1、 2 、概述网络黑客攻击方法?口令入侵、特洛伊木马、监听法、E-mail 技术、病毒技术、隐藏技术3 、简述防范网络黑客防措施。 选用安全的口令口令不得以明文方式存放在系统中建立帐号锁定机制 实施存取控制确保数据的安全4 什么是网络病毒? 网络病毒的来源有哪些?如何防止病毒?(1)网络病毒是一种新型病毒,它的传播媒介不再是移动式载体,而是网络通道,这种病毒的传染能力更强,破坏力更大。(2) 邮件附件、E-mail 、Web 服务器、文件共享(3) 不要随便下载文件,如必要,下载后应立即进行病毒检测。对接收的包含 Word 文档的电子邮件,应立即用能清除“宏病毒“的软件予以检测,或者是用 Wor
2、d 打开文档,选择“取消宏“ 或“不打开“按钮。5 网络安全的含义是什么?网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。6 、 威胁网络安全的因素有哪些?(1)操作系统的脆弱性(2) 计算机系统的脆弱性(3) 协议安全的脆弱性(4) 数据库管理系统安全的脆弱性(5) 人为的因素(6) 各种外部威胁7 、 什么是防火墙?防火墙能防病毒吗?(1)防火墙是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,目的是保护网络不被他人侵扰。本质上,它遵循的是一种允许或阻止业务来往的网络通信安全机
3、制,也就是提供可控的过滤网络通信,只允许授权的通信。(2)防火墙可以防病毒,但不能防所有的病毒。8 、 怎样通过防火墙进行数据包过滤?防火墙通常是一个具备包过滤功能的简单路由器,支持因特网安全。这是使因特网联接更加安全的一种简单方法,因为包过滤是路由器的固有属性。包是网络上信息流动的单位。在网上传输的文件一般在发出端被划分成一串数据包,经过网上的中间站点,最终传到目的地,然后这些包中的数据又重新组成原来的文件。每个包有两个部分:数据部分和包头。包头中含有源地址和目标地址等信息。包过滤一直是一种简单而有效的方法。通过拦截数据包,读出并拒绝那些不符合标准的包头,过滤掉不应入站的信息。9、威胁网络安
4、全的因素有哪些?(1)操作系统的脆弱性(2) 计算机系统的脆弱性(3) 协议安全的脆弱性(4) 数据库管理系统安全的脆弱性(5) 人为的因素(6) 各种外部威胁10、简述网络安全的解决方案。(1)信息包筛选(2)应用中继器 (3)保密与确认11、什么是防火墙,为什么需要有防火墙?防火墙是一种装置,它是由软件/硬件设备组合而成,通常处于企业的内部局域网与Internet 之间,限制 Internet 用户对内部网络的访问以及管理内部用户访问 Internet 的权限。换言之,一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是 Internet)之间提供一
5、个封锁工具。如果没有防火墙,则整个内部网络的安全性完全依赖于每个主机,因此,所有的主机都必须达到一致的高度安全水平,这在实际操作时非常困难。而防火墙被设计为只运行专用的访问控制软件的设备,没有其他的服务,因此也就意味着相对少一些缺陷和安全漏洞,这就使得安全管理变得更为方便,易于控制,也会使内部网络更加安全。防火墙所遵循的原则是在保证网络畅通的情况下,尽可能保证内部网络的安全。它是一种被动的技术,是一种静态安全部件。12、防火墙应满足的基本条件是什么?作为网络间实施网间访问控制的一组组件的集合,防火墙应满足的基本条件如下:(1) 内部网络和外部网络之间的所有数据流必须经过防火墙。(2) 只有符合
6、安全策略的数据流才能通过防火墙。(3) 防火墙自身具有高可靠性,应对渗透(Penetration)免疫,即它本身是不可被侵入的。13、列举防火墙的几个基本功能?(1) 隔离不同的网络,限制安全问题的扩散,对安全集中管理,简化了安全管理的复杂程度。(2) 防火墙可以方便地记录网络上的各种非法活动,监视网络的安全性,遇到紧急情况报警。(3) 防火墙可以作为部署 NAT 的地点,利用 NAT 技术,将有限的 IP 地址动态或静态地与内部的 IP 地址对应起来,用来缓解地址空间短缺的问题或者隐藏内部网络的结构。(4) 防火墙是审计和记录 Internet 使用费用的一个最佳地点。(5) 防火墙也可以作
7、为 IPSec 的平台。(6) 内容控制功能。根据数据内容进行控制,比如防火墙可以从电子邮件中过滤掉垃圾邮件,可以过滤掉内部用户访问外部服务的图片信息。只有代理服务器和先进的过滤才能实现。14、防火墙有哪些局限性?(1) 网络上有些攻击可以绕过防火墙(如拨号) 。(2) 防火墙不能防范来自内部网络的攻击。(3) 防火墙不能对被病毒感染的程序和文件的传输提供保护。(4) 防火墙不能防范全新的网络威胁。(5) 当使用端到端的加密时,防火墙的作用会受到很大的限制。(6) 防火墙对用户不完全透明,可能带来传输延迟、瓶颈以及单点失效等问题。(7) 防火墙不能防止数据驱动式攻击。有些表面无害的数据通过电子
8、邮件或其他方式发送到主机上,一旦被执行就形成攻击(附件) 。15、包过滤防火墙的过滤原理是什么?包过滤防火墙也称分组过滤路由器,又叫网络层防火墙,因为它是工作在网络层。路由器便是一个网络层防火墙,因为包过滤是路由器的固有属性。它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过,有静态和动态两种过滤方式。这种防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则(丢弃该包) 。在
9、制定数据包过滤规则时,一定要注意数据包是双向的。16、列举出静态包过滤的过滤的几个判断依据。静态包过滤的判断依据有(只考虑 IP 包):? 数据包协议类型 TCP、UDP 、ICMP、IGMP 等。? 源/目的 IP 地址。? 源/目的端口 FTP、HTTP、DNS 等。? IP 选项:源路由、记录路由等。? TCP 选项 SYN、ACK、FIN、RST 等。? 其他协议选项 ICMP ECHO、 ICMP REPLY 等。? 数据包流向 in 或 out。? 数据包流经网络接口 eth0、ethl。17、状态检测防火墙的原理是什么,相对包过滤防火墙有什么优点?状态检测又称动态包过滤,所以状态
10、检测防火墙又称动态防火墙,最早由 CheckPoint 提出。状态检测是一种相当于 4、5 层的过滤技术,既提供了比包过滤防火墙更高的安全性和更灵活的处理,也避免了应用层网关的速度降低问题。要实现状态检测防火墙,最重要的是实现连接的跟踪功能,并且根据需要可动态地在过滤规则中增加或更新条目。防火墙应当包含关于包最近已经通过它的“状态信息“,以决定是否让来自 Internet 的包通过或丢弃。18、应用层网关的工作过程是什么?它有什么优缺点?主要工作在应用层,又称为应用层防火墙。它检查进出的数据包,通过自身复制传递数据,防止在受信主机与非受信主机间直接建立联系。应用层网关能够理解应用层上的协议,能
11、够做复杂的访问控制,并做精细的注册和审核。基本工作过程是:当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。常用的应用层网关已有相应的代理服务软件,如 HTTP、SMTP、FTP、Telnet 等,但是对于新开发的应用,尚没有相应的代理服务,它们将通过网络层防火墙和一般的代理服务。应用层网关有较好的访问控制能力,是目前最安全的防火墙技术。能够提供内容过滤、用户认证、页面缓存和 NAT 等功能。但实现麻烦,有的应用层网关缺乏“ 透明度“。应用层网关每一种协议需要相应的代理软件,使用时工作量大,效率明显不
12、如网络层防火墙。19、代理服务器有什么优缺点?代理服务技术的优点是:隐蔽内部网络拓扑信息;网关理解应用协议,可以实施更细粒度的访问控制;较强的数据流监控和报告功能。 (主机认证和用户认证)缺点是对每一类应用都需要一个专门的代理,灵活性不够;每一种网络应用服务的安全问题各不相同,分析困难,因此实现困难。速度慢。20、什么是堡垒主机,它有什么功能?堡垒主机(Bastion Host) 的硬件是一台普通的主机(其操作系统要求可靠性好、可配置性好),它使用软件配置应用网关程序,从而具有强大而完备的功能。它是内部网络和 Internet之间的通信桥梁,它中继(不允许转发)所有的网络通信服务,并具有认证、
13、访问控制、日志记录、审计监控等功能。它作为内部网络上外界惟一可以访问的点,在整个防火墙系统中起着重要的作用,是整个系统的关键点。21、什么是双宿主机模式,如何提高它的安全性?双宿主主机模式是最简单的一种防火墙体系结构,该模式是围绕着至少具有两个网络接口的堡垒主机构成的。双宿主主机内外的网络均可与双宿主主机实施通信,但内外网络之间不可直接通信(不能直接转发) 。双宿主主机可以通过代理或让用户直接到其上注册来提供很高程度的网络控制。由于双宿主机直接暴露在外部网络中,如果入侵者得到了双宿主主机的访问权(使其成为一个路由器) ,内部网络就会被入侵,所以为了保证内部网的安全,双宿主主机首先要禁止网络层的
14、路由功能,还应具有强大的身份认证系统,尽量减少防火墙上用户的账户数。22、屏蔽子网模式相对屏蔽主机模式有什么优点?描述 DMZ 的基本性质和功能。屏蔽子网模式增加了一个把内部网与互联网隔离的周边网络(也称为非军事区 DMZ),从而进一步实现屏蔽主机的安全性,通过使用周边网络隔离堡垒主机能够削弱外部网络对堡垒主机的攻击。在 DMZ 中堡垒主机作为唯一可访问点,支持终端交互或作为应用网关代理。对于选定的可以向 Internet 开放的各种网络应用,也可以将该应用服务器放在 DMZ 上。有两个屏蔽路由器,分别位于 DMZ 与内部网之间、DMZ 与外部网之间,攻击者要攻入这种结构的内部网络,必须通过两
15、个路由器,因而不存在危害内部网的单一入口点。即使非法攻击者侵入堡垒主机,它仍将必须通过内部路由器。这种结构安全性好,只有当三个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。23、边界防火墙有哪些缺陷?分布式防火墙的组成是什么,它有哪些优势?首先是结构性限制。随着企业业务规模的扩大,数据信息的增长,使得企业网的边界已成为一个逻辑边界的概念,物理的边界日趋模糊,因此边界防火墙的应用受到越来越多的结构性限制。其次是内部威胁。当攻击来自信任的地带时,边界防火墙自然无法抵御,被攻击在所难免。最后是效率和故障。边界防火墙把检查机制集中在网络边界处的单点上,一旦被攻克,整个内部网络将完全暴露在外部攻击者
16、面前。分布式防火墙是三部分组成的立体防护系统:(1 )网络防火墙(Network Firewall):它承担着传统边界防火墙看守大门的职责;(2 )主机防火墙(Host Firewall):它解决了边界防火墙不能很好解决的问题(例如来自内部的攻击和结构限制等);(3 )集中管理(Central Management):它解决了由分布技术而带来的管理问题。分布式防火墙的优势主要有:(1) 保证系统的安全性。分布式防火墙技术增加了针对主机的入侵检测和防护功能,加强了对来自于内部的攻击的防范,对用户网络环境可以实施全方位的安全策略,并提供了多层次立体的防范体系。(2) 保证系统性能稳定高效。消除了结
17、构性瓶颈问题,提高了系统整体安全性能。(3) 保证系统的扩展性。伴随网络系统扩充,分布式防火墙技术可为安全防护提供强大的扩充能力。24、静态包过滤和动态包过滤有什么不同?静态包过滤在遇到利用动态端口的协议时会发生困难,如 FTP,防火墙事先无法知道哪些端口需要打开,就需要将所有可能用到的端口打开,会给安全带来不必要的隐患。而状态检测通过检查应用程序信息(如 FTP 的 PORT 和 PASV 命令) ,来判断此端口是否需要临时打开,而当传输结束时,端口又马上恢复为关闭状态。23、请解释 5 种“窃取机密攻击“方式的含义。(1 )网络踩点(Footprinting )攻击者事先汇集目标的信息,通
18、常采用 Whois、Finger、Nslookup、Ping 等工具获得目标的一些信息,如域名、IP 地址、网络拓扑结构、相关的用户信息等,这往往是黑客入侵所做的第一步工作。(2 )扫描攻击(Scanning)这里的扫描主要指端口扫描,通常采用 Nmap 等各种端口扫描工具,可以获得目标计算机的一些有用信息,比如机器上打开了哪些端口,这样就知道开设了哪些网络服务。黑客就可以利用这些服务的漏洞,进行进一步的入侵。这往往是黑客入侵所做的第二步工作。(3 )协议栈指纹(Stack Fingerprinting)鉴别(也称操作系统探测)黑客对目标主机发出探测包,由于不同 OS 厂商的 IP 协议栈实现
19、之间存在许多细微差别,因此每种 OS 都有其独特的响应方法,黑客经常能够确定目标主机所运行的 OS。这往往也可以看作是扫描阶段的一部分工作。(4 )信息流嗅探(Sniffering)通过在共享局域网中将某主机网卡设置成混杂(Promiscuous)模式,或在各种局域网中某主机使用 ARP 欺骗,该主机就会接收所有经过的数据包。基于这样的原理,黑客可以使用一个嗅探器(软件或硬件)对网络信息流进行监视,从而收集到帐号和口令等信息。这是黑客入侵的第三步工作。(5 )会话劫持(Session Hijacking)所谓会话劫持,就是在一次正常的通信过程中,黑客作为第三方参与到其中,或者是在数据流里注射额
20、外的信息,或者是将双方的通信模式暗中改变,即从直接联系变成交由黑客中转。这种攻击方式可认为是黑客入侵的第四步工作-真正的攻击中的一种。24、请解释 5 种“非法访问“攻击方式的含义。(1 )口令破解攻击者可以通过获取口令文件然后运用口令破解工具进行字典攻击或暴力攻击来获得口令,也可通过猜测或窃听等方式获取口令,从而进入系统进行非法访问,选择安全的口令非常重要。这也是黑客入侵中真正攻击方式的一种。(2) IP 欺骗攻击者可通过伪装成被信任源 IP 地址等方式来骗取目标主机的信任,这主要针对Linux、UNIX 下建立起 IP 地址信任关系的主机实施欺骗。这也是黑客入侵中真正攻击方式的一种。(3)
21、 DNS 欺骗当 DNS 服务器向另一个 DNS 服务器发送某个解析请求(由域名解析出 IP 地址)时,因为不进行身份验证,这样黑客就可以冒充被请求方,向请求方返回一个被篡改了的应答(IP地址) ,将用户引向黑客设定的主机。这也是黑客入侵中真正攻击方式的一种。(4) 重放(Replay)攻击在消息没有时间戳的情况下,攻击者利用身份认证机制中的漏洞先把别人有用的消息记录下来,过一段时间后再发送出去。(5) 特洛伊木马(Trojan Horse)把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中,而一旦用户触发正常程序,黑客代码同时被激活,这些代码往往能完成黑客早已指定的任务(如
22、监听某个不常用端口,假冒登录界面获取帐号和口令等) 。25、请解释下列各种“恶意攻击 DoS“的方式:Ping of Death、Teardrop、 SYN Flood、 Land Attack、 Smurf Attack、 DDoS 攻击(1 ) Ping of Death在早期操作系统 TCP/IP 协议栈实现中,对单个 IP 报文的处理过程中通常是设置有一定大小的缓冲区(65535Byte ) ,以应付 IP 分片的情况。接收数据包时,网络层协议要对 IP 分片进行重组。但如果重组后的数据报文长度超过了 IP 报文缓冲区的上限时,就会出现溢出现象,导致 TCP/IP 协议栈的崩溃。(2
23、)泪滴(Teardrop)协议栈在处理 IP 分片时,要对收到的相同 ID 的分片进行重组,这时免不了出现一些重叠现象,分片重组程序要对此进行处理。对一个分片的标识,可以用 offset 表示其在整个包中的开始偏移,用 end 表示其结束偏移。对于其他一些重叠情况,分片重组程序都能很好地处理,但对于一种特殊情况,分片重组程序就会出现致命失误,即第二个分片的位置整个包含在第一个分片之内。分片重组程序中,当发现 offset2 小于 end1 时,会将 offset2 调整到和 end1 相同,然后更改 len2:len2=end2-offset2,在这里,分片重组程序想当然地认为分片 2 的末尾
24、偏移肯定是大于其起始偏移的,但在这种情况下,分片 2 的新长度 len2 变成了一个负值,这在随后的处理过程中将会产生致命的操作失误。(3 ) SYN Flood一个正常的 TCP 连接,需要经过三次握手过程才能真正建立。但是如果客户端不按常规办事(假定源 IP 根本就是一个不会产生响应的虚假地址) ,并不向服务器最终返回三次握手所必须的 ACK 包,这种情况下服务器对于未完成连接队列中的每个连接表项都设置一个超时定时器,一旦超时时间到,则丢弃该表项。但黑客并不会只发送一次这样的 SYN 包,如果他源源不断发送,每个 SYN 包的源 IP 都是随机产生的一些虚假地址(导致受害者不可能再进行 I
25、P 过滤或追查攻击源) ,受害者的目标端口未完成队列就不断壮大,因为超时丢弃总没有新接收的速度快,所以直到该队列满为止,正常的连接请求将不会得到响应。(4 ) Land Attack如果向 Windows 95 的某开放端口(例如 139 端口)发送一个包含 SYN 标识的特殊的 TCP数据包,将导致目标系统立即崩溃。做法很简单,就是设置该 SYN 包的源 IP 为目标主机的IP,源端口为目标主机受攻击的端口。(5 ) Smurf Attack黑客以受害主机的名义向某个网络地址发送 ICMP echo 请求广播,收到该 ICMPecho 请求的网络中的所有主机都会向“无辜“的受害主机返回 IC
26、MP echo 响应,使得受害主机应接不暇,导致其对正常的网络应用拒绝服务。(6 ) DDoS 攻击DDoS 攻击是 DoS 攻击的一种延伸,它之所以威力巨大,是因为其协同攻击的能力。黑客使用 DDoS 工具,往往可以同时控制成百上千台攻攻击源,向某个单点目标发动攻击,它还可以将各种传统的 DoS 攻击手段结合使用。26、了解下列各种攻击方式:UDP Flood、 Fraggle Attack、电子邮件炸弹、缓冲区溢出攻击、社交工程(1 ) UDP Flood有些系统在安装后,没有对缺省配置进行必要的修改,使得一些容易遭受攻击的服务端口对外敞开着。Echo 服务( TCP7 和 UDP7)对接
27、收到的每个字符进行回送;Chargen (TCP19 和 UDP19)对每个接收到的数据包都返回一些随机生成的字符(如果是与 Chargen 服务在 TCP19 端口建立了连接,它会不断返回乱字符直到连接中断) 。黑客一般会选择两个远程目标,生成伪造的 UDP 数据包,目的地是一台主机的 Chargen 服务端口,来源地假冒为另一台主机的 Echo 服务端口。这样,第一台主机上的 Chargen 服务返回的随机字符就发送给第二台主机的 Echo 服务了,第二台主机再回送收到的字符,如此反复,最终导致这两台主机应接不暇而拒绝服务,同时造成网络带宽的损耗。(2 ) Fraggle Attack它对
28、 Smurf Attack 做了简单的修改,使用的是 UDP 应答消息而非 ICMP。(3 )电子邮件炸弹黑客利用某个“无辜“的邮件服务器,持续不断地向攻击目标(邮件地址)发送垃圾邮件,很可能“撑破“用户的信箱,导致正常邮件的丢失。(4 )缓冲区溢出攻击十多年来应用非常广泛的一种攻击手段,近年来,许多著名的安全漏洞都与缓冲区溢出有关。所谓缓冲区溢出,就是由于填充数据越界而导致程序原有流程的改变,黑客借此精心构造填充数据,让程序转而执行特殊的代码,最终获得系统的控制权。(5 )社交工程(Social Engineering)一种低技术含量破坏网络安全的有效方法,但它其实是高级黑客技术的一种,往往
29、使得处在看似严密防护下的网络系统出现致命的突破口。这种技术是利用说服或欺骗的方式,让网络内部的人(安全意识薄弱的职员)来提供必要的信息,从而获得对信息系统的访问。27、课外查阅: TCP/IP 中各个协议的安全问题28、请解释下列网络信息安全的要素:保密性、完整性、可用性、可存活性保密性(confidentiality)是指网络信息不被泄露给非授权的用户、实体或过程。即信息只为授权用户使用。信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等行为破坏和丢失的特性。在要求的外部资源得到保证的前提下,产品你在规定的条件下和规定的时刻或时间区间内处于可执行规定功能状态的能力。它是产品可靠性、维修性和维修保障性的综合反映。可存活性是用来表明系统在面对蓄意攻击、故障失效或偶发事故时仍能完成其任务的能力
