網(wǎng)絡(luò)安全簡答題答案.doc

1、什么是主動攻擊？什么是被動攻擊？答：主動攻擊：攻擊者偽裝、重放、篡改信息流，甚至造成DoS攻擊，試圖改寫或者添加數(shù)據(jù)流，改變系統(tǒng)資源或影響系統(tǒng)操作。被動攻擊：攻擊者只是觀察和分析觀察和分析某個協(xié)議數(shù)據(jù)單元，試圖竊聽或監(jiān)聽數(shù)據(jù)流，而不篡改信息資源。2、電子郵件存在哪些安全性問題？答：電子郵件安全問題如下：（1）垃圾郵件包括廣告郵件、騷擾郵件、連鎖郵件、反動郵件等。垃圾郵件會增加網(wǎng)絡(luò)負(fù)荷，影響網(wǎng)絡(luò)傳輸速度，占用郵件服務(wù)器的空間。（2）詐騙郵件通常指那些帶有惡意的欺詐性郵件。利用電子郵件的快速、便宜，發(fā)信人能迅速讓大量受害者上當(dāng)。（3）郵件炸彈指在短時間內(nèi)向同一信箱發(fā)送大量電子郵件的行為，信箱不能承受時就會崩潰。（4）通過電子郵件傳播的病毒通常用VBScript編寫，且大多數(shù)采用附件的形式夾帶在電子郵件中。當(dāng)收信人打開附件后，病毒會查詢他的通訊簿，給其上所有或部分人發(fā)信，并將自身放入附件中，以此方式繼續(xù)傳播擴散。3、簡述包過濾防火墻的過濾原理是什么？答：包過濾防火墻也稱分組過濾路由器，又叫網(wǎng)絡(luò)層防火墻，它一般是通過檢查單個包的地址、協(xié)議、端口等信息來決定是否允許此數(shù)據(jù)包通過，有靜態(tài)和動態(tài)兩種過濾方式。這種防火墻可以提供內(nèi)部信息以說明所通過的連接狀態(tài)和一些數(shù)據(jù)流的內(nèi)容，把判斷的信息同規(guī)則表進行比較，在規(guī)則表中定義了各種規(guī)則來表明是否同意或拒絕包的通過。包過濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會使用默認(rèn)規(guī)則執(zhí)行丟棄該數(shù)據(jù)包操作。在制定數(shù)據(jù)包過濾規(guī)則時，數(shù)據(jù)包是雙向的。4、答：數(shù)字簽名通過如下的流程進行：(1) 采用散列算法對原始報文進行運算，得到一個固定長度的數(shù)字串，稱為報文摘要(Message Digest)，不同的報文所得到的報文摘要各異，但對相同的報文它的報文摘要卻是惟一的。在數(shù)學(xué)上保證，只要改動報文中任何一位，重新計算出的報文摘要值就會與原先的值不相符，這樣就保證了報文的不可更改性。(2) 發(fā)送方用目己的私有密鑰對摘要進行加密來形成數(shù)字簽名。(3) 這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給接收方。 (4) 接收方首先對接收到的原始報文用同樣的算法計算出新的報文摘要，再用發(fā)送方的公開密鑰對報文附件的數(shù)字簽名進行解密，比較兩個報文摘要，如果值相同，接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，否則就認(rèn)為收到的報文是偽造的或者中途被篡改。5、灰鴿子是一款什么軟件？能夠?qū)崿F(xiàn)什么功能。答：灰鴿子就是一款遠程控制和管理計算機的工具。它的功能有：（1）對遠程計算機文件管理：模枋 Windows 資源管理器，可以對文件進行復(fù)制、粘貼、刪除，重命名、遠程運行等,可以上傳下載文件或文件夾,操作簡單易用。（2）遠程控制命令：查看遠程系統(tǒng)信息、剪切板查看、進程管理、窗口管理、鍵盤記錄、服務(wù)管理、共享管理、代理服務(wù)。（3）捕獲屏幕：不但可以連繼的捕獲遠程電腦屏幕，還能把本地的鼠標(biāo)及鍵盤傳動作送到遠程實現(xiàn)實時控制功能！ （4）視頻監(jiān)控，可以監(jiān)控遠程控制頭！,還有語音監(jiān)聽和發(fā)送功能?。?）命令廣播：可以對自動上線主機進行命令播，如關(guān)機、重啟、打開網(wǎng)頁，篩選符合條件的機等，點一個按鈕就可以讓N臺機器同時關(guān)機或其它操作。（6） 鍵盤記錄：可以記錄遠程計算機通過鍵盤輸入的所有信息。（7）代理服務(wù)：可以讓服務(wù)端開放Socks5和http代理服務(wù)器。四、簡答題 1、簡述IP欺騙的原理及過程。答：角色設(shè)定：攻擊者X、攻擊目標(biāo)A、冒充對象B；A基于IP地址信任B。 IP欺騙過程為： 1）X對B實施巨拒絕服務(wù)攻擊，使其暫時喪失反應(yīng)能力； 2）X連接A的某個端口（例如SMTP等），試探其ISN變化規(guī)律，以估算下一次連接時A的ISN值；。 3）X連接A的服務(wù)端口，發(fā)送SYN數(shù)據(jù)包，源IP偽裝成B，X的ISN為m； 4）A向B返回SYN+ACK，A的ISN為n，應(yīng)答號為m+1； 5）等待恰當(dāng)?shù)臅r間，X向A發(fā)送ACK，源IP為B，X的應(yīng)答號為n+1，其中A的ISN值n是X估算出來的。2、什么是蜜罐？蜜罐的主要技術(shù)有哪些？（5分）蜜罐是一種在互聯(lián)網(wǎng)上運行的計算機系統(tǒng)。它是專門為吸引并誘騙那些試圖非法闖入他人計算機系統(tǒng)的人而設(shè)計的，蜜罐系統(tǒng)是一個包含漏洞的誘騙系統(tǒng)，它通過模擬一個或多個易受攻擊的主機，給攻擊者提供一個容易攻擊的目標(biāo)。蜜罐的主要技術(shù)有網(wǎng)絡(luò)欺騙、端口重定向、報警、數(shù)據(jù)控制和數(shù)據(jù)捕獲等。3、簡述TCP SYN洪泛攻擊的原理。答：洪泛攻擊時利用TCP的三次握手過程實現(xiàn)的，攻擊者偽造大量的源IP地址不存在的TCP SYN數(shù)據(jù)包發(fā)送給攻擊目標(biāo)，攻擊目標(biāo)在收到SYN數(shù)據(jù)包后，會回復(fù)SYN+ACK，并等待對方的ACK數(shù)據(jù)包，因為源IP地址是不存在的，故不會有ACK數(shù)據(jù)包的到達，連接處于等待狀態(tài)，并消耗服務(wù)器內(nèi)存及網(wǎng)絡(luò)資源，導(dǎo)致目標(biāo)主機無法處理正常請求。4.一般病毒、木馬程序、蠕蟲病毒在定義上的區(qū)別。答：(1) 計算機病毒的定義為：編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。 (2) 木馬程序的定義為：木馬是一種在遠程計算機之間建立起連接，使遠程計算機能夠通過網(wǎng)絡(luò)控制本地計算機的程序。 (3) 蠕蟲病毒的定義為：蠕蟲病毒是自包含的程度，它能傳播它自身功能的拷貝或它的某些部分到其他的計算機系統(tǒng)中，蠕蟲不將自身附著到宿主程序，它是一種獨立只能程度，對網(wǎng)絡(luò)造成拒絕服務(wù)。5.簡述異常入侵檢測的原理。異常入侵檢測的基本思想是：假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正?！毙袨樘卣鬏喞ㄟ^比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為輪廓來判斷是否發(fā)生了入侵。6.SQL注入攻擊的過程。答：尋找注入點，判斷數(shù)據(jù)庫類型，構(gòu)造查詢語句，猜解表名、字段名、字段值，尋找后臺登陸界面，獲取管理員權(quán)限。7. 簡述利用ARP欺騙進行中間人攻擊的過程答：假設(shè)通信雙方為A和B。中間人為M。中間人攻擊的過程為：M冒充B向A發(fā)送虛假的ARP響應(yīng)報文，報文內(nèi)容為IPB對應(yīng)得物理地址為MACM，A受到該報文后更新ARP緩存。同理，M冒充A向B發(fā)送虛假的ARP響應(yīng)報文，報文內(nèi)容為IPA對應(yīng)得物理地址為MACM，B受到該報文后更新ARP緩存。A向B發(fā)送數(shù)據(jù)報時，數(shù)據(jù)報首部封裝的物理地址為MACM，數(shù)據(jù)報發(fā)送給了M，M截獲數(shù)據(jù)報內(nèi)容，再轉(zhuǎn)發(fā)給B。同理，B向A發(fā)送數(shù)據(jù)報時，數(shù)據(jù)報首部封裝的物理地址為MACM，數(shù)據(jù)報發(fā)送給了M，M截獲數(shù)據(jù)報內(nèi)容，再轉(zhuǎn)發(fā)給A。A和B 之間的通信都經(jīng)過了中間人M。論述：就你學(xué)過的網(wǎng)絡(luò)安全知識，綜合分析網(wǎng)絡(luò)上某大的網(wǎng)絡(luò)安全事件中的安全隱患有哪些？在我們的日常網(wǎng)絡(luò)行為中，我們自己該如何保護個人信息的安全性？答：我們看到的安全隱患主要有網(wǎng)絡(luò)安全隱患、物理安全隱患和網(wǎng)絡(luò)設(shè)備自身安全三大類，在進行細分的話可以有設(shè)備后門、操作不規(guī)范隱患、弱口令、病毒、黑客安全隱患、數(shù)據(jù)下載和數(shù)據(jù)存儲安全隱患、文件共享和用戶權(quán)限安全隱患等等。在日常網(wǎng)絡(luò)行為中，要保護個人信息的安全性，我們盡量做到以下幾點：（1）經(jīng)常清理瀏覽器緩存 （2）設(shè)置受限站點 （3）加密重要的郵件 （4）經(jīng)常更換密碼 （5）使用加密軟件保護硬盤上的重要信息 （6）不透露過多的個人信息 （7）檢查您的電腦是否具有足夠的安全措施 4、 簡述分布式拒絕服務(wù)攻擊的步驟。對付DDOS的攻擊的方法有哪些？結(jié)合實際情況，如果你的系統(tǒng)正在遭受DDOS攻擊，你準(zhǔn)備怎么做？答：分布式拒絕服務(wù)攻擊的步驟：（1）攻擊者使用掃描工具探測掃描大量主機以尋找潛在入侵目標(biāo)。（2）黑客設(shè)法入侵有安全漏洞的主機并獲取控制權(quán)。這些主機將被用于放置后門、sniffer或守護程序甚至是客戶程序。（3）黑客在得到入侵計算機清單后，從中選出滿足建立網(wǎng)絡(luò)所需要的主機，放置已編譯好的守護程序，并對被控制的計算機發(fā)送命令。 （4）Using Client program,黑客發(fā)送控制命令給主機，準(zhǔn)備啟動對目標(biāo)系統(tǒng)的攻擊（5）主機發(fā)送攻擊信號給被控制計算機開始對目標(biāo)系統(tǒng)發(fā)起攻擊。（6）目標(biāo)系統(tǒng)被無數(shù)的偽造的請求所淹沒，從而無法對合法用戶進行響應(yīng)，DDOS攻擊成功。對付DDOS的攻擊的方法：（1）定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點，清查可能存在的安全漏洞。對新出現(xiàn)的漏洞及時進行清理。骨干節(jié)點的計算機因為具有較高的帶寬，是黑客利用最佳位置，因此對這些主機本身加強主機安全是非常重要的。（2）在骨干節(jié)點上的防火墻的配置至關(guān)重要。防火墻本身能抵御DDOS攻擊和其它一些攻擊。在發(fā)現(xiàn)受到攻擊的時候，可以將攻擊導(dǎo)向一些犧牲主機，這樣保護真正的主機不被癱瘓。（3）用足夠的機器承受黑客攻擊。這是一種較為理想的應(yīng)對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒。（4）使用Inexpress、Express Forwarding過濾不必要的服務(wù)和端口，即在路由器上過濾假IP。比如Cisco公司的CEF（Cisco Express Forwarding）可以針對封包 Source IP 和 Routing Table 做比較，并加以過濾。（5）充分利用網(wǎng)絡(luò)設(shè)備保護網(wǎng)絡(luò)資源。所謂網(wǎng)絡(luò)設(shè)備是指路由器、防火墻等負(fù)載均衡設(shè)備，它們可將網(wǎng)絡(luò)有效地保護起來。當(dāng)網(wǎng)絡(luò)被攻擊時最先死掉的是路由器，但其他機器沒有死。死掉的路由器經(jīng)重啟后會恢復(fù)正常，而且啟動起來還很快，沒有什么損失。若其他服務(wù)器死掉，其中的數(shù)據(jù)會丟失，而且重啟服務(wù)器又是一個漫長的過程。（6）使用Unicast Reverse Path Forwarding檢查訪問者的來源。它通過反向路由表查詢的方法檢查訪問者的IP地址是否是真，如果是