⽹络安全课后简答题部分参考答案
第1章⽹络安全概述与环境配置
1. ⽹络攻击和防御分别包括哪些内容?
答:攻击技术主要包括以下⼏个⽅⾯。
(1)⽹络监听:⾃⼰不主动去攻击别⼈,⽽是在计算机上设置⼀个程序去监听⽬标计算机与其他计算机通信的数据。
(2)⽹络扫描:利⽤程序去扫描⽬标计算机开放的端⼝等,⽬的是发现漏洞,为⼊侵该计算机做准备。
(3)⽹络⼊侵:当探测发现对⽅存在漏洞后,⼊侵到⽬标计算机获取信息。
(4)⽹络后门:成功⼊侵⽬标计算机后,为了实现对“战利品”的长期控制,在⽬标计算机中种植⽊马等后门。
(5)⽹络隐⾝:⼊侵完毕退出⽬标计算机后,将⾃⼰⼊侵的痕迹清除,从⽽防⽌被对⽅管理员发现。
防御技术主要包括以下⼏个⽅⾯。
(1)安全操作系统和操作系统的安全配置:操作系统是⽹络安全的关键。
(2)加密技术:为了防⽌被监听和数据被盗取,将所有的数据进⾏加密。
(3)防⽕墙技术:利⽤防⽕墙,对传输的数据进⾏限制,从⽽防⽌被⼊侵。
(4)⼊侵检测:如果⽹络防线最终被攻破,需要及时发出被⼊侵的警报。
(5)⽹络安全协议:保证传输的数据不被截获和监听。
2. 从层次上,⽹络安全可以分成哪⼏层?每层有什么特点?
答:从层次体系上,可以将⽹络安全分成4个层次上的安全:物理安全,逻辑安全,操作系统安全和联⽹安全。
物理安全主要包括5个⽅⾯:防盗,防⽕,防静电,防雷击和防电磁泄漏。
逻辑安全需要⽤⼝令、⽂件许可等⽅法来实现。
操作系统安全,操作系统必须能区分⽤户,以便防⽌相互⼲扰。操作系统不允许⼀个⽤户修改由另⼀个账户产⽣的数据。
联⽹安全通过访问控制服务和通信安全服务两⽅⾯的安全服务来达到。(1)访问控制服务:⽤来保护计算机和联⽹资源不被⾮授权使⽤。(2)通信安全服务:⽤来认证数据机要性与完整性,以及各通信的可信赖性。
第2章⽹络安全协议基础
1. 简述OSI参考模型的结构
答:
OSI参考模型是国际标准化组织(International Standards Organization,ISO)制定的模
型,把计算机与计算机之间的通信分成7个互相连接的协议层,⾃顶向下分别为应⽤层、表⽰层、会话层、传输层、⽹络层、数据链路层、物理层。
2. 简述TCP/IP协议族的基本结构,并分析每层可能受到的威胁及如何防
答:
TCP/IP协议族包括4个功能层,⾃顶向下分别为:应⽤层、传输层、⽹络层、⽹络接⼝层。
应⽤层中很多应⽤程序驻留并运⾏在此层,并且依赖于底层的功能,使得该层是最难保护的⼀层。简单邮件传输协议(SMTP)容易受到的威胁是:邮件,病毒,匿名邮件和⽊马等。保护措施是认证、附件病毒扫描和⽤户安全意识教育。⽂件传输协议(FTP)容易受到的威胁是:明⽂传输、⿊客恶意传输⾮法使⽤等。保护的措施是不许匿名登录,单独的服务器分区,禁⽌执⾏程序等。超⽂本传输协议(HTTP)容易受到的威胁是:恶意程序(ActiveX控件,ASP程序和CGI程序等)。
传输层可能受到的威胁是拒绝服务(DOS)和分布式拒绝(DDOS)服务的攻击,其中包括TCP SYN淹没攻击、SSL中间⼈
攻击、Land攻击、UDP淹没攻击、端⼝扫描攻击等,保护措施是正确设置客户端SSL,使⽤防⽕墙对来源不明的有害数据进⾏过渡等。
⽹络层可能受到的威胁是IP欺骗攻击,保护措施是使⽤防⽕墙过滤和打系统补丁。
⽹络接⼝层⼜可分为数据链路层和物理层。
数据链路层可能受到的威胁是内容录址存储器表格淹没、VLAN中继、操纵⽣成树协议、MAC地址欺骗、ARP攻击、专⽤VLAN、DHCP耗竭等。保护措施是,在交换机上配置端⼝安全选项可以防⽌CAM
表淹没攻击。正确配置VLAN可以防⽌VLAN中继攻击。使⽤根⽬录保护和BPDU保护加强命令来保持⽹络中主⽹桥的位置不发⽣改变,可防⽌操纵⽣成树协议的攻击,同时也可以强化⽣成树协议的域边界。使⽤端⼝安全命令可以防⽌MAC欺骗攻击。对路由器端⼝访问控制列表(ACL)进⾏设置可以防⽌专⽤VLAN攻击。通过限制交换机端⼝的MAC地址的数⽬,防⽌CAM表淹没的技术也可以防⽌DHCP耗竭。
物理层可能受到的威胁是未授权⽤户的接⼊(内部⼈员、外部⼈员)、物理盗窃、涉密信息被复制或破坏等等。保护措施主要体现在实时存档和监测⽹络,提⾼通信线路的可靠性(线路备份、⽹管软件、传输介质)、软硬件设备安全性(替换设备、拆卸设备、增加设备)、防⼲扰能⼒,保证设备的运⾏环境(温度、湿度、烟尘),不间断电源保障,等等。
5. 简述常⽤的⽹络服务及提供服务的默认端⼝。
答:
6. 简述ping指令、ipconfig指令、netstat指令、net指令和at指令的功
能和⽤途。
答:
(1)ping指令:ping指令通过发送ICMP包来验证与另⼀台TCP/IP计算机的IP级连接。应答消息的接收情况将和往返过程的次数⼀起显⽰出来。ping指令⽤于检测⽹络的连接性和可到达性。
(2)ipconfig指令:ipconfig指令显⽰所有TCP/IP⽹络配置信息、刷新动态主机配置协议(Dynamic Host Configuration Protocol, DHCP)和域名系统(DNS)设置。使⽤不带参数的ipconfig可以显⽰所有
适配器的IP地址、⼦⽹掩码和默认⽹关。
(3)netstat指令:netstat指令显⽰活动的连接、计算机监听的端⼝、以太⽹统计信息、IP 路由表、IPv4统计信息
(IP,ICMP,TCP和UDP协议)。使⽤“netstat -an”命令可以查看⽬前活动的连接和开放的端⼝,是⽹络管理员查看⽹络是否被⼊侵的最简单⽅法。
osi参考模型的作用(4)net指令:net指令的功能⾮常的强⼤,在⽹络安全领域通常⽤来查看计算机上的⽤户列表、添加和删除⽤户、与对⽅计算机建⽴连接、启动或者停⽌某⽹络服务等。
(5)at指令:使⽤at命令建⽴⼀个计划任务,并设置在某⼀时刻执⾏。
第3章⽹络安全编程基础
1. 简述Windows操作系统的内部机制。
答:
Windows操作系统的内部机制如下:Windows是⼀个“基于事件的,消息驱动的”操作系统。在Windows
下执⾏⼀个程序,只要⽤户进⾏影响窗⼝的动作(如改变窗⼝⼤⼩或移动、单击⿏标等)该动作就会触发⼀个相应的“事件”。系统每次检测到⼀个事件时,就会给程序发送⼀个“消息”,从⽽使程序可以处理该事件。每次检测到⼀个⽤户事件,程序就对该事件做出响应,处理完以后,再等待下⼀个事件的发⽣。
2. 简述学习Windows下编程的注意点。
答:
(1)根据实际情况选择⼀门语⾔,精通使⽤,切勿看到⼀种语⾔学⼀种,到最后都只是略知⼀⼆。
(2)编程是⼀个循序渐进的过程,需要在学习的过程中⼀点⼀滴积累,遇到困难⼤可不必灰⼼丧⽓。
(3)从⼀开始写程序要养成良好的编程习惯,如变量命名规则、缩进规范、编写⽂档和注释等,以提⾼程序的可读性和可扩展性。
第4章⽹络扫描与⽹络监听
1. 简述⿊客的分类,以及⿊客需要具备哪些基本素质。
答:
⽬前将⿊客分成3类:第1类为破坏者,第2类为红客,第3类为间谍。
要成为⼀名好的⿊客,需要具备4种基本素质:“Free”精神,探索与创新精神,反传统精神和合作精神。
2. ⿊客在进攻的过程中需要经过哪些步骤?⽬的是什么?
答:
⿊客⼀次成攻的攻击,可以归纳成基本的五个步骤:
第⼀,隐藏IP;
第⼆,踩点扫描;
第三,获得系统或管理员权限;
第四,种植后门;
第五,在⽹络中隐⾝。
以上⼏个步骤根据实际情况可以随时调整。
3. 简述⿊客攻击和⽹络安全的关系。
答:
⿊客攻击和⽹络安全是紧密结合在⼀起的,研究⽹络安全不研究⿊客攻击技术等同于纸上谈兵,研究攻击技术不研究⽹络安全等同于闭门造车。某种意义上说没有攻击就没有安全,系统管理员可以利⽤常见的攻击⼿段对系统进⾏检测,并对相关的漏洞采取措施。
⽹络攻击有善意也有恶意的,善意的攻击可以帮助系统管理员检查系统漏洞,恶意的攻击可以包括:为了私⼈恩怨⽽攻击,为了商业或个⼈⽬的获得秘密资料⽽攻击,为了民族仇恨⽽攻击,利⽤对⽅的系统资源满⾜⾃⼰的需求、寻求刺激、给别⼈帮忙,以及⼀些⽆⽬的攻击。
4. 为什么需要⽹络踩点?
答:
踩点就是通过各种途径对所要攻击的⽬标进⾏尽可能的了解。常见的踩点⽅法包括:在域名及其注册机构的查询,公司性质的了解,对主页进⾏分析,邮件地址的搜集和⽬标
IP地址范围查询。
踩点的⽬的就是探察对⽅的各⽅⾯情况,确定攻击的时机。摸清对⽅最薄弱的环节和守卫最松散的时刻,为下⼀步的⼊侵提供良好的策略。
5. 扫描分成哪两类?每类有什么特点?可以使⽤哪些⼯具进⾏扫描、各
有什么特点?
答:
扫描,⼀般分成两种策略:⼀种是主动式策略,另⼀种是被动式策略。被动式策略是基于主机之上,对系统中不合适的设置、脆弱的⼝令及其他同安全规则抵触的对象进⾏检查,不会对系统造成破坏。主动式策略是基于⽹络的,它通过执⾏⼀些脚本⽂件模拟对系统进⾏攻击的⾏为并记录系统的反应,从⽽发现其中的漏洞,但是可能会对系统造成破坏。
常见的扫描⼯具包括:
第⼀,系统⾃带的扫描⼯具如windows和linux中的ping,linux中的namp。这类⼯具操作简单,⼤多⼯作在命令⾏模式下。
第⼆,开源的和免费的扫描⼯具如Nessus,X-scan,Netcat,X-port以及Google在2010年新推出的Skip
fish等。这类扫描⼯具⼀般具有单⼀、独特的功能,因此扫描速度极快、更新速度快、容易使⽤,由于其开源、免费的特点,使其具有更⼴泛的影响⼒。
第三,商⽤的扫描⼯具,如eEye公司的Retina,Network Associates的CyberCop Scanner 以及Symantec 的NetRecon等。基本上⼤部分商业扫描器都⼯作在⿊盒模式,在这种模式下⽆法看到源代码,以⼀个近似于渗透者或攻击者的⾝份去看待需要评估的。在商业化应⽤中,对误报、漏报的容忍程度⽐较低。商⽤扫描器在精确扫描之后,会给出⼀些建议和⼿段来屏蔽。最初是提供⼀些修补建议,这种⽅式对专业⼈员来说有相当价值,但对于⼀些较薄弱或者⽐较懒惰的⽤户,修补建议的作⽤就被忽略了。在新⼀代的商⽤扫描器中,提出了修补联动的概念,通过发送注册表去提⽰⽤户,⽤户双击注册表,就可以导⼊需要修改、升级补丁的信息,并且还可以和WSUS进⾏联动。这样就可以基本上达到⾃动化的修补。
6. ⽹络监听技术的原理是什么?
答:
Sniffer的原理是:在局域⽹中与其他计算机进⾏数据交换时,数据包发往所有的连在⼀起的主机,也就是⼴播,在报头中包含⽬的机的正确地址。因此只有与数据包中⽬的地址⼀致的那台主机才会接收数据包,其他的机器都会将包丢弃。但是,当主机⼯作在监听模式下时,⽆论接收到的数据包中⽬
的地址是什么,主机都将其接收下来。然后对数据包进⾏分析,就得到了局域⽹中通信的数据。⼀台计算机可以监听同⼀⽹段所有的数据包,不能监听不同⽹段的计算机传输的信息。
第5章⽹络⼊侵
1. 简述社会⼯程学攻击的原理。
答:
社会⼯程是使⽤计谋和假情报去获得密码和其他敏感信息的科学。研究⼀个站点的策略,就是尽可能多地了解这个组织的个体,因此⿊客不断试图寻更加精妙的⽅法从他们希望渗透的组织那⾥获得信息。
另⼀种社会⼯程的形式是⿊客试图通过混淆⼀个计算机系统去模拟⼀个合法⽤户。
2. 登录系统以后如何得到管理员密码?如何利⽤普通⽤户建⽴管理员账
户?
答:
⽤户登录以后,所有的⽤户信息都存储在系统的⼀个进程中,这个进程是“”,可以利⽤程
序将当前登录⽤户的密码解码出来。
⽤普通⽤户账号登录后,可以利⽤等权限提升⼯具将⾃⼰加到管理员组或者新建⼀个具有管理员权限的⽤户。
3. 简述暴⼒攻击的原理。暴⼒攻击如何破解操作系统的⽤户密码、如何
破解邮箱密码、如何破解Word⽂档的密码?针对暴⼒攻击应如何防御?
答:
暴⼒攻击的原理:⿊客使⽤枚举的⽅法,使⽤运算能⼒较强的计算机,尝试每种可能的字符破解密码,这些字符包括⼤⼩写、数字和通配符等。
字典⽂件为暴⼒破解提供了⼀条捷径,程序⾸先通过扫描得到系统的⽤户,然后利⽤字典中每⼀个密码来登录系统,看是否成功,如果成功则显⽰密码。
邮箱的密码⼀般需要设置为8位以上,7位以下的密码容易被破解。尤其7位全部是数字的密码,更容易被破解。使⽤相应暴⼒破解软件可以每秒50到100个密码的速度进⾏匹配。
破解Word⽂档的密码⽅法与破解邮箱密码相似。
进⾏适宜的安全设置和策略,通过结合⼤⼩写字母、数字和通配符组成健壮的密码可以防御暴⼒攻击。
4. 简述Unicode漏洞的基本原理。
答:
漏洞描述:攻击者可通过IE浏览器远程运⾏被攻击计算机的⽂件,从⽽使该计算机的⽂件暴露,且可随意执⾏和更改⽂件。
Unicode标准被很多软件开发者所采⽤,⽆论何种平台、程序或开发语⾔,Unicode 均为每个字符提供独⼀⽆⼆的序号,如向IIS服务器发出包括⾮法Unicode UTF-8序列的URL,攻击者可使服务器逐字“进⼊或退出”⽬录并执⾏任意程序,该攻击即称为⽬录转换攻击。
Unicode⽤“%2f”和“%5c”分别代表“/”和“\”字符,但也可⽤“超长”序列来代替这些字符。“超长”序列是⾮法的Unicode表⽰符,如⽤“%c0%af”代表“/”字符。由于IIS不对超长序列进⾏检查,因此在URL中添加超长的Unicode序列后,可绕过微软的安全检查,如在⼀个标记为可执⾏的⽂件夹发出该请求,攻击者即可在服务器上运⾏可执⾏⽂件。
5. 简述缓冲区溢出攻击的原理。
答:
当⽬标操作系统收到了超过了它的能接收的最⼤信息量时,将发⽣缓冲区溢出。这些多余的数据使程序的缓冲区溢出,然后覆盖实际的程序数据。缓冲区溢出使⽬标系统的程序被修改,经过这种修改的结果将在系统上产⽣⼀个后门。最常见的⼿段是通过制造缓冲区溢出使程序运⾏⼀个⽤户shell,再通过shell执⾏其他命令,如果该shell有管理员权限,就可以对系统进⾏任意操作。
6. 简述拒绝服务的种类与原理。
答:
DoS(Denial of Service,拒绝服务)攻击,其⽬的是使⽬标计算机或⽹络⽆法提供正常的服务。最常见的DoS攻击是计算机⽹络带宽攻击和连通性攻击。带宽攻击是以极⼤的通信量冲击⽹络,使⽹络所有可⽤的带宽都被消耗掉,最后导致合法⽤户的请求⽆法通过。连通性攻击指⽤⼤量的连接请求冲击计算机,最终导致计算机⽆法再处理合法⽤户的请求。
9. 简述DDos的特点以及常⽤的攻击⼿段,如何防范?
答:
分布式拒绝服务攻击的特点是先使⽤⼀些典型的⿊客⼊侵⼿段控制⼀些⾼带宽的服务器,然后在这些服务器上安装攻击进程,集数⼗台,数百台甚⾄上千台机器的⼒量对单⼀攻击⽬标实施攻击。在悬殊的带
宽⼒量对⽐下,被攻击的主机会很快因不胜重负⽽瘫痪。分布式拒绝服务攻击技术发展⼗分迅速,由于其隐蔽性和分布性很难被识别和防御。
常⽤攻击⼿段及防范措施如下:
第⼀,破坏物理设备。这些物理设备包括:计算机、路由器、电源、冷却设备、⽹络配线室等。防范这种破坏的主要措施有:例⾏检查物理实体的安全;使⽤容错和冗余⽹络硬件的⽅法,必要时迅速实现物理设备切换,从⽽保证提供正常的应⽤服务。
第⼆,破坏配置⽂件。错误配置也会成为系统的安全隐患,这些错误配置常常发⽣在硬件装置、系统或应⽤程序中。如果攻击者侵⼊⽬标系统,更改了某些配置信息,⽬标系统很可能因配置不当⽽⽆法继续提供正常的服务。因此,管理员⾸先应该正确设置系统及相关软件的配置信息,并将这些敏感信息备份到软盘等安全介质上;利⽤Tripwire等⼯具的帮助及时发现配置⽂件的变化,并快速恢复这些配置信息保证系统和⽹络的正常运⾏。
第三,利⽤⽹络协议或系统的设计弱点和实现漏洞。SYN flooding攻击即是利⽤TCP/IP协议的设计弱点,即建⽴连接时的三次握⼿协议和该过程中资源的⾮对称分配,及IP欺骗。若要从根本上克服这些弱点,需要重新设计协议层,加⼊更多的安全控制机制。
若要在现有的⽹络构架中弥补这些弱点,可以采取上⾯介绍的半通明⽹关或主动监视技术。
第四,消耗系统资源。系统资源包括CPU资源,内存资源,磁盘空间,⽹络带宽等,攻击者利⽤资源有限的特点,恶意消耗系统资源,使系统⽆法提供正常的服务。Smurf,DDoS等都属于该类型。随着攻击技术的⽇新⽉异,智能型协作型的攻击⼯具的不断开发,信息的可⽤性⾯临着更为严峻的考验。安全专家对此深感忧虑,因为⼀旦发动DDoS攻击,⽬前没有什么快速有效的解决办法。
另外,全球⽹络管理员要管理好⾃⼰的⽹络,可以采取下⾯这些⾏之有效的防范措施: 1)及时地给系统打补丁,设置正确的安全策略;

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。