1、11. 如图所示,描述 DDoS 攻击的实现方法。DDoS 攻击是利用一批受控制的主机向一台主机发起攻击,其攻击的强度和造成的威胁要比 DoS 攻击严重得多,当然其破坏性也要强得多。在整个 DDoS 攻击过程中,共有四部分组成:攻击者、主控端、代理服务器和被攻击者,其中每一个组成在攻击中扮演的角色不同。(1) 攻击者。攻击者是指在整个 DDoS 攻击中的主控台,它负责向主控端发送攻击命令。与 DoS 攻击略有不同,DDoS 攻击中的攻击者对计算机的配置和网络带宽的要求并不高,只要能够向主控端正常发送攻击命令即可。 (2) 主控端。主控端是攻击者非法侵入并控制的一些主机,通过这些主机再分别控制大
2、量的代理服务器。攻击者首先需要入侵主控端,在获得对主控端的写入权限后,在主控端主机上安装特定的程序,该程序能够接受攻击者发来的特殊指令,并且可以把这些命令发送到代理服务器上。 (3) 代理服务器。代理服务器同样也是攻击者侵入并控制的一批主机,同时攻击者也需要在入侵这些主机并获得对这些主机的写入权限后,在上面安装并运行攻击器程序,接受和运行主控端发来的命令。代理服务器是攻击的直接执行者,真正向被攻击主机发送攻击。 (4)被攻击者。是 DDoS 攻击的直接受害者,目前多为一些大型企业的网站或数据库系统。2、下图是 arp 命令执行的结果,请简述 arp 表的含义?这张表是 ip 地址到 mac 地
3、址的映射,例如 192.168.1.1 这台机器的 mac 地址在本机的缓存里有最新条目的 mac 地址 00-00-04-78-54-98,通过这一条目就可以找到这台机器的物理地址,向其发包,不需要在询问查询该机器的物理地址。表的最后一列表示这一映射的类型是静态的还是动态的3、简述 ARP 欺骗的实现原理及主要防范方法由于 ARP 协议在设计中存在的主动发送 ARP 报文的漏洞,使得主机可以发送虚假的 ARP 请求报文或响应报文,报文中的源 IP 地址和源 MAC 地址均可以进行伪造。在局域网中,即可以伪造成某一台主机(如服务器)的 IP 地址和 MAC 地址的组合,也可以伪造成网关的 IP
4、 地址和 MAC 地址的组合,ARP 即可以针对主机,也可以针对交换机等网络设备,等等。 2目前,绝大部分 ARP 欺骗是为了扰乱局域网中合法主机中保存的 ARP 表,使得网络中的合法主机无法正常通信或通信不正常,如表示为计算机无法上网或上网时断时续等。 针对主机的 ARP 欺骗的解决方法:主机中静态 ARP 缓存表中的记录是永久性的,用户可以使用 TCP/IP 工具来创建和修改,如 Windows 操作系统自带的 ARP 工具,利用“arp -s 网关 IP 地址 网关 MAC 地址”将本机中 ARP 缓存表中网关的记录类型设置为静态(static) 。 针对交换机的 ARP 欺骗的解决方法
5、:在交换机上防范 ARP 欺骗的方法与在计算机上防范 ARP 欺骗的方法基本相同,还是使用将下连设备的 MAC 地址与交换机端口进行一一绑定的方法来实现。4、简述木马攻击的过程.配置生成服务端 种植木马 上线,一般由主动和自动上线两种控制操作,实现攻击者的意图5、ARP 欺骗有哪些影响?由于局域网的网络流通不是根据 ip 地址进行,而是按照 mac 地址进行传输。所以,arp 欺骗把那个伪造出来的 mac 地址被改变成一个不存在的 mac 地址,这样就会造成网络不通,还有发生 ip 冲突,通讯数据受到监控,服务器很容易被黑客植入木马等。6、数字签名应满足哪些要求?对于加密数据,先加密后签名的顺
6、序是否正确?为什么?(1)收方能确认或证实发方的签字,但不能伪造;发方发出签名后的消息,就不能否认所签消息;收方对已收到的消息不能否认;第三者可以确认收发双方之间的消息传送,但不能伪造这一过程。2、不正确,签名的一个目的是:防止签名双方抵赖。如果先加密的话。通信双方有可能会否认。7、缓冲区溢出攻击的原理是什么? 缓冲区是内存中存放数据的地方。在程序试图将数据放到机器内存中的某一个位置的时候,因为没有足够的空间就会发生缓冲区溢出。而认为的溢出则是有一定企图的,攻击者写一个超过缓冲区长度的字符串,然后植入到缓冲区,而再向一个有限空间的缓冲区植入超长的字符串可能会出现两个结果,一是过长的字符串覆盖了
7、相邻的存储单元,引起程序运行失败,严重的可导致系统崩溃;另有一个结果就是利用这种漏洞可以执行任意指令,甚至可以取得系统 root 特级权限。大多造成缓冲区溢出的原因是程序中没有仔细检查用户输入参数而造成的。8、试简述木马的工作原理,并简单列举木马在远程控制成功后能对目标机器造成的危害。利用网络漏洞,或者系统漏洞,在线植入等方式进入电脑并潜伏。一定条件下触3发木马,对目标机器的各种操作,进行屏幕录像,键盘记录等方式,进行信息记录,盗取目标电脑的各种账号(比如游戏账号,QQ 账号,银行账号等) ,或进行特殊性质的非法连接,非法传播等。然后将获得的各种信息发回木马设置的接收终端(一般指的是木马植入者
8、,利益获得者) 。对电脑造成信息泄露,信息损坏,速度变慢系统崩溃等危害。9、试分析分布式拒绝服务攻击(DDoS)的攻击原理,请画图说明。并给出针对该类型攻击的防范策略。主机设置所有的主机平台都有抵御 DoS 的设置,总结一下,基本的有几种:关闭不必要的服务;限制同时打开的 Syn 半连接数目;缩短 Syn 半连接的 time out 时间;及时更新系统补丁.网络设置网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备, 1.防火墙禁止对主机的非开放服务的访问 限制同时打开的 SYN 最大连接数 限制特定 IP地址的访问 启用防火墙的防 DDoS 的属性 严格限制对外开放的服务器的向
9、外访问。2.路由器设置 SYN 数据包流量速率 升级版本过低的 ISO 为路由器建立 log server10、目前国内 Web 应用系统存在哪些最突出的安全问题?Web 应用程序的漏洞是很难避免的,系统的安全隐患主要在三方面: 首先是网络运维人员或安全管理人员对 Web 系统的安全状况不清楚。哪些页面存在漏洞,哪些页面已经被挂马,他们不能够清晰的掌握,从而及时采取改正措施; 其次,在安全设备的部署方面,没有选用专业的、针对 Web 业务攻击的防御产品对网站进行保护,而是寄托于防火墙这种访问控制类的网关安全设备; 另外,从安全响应来看,Web 安全事件发生后的应急与处理也存在欠缺。没有相应的页
10、面恢复系统,也没有处理 Web 安全事件的专业安全服务团队。很多单位没有制定实时监控的网站安全管理制度。 411、什么叫 SQL 注入?SQL 注入有哪些危害所谓的 SQL 注入,就是通过把 SQL 命令插入到表单递交或输入域名或网页请求的查询字符串,最终达到欺骗服务器执行恶意的命令QL 注入攻击的主要危害包括:非法读取、篡改、添加、删除数据库中的数据;盗取用户的各类敏感信息,获取利益;通过修改数据库来修改网页上的内容;私自添加或删除账号;注入木马;等等。12、什么叫 XSS?XSS 有哪些危害XSS 又叫 CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往W
11、eb 页面里插入恶意 html 代码,当用户浏览该页之时,嵌入其中 Web 里面的 html 代码会被执行,从而达到恶意攻击用户的特殊目的。XSS 攻击的危害包括:盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号;控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力;盗窃企业重要的具有商业价值的资料;非法转账;强制发送电子邮件;网站挂马;控制受害者机器向其它网站发起攻击.13、什么叫木马?“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任
12、意毁坏、窃取被种者的文件,甚至远程操控被种主机.14、什么是 ARP 攻击ARP 攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,就是通过伪造IP 地址和 MAC 地址实现 ARP 欺骗,能够在网络中产生大量的 ARP 通信量使网络阻塞。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。15、ARP 攻击的危害有哪些?ARP 攻击的危害主要有两个方面。从 ARP 攻击的原理来看,这种攻击使得受害主机的所有网络数据都将通过攻击者进行转发。这样一来,要窃取信息或控制流量就变得轻而易举。另一方面,由于 ARP 缓存会不断刷新,有的时候,真
13、正的网关会偶尔“清醒” 。当真正的网关参与到数据包转发中来时,由于做了一个切换动作,可能会有频繁的短暂掉线现象。所以,如果 Web 服务器所在网络中发生了 ARP 攻击,将导致Web 服务器不可访问。16.WEB 应用系统(网站)会面临来自哪些方面的安全问题?1)操作系统、后台数据库的安全问题 2)Web 发布系统的漏洞 3)Web 应用程序的漏洞 4)自身网络的安全状况 17、如何防御 SQL 注入?1、限制用户输入2、存储过程 DBMS 执行段程序有效防止 SQL 注入3、把特殊字符(and、or、“)都禁止提交防止注入18、如何防御 XSS?51、过滤”标记2、HTML 属性过滤3、过滤
14、特殊字符:&、回车和空格4、HTML 属性跨站的彻底防范19、什么是防火墙,为什么需要有防火墙?隔离在本地网络与外界网络之间的一道防御系统。防火墙可以是企业内部局域网(LAN)网络与 Internet 之间或者与其他外部网络互相隔离、限制网络互访,用来保护内部网络20、列举防火墙的几个基本功能?(1) 隔离不同的网络,限制安全问题的扩散,对安全集中管理,简化了安全管理的复杂程度。(2) 防火墙可以方便地记录网络上的各种非法活动,监视网络的安全性,遇到紧急情况报警。(3) 防火墙可以作为部署 NAT 的地点,利用 NAT 技术,将有限的 IP 地址动态或静态地与内部的 IP 地址对应起来,用来缓
15、解地址空间短缺的问题或者隐藏内部网络的结构。(4) 防火墙是审计和记录 Internet 使用费用的一个最佳地点。(5) 防火墙也可以作为 IPSec 的平台。(6) 内容控制功能。根据数据内容进行控制,比如防火墙可以从电子邮件中过滤掉垃圾邮件,可以过滤掉内部用户访问外部服务的图片信息。只有代理服务器和先进的过滤才能实现。21、防火墙有哪些局限性?答:(1) 网络上有些攻击可以绕过防火墙(如拨号) 。(2) 防火墙不能防范来自内部网络的攻击。(3) 防火墙不能对被病毒感染的程序和文件的传输提供保护。(4) 防火墙不能防范全新的网络威胁。(5) 当使用端到端的加密时,防火墙的作用会受到很大的限制
16、。(6) 防火墙对用户不完全透明,可能带来传输延迟、瓶颈以及单点失效等问题。(7) 防火墙不能防止数据驱动式攻击。有些表面无害的数据通过电子邮件或其他方式发送到主机上,一旦被执行就形成攻击(附件) 。22、简述包过滤防火墙和代理防火墙的工作原理。答:包过滤防火墙也称分组过滤路由器,又叫网络层防火墙,因为它是工作在网络层。路由器便是一个网络层防火墙,因为包过滤是路由器的固有属性。它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过,有静态和动态两种过滤方式。 这种防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种
17、规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则(丢弃该包) 。在制定数据包过滤规则时,一定要注意数据包是双向的。6所谓代理服务器,是指代表客户处理连接请求的程序。当代理服务器得到一个客户的连接意图时,它将核实客户请求,并用特定的安全化的 应用程序来处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并进行下一步处理后,将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用,所以又叫代理防火墙。代理防火墙工作于应用层,且针对特定的应用
18、层协议。23、代理服务器有什么优缺点?答:代理服务技术的优点是:隐蔽内部网络拓扑信息;网关理解应用协议,可以实施更细粒度的访问控制;较强的数据流监控和报告功能。 (主机认证和用户认证)缺点是对每一类应用都需要一个专门的代理,灵活性不够;每一种网络应用服务的安全问题各不相同,分析困难,因此实现困难。速度慢。24、描述 DMZ 的基本性质和功能。答:DMZ 为“隔离区” ,也称“非军事化区”,在 DMZ 中堡垒主机作为唯一可访问点,支持终端交互或作为应用网关代理。对于选定的可以向 Internet 开放的各种网络应用,也可以将该应用服务器放在 DMZ 上。有两个屏蔽路由器,分别位于 DMZ 与内部
19、网之间、DMZ 与外部网之间,攻击者要攻入这种结构的内部网络,必须通过两个路由器,因而不存在危害内部网的单一入口点。即使非法攻击者侵入堡垒主机,它仍将必须通过内部路由器。这种结构安全性好,只有当三个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。25、 简述防火墙的功能及不足之处。26、 简述黑客入侵的过程。(1)确定攻击目标(2)收集被攻击对象的有关信息(3)利用适当的工具进行扫描(4)建立模拟环境,进行模拟攻击(5)实施攻击,根据已知的漏洞,实施攻击。(6)清除痕迹27、 分 析 黑 客 入 侵 的 过 程 , 并 以 你 所 学 的 知 识 来 叙 述 对 付 黑 客 入 侵 的 方
20、式 与 方 法 。71)黑客入侵的过程a.收集信息:信息收集的目的是为了进入要攻击的目标网络的数据库.黑客会利用公开的协议或者工具(如用 RaceToute 获取到达目标主机所要经过的网络数和路由器数) ,收集驻留在网络系统中的各个主机系统的相关信息。b.系统安全弱点的探测:在收集到攻击目标的一批网络信息之后,黑客会探测网络上的每台主机,以寻求该系统的安全漏洞或者安全弱点,黑客可能使用自编程序或者利用公开的工具(像因特网的电子安全扫描程序 ISS 等)方式自动扫描驻留在联网上的主机。c.网络攻击:黑客使用上述方法,收集或者探测到一些“有用”信息之后,就可能会对目标系统实施攻击,如果黑客在某台受
21、损系统上获得了特许权,那么他就可以读取邮件,搜索和盗窃私人文件,毁坏重要数据,从而破坏整个系统的信息,造成不堪设想的后果。(2 )对付黑客入侵的方法a. 发现黑客:如果黑客破坏了站点的安全性,则应追踪他们。可以用一些工具帮助发现黑客。另外一种方法是对可疑行为进行快速检查,检查访问及错误登录文件,检查系统命令。最后,查看那些屡次失败的访问口令或访问受口令保护的部分的企图。b. 应急操作:(1)估计形势(2)切断连接(3 )分析问题(4)采取行动c. 抓住入侵者:尽管抓住黑客需要等待机会,但遵循如下原则会大有帮助。 (1)注意经常定期检查登录文件;(2)注意不寻常的主机连接及连接次数通知用户,将使
22、消除入侵变得更为容易;(3 )注意那些原不经常使用却突然变得活跃的账户。应该禁止或干脆删去这些不用的账户;(4 )预计黑客经常光顾的时间,并在此时段里运行程序记录所有的过程及网络联接。28、简述主动攻击与被动攻击的特点,并列举主动攻击与被动攻击现象。主动攻击是攻击者通过网络线路将虚假信息或计算机病毒传入信息系统内部,破坏信息的真实性、完整性及系统服务的可用性,即通过中断、伪造、篡改和重排信息内容造成信息破坏,使系统无法正常运行。被动攻击是攻击者非常截获、窃取通信线路中的信息,使信息保密性遭到破坏,信息泄露而无法察觉,给用户带来巨大的损失。29、 数字签名有什么作用?当通信双方发生了下列情况时,
23、数字签名技术必须能够解决引发的争端:否认,发送方不承认自己发送过某一报文。伪造,接收方自己伪造一份报文,并声称它来自发送方。冒充,网络上的某个用户冒充另一个用户接收或发送报文。篡改,接收方对收到的信息进行篡改。30、 请说明数字签名的主要流程。数字签名通过如下的流程进行:(1) 采用散列算法对原始报文进行运算,得到一个固定长度的数字串,称为报文摘要(Message Digest),不同的报文所得到的报文摘要各异,但对相同的报文它的报文摘要却是惟一的。在数学上保证,只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符,这样就保证了报文的不可更改性。(2) 发送方用目己的私有密钥对摘
24、要进行加密来形成数字签名。(3) 这个数字签名将作为报文的附件和报文一起发送给接收方。(4) 接收方首先对接收到的原始报文用同样的算法计算出新的报文摘要,再用发送方的公开密钥对报文附件的数字签名进行解密,比较两个报文摘要,如果值相同,接收方就能确认该数字签名是发送方的,否则就认为收到的报文是伪造的或者中途被篡改。831、 数字证书的原理是什么?数字证书采用公开密钥体制(例如 RSA) 。每个用户设定一仅为本人所知的私有密钥,用它进行解密和签名;同时设定一公开密钥,为一组用户所共享,用于加密和验证签名。采用数字证书,能够确认以下两点:(1) 保证信息是由签名者自己签名发送的,签名者不能否认或难以
25、否认。(2) 保证信息自签发后到收到为止未曾做过任何修改,签发的信息是真实信息。32、网络攻击和防御分别包括哪些内容?答:攻击技术主要包括以下几个方面。(1 )网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。(2 )网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。(3 )网络入侵:当探测发现对方存在漏洞后,入侵到目标计算机获取信息。(4 )网络后门:成功入侵目标计算机后,为了实现对“ 战利品”的长期控制,在目标计算机中种植木马等后门。(5 )网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止
26、被对方管理员发现。防御技术主要包括以下几个方面。(1 )安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。(2 )加密技术:为了防止被监听和数据被盗取,将所有的数据进行加密。(3 )防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。(4 )入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。(5 )网络安全协议:保证传输的数据不被截获和监听。33、按照防火墙的技术有哪些分类和掌握每种分类的工作原理答:包过滤防火墙: 一般通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过。应用网关防火墙:检查传入和传出的数据包,通过其自身的复制来传递数据,防止在受信主
27、机与非受信主机间直接建立联系。代理服务防火墙:利用代理技术阻断内部网络和外部网络的通信,达到隐藏网络的目的。状态检测防火墙:经过对数据包的综合分析来确定是否允许数据包通过,是一种动态检测。应用了这种技术的防火墙一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。34、以防火墙体系结构分类和每类组成和结构图答:双宿主主机9屏蔽主机网关屏蔽子网网关1035.SYN Flood 攻击的原理是什么?答:在该攻击方法中,利用了 TCP 协议缺陷,向服务器端发送大量的 TCP 连接请求,而这些连接请求是伪造
28、的,从而使得被攻击方资源耗尽(CPU 满负荷或内存不足)。36、SSL 加密协议的用途是什么?SSL主要作用:对传输信息进行加密(客户端与服务器端的链路加密) 、认证用户身份(基于数字证书的高强度认证)1. 安全套接层协议SSL定义SSL(Secure Socket Layer)安全套接层是Netscape公司率先采用的网络安全协议。它是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术。2. SSL提供的服务为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。37、安全服务有哪些基本类型?1、加密机制 2、数字签名机制 3、访问控制机制 4、数据
29、完整机制 5、认证交换机制 6、防业务流分析机制 7、路由控制机制 8、公证机制38、简述黑客的攻击步骤?常用的技术手段?1.收集资料锁定目标2.扫描漏洞,进行入侵3.成功入侵,留下后门,种下木马,控制电脑手段: 1、获取口令2、放置特洛伊木马程序3、WWW的欺骗技术4、电子邮件攻击5、通过一个节点来攻击其他节点6、网络监听7、寻找系统漏洞8、利用帐号进行攻击9、偷取特权39、何为入侵检测系统?它由哪些基本组件构成?入侵检测系统(intrusion detection system,简称“IDS” )是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。事件产生器(Event generators) ,它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器(Event analyzers) ,它经过分析得到数据,并产生分析结果。响应单元(Response units ) ,它是对分析结果作出作出反应的功能单元,它可
