问:简述主动攻击与被动攻击的特点,并列举主动攻击与被动攻击现象。 答:主动攻击是攻击者通过网络线路将虚假信息或计算机病毒传入信息系统内部,破坏信息的真实性、完整性及系统服务的可用性,即通过中断、伪造、篡改和重排信息内容造成信息破坏,使系统无法正常运行。被动攻击是攻击者非常截获、窃取通信线路中的信息,使信息保密性遭到破坏,信息泄露而无法察觉,给用户带来巨大的损失。 问:列举并解释ISO/OSI中定义的5种标准的安全服务。 答:(1)鉴别:用于鉴别实体的身份和对身份的证实,包括对等实体鉴别和数据原发鉴别两种。
(2)访问控制:提供对越权使用资源的防御措施。
(3)数据机密性:针对信息泄露而采取的防御措施。分为连接机密性、无连接机密性、选择字段机密性、通信业务流机密性四种。
(4)数据完整性:防止非法篡改信息,如修改、复制、插入和删除等。分为带恢复的连接完整性、无恢复的连接完整性、选择字段的连接完整性、无连接完整性、选择字段无连接完整性五种。
(5)抗否认:是针对对方否认的防范措施,用来证实发生过的操作。包括有数据原发证明的抗否认和有交付证明的抗否认两种。
第二章 远程攻击的一般步骤
问:简述常见的黑客攻击过程。
答:目标探测和信息攫取:先确定攻击日标并收集目标系统的相关信息。一般先大量收集网上主机的信息,然后根据各系统的安全性强弱确定最后的目标。 获得访问权(Gaining Access):通过密码窃听、共享文件的野蛮攻击、攫取密码文件并破解或缓冲区溢出攻击等来获得系统的访问权限。 特权提升(Escalating Privilege): 在获得一般账户后,黑客经常会试图获得更高的权限,比如获得系统管理员权限。通常可以采用密码破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱点等技术。 窃取(Stealing):对敏感数据进行篡改、添加、删除及复制(如Windows系统的注册表、UNIX的rhost文件等)。
掩盖踪迹(Covering Tracks):此时最重要就隐藏自己踪迹,以防被管理员发觉,比如清除日志记录、使用rootkits等工具。 创建后门(Creating Bookdoor):在系统的不同部分布置陷阱和后门,以便入侵者在以后仍能从容获得特权访问。
第三章 扫描与防御技术
问:什么是扫描(Scanning) 答:使用各种工具和技巧(如Ping扫射、端口扫描以及操作系统检测等)确定哪些系统存活着、它们在监听哪些端口(以此来判断它们在提供哪些服务),甚至更进一步地获知它们运行的是什么操作系统。
第四章 网络嗅探与防御技术
问:信息流嗅探(Sniffering)
答: 通过在共享局域网中将某主机网卡设置成混杂(Promiscuous)模式,或在各种局域网中某主机使用ARP欺骗,该主机就会接收所有经过的数据包。基于这样的原理,黑客可以使用一个嗅探器(软件或硬件)对网络信息流进行监视,从而收集到帐号和口令等信息。这是黑客入侵的第三步工作。
第五章 口令破解与防御技术
问:什么是口令破解 答:攻击者可以通过获取口令文件然后运用口令破解工具进行字典攻击或暴力攻击来获得口令,也可通过猜测或窃听等方式获取口令,从而进入系统进行非法访问,选择安全的口 令非常重要。这也是黑客入侵中真正攻击方式的一种。
第六章 欺骗攻击与防御技术
问:什么是会话劫持(Session Hijacking)
答:所谓会话劫持,就是在一次正常的通信过程中,黑客作为第三方参与到其中,或者是 在数据流里注射额外的信息,或者是将双方的通信模式暗中改变,即从直接联系变成交由 黑客中转。这种攻击方式可认为是黑客入侵的第四步工作——真正的攻击中的一种。 问:什么是IP欺骗 答:攻击者可通过伪装成被信任源IP地址等方式来骗取目标主机的信任,这主要针对Linux UNIX下建立起IP地址信任关系的主机实施欺骗。这也是黑客入侵中真正攻击方式的一种。 问:什么是DNS欺骗
答:当DNS服务器向另一个DNS服务器发送某个解析请求(由域名解析出IP地址)时,因为不进行身份验证,这样黑客就可以冒充被请求方,向请求方返回一个被篡改了的应答(IP 地址),将用户引向黑客设定的主机。这也是黑客入侵中真正攻击方式的一种。
第七章 拒绝服务于防御技术
问:什么是拒绝服务攻击
答:拒绝服务攻击即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接
第八章 缓冲区溢出攻击与防御技术
问:什么是缓冲区溢出攻击
答: 缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量,溢出的数据覆盖在合法数据上。理想的情况是:程序会检查数据长度,而且并不允许输入超过缓冲区长度的字符。但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区,又被称为“堆栈”,在各个操作进程之间,指令会被临时储存在“堆栈”当中,“堆栈”也会出现缓冲区溢出。
第九章 Web攻击与防御技术
问:列举出Web攻击的其中五个原因?
答:一、桌面漏洞:Internet Explorer、Firefox和Windows操作系统中包含很多可以被黑客利用的漏洞,黑客会利用这些漏洞在不经用户同意的情况下自动下载恶意软件代码——也称作隐藏式下载。
二、服务器漏洞:由于存在漏洞和服务器管理配置错误,Internet Information Server(IIS)和Apache网络服务器经常被黑客用来攻击。
三、Web服务器虚拟托管:同时托管几个甚至数千个网站的服务器也是恶意攻击的目标。 四、显性/开放式代理 :被黑客控制的计算机可以被设置为代理服务器,躲避URL过滤对
通信的控制,进行匿名上网或者充当非法网站数据流的中间人。
五、HTML可以从网页内完全不同的服务器嵌入对象:用户可以从特定网站请求浏览网页,只自动地从Google分析服务器等合法网站下载对象;广告服务器;恶意软件下载网站;或者被重新导向至恶意软件网站。
六,普通用户对安全状况不了解:多数用户不了解三种SSL浏览器检查的原因;不了解如何验证所下载程序的合法性;不了解计算机是否不正常;在家庭网络内不使用防火墙;也不知道如何 区分钓鱼网页和合法网页。
七、移动代码在网站上的广泛使用:JavaScript、Java applets、.NET应用、Flash、ActiveX为编码糟糕的Web应用开启了大门,它们接受用户输入并使用Cookies,就像在跨站点脚本(XSS)中一样。
八、宽带接入的广泛使用:多数企业网络都受防火墙的保护,而无NAT防火墙的家庭用户很容易受到攻击而丢失个人信息;充当DDoS的僵尸计算机;安装托管恶意代码的Web服务器——家庭用户可能不会对这些状况有任何怀疑。
九、对HTTP和HTTPS的普遍访问:访问互联网必须使用Web,所有计算机都可以通过防火墙访问HTTP和HTTPS。很多程序都通过HTTP访问互联网,例如IM和P2P软件。 十、在邮件中采用嵌入式HTML:电子邮件中的HTML被用于从Web上获取恶意软件代码,而用户可能根本不知道已经向可以网站发送了请求。
第十章 木马攻击与防御技术
问:什么是特洛伊木马(Trojan Horse)
答:把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中,而一 旦用户触发正常程序,黑客代码同时被激活,这些代码往往能完成黑客早已指定的任务(如 监听某个不常用端口,假冒登录界面获取帐号和口令等)。
第十一章 计算机病毒
问:基本的计算机病毒防范措施
答:计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。 计算机病毒利用读写文件能进行感染,利用驻留内存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作,提供对系统的保护,最大限度地避免各种计算机病毒的传染破坏。
第十二章 典型防御技术
问:什么是防火墙,为什么需要有防火墙?
答:防火墙是一种装置,它是由软件/硬件设备组合而成,通常处于企业的内部局域网与Internet之间,限制Internet用户对内部网络的访问以及管理内部用户访问Internet的权限。换言之,一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是Internet)之间提供一个封锁工具。
如果没有防火墙,则整个内部网络的安全性完全依赖于每个主机,因此,所有的主机都必须达到一致的高度安全水平,这在实际操作时非常困难。而防火墙被设计为只运行专用的访问控制软件的设备,没有其他的服务,因此也就意味着相对少一些缺陷和安全漏洞,这就使得安全管理变得更为方便,易于控制,也会使内部网络更加安全。 防火墙所遵循的原则是在保证网络畅通的情况下,尽可能保证内部网络的安全。它是一种被动的技术,是一种静态安全部件。 问: 解释VPN的基本概念。
答:VPN是Virtual Private Network的缩写,是将物理分布在不同地点的网络通过公用骨干
网,尤其是Internet连接而成的逻辑上的虚拟子网。
Virtual是针对传统的企业“专用网络”而言的。VPN则是利用公共网络资源和设备建立一个逻辑上的专用通道,尽管没有自己的专用线路,但它却可以提供和专用网络同样的功能。
Private表示VPN是被特定企业或用户私有的,公共网络上只有经过授权的用户才可以使用。在该通道内传输的数据经过了加密和认证,保证了传输内容的完整性和机密性。 问:什么是IDS,它有哪些基本功能?
答:入侵检测系统IDS,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。
1)监测并分析用户和系统的活动,查找非法用户和合法用户的越权操作; 2)核查系统配置和漏洞并提示管理员修补漏洞; 3)评估系统关键资源和数据文件的完整性; 4)识别已知的攻击行为,统计分析异常行为;
5)操作系统日志管理,并识别违反安全策略的用户活动等。
第十三章 网络安全的发展与未来
问: 答:
因篇幅问题不能全部显示,请点此查看更多更全内容