网络安全.docx
《网络安全.docx》由会员分享,可在线阅读,更多相关《网络安全.docx(7页珍藏版)》请在冰豆网上搜索。
网络安全
第五章:
1、什么是缓冲区?
缓冲区是计算机内存中的一个连续块,保存了给定类型的数据。
3、简述缓冲区溢出攻击的基本原理:
向缓冲区中写入超长的、预设的内容,导致缓冲区溢出,覆盖其他正常的数据,然后让计算机转去运行这行预设的程序,达到执行非法操作、实现攻击的目的。
4、缓冲区溢出攻击的一般目标是什么?
5、要让程序跳转到安排好的地址空间执行,一般有哪些方法?
函数指针激活记录
长跳转缓冲区植入码和流程控制
6、为什么缓冲区溢出会成为操作系统、数据库等应用程序最普遍的漏洞之一?
大多数操作系统、数据库的开发都依赖于C语言,而C程序本身存在不安全性,使得缓冲区溢出攻击利用了程序中边界条件、函数指针等设计不当的漏洞。
10、UNIX系统下,怎样使黑客即使成功溢出也不能获得root权限?
第六章:
1、程序攻击方法有哪些?
试说明什么叫逻辑炸弹?
什么叫病毒?
什么叫后门?
什么叫特洛伊木马?
答:
方法:
逻辑炸弹攻击、植入后门、病毒攻击、特洛伊木马攻击、其他程序攻击(邮件炸弹、IE攻击等)
病毒:
编制或在电脑程序中插入的破坏功能或者破坏数据,影响电脑使用并且能够自我复制的一组电脑指令或程序代码
逻辑炸弹:
是一种隐藏于计算机系统中以某种方式触发后对计算机系统硬件、软件或数据进行恶意破坏的程序代码。
(以特定方式触发:
时间、特定操作等)
后门:
是计算机入侵者攻击网上其他计算机成功后,为方便下次再进入而采取的一些欺骗手段和程序。
特洛伊木马:
是指附着在应用程序中或者单独存在的一些恶意程序,它利用网络远程响应网络另一端的控制程序的控制命令,实现对感染木马程序的计算机的控制或者窃取其机密资料。
2、逻辑炸弹与病毒有哪些相同点和不同点?
答:
共同点:
1)都具有隐蔽性,用户一般不会察觉;
2)具有攻击性,发作后会干扰屏幕显示,或降低电脑运行速度,或删除程序,或破坏数据。
不同点:
1、病毒具有“传染性”,而逻辑炸弹是没有“传染性”的。
2、逻辑炸弹的逻辑条件具有不可控制的意外性,逻辑炸弹本身虽然不具备传播性,但是诱因的传播是不可控的,由于逻辑炸弹还原和清除更加困难。
3、蠕虫与病毒有哪些相同点和不同点?
4、试画出模拟Morris蠕虫病毒主题程序代码的工作流程图
5、后门的作用是什么?
常用的后门制作方法有哪些?
你能否试验性的在自己的计算机上制作后门?
7、按照特洛伊木马的发展过程可把特洛伊木马分为哪几类?
这几类木马的主要特点是什么?
8、为什么后来的木马制作者制作出反弹式木马?
反弹式木马工作原理?
画出其工作流程图
第九章
1、访问控制包含的内容?
用户身份的识别和认证、对访问的控制、审计跟踪
2、身份认证包含哪些信息?
用户所知道的
用户所拥有的
用户本身的特征
根据特定时间(地点)
通过信任的第三方
3、口令认证技术的认证方法?
提高口令认证技术的安全性方法?
提高方法:
采用通讯稿短语代替通行字,通过密码碾压技术,可将易于记忆的足够长的短语变换成较短的随机性密钥
4、网络的物理隔离技术包含哪些方面?
他们各自采用什么技术?
5、什么叫自主访问控制?
自主房访问控制的方法有哪些?
类型?
6、为什么自主访问控制无法抵御木马攻击?
举例
7、什么是强制访问控制方法?
如何防止木马的非法访问?
8、简述bell-lapadual模型的安全策略,举例
第十章
1、经典安全模型中的参考监视器的基本功能是什么?
(1)参考功能:
用于评价由主体发出的访问请求,而参考监视器使用一个授权数据库来决定是否接受或拒绝收到的请求。
(2)控制对授权数据库改变的授权功能,通过改变对授权数据库的配置来改变主体的访问权限
2、防火墙规则的处理方式中,“reject”和“drop”的区别?
Reject:
拒绝数据包或信息通过,并且通知信息源该信息被禁止
Drop:
直接将数据包丢弃,并且不通知信息源
3、防火墙产品的两条基本原则?
(只采用其中一种)
(1)一切未被允许的就是禁止的(安全性高,但限制了用户能使用的服务种类,缺乏方便性)
(2)一起未被禁止的就是允许的(使用方便、规则配置灵活、安全性低)
4、源IP=192.168.1.1目的IP=192.168.2.1协议=TCP源端口>1024目的端口=80
表示怎样的数据包?
表示该数据包是由IP地址为192.168.1.1的主机发送、由IP为192.168.2.1的主机接收的一个tcp包,其产生的数据包应用程序占用1024以上端口,需要传递至80号端口的应用程序。
(小于1024表示传递到系统端口)
5、在路由器上设置过滤条件时,由外部网络进入内部网络的数据包流向,对于路由器的外部网络接口来说其信息流向是_____向内________,而对于内部网络接口来说其信息流向是___向外___
第十一章
1、入侵检测系统检测的入侵内容主要什么?
外部攻击检测和内部特权滥用检测。
外部攻击与入侵是指来自外部网络非法的威胁性访问或破坏,外部攻击检测的重点在于检测来自于外部的攻击或入侵;内部特权滥用是指网络的合法用户在不正常的行为下获得了特殊的网络权限并实施威胁性访问或破坏,内部特权滥用检测的重点集中于观察授权用户的活动。
2、入侵检测系统按引擎类别分,可以划分几种类型?
那些引擎是实现方法是什么?
异常检测。
方法:
以历史数据或期望值为基础,为各个主体、对象的行为定义变量与该变量的基值,利用加权函数组合变量得出综合变量值,并在此基础上,将入侵定义为出现了任何与期望值将比较有不可接受的偏差。
模式匹配。
方法:
根据已知的入侵定义由独立的事件、事件的序列、时间临界值等通用规则组成的入侵模式,然后观察能与入侵模式相匹配的事件,达到发现入侵的目的。
3、
(1)异常检测
(2)异常检测(3)模式匹配(4)异常检测
5、商业IDS系统主要采用的技术有哪些?
这些技术的特点是什么?
(1)基于统计分析的入侵检测技术
特点:
稳定、但有经常性的虚假报警
(2)基于神经网络的入侵检测技术
特点:
自适应性、系统精简、成本低
(3)基于专家系统的入侵检测技术
特点:
效率低
(4)基于模型推理的入侵检测技术