考点1:CPU、指令
真题1:CPU 执行算术运算或逻辑运算时,常将源操作数和结果暂存在(累加器(AC))中。
真题2:在程序的执行过程中,Cache与主存的地址映射是由(硬件自动)完成的。
真题3:计算机执行程序时,内存分为静态数据区、代码区、栈区和堆区。其中(栈区)一般在进行函数调用和返回时由系统进行控制和管理,(堆区)由用户在程序中根据需要申请和释放。
解析:堆是一块动态存储区域,由程序员在程序中进行分配和释放。
真题4:计算机中,系统总线用于(CPU、主存及外设部件)连接。
-
总线(Bus),是指计算机设备和设备之间的传输信息的公共数据通道。(接到电脑主板上的线基本就是总线)
-
通常分为以下三类:
**内部总线:**内部芯片级别的总线,芯片与处理器之间通信的总线。(肉眼看不到,在芯片内部等)
系统总线:是板级总线,用于计算机内各部分之间的连接(比如硬盘和主板等),具体分为**数据总线(并行数据传输位数)、地址总线(系统可管理的内存空间的大小)、控制总线(传输控制命令)。(考点:总线的分类考试时只需要回答:数据总线、地址总线、控制总线即可)**代表的有 ISA 总线、EISA总线、PCI总线。
**外部总线:**设备一级的总线(计算机和外部之间的),微机和外部设备的总线。代表的又RS232(串行总线)、SCSI(并行总线)、USB(通用串行总线,即插即用,支持热插拔)。
1、指令操作数的寻址方式(考点:立即、直接、间接)
真题1:寻址速度对比:立即>寄存器>直接>间接
立即寻址方式:指令的地址码字段指出的不是地址,而是操作数本身。
寄存器寻址方式:指令中的地址码是寄存器的编号。
直接寻址方式:在指令的地址字段中直接指出操作数在主存中的地址。
间接寻址方式:指令地址码字段指向的存储单元中存储的操作数的地址。
指令寻址方式:
顺序寻址方式:指令顺序地执行
跳跃寻址方式:下一条指令的地址码不是由程序计数器给出,而是由本条指令直接给出。
2、CISC 和 RISC
CISC 是复杂指令系统,兼容性强,指令繁多、长度可变,由微程序实现;
RISC是精简指令系统,指令少,使用频率接近,主要依靠硬件实现(通用寄存器、硬布线逻辑控制)。
具体区别如下:
3、指令执行的流程
首先要知道的是 指令是放在内存里面的。
PC (指令计数器,Program Counter)存放的总是下一个指令的内存地址。
一个指令执行时,CPU 会自动修改 PC 的内容,以便使其保持的总是将要执行的下一条指令的地址。
想要执行下一条指令时,就将下一条指令的地址传递给内存。
然后内存通过数据线返回需要的数据(指令),将指令从内存取到数据寄存器(DR)中。
CPU 拿到这条指令需要把指令先找个地方保存着。(从数据寄存器(DR)传送至 IR 中)
这个地方就是 IR 寄存器(指令寄存器)(从数据寄存器(DR)传送至 IR 中),即 IR 寄存器用于保存指令,保存当前正在执行的一条指令。
保存到 IR(指令寄存器) 后, CPU 就开始翻译这条指令(将 IR 中的 操作码 传送到指令译码器进行移码),翻译完这条指令就知道这条指令想要做什么了。(控制器发出操作信号的控制下,计算机各有关部件执行操作码规定的操作)
计算机指令执行过程:取指令——分析指令——执行指令,三个步骤:
首先将程序计数器PC中的指令地址取出,送入地址总线,CPU 依据指令地址取内存中取出指令内容存入指令寄存器IR;
而后由指令译码器进行分析,分析指令操作码;
最后执行指令,取出指令执行所需的源操作数。
控制器包括 指令寄存器(IR)、程序计数器(PC)、地址寄存器(AR)、指令译码器(ID)。
地址寄存器(AR):保存当前 CPU 所访问的内存单元的地址,由于内存和CPU存在着操作速度上的差异,所以需要使用 AR 保持地址信息,直到内存的读/写操作完成。
4、进程与线程
1、一个线程只能属于一个进程,而一个进程可以有多个线程,但至少有一个线程,线程依赖于进程而存在。
2、进程:是操作系统进行资源分配和调度的一个独立单位。进程拥有独立的地址空间,一般情况下至少包括文本区域(代码)、数据区域和堆栈。每个进程都有自己的内存空间和系统资源。
3、线程:是进程的执行流,是CPU调度的基本单位,也是一段程序执行的路径。一个进程中可以包含多个线程,它们共享进程的内存空间和资源,但是每个线程有自己的程序计数器(PC)、寄存器集合和栈。
考点2:计算机和外设间的数据交互方式、中断
真题1:计算机系统中常用的输入/输出控制方式有无条件传送、中断、程序查询和 DMA 方式等,当采用(DMA)方式时,不需要CPU执行程序指令来传送数据。
真题2:Linux 中只有一个根目录,用"/"表示。
真题3:计算机运行过程中,CPU需要与外设进行数据交换。采用(中断方式和DMA方式)控制技术时,CPU与外设可并行工作。
真题4:以下关于I/O软件的叙述中,正确的是:
B、I/O 软件隐藏了 I/O操作实现的细节,向用户提供的事物理接口
C、I/O软件隐藏了I/O操作实现的细节,方便用户使用I/O设备
答案:C
真题5:在由高速缓存、主存和硬盘构成的三级存储体系中,CPU执行指令时需要读取数据,那么DMA控制器和中断CPU出的数据地址是(主存物理地址)。
真题6:中断与DMA方式都可实现外设与CPU之间的并行工作
真题7:采用 DMA 方式传送数据时,每传送一个数据都需要占用一个(存储周期)
真题8:DMA 传送结束为中断、除运算时除数为0为异常。
真题9:为了实现多级中断,保护程序现场最有效的方法是使用:(堆栈)
真题10:采用异步传输方式的是:CPU与I/O接口交换信息
计算机和外设间的数据交互方式:
-
程序控制(查询)方式:CPU主动查询外设是否完成数据传输,效率极低。(CPU查询外设,一直等待外设完成传输,而外设的传输效率是极低的,这种查询方式是串行的)
-
程序中断方式:外设完成数据传输后,向CPU发送中断,等待CPU处理数据,效率相对较高。(是并行方式,外设和CPU并行处理、传输)
中断响应时间是指从发出中断请求到开始进入中断处理程序;中断处理时间指的是从中断处理开始到中断处理结束。中断向量提供中断服务程序的入口地址。多级中断嵌套,使用堆栈来保护断点和现场。
-
DMA方式(直接主存存取):CPU只需完成必要的初始化等操作,数据传输的整个过程不都由DMA控制器来完成,在主存和外设之间建立直接的数据通路,效率更高。(也是并行,CPU不用参与传输数据)
在一个总线周期结束后,CPU会响应DMA请求开始读取数据;CPU 响应程序中断方式请求是在一条指令执行结束时。(考点,要记)
中断就是打断,打断现在正在做的事情。
关中断主要是为了保存断点和保护现场。记录当前走到哪里了,以便回来后继续执行。
计算机系统中常用的输入/输出控制方式有无条件传送、中断、程序查询和DMA方式等。当采用 DMA 方式时,不需要CPU执行程序指令来传送数据,其他三个都是通过CPU执行程序指令来传送数据的。
考点3:Cache
真题1:以下关于Cache的叙述中,不正确的是(Cache的设置扩大了主存的容量)。
真题2:计算机系统的主存主要由(DRAM)构成的。
真题3:(DRAM) 使用电容存储信息且需要周期性地进行刷新。
真题4:DRAM 电容破坏、需要刷新、速度慢、集成度高、功耗和成本低,用于内存;SRAM 速度快、用于Cache、非破坏性。
真题5:PCI总线是并行内总线,SCSI总线是并行外总线
真题6:闪存(Flash Memory)的特点:ABD
A、掉电信息不会丢失,属于非易失性存储器
B、以块为单位进行删除
C、在嵌入式系统中可以用Flash来代替ROM存储器
1、Cache
高速缓存Cache 用来存储当前最活跃的程序和数据,直接与CPU交互,位于CPU和主存之间,容量小,速度为内存的5-10倍,由半导体材料构成。其内容是主存内存的副本拷贝,对于程序员来说是透明的(透明不可见)
Cache 由控制部分和存储器组成,存储器存储数据,控制部分判断CPU要访问的数据是否在Cache中,在则命中,不在则依据一定的算法从主存中替换。
地址映射:在CPU工作时,送出的是主存单元的地址,而应从Cache存储器中读/写信息。这就需要将主存地址转换为Cache存储器地址,这种地址的转换称为地址映像,由硬件自动完成映射:
命中率及平均时间:
Cache有一个命中率的概念,即当CPU所访问的数据在Cache中时,命中,直接从Cache中读取数据,设读取一次Cache时间为1ns,若CPU访问的数据不在Cache中,则需要从内存中读取,设读取一次Cache时间为1ns,若CPU访问的数据**不在Cache中,则需要从内存中读取,**设读取一次内存的时间为1000ns,若在CPU多次读取数据的过程中,有90%命中Cache,则CPU读取一次的平均时间为(90% * 1 + 10% * 1000)ns
容量越大,命中率越高(Cache 3MB,主存/内存 8GB,如果 Cache 容量大到 8GB,则可以完全将内存的东西拷贝过来,自然就100%访问 Cache 了。)
真题:地址编号从80000H到BFFFFH且按字节编址的内存容量为()KB,若用16K*4bit的存储器芯片构成该内存,共需()片
特别提醒:不要硬算,要化简为2的幂指数来算。
16进制:A(10)、B(11)、C(12)、D(13)、E(14)、F(15)
(BFFFF - 80000) + 1 = 3FFFF + 1 = 40000H
按字节编址:每个存储到单元室1个字节,即1B
1KB = 1024B
1B = 8b
40000H = 4 * 164(10进制) = 218 B
218 B / 1024B = 218 B / 210 = 28KB = 256KB
16K*4bit = 16K * 0.5B = 8KB
256KB/8KB = 32 片
2、磁盘结构和参数、磁盘调度、分页存储、页号
真题1:在磁盘调度管理中,通常是(先进行移臂调度,再进行旋转调度)。
这样的题首先要确定页号和页内地址是多少位。
4K = 212,所以页内地址 为 12 位,超过 12位的就是页号了。
而 1D16H 为16进制,16进制的数字,每个数字可以用4个二进制来表示,所以 D16 就是 12 位二进制,正好是页内地址的位数。
如果逻辑地址是十进制的话,则同样需要转换为二进制,根据页内地址的位数,除去12位,则保留的前面的部分就是页号。
所以除去 D16,1 就是页号了。
而页号1指向的就是物理块号3,所以物理地址十六进制就是 3D16H.
页号为1的页帧号为空,表明1不在内存。
上面题目根据页面置换算法中的(最近最少使用算法可以解决)。即先看状态位,是否不在内存,然后再看访问位,是否未访问过,然后再看修改位,是否未修改后。不在内存、未访问过、未修改过 优先置换(淘汰)。
所以答案为 0、2、3中的 3.答案为 D。
32位即32bit
4MB = 4 * 1024 B
位示图中一个磁盘块对应1位
1000GB / 4MB = 250 * 1024 个磁盘块 = 250 * 1024bit
需要的字数: 250 * 1024bit / 32bit = 8000
位示图中一个磁盘块对应1位
所以 16385/32 = 512.031 = 513 位,但字的编号是从0开始的,所以需要 513 - 1 = 512 位。
最少:10ms/周 / 10个物理块 = 1ms (读),处理 2ms,最少 (1 + 2) * 10 = 30
最长:读取1ms,处理2ms,R1 处理完毕时,已经是第3ms,此时指向R4,顺序存取,需要转到R2才行,从当前R4转到R2需要(R5、R6、R7、R8、R9、R10、R1、R2)8 * 1 ms = 9ms,所以 1 + 2 + (1 * 8 + 1 + 2) * 9 = 102ms
**先来先服务FCFS(方向会变):**根据进程请求访问磁盘的先后顺序进行调度
**最短寻道时间优先SSTF(方向会变):**请求访问的磁道与当前磁道最近的进程优先调度,使得每次的寻道时间最短。会产生“饥饿”现象,即远处进程可能永远无法访问。(比如当前在磁道5,相较于磁道8,他会先去磁道3,因为(5 - 3 < 8 - 5),去了磁道3,再判断离的最近的磁道,只跟距离有关,与方向无关)
**扫描算法SCAN(方向会变):**又称“电梯算法”,磁头在磁盘上双向移动,其会选择离磁头当前所在磁道最近的请求访问磁道,并且与磁头方向一致,磁头永远都是从里向外或者从外向里一直移动完才掉头,与电梯相似。(即5-》6-》7-》1-》2-》3-》4)
**单向扫描调度算法CSCAN(方向不变):**与SCAN不同的是,其只做单向移动,即只能从里向外或从外向里。(即:1-》2-》3-》4-》5-》6-》7-》6-》6-》4-》3-》2-》1-》…)
33ms 转一圈,11个物理块即11扇区,
33 / 11 = 3ms,即每3ms可以读取一个扇区(只要转过去,就读过去了)
每读一个3ms,处理一个也是3ms。
所以刚开始时:读R0用了3ms,处理也用了3ms,即R0读完处理完用了6ms,而每个扇区读取是3ms(磁头指向),所以6ms时,此时磁头指向的是 R2,因为要按顺序处理,所以需要转到 R1时,才能继续读取和处理。所以要等待转动一圈到 R1。而从 R2 转到 R1,需要 R3、R4、R5、R6、R7、R8、R9、R10、R0、R1 共计10个,即 3 * 10 = 30ms
所以:3 + 3(R0处理) + (10 * 3 + 3 + 3)* 10= 366ms
10 * 3 是等待 30ms 才能回到 R1,3 + 3 是 3ms 读取 R1,3ms 处理 R1,后续的 R2、R3… R10 都是如此,所以乘以 10。
读 3,处理 3,(3 + 3) * 11 = 66,正好6秒时转到下一个,即读、即处理。
21 柱面/磁道距离 23柱面/磁道最近,然后确定扇区,扇区是按照顺序的即3 4 6,或6 4 3 (即顺时针或逆时针)
所以是:②⑧③
23 结束后就是 17,扇区按照顺序则是 ⑤,此时①和⑦的扇区号都是⑨,(可以顺时针 从小到大 也可以逆时针 从大到小),所以此时可以是 ⑤⑦①或⑤①⑦,
所以答案是 D。
移臂找柱面,旋转找扇区。
3、指令系统
计算机指令的组成:一条指令由操作码和操作数两部分组成,操作码决定要完成的操作(如 ADD 加法),操作数指参加运算的数据及其所在的单元地址。
操作要求和操作数地址都由二进制数码表示
考点4:流水线(取指、分析、执行)时间计算(考点:记住以下四个公式)
最长/流水线周期:5
1条指令总时间:5+2+3 = 10
流水线执行时间:10 + (500 - 1) * 5 = 2505
吞吐率:500 / 2505
**周期:**指令分成不同执行段,其中执行时间最长的段为流水线周期。
**流水线执行时间:**1条指令总执行时间+(总指令条数 - 1) * 流水线周期
**流水线吞吐率计算:**吞吐率即单位时间内执行的指令条数。
公式:指令条数/流水线执行时间。
**流水线的加速比计算:**加速比 即 使用流水线后的效率提升度,即 比不使用流水线快了多少倍,越高表明流水线效率越高。
公式:不使用流水线执行时间/使用流水线执行时间
第一题:
流水线周期:5段流水线中,一段的时间最长的,即 2ns
1条指令的总执行时间:2 + 4 = 6ns(1段2ns,其他4段每段1ns)
流水线执行时间 = 1条指令总执行时间+(总指令条数 - 1) * 流水线周期
= 6 + (100 - 1) * 2 = 6 + 198 = 204 ns
流水线吞吐率 = 指令条数 / 流水线执行时间 = 100 / 204 = 25/51 个/ns
1ns = 10-9
= 25 / (51 * 10-9) = (25/51) * 109 = 490 * 106
考点5:进展转换、逻辑运算、原码、反码、补码、移码
真题1:要判断字长为16位的整数a的低四位是否全为0,则(将 a 与 0x000F 进行逻辑与运算,然后判断运算结果是否等于0)。
答案:B
1、从十进制到二进制
79
如上 十进制 79,可以拆分为 128、64、32、16、8、4、2、1 某几个数字的和,比如 79 = 64 + 8 + 4 + 2 + 1,所以对应的表格上有这些数字的标1,没有的标 0 ,即得到其对应的二进制数字了。
2、十六 进制转十进制
(2DA)16
同理基于表格来做:
逻辑与:同时为1,结果为1,任意一方为0,结果为0
逻辑或:同时为0,结果为0,任意一方为1,结果为1
逻辑异或:不同则为1,相同则为0
逻辑非:取非:1取非为0,0取非为1
0x000F,0x 表示16进制,等同于 000FH,即000(15)的十六进制数。
000(15) = 15(十进制),15转为二进制为 1111
原码的优点是直观,缺点是加法、减法运算复杂,需要额外的规则来处理符号位;
反码的优点是加减法运算规则简单,只需对应位相加并进位,缺点是反码存在两个零值:正零和负零;
补码的优点是只有一个零值,可以直接进行加减运算,而不需要额外的规则,可以通过减法运算实现加法,从而简化了计算机的逻辑电路设计;
移码的主要用途是在浮点数中对指数部分进行表示,使得指数部分可以用带符号数进行表示和运算,方便了浮点数的处理和运算。
**补码的补码 = 补码: 1111 1111 1111 1111 (B) **
正数的原码、反码、补码都相同。
负数的反码为原码除符号位所有二进制取反
负数的补码为它的反码加1
正负数的移码为补码的符号位取反
考点6(计算题):可靠性、可靠度计算
真题1:某部件用在2000台计算机系统中,运行工作1000小时后,其中有4台计算机的这种部件失效,则该部件的千小时可靠度R为(0.998)
串联:R = R1 * R2 * R3… * Rn
并联:R = 1 - (1 - R1) * (1 - R2) * … (1- Rn)
考点7:校验码:奇偶校验、海明码
真题1:已知数据信息为16位,最少应附加(5)位校验位,才能实现海明码纠错。
1、奇偶校验码:使码距变2,只能检1位错,无法纠错
奇偶校验码:在编码中**增加1位校验位来使编码中1的个数为奇数(奇校验)或者偶数(偶校验),从而使码距变为2。**例如:
奇校验:编码中,含有奇数个1,发送给接收方,接收方收到后,会计算收到的编码有多少个1,如果是奇数个,则无误,是偶数个,则有误。
偶校验同理,只是编码中有偶数个1,由上述,奇偶校验只能检1位错,并且无法纠错。
比如:101110, 有 4 个 1
编码 A:101110,现在有 4 个 1
那么,编码 A 使用 奇校验,因为现在编码 A 有偶数个1,所以需要加个 1 =》 1011101,这样就是奇数个1了。
编码A使用偶校验,因为现在编码 A 有偶数个 1,所以只需要加个 0 =》 1011100,这样就还是偶数个1了。
2、CRC 校验码:只能检错,不能纠错
CRC只能检错,不能纠错。使用 CRC 编码,需要先约定一个生成多项式G(x)。生成多项式的最高位和最低位必须是1。假设原始信息由 m 位,则对应多项式 M(x)。生成校验码思想就是在原始信息位后追加若干个校验位,使得追加的信息能被G(x)整除。接收方接收到带校验位的信息,然后用 G(x)整除。余数为0,则没有错误,反之则发生错误。
注意:收发信息双方需使用相同的生成多项式。
总结:
1、根据多项式的最高阶数 n(如xn),则在原始信息后补上 n 个 0,如原始信息位 10110,n为4,则被除数为 10110 0000
2、根据多项式 G(x) = x4 + x + 1得到除数 如 10011(x 的幂指数存在的位置为1,不存在的位置为0, 1=x0,x=x1,x4=x4,x 的幂指数 0、1、4都存在,幂指数2、3不存在,因此得到10011)
3、相除并进行模2运算 10110 0000 % 10011 = 1111,得到的余数必须是 n 位,不够的在左侧补0,直至是 n 位,这里 余数是 1111,有4位,不需要补0。(如果余数是比如10,则需要补0,补0后,余数为 0010.)
上述计算过程中:模2运算:不一样则得到1,一样则得到0,即:0 - 1 = 1,1 - 0 = 1;0 - 0 = 0;1 - 1 = 0;
4、原始信息位 10110 和 余数 1111 组合:101101111 即为其 CRC 编码。
3、海明码:利用奇偶性,可检错、可纠错
海明码:本质也是利用奇偶性来检错和纠错的校验方法,构成方法是在数据位之间的确定位置上插入 k 个校验位,通过扩大码距实现检错和纠错。设数据位是n位,校验位是k位,则 n 和 k 必须满足以下关系:2k-1 >= n + k。
例:求信息 1011 的海明码。
1、校验位的位数和具体的数据位的位数之间的关系
**所有位都是编号,从最低位编号,从1开始递增,校验位处于2的n(n = 0,1,2…)次方中,即处于1,2,4,8,16,32,…位上,**其余位才能填充真正的数据位,若信息数据为1011,则可知,第1,2,4位为校验位,3,5,6,7位为数据位,用来从低位开始存放1011
1011 为 4 位,校验位处于 1,2,4,8,16,32,…
则只需要 4 + 3(3个校验位),即第1位、第2位、第4位,不需要到第8位,因为 4 + 3 满足 小于 8了,即总共7位就够了。
同理 10位数,需要4位校验位,即第1位,第2位,第4位,第8位,不需要到第16位,因为 10 + 4 已经小于16了,即总共14位就够了。
同理 16 位数,需要 5位校验码。
32 + 6 (1,2,4,8,16,32) = 38,到不了第7位校验位(64),因为38 < 64.
所以32位至少主要6个校验位
D5 第10位,10 = 23 + 21 = 8 + 2,所以 D5 由P4P2校验。
考点8:TCP/IP 协议、子网划分、网络安全协议
**问题:**下面关于网络延迟的说法中,正确的是( )。
A:在对等网络中,网络的延迟大小与网络中的终端数量无关
B:使用路由器进行数据转发所带来的延迟小于交换机
C:使用 Internet 服务能够最大限度地减小网络延迟
D:服务器延迟的主要影响因素是队列延迟和磁盘IO延迟
答案:D
解析:
网络中的延迟产生与以下几个方面有关:运算、读取和写入、数据传输以及数据传输过程中的拥塞所带来的延迟。在网络中,数据读写的速率较之于数据计算和传输的速率要小得多,因此数据读写的延迟是影响网络延迟的最大的因素。
在对等网络中,由于采用总线式的连接,因此网络中的终端数量越多,终端所能够分配到的转发时隙就越小,所带来的延迟也就越大。
路由器一般采取存储转发方式,需要对待转发的数据包进行重新拆包,分析其源地址和目的地址,再根据路由表对其进行路由和转发,而交换机采取的是直接转发方式,不对数据包的三层地址进行分析,因此路由器转发所带来的延迟要大于于交换机,不过路由器转发的信息更可靠。
数据在Internet 中传输时,由于互联网中的转发数据量大且所需经过的节点多,势必会带来更大的延迟。
5G 网络的主要特征:服务化架构、网络切片。
5G网络采用( )可将5G网络分割成多张虚拟网络,每个虚拟网络的接入,传输和核心网是逻辑独立的,任何一个虚拟网络发生故障都不会影响到其它虚拟网络。
A:网路切片技术
B:边缘计算技术
C:网络隔离技术
D:软件定义网路技术
答案:A
解析:
5G网络采用网路切片技术可将5G网络分割成多张虚拟网络,每个虚拟网络的接入,传输和核心网是逻辑独立的,任何一个虚拟网络发生故障都不会影响到其它虚拟网络。
在一个网络切片中,至少可分为无线网子切片、承载网子切片和核心网子切片三部分。
局域网:广播域。一个虚拟局域网是一个广播域。局域网是二层网络,无法隔离广播域,因此局域网整体是一个广播域。
真题1:HTTPS使用(SSL)协议对报文进行封装。
真题2:在浏览器地址栏输入一个正确的网址后,本地主机将首先在(本机hosts文件)中查询该网址对应的IP地址。
DNS域名查询的次序是:本地的hosts文件->本地DNS缓存->本地DNS服务器->根域名服务器。
**问题:**在Linux系统中,DNS的配置文件是( ),它包含了主机的域名搜索顺序和DNS服务器的地址。
A:/etc/hostname
B:/dev/host.conf
C:/etc/resolv.conf
D:/dev/name.conf
答案:C
解析:
在 Linux 中,DNS 的配置文件保存在/etc/resolv.conf。
/etc/resolv.conf是 DNS 客户机的配置文件,用于设置DNS服务器的IP地址及DNS域名,还包含了主机的域名搜索顺序。该文件是由域名解析器(一个根据主机名解析 IP 地址的库)使用的配置文件。
真题4:在异步通信中,每个字符包含1位起始位、7位数据位和2位终止位,若每秒钟传送500个字符,则有效数据速率为(C)
解析:每秒500字符,每字符7bite,估有效速率为3500b/s。
真题5:HTTPS的默认端口为(443)
真题6:相比于TCP,UDP的优势为:开销较小。
真题7:与电子邮箱服务的安全性无关的是:C
A、SSL B、HTTPS、C、MIME、D、PGP
PGP 是一条用于消息加密、验证的应用程序。
MIME 是设定某种扩展名的文件用一种应用程序来打开的方式类型。
真题8:在TCP/IP网络中,建立连接进行可靠通信是在(传输层)完成的,此功能在OSI/RM中是在(会话层)来实现的。
真题9:Telnet 协议是一种(基于TCP)远程登录协议。
真题10:将网址转换为IP地址要用(域名解析)协议。
真题11,下列协议中,属于远程登录协议的是:(SSH)
真题12:路由协议称为内部网关协议,自治系统之间的协议称为外部网关协议,以下属于外部网关协议的是(GBP)
真题13:通常使用(IPSec)为IP数据报文进行加密。
真题14:开启无痕浏览模式时,(C)仍然会被保存
A、浏览历史 B、搜索历史 C、下载的文件 D、临时文件
真题:POP3 协议采用 (Client/Server)模式。
真题:TCP使用的流量控制协议是(可变大小的滑动窗口协议)。
真题:主机路由的子网掩码是 255.255.255.255
真题:关于层次化局域模型中核心层的叙述,正确的是(将分组从一个区域高速地转发到另一个区域)
广播域 冲突域
物理层 × ×
数据链路层 × √
网络层 √ √
× 和 √ 表示是否可以隔离。
真题1:VLAN tag 在 OSI 参考模型的(数据链路层)实现。
真题2:在OSI参考模型中,负责对应用层消息进行压缩、加密功能的层次为(表示层)
比如要发送你好:
物理层(传输位,单位:比特):在链路上透明地传输位。转为比特流,将它放到光纤、网线等传输介质上,之后就需要知道传输给谁。(中继器、集线器,中继器只有2个端口,集线器多个)
数据链路层(单位:帧):把不可靠的信道转为可靠的信道。基于 MAC/网卡地址来确认要传到哪一个网卡上。(网桥、交换器,交换器等同于多端口网桥)
网络层(路由选择,传送包,单位:IP分组):确定传输到哪个IP地址上、哪个计算机网络终端上(此时 你好 就已经从一台计算机发送到另一台计算机上了)(路由器)
传输层(端口到端口传输,单位:报文段): **端-端间可靠的、透明的数据传输。**消息还要到具体的端口上,比如微信聊天、电子邮件不同的服务监听不同的端口。比如微信聊天根据监听的端口确定了 你好 这个消息就是发送给微信的,而不是发送给电子邮件的等。
**会话层(进程建立):**到了B计算机的微信后,可能还需要一些处理。比如微信的进程来处理。
表示层(数据转换):数据的转换(格式转换、压缩、加密等)
应用层(单位:数据):提供各种不透明的服务。
Internet网络核心采取的交换方式为( )。
A:分组交换
B:电路交换
C:虚电路交换
D:消息交换
答案:A
解析:
Internet网络核心交换方式为分组交换,分组交换也叫包交换,它将所接收的分组先进行存储再进行转发。
以下关于以太网交换机转发表的叙述中,正确的是( )。
A:交换机的初始MAC地址表为空
B:交换机收到数据帧后,如果没有响应的表项,则不转发该帧
C:交换机通过读取输入帧中的目的地址添加相应的MAC地址表项
D:交换机的MAC地址地址表项是静态增长的,重启时地址表清空
答案:A
解析:
B错误:因为交换机接收到数据帧后,如果没有相应的表项,交换机会采用ARP洪泛操作,即广播方式进行转发。
C错误:因为交换机通过读取输入帧中的源地址添加相应的MAC地址表项。
D错误:交换机的MAC地址表项是动态增长的。
SDN(Software Defined Netwok)的网络架构中不包含( )。
A:逻辑层
B:控制层
C:转发层
D:应用层
答案:A
解析:
SDN 是一种数据控制分离、软件可编程的新型网络体系架构。SDN网络架构有三层:应用层、控制层、转发层。
网络层协议:
-
IP(无连接、不可靠):网络层最重要的核心协议,在源地址和目的地址之间传送数据报,无连接、不可靠。(无连接就是:比如打电话,需要别人接 才能打通;但是发短信就是无连接。)
-
ICMP:因特网控制报文协议,用于在**IP主机、路由器之间传递控制消息。**控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。(从A地到B地,类似交警的作用,传递控制消息、报警信息)
-
ARP和RARP:地址解析协议,ARP(在网络层)是将IP地址转换为物理地址,RARP是将物理地址转换为IP地址。
-
IGMP:网络组管理协议,允许因特网中的计算机参加多播,是计算机用做向相邻多目路由器报告多目组成员的协议,支持组播。
传输层协议:
TCP 是可靠协议,UDP是不可靠协议。
- TCP:在IP协议提供的不可靠数据数据基础上,采用了重发技术,为应用程序提供了一个可靠的、面向连接的、全双工的数据传输服务。一般用于传输数据量比较少,且对可靠性要求高的场合。
- UDP:是一种不可靠、无连接的协议,有助于提高传输速率,一般用于传输数据量大,对可靠性要求不高,但要求速度快的场合。
C 是 Control,G 是 Group,F 是 发送
应用层协议:
基于TCP的FTP、HTTP等都是可靠传输。
基于UDP的DHCP、DNS等都是不可靠传输。
SFTP(SSH File Transfer Protocol,也称 Secret File Transfer Protocol) 是一种安全的文件传输协议。
◆FTP:可靠的文件传输协议,用于因特网上的控制文件的双向传输。
- HTTP:超文本传输协议,用于从WWW服务器传输超文本到本地浏览器的传输协议。使用SSL加密后的安全网页协议为HTTPS。
- SMTP和POP3:简单邮件传输协议,是一组用于由源地址到目的地址传送邮件的规则,邮件报文采用ASCII格式表示。
- Telnet:远程连接协议,是因特网远程登录服务的标准协议和主要方式。
- TFTP:不可靠的、开销不大的小文件传输协议。
- SNMP:简单网络管理协议,由一组网络管理的标准协议,包含一个应用层协议、数据库模型和一组资源对象。该协议能够支持网络管理系统,泳衣监测连接到网络上的设备是否有任何引起管理师行关注的情况。
- DHCP:动态主机配置协议,基于UDP,基于C/S模型,为主机动态分配IP地址,有三种方式固定分配、动态分配、自动分配。
- DNS:域名解析协议,通过域名解析出IP地址。(www.taobao.com 就是域名,IP 就是 192.168.0.1)
协议端口号对照表:
FTP:文件传输协议,HTTPS默认端口号443
电子邮件客户端通过发起对(1)服务器的(2)端口的TCP连接来进行邮件发送。
1-A:POP3 1-B:SMTP
1-C:HTTP 1-D:IMAP
2-A:23 2-B:110
2-C:25 2-D:143
答案:1-B、2-C
解析:
POP3,邮件接收协议,对应端口110;
SMTP ,邮件发送协议,对应端口25;
HTTP ,超文本传输协议,对应端口80;
IMAP ,交互式邮件存取协议,对应端口143。
网络安全协议
物理层主要使用物理手段、隔离、屏蔽物理设备等,其它层都是靠协议来保证传输的安全,具体如下图所示:
◆SSL协议:安全套接字协议,被设计为加强Web安全传输(HTTP/HTTPS/)的协议,安全性高,和HTTP结合之后,形成HTTPS安全协议,端口号为443.
◆SSH协议:安全外壳协议,被设计为加强TeInet/FTP安全的传输协议。
◆SET协议:安全电子交易协议主要应用于B2C模式(电子商务)中保障支付信息的安全性。SET协议本身比较复杂,设计比较严格,安全性高,它能保证信息传输的机密性、真实性、完整性和不可否认性。SET协议是PKI框架下的一个典型实现,同时也在不断升级和完善,如SET2.0将支持借记卡电子交易。
◆Kerberos协议:是一种网络身份认证协议,该协议的基础是基于信任第三方,它提供了在开放型网络中进行身份认证的方法,认证实体可以是用户也可以是用户服务。这种认证不依赖宿主机的操作系统或计算机的IP地址,不需要保证网络上所有计算机的物理安全性,并且假定数据包在传输中可被随机窃取和篡改。
◆PGP协议:使用RSA公钥证书进行身份认证,使用IDEA(128位密钥)进行数据加密,使用MD5进行数据完整性验证。
以下关于第三方认证服务的叙述中,正确的是()
A.Kerberos认证服务中保存数字证书的服务叫CA
B.第三方认证服务的两种体制分别是Kerberos和PKI
C.PKI体制中保存数字证书的服务器叫KDC
D.Kerberos的中文全称是“公钥基础设施”
答案:B
网络管理员通过命令行方式对路由器进行管理,要确保 ID,口令和会话话内存的保密性,应采取的访问方式是()。
A.控制台 C. TELNET B. AUX D. SSH
答案:D
考点9:信息安全、对称加密、非对称加密、CA、私钥、公钥、数字签名
真题1:以下加密算法中适合对大量的明文消息进行加密传输的是(RC5)
真题2:下列算法中,不属于公开密钥加密算法的是:D
A、ECC B、DSA C、RSA D、DES
真题3:下列认证方式安全性较低的是(C)
A、生物认证 B、多因子认证 C、口令认证 D、U盾认证
真题4:X.509数字证书标准推荐使用的密码算法是(RSA),而国密SM2数字证书采用的公钥密码算法是(ECC)
真题5:在PKI体系中,由SSL/TSL实现HTTPS应用。浏览器和服务器之间用于加密HTTP消息的方式是(会话秘钥+对称加密)。
某Web网站向CA申请了数字证书。用户登录过程中可通过验证(1),确认该数字证书的有效性,以(2)。
1-A:CA的签名
1-B:网站的签名
1-C:会话密钥
1-D:DES密码
2-A:向网站确认自己的身份
2-B:获取访问网站的权限
2-C:和网站进行双向认证
2-D:验证该网站的真伪
答案:A、D
解析:
每个数字证书上都会有其颁发机构的签名,我们可以通过验证CA对数字证书的签名来核实数字证书的有效性。
如果证书有效,说明此网站经过CA中心的认证,是可信的网站,所以这个动作是用来验证网站真伪的,而不能验证客户方的真伪。
1、对称加密、非对称加密
以下WIFI认证方式中,( )使用了AES加密算法,安全性更高。
A:开放式 B:WPA
C:WPA2 D:WEP
答案:C
对称加密:加解密相同,大数据,速度快,DES、RC5
非对称加密(公加私解):公钥加密,私钥解密,安全,RSA、ECC
数字信封:对称加密数据,非对称加密 对称加密的秘钥
数字签名(私加公解):发送者私钥加密,发送者公钥解密,完整、不可抵赖,但不能保密(因为公钥公开)
**数字证书、CA(私加公解):**基于数字签名
◆对称加密技术:速度快、大数据,不公开秘钥;加密、解密的秘钥相同
数据的加密和解密的密钥(密码)是相同的,属于不公开密钥加密算法。其缺点是加密强度不高(因为密钥位数少)且密钥分发困难(因为密钥还需要传输给接收方,也要考虑保密性等问题)。优点是加密速度快,适合加密大数据
◆常见的对称密钥加密算法如下:
DES、3DES、AES、RC5、IDEA
AES是一种分组加密。
◆非对称加密技术:速度慢、安全性高,公开秘钥,加密、解密秘钥不同
数据的加密和解密的密钥是不同的,分为公钥和私钥。是公开密钥加密算法。
其缺点是加密速度慢。优点是安全性高,不容易破解。
◆非对称技术的原理是:发送者发送数据时,使用接收者的公钥作加密密钥,私钥作解密密钥,这样只有接收者才能解密密文得到明文。安全性更高,因为无需传输密钥。但无法保证完整性。如下:
◆常见的非对称加密算法如下:
RSA、Elgamal、ECC、背包算法、Rabin、D-H 等
非对称加密技术,公开的是公钥,而秘钥只有接收者、自己有、永不公开。
2、信息摘要
真题1:假定用户A、B 分别在 I1、I2两个CA处取得了各自的证书,下面( I1、I2互换公钥)是A、B互信的必要条件。
真题2:某电子商务网站向CA申请了数字证书,用户可以通过使用(CA的公钥)验证(CA的签名)的真伪阿里确定该网站的合法性。
信息摘要:就是哈希函数,信息摘要是由哈希函数生成的。 只能由数据生成信息摘要,不能由信息摘要还原数据。
◆信息摘要算法: MD5(产生128位的输出)、SHA-1(安全散列算法,产生160位的输出,安全性更高)
3、数字签名:私加公解
◆数字签名:唯一标识一个发送方。
发送者发送数据时,使用发送者的私钥进行加密,接收者收到数据后,只能使用发送者的公钥进行解密,这样就能唯一确定发送方,这也是数字签名的过程。
但无法保证机密性
自己的私钥可以唯一标识一个人。
数字签名可以保证完整性、不可抵赖性,但没有保密性(因为公钥是公开的,都可以解密。)
4、数字证书与CA:私加公解
◆公钥基础设施PK:是以不对称密钥加密技术为基础,以数据机密性、完整性
、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。
(1)数字证书:一个数据结构,是一种由一个可信任的权威机构签署的信息集合。
公钥证书主要用于确保公钥及其与用户绑定关系的安全。这个公钥就是证书所标识的那个主体的合法的公钥。
任何一个用户只要知道签证机构的公钥,就能检查对证书的签名的合法性。。
(2)签证机构CA:负责签发证书、管理和撤销证书。是所有注册用户所信赖的权威机构,CA在给用户签发证书时要加上自己的数字签名,以保证证书信息的真实性。任何机构可以用CA的公钥来验证该证书的合法性。
5、信息安全基础知识
完整的信息安全系统至少包含三类措施,即技术方面的安全措施、管理方面的安全措施和相应的(1)。其中,信息安全的技术措施主要有:信息加密、数字签名、身份鉴别、访问控制、网络控制技术、反病毒技术、(2)。
1-A:用户需求
1-B:政策法律
1-C:市场需求
1-D:领域需求
2-A:数据备份和数据测试
2-B:数据迁移和数据备份
2-C:数据备份和灾难恢复
2-D:数据迁移和数据测试
答案:1-B、2-C
◆信息安全包括5个基本要素:机密性、完整性、可用性、可控性与可审查性。
(1)机密性:确保信息不暴露给未授权的实体或进程。
(2)完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。
(3)可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。
(4)可控性:可以控制授权范围内的信息流向及行为方式
(5)可审查性:对出现的信息安全问题提供调查的依据和手段。
◆信息安全的范围包括:设备安全、数据安全、内容安全和行为安全
(1)信息系统设备的安全是信息系统安全的首要问题,是信息系统安全的物质基础,它包括3个方面:设备的稳定性、可靠性、可用性。
(2)数据安全即采取措施确保数据免受未授权的泄露、篡改和毁坏,包括3个方面:数据的秘密性、完整性、可用性。
(3)内容安全是信息安全在政治、法律、道德层次上的要求,包括3个方面:信息内容政治上健康、符合国家法律法规、符合道德规范。
(4)信息系统的服务功能是指最终通过行为提供给用户,确保信息系统的行为安全,才能最终确保系统的信息安全。行为安全的特性包括:行为的秘密性,完整性、可控性。
信息存储安全包括信息使用的安全(包括用户的标识、验证,用户存取权限限制)、系统安全监控(日志和审计功能)、计算机病毒防治(病毒自动检测系统)、数据的加密和防止非法的攻击等。
◆网络安全
◆网络安全隐患体现在:物理安全性、软件安全漏洞、不兼容使用安全漏洞、选择合适的安全哲理
◆网络安全威胁:非授权的访问、信息泄露或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒。
◆安全措施的目标:访问控制、认证、完整性、审计、保密。
技术体系:从实现技术上来看,信息安全系统涉及以下技术:
(1)基础安全设备包括密码芯片、加密卡、身份识别卡等,此外还涵盖运用到物理安全的物理环境保障技术,建筑物、机房条件及硬件设备条件满足信息系统的机械防护安全,通过对电力供应设备以及信息系统组件的抗电磁干扰和电磁泄漏性能的选择性措施达到相应的安全目的。
(2)计算机网络安全指信息在网络传输过程中的安全防范,用于防止和监控未经授权破坏、更改和盗取数据的行为。通常涉及物理隔离,防火墙及访问控制,加密传输、认证、数字签名、摘要,隧道及VPN 技术,病毒防范及上网行为管理,安全审计等实现技术。
(3)操作系统安全是指操作系统的无错误配置、无漏洞、无后门、无特洛伊木马等,能防止非法用户对计算机资源的非法存取,一般用来表达对操作系统的安全需求。操作系统的安全机制包括标识与鉴别机制、访问控制机制、最小特权管理、可信通路机制、运行保障机制、存储保护机制、文件保护机制、安全审计机制,等等。
(4)数据库安全可粗略划分为数据库管理系统安全和数据库应用系统安全两个部分,主要涉及物理数据库的完整性、逻辑数据库的完整性、元素安全性、可审计性、访问控制、身份认证、可用性、推理控制、多级保护以及消除隐通道等相关技术。
(5)终端安全设备从电信网终端设备的角度分为电话密码机、传真密码机、异步数据密码机等
信息安全的技术措施主要有:信息加密、数字签名、身份鉴别、访问控制、网络控制技术、反病毒技术、数据备份和灾难恢复。
◆访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括3个要素,即主体、客体和控制策略。
◆访问控制包括认证、控制策略实现和审计3方面的内容。
信息安全的抗攻击技术
◆为对抗攻击者的攻击,密钥生成需要考虑3个方面的因素:增大密钥空间、选择强钥(复杂的)、密钥的随机性(使用随机数)
◆拒绝服务攻击有许多种,网络的内外部用户都可以发动这种攻击。内部用户可以通过长时间占用系统的内存、CPU 处理时间使其他用户不能及时得到这些资源,而引起拒绝服务攻击:外部黑客也可以通过占用网络连接使其他用户得不到网络服务。
◆外部用户针对网络连接发动拒绝服务攻击主要有以下几种模式:消耗资源、破坏或更改配置信息、物理破坏或改变网络部件、利用服务程序中的处理错误使服务失效。
◆分布式拒绝服务DDoS攻击是传统Dos攻击的发展,攻击者首先侵入并控制一些计算机,然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。克服了传统DOS受网络资源的限制和隐蔽性两大缺点
◆拒绝服务攻击的防御方式
(1)加强对数据包的特征识别,攻击者发送的数据包中是有一些特征字符串。通过搜寻这些特征字符串就可以确定攻击服务器和攻击者的位置。
(2)设置防火墙监视本地主机端口的使用情况。如果发现端口处于监听状态,则系统很可能受到攻击。
(3)**对通信数据量进行统计也可获得有关攻击系统的位置和数量信息。**在攻击时,攻击数据的来源地址会发出超出正常极限的数据量。
(4)尽可能的修正己经发现的问题和系统漏洞
ARP欺骗:
正常ARP原理:主机A想知道局域网内主机B的MAC地址,那么主机A就广播发送ARP请求分组,局域网内主机都会收到,但只有B收到解析后知道是请求自己的MAC地址,所以只有B会返回单播的响应分组,告诉A自己的MAC地址。A收到响应分组后,会建立一个B的IP地址和MAC地址映射,这个映射是动态存在的,如果一定时间AB不再通信,那么就会清空这个地址映射,下次如果还要通信,则重复这个过程。
ARP欺骗原理:上述过程主机**A是不管其有没有发送过请求广播分组的,而是只要收到了返回的分组信息,就会刷新IP地址和MAC地址的映射关系,**这样就存在安全隐患,假设有主机C,模拟返回分组格式,构造正确的IP地址和自己的MAC地址映射,A收到后也会刷新映射关系,那么当A再次向B发送信息时,实际就发送到了C的MAC地址,数据就被监听到了。
广播:就好比有人在操场上用广播的方式说:张三你的手机丢了,这里的欺骗就是有可能会有人冒充张三而冒领手机。
◆ARP欺骗的防范措施:
①在winxp下输入命令:arp-sgate-way-ip gate-way-mac 固化arp 表,阻止arp 欺骗
②使用ARP 服务器。通过该服务器查找自己的ARP 转换表来响应其他机器的ARP广播。确保这台ARP 服务
器不被黑。
③采用双向绑定的方法解决并且防止ARP 欺骗。
④ARP 防护软件–ARPGuard。通过系统底层核心驱动,无须安装其他任何第三方软件(如WinPcap),以服务及进程并存的形式随系统启动并运行,不占用计算机系统资源。无需对计算机进行IP地址及MAC地址绑定,从而避免了大量且无效的工作量。也不用担心计算机会在重启后新建ARP 缓存列表,因为此软件是以服务与进程相结合的形式存在于计算机中,当计算机重启后软件的防护功能也会随操作系统自动启动并工作。
DNS:把域名解析为 IP 地址。
DNS欺骗首先是冒充域名服务器,然后把查询的IP地址设为攻击者的IP 地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS 欺骗的基本原理。也即改掉了域名和IP地址的对应关系。黑客是通过冒充DNS服务器回复查询IP的。
DNS欺骗的检测:
①被动监听检测:通过旁路监听的方式,捕获所有DNS 请求和应答数据包,并为其建立一个请求应答映射表。如果在一定的时间间隔内,一个请求对应两个或两个以上结果不同的应答包,则怀疑受到了DNS欺骗攻击。
②虚假报文探测:采用主动发送探测包的手段来检测网络内是否存在DNS 欺骗攻击者。如果向一个非DNS服务器发送请求包,正常来说不会收到任何应答,如果收到了应答包,则说明受到了攻击。
③交叉检查查询:在客户端收到DNS 应答包之后,向DNS服务器反向查询应答包中返回的IP 地址所对应的DNS 名字,如果二者一致说明没有受到攻击,否则说明被欺骗。
TCP/IP欺骗的原理和流程:
①首先使被冒充主机host b的网络暂时瘫痪,以免对攻击造成干扰;
② 然后连接到目标机host a的某个端口来猜测ISN 基值和增加规律;
③接下来把源地址伪装成被冒充主机host b,发送带有SYN 标志的数据段请求连接;
④然后等待目标机host a发送SYN+ACK 包给已经瘫痪的主机,因为现在看不到这个包;
⑤最后再次伪装成主机host b向目标主机host a 发送的ACK,此时发送的数据段带有预测的目标机的ISN+1;
⑥连接建立,发送命令请求。
IP欺骗的防范:虽然IP欺骗攻击有着相当难度,但这种攻击非常广泛,入侵往往由这里开始。预防这种攻击可以删除UNIX中所有的/etc/hosts.eguiv、SHOME/.rhosts 文件,修改/etc/inetd.conf文件,使得RPC机制无法应用。另外,还可以通过设置防火墙过滤来自外部而信源地址却是内部IP的报文。
端口扫描就是尝试与目标主机的某些端口建立连接,如果目标主机该端口有回复(见三次握手中的第二次),则说明该端口开放,即为“活动端口”
◆扫描原理分类:
(1)全TCP 连接。这种扫描方法使用三次握手,与目标计算机建立标准的TCP连接。
(2)半打开式扫描(SYN扫描)。在这种扫描技术中,扫描主机自动向目标计算机的指定端口发送SYN数据段,表示发送建立连接请求。
如果目标计算机的回应TCP报文中SYN=1 ACK=1,则说明该端口是活动的,接着扫描主机传送一个RST给
目标主机拒绝建立TCP 连接,从而导致三次握手的过程失败。
如果目标计算机的回应是RST,则表示该端口为“死端口”,这种情况下,扫描主机不用做任何回应。
(3)FIN 扫描。依靠发送FIN来判断目标计算机的指定端口是否是活动的。
发送一个FIN=1的TCP 报文到一个关闭的端口时,该报文会被丢掉,并返回一个RST 报文。
但是,如果当FIN 报文到一个活动的端口时,该报文只是被简单的丢掉,不会返回任何回应。
从FIN 扫描可以看出,这种扫描没有涉及任何TCP 连接部分。因此,这种扫描比前两种都安全,可以称之
为秘密扫描。
(4)第三方扫描。第三方扫描又称“代理扫描”,这种扫描是利用第三方主机来代替入侵者进行扫描。
这个第三方主机一般是入侵者通过入侵其他计算机而得到的,该“第三方”主机常被入侵者称之为“肉鸡源 “。这些这些”肉鸡“一般为安全防御系数极低的个认计算机。
强化TCP/IP堆栈以抵御拒绝服务攻击
1.同步包风暴(SYN Flooding):利用TCP协议缺陷发送大量伪造的TCP连接请求,使得被攻击者资源耗尽。三次握手,进行了两次,不进行第三次握手,连接队列处于等待状态,大量这样的等待,会占满全部队列空间,使得系统挂起。可以通过修改注册表防御SYN Flooding 攻击。
2.ICMP攻击。ICMP 协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。比如,前面提到的“ Ping of Death"攻击就是利用操作系统规定的ICMP 数据包的最大尺寸不超过64KB 这一规定,达到使TCP/IP 堆栈崩溃、主机死机的效果。可以通过修改注册表防御ICMP 攻击。
3.SNMP 攻击。SNMP 还能被用于控制这些设备和产品,重定向通信流,改变通信数据包的优先级,甚至断开通信连接。总之,入侵者如果具备相应能力,就能完全接管你的网络。可以通过修改注册表项防御。
系统漏洞扫描指对重要计算机信息系统进行检查,发现其中可能被黑客利用的漏洞。包括基于网络的漏洞扫描(通过网络远程扫描主机)、基于主机的漏洞扫描(在目标系统安装了代理扫描)。
GB17859-999标准规定了计算机系统安全保护能力的五个等级:
第一级:用户自主保护级(自主访问控制)
第二级:系统审计保护级(粒度更细的自主访问控制)
第三级:安全标记保护级(强制访问控制)
第四级:结构化保护级(全体强制访问控制)
第五级:访问验证保护级(访问监控器)
考点10:防火墙、入侵检测
**问题:**进行系统监视通常有三种方式:一是通过( ),如UNIX/Linux 系统中的ps、last 等;二是通过系统记录文件查阅系统在特定时间内的运行状态;三是集成命令、文件记录和可视化技术的监控工具,如( )。
1-A:系统命令
1-B:系统调用
1-C:系统接口
1-D:系统功能
2-A:Windows的netstat
2-B:Linux的iptables
2-C:Windows的Perfmon
2-D:Linux的top
答案:A、C
解析:
Windows的netstat 命令用来查看某个端口号是否被占用以及由哪个进程占用。
Perfmon(Performance Monitor)是Windows 自带的性能监控工具,提供了图表化的系统性能实时监视器、性能日志和警报管理。通过添加性能计数器(Performance Counter)可以实现对 CPU、内存、网络、磁盘、进程等多类对象的上百个指标的监控。
iptables 是在 Linux2.4内核之后普遍使用的基于包过滤的防火墙工具,可以对流入和流出服务器的数据包进行很精细的控制。
top命令是Linux下常用的性能分析工具,能够实时显示系统中各个进程的资源占用状况。
真题1:(专家系统、模型检测、简单匹配)属于入侵检测;而漏洞扫描不属于。
真题2:防火墙特性包括(控制进出网络的数据包和数据流向、提供流量信息的日志和审计、隐藏内部IP以及网络结构细节),但不包括提供漏洞扫描功能。
真题3:入侵防御系统功能描述不正确的是:C
A、监测并分析用户和系统的网络活动
B、匹配特征库识别已知的网络攻击行为
C、联动入侵检测系统使其阻断网络攻击行为
D、检测僵尸网络,木马控制等僵尸主机行为
真题3:某单位网站首页被恶意篡改,应部署(Web应用防火墙)设备阻止恶意攻击。
真题4:通过在出口防火墙上配置(ACL)功能可以阻止外部未授权用户访问内部网络。
真题5:包过滤防火墙对(网络层)的数据报文进行检查。
真题6:防火墙通常分为内网、外网和DMZ三个区域,按照受保护程度,从低到高正确的排列次序为(外网、DMZ、内网)。
真题7:Web应用防火墙无法有效防护(D)
A、登录口令暴力破解 B、恶意注册 C、抢票机器人 D、流氓软件
◆防火墙是在内部网络和外部因特网之间增加的一道安全防护措施,分为网络级防火墙和应用级防火墙。
对于计算机的防火墙来说,整个计算机就相当于一个内网;而外网就是外部的因特网。
防火墙可以鉴别什么样的数据包可以进出组织内部网络。
◆入侵检测系统IDS
**防火墙技术主要是分隔来自外网的威胁,却对来自内网的直接攻击无能为力
此时就要用到入侵检测IDS技术,位于防火墙之后的第二道屏障,**作为防火墙技术的补充。
◆原理:**监控当前系统/用户行为,**使用入侵检测分析引擎进行分析,这里包含一个知识库系统,如果是入侵,则记录证据并上报给系统和防火墙,交由它们处理。
◆不同于防火墙,**IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。**因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。因此,IDS在交换式网络中的位置一般选择在:(1)尽可能靠近攻击源(2)尽可能靠近受保护资源
以下三个没有考过,了解即可:
◆入侵防御系统IPS
IDS和防火墙技术都是在入侵行为已经发生后所做的检测和分析,而IPS是能够提前发现入侵行为,在其还没有进入安全网络之前就防御。在安全网络之前的链路上挂载入侵防御系统IPS,可以实时检测入侵行为,并直接进行阻断,这是与IDS的区别,要注意。
◆杀毒软件
用于检测和解决计算机病毒,与防火墙和IDS要区分,计算机病毒要靠杀毒软件,防火墙是处理网络上的非法攻击。
◆蜜罐系统
**伪造一个蜜罐网络引诱黑客攻击,**蜜罐网络被攻击不影响安全网络,并且可以借此了解黑客攻击的手段和原理,,从而对安全系统进行升级和优化。
防火墙相当于一个大门,
入侵检测系统IDS相当于家里的(门内的)摄像头。这个摄像头应该放在可以监控到的重要的地方比如保险柜(靠近受保护的资源)
入侵防御系统 IPS 相当于 可以触发的机关:比如检测到危险能主动发射毒箭等。
考点11:主动攻击、被动攻击
真题1:属于典型被动攻击的是(会话拦截)
真题2:Kerberos 系统中可通过在报文中加入(时间戳)来防止重放攻击。
分为被动攻击和主动攻击。
被动攻击可以理解为:我攻击了你,但是你不知道。(比如给窃听数据:给数据加了个监听摄像头,不拦截、也不修改数据,只是窃听、监听等;非法登录:比如窃取了用户名密码,偷偷登录系统获取一些资料等)
主动攻击可以理解为:是破坏性攻击,攻击后你就知道你被攻击了。比如 假冒身份:本来是 A 给 B 发消息,结果 C 假冒了B得到了 A 的消息;抵赖:比如 A 给B发消息,结果A却否认发过消息;
**重放攻击(可能会考):**拦截信息,并利用这些信息重新发送。
假如客户端给服务器发送消息,消息为用户名、密码,比如用户名、密码是加密的了,一般来说需要解密才能知道,但是第三方截获后不用解密,因为它知道了这是用户名、密码的信息,还用这些加密后的信息伪装成客户,去登录,重发用户名、密码给服务器。此时服务器拿到加密的用户名、密码并不知道这是伪装的,因为用户名、密码都是对的。这就是重放攻击。
解决重放攻击的方法也很简单,就是在信息里加上时间戳,比如真正的发消息的时间是1点,重放攻击的发消息的时间是2点,这个时候服务器就可以验证那个时间点的消息是真实的请求、发送。
拒绝服务(DOS)(重要、可能会考):
网站都是有一个负载的,也就是访问次数。不能无限制的访问的。
因此如果是正常的用户访问,但是是大量的正常用户同时访问,首先访问本身是合法的,但访问被限制了甚至拒绝了服务,这就是拒绝服务(DOS)。
所以拒绝服务(DOS)攻击就是一瞬间或短时间同时用大量(比如上百万)的用户同时访问进行的攻击,导致服务器没有负载了,网站就崩溃了。这个时候真正的用户去访问的时候也无法访问了。
考点12:死锁
真题1:某系统中有3个并发进程竞争资源R,每个进程都需要5个R,则至少有(13)个R,才能保证系统不会发生死锁。
死锁产生的四个必要条件:资源互斥、每个进程占用资源并等待其他资源、系统不能剥夺进程资源、进程资源图是一个环路。
死锁资源计算(考点):系统内有n个进程,每个进程都需要R个资源,那么其发生死锁的最大资源数为n * (R - 1)。其不发生死锁的最小资源数为 n * (R - 1) + 1。
R1 剩余:10 - (1 + 2 + 3 + 1 + 1) = 2
R2 剩余:5 - (1 + 1 + 1 + 1 + 1) = 0
R3剩余:3 - (1 + 0 + 0 + 1 + 0) = 1
27的答案为 D
为了安全,资源已经分配,需要满足进程对于资源的最大需求,R1 还剩余 2 个,还能满足 P2或P4或 P5 对于 R1资源的需求。R3还剩余1个,在 P2、P4、P5中还能满足P2或P4或P5.同时 R2已经没有剩余,P2、P4、P5中只有P5满足。
所以28的答案 A、C 排除。
所以先执行P5.
P5执行完成后,因为P5使用了2个 R1,1个R2,1个R3,所以此时还剩余资源位:
P5执行完后剩余:
R1 剩余:10 - (1 + 2 + 3 + 1 + 0) = 4
R2 剩余:5 - (1 + 1 + 1 + 1 + 0) = 1
R3剩余:3 - (1 + 0 + 0 + 1 + 0) = 1
此时剩余可以满足只能为 P2,所以此时答案就可以锁定为 B 了。
1、进程
进程基础的状态是下左图终端中的三态图。需要熟练掌握左下图中的进程三态之间的转换。
运行态:表示当前进程正在运行,正在运行的进程需要CPU
就绪态:就是除了CPU之外,什么都有了,就等待被CPU调度、执行了。
阻塞态:没有CPU,也没有其他条件、数据(比如一般为没有外设,缺少外设会阻塞,等待外设传输数据)
运行过程中,此时需要读取外设(比如硬盘中的)的数据,则CPU不会等待,CPU会抛弃进程,进程自己去读取数据,此时进程没了CPU,也在等待读取数据,所以就变为了阻塞状态。
而外设的数据的进程完成之后,数据有了,还缺少CPU,就变为了就绪状态。
就绪状态有了 CPU,就又变为了运行状态,运行状态的时间片到了之后,CPU会执行其他进程,当前进程没了CPU但还没执行完(数据还在)则又会转为就绪状态。
2、进程资源图
用来表示进程和资源之间的分配和请求关系
非阻塞节点:某进程**所请求的资源还有剩余,**可以分配给该进程继续运行。
当一个进程资源图中所有进程都是阻塞节点时,即陷入死锁状态。
R1 、R2 资源分配完毕了,但凡请求 R1、R2资源的进程都会阻塞;
R3资源只分配了1个,还剩1个,因此但凡请求 R3 资源的进程都不会阻塞了;
R2 分配完了之后,P1还需要请求1个R2的资源,所以P1是阻塞的;P2 同理。
所以 P1、P2是阻塞节点、P3是非阻塞节点
P1、P2是阻塞的所以没法执行,如果要优化,应该 P3先执行,执行完了,即可以释放出资源了,释放出的资源,可以满足 P1、P2的执行。
所以是可以化简的,简化顺序为P3-》P1-》P2,同理P3-》P2-》P1也可以。
考点13:进程同步与互斥、PV操作
真题1:假设系统有n(n>=5)个进程共享资源R且资源R的可用数为5。若采用PV操作,则相应的信号量S的取值范围为(-(n-5)~5)
真题2:在支持多线程的操作系统中,假设进程P创建了线程T1、T2和T3,那么以下叙述中错误的是:(B)
A、线程T1、T2和T3可以共享进程P的代码
B、线程T1、T2可以共享P进程中T3的栈指针
C、线程T1、T2和T3可以共享进程P打开的文件
D、线程T1、T2和T3可以共享进程P的全局变量
P操作:申请资源
V操作:释放资源
前驱图中的每一个箭头都是一个信号量。
P1执行完了之后,P2、P3才能执行,所以P1执行完了之后,一定释放了 P2、P3相关的信号量。即 V(S1)、V(S2),而 P2 执行的正是 P(S1),所以 P1 -> P2 的箭头的信号量就是 S1,则 P1-> P3 的箭头的信号量就是 S2.
所以此时 26 的填空即选 C。所以 b 就是 V(S3)。
所以 P2->P4的箭头的信号量就是 S3。P2执行完就需要释放一个信号量,就是 V(S3).
P3执行需要请求资源,由上箭头可知,是 P(S2),所以c是P(S2).
P3执行完成后,需要释放一个信号量,假设是 S4,则 P4->P5的箭头就是 S5 信号量。
如果 P3->P5就是S4,P4->P5就是S5,那么 P3执行完了之后就会释放S4,即d为 V(S4),P4执行完了就是释放S5,即e为V(S5),所以P5执行就要请求S4、S5,所以f为P(S4)P(S5)。
经验证,答案正确。
所以:
26答案为 C
27答案为 B
28答案为 B
根据上题中的 Process P2、Process P3、Process P4、Process P5 中的 P、V 操作,可以将前驱图的箭头代表的信号量推知如下:
所以 P1 执行完,就是 V(S1)V(S2),即①为 V(S1)V(S2)
P2执行就需要 P(S1),即②为P(S1)
所以①和②答案为 C
P3 的执行就需要 P(S2)P(S3),即③为P(S3)
P3执行完后就需要释放,所以是 V(S5)V(S6),即④为V(S5)V(S6)
所以③和④答案为 B
P4执行完后就需要释放,所以是V(S7),所以⑤为V(S7)
P6 执行就需要请求 S7、S8,所以⑥为P(S7)P(S8)
所以⑤和⑥的答案为 D