網(wǎng)絡安全技術簡答題參考模板

1、第1章 網(wǎng)絡安全概述與環(huán)境配置1. 網(wǎng)絡攻擊和防御分別包括哪些內容？答：攻擊技術主要包括以下幾個方面。（1）網(wǎng)絡監(jiān)聽：自己不主動去攻擊別人，而是在計算機上設置一個程序去監(jiān)聽目標計算機與其他計算機通信的數(shù)據(jù)。（2）網(wǎng)絡掃描：利用程序去掃描目標計算機開放的端口等，目的是發(fā)現(xiàn)漏洞，為入侵該計算機做準備。（3）網(wǎng)絡入侵：當探測發(fā)現(xiàn)對方存在漏洞后，入侵到目標計算機獲取信息。（4）網(wǎng)絡后門：成功入侵目標計算機后，為了實現(xiàn)對“戰(zhàn)利品”的長期控制，在目標計算機中種植木馬等后門。（5）網(wǎng)絡隱身：入侵完畢退出目標計算機后，將自己入侵的痕跡清除，從而防止被對方管理員發(fā)現(xiàn)。防御技術主要包括以下幾個方面。（1）安全操作

2、系統(tǒng)和操作系統(tǒng)的安全配置：操作系統(tǒng)是網(wǎng)絡安全的關鍵。（2）加密技術：為了防止被監(jiān)聽和數(shù)據(jù)被盜取，將所有的數(shù)據(jù)進行加密。（3）防火墻技術：利用防火墻，對傳輸?shù)臄?shù)據(jù)進行限制，從而防止被入侵。（4）入侵檢測：如果網(wǎng)絡防線最終被攻破，需要及時發(fā)出被入侵的警報。（5）網(wǎng)絡安全協(xié)議：保證傳輸?shù)臄?shù)據(jù)不被截獲和監(jiān)聽。2. 從層次上，網(wǎng)絡安全可以分成哪幾層？每層有什么特點？答：從層次體系上，可以將網(wǎng)絡安全分成4個層次上的安全：物理安全，邏輯安全，操作系統(tǒng)安全和聯(lián)網(wǎng)安全。物理安全主要包括5個方面：防盜，防火，防靜電，防雷擊和防電磁泄漏。邏輯安全需要用口令、文件許可等方法來實現(xiàn)。操作系統(tǒng)安全，操作系統(tǒng)必須能區(qū)分用戶

3、，以便防止相互干擾。操作系統(tǒng)不允許一個用戶修改由另一個賬戶產(chǎn)生的數(shù)據(jù)。聯(lián)網(wǎng)安全通過訪問控制服務和通信安全服務兩方面的安全服務來達到。（1）訪問控制服務：用來保護計算機和聯(lián)網(wǎng)資源不被非授權使用。（2）通信安全服務：用來認證數(shù)據(jù)機要性與完整性，以及各通信的可信賴性。（感覺如果說是特點的話這樣回答有點別扭。）3. 為什么要研究網(wǎng)絡安全？答：網(wǎng)絡需要與外界聯(lián)系，同時也就受到許多方面的威脅：物理威脅、系統(tǒng)漏洞造成的威脅、身份鑒別威脅、線纜連接威脅和有害程序威脅等。（可詳細展開）6. 網(wǎng)絡安全橙皮書是什么？包括哪些內容？答：1 / 19網(wǎng)絡安全橙皮書是根據(jù)美國國防部開發(fā)的計算機安全標準可信任計算機標準評價

4、準則（Trusted Computer Standards Evaluation Criteria，TCSEC），1985年橙皮書成為美國國防部的標準，多年以來它一直是評估多用戶主機和小型操作系統(tǒng)的主要方法。其他子系統(tǒng)（如數(shù)據(jù)庫和網(wǎng)絡）也一直用橙皮書來解釋評估。橙皮書把安全的級別從低到高分成4個類別：D類、C類、B類和A類，每類又分幾個級別，如表1-1所示。表1-1 安 全 級 別類 別級 別名 稱主 要 特 征DD低級保護沒有安全保護CC1自主安全保護自主存儲控制C2受控存儲控制單獨的可查性，安全標識BB1標識的安全保護強制存取控制，安全標識B2結構化保護面向安全的體系結構，較好的抗?jié)B透能力

5、B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA驗證設計形式化的最高級描述和驗證D級是最低的安全級別，擁有這個級別的操作系統(tǒng)就像一個門戶大開的房子，任何人都可以自由進出，是完全不可信任的。對于硬件來說，沒有任何保護措施，操作系統(tǒng)容易受到損害，沒有系統(tǒng)訪問限制和數(shù)據(jù)訪問限制，任何人不需任何賬戶都可以進入系統(tǒng)，不受任何限制可以訪問他人的數(shù)據(jù)文件。屬于這個級別的操作系統(tǒng)有DOS和Windows 98等。C1是C類的一個安全子級。C1又稱選擇性安全保護（Discretionary Security Protection）系統(tǒng)，它描述了一個典型的用在UNIX系統(tǒng)上安全級別。這種級別的系統(tǒng)對硬件又有某種程度的保護，

6、如用戶擁有注冊賬號和口令，系統(tǒng)通過賬號和口令來識別用戶是否合法，并決定用戶對程序和信息擁有什么樣的訪問權，但硬件受到損害的可能性仍然存在。用戶擁有的訪問權是指對文件和目標的訪問權。文件的擁有者和超級用戶可以改變文件的訪問屬性，從而對不同的用戶授予不通的訪問權限。C2級除了包含C1級的特征外，應該具有訪問控制環(huán)境（Controlled Access Environment）權力。該環(huán)境具有進一步限制用戶執(zhí)行某些命令或者訪問某些文件的權限，而且還加入了身份認證等級。另外，系統(tǒng)對發(fā)生的事情加以審計，并寫入日志中，如什么時候開機，哪個用戶在什么時候從什么地方登錄，等等，這樣通過查看日志，就可以發(fā)現(xiàn)入侵

7、的痕跡，如多次登錄失敗，也可以大致推測出可能有人想入侵系統(tǒng)。審計除了可以記錄下系統(tǒng)管理員執(zhí)行的活動以外，還加入了身份認證級別，這樣就可以知道誰在執(zhí)行這些命令。審計的缺點在于它需要額外的處理時間和磁盤空間。使用附加身份驗證就可以讓一個C2級系統(tǒng)用戶在不是超級用戶的情況下有權執(zhí)行系統(tǒng)管理任務。授權分級使系統(tǒng)管理員能夠給用戶分組，授予他們訪問某些程序的權限或訪問特定的目錄。能夠達到C2級別的常見操作系統(tǒng)有如下幾種：（1）UNIX系統(tǒng)；（2）Novell 3.X或者更高版本；（3）Windows NT，Windows 2000和Windows 2003。B級中有三個級別，B1級即標志安全保護（Labe

8、led Security Protection），是支持多級安全（例如：秘密和絕密）的第一個級別，這個級別說明處于強制性訪問控制之下的對象，系統(tǒng)不允許文件的擁有者改變其許可權限。安全級別存在秘密和絕密級別，這種安全級別的計算機系統(tǒng)一般在政府機構中，比如國防部和國家安全局的計算機系統(tǒng)。B2級，又叫結構保護（Structured Protection）級別，它要求計算機系統(tǒng)中所有的對象都要加上標簽，而且給設備（磁盤、磁帶和終端）分配單個或者多個安全級別。B3級，又叫做安全域（Security Domain）級別，使用安裝硬件的方式來加強域的安全，例如，內存管理硬件用于保護安全域免遭無授權訪問或更改

9、其他安全域的對象。該級別也要求用戶通過一條可信任途徑連接到系統(tǒng)上。A級，又稱驗證設計（Verified Design）級別，是當前橙皮書的最高級別，它包含了一個嚴格的設計、控制和驗證過程。該級別包含較低級別的所有的安全特性。第2章 網(wǎng)絡安全協(xié)議基礎2. 簡述TCP/IP協(xié)議族的基本結構，并分析每層可能受到的威脅及如何防御答：TCP/IP協(xié)議族包括4個功能層，自頂向下分別為：應用層、傳輸層、網(wǎng)絡層、網(wǎng)絡接口層。應用層中很多應用程序駐留并運行在此層，并且依賴于底層的功能，使得該層是最難保護的一層。簡單郵件傳輸協(xié)議（SMTP）容易受到的威脅是：郵件炸彈，病毒，匿名郵件和木馬等。保護措施是認證、附件病

10、毒掃描和用戶安全意識教育。文件傳輸協(xié)議（FTP）容易受到的威脅是：明文傳輸、黑客惡意傳輸非法使用等。保護的措施是不許匿名登錄，單獨的服務器分區(qū)，禁止執(zhí)行程序等。超文本傳輸協(xié)議（HTTP）容易受到的威脅是：惡意程序（ActiveX控件，ASP程序和CGI程序等）。傳輸層可能受到的威脅是拒絕服務（DOS）和分布式拒絕（DDOS）服務的攻擊，其中包括TCP SYN淹沒攻擊、SSL中間人攻擊、Land攻擊、UDP淹沒攻擊、端口掃描攻擊等，保護措施是正確設置客戶端SSL，使用防火墻對來源不明的有害數(shù)據(jù)進行過渡等。網(wǎng)絡層可能受到的威脅是IP欺騙攻擊，保護措施是使用防火墻過濾和打系統(tǒng)補丁。網(wǎng)絡接口層又可分為

11、數(shù)據(jù)鏈路層和物理層。數(shù)據(jù)鏈路層可能受到的威脅是內容錄址存儲器表格淹沒、VLAN中繼、操縱生成樹協(xié)議、MAC地址欺騙、ARP攻擊、專用VLAN、DHCP耗竭等。保護措施是，在交換機上配置端口安全選項可以防止CAM表淹沒攻擊。正確配置VLAN可以防止VLAN中繼攻擊。使用根目錄保護和BPDU保護加強命令來保持網(wǎng)絡中主網(wǎng)橋的位置不發(fā)生改變，可防止操縱生成樹協(xié)議的攻擊，同時也可以強化生成樹協(xié)議的域邊界。使用端口安全命令可以防止MAC欺騙攻擊。對路由器端口訪問控制列表（ACL）進行設置可以防止專用VLAN攻擊。通過限制交換機端口的MAC地址的數(shù)目，防止CAM表淹沒的技術也可以防止DHCP耗竭。物理層可能

12、受到的威脅是未授權用戶的接入（內部人員、外部人員）、物理盜竊、涉密信息被復制或破壞等等。保護措施主要體現(xiàn)在實時存檔和監(jiān)測網(wǎng)絡，提高通信線路的可靠性（線路備份、網(wǎng)管軟件、傳輸介質）、軟硬件設備安全性（替換設備、拆卸設備、增加設備）、防干擾能力，保證設備的運行環(huán)境（溫度、濕度、煙塵），不間斷電源保障，等等。5. 簡述常用的網(wǎng)絡服務及提供服務的默認端口。答：常見服務及提供服務的默認端口和對應的協(xié)議如下表所示端 口協(xié) 議服 務21TCPFTP服務25TCPSMTP服務53TCP/UDPDNS服務80TCPWeb服務135TCPRPC服務137UDPNetBIOS域名服務138UDPNetBIOS數(shù)據(jù)報

13、服務139TCPNetBIOS會話服務443TCP基于SSL的HTTP服務445TCP/UDPMicrosoft SMB服務3389TCPWindows終端服務第4章 網(wǎng)絡掃描與網(wǎng)絡監(jiān)聽2. 黑客在進攻的過程中需要經(jīng)過哪些步驟？目的是什么？答：黑客一次成攻的攻擊，可以歸納成基本的五個步驟：第一， 隱藏IP；第二， 踩點掃描；第三， 獲得系統(tǒng)或管理員權限；第四， 種植后門；第五， 在網(wǎng)絡中隱身。以上幾個步驟根據(jù)實際情況可以隨時調整。3. 簡述黑客攻擊和網(wǎng)絡安全的關系。答：黑客攻擊和網(wǎng)絡安全是緊密結合在一起的，研究網(wǎng)絡安全不研究黑客攻擊技術等同于紙上談兵，研究攻擊技術不研究網(wǎng)絡安全等同于閉門造車。

14、某種意義上說沒有攻擊就沒有安全，系統(tǒng)管理員可以利用常見的攻擊手段對系統(tǒng)進行檢測，并對相關的漏洞采取措施。網(wǎng)絡攻擊有善意也有惡意的，善意的攻擊可以幫助系統(tǒng)管理員檢查系統(tǒng)漏洞，惡意的攻擊可以包括：為了私人恩怨而攻擊，為了商業(yè)或個人目的獲得秘密資料而攻擊，為了民族仇恨而攻擊，利用對方的系統(tǒng)資源滿足自己的需求、尋求刺激、給別人幫忙，以及一些無目的攻擊。4. 為什么需要網(wǎng)絡踩點？答：踩點就是通過各種途徑對所要攻擊的目標進行盡可能的了解。常見的踩點方法包括：在域名及其注冊機構的查詢，公司性質的了解，對主頁進行分析，郵件地址的搜集和目標IP地址范圍查詢。踩點的目的就是探察對方的各方面情況，確定攻擊的時機。摸

15、清對方最薄弱的環(huán)節(jié)和守衛(wèi)最松散的時刻，為下一步的入侵提供良好的策略。5. 掃描分成哪兩類？每類有什么特點？可以使用哪些工具進行掃描、各有什么特點？答：掃描，一般分成兩種策略：一種是主動式策略，另一種是被動式策略。被動式策略是基于主機之上，對系統(tǒng)中不合適的設置、脆弱的口令及其他同安全規(guī)則抵觸的對象進行檢查，不會對系統(tǒng)造成破壞。主動式策略是基于網(wǎng)絡的，它通過執(zhí)行一些腳本文件模擬對系統(tǒng)進行攻擊的行為并記錄系統(tǒng)的反應，從而發(fā)現(xiàn)其中的漏洞，但是可能會對系統(tǒng)造成破壞。常見的掃描工具包括：第一，系統(tǒng)自帶的掃描工具如windows和linux中的ping，linux中的namp。這類工具操作簡單，大多工作在命

16、令行模式下。第二，開源的和免費的掃描工具如Nessus，X-scan，Netcat，X-port以及Google在2010年新推出的Skipfish等。這類掃描工具一般具有單一、獨特的功能，因此掃描速度極快、更新速度快、容易使用，由于其開源、免費的特點，使其具有更廣泛的影響力。第三，商用的掃描工具，如eEye公司的Retina，Network Associates的CyberCop Scanner以及Symantec 的NetRecon等?；旧洗蟛糠稚虡I(yè)掃描器都工作在黑盒模式，在這種模式下無法看到源代碼，以一個近似于滲透者或攻擊者的身份去看待需要評估的。在商業(yè)化應用中，對誤報、漏報的容忍程度

17、比較低。商用掃描器在精確掃描之后，會給出一些建議和手段來屏蔽。最初是提供一些修補建議，這種方式對專業(yè)人員來說有相當價值，但對于一些較薄弱或者比較懶惰的用戶，修補建議的作用就被忽略了。在新一代的商用掃描器中，提出了修補聯(lián)動的概念，通過發(fā)送注冊表去提示用戶，用戶雙擊注冊表，就可以導入需要修改、升級補丁的信息，并且還可以和WSUS進行聯(lián)動。這樣就可以基本上達到自動化的修補。6. 網(wǎng)絡監(jiān)聽技術的原理是什么？答：監(jiān)聽器Sniffer的原理是：在局域網(wǎng)中與其他計算機進行數(shù)據(jù)交換時，數(shù)據(jù)包發(fā)往所有的連在一起的主機，也就是廣播，在報頭中包含目的機的正確地址。因此只有與數(shù)據(jù)包中目的地址一致的那臺主機才會接收數(shù)據(jù)

18、包，其他的機器都會將包丟棄。但是，當主機工作在監(jiān)聽模式下時，無論接收到的數(shù)據(jù)包中目的地址是什么，主機都將其接收下來。然后對數(shù)據(jù)包進行分析，就得到了局域網(wǎng)中通信的數(shù)據(jù)。一臺計算機可以監(jiān)聽同一網(wǎng)段所有的數(shù)據(jù)包，不能監(jiān)聽不同網(wǎng)段的計算機傳輸?shù)男畔?。?章 網(wǎng)絡入侵1. 簡述社會工程學攻擊的原理。答：社會工程是使用計謀和假情報去獲得密碼和其他敏感信息的科學。研究一個站點的策略，就是盡可能多地了解這個組織的個體，因此黑客不斷試圖尋找更加精妙的方法從他們希望滲透的組織那里獲得信息。另一種社會工程的形式是黑客試圖通過混淆一個計算機系統(tǒng)去模擬一個合法用戶。3. 簡述暴力攻擊的原理。暴力攻擊如何破解操作系統(tǒng)的用

19、戶密碼、如何破解郵箱密碼、如何破解Word文檔的密碼？針對暴力攻擊應如何防御？答：暴力攻擊的原理：黑客使用枚舉的方法，使用運算能力較強的計算機，嘗試每種可能的字符破解密碼，這些字符包括大小寫、數(shù)字和通配符等。字典文件為暴力破解提供了一條捷徑，程序首先通過掃描得到系統(tǒng)的用戶，然后利用字典中每一個密碼來登錄系統(tǒng)，看是否成功，如果成功則顯示密碼。郵箱的密碼一般需要設置為8位以上，7位以下的密碼容易被破解。尤其7位全部是數(shù)字的密碼，更容易被破解。使用相應暴力破解軟件可以每秒50到100個密碼的速度進行匹配。破解Word文檔的密碼方法與破解郵箱密碼相似。進行適宜的安全設置和策略，通過結合大小寫字母、數(shù)字

20、和通配符組成健壯的密碼可以防御暴力攻擊。5. 簡述緩沖區(qū)溢出攻擊的原理。答：當目標操作系統(tǒng)收到了超過了它的能接收的最大信息量時，將發(fā)生緩沖區(qū)溢出。這些多余的數(shù)據(jù)使程序的緩沖區(qū)溢出，然后覆蓋實際的程序數(shù)據(jù)。緩沖區(qū)溢出使目標系統(tǒng)的程序被修改，經(jīng)過這種修改的結果將在系統(tǒng)上產(chǎn)生一個后門。最常見的手段是通過制造緩沖區(qū)溢出使程序運行一個用戶shell，再通過shell執(zhí)行其他命令，如果該shell有管理員權限，就可以對系統(tǒng)進行任意操作。6. 簡述拒絕服務的種類與原理。答：DoS（Denial of Service，拒絕服務）攻擊，其目的是使目標計算機或網(wǎng)絡無法提供正常的服務。最常見的DoS攻擊是計算機網(wǎng)絡

21、帶寬攻擊和連通性攻擊。帶寬攻擊是以極大的通信量沖擊網(wǎng)絡，使網(wǎng)絡所有可用的帶寬都被消耗掉，最后導致合法用戶的請求無法通過。連通性攻擊指用大量的連接請求沖擊計算機，最終導致計算機無法再處理合法用戶的請求。9. 簡述DDos的特點以及常用的攻擊手段，如何防范？答：分布式拒絕服務攻擊的特點是先使用一些典型的黑客入侵手段控制一些高帶寬的服務器，然后在這些服務器上安裝攻擊進程，集數(shù)十臺，數(shù)百臺甚至上千臺機器的力量對單一攻擊目標實施攻擊。在懸殊的帶寬力量對比下，被攻擊的主機會很快因不勝重負而癱瘓。分布式拒絕服務攻擊技術發(fā)展十分迅速，由于其隱蔽性和分布性很難被識別和防御。常用攻擊手段及防范措施如下：第一，破壞

22、物理設備。這些物理設備包括：計算機、路由器、電源、冷卻設備、網(wǎng)絡配線室等。防范這種破壞的主要措施有：例行檢查物理實體的安全；使用容錯和冗余網(wǎng)絡硬件的方法，必要時迅速實現(xiàn)物理設備切換，從而保證提供正常的應用服務。第二，破壞配置文件。錯誤配置也會成為系統(tǒng)的安全隱患，這些錯誤配置常常發(fā)生在硬件裝置、系統(tǒng)或應用程序中。如果攻擊者侵入目標系統(tǒng)，更改了某些配置信息，目標系統(tǒng)很可能因配置不當而無法繼續(xù)提供正常的服務。因此，管理員首先應該正確設置系統(tǒng)及相關軟件的配置信息，并將這些敏感信息備份到軟盤等安全介質上；利用Tripwire等工具的幫助及時發(fā)現(xiàn)配置文件的變化，并快速恢復這些配置信息保證系統(tǒng)和網(wǎng)絡的正常運

23、行。第三，利用網(wǎng)絡協(xié)議或系統(tǒng)的設計弱點和實現(xiàn)漏洞。SYN flooding攻擊即是利用TCP/IP協(xié)議的設計弱點，即建立連接時的三次握手協(xié)議和該過程中資源的非對稱分配，及IP欺騙。若要從根本上克服這些弱點，需要重新設計協(xié)議層，加入更多的安全控制機制。若要在現(xiàn)有的網(wǎng)絡構架中彌補這些弱點，可以采取上面介紹的半通明網(wǎng)關或主動監(jiān)視技術。第四，消耗系統(tǒng)資源。系統(tǒng)資源包括CPU資源，內存資源，磁盤空間，網(wǎng)絡帶寬等，攻擊者利用資源有限的特點，惡意消耗系統(tǒng)資源，使系統(tǒng)無法提供正常的服務。Smurf，DDoS等都屬于該類型。隨著攻擊技術的日新月異，智能型協(xié)作型的攻擊工具的不斷開發(fā)，信息的可用性面臨著更為嚴峻的考

24、驗。安全專家對此深感憂慮，因為一旦發(fā)動DDoS攻擊，目前沒有什么快速有效的解決辦法。 另外，全球網(wǎng)絡管理員要管理好自己的網(wǎng)絡，可以采取下面這些行之有效的防范措施：l1）及時地給系統(tǒng)打補丁，設置正確的安全策略；l2）定期檢查系統(tǒng)安全：檢查是否被安裝了DDoS攻擊程序，是否存在后門等；l3）建立資源分配模型，設置閾值，統(tǒng)計敏感資源的使用情況；l4）優(yōu)化路由器配置：（1）配置路由器的外網(wǎng)卡，丟棄那些來自外部網(wǎng)而源IP地址具有內部網(wǎng)絡地址的包；（2）配置路由器的內網(wǎng)卡，丟棄那些即將發(fā)到外部網(wǎng)而源IP地址不具有內部網(wǎng)絡地址的包；（3）設置TCP攔截；（4）限制TCP連接超時閾值；（5）禁止IP廣播包流入

25、內部網(wǎng)絡；（6）禁止外出的ICMP不可達消息；l5）由于攻擊者掩蓋行蹤的手段不斷加強，很難在系統(tǒng)級的日志文件中尋找到蛛絲馬跡。因此，第三方的日志分析系統(tǒng)能夠幫助管理員更容易地保留線索，順藤摸瓜，將肇事者繩之以法；l6）使用DNS來跟蹤匿名攻擊；l7）對于重要的WEB服務器，為一個域名建立多個鏡像主機。第6章 網(wǎng)絡后門與網(wǎng)絡隱身2. 如何留后門程序？列舉三種后門程序，并闡述原理及如何防御。答：網(wǎng)絡攻擊經(jīng)過踩點、掃描、入侵以后，如果攻擊成功，一般就可以拿到管理員密碼或者得到管理員權限。第一，Login后門。在Unix里，login程序通常用來對telnet來的用戶進行口令驗證。入侵者獲取login

26、。c的原代碼并修改，使它在比較輸入口令與存儲口令時先檢查后門口令。如果用戶敲入后門口令，它將忽視管理員設置的口令讓你長驅直入。這將允許入侵者進入任何賬號，甚至是root。由于后門口令是在用戶真實登錄并被日志記錄到utmp和wtmp前產(chǎn)生一個訪問的，所以入侵者可以登錄獲取shell卻不會暴露該賬號。管理員注意到這種后門后，便用“strings”命令搜索login程序以尋找文本信息。許多情況下后門口令會原形畢露。入侵者就開始加密或者更好的隱藏口令，使strings命令失效。所以更多的管理員是用MD5校驗和檢測這種后門的。第二，線程插入后門。這種后門在運行時沒有進程，所有網(wǎng)絡操作均播入到其他應用程序

27、的進程中完成。也就是說，即使受控制端安裝的防火墻擁有“應用程序訪問權限”的功能，也不能對這樣的后門進行有效的警告和攔截，也就使對方的防火墻形同虛設！這種后門本身的功能比較強大，是現(xiàn)在非常主流的一種，對它的查殺比較困難，很讓防護的人頭疼。第三，網(wǎng)頁后門。網(wǎng)頁后門其實就是一段網(wǎng)頁代碼，主要以ASP和PHP代碼為主。由于這些代碼都運行在服務器端，攻擊者通過這段精心設計的代碼，在服務器端進行某些危險的操作，獲得某些敏感的技術信息或者通過滲透，提權獲得服務器的控制權。并且這也是攻擊者控制服務器的一條通道，比一般的入侵更具有隱蔽性。防御后門的方法主要有：建立良好的安全習慣，關閉或刪除系統(tǒng)中不需要的服務，經(jīng)

28、常升級安全補丁，設置復雜的密碼，迅速隔離受感染的計算機，經(jīng)常了解一些反病毒資訊，安裝專業(yè)的防毒軟件進行全面監(jiān)控等。4. 簡述木馬由來，并簡述木馬和后門的區(qū)別。答：“木馬”一詞來自于“特洛伊木馬”，英文名稱為Trojan Horse。傳說希臘人圍攻特洛伊城，久久不能攻克，后來軍師想出了一個特洛伊木馬計，讓士兵藏在巨大的特洛伊木馬中，部隊假裝撤退而將特洛伊木馬丟棄在特洛伊城下，讓敵人將其作為戰(zhàn)利品拖入城中，到了夜里，特洛伊木馬內的士兵便趁著夜里敵人慶祝勝利、放松警惕的時候從特洛伊木馬里悄悄地爬出來，與城外的部隊里應外合攻下了特洛伊城。由于特洛伊木馬程序的功能和此類似，故而得名。本質上，木馬和后門都

29、是提供網(wǎng)絡后門的功能，但是木馬的功能稍微強大一些，一般還有遠程控制的功能，后門程序則功能比較單一，只是提供客戶端能夠登錄對方的主機。第7章 惡意代碼分析與防治2. 簡述惡意代碼長期存在的原因。答：在信息系統(tǒng)的層次結構中，包括從底層的操作系統(tǒng)到上層的網(wǎng)絡應用在內的各個層次都存在著許多不可避免的安全問題和安全脆弱性。而這些安全脆弱性的不可避免，直接導致了惡意代碼的必然存在。3. 惡意代碼是如何定義，可以分成哪幾類？答：惡意代碼的定義隨著計算機網(wǎng)絡技術的發(fā)展逐漸豐富，Grimes 將惡意代碼定義為，經(jīng)過存儲介質和網(wǎng)絡進行傳播，從一臺計算機系統(tǒng)到另外一臺計算機系統(tǒng)，未經(jīng)授權認證破壞計算機系統(tǒng)完整性的程

30、序或代碼。它可以分成以下幾種類型：計算機病毒(Computer Virus)、蠕蟲(Worms)、特洛伊木馬(Trojan Horse)、邏輯炸彈(Logic Bombs)、病菌(Bacteria)、用戶級RootKit、核心級RootKit、腳本惡意代碼(Malicious Scripts)和惡意ActiveX 控件。4. 說明惡意代碼的作用機制的6個方面，并圖示惡意代碼攻擊模型。答：惡意代碼的整個作用過程分為6個部分：侵入系統(tǒng)。侵入系統(tǒng)是惡意代碼實現(xiàn)其惡意目的的必要條件。惡意代碼入侵的途徑很多，如：從互聯(lián)網(wǎng)下載的程序本身就可能含有惡意代碼；接收已經(jīng)感染惡意代碼的電子郵件；從光盤或軟盤往系統(tǒng)

31、上安裝軟件；黑客或者攻擊者故意將惡意代碼植入系統(tǒng)等。維持或提升現(xiàn)有特權。惡意代碼的傳播與破壞必須盜用用戶或者進程的合法權限才能完成。隱蔽策略。為了不讓系統(tǒng)發(fā)現(xiàn)惡意代碼已經(jīng)侵入系統(tǒng)，惡意代碼可能會改名、刪除源文件或者修改系統(tǒng)的安全策略來隱藏自己。潛伏。惡意代碼侵入系統(tǒng)后，等待一定的條件，并具有足夠的權限時，就發(fā)作并進行破壞活動。破壞。惡意代碼的本質具有破壞性，其目的是造成信息丟失、泄密，破壞系統(tǒng)完整性等。重復至對新的目標實施攻擊過程。惡意代碼的攻擊模型如下圖所示。第8章 安全操作系統(tǒng)基礎1. 簡述操作系統(tǒng)賬號密碼的重要性，有幾種方法可以保護密碼不被破解或者被盜??？答：標識與鑒別是涉及系統(tǒng)和用戶的

32、一個過程，可將系統(tǒng)賬號密碼視為用戶標識符及其鑒別。標識就是系統(tǒng)要標識用戶的身份，并為每個用戶取一個系統(tǒng)可以識別的內部名稱用戶標識符。用戶標識符必須是惟一的且不能被偽造，防止一個用戶冒充另一個用戶。將用戶標識符與用戶聯(lián)系的過程稱為鑒別，鑒別過程主要用以識別用戶的真實身份，鑒別操作總是要求用戶具有能夠證明他的身份的特殊信息，并且這個信息是秘密的，任何其他用戶都不能擁有它。較安全的密碼應是不小于6個字符并同時含有數(shù)字和字母的口令，并且限定一個口令的生存周期。另外生物技術是一種比較有前途的鑒別用戶身份的方法，如利用指紋、視網(wǎng)膜等，目前這種技術已取得了長足進展，逐步進入了應用階段。2. 簡述審核策略、密

33、碼策略和賬戶策略的含義，以及這些策略如何保護操作系統(tǒng)不被入侵。答：審核策略：安全審核是Windows 2000最基本的入侵檢測方法。當有人嘗試對系統(tǒng)進行某種方式（如嘗試用戶密碼，改變賬戶策略和未經(jīng)許可的文件訪問等）入侵時，都會被安全審核記錄下來。密碼策略：密碼對系統(tǒng)安全非常重要，密碼策略用于保證密碼的安全性。其策略包括：“密碼復雜性要求”是要求設置的密碼必須是數(shù)字和字母的組合；“密碼長度最小值”是要求密度長度至少為6位；“密碼最長存留期15天”是要求當該密碼使用超過15天以后，就自動要求用戶修改密碼；“強制密碼歷史”是要求當前設置的密碼不能和前面5次的密碼相同。賬號策略：開啟賬戶策略可以有效防

34、止字典式攻擊。賬號策略包括：復位賬戶鎖定計數(shù)器，賬戶鎖定時間，賬戶鎖定閾值等策略。如賬戶鎖定閾值等于5，賬戶鎖定時間等于30分鐘，則當某一用戶連續(xù)嘗試5次登錄都失敗后將自動鎖定該賬戶，30分鐘后自動復位被鎖定的賬戶。第10章 防火墻與入侵檢測1. 什么是防火墻？古時候的防火墻和目前通常說的防火墻有什么聯(lián)系和區(qū)別？答：防火墻的本義原指古代人們的房屋之間修建的墻，這道墻可以防止火災發(fā)生時蔓延到別的房屋?，F(xiàn)今防火墻不是指為了防火而造的墻，而是指隔離在本地網(wǎng)絡與外界網(wǎng)絡之間的一道防御系統(tǒng)。在互聯(lián)網(wǎng)上，防火墻是一種非常有效的網(wǎng)絡安全系統(tǒng)，通過它可以隔離風險區(qū)域（Internet或有一定風險的網(wǎng)絡）與安全

35、區(qū)域（局域網(wǎng)）的連接，同時不會妨礙安全區(qū)域對風險區(qū)域的訪問?？梢姡还芄糯徒裉斓姆阑饓?，在安全意義上都是在防范某種特定的風險。2. 簡述防火墻的分類，并說明分組過濾防火墻的基本原理。答：常見的防火墻有3種類型：分組過濾防火墻，應用代理防火墻，狀態(tài)檢測防火墻。分組過濾防火墻基本原理如下：數(shù)據(jù)包過濾可以在網(wǎng)絡層截獲數(shù)據(jù)。使用一些規(guī)則來確定是否轉發(fā)或丟棄各個數(shù)據(jù)包。通常情況下，如果規(guī)則中沒有明確允許指定數(shù)據(jù)包的出入，那么數(shù)據(jù)包將被丟棄。分組過濾防火墻審查每個數(shù)據(jù)包以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于可以提供給IP轉發(fā)過程的包頭信息。包頭信息中包括IP源地址、IP目的地址、內部協(xié)議（T

36、CP，UDP或ICMP）、TCP、UDP目的端口和ICMP消息類型等。如果包的信息匹配所允許的數(shù)據(jù)包，那么該數(shù)據(jù)包便會按照路由表中的信息被轉發(fā)。如果不匹配規(guī)則，用戶配置的默認參數(shù)會決定是轉發(fā)還是丟棄數(shù)據(jù)包。3. 常見防火墻模型有哪些？比較它們的優(yōu)缺點。答：常見防火墻系統(tǒng)一般按照4種模型構建：篩選路由器模型、單宿主堡壘主機（屏蔽主機防火墻）模型、雙宿主堡壘主機模型（屏蔽防火墻系統(tǒng)模型）和屏蔽子網(wǎng)模型。第一，篩選路由器模型是網(wǎng)絡的第一道防線，功能是實施包過濾。創(chuàng)建相應的過濾策略時對工作人員的TCP/IP的知識有相當?shù)囊螅绻Y選路由器被黑客攻破，那么內部網(wǎng)絡將變得十分危險。該防火墻不能夠隱藏內部

37、網(wǎng)絡的信息、不具備監(jiān)視和日志記錄功能。第二，單宿主堡壘主機（屏蔽主機防火墻）模型由包過濾路由器和堡壘主機組成。該防火墻系統(tǒng)提供的安全等級比包過濾防火墻系統(tǒng)要高，它實現(xiàn)了網(wǎng)絡層安全（包過濾）和應用層安全（代理服務）。單宿主堡壘主機在內部網(wǎng)絡和外部網(wǎng)絡之間，具有防御進攻的功能，通常充當網(wǎng)關服務。優(yōu)點是安全性比較高，但是增加了成本開銷和降低了系統(tǒng)性能，并且對內部計算機用戶也會產(chǎn)生影響。第三，雙宿主堡壘主機模型（屏蔽防火墻系統(tǒng)）可以構造更加安全的防火墻系統(tǒng)。雙宿主堡壘主機有兩種網(wǎng)絡接口，但是主機在兩個端口之間直接轉發(fā)信息的功能被關掉了。在物理結構上強行使所有去往內部網(wǎng)絡的信息必須經(jīng)過堡壘主機。雙宿主堡

38、壘主機是惟一能從外部網(wǎng)上直接訪問的內部系統(tǒng)，所以有可能受到攻擊的主機就只有堡壘主機本身。但是，如果允許用戶注冊到堡壘主機，那么整個內部網(wǎng)絡上的主機都會受到攻擊的威脅，所以一般禁止用戶注冊到堡壘主機。第四，屏蔽子網(wǎng)模型用了兩個包過濾路由器和一個堡壘主機，它是最安全的防火墻系統(tǒng)之一，因為在定義了“中立區(qū)”（Demilitarized Zone，DMZ）網(wǎng)絡后，它支持網(wǎng)絡層和應用層安全功能。第11章 IP安全與Web安全1. 說明IP安全的必要性。答：大型網(wǎng)絡系統(tǒng)內運行多種網(wǎng)絡協(xié)議（TCP/IP、IPX/SPX和NETBEUA等），這些網(wǎng)絡協(xié)議并非為安全通信設計。而其IP協(xié)議維系著整個TCP/IP協(xié)

39、議的體系結構，除了數(shù)據(jù)鏈路層外，TCP/IP的所有協(xié)議的數(shù)據(jù)都是以IP數(shù)據(jù)報的形式傳輸?shù)?，目前占統(tǒng)治地位的是IPv4。IPv4在設計之初沒有考慮安全性，IP包本身并不具備任何安全特性，導致在網(wǎng)絡上傳輸?shù)臄?shù)據(jù)很容易受到各式各樣的攻擊：比如偽造IP包地址、修改其內容、重播以前的包以及在傳輸途中攔截并查看包的內容等。因此，通信雙方不能保證收到IP數(shù)據(jù)報的真實性。所以說，IP安全具有很大的必要性。2. 簡述IP安全的作用方式。答：IPSec是IPv6的一個組成部分，是IPv4的一個可選擴展協(xié)議。IPSec彌補了IPv4在協(xié)議設計時缺乏安全性考慮的不足。IPSec定義了一種標準的、健壯的以及包容廣泛的機制，可用它為IP以及上層協(xié)議（比如TCP或者UDP）提供安全保證。IPSec的目標是為IPv4和IPv6提供具有較強的互操作能力、高質量和基于密碼的安全功能，在IP層實現(xiàn)多種安全服務，包括訪問控制、數(shù)據(jù)完整性、機密性等。IPSec通過支持一系列加密算法如DES、三重DES、IDEA和AES等確保通信雙方的機密性