网络攻防题答案.doc

课程名称：网络与信息攻击与防护 任课教师： 屈立笳学号： 姓名：四川大学期末考试试题（开卷三项中务必仅选一项，其余删除。）（20132014学年第2学期）课程号： 课程名称： （A卷）任课教师： 屈立笳适用专业年级： 软件工程 2011级学号： 姓名： 考试须知四川大学学生参加由学校组织或由学校承办的各级各类考试，必须严格执行四川大学考试工作管理办法和四川大学考场规则。有考试违纪作弊行为的，一律按照四川大学学生考试违纪作弊处罚条例进行处理。四川大学各级各类考试的监考人员，必须严格执行四川大学考试工作管理办法、四川大学考场规则和四川大学监考人员职责。有违反学校有关规定的，严格按照四川大学教学事故认定及处理办法进行处理。题 号一(75%)二(15%)三(10%)卷面成绩得 分阅卷时间注意事项：1. 请务必将本人所在学院、姓名、学号、任课教师姓名等信息准确填写在试题纸和添卷纸上；2. 请将答案全部填写在本试题纸上；3. 考试结束，请将试题纸、添卷纸和草稿纸一并交给监考老师。评阅教师得分一、简答题1、 从狭义角度阐述信息收集。信息收集是指通过各种方式获取所需要的信息。2、 信息收集的来源有那几个方面？实物型信息源、文献型信息源，电子型信息源，网络信息源3、 信息收集的范围是什么？内容、时间、地域范围4、 信息收集的方法有哪些？调查法，观察法，实验法，文献检索，网络信息收集 5、 ICMP扫描ICMP Echo扫描 精度相对较高。通过简单地向目标主机发送ICMP Echo Request 数据包，并等待回复的ICMP Echo Reply 包，如Ping。ICMP Sweep 扫描：sweep这个词的动作很像机枪扫射，icmp进行扫射式的扫描，就是并发性扫描，使用ICMP Echo Request一次探测多个目标主机。通常这种探测包会并行发送，以提高探测效率，适用于大范围的评估。6、 ICMP扫描防范选择合适的防火墙，配置防火墙以预防攻击7、 路由追踪的目的是什么？帮网络管理员了解网络通行情况，同时也是网络管理人员很好的辅助工具！通过路由器追踪可以轻松的查处从我们电脑所在地到目标地之间所经常的网络节点，并可以看到通过各个节点所花费的时间。8、 使用工具Netstat能检验什么？ Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。9、 TCP Connect()扫描的原理、优点和缺点会什么？原理：直接连接到目标端口并完成一个完整的三次握手过程（SYN，SYN/ACK，和ACK）。优点：1.不需要任何权限，速度快 2.可以打开多个套接字加速扫描缺点：服务器可以记录下客户的连接行为，如果同一个客户轮流对一个端口发起连接，则一定在扫描10、 操作系统识别的防范措施有哪些？ 1.端口扫描监测工具监视操作系统检测活动。2.让操作系统识别失效的补丁。3.防火墙和路由器的规则配置。4.使用入侵检测系统。11、 简述病毒的定义及其破坏性的主要表现。病毒的定义：病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能够自我复制的一组计算机指令或者程序代码。病毒的破坏性的主要表现：直接破坏计算机上的重要信息；抢占系统资源，降低系统性能；窃取主机上的重要信息；破坏计算机硬件；导致网络阻塞，甚至瘫痪；使邮件服务器、Web服务器不能提供正常服务。12、 系统弱点分类是指那几个方面？ 系统漏洞，应用软件漏洞，病毒13、 什么是IP欺骗隐藏你的IP地址，方法是通过创建伪造的IP地址包，这样当你发送信息的时候，对方就无法确定你的真实IP了，该技术很普遍，通常被垃圾邮件制造者以及黑客用来误导追踪者到错误的信息来源处.因为用的是伪造的，就跟你拿别人的身份证去开房一样14、 DNS欺骗的定义和原理是什么？定义： DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 原理：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。15、 简单描述跨站脚本攻击（XSS）用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时，通常会点击其中的链接。攻击者通过在链接中插入恶意代码，就能够盗取用户信息。攻击者通常会用十六进制（或其他编码方式）将链接编码，以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面，而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子，那么用户乙在浏览这篇帖子时，恶意脚本就会执行，盗取用户乙的session信息。有关攻击方法的详细情况将在下面阐述。16、 将蠕虫与常说的病毒作一个简单比较分析蠕虫：一种能够利用系统漏洞通过网络进行自我传播的恶意程序。它不需要附着在其他程序上，而是独立存在的。当形成规模、传播速度过快时会极大地消耗网络资源导致大面积网络拥塞甚至瘫痪。 病毒：是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。蠕虫也是一种病毒17、 隐藏的动机是什么?反侦测技术：能够使得专家分析判断新的攻击更加困难和费事。18、 网络连接隐藏有哪几种方式？（答对一个1分，满分3分）网络连接进程名称替换；替换网络连接显示命令；替换操作系统的网络连接管理模块。19、 什么是缓冲区溢出攻击？缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击，可以导致程序运行失败、系统关机、重新启动等后果。20、 下面代码中那句能出现能出现基于栈的缓冲区溢出？21、 简单描述毒药包攻击许攻击者执行中间人攻击以获取对数据库服务器的完全控制：它的严重程度取决于对它的攻击深度22、 简单描述Smurf攻击Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。23、 简单描述SQL注入攻击SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。24、 简单病毒与木马程序木马（Trojan）来源于古希腊传说，它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。评阅教师得分二、问答题1描述ARP的工作过程及ARP欺骗。地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存；由此攻击者就可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。2. 描述拒绝服务攻击的概念和原理。概念：拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。原理：语义攻击利用目标系统实现时的缺陷和漏洞，对目标主机进行的拒绝服务攻击。暴力攻击指的是不需要目标系统存在漏洞或缺陷，而是仅仅靠发送超过目标系统服务能力的服务请求数量来达到攻击的目的。3、网络监听的危害有哪些、怎样进行防范？当黑客登录网络主机并取得超级用户权限后，若要登录其它主机，使用网络监听便可以有效截获网络上的数据，网络监听也经常用来获取用户密码等。防范措施：1.采用网络工具防御，如SATAN 2.安装防火墙 3.对网络上传输的信息进行加密。评阅教师得分三、分析题1主动栈指纹识别技术的原理是什么，有哪些方法？原理：寻找不同操作系统之间在处理网络数据包上的差异，并且把足够多的差异组合起来，以便精确的识别出一个系统的OS版本。方法：发送FIN包；发送非正常数据包；ACK值；TCP初始化窗口；DF位2描述计算机病毒的危害性和主要症状。 危害：1.删除数据；2.阻塞网络；3.信息泄露症状：计算机系统运