admin管理员组文章数量:1530847
2024年7月22日发(作者:)
第1章 网络安全概述与环境配置
1. 网络攻击和防御分别包括哪些内容?
答:攻击技术主要包括以下几个方面。
(1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标
计算机与其他计算机通信的数据。
(2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入
侵该计算机做准备。
(3)网络入侵:当探测发现对方存在漏洞后,入侵到目标计算机获取信息。
(4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目
标计算机中种植木马等后门。
(5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被
对方管理员发现。
防御技术主要包括以下几个方面。
(1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。
(2)加密技术:为了防止被监听和数据被盗取,将所有的数据进行加密。
(3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。
(4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。
(5)网络安全协议:保证传输的数据不被截获和监听。
2. 从层次上,网络安全可以分成哪几层?每层有什么特点?
答:从层次体系上,可以将网络安全分成4个层次上的安全:物理安全,逻辑安全,
操作系统安全和联网安全。
物理安全主要包括5个方面:防盗,防火,防静电,防雷击和防电磁泄漏。
逻辑安全需要用口令、文件许可等方法来实现。
操作系统安全,操作系统必须能区分用户,以便防止相互干扰。操作系统不允许一个
用户修改由另一个账户产生的数据。
联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。(1)访问控
制服务:用来保护计算机和联网资源不被非授权使用。(2)通信安全服务:用来认证数
据机要性与完整性,以及各通信的可信赖性。
第2章 网络安全协议基础
1. 简述OSI参考模型的结构
答:
OSI参考模型是国际标准化组织(International Standards Organization,ISO)制定的模
型,把计算机与计算机之间的通信分成7个互相连接的协议层,自顶向下分别为应用层、
表示层、会话层、传输层、网络层、数据链路层、物理层。
2. 简述TCP/IP协议族的基本结构,并分析每层可能受到的威胁及如何防
御
答:
TCP/IP协议族包括4个功能层,自顶向下分别为:应用层、传输层、网络层、网络接
口层。
应用层中很多应用程序驻留并运行在此层,并且依赖于底层的功能,使得该层是最难
保护的一层。简单邮件传输协议(SMTP)容易受到的威胁是:邮件炸弹,病毒,匿名邮
件和木马等。保护措施是认证、附件病毒扫描和用户安全意识教育。文件传输协议(FTP)
容易受到的威胁是:明文传输、黑客恶意传输非法使用等。保护的措施是不许匿名登录,
单独的服务器分区,禁止执行程序等。超文本传输协议(HTTP)容易受到的威胁是:恶
意程序(ActiveX控件,ASP程序和CGI程序等)。
传输层可能受到的威胁是拒绝服务(DOS)和分布式拒绝(DDOS)服务的攻击,其
中包括TCP SYN淹没攻击、SSL中间人攻击、Land攻击、UDP淹没攻击、端口扫描攻击
等,保护措施是正确设置客户端SSL,使用防火墙对来源不明的有害数据进行过渡等。
网络层可能受到的威胁是IP欺骗攻击,保护措施是使用防火墙过滤和打系统补丁。
网络接口层又可分为数据链路层和物理层。
数据链路层可能受到的威胁是内容录址存储器表格淹没、VLAN中继、操纵生成树协
议、MAC地址欺骗、ARP攻击、专用VLAN、DHCP耗竭等。保护措施是,在交换机上
配置端口安全选项可以防止CAM表淹没攻击。正确配置VLAN可以防止VLAN中继攻击。
使用根目录保护和BPDU保护加强命令来保持网络中主网桥的位置不发生改变,可防止操
纵生成树协议的攻击,同时也可以强化生成树协议的域边界。使用端口安全命令可以防止
MAC欺骗攻击。对路由器端口访问控制列表(ACL)进行设置可以防止专用VLAN攻击。
通过限制交换机端口的MAC地址的数目,防止CAM表淹没的技术也可以防止DHCP耗
竭。
物理层可能受到的威胁是未授权用户的接入(内部人员、外部人员)、物理盗窃、涉
密信息被复制或破坏等等。保护措施主要体现在实时存档和监测网络,提高通信线路的可
靠性(线路备份、网管软件、传输介质)、软硬件设备安全性(替换设备、拆卸设备、增
加设备)、防干扰能力,保证设备的运行环境(温度、湿度、烟尘),不间断电源保障,
等等。
5. 简述常用的网络服务及提供服务的默认端口。
答:
常见服务及提供服务的默认端口和对应的协议如下表所示
端 口
21
25
协 议
TCP
TCP
服 务
FTP服务
SMTP服务
53
80
135
137
138
139
443
445
3389
TCP/UDP
TCP
TCP
UDP
UDP
TCP
TCP
TCP/UDP
TCP
DNS服务
Web服务
服务
NetBIOS域名服务
NetBIOS数据报服务
NetBIOS会话服务
基于SSL的HTTP服务
Microsoft SMB服务
Windows终端服务
6. 简述ping指令、ipconfig指令、netstat指令、net指令和at指令的功
能和用途。
答:
(1)ping指令:ping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级
连接。应答消息的接收情况将和往返过程的次数一起显示出来。ping指令用于检测网络的
连接性和可到达性。
(2)ipconfig指令:ipconfig指令显示所有TCP/IP网络配置信息、刷新动态主机配置
协议(Dynamic Host Configuration Protocol, DHCP)和域名系统(DNS)设置。使用不带
参数的ipconfig可以显示所有适配器的IP地址、子网掩码和默认网关。
(3)netstat指令:netstat指令显示活动的连接、计算机监听的端口、以太网统计信息、
IP 路由表、IPv4统计信息(IP,ICMP,TCP和UDP协议)。使用“netstat -an”命令可
以查看目前活动的连接和开放的端口,是网络管理员查看网络是否被入侵的最简单方法。
(4)net指令:net指令的功能非常的强大,在网络安全领域通常用来查看计算机上
的用户列表、添加和删除用户、与对方计算机建立连接、启动或者停止某网络服务等。
(5)at指令:使用at命令建立一个计划任务,并设置在某一时刻执行。
第3章 网络安全编程基础
1. 简述Windows操作系统的内部机制。
答:
Windows操作系统的内部机制如下:Windows是一个“基于事件的,消息驱动的”操
作系统。在Windows下执行一个程序,只要用户进行影响窗口的动作(如改变窗口大小或
移动、单击鼠标等)该动作就会触发一个相应的“事件”。系统每次检测到一个事件时,
就会给程序发送一个“消息”,从而使程序可以处理该事件。每次检测到一个用户事件,
程序就对该事件做出响应,处理完以后,再等待下一个事件的发生。
2. 简述学习Windows下编程的注意点。
答:
(1)根据实际情况选择一门语言,精通使用,切勿看到一种语言学一种,到最后都
只是略知一二。
(2)编程是一个循序渐进的过程,需要在学习的过程中一点一滴积累,遇到困难大
可不必灰心丧气。
(3)从一开始写程序要养成良好的编程习惯,如变量命名规则、缩进规范、编写文
档和注释等,以提高程序的可读性和可扩展性。
第4章 网络扫描与网络监听
1. 简述黑客的分类,以及黑客需要具备哪些基本素质。
答:
目前将黑客分成3类:第1类为破坏者,第2类为红客,第3类为间谍。
要成为一名好的黑客,需要具备4种基本素质:“Free”精神,探索与创新精神,反
传统精神和合作精神。
2. 黑客在进攻的过程中需要经过哪些步骤?目的是什么?
答:
黑客一次成攻的攻击,可以归纳成基本的五个步骤:
第一, 隐藏IP;
第二, 踩点扫描;
第三, 获得系统或管理员权限;
第四, 种植后门;
第五, 在网络中隐身。
以上几个步骤根据实际情况可以随时调整。
3. 简述黑客攻击和网络安全的关系。
答:
黑客攻击和网络安全是紧密结合在一起的,研究网络安全不研究黑客攻击技术等同于
纸上谈兵,研究攻击技术不研究网络安全等同于闭门造车。某种意义上说没有攻击就没有
安全,系统管理员可以利用常见的攻击手段对系统进行检测,并对相关的漏洞采取措施。
网络攻击有善意也有恶意的,善意的攻击可以帮助系统管理员检查系统漏洞,恶意的
攻击可以包括:为了私人恩怨而攻击,为了商业或个人目的获得秘密资料而攻击,为了民
族仇恨而攻击,利用对方的系统资源满足自己的需求、寻求刺激、给别人帮忙,以及一些
无目的攻击。
4. 为什么需要网络踩点?
答:
踩点就是通过各种途径对所要攻击的目标进行尽可能的了解。常见的踩点方法包括:
在域名及其注册机构的查询,公司性质的了解,对主页进行分析,邮件地址的搜集和目标
IP地址范围查询。
踩点的目的就是探察对方的各方面情况,确定攻击的时机。摸清对方最薄弱的环节和
守卫最松散的时刻,为下一步的入侵提供良好的策略。
5. 扫描分成哪两类?每类有什么特点?可以使用哪些工具进行扫描、各
有什么特点?
答:
扫描,一般分成两种策略:一种是主动式策略,另一种是被动式策略。被动式策略是
基于主机之上,对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检
查,不会对系统造成破坏。主动式策略是基于网络的,它通过执行一些脚本文件模拟对系
统进行攻击的行为并记录系统的反应,从而发现其中的漏洞,但是可能会对系统造成破坏。
常见的扫描工具包括:
第一,系统自带的扫描工具如windows和linux中的ping,linux中的namp。这类工
具操作简单,大多工作在命令行模式下。
第二,开源的和免费的扫描工具如Nessus,X-scan,Netcat,X-port以及Google在2010
年新推出的Skipfish等。这类扫描工具一般具有单一、独特的功能,因此扫描速度极快、
更新速度快、容易使用,由于其开源、免费的特点,使其具有更广泛的影响力。
第三,商用的扫描工具,如eEye公司的Retina,Network Associates的CyberCop Scanner
以及Symantec 的NetRecon等。基本上大部分商业扫描器都工作在黑盒模式,在这种模式
下无法看到源代码,以一个近似于渗透者或攻击者的身份去看待需要评估的。在商业化应
用中,对误报、漏报的容忍程度比较低。商用扫描器在精确扫描之后,会给出一些建议和
手段来屏蔽。最初是提供一些修补建议,这种方式对专业人员来说有相当价值,但对于一
些较薄弱或者比较懒惰的用户,修补建议的作用就被忽略了。在新一代的商用扫描器中,
提出了修补联动的概念,通过发送注册表去提示用户,用户双击注册表,就可以导入需要
修改、升级补丁的信息,并且还可以和WSUS进行联动。这样就可以基本上达到自动化的
修补。
6. 网络监听技术的原理是什么?
答:
监听器Sniffer的原理是:在局域网中与其他计算机进行数据交换时,数据包发往所有
的连在一起的主机,也就是广播,在报头中包含目的机的正确地址。因此只有与数据包中
目的地址一致的那台主机才会接收数据包,其他的机器都会将包丢弃。但是,当主机工作
在监听模式下时,无论接收到的数据包中目的地址是什么,主机都将其接收下来。然后对
数据包进行分析,就得到了局域网中通信的数据。一台计算机可以监听同一网段所有的数
据包,不能监听不同网段的计算机传输的信息。
第5章 网络入侵
1. 简述社会工程学攻击的原理。
答:
社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学。研究一个站点的策
略,就是尽可能多地了解这个组织的个体,因此黑客不断试图寻找更加精妙的方法从他们
希望渗透的组织那里获得信息。
另一种社会工程的形式是黑客试图通过混淆一个计算机系统去模拟一个合法用户。
2. 登录系统以后如何得到管理员密码?如何利用普通用户建立管理员账
户?
答:
用户登录以后,所有的用户信息都存储在系统的一个进程中,这个进程是
“”,可以利用程序将当前登录用户的密码解码出来。
用普通用户账号登录后,可以利用等权限提升工具将自己加到管理员组
或者新建一个具有管理员权限的用户。
3. 简述暴力攻击的原理。暴力攻击如何破解操作系统的用户密码、如何
破解邮箱密码、如何破解Word文档的密码?针对暴力攻击应如何防御?
答:
暴力攻击的原理:黑客使用枚举的方法,使用运算能力较强的计算机,尝试每种可能
的字符破解密码,这些字符包括大小写、数字和通配符等。
字典文件为暴力破解提供了一条捷径,程序首先通过扫描得到系统的用户,然后利用
字典中每一个密码来登录系统,看是否成功,如果成功则显示密码。
邮箱的密码一般需要设置为8位以上,7位以下的密码容易被破解。尤其7位全部是
数字的密码,更容易被破解。使用相应暴力破解软件可以每秒50到100个密码的速度进
行匹配。
破解Word文档的密码方法与破解邮箱密码相似。
进行适宜的安全设置和策略,通过结合大小写字母、数字和通配符组成健壮的密码可
以防御暴力攻击。
4. 简述Unicode漏洞的基本原理。
答:
漏洞描述:攻击者可通过IE浏览器远程运行被攻击计算机的文件,从而使该
计算机的文件暴露,且可随意执行和更改文件。
Unicode标准被很多软件开发者所采用,无论何种平台、程序或开发语言,Unicode
均为每个字符提供独一无二的序号,如向IIS服务器发出包括非法Unicode UTF-8序列的
URL,攻击者可使服务器逐字“进入或退出”目录并执行任意程序,该攻击即称为目录转
换攻击。
Unicode用“%2f”和“%5c”分别代表“/”和“”字符,但也可用“超长”序列来
代替这些字符。“超长”序列是非法的Unicode表示符,如用“%c0%af”代表“/”字符。
由于IIS不对超长序列进行检查,因此在URL中添加超长的Unicode序列后,可绕过微软
的安全检查,如在一个标记为可执行的文件夹发出该请求,攻击者即可在服务器上运行可
执行文件。
5. 简述缓冲区溢出攻击的原理。
答:
当目标操作系统收到了超过了它的能接收的最大信息量时,将发生缓冲区溢出。这些
多余的数据使程序的缓冲区溢出,然后覆盖实际的程序数据。缓冲区溢出使目标系统的程
序被修改,经过这种修改的结果将在系统上产生一个后门。最常见的手段是通过制造缓冲
区溢出使程序运行一个用户shell,再通过shell执行其他命令,如果该shell有管理员权限,
就可以对系统进行任意操作。
6. 简述拒绝服务的种类与原理。
答:
DoS(Denial of Service,拒绝服务)攻击,其目的是使目标计算机或网络无法提供正
常的服务。最常见的DoS攻击是计算机网络带宽攻击和连通性攻击。带宽攻击是以极大的
通信量冲击网络,使网络所有可用的带宽都被消耗掉,最后导致合法用户的请求无法通过。
连通性攻击指用大量的连接请求冲击计算机,最终导致计算机无法再处理合法用户的请
求。
9. 简述DDos的特点以及常用的攻击手段,如何防范?
答:
分布式拒绝服务攻击的特点是先使用一些典型的黑客入侵手段控制一些高带宽的服
务器,然后在这些服务器上安装攻击进程,集数十台,数百台甚至上千台机器的力量对单
一攻击目标实施攻击。在悬殊的带宽力量对比下,被攻击的主机会很快因不胜重负而瘫痪。
分布式拒绝服务攻击技术发展十分迅速,由于其隐蔽性和分布性很难被识别和防御。
常用攻击手段及防范措施如下:
第一,破坏物理设备。这些物理设备包括:计算机、路由器、电源、冷却设备、网络
配线室等。防范这种破坏的主要措施有:例行检查物理实体的安全;使用容错和冗余网络
硬件的方法,必要时迅速实现物理设备切换,从而保证提供正常的应用服务。
第二,破坏配置文件。错误配置也会成为系统的安全隐患,这些错误配置常常发生在
硬件装置、系统或应用程序中。如果攻击者侵入目标系统,更改了某些配置信息,目标系
统很可能因配置不当而无法继续提供正常的服务。因此,管理员首先应该正确设置系统及
相关软件的配置信息,并将这些敏感信息备份到软盘等安全介质上;利用Tripwire等工具
的帮助及时发现配置文件的变化,并快速恢复这些配置信息保证系统和网络的正常运行。
第三,利用网络协议或系统的设计弱点和实现漏洞。SYN flooding攻击即是利用
TCP/IP协议的设计弱点,即建立连接时的三次握手协议和该过程中资源的非对称分配,及
IP欺骗。若要从根本上克服这些弱点,需要重新设计协议层,加入更多的安全控制机制。
若要在现有的网络构架中弥补这些弱点,可以采取上面介绍的半通明网关或主动监视技
术。
第四,消耗系统资源。系统资源包括CPU资源,内存资源,磁盘空间,网络带宽等,
攻击者利用资源有限的特点,恶意消耗系统资源,使系统无法提供正常的服务。Smurf,
DDoS等都属于该类型。随着攻击技术的日新月异,智能型协作型的攻击工具的不断开发,
信息的可用性面临着更为严峻的考验。安全专家对此深感忧虑,因为一旦发动DDoS攻击,
目前没有什么快速有效的解决办法。
另外,全球网络管理员要管理好自己的网络,可以采取下面这些行之有效的防范措施:
1)及时地给系统打补丁,设置正确的安全策略;
2)定期检查系统安全:检查是否被安装了DDoS攻击程序,是否存在后门等;
3)建立资源分配模型,设置阈值,统计敏感资源的使用情况;
4)优化路由器配置:(1)配置路由器的外网卡,丢弃那些来自外部网而源IP地址具
有内部网络地址的包;(2)配置路由器的内网卡,丢弃那些即将发到外部网而源IP地址
不具有内部网络地址的包;(3)设置TCP拦截;(4)限制TCP连接超时阈值;(5)禁止
IP广播包流入内部网络;(6)禁止外出的ICMP不可达消息;
5)由于攻击者掩盖行踪的手段不断加强,很难在系统级的日志文件中寻找到蛛丝马
迹。因此,第三方的日志分析系统能够帮助管理员更容易地保留线索,顺藤摸瓜,将肇事
者绳之以法;
6)使用DNS来跟踪匿名攻击;
7)对于重要的WEB服务器,为一个域名建立多个镜像主机。
第6章 网络后门与网络隐身
1. 留后门的原则是什么?
答:
后门的好坏取决于被管理员发现的概率,留后门的原则就是不容易被发现,让管理员
看了没有感觉、没有任何特别的地方。
2. 如何留后门程序?列举三种后门程序,并阐述原理及如何防御。
答:网络攻击经过踩点、扫描、入侵以后,如果攻击成功,一般就可以拿到管理员密
码或者得到管理员权限。
第一,Login后门。在Unix里,login程序通常用来对telnet来的用户进行口令验证。
入侵者获取login。c的原代码并修改,使它在比较输入口令与存储口令时先检查后门口令。
如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入。这将允许入侵者进入
任何账号,甚至是root。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前
产生一个访问的,所以入侵者可以登录获取shell却不会暴露该账号。管理员注意到这种
后门后,便用“strings”命令搜索login程序以寻找文本信息。许多情况下后门口令会原形
毕露。入侵者就开始加密或者更好的隐藏口令,使strings命令失效。所以更多的管理员是
用MD5校验和检测这种后门的。
第二,线程插入后门。这种后门在运行时没有进程,所有网络操作均播入到其他应用
程序的进程中完成。也就是说,即使受控制端安装的防火墙拥有“应用程序访问权限”的
功能,也不能对这样的后门进行有效的警告和拦截,也就使对方的防火墙形同虚设!这种
后门本身的功能比较强大,是现在非常主流的一种,对它的查杀比较困难,很让防护的人
头疼。
第三,网页后门。网页后门其实就是一段网页代码,主要以ASP和PHP代码为主。
由于这些代码都运行在服务器端,攻击者通过这段精心设计的代码,在服务器端进行某些
危险的操作,获得某些敏感的技术信息或者通过渗透,提权获得服务器的控制权。并且这
也是攻击者控制服务器的一条通道,比一般的入侵更具有隐蔽性。
防御后门的方法主要有:建立良好的安全习惯,关闭或删除系统中不需要的服务,经
常升级安全补丁,设置复杂的密码,迅速隔离受感染的计算机,经常了解一些反病毒资讯,
安装专业的防毒软件进行全面监控等。
3. 简述终端服务的功能,如何连接到终端服务器上?如何开启对方的终
端服务?
答:
终端服务是Windows操作系统自带的,可以通过图形界面远程操纵服务器。
可通过以下三种方式连接到终端服务器上:
第一,利用Windows 2000自带的终端服务工具。该工具中只需设置要连接
主机的IP地址和连接桌面的分辨率即可。
第二,使用Windows XP自带的终端服务连接器。它的界面比较简单,只要
输入对方主机的IP地址就可以了。
第三,使用Web方式连接,该工具包含几个文件,需要将这些文件配置到IIS的站点
中去。
假设对方不仅没有开启终端服务,而且没有安装终端服务所需要的软件,使用工具软
件可以给对方安装并开启该服务。
4. 简述木马由来,并简述木马和后门的区别。
答:
“木马”一词来自于“特洛伊木马”,英文名称为Trojan Horse。传说希腊人围攻特
洛伊城,久久不能攻克,后来军师想出了一个特洛伊木马计,让士兵藏在巨大的特洛伊木
马中,部队假装撤退而将特洛伊木马丢弃在特洛伊城下,让敌人将其作为战利品拖入城中,
到了夜里,特洛伊木马内的士兵便趁着夜里敌人庆祝胜利、放松警惕的时候从特洛伊木马
里悄悄地爬出来,与城外的部队里应外合攻下了特洛伊城。由于特洛伊木马程序的功能和
此类似,故而得名。
本质上,木马和后门都是提供网络后门的功能,但是木马的功能稍微强大一些,一般
还有远程控制的功能,后门程序则功能比较单一,只是提供客户端能够登录对方的主机。
5. 简述网络代理跳板的功能。
答:
网络代理跳板作用如下:当从本地入侵其他主机时,本地IP会暴露给对方。通过将
某一台主机设置为代理,通过该主机再入侵其他主机,这样就会留下代理的IP地址而有
效地保护自己的安全。本地计算机通过两级代理入侵某一台主机,这样在被入侵的主机上,
就不会留下自己的信息。可以选择更多的代理级别,但是考虑到网络带宽的问题,一般选择
两到三级代理比较合适。
6. 系统日志有哪些?如何清楚这些日志?
答:
系统日志包括IIS日志,应用程序日志、安全日志和系统日志等。
清除日志最简单的方法是直接到该目录下删除这些文件夹,但是文件全部删除以后,
一定会引起管理员的怀疑。一般入侵的过程是短暂的,只会保存到一个Log文件,只要在
该Log文件删除所有自己的记录就可以了。
使用工具软件可以删除IIS日志。使用工具软件可以方便
地清除系统日志,首先将该文件上载到对方主机,然后删除这3种主机日志。清除命令有
4种:Clearel System,Clearel Security,Clearel Application和Clearel All。
第7章 恶意代码分析与防治
1. 简述研究恶意代码的必要性。
答:
在Internet安全事件中,恶意代码造成的经济损失占有最大的比例。如今,恶意代码
已成为信息战、网络战的重要手段。日益严重的恶意代码问题,不仅使企业及用户蒙受了
巨大经济损失,而且使国家的安全面临着严重威胁。
2. 简述恶意代码长期存在的原因。
答:
在信息系统的层次结构中,包括从底层的操作系统到上层的网络应用在内的各个层次
都存在着许多不可避免的安全问题和安全脆弱性。而这些安全脆弱性的不可避免,直接导
致了恶意代码的必然存在。
3. 恶意代码是如何定义,可以分成哪几类?
答:
恶意代码的定义随着计算机网络技术的发展逐渐丰富,Grimes 将恶意代码定义为,
经过存储介质和网络进行传播,从一台计算机系统到另外一台计算机系统,未经授权认证
破坏计算机系统完整性的程序或代码。
它可以分成以下几种类型:计算机病毒(Computer Virus)、蠕虫(Worms)、特洛伊木马
(Trojan Horse)、逻辑炸弹(Logic Bombs)、病菌(Bacteria)、用户级RootKit、核心级RootKit、
脚本恶意代码(Malicious Scripts)和恶意ActiveX 控件。
4. 说明恶意代码的作用机制的6个方面,并图示恶意代码攻击模型。
答:
恶意代码的整个作用过程分为6个部分:
①侵入系统。侵入系统是恶意代码实现其恶意目的的必要条件。恶意代码入侵的途径
很多,如:从互联网下载的程序本身就可能含有恶意代码;接收已经感染恶意代码的电子
邮件;从光盘或软盘往系统上安装软件;黑客或者攻击者故意将恶意代码植入系统等。
②维持或提升现有特权。恶意代码的传播与破坏必须盗用用户或者进程的合法权限才
能完成。
③隐蔽策略。为了不让系统发现恶意代码已经侵入系统,恶意代码可能会改名、删除
源文件或者修改系统的安全策略来隐藏自己。
④潜伏。恶意代码侵入系统后,等待一定的条件,并具有足够的权限时,就发作并进
行破坏活动。
⑤破坏。恶意代码的本质具有破坏性,其目的是造成信息丢失、泄密,破坏系统完整
性等。
⑥重复①至⑤对新的目标实施攻击过程。恶意代码的攻击模型如下图所示。
5. 简述恶意代码的生存技术是如何实现的。
答:
恶意代码生存技术通过以下4个方面实现:反跟踪技术、加密技术、模糊变换技术和
自动生产技术。
第一,反跟踪技术。恶意代码采用反跟踪技术可以提高自身的伪装能力和防破译能力,
增加检测与清除恶意代码的难度。目前常用的反跟踪技术有两类:反动态跟踪技术和反静
态分析技术。
第二,加密技术。加密技术是恶意代码自我保护的一种手段,加密技术和反跟踪技术
的配合使用,使得分析者无法正常调试和阅读恶意代码,不知道恶意代码的工作原理,也
无法抽取特征串。从加密的内容上划分,加密手段分为信息加密、数据加密和程序代码加
密三种。
第三,模糊变换技术。利用模糊变换技术,恶意代码每感染一个客体对象时,潜入宿
主程序的代码互不相同。同一种恶意代码具有多个不同样本,几乎没有稳定代码,采用基
于特征的检测工具一般不能识别它们。随着这类恶意代码的增多,不但使得病毒检测和防
御软件的编写变得更加困难,而且还会增加反病毒软件的误报率。
第四,自动生产技术。恶意代码自动生产技术是针对人工分析技术的。“计算机病毒
生成器”,使对计算机病毒一无所知的用户,也能组合出算法不同、功能各异的计算机病
毒。“多态性发生器”可将普通病毒编译成复杂多变的多态性病毒。多态变换引擎可以使
程序代码本身发生变化,并保持原有功能。
6. 简述恶意代码如何实现攻击技术。
答:
恶意代码通过以下几种技术实现攻击技术:进程注入技术、三线程技术、端口复用技
术、超级管理技术、端口反向连接技术和缓冲区溢出攻击技术。
第一,进程注入技术。当前操作系统中都有系统服务和网络服务,它们都在系统启动
时自动加载。进程注入技术就是将这些与服务相关的可执行代码作为载体,恶意代码程序
将自身嵌入到这些可执行代码之中,实现自身隐藏和启动的目的。
第二,三线程技术。在Windows 操作系统中引入了线程的概念,一个进程可以同时
拥有多个并发线程。三线程技术就是指一个恶意代码进程同时开启了三个线程,其中一个
为主线程,负责远程控制的工作。另外两个辅助线程是监视线程和守护线程,监视线程负
责检查恶意代码程序是否被删除或被停止自启动。
第三,端口利用技术。端口复用技术,系指重复利用系统网络打开的端口(如25、80、
135和139等常用端口)传送数据,这样既可以欺骗防火墙,又可以少开新端口。端口复
用是在保证端口默认服务正常工作的条件下复用,具有很强的欺骗性。
第四,超级管理技术。一些恶意代码还具有攻击反恶意代码软件的能力。为了对抗反
恶意代码软件,恶意代码采用超级管理技术对反恶意代码软件系统进行拒绝服务攻击,使
反恶意代码软件无法正常运行。
第五,端口反向连接技术。防火墙对于外部网络进入内部网络的数据流有严格的访问
控制策略,但对于从内网到外网的数据却疏于防范。端口反向连接技术,系指令恶意代码
攻击的服务端(被控制端)主动连接客户端(控制端)。
第六,缓冲区溢出攻击技术。缓冲区溢出漏洞攻击占远程网络攻击的80%,这种攻击
可以使一个匿名的Internet 用户有机会获得一台主机的部分或全部的控制权,代表了一类
严重的安全威胁。恶意代码利用系统和网络服务的安全漏洞植入并且执行攻击代码,攻击
代码以一定的权限运行有缓冲区溢出漏洞的程序,从而获得被攻击主机的控制权。
7. 简述恶意代码如何实现隐藏技术。
答:
隐藏通常包括本地隐藏和通信隐藏,其中本地隐藏主要有文件隐藏、进程隐藏、网络
连接隐藏、内核模块隐藏、编译器隐藏等。网络隐藏主要包括通信内容隐藏和传输通道隐
藏。
本地隐蔽是指为了防止本地系统管理人员觉察而采取的隐蔽手段。隐蔽手段主要有三
类:一类方法是将恶意代码隐蔽(附着、捆绑或替换)在合法程序中,可以避过简单管理
命令的检查;另一类方法是如果恶意代码能够修改或替换相应的管理命令,也就是把相应
管理命令恶意代码化,使相应的输出信息经过处理以后再显示给用户,就可以很容易地达
到蒙骗管理人员,隐蔽恶意代码自身的目的;还有一类方法是分析管理命令的检查执行机
制,利用管理命令本身的弱点巧妙地避过管理命令,可以达到既不修改管理命令,又达到
隐蔽的目的。从上述隐蔽方法看来,恶意代码植入的位置越靠近操作系统低层越不容易被
检测出来,对系统安全构成的威胁也就越大。
使用加密算法对所传输的内容进行加密能够隐蔽通信内容。隐蔽通信内容虽然可以保
护通信内容,但无法隐蔽通信状态,因此传输信道的隐蔽也具有重要的意义。对传输信道
的隐蔽主要采用隐蔽通道技术。隐蔽通道是允许进程违反系统安全策略传输信息的通道。
8. 简述蠕虫的功能结构。
答:
网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块。实现了主体功能模块的
蠕虫能够完成复制传播流程,而包含辅助功能模块的蠕虫程序则具有更强的生存能力和破
坏能力。网络蠕虫功能结构如下图所示。
9. 简述目前恶意代码的防范方法。
答:
恶意代码防范方法主要分为两方面:基于主机的恶意代码防范方法和基于网络的恶意
代码防范方法。
第一,基于主机的恶意代码防范方法。主要包括:基于特征的扫描技术、校验和、沙
箱技术和安全操作系统对恶意代码的防范,等等。
第二,基于网络的恶意代码防范方法。基于网络的恶意代码防范方法包括:恶意代码
检测防御和恶意代码预警。其中常见的恶意代码检测防御包括:基于GrIDS的恶意代码检
测、基于PLD硬件的检测防御、基于HoneyPot的检测防御和基于CCDC的检测防御。
第8章 安全操作系统基础
1. 简述操作系统账号密码的重要性,有几种方法可以保护密码不被破解
或者被盗取?
答:
标识与鉴别是涉及系统和用户的一个过程,可将系统账号密码视为用户标识符及其鉴
别。标识就是系统要标识用户的身份,并为每个用户取一个系统可以识别的内部名称——
用户标识符。用户标识符必须是惟一的且不能被伪造,防止一个用户冒充另一个用户。将
用户标识符与用户联系的过程称为鉴别,鉴别过程主要用以识别用户的真实身份,鉴别操
作总是要求用户具有能够证明他的身份的特殊信息,并且这个信息是秘密的,任何其他用
户都不能拥有它。
较安全的密码应是不小于6个字符并同时含有数字和字母的口令,并且限定一个口令
的生存周期。另外生物技术是一种比较有前途的鉴别用户身份的方法,如利用指纹、视网
膜等,目前这种技术已取得了长足进展,逐步进入了应用阶段。
2. 简述审核策略、密码策略和账户策略的含义,以及这些策略如何保护
操作系统不被入侵。
答:
审核策略:安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对系统进
行某种方式(如尝试用户密码,改变账户策略和未经许可的文件访问等)入侵时,都会被
安全审核记录下来。
密码策略:密码对系统安全非常重要,密码策略用于保证密码的安全性。其策略包括:
“密码复杂性要求”是要求设置的密码必须是数字和字母的组合;“密码长度最小值”是
要求密度长度至少为6位;“密码最长存留期15天”是要求当该密码使用超过15天以后,
就自动要求用户修改密码;“强制密码历史”是要求当前设置的密码不能和前面5次的密
码相同。
账号策略:开启账户策略可以有效防止字典式攻击。账号策略包括:复位账户锁定计
数器,账户锁定时间,账户锁定阈值等策略。如账户锁定阈值等于5,账户锁定时间等于
30分钟,则当某一用户连续尝试5次登录都失败后将自动锁定该账户,30分钟后自动复
位被锁定的账户。
3. 如何关闭不需要的端口和服务?
答:
用端口扫描器扫描系统所开放的端口,在Winntsystem32driversetcservices文件中有
知名端口和服务的对照表可供参考。用记事本打开该文件,如图1所示。
图1 端口与服务对照表
设置本机开放的端口和服务,在IP地址设置窗口中单击“高级”按钮,如图2所示。
图2 设置IP的高级属性
在出现的“高级TCP/IP设置”对话框中选择“选项”选项卡,选择“TCP/IP筛选”,
单击“属性”按钮,如图3所示。
图3 设置TCP/IP筛选
设置完毕的端口界面如图4所示。
图4 启用TCP/IP筛选
一台Web服务器只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自
带的防火墙,功能比较强大,可以替代防火墙的部分功能。
6. 简述BLP模型和Biba模型功能以及特点。
答:
BLP模型:
Bell-LaPadula模型(简称BLP模型)是D. Elliott Bell和Leonard J. LaPadula于1973
年提出的一种适用于军事安全策略的计算机操作系统安全模型,它是最早、也是最常用的
一种计算机多级安全模型之一。
BLP模型是一个状态机模型,它形式化地定义了系统、系统状态以及系统状态间的转
换规则;定义了安全概念;制定了一组安全特性,以此对系统状态和状态转换规则进行限
制和约束,使得对于一个系统而言,如果它的初始状态是安全的,并且所经过的一系列规
则转换都保持安全,那么可以证明该系统的终了也是安全的。BLP模型通过防止非授权信
息的扩散保证系统的安全,但它不能防止非授权修改系统信息。
Biba模型:
于是Biba等人在1977年提出了第一个完整性安全模型——Biba模型,其主要应用是
保护信息的完整性,而BLP模型是保护信息机密性。Biba模型也是基于主体、客体以及
它们的级别的概念的。模型中主体和客体的概念与BLP模型相同,对系统中的每个主体和
每个客体均分配一个级别,称为完整级别。
7. 简述Flask安全体系结构的优点。
答:
Flask体系结构使策略可变通性的实现成为可能。通过对Flask体系的微内核操作系统
的原型实现表明,它成功的克服了策略可变通性带来的障碍。这种安全结构中机制和策略
的清晰区分,使得系统可以使用比以前更少的策略来支持更多的安全策略集合。Flask包
括一个安全策略服务器来制定访问控制决策,一个微内核和系统其他客体管理器框架来执
行访问控制决策。虽然原型系统是基于微内核的,但是安全机制并不依赖微内核结构,意
味着这个安全机制在非内核的情况下也能很容易的实现。
由此产生的系统提供了策略的可变通性,也支持策略的多样性。通过确保安全策略已
经考虑了每个访问决策来控制访问权限的增长。由直接集成到系统的服务来提供组件的执
行机制,支持精细访问控制和允许对以前授予访问权限的撤回的动态策略。此外有原始的
性能结论和对编码变化的数量和扩散统计显示,系统安全策略的可变通的影响能被保持到
最小。
Flask结构也可以适用于除操作系统之外的其它软件,例如中间件或分布式系统,但
此时由底层操作系统的不安全性所导致的弱点仍保留。
8. 简述安全操作系统的机制。
答:
安全操作系统的机制包括:硬件安全机制,操作系统的安全标识与鉴别,访问控制、
最小特权管理、可信通路和安全审计。
1) 硬件安全机制
绝大多数实现操作系统安全的硬件机制也是传统操作系统所要求的,优秀的硬件保护
性能是高效、可靠的操作系统的基础。计算机硬件安全的目标是,保证其自身的可靠性和
为系统提供基本安全机制。其中基本安全机制包括存储保护、运行保护、I/O保护等。
2) 操作系统的安全标识与鉴别
标识与鉴别是涉及系统和用户的一个过程。标识就是系统要标识用户的身份,并为每
个用户取一个系统可以识别的内部名称——用户标识符。用户标识符必须是惟一的且不能
被伪造,防止一个用户冒充另一个用户。将用户标识符与用户联系的过程称为鉴别,鉴别
过程主要用以识别用户的真实身份,鉴别操作总是要求用户具有能够证明他的身份的特殊
信息,并且这个信息是秘密的,任何其他用户都不能拥有它。
3) 访问控制
在安全操作系统领域中,访问控制一般都涉及自主访问控制(Discretionary Access
Control,DAC)和强制访问控制(Mandatory Access Control,MAC)两种形式。
自主访问控制是最常用的一类访问控制机制,用来决定一个用户是否有权访问一些特
定客体的一种访问约束机制。在自主访问控制机制下,文件的拥有者可以按照自己的意愿
精确指定系统中的其他用户对其文件的访问权。
在强制访问控制机制下,系统中的每个进程、每个文件、每个 IPC 客体( 消息队列、
信号量集合和共享存贮区)都被赋予了相应的安全属性,这些安全属性是不能改变的,它由
管理部门(如安全管理员)或由操作系统自动地按照严格的规则来设置,不像访问控制表
那样由用户或他们的程序直接或间接地修改。
4) 最小特权管理
最小特权管理的思想是系统不应给用户超过执行任务所需特权以外的特权,如将超级
用户的特权划分为一组细粒度的特权,分别授予不同的系统操作员/管理员,使各种系统操
作员/管理员只具有完成其任务所需的特权,从而减少由于特权用户口令丢失或错误软件、
恶意软件、误操作所引起的损失。
5) 可信通路
在计算机系统中,用户是通过不可信的中间应用层和操作系统相互作用的。但用户登
录,定义用户的安全属性,改变文件的安全级等操作,用户必须确实与安全核心通信,而
不是与一个特洛伊木马打交道。这种用保障用户和内核通信的机制由可信通路提供。
6) 安全审计
一个系统的安全审计就是对系统中有关安全的活动进行记录、检查及审核。它的主要
目的就是检测和阻止非法用户对计算机系统的入侵,并显示合法用户的误操作。
第9章 密码学与信息加密
1. 密码学包含哪些概念?有什么功能?
答:
密码学(Cryptology)是研究信息系统安全保密的科学,密码编码学(Cryptography)
主要研究对信息进行编码,实现对信息的隐藏。密码分析学(Cryptanalytics)主要研究加
密消息的破译或消息的伪造。
密码学主要包含以下几个概念:
1)密码学的目标:保护数据的保密性、完整性和真实性。保密性就是对数据进行加
密,使非法用户无法读懂数据信息,而合法用户可以应用密钥读取信息。完整性是对数据
完整性的鉴别,以确定数据是否被非法纂改,保证合法用户得到正确、完整的信息。真实
性是数据来源的真实性、数据本身真实性的鉴别,可以保证合法用户不被欺骗。
2)消息的加密与解密:消息被称为明文,用某种方法伪装消息以隐藏它的内容的过
程称为加密,加了密的消息称为密文,而把密文转变为明文的过程称为解密。
3)密码学的功能:提供除机密性外,密码学还提供鉴别、完整性和抗抵赖性等重要
功能。这些功能是通过计算机进行社会交流至关重要的需求。
鉴别:消息的接收者应该能够确认消息的来源;入侵者不可能伪装成他人。
完整性:消息的接收者应该能够验证在传送过程中消息没有被修改;入侵者不可能用
假消息代替合法消息。
抗抵赖性:发送消息者事后不可能虚假地否认他发送的消息。
4)密码算法和密钥:
密码算法也叫密码函数,是用于加密和解密的数学函数。通常情况下,有两个相关的
函数:一个用做加密,另一个用做解密。
密钥是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入的数据。
基于密钥的算法通常有两类:对称算法和公开密钥算法。
对称密钥加密,又称公钥加密,即信息的发送方和接收方用一个密钥去加密和解密数
据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。
非对称密钥加密,又称私钥密钥加密。它需要使用一对密钥来分别完成加密和解密操
作,一个公开发布,即公开密钥,另一个由用户自己秘密保存,即私用密钥。信息发送者
用公开密钥去加密,而信息接收者则用私用密钥去解密。私钥机制灵活,但加密和解密速
度却比对称密钥加密慢得多。
2. 简述对称加密算法的基本原理。
答:
对称算法有时又称为传统密码算法,加密密钥能够从解密密钥中推算出来,反过来也
成立。在大多数对称算法中,加解密的密钥是相同的。在对称加密算法中,数据发信方将
明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发
送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆
算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一
个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加
密密钥。对称算法要求发送者和接收者在安全通信之前,协商一个密钥。对称算法的安全
性依赖于密钥,泄漏密钥就意味着任何人都能对消息进行加解密。对称算法的加密和解密
表示为:
E
K
(M)=C
D
K
(C)=M
3. 利用对称加密算法对“1234567”进行加密,并进行解密。(上机完成)
答:(略)
4. 简述公开密钥算法的基本原理。
答:
公开密钥算法,加密密钥能够公开,即陌生者能用加密密钥加密信息,但只有用相应
的解密密钥才能解密信息。如果发信方想发送只有收信方才能解读的加密信息,发信方必
须首先知道收信方的公钥,然后利用收信方的公钥来加密原文;收信方收到加密密文后,
使用自己的私钥才能解密密文。显然,采用不对称加密算法,收发信双方在通信之前,收
信方必须将自己早已随机生成的公钥送给发信方,而自己保留私钥。
公开密钥K1加密表示为:E
K1
(M)=C。公开密钥和私人密钥是不同的,用相应的私
人密钥K2解密可表示为:D
K2
(C)=M。
5. 利用公开密钥算法对“1234567”进行加密,并进行解密。(上机完成)
答:(略)
6. 比较对称加密算法和公开密钥算法,分析它们的异同。
答:
通过比较第2、4对称密钥和公开密钥两种算法的基本原理,我们不难看出二者有以
下异同点:
1)相同点:二者都采用密钥加密解密。
2)不同点:
对称密钥加密的加密密钥和解密密钥是同一个密钥,收信方想解读密文必须拥有发信
方的密钥,密钥是非公开的。对称密钥得法具有算法公开、计算量小、加密速度快、加密
效率高等特点,但是对称密钥算法安全性过于依赖密钥,导致密钥管理负担重、成本高,
在分布式网络系统中使用较为困难。
公开密钥算法有两个密钥,一个密钥值用来加密消息,另一个密钥值用来解密消息。
这两个密钥值在同一个过程中生成,称为密钥对。用来加密消息的密钥称为公钥,用来解
密消息的密钥称为私钥。用公钥加密的消息只能用与之对应的私钥来解密,私钥除了持有
者外无人知道,而公钥却可通过非安全管道来发送或在目录中发布,这使得公开密钥算法
可广泛应用于分布式系统中。非对称加密体系不要求通信双方事先传递密钥或有任何约定
就能完成保密通信,并且密钥管理方便,可实现防止假冒和抵赖,因此,更适合网络通信
中的保密通信要求。公开密钥算法比对称加密算法慢数千倍,但在保护通信安全方面,公
开密钥算法却具有对称密码难以企及的优势。
7. 恺撒密码的加密方法是把a变成D,b变成E,c换成F,依次类推,z
换成C。这样明文和密文的字母就建立一一对应的关系。加密原理其实就
是:对明文加上了一个偏移值29,即“a”对应的ASCII码位97,“D”
对应的ASCII码为68,相减得到29。
编写程序1:实现恺撒密码加密单词“julus”。(上机完成)
编写程序2:实现解密,将程序1得到的密文进行解密。(上机完成)
答:(略)
8. 简述PGP加密技术的应用。
答:
PGP(Pretty Good Privacy)加密技术是一个基于RSA公钥加密体系的邮件加密软件,
提出了公共钥匙或不对称文件的加密技术。
PGP加密技术的创始人是美国的Phil Zimmermann。他创造性地把RSA公钥体系和传
统加密体系结合起来,并且在数字签名和密钥认证管理机制上有巧妙的设计,因此PGP
成为目前几乎最流行的公钥加密软件包。
由于RSA算法计算量极大,在速度上不适合加密大量数据,所以PGP实际上用来加
密的不是RSA本身,而是采用传统加密算法IDEA,IDEA加解密的速度比RSA快得多。
PGP随机生成一个密钥,用IDEA算法对明文加密,然后用RSA算法对密钥加密。收件
人同样是用RSA解出随机密钥,再用IEDA解出原文。这样的链式加密既有RSA算法的
保密性和认证性(Authentication),又保持了IDEA算法速度快的优势。
9. 使用PGP软件加密文件,并与其他人交换密钥。(上机完成)
答:(略)
10. 简述X.509 v3 证书的结构。
答:
X.509 v3 证书主要结构如下:
1)版本号 该域用于区分各连续版本的证书,像版本1、版本2 和版本3。版本号域
同样允许包括将来可能的版本。
2) 证书序列号 该域含有一个唯一于每一个证书的整数值,它是由认证机构产生的。
3) 签名算法标识符 该域用来说明签发证书所使用的算法以及相关的参数。
4) 签发者 该域用于标识生成和签发该证书的认证机构的唯一名。
5)有效期(Not Before/After) 该域含有两个日期/时间值:“Not Valid Before”和“Not
Valid After”;它们定义了该证书可以被看作有效的时间段,除非该证书被撤销。
6)拥有者 该域标识本证书拥有者的唯一名(DN),也就是拥有与证书中公钥所对应私
钥的主体。此域必须非空,除非在版本3 的扩展项中使用了其他的名字。
7)拥有者公钥信息 该域含有拥有者的公钥、算法标识符以及算法所使用的任何相关
参数。该域必须有且仅有一个条目(非空)。
第10章 防火墙与入侵检测
1. 什么是防火墙?古时候的防火墙和目前通常说的防火墙有什么联系和
区别?
答:
防火墙的本义原指古代人们的房屋之间修建的墙,这道墙可以防止火灾发生时蔓延到
别的房屋。现今防火墙不是指为了防火而造的墙,而是指隔离在本地网络与外界网络之间
的一道防御系统。在互联网上,防火墙是一种非常有效的网络安全系统,通过它可以隔离
风险区域(Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍安
全区域对风险区域的访问。可见,不管古代和今天的防火墙,在安全意义上都是在防范某
种特定的风险。
2. 简述防火墙的分类,并说明分组过滤防火墙的基本原理。
答:
常见的防火墙有3种类型:分组过滤防火墙,应用代理防火墙,状态检测防火墙。
分组过滤防火墙基本原理如下:
数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃各个数据
包。通常情况下,如果规则中没有明确允许指定数据包的出入,那么数据包将被丢弃。
分组过滤防火墙审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则
基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目的地址、内部
协议(TCP,UDP或ICMP)、TCP、UDP目的端口和ICMP消息类型等。如果包的信息
匹配所允许的数据包,那么该数据包便会按照路由表中的信息被转发。如果不匹配规则,
用户配置的默认参数会决定是转发还是丢弃数据包。
3. 常见防火墙模型有哪些?比较它们的优缺点。
答:
常见防火墙系统一般按照4种模型构建:筛选路由器模型、单宿主堡垒主机(屏蔽主
机防火墙)模型、双宿主堡垒主机模型(屏蔽防火墙系统模型)和屏蔽子网模型。
第一,筛选路由器模型是网络的第一道防线,功能是实施包过滤。创建相应的过滤策
略时对工作人员的TCP/IP的知识有相当的要求,如果筛选路由器被黑客攻破,那么内部
网络将变得十分危险。该防火墙不能够隐藏内部网络的信息、不具备监视和日志记录功能。
第二,单宿主堡垒主机(屏蔽主机防火墙)模型由包过滤路由器和堡垒主机组成。该
防火墙系统提供的安全等级比包过滤防火墙系统要高,它实现了网络层安全(包过滤)和
应用层安全(代理服务)。单宿主堡垒主机在内部网络和外部网络之间,具有防御进攻的
功能,通常充当网关服务。优点是安全性比较高,但是增加了成本开销和降低了系统性能,
并且对内部计算机用户也会产生影响。
第三,双宿主堡垒主机模型(屏蔽防火墙系统)可以构造更加安全的防火墙系统。双
宿主堡垒主机有两种网络接口,但是主机在两个端口之间直接转发信息的功能被关掉了。
在物理结构上强行使所有去往内部网络的信息必须经过堡垒主机。双宿主堡垒主机是惟一
能从外部网上直接访问的内部系统,所以有可能受到攻击的主机就只有堡垒主机本身。但
是,如果允许用户注册到堡垒主机,那么整个内部网络上的主机都会受到攻击的威胁,所
以一般禁止用户注册到堡垒主机。
第四,屏蔽子网模型用了两个包过滤路由器和一个堡垒主机,它是最安全的防火墙系
统之一,因为在定义了“中立区”(Demilitarized Zone,DMZ)网络后,它支持网络层和
应用层安全功能。
4. 编写防火墙规则:禁止除管理员计算机(IP为172.18.25.110)外任何
一台计算机访问某主机(IP为172.18.25.109)的终端服务(TCP端口
3389)。
答:规则集如下:
组 序 号
1
2
动 作
允许
禁止
源 IP 目 的 IP 源 端 口
*
*
目 的 端
口
3389
3389
协 议 类
型
TCP
TCP
172.18.25.110 172.18.25.109
* 172.18.25.109
第1条规则:主机172.18.25.110可以以任何端口访问任何主机172.18.25.109的3389
端口,基于TCP协议的数据包都允许通过。第2条规则:任何主机的端口访问主机
172.18.25.109的任何端口,基于TCP协议的数据包都禁止通过。
这样写对吗?组序号优先级怎么判定?
5. 使用Winroute实现第4题的规则。(上机完成)
答:(略)
6. 简述创建防火墙的基本步骤及每一步的注意点。
答:
成功创建一个防火墙系统一般需要6个步骤:制定安全策略,搭建安全体系结构,制
定规则次序,落实规则集,注意更换控制和做好审计工作。
第一,制定安全策略。防火墙和防火墙规则集只是安全策略的技术实现。在建立规则
集之前,必须首先理解安全策略。安全策略一般由管理人员制定,实际的安全策略会特别
复杂。在实际应用中,需要根据公司的实际情况制定详细的安全策略。
第二,搭建安全体系结构。作为一个安全管理员,需要将安全策略转化为安全体系结
构。
第三,制定规则次序。在建立规则集时,需要注意规则的次序,哪条规则放在哪条之
前是非常关键的。同样的规则,以不同的次序放置,可能会完全改变防火墙的运转情况。
第四,落实规则集。选择好素材后就可以建立规则集。一个典型的防火墙的规则集合
包括12个方面,在此不详述。
第五,注意更换控制。当规则组织好后,应该写上注释并经常更新,注释可以帮助理
解每一条规则做什么。对规则理解得越好,错误配置的可能性就越小。对那些有多重防火
墙管理员的大机构来说,建议当规则被修改时,把规则更改者的名字、规则变更的日期和
时间、规则变更的原因等信息加入注释中,这可以帮助管理员跟踪谁修改了哪条规则及修
改的原因。
第六,建立好规则集后,检测是否可以安全地工作是关键的一步。防火墙实际上是一
种隔离内外网的工具。在Internet中,很容易犯一些配置上的错误。通过建立一个可靠的、
简单的规则集,可以在防火墙之后创建一个更安全的网络环境。需要注意的是:规则越简
单越好。网络的头号敌人是错误配置,尽量保持规则集简洁和简短,因为规则越多,就越
可能犯错误,规则越少,理解和维护就越容易。一个好的准则是最好不要超过30条,一
旦规则超过50条,就会以失败而告终。
7. 什么是入侵检测系统?简述入侵检测系统目前面临的挑战。
答:
入侵检测系统(Intrusion Detection System,IDS)指的是一种硬件或者软件系统,该
系统对系统资源的非授权使用能够做出及时的判断、记录和报警。
没有一个入侵检测能无敌于误报,因为没有一个应用系统不会发生错误,原因主要有:
主机与入侵检测系统缺乏共享数据的机制、缺乏集中协调的机制、缺乏揣摩数据在一段时
间内变化的能力、缺乏有效的跟踪分析。另外攻击可以来自四方八面,特别是技术高超、
由一群人组织策划的攻击。攻击者要花费长时间准备及在全球性发动攻击。时至今日,找
出这样复杂的攻击也是一件难事。有着不同种类漏洞的广泛分布异构计算机系统,使入侵
检测系统很难对付,尤其是这样的系统有大量未经处理的流动数据,而实体之间又缺乏通
信及信任机制。
8. 简述入侵检测常用的4种方法。
答:
常用的方法有3种:静态配置分析、异常性检测方法,基于行为的检测方法和文件完
整性检查。
第一,静态配置分析。静态配置分析通过检查系统的配置(如系统文件的内容)来检
查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(如系统配置信息)。
采用静态分析方法是因为入侵者对系统攻击时可能会留下痕迹,可通过检查系统的状态检
测出来。另外,系统在遭受攻击后,入侵者也可能在系统中安装一些安全性后门以便于以
后对系统的进一步攻击。对系统的配置信息进行静态分析,可及早发现系统中潜在的安全
性问题,并采取相应的措施来补救。但这种方法需要对系统的缺陷尽可能的了解;否则,
入侵者只需要简单地利用那些系统安全系统未知的缺陷就可以避开检测系统。
第二,异常性检测方法。异常性检测技术是一种在不需要操作系统及其安全性缺陷的
专门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的
有效方法。基于用户特征轮廓的入侵检测系统模型的基本思想是:通过对系统审计数据的
分析建立起系统主体(单个用户、一组用户、主机甚至是系统中的某个关键的程序和文件
等)的正常行为特征轮廓,检测时,如果系统中的审计数据与已建立的主体的正常行为特
征有较大出入就认为是一个入侵行为。特征轮廓是借助主体登录的时间、登录的位置、CPU
的使用时间及文件的存取等属性来描述它的正常行为特征。当主体的行为特征改变时,对
应的特征轮廓也相应改变。
第三,基于行为的检测方法。基于行为的检测方法通过检测用户行为中的那些与某些
已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安全规则
的行为,来检测系统中的入侵活动。
第四,文件完整性检查。文件完整性检查系统检查计算机中自上次检查后文件变化情
况。文件完整性检查系统保存有每个文件的数字文摘数据库,每次检查时,它重新计算文
件的数字文摘并将它与数据库中的值相比较,如不同,则文件已被修改,若相同,文件则
未发生变化。
9. 编写程序实现每10秒检查一次与端口关联的应用程序。(上机完成)
答:(略)
10. 简述入侵检测的步骤及每一步的工作要点。
答:
入侵检测的3个步骤:信息收集、数据分析和响应。
第一,信息收集。收集的内容包括整个计算机网络中系统、网络、数据及用户活动的
状态和行为。入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此,
要确保采集、报告这些信息的软件工具的可靠性。
第二,数据分析。数据分析是入侵检测系统的核心,它的效率高低直接决定了整个入
侵检测系统的性能的高低。根据数据分析的不同方式可将入侵检测系统分为异常
(Anomaly)入侵检测与滥用(Misuse)入侵检测两类。攻击技术是不断发展的,在其攻
击模式添加到模式库以前,新类型的攻击就可能会对系统造成很大的危害。所以,入侵检
测系统只有同时使用这两种入侵检测技术,才能避免不足。这两种方法通常与人工智能相
结合,以使入侵检测系统有自学习的能力。
第三,响应。数据分析发现入侵迹象后,入侵检测系统的下一步工作就是响应,而响
应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应。
(1)将分析结果记录在日志文件中,并产生相应的报告。
(2)触发警报,如在系统管理员的桌面上产生一个告警标志位,向系统管理员发送
传呼或电子邮件,等等。
(3)修改入侵检测系统或目标系统,如终止进程、切断攻击者的网络连接或更改防
火墙配置等。
11. 对某一台装有入侵检测工具的计算机进行扫描、攻击等实验,查看入
侵检测系统的反应,并编写实验报告。(上机完成)
答:(略)
第11章 IP安全与Web安全
1. 说明IP安全的必要性。
答:
大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络
协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链
路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的,目前占统治地位的是
IPv4。IPv4在设计之初没有考虑安全性,IP包本身并不具备任何安全特性,导致在网络上
传输的数据很容易受到各式各样的攻击:比如伪造IP包地址、修改其内容、重播以前的
包以及在传输途中拦截并查看包的内容等。因此,通信双方不能保证收到IP数据报的真
实性。所以说,IP安全具有很大的必要性。
2. 简述IP安全的作用方式。
答:
IPSec是IPv6的一个组成部分,是IPv4的一个可选扩展协议。IPSec弥补了IPv4在协
议设计时缺乏安全性考虑的不足。IPSec定义了一种标准的、健壮的以及包容广泛的机制,
可用它为IP以及上层协议(比如TCP或者UDP)提供安全保证。IPSec的目标是为IPv4
和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能,在IP层实现多种安
全服务,包括访问控制、数据完整性、机密性等。IPSec通过支持一系列加密算法如DES、
三重DES、IDEA和AES等确保通信双方的机密性。
IPSec的实现方式有两种:传输模式和隧道模式,都可用于保护通信。其中传输模型
的作用方式如图1所示。
Internet
加密的TCP会话
图1 传输模式示意图
传输模式用于两台主机之间,保护传输层协议头,实现端到端的安全性。当数据包从
传输层传送给网络层时,AH和ESP会进行拦截,在IP头与上层协议之间需插入一个IPSec
头。当同时应用AH和ESP到传输模式时,应该先应用ESP,再应用AH。另一种隧道模
式的实现方式如图2所示。
加密的隧道
局域网
Internet
局域网局域网
图2 隧道模式示意图
隧道模式用于主机与路由器或两部路由器之间,保护整个IP数据包。将整个IP数据
包进行封装(称为内部IP头),然后增加一个IP头(称为外部IP头),并在外部与内部
IP头之间插入一个IPSec头。
3. 图示验证头AH和封装安全有效载荷ESP的结构。
答:
第一,验证头AH。AH为IP报文提高能够数据完整性校验和身份验证,还具备可选
择的重放攻击保护,但不提供数据加密保护。AH不对受保护的IP数据报的任何部分进行
加密,除此之外,AH具有ESP的所有其他功能。AH的协议分配数为51,AH和ESP同
时保护数据,在顺序上,AH在ESP之后,其结构如图3所示:
0
下一头部
7
载荷长度
安全参数索引
序列号
验证数据
15
23
保留
31
图3 AH格式
第二,封装安全有效载荷ESP。ESP为IP报文提供数据完整性校验、身份验证、数据
加密以及重放攻击保护等。除了AH提供的所有服务外,还提供机密性服务。ESP可在传
输模式以及隧道模式下使用。ESP头可以位于IP头与上层协议之间,或者用它封装整个
IP数据报。ESP协议分配数为50,其结构如图4所示:
0
ESP
头部
715
安全参数索引
序列号
初始化向量
有效载荷:要保护的数据
加
密
范
围
下一头部
验
证
范
围
23
31
ESP
尾部
ESP验
证数据
填充项
填充长度
验证数据
图4 ESP格式
4. 简述IKE协议的组成以及两个阶段。
答:
整个IKE协议规范主要由3个文档定义:RFC2407、RFC2408和RFC2409。RFC2407
定义了因特网IP安全解释域。RFC2408描述了因特网安全关联和密钥管理协议(Internet
Security Association and Key Manangement Protocol,KSAKMP)。RFC2409描述了IKE协
议如何利用Oakley,SKEME和ISAKMP进行安全关联的协商。
IKE基于两个阶段的ISAKMP来建立安全关联SA,第一阶段建立IKE SA,第二阶段
利用IKE SA建立IPSec的SA。对于第一阶段,IKE交换基于两种模式:主模式(Main Mode)
和野蛮模式(Aggressive Mode)。主模式是一种身份保护交换,野蛮模式基于ISAKMP
的野蛮交换方法。在第二阶段中,IKE提供一种快速交换(Quick Mode),作用是为除IKE
之外的协议协商安全服务。
5. 说明Web安全性中网络层、传输层和应用层安全性的实现机制。
答:
第一,网络层。网络层上,虽然IP包本身不具备任何安全特性,很容易被修改、伪
造、查看和重播,但是IPSec可提供端到端的安全性机制,可在网络层上对数据包进行安
全处理。IPSec可以在路由器、防火墙、主机和通信链路上配置,实现端到端的安全、虚
拟专用网络和安全隧道技术等。
第二,传输层。在TCP传输层之上实现数据的安全传输是另一种安全解决方案,安全
套接层SSL和TLS(Transport Layer Security)通常工作在TCP层之上,可以为更高层协
议提供安全服务。
第三,应用层。将安全服务直接嵌入在应用程序中,从而在应用层实现通信安全。如
SET(Secure Electronic Transaction,安全电子交易)是一种安全交易协议,S/MIME、PGP
是用于安全电子邮件的一种标准。它们都可以在相应的应用中提供机密性、完整性和不可
抵赖性等安全服务。
6. 图示SSL的体系结构。
答:
SSL协议的目标就是在通信双方利用加密的SSL信道建立安全的连接。它不是一个单
独的协议,而是两层协议,其结构如图5所示。
SSL握手协议
SSL更改密码规则协议
SSL记录协议
TCP
IP
SSL警报协议
HTTP
图5 SSL协议栈
SSL记录协议(Record Protocol)为各种高层协议提供了基本的安全服务。通常超文
本传输协议可以在SSL的上层实现。有3个高层协议分别作为SSL的一部分:握手协议
(Hankshake Protocol)、更改密码规则协议(Change Cipher Spec Protocol)和警告协议(Alert
Protocol)。这些SSL特定的协议可以管理SSL的交换。
记录协议和握手协议是SSL协议体系中两个主要的协议。记录协议确定数据安全传输
的模式,握手协议用于客户机和服务器建立起安全连接之前交换一系列信息的安全信道,
这些安全信息主要包括:(1)客户机确定服务器的身份;(2)允许客户机和服务器选择
双方共同支持的一系列加密算法;(3)服务器确定客户机的身份(可选);(4)通过非
对称密码技术产生双方共同的密钥;(5)建立SSL的加密安全通道。
7. 从OpenSSL网站下载最新的软件包,配置并实现SSL功能。
答:(略)
第12章 网络安全方案设计
1. 设计网络安全方案需要注意哪些地方?
答:
设计网络安全方案需要注意以下几个方面。
第一,对于一名从事网络安全的人来说,网络必须有一个整体、动态的安全概念。设
计人员只有对安全技术了解得很深,对产品、对用户所在领域了解得很深,写出来的方案
才能接近用户的要求。
第二,一份好的网络安全解决方案,不仅仅要考虑到技术,还要考虑到策略和管理。
技术是关键,策略是核心,管理是保证。在方案中,始终要体现出这三方面的关系。
第三,在设计网络安全方案时,一定要了解用户实际网络系统环境,对当前可能遇到
的安全风险和威胁做一个量化和评估,这样才能写出一份客观的解决方案。
第四,在设计方案时,动态安全是一个很重要的概念,在设计方案时,不仅要考虑到
现在的情况,也要考虑到将来的情况,用一种动态的方式来考虑,做到项目的实施既能考
虑到现在的情况,也能很好地适应以后网络系统的升级,留一个比较好的升级接口。
第五,网络没有绝对的安全,只有相对的安全。在设计网络安全方案时,必须清楚这
一点,以一种客观的态度来写,不夸大也不缩小,写得实实在在,让人信服接受。
第六,在网络安全中,动态性和相对性非常重要,可以从系统、人和管理三个方面来
理解。系统是基础、人是核心,管理是保证。从项目实施上来讲,这三个方面是项目质量
的保证。
2. 如何评价一份网络安全的质量?
答:
一份网络安全方案需要从以下8个方面来把握。
第一,体现惟一性,由于安全的复杂性和特殊性,惟一性是评估安全方案最重要的一
个标准。实际中,每一个特定网络都是惟一的,需要根据实际情况来处理。
第二,对安全技术和安全风险有一个综合把握和理解,包括现在和将来可能出现的所
有情况。
第三,对用户的网络系统可能遇到的安全风险和安全威胁,结合现有的安全技术和安
全风险,要有一个合适、中肯的评估,不能夸大,也不能缩小。
第四,对症下药,用相应的安全产品、安全技术和管理手段,降低用户的网络系统当
前可能遇到的风险和威胁,消除风险和威胁的根源,增强整个网络系统抵抗风险和威胁的
能力,增强系统本身的免疫力。
第五,方案中要体现出对用户的服务支持,这是很重要的一部分。因为产品和技术,
都将会体现在服务中,服务用来保证质量、提高质量。
第六,在设计方案时,要明白网络系统安全是一个动态的、整体的、专业的工程,不
能一步到位解决用户所有的问题。
第七,方案出来后,要不断与用户进行沟通,能够及时得到他们对网络系统在安全方
面的要求、期望和所遇到的问题。
第八,方案中所涉及的产品和技术,都要经得起验证、推敲和实施,要有理论根据,
也要有实际基础。
将上面的8点融会贯通,经过不断地学习和经验积累,一定能写出一份很实用、很中
肯的安全项目方案。一份很好的解决方案要求的是技术面要广要综合,不仅是技术好。
3. 网络安全方案框架包含哪些内容?编写时需要注意什么?
答:
总体上说,一份安全解决方案的框架涉及6大方面,可以根据用户的实际需求进行取
舍。
第一,概要安全风险分析。对当前的安全风险和安全威胁作一个概括和分析,最好能
够突出用户所在的行业,并结合其业务的特点、网络环境和应用系统等。同时,要有针对
性,如政府行业、电力行业、金融行业等,要体现很强的行业特点,使人信服和接受。
第二,实际安全风险分析。实际安全风险分析一般从4个方面进行分析:网络的风险
和威胁分析,系统的风险和威胁分析,应用的分析和威胁分析,对网络、系统和应用的风
险及威胁的具体实际的详细分析。
第三,网络系统的安全原则。安全原则体现在5个方面:动态性、惟一性、整体性、
专业性和严密性。
第四,安全产品。常用的安全产品有5种:防火墙、防病毒、身份认证、传输加密和
入侵检测。结合用户的网络、系统和应用的实际情况,对安全产品和安全技术作比较和分
析,分析要客观、结果要中肯,帮助用户选择最能解决他们所遇到问题的产品,不要求新、
求好和求大。
第五,风险评估。风险评估是工具和技术的结合,通过这两个方面的结合,给用户一
种很实际的感觉,使用户感到这样做过以后,会对他们的网络产生一个很大的影响。
第六,安全服务。安全服务不是产品化的东西,而是通过技术向用户提供的持久支持。
对于不断更新的安全技术、安全风险和安全威胁,安全服务的作用变得越来越重要。
4. 进行社会调查,结合实际编写一份完整的网络安全解决方案。(课程设
计)
答:(略)
版权声明:本文标题:网络安全课后简答题部分参考答案 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1721578415a886170.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论