计算机网络安全复习提纲Word文件下载.docx

1、24、 一次成功的攻击，可以归纳成基本的五个步骤，但是根据实际情况可以随时调整。归纳起来就是黑客攻击五部曲：隐藏ip，踩点扫描，获取权限，种植后门，在网络中隐身。25、 打电话请求密码属于社会工程学攻击方式。26、 一次字典攻击能否成功，很大因素上决定于字典文件。27、 Syn风暴属于拒绝服务攻击。28、 不属于dos攻击的是：tfn攻击。（smurf、ping of death 、land攻击都属于dos攻击）29、 字典攻击是常见的一种暴力攻击。30、 分布式拒绝服务攻击的特点是先使用一些典型的黑客入侵手段控制一些高带宽的服务器，然后在这些服务器上安装攻击进程，集数十台，数百台甚至上千台机

2、器的力量对单一攻击目标实施攻击。31、 Syn flooding 攻击是利用tcp/ip协议设计弱点。32、 网络后门的功能是保持对目标主机长久控制。33、 终端是吾师windows操作系统自带的，可以通过图形界面远程操纵服务器。在默认的情况下，终端服务的端口号是3389。34、 木马是一种可以驻留在对方服务器系统中的一种程序。35、 后门的好坏取决于被管理员发现的概率。36、 木马程序一般由2部分组成：服务器终端程序，客户端程序。37、 本质上，木马和后门都是提供网络后门的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能，后门程序功能比较单一。38、 黑客们在编写搅乱社会和他人的计算

3、机程序，这些代码统称为恶意代码。39、 2003年，slammer蠕虫在十分钟内导致90%互联网脆弱主机收到感染。40、 造成广泛影响的1988年morris蠕虫事件，就是利用邮件系统的脆弱性作为其入侵的最初突破点的。41、 恶意代码生存的技术：加密技术、模糊变换技术。42、 恶意代码攻击技术：进程注入技术、超级管理技术、断口反向连接技术。（自动生产技术不属于恶意代码攻击技术）43、 恶意代码主要包括计算机病毒、蠕虫、木马程序、后门程序、逻辑矩弹。44、 恶意代码从20世纪80年代发展至今体现出来的三个特征是：恶意代码编制方法及发布速度更快、恶意代码日趋复杂完善和从病毒到电子邮件蠕虫，再到利用

4、系统漏洞主动攻击的恶意代码。45、 早期恶意代码的主要形式是计算机病毒。46、 隐藏通常包括本地隐藏和通信隐藏。其中本地隐藏有文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、编译器隐藏等。网络隐藏主要包括通信内部隐藏和传输通道隐藏。47、 网络蠕虫的功能木块可以分为主体功能模块和辅助功能模块。48、 Linux 是一套可以免费使用和自由传播的类unix操作系统，主要用于基于inter x86系列cpu的计算机上。49、 操作系统中的每一个实体组件不可能是既不是主体又不是客体。50、 安全策略是指有关管理、保护和发布敏感信息的法律、规定和实施细则。51、 操作系统的安全依赖于一些具体实施安全侧列

5、的可信的硬件和软件。这些软件和硬件、负责系统安全管理的人员一起组成系统的可信计算机。52、 自主访问控制是最常用的一类访问控制机制，用来决定一个用户是否有权访问一些特定客体的一种访问约束机制。53、 操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用，没有它的安全性，信息系统的安全行是没有基础的。54、 Multics是开发安全操作系统最早期的尝试。55、 1969年B.W.Lampson通过形式化表示方法运用主体、客体和访问矩阵的思想第一次对访问控制问题进行了抽象。56、 访问控制机制的理论基础是访问监控器，由J.P.Anderson首次提出。57、 计算机硬件安全的目标是，保

6、证其自身的而可靠性和为系统提供基本安全机制。其中基本安全机制包括存储保护、运行保护和I/O保护。58、 Biba模型主要应用是保护信息的完整性，而BLP模型是保护信息机密性。59、 RSA算法是一种基于大数不可能质因数分解假设的公钥体系。60、 对称算法：序列算法。61、 DES算法的入口参数有三个：key、Data和mode。其中key为64位，是DES算法的工作密钥。62、 PGP加密技术是一个基于RSA公钥加密体系的邮件加密软件。63、 2000多年前，罗马国王就开始使用目前称为“恺撒密码”的密码系统。64、 2004.8，山东大学信息安全所所长王小云在国际会议上首次宣布了她及她的研究小

7、组对MD5、Haval-128、MD4和RIPEMD 等四个著名密码算法的破译结果。65、 除了提供机密性外，密码学需要提供三个方面的功能：鉴别、完整性和抗抵赖性。66、 数字水印应具有三个基本特征：隐藏性、鲁棒性和安全性。67、 用户公私鈅对产生有2中方式：用户自己产生的密钥对和CA为用户产生的密钥对。68、 常见的信任模型包括4种：分布式信任模型、以用户为中心的信任模型、严格层次信任模型和交叉认证模型。69、 仅设立防火墙系统，而没有安全策略，防火墙就形同虚设。70、 防火墙的局限性：不能防范网络内部的攻击、不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并

8、授予其临时的网络访问权限、不能防止传送已感染病毒软件或文件，不能期望防火墙对每一个文件进行扫描，查处潜在的病毒。71、 分组过滤防火墙作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。72、 入侵检测分类依据是：物理位置、建模方法、时间分析。73、 防火墙是一种网络安全保障技术，它用于增强内部网络安全型，决定外界的那些用户可以访问内部的那些服务，以及那些外部站点可以被内部人员访问。74、 常见的防火墙有三种类型：分组过滤防火墙、应用代理防火墙和状态检测防火墙。75、 常见防火墙系统一般按照四种模型构建：筛选路由器模型、单宿主堡

9、垒主机模型（屏蔽主机防火墙）模型、双宿主堡垒主机模型（屏蔽防火墙系统模型）和屏蔽子网模型。76、 入侵检测是一种增强系统安全的有效方法，能检测出系统中违背系统安全性规则或者威胁到系统安全的活动。77、 入侵检测的三个基本步骤：信息收集、数据分析和响应。网络安全橙皮书是什么？包括那些内容？根据美国国防部开发的计算机安全标准可信任计算机标准评价准则（Trusted Computer Standards Evaluation Criteria：TCSEC），也就是网络安全橙皮书，一些计算机安全级别被用来评价一个计算机系统的安全性。自从1985年橙皮书成为美国国防部的标准以来，就一直没有改变过，多年以

10、来一直是评估多用户主机和小型操作系统的主要方法。其他子系统（如数据库和网络）也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成4个类别：D类、C类、B类和A类，每类又分几个级别， 类别级别名称主要特征D低级保护没有安全保护CC1自主安全保护自主存储控制C2受控存储控制单独的可查性，安全标识BB1标识的安全保护强制存取控制，安全标识B2结构化保护面向安全的体系结构，较好的抗渗透能力B3安全区域存取监控、高抗渗透能力A验证设计形式化的最高级描述和验证 D级是最低的安全级别，拥有这个级别的操作系统就像一个门户大开的房子，任何人都可以自由进出，是完全不可信任的。 对于硬件来说，是没有任何保护措施

11、的，操作系统容易受到损害，没有系统访问限制和数据访问限制，任何人不需任何账户都可以进入系统，不受任何限制可以访问他人的数据文件。 属于这个级别的操作系统有： DOS和Windows98等。C1是C类的一个安全子级。C1又称选择性安全保护（Discretionary Security Protection）系统，它描述了一个典型的用在Unix系统上安全级别 这种级别的系统对硬件又有某种程度的保护，如用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。 用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用

12、户可以改变文件的访问属性，从而对不同的用户授予不通的访问权限。 使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组，授予他们访问某些程序的权限或访问特定的目录。 能够达到C2级别的常见操作系统有： （1）、Unix系统 （2）、Novell 3.X或者更高版本 （3）、Windows NT、Windows 2000和Windows 2003B级中有三个级别，B1级即标志安全保护（Labeled Security Protection），是支持多级安全（例如：秘密和绝密）的第一个级别，这个级别说明处于强制性访问控制之下的对象，

13、系统不允许文件的拥有者改变其许可权限。 安全级别存在保密、绝密级别，这种安全级别的计算机系统一般在政府机构中，比如国防部和国家安全局的计算机系统。 B2级，又叫结构保护级别（Structured Protection），它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别。 B3级，又叫做安全域级别（Security Domain），使用安装硬件的方式来加强域的安全，例如，内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上。A级，又称验证设计级别（Verified Design），是当前橙皮

14、书的最高级别，它包含了一个严格的设计、控制和验证过程。该级别包含了较低级别的所有的安全特性 设计必须从数学角度上进行验证，而且必须进行秘密通道和可信任分布分析。可信任分布（Trusted Distribution）的含义是：硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。 橙皮书也存在不足。TCSEC是针对孤立计算机系统，特别是小型机和主机系统。假设有一定的物理保障，该标准适合政府和军队，不适合企业，这个模型是静态的。第三章WINDOWS操作的内部机制 Windows是一个“基于事件的，消息驱动的”操作系统。在Windows下执行一个程序，只要用户进行了影响窗口的动作（如改变窗口大

15、小或移动、单击鼠标等）该动作就会触发一个相应的“事件”。 系统每次检测到一个事件时，就会给程序发送一个“消息”，从而使程序可以处理该事件。 每次检测到一个用户事件，程序就对该事件做出响应，处理完以后，再等待下一个事件的发生。与Windows系统密切相关的八个基本概念分别是： 窗口、程序、进程、线程 消息、事件、句柄、API与SDK。第四章 124 课后练习 简答 262、黑客在进攻的过程中需要经过那些步骤？目的是什么？一次成功的攻击，都可以归纳成基本的五步骤，但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲” 1、隐藏IP: 这一步必须做，因为如果自己的入侵的痕迹被发现了，当FBI找

16、上门的时候就一切都晚了。通常有两种方法实现自己IP的隐藏：第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。2、踩点扫描: 踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。常见的踩点方法包括：在域名及其注册机构的查询;公司性质的了解;对主页进行分析;邮件地址的搜集;目标IP地址范围查询。扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。踩点的目

17、的就是探察对方的各方面情况，确定攻击的时机。模清除对方最薄弱的环节和守卫最松散的时刻，为下一步的入侵提供良好的策略。扫描分成两种策略：被动式策略和主动式策略。3、获得系统或管理员权限得到管理员权限的目的是连接到远程计算机，对其进行控制，达到自己攻击目的。获得系统及管理员权限的方法有：通过系统漏洞获得系统权限通过管理漏洞获得管理员权限通过软件漏洞得到系统权限通过监听获得敏感信息进一步获得相应权限通过弱口令获得远程管理员的用户密码通过穷举法获得远程管理员的用户密码通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权通过欺骗获得权限以及其他有效的方法。4、种植后门为了保持长期对自己胜利果实的访

18、问权,在已经攻破的计算机上种植一些供自己访问的后门。5、在网络中隐身一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现。在入侵完毕后需要清除登录日志已经其他相关的日志。6、网络监听技术的原理是什么？网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。Sniffer pro就是一个完善的网络监听工具。监听器Sniffer的原理：在局域网中与其他计算机进行数据交换的时候，发送的数据包发往所有的连在一起的主机，也就是广播，在报头中包含目标机的正确地址。因此只有与数据包中目标地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式

19、下时，无论接收到的数据包中目标地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以监听同一网段所有的数据包，不能监听不同网段的计算机传输的信息。第五章 125 社会工程学攻击概念社会工程攻击是一种利用社会工程学来实施的网络攻击行为。社会工程学，准确来说，不是一门科学，而是一门艺术和窍门的方术。社会工程学利用人的弱点，以顺从你的意愿、满足你的欲望的方式，让你上当的一些方法、一门艺术与学问。说它不是科学，因为它不是总能重复和成功，而且在信息充分多的情况下，会自动失效。社会工程学的窍门也蕴涵了各式各样的灵活的构思与变化因素。社会工程学是一种利用人的弱点如人

20、的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段，获取自身利益的手法。社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。目前社会工程学攻击主要包括两种方式：打电话请求密码和伪造Email1、打电话请求密码 尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员，经常通过这种简单的方法重新获得密码。2、伪造Email使用telnet一个黑客可以截取任何一个身份证发送Email的全部信息，这样的Ema

21、il消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息，黑客就能实施他们的恶意阴谋。153 什么是分布式拒绝服务攻击分布式拒绝服务（DDoS:Distributed Denial of Service）攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。拒绝服务攻击的简称是：DoS（Denial of Service）攻击，凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击，其目的是使目标计算机或网络无法提供正常

22、的服务。最常见的DoS攻击是：计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的通信量冲击网络，使网络所有可用的带宽都被消耗掉，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。 157 简答 454、简述Unicode漏洞的基本原理NSFOCUS安全小组发现IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。当IIS打开文件时，如果该文件名包含unicode字符，它会对其进行解码，如果用户提供一些特殊的编码，将导致IIS错误的打开或者执行某些web根目录以外的文件

23、。通过打操作系统的补丁程序，就可以消除漏洞。只要是针对漏洞进行攻击的案例都依赖于操作系统是否打了相关的补丁。Unicode漏洞是2000-10-17发布的，受影响的版本：Microsoft IIS 5.0+Microsoft Windows 2000系列版本Microsoft IIS 4.0+ Microsoft Windows NT 4.0消除该漏洞的方式是安装操作系统的补丁，只要安装了SP1以后，该漏洞就不存在了。微软IIS 4.0和5.0都存在利用扩展UNICODE字符取代/和而能利用./目录遍历的漏洞。5、简述缓冲区溢出攻击的原理目前最流行的一种攻击技术就是缓冲区溢出攻击。当目标操作系

24、统收到了超过了它的最大能接收的信息量的时候，将发生缓冲区溢出。这些多余的数据将使程序的缓冲区溢出，然后覆盖了实际的程序数据，缓冲区溢出使目标系统的程序被修改，经过这种修改的结果使在系统上产生一个后门。通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。这项攻击对技术要求比较高，但是攻击的过程却非常简单。第六章 193 简答 161、留后门的原则是什么？网络后门是保持对目标主机长久控制的关键策略。可以通过建立服务端口和克隆管理员帐号来实现。留后门的艺术,只要能不通过正常登录进

25、入系统的途径都称之为网络后门。后门的好坏取决于被管理员发现的概率。只要是不容易被发现的后门都是好后门。留后门的原理和选间谍是一样的，让管理员看了感觉没有任何特别的。其实留后门和下马都是一个道理，就是想叫自己,今后可以轻而易举的进进出出，不过对于后门,很多情况下都想到了“木马”。也可以这么说。不过道上稍微有些头脑的人都知道，最隐秘、最有效的后门不是在对方的机器上放什么“马”。而是在对方的系统设置里动些手脚，在不安装额外程序的同时，给自己留一个方便。6、系统日志有那些？如何清除这些日志？记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻

26、找受到攻击时攻击者留下的痕迹.IIS日志、主机日志（应用程序日志、安全日志和系统日志）清除 IIS日志：打开任一文件夹下的任一文件，可以看到IIS日志的基本格式，记录了用户访问的服务器文件、用户登的时间、用户的IP地址以及用户浏览器以及操作系统的版本号。最简单的方法是直接到该目录下删除这些文件夹，但是全部删除文件以后，一定会引起管理员的怀疑。一般入侵的过程是短暂的，只会保存到一个Log文件，只要在该Log文件删除所有自己的记录就可以了。清除主机日志：使用工具软件clearel.exe可以方便地清除系统日志，首先将该文件上载到对方主机，然后删除这3中主机日志。清除命令有4种：Clearel Sy

27、stem系统日志，Clearel Security安全日志，Clearel Application应用程序日志和Clearel All全部日志。第七章 208 简答 4584、说明恶意代码的作用机制的6个方面，并图示恶意代码攻击模型。恶意代码的行为表现各异，破坏程度千差万别，但基本作用机制大体相同，其整个作用过程分为6个部分：侵入系统。侵入系统是恶意代码实现其恶意目的的必要条件。恶意代码入侵的途径很多，如：从互联网下载的程序本身就可能含有恶意代码；接收已经感染恶意代码的电子邮件；从光盘或软盘往系统上安装软件；黑客或者攻击者故意将恶意代码植入系统等。维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成。隐蔽策略。为了不让系统发现恶意代码已经侵入系统，恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己。潜伏。恶意代码侵入系统后，等待一定的条件，并具有足够的权限时，就发作并进行破坏活动。破坏。恶意代码的本质具有破坏性，其目的是造成信息丢失、泄密，破坏系统完整性等。重复至对新的目标实施攻击过程。恶意代码的攻击模型如图2-1所示。5、简述恶意代码的生存技术是如何实现的生存技术主要包括4方面：反跟踪技术；加密技术；模糊变换技术；自动生产技术。反跟踪技术可以减少被发现的可能性