1、入侵检测习题二 一、选择题 (共 20 分,每题 2 分) 1、 按照检测数据的来源可将入侵检测系统( IDS)分为 _。 A基于主机的 IDS 和基于网络的 IDS B基于主机的 IDS 和基于域控制器的 IDS C基于服务器的 IDS 和基于域控制器的 IDS D基于浏览器的 IDS 和基于网络的 IDS 2、 一般来说入侵检测系统由 3 部分组成,分别是事件产生器、事件分析器和 _。 A控制单元 B检测单元 C解释单元 D响应单元 3、 按照技术分类可将入侵检测分为 _。 A基于标识和 基于异常情况 B基于主机和基于域控制器 C服务器和基于域控制器 D基于浏览器和基于网络 4、 在网络安
2、全中,截取是指未授权的实体得到了资源的访问权。这是对 _。 A可用性的攻击 B完整性的攻击 C保密性的攻击 D真实性的攻击 5、 入侵检测的基础是 ( 1),入侵检测的核心是 ( 2)。( 1)( 2) A. 信息收集 B. 信号分析 C. 入侵防护 D. 检测方法 6、 信号分析有模式匹配、统计分析和完整性分析等 3 种技术手段,其中 _用于事后分析。 A信息收集 B统计分析 C 模式匹配 D完整性分析 7、 网络漏洞扫描系统通过远程检测 _TCP/IP 不同端口的服务,记录目标给予的回答。 A源主机 B服务器 C目标主机 D以上都不对 8、 _系统是一种自动检测远程或本地主机安全性弱点的程
3、序。 A入侵检测 B防火墙 C漏洞扫描 D入侵防护 9、 下列选项中 _不属于 CGI 漏洞的危害。 A缓冲区溢出攻击 B数据验证型溢出攻击 C脚本语言错误 D信息泄漏 10、 基于网络低层协议,利用协议或操作系统实现时的漏洞来达到攻击目的, 这种攻击方式称为 _。 A服务攻击 B拒绝服务攻击 C被动攻击 D非服务攻击 习题解析 【试题 1】按照检测数据的来源可将入侵检测系统( IDS)分为_。 A基于主机的 IDS 和基于网络的 IDS B基于主机的 IDS 和基于域控制器的 IDS C基于服务器的 IDS 和基于域控制器的 IDS D基于浏览器的 IDS 和基于网络的 IDS 【试题 2】
4、一般来说入侵检测系统由 3 部分组成,分别是事件产生器、事件分析器和 _。 A控制单元 B检测单元 C解释单元 D响应单 元 【试题 3】按照技术分类可将入侵检测分为 _。 A基于标识和基于异常情况 B基于主机和基于域控制器 C服务器和基于域控制器 D基于浏览器和基于网络 【试题 4】在网络安全中,截取是指未授权的实体得到了资源的访问权。这是对 _。 A可用性的攻击 B完整性的攻击 C保密性的攻击 D真实性的攻击 【试题 5】入侵检测的基础是 ( 1) A ,入侵检测的核心是 ( 2) B。 ( 1)( 2) A. 信息收集 B. 信号分析 C. 入侵防护 D. 检测方法 【试题 6】信号分析
5、有模式匹 配、统计分析和完整性分析等 3 种技术手段,其中 _用于事后分析。 A信息收集 B统计分析 C模式匹配 D完整性分析 【试题 7】网络漏洞扫描系统通过远程检测 _TCP/IP 不同端口的服务,记录目标给予的回答。 A源主机 B服务器 C目标主机 D以上都不对 【试题 8】 _系统是一种自动检测远程或本地主机安全性弱点的程序。 A入侵检测 B防火墙 C漏洞扫描 D入侵防护 【试题 9】下列选项中 _不属于 CGI 漏洞的危害。 A缓冲区溢出攻击 B数据验证型溢出攻击 C脚本语言错误 D信息泄漏 【试题 10】基于网络低层协议,利用协议或操作系统实现时的漏洞来达到攻击目的,这种攻击方式称
6、为 _。 A服务攻击 B拒绝服务攻击 C被动攻击 D非服务攻击 二、简答题 1、 常见的几种攻击的原理有哪些,试举例? 答 :没有设置任何标志的 TCP 报文攻击 -正常情况下,任何 TCP 报文都会设置 SYN, FIN, ACK, RST, PSH 五个标志中的至少一个标志,第一个TCP 报文( TCP 连接请求报文)设置 SYN 标志,后续报文都设置 ACK 标志。有的协议栈基于这样的假设,没有针对不设置任何标志的 TCP 报文的处理过程,因此,这样的协议栈如果收到了这样的报文,可能会崩溃。攻击者利用了这个特点,对目标计算机进行攻击。 设置了 FIN 标志却没有设置 ACK 标志的 TC
7、P 报文攻击 -正常情况下,ACK 标志在除了第一个报文( SYN 报文)外,所有的报文都设置,包括 TCP 连接拆除报文( FIN 标志设置的报文)。但有的攻击者却可能向目标计算机发送设置了 FIN 标志却没有设置 ACK 标志的 TCP 报文,这样可能导致目标计算机崩溃。 死亡之 PING-TCP/IP 规 范要求 IP 报文的长度在一定范围内(比如,0 64K),但有的攻击计算机可能向目标计算机发出大于 64K 长度的 PING报文,导致目标计算机 IP 协议栈崩溃。 地址猜测攻击 -跟端口扫描攻击类似,攻击者通过发送目标地址变化的大量的 ICMP ECHO 报文,来判断目标计算机是否存
8、在。如果收到了对应的ECMP ECHO REPLY 报文,则说明目标计算机是存在的,便可以针对该计算机进行下一步的攻击。 泪滴攻击 -对于一些大的 IP 包,需要对其进行分片传送,这是为了迎合链路层的 MTU(最大传输单元)的 要求。比如,一个 4500 字节的 IP 包,在 MTU 为 1500 的链路上传输的时候,就需要分成三个 IP 包。 在 IP 报头中有一个偏移字段和一个分片标志( MF),如果 MF 标志设置为 1,则表面这个 IP 包是一个大 IP 包的片断,其中偏移字段指出了这个片断在整个 IP包中的位置。例如,对一个 4500 字节的 IP 包进行分片( MTU 为 1500
9、),则三个片断中偏移字段的值依次为: 0, 1500, 3000。这样接收端就可以根据这些信息成功的组装该 IP 包。 如果一个攻击者打破这种正常情况,把偏移字段设置成不正确的值,即可能出现重合或断开的 情况,就可能导致目标操作系统崩溃。比如,把上述偏移设置为 0, 1300, 3000。这就是所谓的泪滴攻击。 带源路由选项的 IP 报文 -为了实现一些附加功能, IP 协议规范在 IP报头中增加了选项字段,这个字段可以有选择的携带一些数据,以指明中间设备(路由器)或最终目标计算机对这些 IP 报文进行额外的处理。 源路由选项便是其中一个,从名字中就可以看出,源路由选项的目的,是指导中间设备(
10、路由器)如何转发该数据报文的,即明确指明了报文的传输路径。比如,让一个 IP 报文明确的经过三台路由器 R1, R2, R3,则可以在源路由选项中明确指明这三个路由器的接口地址,这样不论三台路由器上的路由表如何,这个 IP 报文就会依次经过 R1, R2, R3。而且这些带源路由选项的 IP 报文在传输的过程中,其源地址不断改变,目标地址也不断改变,因此,通过合适的设置源路由选项,攻击者便可以伪造一些合法的 IP 地址,而蒙混进入网络。 带记录路由选项的 IP 报文 -记录路由选项也是一个 IP 选项,携带了该选项的 IP 报文,每经过一台路由器,该路由器便把自己的接口地址填在选项字段里面。这
11、样这些报文在到达目的地的时候,选项数据里面便记录了该报文经过的整个路径。 通过这样的报文可以很容易的判断该报文经过的路径,从而使攻击者可以很容易的寻找其中的攻击弱点。 3、典型拒绝服务攻击的手段有哪些,试举例? (补充) 答: TCP SYN 拒绝服务攻击 1、 攻击者向目标计算机发送一个 TCP SYN报文; 2、 目标计算机收到这个报文后,建立 TCP 连接控制结构( TCB),并回应一个 ACK,等待发起者的回应; 3、 而发起者则不向目标计算机回应 ACK 报文,这样导致目标计算机一致处于等待状态。 可以看出,目标计算机如果接收到大量的 TCP SYN 报文,而没有收到发起者的第三次
12、ACK 回应,会一直等待,处于这样尴尬状态的半连接如果很多,则会把目标计算机的资源( TCB 控制结构, TCB,一般情况下是有限的)耗尽,而不能响应正常的 TCP 连接请求。 ICMP 洪水 为了对网络进行诊断,一些诊断程序,比如 PING 等,会发出ICMP 响应请求报文( ICMP ECHO),接收计算机接收到 ICMP ECHO 后,会回应一个 ICMP ECHO Reply 报文。而这个过程是需要 CPU 处理的,有的情况下还可能消耗掉大量的资源,比如处理分片的时候。这样如果攻击者向目标计算机发送大量的 ICMP ECHO 报文(产生 ICMP 洪水),则目标计算机会忙于处理这些EC
13、HO 报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击( DOS) UDP 洪水 原理与 ICMP 洪水类似,攻击者通过发送大量的 UDP 报文给目标计算机,导致目标计算机忙于处理这些 UDP 报文而无法继续处理正常的报文。 分片 IP 报文攻击 为了传送一个大的 IP 报文 , IP 协议栈需要根据链路接口的 MTU 对该 IP 报文进行分片,通过填充适当的 IP 头中的分片指示字段,接收计算机可以很容易的把这些 IP 分片报文组装起来。目标计算机在处理这些分片报文的时候,会把先到的分片报文缓存起来,然后一直等待后续的分片报文,这个过程会消耗掉一部分内存,以及一些 IP 协议栈
14、的数据结构。如果攻击者给目标计算机只发送一片分片报文,而不发送所有的分片报文,这样攻击者计算机便会一直等待(直到一个内部计时器到时),如果攻击者发送了大量的分片报文,就会消耗掉目标计算机的资源,而导致不能相应正常的 IP 报文,这也 是一种 DOS攻击。 Land 攻击 LAND 攻击利用了 TCP 连接建立的三次握手过程,通过向一个目标计算机发送一个 TCP SYN 报文(连接建立请求报文)而完成对目标计算机的攻击。与正常的 TCP SYN 报文不同的是, LAND 攻击报文的源 IP 地址和目的IP 地址是相同的,都是目标计算机的 IP 地址。这样目标计算机接收到这个 SYN报文后,就会向
15、该报文的源地址发送一个 ACK 报文,并建立一个 TCP 连接控制结构( TCB),而该报文的源地址就是自己,因此,这个 ACK 报文就发给了自己。这样如果攻击者发送了足够多的 SYN 报文,则 目标计算机的 TCB 可能会耗尽,最终不能正常服务。这也是一种 DOS 攻击。 2、 分别叙述误用检测与异常检测原理? 答: 误用检测( Misuse Detection) 基于模式匹配原理。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。前提:所有的入侵行为都有可被检测到的特征。指标:误报低、漏报高。攻击特征库:当监测的用户或系统行为
16、与库中的记录相匹配时,系统就认为这种行为是入侵。 特点:采用模式匹配,误用模式能明显降低误报率,但漏报率随之增 加。攻击特征的细微变化,会使得误用检测无能为力。 异常检测( Anomaly Detection) 基于统计分析原理。首先总结正常操作应该具有的特征(用户轮廓),试图用定量的方式加以描述,当用户活动与正常行为有重大偏离时即被认为是入侵。前提:入侵是异常活动的子集。指标:漏报率低,误报率高。 特点:异常检测系统的效率取决于用户轮廓的完备性和监控的频率;不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会
17、消耗更多的系统资源 3、 举例说明 IP 可能遭受的安全威胁。 IP 网络的安全威胁有两个方面,一是主机(包括用户主机和应用服务器等)的安全,二是网络自身(主要是网络设备,包括路由器、交换机等)的安全。用户主机所感知的安全威胁主要是针对特定操作系统(主要是 Windows 系统)的攻击,即所谓病毒。网络设备主要面对的是基于 TCP/IP 协议的攻击。本文主要讨论网络自身,即网络设备(主要是路由器)自身的安全问题。 ( 1)对数据平面来说,其功能是负责处理进入设备的数据流,它有可能受到基于流量的攻击,如大流量攻击、畸形报文攻击。这些攻击的主要 目的是占用设备 CPU 的处理时间,造成正常的数据流量无法得到处理,使设备的可用性降低。由于数据平面负责用户数据的转发,因此也会受到针对用户数据的攻击,主要是对用户数据的恶意窃取、修改、删除等,使用户数据的机密性和完整性受到破坏。 ( 2)对路由器来说,控制 /信令平面的主要功能是进行路由信息的交换。这一平面受到的主要威胁来自对路由信息的窃取,对 IP 地址的伪造等,这会造成网络路由信息的泄漏或滥用。 ( 3)对系统管理平面来说,威胁来自于两个方面,一个是系统管理所使用的协议(如 Telnet 协议、 HTTP 协议等)的漏洞,另一个是不严密的管理,如设备管理账号的泄露等。