一个应答数据包进行响应。与有线以太网协议不同，每一台设备都执行同样的无线以太网协议。无线以太网协议需要有一台设备负责网络，这台设备就是访问接入点，其功能是：

产生无线网络，并管理对网络的访问

提供对有线网络的访问

在设备传输数据包时，访问接入点扮演的是无线路由器的角色。

一个延伸的网络就是使用访问接入点形成的更大的以太网络。

4. 如何做到恶意无线访问接入点的减灾？

一种方法是利用NAC或其他上层安全协议方法，阻止未授权的设备通过访问接入点访问有线网络。

另一种方法是通过寻找无线信号来扫描恶意访问接入点，你可以查找SSID广播信息，也可以嗅探流量并寻找访问接入点与无线设备之间的数据包。这很难做到，因为要监控所有的无线网络流量，而当处于一个混杂了其他单位的无线网络的办公室里就更难了。

5. 攻击者若是能捕捉到无线设备上的所有流量，需要克服哪几个问题？

第一个问题是如果把一个无线设备接入到一个非法的访问接入点上，则需要为这个无线设备提供网络访问。设置一个非法的访问接入点，让它看起来像是一个内部的安全网络是很难的。

另一个问题是，如果非法接入点没有采取无线加密，那么这类攻击才能奏效。如果这类攻击只对不加密的访问接入点奏效，那么攻击者捕获无线设备和已有的访问接入点之间的流量是很容易的。那么这类攻击又归于基于流量的攻击。可以通过无线加密协议或通过上层安全协议来减少非法访问接入点的攻击。

6. Wi-Fi访问保护协议（Wi-Fi Protected Access，WPA）使用什么来提供安全？该协议是如何进行工作的？它有何漏洞？

WPA同时使用验证和加密来提供安全。

无线设备和访问接入点仍然共享一个共同的密码，但这个密码用于验证，而不是加密。

无线设备首先联系访问接入点，然后发送一条密码，用于验证用户和设备。使用这个访问接入点的所有设备和用户共享这个相同的密码，

一旦这台无线设备得到访问接入点的验证，那么两台设备就开始协商会话加密密钥，该密钥用于无线设备和访问接入点之间的数据包交换。会话密钥对每一台无线设备来说是随机选择的，它直到设备和访问接入点中断之前一直有效。

每台无线设备都有它们自己的密钥，尽管它们有着同样的密码。这样使得对加密进行破解和发现会话密钥很难。即便会话密钥被发现了，也只是对一台无限线设备且在一个很短的时间内有效。会话密钥的长度是128位。

在WPA中的漏洞与WEP中发现的漏洞类似。

如果一个攻击者可以看到足够的流量，那么加密密钥仍然可以被发现。因为这些密钥只是短期内有效，密钥泄密的影响是很小的。

在家庭环境中，仍然有一个密码，但是因为它不用于加密密钥，所以是很难被破解的。一个攻击者可以捕获验证会话，并使用公用软件工具试图猜测密码。如果发现验证密码，那么攻击者就可能连接到访问接入点，并进而访问到网络。

在团体环境下，猜测密码是更加困难。

尽管有这些软件，WPA 仍然被推荐用于减少嗅探和基于验证的攻击。

7. 具体说明可以用于减少物理网络攻击的常用对策，并阐明是如何具体工作的。

虚拟局域网：在交换机构成的物理网络的基础上构建逻辑网络。在一个交换环境下，已经隔离了网络流量。这种隔离不会扩展到广播域以外。在一个VLAN中，广播流量被限制在VLAN中。

假设有两个VLAN，每一台设备都连接到交换机的一个端口上，每一个端口都分配到两个VLAN之一中。从VLAN1来的所有流量和VLAN2的流量是被隔离的。
网络访问控制NAC：验证网络上的每一台设备，而不仅仅是用户。在某些情况下，还验证设备的配置信息，从而连续监控设备以决定设备是否应该保留在网络上。

当一台设备连接到网络上时，它自身会进行验证。

根据用户和设备验证的结果，NAC会决定设备有什么样的访问权限。NAC环境通常使用动态VLAN强制通过基于策略分隔的设备执行策略。

当使用NAC时，如果设备没有授权，那么将不允许它访问网络或隔离成一个独立的网络。

8. 什么是泪滴攻击？如何进行防范？

泪滴攻击 (teardrop) 也称为分片攻击，是入侵者伪造数据报文、向目标主机发送含有重叠偏移的畸形数据分片，当数据分片到达目的主机后，在堆栈中重组时，就会导致重组出错，引起协议栈的崩溃。

防御方法：网络安全设备将接收到的分片报文先放入缓存中，并根据源IP地址和目的IP地址对报文进行分组，源IP地址和目的IP地址均相同的报文归入同一组，然后对每组IP报文的相关分片信息进行检查，丢弃分片信息存在错误的报文。为了防止缓存溢出，当缓存快要满了的时候，直接丢弃后续分组。

9. 利用ARP欺骗攻击可以实现哪些攻击？如何防范？

ARP协议过分信任网络内的信息，只要在收到发送给自己的ARP请求报文或应答报文，ARP协议不加以任何验证就根据报文中的发送方IP地址和MAC地址刷新自己的ARP缓存表。这种信任直接导致了ARP欺骗行为的产生。

利用ARP欺骗可以实现的攻击目标：

使被攻击主机无法与其他主机进行网络通信
实现“中间人”攻击

防御措施：

使用静态地址绑定：arp -s IP地址 MAC地址
使用ARP防火墙：不会让主机根据接收到的ARP请求报文刷新ARP缓存表，而是在主机发送ARP请求报文后根据接收到的ARP应答报文刷新ARP缓存表。

10. 什么是ARP协议缓冲区中毒？攻击的结果是什么？

ARP缓冲区中毒：攻击者发现了一个ARP请求，并用无效的ARP应答回应，这能造成ARP缓冲区中填满错误的信息。攻击者需要在真正的ARP应答到达前，向受害者发送ARP应答。

攻击的结果：

一个无效的硬件地址被放到受害者的ARP缓存表中，阻止了受害者与目标设备的通信。
在攻击者发送带有他自己的硬件地址的虚假ARP应答时，就会造成接收到这个ARP应答的设备把数据包发送到错误的主机。

11. 什么是IP地址欺骗？为什么该攻击容易实现？

IP地址欺骗就是一台主机冒充另外一台主机，使用其IP地址与其它设备通信。(就是通过伪造数据包头，使其显示的不是实际来源，而像是从另一台计算机发送的)

IP地址欺骗攻击容易实现的原因：

IP地址是用来识别互联网中设备的唯一标识符，很多应用使用IP地址作为验证设备的方法。发送者将源和目标IP地址插入到数据包头中，并且数据包在互联网上传输时源和目标IP地址保持不变，因此目的主机必须信任发送者。互联网上的设备创建一个其源IP地址和自身IP地址不相同的数据包是有可能的。

12. 什么是网络层的泛洪攻击？如何进行防范？

泛洪攻击：

这个攻击针对那些为了回应单一IP数据包而需要回送一个IP数据包的协议，如ICMP协议。攻击者使用一个欺骗性IP地址向网络中发送一个ICMP回应请求数据包，这引起目标计算机向欺骗性IP地址（受害者）发送一个ICMP回应应答数据包。攻击者会通过两种方法放大这个攻击：一种是一个或多个攻击者发送大量请求，另一种是将请求作为一个直接的IP广播包发送到目标网络。 在这种情况下，如果路由器处理进入的广播包，它就会接收这个欺骗性ICMP回应请求数据包，并且将它广播到目标网络中的设备。然后所有计算机都用一个ICMP回应应答数据包回应受害计算机。

防范措施：

可以通过将路由器配置成不允许内部广播，或者不允许某些ICMP协议从外部进入来减灾。

13. 为什么说“IP嗅探是把双刃剑”？

因为IP嗅探不仅是一种攻击方式，也可以被网络安全设备用于监控流量并确定流量中是否包含攻击。可以采用IP载荷加密的方法，但是从嗅探角度来说，一方面，加密可以防止别人看到数据；另一方面，加密阻止了确定数据中是否包含不应当流出该组织的秘密信息、或包含不应当被用户访问的信息的流量监控。

14. 什么是欺骗性DHCP服务器？为何它能够存在？

欺骗性DHCP服务器是指，服务器的身份不能被识别，攻击者可能伪装成一个有效服务器向客户端的BOOTP和DHCP请求作出回应。

存在的原因是：DHCP服务器不用匹配配置文件中的任何条目，就可以回应来自设备的请求，因此如果同一个网络中有多个DHCP服务器，那么一个客户端可能收到多个回应。如果所有DHCP服务器配置合理且给出有效不重叠的地址，则这通常不成为一个问题。

一个欺骗性DHCP服务器能够给一个客户端分配一个网络中无效的地址。如果客户端从欺骗性服务器接受无效地址一段租期，那么它将无法进行通信，当攻击者有意扰乱网络服务。由于地址请求是一个广播包，因此欺骗性DHCP服务器不需要能够看到所有流量就能实施攻击。攻击者也能够在回应客户端请求续租时，发送一个伪造的应答数据包。为了实施这种攻击，攻击者需要能够看到来自客户端的DHCP请求数据包。

这些攻击指出了验证协议所存在的问题。不对协议进行全部重新设计，就想消除这些攻击是很困难的。为了增加额外的验证，需要某种类型的密码或密钥交换。验证在一个封闭的环境中能够工作得很好，但是在开放的无线网络环境中则不然。

15. 针对IP层的安全漏洞，有哪些防范手段？

4个不同的对策，其中两种对策用来保护网络不受攻击（IP过滤和网络地址转换），两种用来提供端到端的加密和IP数据包验证（虚拟专用网和IP安全）。

IP过滤：基于IP头中的值阻止IP流量。

这通常是在路由器中完成的，在大多数路由器中都可见到这个对策。最常用于过滤标准的是IP地址、端口号和协议类型。通常过滤标准被定义为一张值域表，表中列出阻止的值（经常成为黑名单）。阻止一些应用和协议是常见的事情。例如，阻止进入的ICMP回应请求以防止互联网中某些人确定哪些IP地址是active的。另一种常被阻止的协议是UDP。在大多数组织机构中，唯一需要传递到互联网中的UDP流量是DNS服务。因此一些组织机构阻止除DNS外的所有其他UDP协议。DNS数据包是通过UDP头中的端口号来确定的。

基于IP地址过滤的问题是确定哪个地址是恶意的。产生的恶意地址列表能被加载到路由黑名单中。但由于攻击者转移了，因此列表经常过时；此外，有时合理的IP地址也可能被加入到黑名单中。一般来讲，大多数组织机构不使用大规模的IP黑名单。如果管理员发现来自某一地址或某些地址的攻击或大量的数据包，有时他可能将一个IP地址添加到黑名单中。

使用IP黑名单的另一种情况是在内部计算机受到攻击时。管理员能够切断去外界的所有访问，以确保攻击者不能再访问他所攻击的计算机。

一般情况下，使用IP过滤器作为路由器的第一道防线，但这并不能取代其他网络防护，例如防火墙。
网络地址转换NAT：私有网络通过NAT进程连接到公网上。
NAT主要目标是允许大量设备共享少量公共地址。有两种类型的NAT：
- 静态NAT在外部地址和内部地址一对一映射的情况下使用。由于静态NAT并没有减少所需的公共地址数量，因此不常使用它。
- 第二种类型的NAT称为动态NAT，在内部设备多于公共IP地址的情况下使用。
为了使NAT能够运行，它维护一个内部地址和外部地址间的数据包映射表。为了让其能够运转，NAT使用TCP或UDP头部端口号使映射成功。在TCP和UDP中，每个数据包有一个源端口号和目标端口号，识别相互通信的源应用程序和目的应用程序。与源地址和目标地址相组合的端口号唯一地区分了两个应用程序间的通信。

如果公共网络中的计算机连接到私有网络，那么需要将NAT配置为允许数据包进入。这称为隧道（tunnel）。

隧道背后的思想是将一个公共IP地址和端口号与一个私有IP地址和端口号进行映射。当数据包到达NAT上一个已被隧道化的端口时，NAT接收进入数据包，并且重写IP地址和端口号，依据隧道表中的值将数据包发送到私有网络中的计算机。

隧道有一个局限。如果使用公共IP地址和端口连接到多个私有计算机，那么每个公共IP地址和端口号只能与一个私有设备进行组合。
虚拟专用网VPN：提供双方设备间的加密和验证通信信道。

根据双方设备间如何连接，有几种不同类型的VPN。有多种支持VPN概念的协议。有几种用于加密和验证的标准可提供VPN使用。一些公司已经产生了专有协议。可将IP层VPN分成三类：网络到网络、客户端到客户端及客户端到网络。

VPN有助于避免嗅探和验证。基于客户端的VPN在公共无线网络中很有用。VPN也提供到受控网络的访问，因为主网络能够配置成只允许VPN流量通过，这就是说允许任何经过验证的设备对网络进行访问，就如同它在这个网络内一样。
IPSEC是一种为IPv6设计的支持加密和验证的协议。IPSEC能用做VPN协议。IPSEC使用一个头部支持验证，使用另一个头部支持加密和验证。IPSEC并未指定加密算法或方法去管理密钥。

IPSEC能够减少嗅探和验证攻击。IPSEC实现的真正问题是密钥的分发。IPSEC在VPN中运行得很好，密钥也很容易分发。如果对跨越互联网的通信使用IPSEC，那么每个设备都不得不有一个加密密钥，且对方要知道这个密钥。这就是公共密钥架构（Public Key Infrastructure，PKI）背后的思想。

16. TCP基于协议的攻击分哪几类？

第一类是攻击者在端点，并与攻击目标进行不正确通信。

包括发送超出序列的数据包或者没有一次完整的握手，发送超出序列的数据包通常只是扰乱当前的连接，因此对攻击者不是很有用。

攻击者可以使用序列外的数据包帮助确认操作系统类型。
第二类是攻击者能够嗅探流量，并将数据包插入到TCP协议流中。

这些攻击不同于常见的数据包嗅探，在常见的数据包嗅探中攻击者试图从网络上读取数据。在这一攻击中攻击者将数据包插入到协议流中，其目标要么是切断连接，要么是窃取连接。

反之如果攻击者能看到流量，那么他就能很容易通过伪造IP地址并向双方发送复位数据包（RST）切断连接。

17. 什么是会话劫持（session hijacking），它的目的是什么？

会话劫持是是结合了嗅探以及欺骗技术在内的攻击手段，攻击者嗅探受害者和服务器间的流量并监控这个流量，等待受害者和服务器间的会话建立起来。

典型情况下攻击者寻找某些类型的应用，在这些应用中受害者建立一个到服务器经过验证的远程访问连接，一旦受害者通过了应用验证，攻击者就劫持这个会话。在这种方式中，当攻击者从受害者那里劫持了这个会话时，就如同他是受害者本人那样连接到那个应用。

会话劫持的目的是从双方中的一方窃取连接，并伪装成一方的设备。

18. 互联网上有两种针对DNS系统的攻击是什么？

第一类是攻击实际的服务器，目的是使服务器掉线。

第二类是针对DNS协议及验证的缺失进行攻击。

19. DNS 系统基于验证的攻击有哪些？

DNS客户端总是完全信任DNS服务器的回应信息，在DNS系统中存在的唯一验证只有对服务器IP地址的验证。

如果攻击者能用恶意条目替换DNS服务器中的条目或向一个查询发送他自己的回答，那么他就能欺骗客户端连接到错误IP地址。攻击者有两种将恶意条目插入到DNS服务器中的方式：

获取对服务器的访问，并修改域名和IP地址映射的内部表格，这要求攻击者掌控DNS服务器；
攻击者向已发查询请求给其他服务器的某服务器发送恶意回应信息。这会在DNS服务器的缓存中放入恶意条目。这种方式称之为DNS缓存区中毒。DNS缓存区中毒要求攻击者能够看到查询数据包，使他能够创建一个恶意回应，这要求攻击者能够嗅探两台服务器间的流量。

20. 具体说明传输层的安全协议。

为传输层设计的对策不多，传输层安全是由低层或应用层提供的。目前已经开发了一个提供传输层安全的标准：TLS/SSL协议。

传输层安全协议实际上是作为一个单独的层设计的，位于应用和TCP之间，即TLS/SSL协议。

TLS/SSL协议最常见的用途是为Web流量提供安全，它为消除攻击者伪装成另一个设备时的嗅探攻击和针对主机的验证攻击而设计。

TLS协议是为验证服务器和可选客户端而设计的，一旦完成验证，客户端和服务器就会创建一个加密密钥，它们可以使用这个密钥对流量进行加密。这些都是由TLS/SSL层处理的，并且该层对于应用层来说是透明的。

该协议有四个阶段：

第一阶段是客户端和服务器同意使用加密和验证方法
第二阶段是服务器提供它的证书，并选择性地询问客户端的证书
第三阶段是可选的，即客户端提供它的证书
第四阶段是客户端和服务器交换会话加密密钥，并且用这个密钥加密客户端和服务器间的所有数据

TLS/SSL协议被认为是安全的，尽管也有一些针对该协议的攻击，但是唯一奏效的是中间人攻击。

为了让中间人攻击奏效，攻击者必须伪装成一个有效服务器。但是如果客户端与有效服务器以前进行过通信或客户端对服务器的验证有先前记录，那么这将会变得很困难。如果客户端对服务器不了解，那么攻击者就可以伪装成一个有效服务器并和一个真正的服务器建立有效连接。

TLS/SSL协议可以减少验证和嗅探攻击。

21. 从宏观上讲网络防火墙如何进行工作的？具体有哪些种网络防火墙？

防火墙用来检测通过它的每一个数据包，决定这个数据包是否能够进入网络。当每个数据包到达路由器入口时，都会按照规则引擎与一组规则进行比较。

具体有：

透明防火墙：工作在物理网络层，不作为路由器、NET或者应用程序出现在网络中。它的工作方式是嗅探网络流量并传递可接收流量到其他接口。

优势：不用修改网络的配置就能部署，可以部署在整个单位内，以限制内部用户访问内部资源。
过滤路由器：使用规则确定数据流是否通过。规则集通常是无状态的，因为路由器本身就是一个瓶颈。大多数路由器都有规则引擎，可允许基于协议类型、IP地址和端口号过滤数据流。（像普通路由器一样工作，但是使用规则决定数据流是否被过滤）
基于NAT的防火墙：嵌入到NAT中，使用规则引擎决定哪些数据包可以通过。（一个真正的NAT和NAT防火墙的区别：NAT防火墙使用规则引擎对数据流进行限制，标准的NAT使用IP地址和端口号来决定如何处理数据）
应用防火墙：允许用户通过防火墙上运行的网关来进行连接，并且通过应用网关来连接内部的应用。

22. 物联网的安全问题的根源在于什么？如何解决物联网的安全问题？

物联网的安全问题的根源在于没有身份认证，黑客可以在任意时段冒充其他设备进行攻击。而且在物联网中，消息是明文传递的，没有任何加密机制。

解决方式：增加认证机制，对传输的数据进行加密（算法，但存在密钥发布等问题）

一些解释

一直没搞懂非法访问接入点在干嘛？书上翻译好垃圾👿

非法接入：非法接入是指外网用户通过未经内部网络管理者许可的方式连接到内网的行为。

非法与合法这两种接入点的区别在于：非法的、未经许可的接入点往往是由一名员工私自安装的，只具备有限的安全保护措施，通常保留能让设备即插即用的不安全的默认设置；合法的、经过许可的接入点往往是由一名熟练地IT工程师安装的，能够得到完善的安全支持。此外，合法接入点往往设置之后，能通过一个完善的身份验证过程保护无线信号的机密性；而员工私自安装的非法接入点可能无法支持这种安全机制，因为它无法访问第三方的安全服务器，也就是无法提供这类认证服务。

要消除或缓解入侵者安装的非法接入点带来的威胁，一种方法是使用双重身份验证。在这种验证过程中，接入点需要对用户进行身份验证，用户也需要对接入点进行身份验证。
WEP 和 WPA 是什么？

WEP 和 WPA(及 WPA2)是用于保护无线连接的不同加密工具的名称。例如，通过加密来混淆网络连接信息，以防止他人对其进行窃听或偷窥您正在查看的网页。WEP 表示有线等效加密，WPA 表示无线保护访问。WPA2 是 WPA 标准的第二个版本。

使用加密总比未加密要安全一些，但 WEP 是这些标准中最不安全的，请尽量避免使用此标准。WPA2 是这三种版本中最安全的标准。如果您的无线卡和路由器都支持 WPA2，则您应使用它设置无线网络。
无线网络上基于协议的攻击是探测或钓鱼（这翻译怎么这么反人类），网上还搜索不到多少有用的信息。直接google一下wardriving好了。

Wardriving is a hacking method and has its origins in the movie WarGames, which starred actor Matthew Broderick. In the movie, Broderick’s character dials every phone number in his local area to discover all existing computers. That evolved into a process of mapping access points, which involves attackers finding vulnerable or unsecured Wi-Fi networks.

Wardriving was termed by computer security consultant Peter Shipley, who developed software that can interact with portable Global Positioning Systems (GPS).

Wardriving involves attackers searching for wireless networks with vulnerabilities while moving around an area in a moving vehicle. They use hardware and software to discover unsecured Wi-Fi networks then gain unauthorized access to the network by cracking passwords or decrypting the router. The attacker then records vulnerable network locations on digital maps, known as access point mapping, and may share that information with third-party applications and websites.

This wardriving definition has several variations, depending on the mode of transport the hacker uses: warbiking, warcycling, warrailing, warjogging, and warwalking.

The wardriving process itself is not dangerous, but if hackers gain unauthorized access to a Wi-Fi network, they could access any computer, laptop, or mobile device connected to it. This can give them the foundation to install malware on the user’s network and steal information from devices connected to the network, such as bank or credit card data and private documents and files.

The attacker may also carry out illegal activity using the network, such as broader identity theft attacks, that could lead to financial loss or result in the network owner being charged with criminal acts.

wardriving
The TLS protocol is designed to authenticate the server and optionally the client,
and once authentication is complete, the client and server create an encryption key
they can use to encrypt the traffic.

一直不明白这个 optionally the client 在这里是什么意思。我查了SSL看到百度百科上有这样的介绍：

SSL协议提供的安全通道有以下三个特性：

机密性：SSL协议使用密钥加密通信数据。

可靠性：服务器和客户都会被认证，客户的认证是可选的。

完整性：SSL协议会对传送的数据进行完整性检查。

就是这意思吧。课件上和书上的翻译是“可选客户端”。

网络空间安全复习题(天津大学)