计算机网络安全.docx

计算机网络安全.docx

《计算机网络安全.docx》由会员分享，可在线阅读，更多相关《计算机网络安全.docx（12页珍藏版）》请在冰豆网上搜索。

计算机网络安全

网络安全问答题第一章：

1.网络攻击和防御分别包括哪些内容？

攻击技术主要包括：

1网络监听：

自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。

2网络扫描：

利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。

3网络入侵：

当探测发现对方存在漏洞后，入侵到对方计算机获取信息。

4网络后门：

成功入侵目标计算机后，为了实现对“战利品”的长期控制，在目标计算机中种植木马等后门。

5网络隐身：

入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。

防御技术主要包括:

1安全操作系统和操作系统的安全配置：

操作系统是网络安全的关键。

2加密技术：

为了防止被监听和数据被盗取，将所有的逐句进行加密。

3防火墙技术：

利用防火墙，对传输的数据进行限制，从而防止被入侵。

4入侵检测：

如果网络防线最终被攻破，需要及时发出被入侵的警报。

5网络安全协议：

保证传输的数据不被截获和监听。

2.从层次上，网络安全可以分成哪几层？

每层有什么特点？

4个层次上的安全：

物理安全、逻辑安全、操作系统安全和联网安全。

物理安全：

防盗、防火、防静电、防雷击和防电磁泄漏。

逻辑安全：

计算机的逻辑安全需要用口令、文件许可等方法来实现。

操作系统安全：

操作系统是计算机中最基本、最重要的软件。

联网安全通过以下两方面的安全服务来达到：

a：

访问控制服务：

用来保护计算机和联网资源不被非授权使用。

b：

通信安全服务：

用来认证数据机要性与完整性，以及各通信的可信赖性。

3.为什么要研究网络安全？

网络需要与外界联系，同时也受到许多方面威胁：

物理威胁、系统漏洞造成的威胁、身份鉴别威胁、线缆连接威胁和有害程序威胁等，目前研究网络安全已经不只为了信息和数据的安全性，网络安全已经渗透到国家的政治、经济、军事等领域。

第2章：

1、简述OSI参考模型的结构

a、物理层：

最底层，负责传送比特流，它从第二层数据链路层接受数据帧，并将帧的结构和内容串行发送，即每次发送一个比特。

物理层可能受到的安全威胁是搭线窃听和监听。

可以利用数据加密、数据标签加密，数据标签，流量填充等方法保护物理层的安全。

b、数据链路层：

负责发送和接收数据，还要提供数据有效传输的端到端连接。

c、网络层：

完成网络中主机间的报文传输。

d、传输层：

完成网络中不同主机上的用户进程之间可靠的数据通信。

传输层连接是真正端到端的

e、会话层：

允许不同机器上的用户建立回话关系。

提供的服务之一是管理会话控制。

会话层允许信息同时双向传输，或限制只能单向传输。

为了管理活动，会话层提供了令牌，令牌可以在回话双方之间移动，只有持有令牌的一方可以执行某种操作。

f、表示层：

表示层关心的是所传送的信息的语法和语义。

表示层服务的一个典型的例子是用一种标准方法对数据进行编码。

g、应用层：

包含大量人们普遍需要的协议。

2、简述TCP/IP协议族的基本结构，并分析每层可能受到的威胁及如何防御。

a、网络接口层：

包括用于物理连接、传输的所有传输功能。

b、网络层：

在两个主机之间通信必需的协议组成，通信的数据报文必须是可路由的。

网络层必须支持路由和路由管理。

该层常见的协议是：

IP、ICMP、IGMP。

该层可能受到的威胁是IP欺骗攻击，保护措施是使用防火墙过滤和打系统补丁。

c、传输层：

功能是网络中对数据进行分段，执行数学检查来保证所收数据的完整性，为多个应用同时传输数据多路复用数据流（传输和接收）。

该层能识别特殊应用，对乱序收到的数据进行重新排序。

该层包括两个协议：

传输控制协议TCP和用户数据报协议UDP。

d、应用层：

提供远程访问和资源共享。

包括：

Telnet服务、FTP服务、SMTP服务和HTTP服务等，该层是最难保护的一层。

简单邮件传输协议（SMTP）容易受到的威胁是：

邮件炸弹、病毒、匿名邮件和木马等。

保护措施是认证、附件病毒扫描和用户安全意识教育。

文件传输协议（FTP）容易受到的威胁是：

明文传输、黑客恶意传输非法使用等。

保护的措施是不许匿名登陆录，单独的服务器分区、禁止执行程序等。

超文本传输协议（HTTP）容易受到的威胁是恶意程序（ActiveX控件，ASP程序和CGI程序等）。

5、简述常用的网络服务及提供服务的默认端口

a、FTP服务：

在FTP的默认端口是20用于数据传输和21用于命令传输。

TCP/IP中，FTP是非常独特的，因为命令和数据能够同时传输，而数据传输是实时的，其他协议不具有这个特性。

b、Telnet服务：

给用户提供了一种通过网络登录远程服务器的方式。

通过端口23工作。

要求有一个Telnet服务器，服务器等待着远程计算机的授权登陆。

c、E-mail服务：

使用的两个主要协议是简单邮件传输协议（SMTP）和邮局协议（POP）。

SMTP默认占用25端口，用来发送邮件，POP占用110端口，用来接收邮件。

d、Web服务：

目前最常用的服务，使用HTTP协议，默认Web服务占用80端口。

e、以下分别为常用端口、协议和对应的服务：

21、TCP、FTP服务；25、TCP、SMTP服务；53、TCP/UDP、DNS服务；80、TCP、Web服务；135、TCP、RPC服务；137、UDP、NetBIOS域名服务；138、UDP、NetBIOS数据报服务；139、TCP、NetBIOS会话服务；443、TCP、基于SSL的HTTP服务；445、TCP/UDP、MicrosoftSMB服务；3389、TCP、Windows终端服务

6、简述ping指令、ipconfig指令、netstat指令、net指令、at指令和tracer指令的功能和用途。

ping：

通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接。

应答消息的接收情况和往返过程的次数一起显示出来。

ping指令用于检测网络的连接性和可到达性，如果不带参数，ping将显示帮助。

ipconfig：

显示所有TCP/IP网络配置信息、刷新动态主机配置协议和域名系统设置。

使用时不带参数可显示所有适配器的IP地址、子网掩码和默认网关。

netstat：

显示活动的连接、计算机监听的端口、以太网统计信息、IP路由表、IPv4统计信息（IP，ICMP，TCP和UDP协议）。

使用命令可以查看目前活动的连接和开放的端口，是网络管理员查看网络是否被人入侵的最简单方法。

net：

功能非常强大，在网络安全领域通常用来查看计算机上的用户列表、添加和删除用户、与对方计算机建立连接、启动或者停止某网络服务等。

at：

建立一个计划任务，并设置在某一时刻执行。

但是必须先与对方建立信任链接。

tracer：

是路由跟踪实用程序，用于确定IP数据报访问目标所采取的路径。

用IP生存时间（TTL）字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。

第4章：

2、黑客在进攻的过程中需要经过哪些步骤？

目的是什么？

隐藏IP：

通常有两种方式实现IP的隐藏：

第一种方法是首先入侵互联网上的一台计算机（俗）称“肉鸡”，利用这台计算进行攻击，这样即使被发现了，也是“肉鸡”的IP地址；

第二种方式是做多级跳板“Sock代理”，这样在入侵的计算机上留下的是代理计算机的IP地址。

踩点扫描：

通过各种途径对所要攻击的目标进行多方面的了解，确定攻击的时间和地点。

扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。

获得系统或管理员权限：

目的是连接到远程计算机。

种植后门：

为了保持长期对胜利果实的访问权，在已经攻破的计算机上种植一些供自己访问的后门。

在网络中隐身：

一次成功的入侵后，一般在对方的计算机上已经存储了相关的登陆日志，这样就容易被管理员发现。

在入侵完毕后需要清除登陆日志及其他相关的日志。

5、扫描分成哪两类？

每类有什么特点？

可以使用那些工具进行扫描及各有什么特点？

主动策略和被动式策略。

被动式策略是基于主机之上，对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查。

主动式策略是基于网络的，他通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。

被动式扫描不会对系统造成破坏，而主动式扫描对系统进行模拟攻击，可能会对系统造成破坏。

被动：

a.系统用户扫描可以使用工具软件GetNTUser：

该工具可以在WinNt4及Win2000操作系统上使用，完全的图形化界面，使用简单，可以使用多种方式对系统的密码强度进行测试；

b.开放端口扫描使用工具软件PortScan可以得到对方计算机开放的端口：

工具软件可以将所有端口的开放情况做一个测试，通过端口扫描可以知道对方开放了哪些网络服务，从而根据某些服务的漏洞进行攻击。

c.目录共享扫描通过工具软件Shed来扫描对方主机，得到对方计算机提供了哪些目录共享，该软件可以扫描一个IP地址段的共享信息。

d.利用TCP协议实现端口扫描：

实现端口扫描的程序可以使用TCP协议和UDP协议，原理是通过Socket连接对方的计算机的某端口，试图和该端口进行连接，如果建立成功，就说明对方开放了该端口，如果失败了，就说明对方没有开放该端口。

主动：

漏洞扫描可使用工具软件X-Scan-v2.3，该软件系统要求为Windows9x/NT4/2000。

该软件采用多线程方式对指定IP地址段或单机进行安全漏洞检测，支持插件功能，提供图形界面和命令行操作两种操作方式。

扫描内容包括：

远程操作系统类型及版本；标准端口状态及端口Banner信息；SNMP信息；CGI漏洞；IIS漏洞；RPC漏洞；SSL漏洞；SQL-SERVERFTP-SERVERSMTP-SERVERPOP3-SERVERNT-SERVER弱口令用户；NT服务器NETBIOS信息；注册表信息等。

6、网络监听技术的原理是什么？

网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。

Snifferpro就是一个完善的网络监听工具。

监听器Sniffer的原理是：

在局域网中与其他计算机进行数据交换时数据包发往所有的连在一起的主机，也就是广播，在报头中包含目的机的正确地址。

因此只有与数据包中目的地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃。

但是，当主机工作在监听模式下时，无论接收到的数据包中目的地址是什么，主机都将其接收下来。

然后对数据包进行分析，就得到了局域网中通信的数据。

一台计算机可以监听同一网段所有的数据包，不能监听不同网段的计算机传输的信息。

第5章：

1.简述社会工程学攻击的原理。

社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学。

另一种社会工程的形式是黑客试图通过混淆一个计算机系统去模拟一个合法用户。

目前社会工程学攻击主要包括两种方式：

打电话请求密码和伪造E-mail

3.简述暴力攻击的原理。

暴力攻击如何破解操作系统的用户密码、如何破解邮箱密码、如何破解Word文档的密码？

针对暴力攻击应如何防御？

暴力攻击的一个具体例子是，一个黑客试图使用计算机和信息去破解一个密码。

一个黑客需要破解一段单一的被用非对称密钥加密的信息，为了破解这种算法，需要求助于非常精使用120个工作站和两个超级计算机并利用从3个主要研究中心获得的信息，密复杂的算法，即使拥有这种设备，也将花掉8天时间去破解加密算法。

实际上，破解加密过程用8天已经是非常短的时间了。

字典攻击是一种最常见的暴力攻击。

如果黑客试图通过使用传统的暴力攻击方法去获得密码的话，将不得不尝试每种可能的字符，包括大小写、数字和通配符等。

字典攻击通过仅仅使用某种具体的密码来缩小尝试的范围，大多数的用户使用标准单词作为一个密码，一个字典攻击试图通过利用包含单词列表的文件去破解密码。

强壮的密码则通过结合大小写字母、数字和通配符来击败字典攻击。

破解操作系统密码：

字典文件为暴力破解提供了一条捷径，程序首先通过扫描得到系统的用户，然后利用字典中每一个密码来登录系统，看是否成功，如果成功则显示密码。

暴力破解邮箱密码：

邮箱密码一般需要设置为8位以上，7位以下的密码容易被破解。

尤其7位全部是数字的密码，更容易被破解。

比较著名的破解电子邮箱密码的工具软件是：

黑雨——POP3邮箱密码破解器。

防范这种暴力攻击，可将密码的位数设置在10位以上，一般利用数字、字母和特殊字符的组合就可以有效抵抗暴力攻击。

Word文档暴力破解：

使用工具软件AdvancedOfficeXPPasswordRecovery（AOXPPR）。

4.简述Unicode漏洞的基本原理。

一：

什么是UNICODE漏洞

NSFOCUS安全小组发现IIS4.0和IIS5.0在Unicode字符解码的实现中存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。

当IIS打开文件时，如果该文件名包含unicode字符，它会对其进行解码，如果用户提供一些特殊的编码，将导致IIS错误的打开或者执行某些web根目录以外的文件。

攻击者可以利用这个漏洞来绕过IIS的路径检查，去执行或者打开任意的文件。

1如果系统包含某个可执行目录，就可能执行任意系统命令。

二.骇客是如何利用UNICODE漏洞来入侵使用Unicode漏洞的攻击方式，书上介绍两种：

入侵到对方的操作系统和删除对方站点主页。

1.首先我们的来寻找一台存在UNICODE漏洞的主机，这里我们可以使用的工具非常多，只要是能扫CGI漏洞的都可以，不过我更喜欢流光，因为流光的功能是非常强大的。

注意：

我们这里是的目的是通过入侵方法来学会防范，所以以下我们使用的主机都是假设的。

建议简单解决方案：

1.限制网络用户访问和调用cmd的权限。

2.在Scripts、Msadc目录没必要使用的情况下，删除该文件夹或者改名。

3.安装NT系统时不要使用默认WINNT路径，比方说，可以改名为lucky或者其他名字。

临时解决方法：

NSFOCUS建议您再没有安装补丁之前，暂时采用下列方法临时解决问题：

1、如果不需要可执行的CGI，可以删除可执行虚拟目录例如/scripts等等。

2、如果确实需要可执行的虚拟目录，建议可执行虚拟目录单独在一个分区

5.简述缓冲区溢出攻击的原理。

目前最流行的一种攻击技术就是缓冲区溢出攻击。

当目标操作系统收到了超过了它的能接收的最大信息量时，将发生缓冲区溢出。

这些多余的数据使程序的缓冲区溢出，然后覆盖实际的程序数据。

缓冲区溢出使目标系统的程序被修改，经过这种修改的结果将在系统上产生一个后门。

缓冲区溢出原理很简单，如下：

voidfunctioncharszParal{

{

charbuff16

strcpybufferszParal

}

程序中利用strcpy函数将szParal中的内容拷贝到buff中，只要szParal的长度大于16，就会造成缓冲区溢出。

存在类似strcpy函数这样问题的C语言函数还有:

strcatgetsscanf。

当然，随便往缓冲区填写数据使它溢出一般只会出现“分段错误”，而不能达到攻击的目的。

最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell，再通过shell执行其他命令，如果该shell有管理员权限，就可以对系统进行任意操作。

6.简述拒绝服务的种类与原理。

凡是造成目标计算机拒绝提供服务的攻击都成为DoS攻击，其目的是使目标计算机或网络无法提供正常的服务。

最常见的DoS攻击是计算机网络带宽攻击和连通性攻击。

带宽攻击是以极大的信息量冲击网络，是网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。

连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。

比较著名的拒绝服务攻击包括：

SYN风暴、Smurf攻击和利用处理程序错误进行攻击。

SYN风暴：

它是通过创建大量“半连接”来进行攻击，任何连接到Internet上并提供基于TCP的网络服务的主机都可能遭受这种攻击。

针对不同的系统，攻击的结果可能不同，但是攻击的根本都是利用这些系统中TCP/IP协议族的设计弱点和缺陷。

攻击者通常伪造主机D不可达的IP地址作为源地址。

为了使拒绝服务的时间长于超时所用的时间，攻击者会持续不断地发送SYN包，故称为“SYN风暴”。

Smurf攻击：

这种攻击方法结合使用了IP欺骗和带有广播地址的ICMP请求-响应方法是大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务，属于间接、借力攻击方式。

任何连接到互联网上的主机或其他支持ICMP请求-响应的网络设备都可能成为这种攻击的目标。

利用处理程序错误进行攻击：

SYNflooding和Smurf攻击利用TCP/IP协议中的设计弱点，通过强行引入大量的网络包来占用带宽，迫使目标受害主机拒绝对正常的服务请求响应。

利用TCP/IP协议实现中的处理程序错误进行攻击，即故意错误地设定数据包头的一些重要字段。

9.简述DDoS的特点及常用的攻击手段，如何防范？

DDoS：

分布式拒绝服务攻击。

特点是先使用一些典型的黑客入侵手段控制一些高带宽的服务器，然后在这些服务器上安装攻击进程，集数十台甚至上千台机器的力量对单一攻击目标实施攻击。

在悬殊的带宽力量对比下，被攻击的主机会很快因不胜重负而瘫痪。

实践证明，这种攻击方式是非常有效的，而且难以抵挡。

分布式拒绝攻击技术发展十分迅速，由于其隐蔽性和分布性很难被识别和防御。

攻击手段：

攻击者在客户端操纵攻击过程。

每个主控端是一台是已被攻击者入侵并运行了特定程序的系统主机。

每个主控端主机能够控制多个代理端/分布端。

每个代理端也是一台已被入侵并运行某种特定程序的系统主机，是执行攻击的角色。

多个代理端/分布端能够同时响应攻击命令并向被攻击目标主机发送拒绝服务攻击数据包。

攻击过程实施的顺序为：

攻击者-gt主控端-gt分布端-gt目标主机。

发动DDoS攻击分为以下两个阶段：

1、初始的大规模入侵阶段：

在该阶段，攻击者使用自动工具扫描远程脆弱主机，并采用典型的黑客入侵手段得到这些主机的控制权，安装DDoS代理端/分布端。

这些主机也是DDos的受害者。

目前还没有DDoS工具能够自发完成对代理端的入侵。

2、大规模DoS攻击阶段：

即通过主控端和代理端/分布端对目标受害主机发起大规模拒绝服务攻击。

防范：

攻击方式和解决方案1、破坏物理设备：

例行检查物理实体的安全；使用容错和荣誉网络硬件的方法，必要时迅速实现物理设备切换，从而保证提供正常的应用服务。

2、破坏配置文件：

错误配置也会成为系统的安全隐患，这些错误配置常常发生在硬件装置、系统或应用程序中。

管理员首先应该正确设置系统及相关软件的配置信息，并将这些敏感信息备份到软盘等安全介质上；利用Tripwire等工具的帮助及时发现配置文件的变化，并快速恢复这些配置信息保证系统和网络的正常运行。

3、利用网络协议或系统的设计弱点和实现漏洞：

若要从根本上克服这些弱点，需要重新设计协议层，加入更多的安全控制机制。

若要在现有的网络构架中弥补这些弱点，可以采取上面介绍的半透明网关或主动监视技术。

4、消耗系统资源防范措施1、及时的给系统打补丁2、定期检查系统安全3、建立资源

分配模型，设置阀值，统计敏感资源的使用情况。

4、优化路

由器配置5、使用第三方的日志分析系统6、使用DNS来跟踪

匿名攻击7、对于重要的WEB服务器，为一个域名建立多个

镜像主机。

第6章：

2、如何留后门程序？

列举三种后门程序，并阐述原理及如何防御。

网络后门是保持对目标主机长久控制的关键策略。

可以通过建立服务端口和克隆管理员账号来实现。

只要能不通过正常登陆进入系统的途径都成为网络后门。

后门的好坏取决于被管理员发现的概率。

只要不容易被发现的后门都是好后门。

留后门的原理和选间谍是一样的，让管理员看了感觉没有任何特别的地方。

1）远程启动Telnet服务：

利用主机上的Telnet服务，有管理员密码就可以登录到对方的命令行，进而操作对方的文件系统。

如果Telnet是关闭的，就不能登陆。

2）记录管理员口令修改过程

3）建立Web服务和Telnet服务：

使用工具软件wnc.exe可以在对方的主机上开启两个服务：

Web服务和Telnet服务其中Web服务的端口是808，Telnet服务的端口是707执行很简单，只要在对方的命令行下执行一下wnc.exe就可以

4、简述木马由来，并简述木马和后门的区别

木马是一种可以驻留在对方系统中的一种程序，

一般由两部分组成：

服务器端和客户端。

驻留在对方服务器的称之为木马的服务器端，远程的可以连到木马服务器的程序称之为客户端。

木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。

木马程序在表面上看上去没有任何的损害，实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。

木马来自于“特洛伊木马”，英文名称为TrojanHorse传说希腊人围攻特洛伊城，久久不能攻克，后来军师想出了一个特洛伊木马计，让士兵藏在巨大的特洛伊木马中部队假装撤退而将特洛伊木马丢弃在特洛伊城下，让敌人将其作为战利品拖入城中，到了夜里，特洛伊木马内的士兵便趁着夜里敌人庆祝胜利、放松警惕的时候从特洛伊木马里悄悄地爬出来，与城外的部队里应外合攻下了特洛伊城由于特洛伊木马程序的功能和此类似，故而得名。

本质上，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能，后门程序则功能比较单一，只是提供客户端能够登录对方的主机。

5、简述网络代理跳板的功能当从本地入侵其他主机的时候，自己的IP会暴露给对方通过将某一台主.