网络信息对抗整理.doc

网络信息对抗整理1. 计算机系统与网络系统产生漏洞的原因？与软件、硬件供应商相关的安全漏洞：第一,在程序编写过程中，有恶意的编程人员为了达到不可告人的目的，有意的在程序的隐蔽处留下各种各样的后门供日后使用。第二，由于编程人员的水平、经验和当时的安全技术限制，在程序中会或多或少的有不足之处。2. 漏洞检测的基本原理是什么？扫描器分为哪几种类型，主要功能有哪些？利用网络安全扫描技术对目标系统或网络进行网络漏洞信息探测。 1，基于主机的扫描器，通过检测本机系统中各种相关文件的内容与其他一些属性，发现因配置不当使系统产生的脆弱性，弱口令问题。 2，基于网络的扫描器：检测网络中开放的端口，弱口令测试，各种网络服务的漏洞，木马检测，网络操作系统的安全性，对网络进行抗瘫痪性的测试。3. 简述风险评估的方法与步骤，BPL公式的要素及其相互关系是什么？险评估的方法有：树形分析法、历史分析法、风险概率评估法、失误模型及后果分析法；具体为:确定各种威胁可能发生的频率及其可能产生的损失的大小，然后依据BPL公式规定的原则来确定是否需要增加或改进安全防护措施；当损失发生的概率与损失本身造成的影响的乘积大于防止该损失的代价时（即BPL，它表明在风险分析中各要素的关系。4. 网络攻击的基本步骤是什么？调查、收集和判断出目标系统计算机网络的拓扑结构以及其他信息；对目标系统安全的脆弱性进行探测与分析；对目标系统实施攻击。网络攻击可分为哪些类型？探测类攻击；侵入类攻击；利用类攻击；软破坏类攻击5.探测类攻击分为几种？1）操作系统识别（1）FIN探测：基于某些操作系统对到达的FIN包会有不同的响应。通过发送一个FIN数据包（或者任何未设置ACK或SYN标记位的数据包）到一个打开的端口，并等待响应。（2）BOGUS标记探测：Queos是最先采用这种技术的探测器。其原理是在一个SYN数据包TCP头中设置未定义的TCP“标记”（64或128）。（3）“无碎片”标记位：通过这个标记位的设置可以收集到关于目标主机操作系统的更多有用信息。2）安全扫描器（两者不同的地方）（1）基于主机的扫描器：基于主机的漏洞检测技术通过检测本机系统中各种相关文件（如系统配置文件）的内容与其他一些属性，发现因配置不当使系统产生的脆弱性，另外，还要检测是否有用户使用弱口令的问题。（2）基于网络的扫描器：通过检查网络服务器与各主机上可用的端口号和对外提供的网络服务，查找网络系统中存在的各种安全漏洞。6.常见的漏洞攻击：缓冲区溢出攻击、UNICODE漏洞攻击、输入法漏洞。漏洞攻击中最常用、使用最频繁就是利用缓冲区溢出漏洞进行的缓冲区溢出攻击。7.为什么要识别操作系统和应用系统的类型？识别方法有哪些？目的是为了远程攻击做准备。（1） 基于协议栈指纹的操作系统识别：FIN探测；BOGUS标记探测；TCP ISN取样；“无碎片”标记位；TCP初始化“窗口”；ACK值;ICMP出错信息；TCP选项。8漏洞可分为几级？每级的含义是什么？9.简述缓冲区溢出攻击的基本原理?通过往程序的转而执行其他的指令，写超过其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序以达到攻击的目的。10电子欺骗有哪些类型？其工作原理如何？IP欺骗、ARP欺骗、DNS欺骗、路由欺骗。 IP欺骗就是伪造合法用户主机的IP地址与目标主机建立连接关系，以便能蒙混过关而访问目标主机，而目标主机或者服务器原本禁止入侵者的主机访问。ARP欺骗的原理：ARP即地址转换协议，它用来将IP地址转换为物理地址。 DNS欺骗原理：以一个假的IP地址来响应域名请求，但它的危害性却大于其他的电子欺骗方式。 路由欺骗：有多种形式，但所有形式都涉及迫使Internet主机往不应该的地方发送IP数据报。分为基于ICMP的路由欺骗和基于RIP的路由欺骗。11简述网络窃听攻击的基本概念？要完成一次网络窃听攻击需要哪些步骤？网络窃听攻击就是通过捕获网络中流动的报文数据并加以分析，以达到未授权获取相关信息的目的。帧通过网络驱动程序进行封装，然后通过网卡发送到网线上。通过网线到达他们的目的主机，在目的主机的一段执行相反的过程。接收端主机的以太网卡捕获到这些帧，并告诉操作系统帧的到达，然后对其进行存储。12特洛伊木马的概念是什么？是一种恶意的序，是一种基于远程控制的黑客的工具，一旦侵入用户的计算机，就悄悄的在宿主计算机上运行，在用户毫无察觉的情况下，让攻击获得远程访问和控制系统的权限，进而在用户的计算机中修改文件，修改注册表，控制鼠标，监视/控制键盘，或窃取用户信息。13如何实现特洛伊木马通信信道的隐藏？（1） 端口隐藏；（2）反向连接技术；（3）隐蔽通道技术14计算机病毒攻击的基本原理是什么？计算机本身是能执行的代码，寄生在非系统可执行文档中，随该文档被一些应用软件所执行。15网络病毒攻击的基本原理是什么？有哪些常见的网络病毒？网络蠕虫+计算机病毒。蠕虫是病毒在网络中传播的载体与运输工具。红色代码；冲击波；震荡波。16常见的拒绝服务攻击有哪些？其攻击过程如何？ 拒绝服务攻击：企图通过强制占有信道资源、网络连接资源、存储空间资源、使服务崩溃或资源耗尽无法对外继续提供服务。 常见的有：TCP SYN洪泛攻击、Land攻击、Smurf攻击、IP碎片攻击。 1）TCP SYN洪泛攻击：攻击者将大量的TCP SYN连接请求数据包发送给目的主机（或者服务器），目的主机将耗尽与源主机进行连接时必须使用的存储器，而合法的用户将不再能够与该目标主机建立连接，也就当然无法获得正常的服务。 （2）Land攻击：攻击者故意生成一个数据包，其源地址和目的地址都被设置成某一个服务器地址，这时将导致接受服务器向它自己的地址发送“SYN-ACK”消息，结果这个地址又发回ACK消息并创建一个空连接。每一个这样的连接都将保留直到超时掉。（3）Smurf攻击：结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（ping）数据包,来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。（4）IP碎片攻击：如果有意发送总长度超过65535的IP碎片，一些老的系统内核在处理的时候就会出现问题，导致崩溃或者拒绝服务。另外，如果分片之间偏移量经过精心构造，一些系统就无法处理，导致死机。17.分布式拒绝服务攻击分为那几步？其实现的基本原理是什么？ 收集了解目前的情况、占领主控端和代理端主机、实际攻击； DDoS的攻击原理：DDoS分为两级：主控端和代理端。主控端主机和代理端主机都是因特网上具有某些安全缺陷的主机攻击者首先寻找具有某些安全缺陷的主机作为攻击的主控端主机并上传主控端程序；攻击者或主控端寻找代理端主机并上传攻击程序，攻击程序最简单的是发包程序；某个特定时刻，攻击者发送命令给主控端主机，主控端主机控制代理端主机向受害者发起分布式攻击。 分布式拒绝服务攻击原理18、路由器攻击有哪些方法？（1） 重定向攻击（2）RIP-1协议的安全性缺陷（3）RIP-2的安全不足（4）使OSPF中的指派路由器与备份路由器忙碌（5）截获数据报第一分片，制造拒绝服务攻击（6）ICMP重定向功能的正负效应（7）利用ping的拒绝服务攻击（8）TCP和UDP的端口分配（9）会话劫持（10）IP欺骗（11）ACK位的利用19、消除入侵踪迹有哪些方法？禁用审计；清除日志；隐藏文件20防火墙的基本原理与应用规则是什么？ 1）基本原理：防火墙并不是对每一台主机系统进行自我保护，而是让所有对系统的访问通过网络中的某一点。通过保护这一点，尽可能地对外界屏蔽，保护内部网络的信息和结构。防火墙是设置在可信网络和外部不可信的网络之间的一道屏障，可以实施比较广泛的安全策略来控制信息流进入可信网络，防止不可预料的潜在的入侵破坏；另一方面能够限制可信网络中的用户对外部网络的非授权访问。2）防火墙的使用必须遵循的规则：进出网络的双向通信信息必须通过防火墙；只能允许经过本地安全策略授权的信息流通过；防火墙本身不能影响网络合法信息的流通。21、防火墙有哪几类，它们的原理是什么？类型：按防火墙工作在网络中的层次为依据，可将防火墙分为网络层防火墙、应用层防火墙。网络层防火墙主要类型有：简单过滤路由器、堡垒主机防火墙、过滤主机防火墙、过滤子网防火墙；应用层防火墙主要类型有代理服务器主机防火墙、双宿网关防火墙、电路网关防火墙。各原理见课本P182-P18722说明NAT的作用与实现方法？作用：缓解IP地址耗尽的速率。静态转换与动态转换23隧道技术的原理是什么？它对VPN的支持是什么？隧道技术：隧道是构建VPN的基础，它代替了传统的WAN互联的“专线”。隧道的示意图为：（教材P195页自己添上去吧）图中以因特网为公共传输媒介。通过隧道，就可构建一个VPN。图中隧道的两边可是Intranet；也可一边是单个的主机，另一边是Intranet；甚至两边都是单个的主机。从图可看出，隧道需对进入其中的数据加以处理。即两个基本的过程：加密和封装。加密很必要，若流经隧道的数据不加密，则整个隧道就暴露在了因特网上。这样VPN所体现的“私有性”就没了，VPN也就不会有何发展前景。通信双方数据的加密涉及加密方法的选择、密钥的交换、密钥的管理等。封装是构建隧道的基本手段，用来创建、维持和撤销一个隧道。封装使得隧道能够实现信息的隐蔽和信息的抽象。24 Apache有哪些安全模块？25病毒防护的基本原则有哪些？（1） 严格上网制度（2）上网时注意保护自己（3）安装病毒防护软件（4） 定期更新系统（5）谨慎使用软盘复制和网络共享（6）关注系统的异常情况（7） 做好平时的备份工作26包过滤规则表的执行原则是什么？下表是包过滤规则的示例，其中的“*”代表任意，在该例子中，路由器据规则1拒绝所有来自bad.host主机的数据包；而据规则2允许our.host主机向外（任何目的主机）发送电子邮件，对于规则中没有描述的那些流量路由器应该丢弃，同时丢弃所有那些在规则中没有明确规定的数据包。过滤规则应包括接收（Accept）、拒绝（Discard）和允许(Allow). 包过滤规则举例过滤规则号操作源主机/网络源主机端口目的主机/网络目的主机端口描述1拒绝bad.host*25不相信bad.host2允许our.host25*允许our.host主机向外发送邮件3接收bad.host25Our.host25接收来自bad.host的邮件4拒绝*Our.host21拒绝FTP访问27 WEP是如何实现加解密的？采用的算法是什么？基于预共享密钥对保护数据进行加密。key _mapping keys采用发送方和接收方所共同持有的密钥加密。采用CRC-32算法28 WEP存在哪些安全缺陷？其各自的含义是什么？（1) 密钥固定:初始向量仅为24位，算法强度并不算高，于是有了安全漏洞（2) WEP加密方式本身无问题，问题出在密钥的传递过程中密钥本身容易被截获。29 IV的长度增加后，其安全性如何？试分析之？30、IEEE802.11i有哪些安全增强？（P289-290归纳不出）31 PKI有哪些主要组件，它们的主要功能各是那些？主要组件：证书签发机构（CA）；注册权威机构（RA）；证书管理协议（CMP)；注册注销列表(CRL)；证书存储库；时间戳权威机构(TSA)CA:PKI的核心；管理证书；主体登记证书的过程；续借和更新证书RA:个人认证，令牌分发；吊销报告，名称指定；密钥生成，储存密钥对；登记证书时核实证书申请者的身份CMP:在处理证书的请求和响应消息方面可替代PKCS中的相应协议；支持许多不同的证书管理功能；CRL:证书被注销后，CA就将该证书加入注销列表中，然后CA对颁发的CRL进行数字签名，从而就创建了一个有效的X.509v2CRL;使用CRL最大的困难是缩短证书注销和终端用户得知该消息之间的时间间隔。证书存储库：用于存储，分发证书和CRL；可由所有终端实体和CA访问。TSA：为了更好提供不可否认服务32 证书的目录服务中是如何被管理的？33、简要说明简单认证方式