1. TCP/IP的层次模型只有 B 层。四 2. IP位于 A 层。网络 3. TCP位于 B 层。传输 4. 大部分网络接口有一个硬件地址,如以太网的硬件地址是一个 B 48 位
的十六进
5. 逻辑上防火墙是 A 过滤器、限制器、分析器
6. 在被屏蔽主机的体系结构中,堡垒主机位于 A ,所有的外部连接
都由过滤路由器路由到它上面去。内部网络
7. 在屏蔽的子网体系结构中,堡垒主机被放置在 C 上,它可以被认
为是应用网关,是这种防御体系的核心。周边网络
8. 外部路由器和内部路由器一般应用 B 规则。相同
9. 外部数据包过滤路由器只能阻止一种类型的IP欺骗,即 D ,而不
能阻止DNS欺骗。外部主机伪装成内部主机的IP
10. 最简单的数据包过滤方式是按照 B 进行过滤。源地址
11. 不同的防火墙的配置方法也不同,这取决于 C 、预算及全面规划。
安全策略
12. 堡垒主机构造的原则是 A ;随时作好准备,修复受损害的堡垒主
机。
使主机尽可能的简单
13. 加密算法若按照密匙的类型划分可以分为 A 两种。 公开密匙加密算法和对称密匙加密算法
14. Internet/Intranet 采用的安全技术有 E 和内容检查。 A. 防火墙 B. 安全检查 C. 加密
D. 数字签名 E. 以上都是
15. 下面的三级域名中只有 D 符合《中国互连网域名注册暂行管理办
法》中的命名原则。WWW.SHENG001.NET.CN
16. 代理服务器与数据包过滤路由器的不同是 B 。 代理服务器在应用层筛选,而路由器在网络层筛选 17. 关于防火墙的描述不正确的是 C 。 防火墙可以防止伪装成外部信任主机的IP地址欺骗
18. 关于以太网的硬件地址和IP地址的描述,不正确的是 C 。 数据传输过程中,目标硬件地址不变,目标IP地址随网段不同而改变
19. 关于被屏蔽子网中内部路由器和外部路由器的描述,不正确的是
B 。
外部路由器和内部路由器都可以防止声称来自周边网的IP地址欺骗 20. 不属于代理服务器缺点的是 D 。一般无法提供日志 21. 关于堡垒主机上伪域名服务器不正确的配置是 D 。 可使因特网上的任意机器查询内部主机信息
22. 口令管理过程中,应该 B 。设置口令有效期,以此来强迫用户更换
口令
23. WWW服务中, B 。 CGI 程序可对服务器端产生安全隐患,Java applet 程序可对客户端产生安全隐患
24. ICMP 数据包的过滤主要基于 C 。消息类型代码
25. 屏蔽路由器能 D 。根据IP地址、端口号阻塞数据通过
26. DNS服务器到服务器的询问和应答 A 。使用UDP时,用的都是
端口53
27. 提供不同体系间的互连接口的网络互连设备是D网关 28. 下列不属于流行局域网的是 D 。ATM
29. 网络安全的特征应具有保密性、完整性、 D 4个万面的特征。可用
性和可控性
30. B 负责整个消息从信源到信宿的传递过程,同时保证整个消息的
无差错,按
顺序地到达目的地,并在信源和信宿的层次上进行差错控制和流量控制。传输层 31. 在网络信息安全模型中, A 是安全的基石,它是建立安全管理的
标准和方法。
A. 政策,法律,法规
32. 下列操作系统能达到C2级的是 C 。WindowsNT 33. 在建立口令时最好不要遵循的规则是 C 使用名字,自己的名字和
家人的名字
34. 网络信息安全中, A 包括访问控制,授权,认证,加密以及内容
安全。
A. 基本安全类
35. 病毒扫描软件由 C 组成。代码库和扫描程序
36. C 总是含有对文档读写操作的宏命令;在·doc文档和·dot模板
中以·BFF (二
进制文件格式)存放 宏病毒
37. 防火墙工作在OSI模型的 A 。应用层
38. 在选购防火墙软件时,不应考虑的是一个好的防火墙应该B 为使用者提供
惟一的平台
39. 包过滤工作在OSI模型的 B 。网络层和传输层 40. 与电子邮件有关的两个协议是: A 。SMTP和POP
41. 网络上为了监听效果最好,监听设备不应放在 C 。中继器
42. 关于堡垒主机上的域名服务,不正确的描述是 A 。关闭内部网上的
全部服务
43. 关于摘要函数,叙述不正确的是 C输入消息申的任何变动都不会对输出摘要产生影响
44. 对于回路级代理描述不正确的是 D 。不为源地址和目的地址提供连
接
45. 关于加密密钥算法,描述不正确的是 A 。通常是不公开的,只有少数几
种加密算法
46. 网络进行嗅探,做嗅探器的服务器的网卡必须设置成 D 。混杂方式 47. 下面利用TCP的三次握手原理进行的攻击是 B 。SYN Flood 48. 下列那一项不是防范网络监听的手段 D 。身份验证
2
49. TELNET协议主要应用于哪一层 A A、应用层
50. 一个数据包过滤系统被设计成允许你要求服务的数据包进入,而过滤掉不必
要的服务。这属于 A 基本原则。 A、 最小特权 51. 不属于安全策略所涉及的方面是 D 。 D、防火墙策略
52. 对文件和对象的审核,错误的一项是 D D、文件名更改的成功和失
败
53. WINDOWS主机推荐使用 A 格式。 A、NTFS 54. UNIX系统的目录结构是一种 A 结构. A、树状
55. 在每天下午5点使用计算机结束时断开终端的连接属于A、外部终端的物理
安全
56. 检查指定文件的存取能力是否符合指定的存取类型,参数3是指
B 。
B、 检查是否可写和执行
57. D 协议主要用于加密机制。 D、SSL
58. 不属于WEB服务器的安全措施的是 D D、 所有用户使用一次性密
码
59. DNS客户机不包括所需程序的是 D 。D、 接收邮件
60. 下列措施中不能增强DNS安全的是 C 。C、 更改DNS的端口号 61. 为了防御网络监听,最常用的方法是 B 。B、 信息加密 62. 监听的可能性比较低的是 B 数据链路。 B、电话线 63. NIS的实现是基于 C 的。C、RPC
64. NIS/RPC通信主要是使用的是 B 协议。B、UDP
65. 向有限的空间输入超长的字符串是 A 攻击手段。A、缓冲区溢出 66. 使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停
止正常服务,这属于 A 漏洞 A、拒绝服务 67. 不属于黑客被动攻击的是 A 。 A、缓冲区溢出 68. Windows NT/2000 SAM存放在 D 。 D、WINNT/SYSTEM32/config 69. 输入法漏洞通过 D 端口实现的。 D、3389
70. 使用Winspoof软件,可以用来 C 。C、 隐藏QQ的IP
71. 属于IE共享炸弹的是 B 。B、 \\\\192.168.0.1\anker$\\nul\\nul
72. 抵御电子邮箱入侵措施中,不正确的是 D 。 D、自己做服务器 73. 网络精灵的客户端文件是 D 。 D、netspy.exe
74. 不属于常见把入侵主机的信息发送给攻击者的方法是 D D、连
接入侵主机
75. http://IP/scripts/..%255c..%255winnt/system32/cmd.exe?/c+del+c:\anker.txt可
以 删除文件
76. 不属于常见的危险密码是 D 。 D、10位的综合型密码 77. 不属于计算机病毒防治的策略的是 D 。D、 整理磁盘
78. 针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,这是
D 防火墙的特点。 D、代理服务型
79. 使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停
止正常服务,这属于 A 攻击类型? A、拒绝服务
80. 为了防御网络监听,最常用的方法是: B 。B、信息加密
81. 一个数据包过滤系统被设计成只允许你要求服务的数据包进入,而过滤掉不
3
必要的服务。这属于 A 基本原则?A、最小特权;
82. 向有限的空间输入超长的字符串是 A 攻击手段? A、缓冲区溢出;
83. 使用Windows2000的组策略,可以限制用户对系统的操作权限,该实例是 B
功能的应用? B、执行控制列表;
84. 主要用于加密机制的协议是: D 。D、SSL
85. 用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于B
攻击手段? B、钓鱼攻击;
86. Windows NT 和Windows 2000系统能设置为在几次无效登录后锁定帐号,这
可以防止: B 。B、暴力攻击;
87. 在以下认证方式中,最常用的认证方式是: A 。A基于账户名/口
令认证;
88. 以下哪项不属于防止口令猜测的措施? B 。B、确保口令不在终端
上再现;
89. 下列不属于系统安全的技术是: B 。B、加密狗;
90. 以下哪项技术不属于预防病毒技术的范畴? A 。A、加密可执行程
序;
91. 电路级网关是以下哪一种软/硬件的类型? A 。A、防火墙;
92. DES是一种block(块)密文的加密算法,是把数据加密成 B 的块?B、
64位;
93. 按密钥的使用个数,密码系统可以分为: C C、对称密码系统和非对
称密码系统;
94. 以下有关数据包过滤局限性描述正确的是 D 。D、有些协议不适合
包过滤
95. 在网络安全中,中断指攻击者破坏网络系统的资源,使之变成无效的或无用
的。这是对 A 。A、可用性的攻击;
96. B 为应用层提供一种面向连接的、可靠的字节流服务。 B、TCP 97. D 是指计算机系统具有的某种可能被入侵者恶意利用的属性。 D、计算
机安全漏洞
98. 端口扫描最基本的方法是 C 。 C、TCF connet()扫描 99. 主机文件检测的检测对象不包括 A 。A、数据库日志
100.关于基于网络的入侵检测系统的优点描述不正确的是 D、检测性能不受硬
件条件限制 二、填空题
1. 数据包过滤用在 和 之间,过滤系统一般是一台路由器或是一台主
机。
内部主机;外部主机
2. 用于过滤数据包的路由器被称为 ,和传统的路由器不同,所以人
们也称它为 。屏蔽路由器;包过滤网关
3. 代理服务是运行在防火墙上的 ,防火墙的主机可以是一个
具有两个网络接口的 ,也可以是一个堡垒主机。一种服务程序;双重宿主主机
4. 代理服务器运行在 层,它又被称为 。应用;应用
级网关
5. 内部路由器又称为 ,它位于 和
4
之间。
阻塞路由器;内部网络;周边网络
6. UDP 的返回包的特点是:目标端口是请求包的 ;目标地址是请求包
的 ;源端口是请求包的 ;源地址是请求包的 。源端口;源地址;目标端口;目标地址
7. FTP传输需要建立两个TCP连接:一个是 ;另一个是 。命令通道;
数据通道
8. 屏蔽路由器是一种根据过滤规则对数据包进行 的路由器。阻塞和转发 9. 代理服务器是一种代表客户和 通信的程序。真正服务器, 10. ICMP 建立在IP层上,用于主机之间或 之间传输差错与控
制报文。 主机与路由器
11. 防火墙有多重宿主主机型、被屏蔽 型和被屏蔽 型等多种结构。
主机;子网
12. 在TCP/IP的四层模型中,NNTP是属于 层的协议,而FDDI是
属于 层的协议。应用;网络
13. 重宿主主机有两个连接到不同网络上的 。网络接口 14. 域名系统DNS用于 之间的解析。IP地址和主机
15. 防火墙把出站的数据包的源地址都改写成防火墙的IP地址的方式叫
做 。网络地址转换或NAT
16. 安全网络和不安全网络的边界称为 。安全边界
17. 网络文件系统NFS向用户提供了一种 访问其他机器上文件的方式。透明
地
18. SNMP 是基于 , 的网络管理协议。UDP;简单的 19. 在逻辑上,防火墙是 过滤器;限制器;分析器
20. 屏蔽路由器是可以根据 对数据报进行 和 的路由器。过滤原则;
阻塞;转发
21. 数据完整性包括的两种形式是 和 。 数据单元或域的完整性;数据单元或域的序列的完整性
22. 计算机网络安全受到的威胁主要有: 、 、和 。
黑客的攻击;计算机病毒;拒绝服务访问攻击
23. 对一个用户的认证,其认证方式可以分为三类: 、
和 。
用生物识别技术进行鉴别;用所知道的事进行鉴别;使用用户拥有的物品进行
鉴别
24. 恢复技术大致分为:纯以备份为基础的恢复技术, 和基于
多备份的恢复技术3种。对数据库构成的威胁主要有:篡改,损坏和 。
以备份和运行日志为基础的恢复技术
25. 防火墙就是位于 或WEB站点与因特网之间的一个
或一台主机,典型的防火墙建立在一个服务器或主机的机器上,也称为 。 内部网;路由器;堡垒主机
5
26. 是运行在防火墙上的一些特定的应用程序或者服务程序。代理服务 27. 防火墙有 、主机过滤和子网过滤三种体系结构。双重宿主
主机
28. 包过滤路由器依据路由器中的 做出是否引导该数据包的决定。包
过滤规则
29. 双重宿主主机通过 连接到内部网络和外部网络上。两个网
络接口
30. 回路级代理能够为各种不同的协议提供服务,不能解释应用协议,所以只能
使用修改的 。客户程序 三、判断题
1. 网络安全应具有以下四个方面的特征:保密性、完整性、可用性、可查性。
F
2. 最小特权、纵深防御是网络安全原则之一。
3. 安全管理从范畴上讲,涉及物理安全策略、访问控制策略、信息加密策略和
网络安全管理策略。
4. 用户的密码一般应设置为16位以上。 5. 开放性是UNIX系统的一大特点。
6. 密码保管不善属于操作失误的安全隐患。F 7. 我们通常使用SMTP协议用来接收E-MAIL。F
8. 在堡垒主机上建立内部DNS服务器以供外界访问,可以增强DNS服务器的
安全性。F
9. TCPFIN属于典型的端口扫描类型。
10. 为了防御网络监听,最常用的方法是采用物理传输。F 11. NIS的实现是基于HTTP实现的。
12. 文件共享漏洞主要是使用NetBIOS协议。
13. 使用最新版本的网页浏览器软件可以防御黑客攻击。
14. WIN2000系统给NTFS格式下的文件加密,当系统被删除,重新安装后,原
加密的文件就不能打开了。
15. 通过使用SOCKS5代理服务器可以隐藏QQ的真实IP。
16. 一但中了IE窗口炸弹马上按下主机面板上的Reset键,重起计算机。F 17. 禁止使用活动脚本可以防范IE执行本地任意程序。 18. 只要是类型为TXT的文件都没有危险。F 19. 不要打开附件为SHS格式的文件。 20. BO2K的默认连接端口是600。F
21. 发现木马,首先要在计算机的后台关掉其程序的运行。
22. 限制网络用户访问和调用cmd的权限可以防范Unicode漏洞。
23. 解决共享文件夹的安全隐患应该卸载Microsoft网络的文件和打印机共享。 24. 不要将密码写到纸上。
25. 屏幕保护的密码是需要分大小写的。F
26. 计算机病毒的传播媒介来分类,可分为单机病毒和网络病毒。 27. 木马不是病毒。
28. 复合型防火墙防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通
信流的作用,同时也常结合过滤器的功能。
29. 非法访问一旦突破数据包过滤型防火墙,即可对主机上的软件和配置漏洞进
6
行攻击。F
30. VPN的主要特点是通过加密使信息能安全的通过Internet传递。 四、简答题
1、保证计算机网络安全的主要措施有哪些?
计算机网络安全的主要措施有预防、检测和恢复三类。
1)预防。是一种行之有效的、积极主动的安全措施,它可以排除各种预先能想到的威胁。
2)检测。也是一种积极主动的安全措施,它可预防那些较为隐蔽的威胁。 3)恢复。是一种消极的安全措施,它是在受到威胁后采取的补救措施。 2、计算机信息安全技术的基本策略有哪些? 1)操作系统的安全更新 2)应用程序的安全更新 3)合理设置网络 4)监听与入侵检测 5)审计与记账 6)人员问题 7)事故响应策略
3、对木马的防治要制定出一个有效的策略,通常可以采用如下几个步骤: 1)不要轻易地下载、运行不安全的程序。
2)定期对系统进行扫描。可以采用专用的木马防治工具,如木马克星。这是一款国产的软件,可以查杀5021种国际木马,112种电子邮件木马,保证查杀冰河类文件关联木马,OICQ类寄生木马,ICMP类幽灵木马,网络神偷类反弹木马。TrojanHunter也是一个很好的选择。
3)使用防火墙。对现有硬盘的扫描是不够的,应该从根本上制止木马的入侵。使用专用的防火墙可以在木马试图连接到网络时就可以将其屏蔽。木马克星和TrojanHunter都可以起到防火墙的屏蔽作用,当然也可以使用Norton Internet Security。
4、什么叫入侵检测系统?入侵检测主要有哪3种方式?
入侵检测(Intrusion Detection)是对入侵行为的发现。它从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。负责入侵的软/硬件组合体称为入侵检测系统 入侵检测系统是根据入侵行为与正常访问行为的差别来识别入侵的,根据入侵识别采用的原理不同,可以分为异常检测、误用检测和特征检测3种。
5、数字签名机制需要确定哪两个过程?签名机制的本质特征是什么? 数字签名机制需要确定两个过程:一个是对数据单元签名;另一个是验证签过名的数据单元。第一个过程中的所有规程和信息是公开的,但是不能够由它们推断出该签名者的私有信息。这个私有信息是被用来验证数据单元的。
签名机制的本质特征是:该签名只有使用签名者的私有信息才能产生出来。因而当答名得到验证后,它能够在事后的任何时候向第三方(如法官或仲裁人)证明:只有那个私有信息的唯一拥有者才能产生这个签名。
7
6、Web的安全体系结构主要包括哪几个方面?
Web的安全体系结构非常复杂,主要包括以下几个方面:
1)客户端软件(即Web浏览器软件)的安全;
2)运行浏览器的计算机设备及其操作系统的安全(主机系统的安全); 3)客户端的局域网(LAN); 4)Internet;
5)服务器端的局域网(LAN);
6)服务器端的计算机设备及操作系统的安全(主机系统的安全); 7)服务器上的Web服务器软件。
在分析Web服务器的安全怀时,要充分考虑上述影响Web服务器安全性的几个方面,其中安全性最差的将决定Web服务器的安全级别。影响Web安全的最直接的因素,主要是Web服务器软件及支撑服务器运行的操作系统的安全。
7、网络监听的基本原理是什么?
网络监听是基于共享式以太网通信环境,共享式以太网的通信是基于广播的,在同一个网段的所有网络接口都可以访问到物理媒体上的数据,而每一个接口都有一个唯一的硬件地址MAC地址,一般来说一个网络接口可以响应两种数据帧,一个是广播帧,另一个是目标地址于自己MAC地址相匹配的帧,但是如果网卡的工作模式处于“混杂模式”,那么它将接受一切通过它的数据,而不管数据是否是传给它的,那么接受的所有数据帧都将交给上层协议软件处理,这构成了“网络监听”。
防范网络监听:
1) 从逻辑或物理上对网络分段
2) 以交换式集线器代替共享式集线器 3) 使用加密技术 4) 划分VLAN 8、简述VPN工作过程
①. 客户机向VPN服务器发出请求
②. VPN服务器响应请求并向客户机发出身份质询,客户机将加密的用户身份验证响应信息发送到VPN服务器
③. VPN服务器根据用户数据库检查该响应,如果帐户有效,VPN服务器将检查该用户是否具有远程访问权限;如果该用户具有远程访问权限,VPN服务器接收此连接
④. 最后VPN服务器将在身份验证过程中产生的客户机和服务器共享密钥用于数据加密,然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。 五、论述题
1. 结合你对本课程的学习体会谈谈为保证网络安全应该如何构造网络,对网络
进行设置?
1、(1)外部网络的设置
外部网络是连接内部网络与Internet的通道,也是抵御攻击和端口扫描的首要屏障。用户可能会通过拨号、远程网络或其他的方式连接到外部网络。 图1给出了外部网络设置的一个例子,它包含如下的几个服务器:
防火墙:该防火墙具有状态包过滤功能,能有效阻止诸如死亡之Ping、包
8
洪水等攻击,也可以防止Nmap等工具的端口扫描; 拨入服务器:对远程的拨号连接进行处理;
AAA服务器:对远程用户的访问进行认证、授权与记账; 入侵检测服务器:检测是否有入侵。
图1.1 外部网络设置举例图 1.3 内部网络与外部网络的连接
(2)内部网络的设置
内部网络主要用于企业内部的数据访问,但也不能忽视了其安全性。 图2给出了一个内部网络设置的例子,采用分段的方式将内部网络划分成不同的子网:
域名服务器;
入侵检测服务器;
邮件服务器; 数据库服务器;
Syslog服务器:用于记录日志信息;
AAA服务器。
图1.2 内部网络设置举例
(3)有效隔离外部网络与内部网络
在外部网络与内部网络间还要架设一个防火墙作为代理服务,用于内、外网的衔接,如图3所示。
9
网络攻防技术复习大纲
一、选择、判断、填空题。 1、管理员常用的网络命令PING基于的协议基础是SMTP。 W ICMP 2、管理员常用的网络命令TRACEROUTE基于的协议基础是SMTP。 ICMP 3、DNS的域名空间结构是树状结构。R 倒置的树状结构
4、在IP地址动态分配的时候,可以作为法庭上的重要证据来使用的是DHCP日志。 r
5、IPv6提供的地址空间是128位。r
6、最通用的电子邮件传输协议是SMTP。r
7、在各种电子邮件传输协从中,网际消息访问协议是IMAP4。 r 8、在各种电子邮件传输协从中,因特网电子邮件的第1个离线协议标准是POP3。 r
9、称为安全套接字协议的是SSL。r
10、一般来说,信息安全的基本目标是:保密性;完整性;可用性。可审计性 不可否认性 11、特洛伊木马是一种基于远程控制的黑客工具,其实质是C/S结构的网络程序。r 12、安全威胁中的基本安全威胁有信息泄露;完整性破坏;拒绝服务;非法使用。 13、主要的可实现威胁包括渗入威胁;植入威胁。
14、主要的渗入类型的威胁有假冒;旁路控制;授权侵犯。 15、主要的植入类型的威胁有特洛伊木马、陷阱门。
16、不考虑主要的可实现威胁,潜在威胁主要有窃听;流量分析;操作人员的不慎所导致的信息泄露;媒体废弃物所导致的信息泄露。
17、下面属于主动攻击类型的是:伪装攻击;重发攻击;消息篡改;拒绝服务。 18、IPv6提供了地址自动配置机制,其中包括无状态地址自动配置;状态地址自动配置。
19、移动IPv6的基本操作包括移动检测;家乡代理注册;三角路由;路由优化。 20、暴库通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
21、文件传输协议FTP支持的功能有文本文件的传输;二进制文件的传输;字符集翻译。
22、对于单钥加密体制来说,可以按照加解密运算的特点将其分为流密码;分组密码。
23、古典密码基本的工作原理是代换;换位。
24、密钥流生成器的主要组合部分有驱动部分;组合部分。
25、分组密码的工作模式有电码本模式;密码分组链接模式;输出反馈模式;密码反馈模式;计数器模式。 26、按照密码协议的功能来分类,把密码协议分为密钥建立协议;认证建立协议;认证的密钥建立协议。
27、密钥认证的种类有隐式密钥认证;密钥确认;显式密钥认证。
28、对密码协议进行分析的方法有攻击检验方法;形式语言逻辑证明方法。 29、公开密钥基础设施PKI主要包括的内容有安全策略;认证系统;密钥管理中心。
30、绝大多数的访问控制应用都能抽象成一般的权限管理模型,其中包括对象;权限声称者;权限验证者。 31、权限验证者决定访问的通过与失败根据的条件是权限声明者的权限;适当的权限策略;当前环境变量。
32、在权限管理基础设施PMI中,策略规则主要包含的基本因素是访问者;目标;动作;权限信任源;访问规则。 33、在安全应用系统中实现访问控制使用的方式主要有基于应用的方式;服务器插件方式;代理方式。
34、相对于软件加密来说,硬件加密的优点是加密速度快;硬件安全性好;硬件易于安装。 35、相对于硬件加密来说,软件加密的优点是灵活;方便;可安装于多种机器上。 36、从一般通信网的应用来看,密钥主要分为基本密钥;会话密钥;密钥加密密钥;主机主密钥。
37、密钥存储时必须保证密钥的机密性;认证性;完整性;防止泄露;防止修改。
10
38、密钥的生存期有下面哪几个阶段组成预运行阶段;运行阶段;后运行阶段;报废阶段。
39、访问控制的三个要素:主体、客体、保护规则。
40、访问控制一般分为:自主访问控制、强制访问控制、基于角色的访问控制。 41、从程序的角度,缓冲区就是应用程序用来保存用户输入数据、程序临时数据的内存空间。
42、缓冲区溢出种类:栈溢出、堆溢出、整型溢出、格式化字符串溢出、其他溢出。
43、网络蠕虫是一种智能化、自动化的攻击程序或代码,它综合了网络攻击、密码学和计算机病毒技术。 二、简答、问答题
1、信息收集任务是什么?主要方法有那些?
任务与目的:尽可能多地收集目标的相关信息,为后续的“精确”攻击建立基础。 主要方法:利用公开信息服务、主机扫描与端口扫描、操作系统探测与应用程序类型识别。
2、缓冲区溢出?缓冲区溢出的危害?
缓冲区溢出:如果用户输入的数据长度超出了程序为其分配的内存空间,这些数据就会覆盖程序为其它数据分配的内存空间,形成所谓的缓冲区溢出。 危害:应用程序异常;系统不稳定甚至崩溃;程序跳转到恶意代码,控制权被窃。 3、XSS和CSS
人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。因此有人将跨站脚本攻击缩写为XSS。如果你听到有人说 “我发现了一个XSS漏洞”,显然他是在说跨站脚本攻击。 4、网络攻击步骤
信息收集;获取用户权限;安装后门;扩大影响;清除痕迹。 5、信息收集的内容?
域名和IP地址、操作系统类型、端口、应用程序类型、防火墙、入侵检测等安全防范措施
内部网络结构、域组织。 6、缓冲区溢出种类?
栈溢出、堆溢出、整型溢出、格式化字符串溢出、其他溢出。
7、蠕虫的攻击行为可以分为四个阶段:
信息收集;扫描探测;攻击渗透;自我推进。
9、暴库
将对方数据库的物理路径暴露出来。
10、跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。
11、列出嗅探器
Windows:Sniffer_pro、Netxray Unix:Sniffit、Snort、Tcpdump
12、ARP欺骗的攻击过程?
攻击者在局域网段发送虚假的IP/MAC对应信息,篡改网关MAC地址,使自己成为假网关
受害者将数据包发送给假网关(攻击者),假网关(攻击者)分析接收到的数据包,把有价值的数据包记录下来(比如QQ以及邮箱登录数据包),假网关再把数据包转发给真正的网关。
11
13、DDoS是什么攻击?是怎么实施的?
攻击者、主控端、代理端,三者在攻击中扮演着不同的角色。
攻击者:攻击者所用的计算机是攻击主控台,可以是网络上的任何一台主机,甚至可以是一个活动的便携机。攻击者操纵整个攻击过程,它向主控端发送攻击命令。
主控端:主控端是攻击 者非法侵入并控制的一些主机,这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序,因此它们可以接受攻击者发来的特殊指令,并且可以把这些命令发送到代理主机上。 代理端:代理端同样也是攻击者侵入并控制的一批主机,它们上面运行攻击器程序,接受和运行主控端发来的命令。代理端主机是攻击的执行者,真正向受害者主机发送攻击。
14、PDRR模型—网络安全模型
一个最常见的安全模型就是PDRR模型。PDRR模型就是4个英文单词的头字符:Protection(防护)、Detection(检测)、Response(响应)、Recovery(恢复)。这四个部分构成了一个动态的信息安全周期,如图: 15、APPDRR网络安全模型 APPDRR模型:
风险评估(Assessment) 安全策略(Policy) 系统防护(Protection) 动态检测(Detection) 实时响应(Reaction)
灾难恢复(Restoration)六部分完成。
网络安全的动态特性在DR模型中得到了一定程度的体现,其中主要是通过入侵的检测和响应完成网络安全的动态防护。但DR模型不能描述网络安全的动态螺旋上升过程。为了使DR模型能够贴切地描述网络安全的本质规律,人们对DR模型进行了修正和补充,在此基础上提出了APPDRR模型。APPDRR模型认为网络安全由风险评估(Assessment)、安全策略(Policy)、系统防护(Protection)、动态检测(Detection)、实时响应(Reaction)和灾难恢复(Restoration)六部分完成
16、个人主机安全原则是什么?运用主要的安全技术是什么? 把握安全原则: 相对性原则
安全是相对的,不是绝对的。没有任何一种技术是可以提供100%的安全性 最小化原则
不必要的功能一概不要,必要的功能也要加以严格的限制 隐蔽性原则
不要“诱惑”攻击者。最好的安全防护是隐藏终端的信息价值 主要的安全技术: 防火墙 补丁管理
使用一种杀毒软件 “谨慎”浏览、下载 做好备份
17、什么是SQL注入攻击? SQL Injection,就是向网站提交精心构造的SQL查询语句,导致网站将关键数据信息返回。
18、安全领域存在有多种类型的防护措施。除了采用密码技术的防护措施之外,还有其他哪些类型的安全防护措施? (1) 物理安全 (2) 人员安全 (3) 管理安全 (4) 媒体安全 (5) 辐射安全
(6) 生命周期控制
12
19、访问控制系统建立后的工作流程有哪些?
(1) 访问者发出对某个目标的访问请求,被策略实施点截获
(2) 策略实施点对请求进行处理,根据用户信息、请求操作和目标信息等形成
决策请求,发给策略决策点。
(3) 策略决策点根据用户的权限,策略规则对决策请求进行判断,并将决策的
结果返回给策略执行点。该结果只是允许或拒绝。 (4) 策略招执行点根据决策结果执行访问或者拒绝访问。
简述网络攻击的一般步骤 1) 隐藏IP 2) 踩点扫描
3) 获得系统或管理员权限 4) 种植后门 5) 清除痕迹
画出一般网络攻击的路线图
13
简述5种攻击阶段使用的攻击方法 1) 缓冲区溢出攻击 2) 脚本程序漏洞攻击 3) 口令攻击
4) 错误及弱配置攻击 5) 网络欺骗与劫持攻击 简述5种提权方式 1) 社会工程学 2) 漏洞溢出 3) 口令破解 4) SQL注入 5) 木马
简述木马攻击的一般步骤 答:
1) 配置木马 2) 传播木马 3) 运行木马 4) 信息泄露 5) 建立连接 6) 远程控制
木马分别有哪些植入技术和加载技术?
主动植入:本地安装、远程安装(利用系统漏洞和第三方软件漏洞) 被动植入:
网页浏览植入 利用电子邮件植入 利用网络下载植入 利用即时通工具植入 与其它程序捆绑
利用移动存储设备植入
在Windows系统中木马程序的自动加载技术主要有:
修改系统文件 修改系统注册表 添加系统服务
修改文件打开关联属性 修改任务计划 修改组策略
利用系统自动运行的程序 修改启动文件夹 替换系统DLL
14
简述TCP SYN扫描的原理
Half open scan 在3次握手完成前终止连接。发SYN,如果收到RST,说明端口关闭。如果收到SYN ACK,说明端口开放,发送RST。
SYN 开放的端口
SYN+ACK握手 扫描器SYN RST 重置 SYN 被扫描主机不提供服务的端口
列举网络欺骗的一般方法
DNS欺骗 邮件欺骗 IP欺骗 arp欺骗 网络钓鱼(web欺骗)
Metasploit 渗透测试步骤 1. 创建项目 2. 发现设备
3. 获取对主机的访问权限 4. 控制会话
5. 从目标主机收集证据 6. 清除会话 7. 生成报告
使用Metasploit 的某攻击过程如下,简述各步骤的主要功能。 1. search ms08_067
2. use windows/smb/ms08_067_netapi 3. show payloads
4. set PAYLOAD windows/shell_bind_tcp 5. show options
6. set RHOST 192.168.1.108 7. Exploit
溢出成功后 8. Ipconfig /all
9. Net user abc 123 /add
10. Net localgroup administrators abc /add
15
防火墙过滤的
端口
没有回应或者其他 常用扫描工具的主要功能
运行在VMware虚拟机软件上操作系统的网络连接方式有三种
VMWare提供了三种工作模式,它们是bridged(桥接模式)、NAT(网络地址转换模式)和host-only(主机模式)。要想在网络管理和维护中合理应用它们,你就应该先了解一下这三种工作模式。 1.bridged(桥接模式) 在这种模式下,VMWare虚拟出来的操作系统就像是局域网中的一台独立的主机,它可以访问网内任何一台机器。在桥接模式下,你需要手工为虚拟系统配置IP地址、子网掩码,而且还要和宿主机器处于同一网段,这样虚拟系统才能和宿主机器进行通信。同时,由于这个虚拟系统是局域网中的一个独立的主机系统,那么就可以手工配置它的TCP/IP配置信息,以实现通过局域网的网关或路由器访问互联网。
使用桥接模式的虚拟系统和宿主机器的关系,就像连接在同一个Hub上的两台电脑。想让它们相互通讯,你就需要为虚拟系统配置IP地址和子网掩码,否则就无法通信。
如果你想利用VMWare在局域网内新建一个虚拟服务器,为局域网用户提供网络服务,就应该选择桥接模式。 2.host-only(主机模式)
在某些特殊的网络调试环境中,要求将真实环境和虚拟环境隔离开,这时你就可采用host-only模式。在host-only模式中,所有的虚拟系统是可以相互通信的,但虚拟系统和真实的网络是被隔离开的。
提示:在host-only模式下,虚拟系统和宿主机器系统是可以相互通信的,相当于这两台机器通过双绞线互连。
在host-only模式下,虚拟系统的TCP/IP配置信息(如IP地址、网关地址、DNS服务器等),都是由VMnet1(host-only)虚拟网络的DHCP服务器来动态分配的。
如果你想利用VMWare创建一个与网内其他机器相隔离的虚拟系统,进行某些特殊的网络调试工作,可以选择host-only模式。 3.NAT(网络地址转换模式)
使用NAT模式,就是让虚拟系统借助NAT(网络地址转换)功能,通过宿主机器所在的网络来访问公网。也就是说,使用NAT模式可以实现在虚拟系统里访问互联网。NAT模式下的虚拟系统的TCP/IP配置信息是由VMnet8(NAT)虚拟网络的DHCP服务器提供的,无法进行手工修改,因此虚拟系统也就无法和本局域网中的其他真实主机进行通讯。采用NAT模式最大的优势是虚拟系统接入互联网非常简单,你不需要进行任何其他的配置,只需要宿主机器能访问互联网即可。
如果你想利用VMWare安装一个新的虚拟系统,在虚拟系统中不用进行任何手工配置就能直接访问互联网,建议你采用NAT模式。
16
因篇幅问题不能全部显示,请点此查看更多更全内容