（2）封装协议：用于建立、保持和拆卸隧道，如L2F、PPTP、L2TP、GRE。

（3）传输协议：乘客协议被封装后应用传输协议，例如UDP协议。

8.了解第三层隧道协议——GRE。

GRE是通用的路由封装协议，支持全部的路由协议（如RIP2、OSPF等），用于在IP包中封装任何协议的数据包（IP、IPX、NetBEUI等）。在GRE中，乘客协议就是上面这些被封装的协议，封装协议就是GRE，传输协议就是IP。在GRE的处理中，很多协议的细微差别都被忽略，这使得GRE不限于某个特定的“X over Y”的应用，而是一种通用的封装形式。

原始IP包的IP地址通常是企业私有网络规划的保留IP地址，而外层的IP地址是企业网络出口的IP地址，因此，尽管私有网络的IP地址无法和外部网络进行正确的路由，但这个封装之后的IP包可以在Internet上路由——最简单的VPN技术。（NAT，非IP数据包能在IP互联网上传送）

GRE VPN适合一些小型点对点的网络互联。

第二十章安全扫描技术

一、问答题

1.简述常见的黑客攻击过程。

1目标探测和信息攫取

先确定攻击日标并收集目标系统的相关信息。一般先大量收集网上主机的信息，然后根据各系统的安全性强弱确定最后的目标。

1)踩点（Footprinting）

黑客必须尽可能收集目标系统安全状况的各种信息。Whois数据库查询可以获得很多关于目标系统的注册信息，DNS查询(用Windows/UNIX上提供的nslookup命令客户端)也可令黑客获得关于目标系统域名、IP地址、DNS务器、邮件服务器等有用信息。此外还可以用traceroute工具获得一些网络拓扑和路由信息。

2)扫描（Scanning）

在扫描阶段，我们将使用各种工具和技巧(如Ping扫射、端口扫描以及操作系统检测等)确定哪些系统存活着、它们在监听哪些端口(以此来判断它们在提供哪些服务)，甚至更进一步地获知它们运行的是什么操作系统。

3)查点（Enumeration）

从系统中抽取有效账号或导出资源名的过程称为查点，这些信息很可能成为目标系统的祸根。比如说，一旦查点查出一个有效用户名或共享资源，攻击者猜出对应的密码或利用与资源共享协议关联的某些脆弱点通常就只是一个时间问题了。查点技巧差不多都是特定于操作系统的，因此要求使用前面步骤汇集的信息。

2获得访问权（Gaining Access）

通过密码窃听、共享文件的野蛮攻击、攫取密码文件并破解或缓冲区溢出攻击等来获得系统的访问权限。

3特权提升（Escalating Privilege）

在获得一般账户后，黑客经常会试图获得更高的权限，比如获得系统管理员权限。通常可以采用密码破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱点等技术。

4窃取（Stealing）

对敏感数据进行篡改、添加、删除及复制（如Windows系统的注册表、UNIX的rhost文件等）。

5掩盖踪迹（Covering Tracks）

此时最重要就隐藏自己踪迹，以防被管理员发觉，比如清除日志记录、使用rootkits等工具。

6创建后门（Creating Bookdoor）

在系统的不同部分布置陷阱和后门，以便入侵者在以后仍能从容获得特权访问。

9．什么是漏洞扫描？

系统漏洞检测又称漏洞扫描，就是对重要网络信息进行检查，发现其中可被攻击者利用的漏洞。

第二十二章网络病毒防范

三、问答题

1.掌握恶意代码的概念和分类，以及几种主要的恶意代码。

黑客编写的扰乱社会和个人，甚至起着破坏作用的计算机程序，就是恶意代码。

1）按恶意代码是否需要宿主，即特定的应用程序、工具程序或系统程序。需要宿主的恶意代码具有依附性，不能脱离宿主而独立运行；不需宿主的恶意代码具有独立性，可不依赖宿主而独立运行。

2)按恶意代码是否能够自我复制，不能自我复制的恶意代码是不感染的，能够自我复制的恶意代码是可感染的。

1.不感染的依附性恶意代码

（1）特洛伊木马

一段能实现有用的或必需的功能的程序，但是同时还完成一些不为人知的功能，这些额外的功能往往是有害的（试图访问未授权资源、试图阻止正常访问、试图更改或破坏数据和系统等）。

它一般没有自我复制的机制，但欺骗性是其得以传播的根本原因。电子新闻组和电子邮件是它的主要传播途径。特洛伊木马经常伪装成游戏软件、搞笑程序、屏保、非法软件、色情资料等，上载到网上直接传播，容易被不知情的用户接收和继续传播。

（2）逻辑炸弹