信息安全基础简答题Word文档格式.docx
《信息安全基础简答题Word文档格式.docx》由会员分享,可在线阅读,更多相关《信息安全基础简答题Word文档格式.docx(21页珍藏版)》请在冰点文库上搜索。
3.常见防火墙的模型有哪些?
比拟它们的优缺点
7.什么事入侵检测系统?
简述入侵检测系统目前面临的挑战。
5.说明Web平安性中网络层,传输层和应用层平安性的实现机制。
2.简述IP平安的作用方式。
1.说明IP平安的必要性
网络平安问答题
第一章:
攻击技术主要包括:
1)网络监听:
自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
2)网络扫描:
利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。
3)网络入侵:
当探测发现对方存在漏洞后,入侵到对方计算机获取信息。
4)网络后门:
成功入侵目标计算机后,为了实现对“战利品〞的长期控制,在目标计算机中种植木马等后门。
5)网络隐身:
入侵完毕退出目标计算机后,将自己入侵的痕迹去除,从而防止被对方管理员发现。
防御技术主要包括;
1)平安操作系统和操作系统的平安配置:
操作系统是网络平安的关键。
2)加密技术:
为了防止被监听和数据被盗取,将所有的逐句进展加密。
3)防火墙技术:
利用防火墙,对传输的数据进展限制,从而防止被入侵。
4)入侵检测:
如果网络防线最终被攻破,需要及时发出被入侵的警报。
5)网络平安协议:
保证传输的数据不被截获和监听。
4个层次上的平安:
物理平安、逻辑平安、操作系统平安和联网平安。
物理平安:
防盗、防火、防静电、防雷击和防电磁泄漏。
逻辑平安:
计算机的逻辑平安需要用口令、文件许可等方法来实现。
操作系统平安:
操作系统是计算机中最根本、最重要的软件。
联网平安通过以下两方面的平安效劳来到达:
a:
访问控制效劳:
用来保护计算机和联网资源不被非授权使用。
b:
通信平安效劳:
用来认证数据机要性与完整性,以及各通信的可信赖性。
网络需要与外界联系,同时也受到许多方面威胁:
物理威胁、系统漏洞造成的威胁、身份鉴别威胁、线缆连接威胁和有害程序威胁等,目前研究网络平安已经不只为了信息和数据的平安性,网络平安已经渗透到国家的政治、经济、军事等领域。
第二章:
a、物理层:
最底层,负责传送比特流,它从第二层数据链路层承受数据帧,并将帧的构造和内容串行发送,即每次发送一个比特。
物理层可能受到的平安威胁是搭线窃听和监听。
可以利用数据加密、数据标签加密,数据标签,流量填充等方法保护物理层的平安。
b、数据链路层:
负责发送和接收数据,还要提供数据有效传输的端到端连接。
c、网络层:
完成网络中主机间的报文传输。
d、传输层:
完成网络中不同主机上的用户进程之间可靠的数据通信。
传输层连接是真正端到端的
e、会话层:
允许不同机器上的用户建立回话关系。
提供的效劳之一是管理会话控制。
会话层允许信息同时双向传输,或限制只能单向传输。
为了管理活动,会话层提供了令牌,令牌可以在回话双方之间移动,只有持有令牌的一方可以执行某种操作。
f、表示层:
表示层关心的是所传送的信息的语法和语义。
表示层效劳的一个典型的例子是用一种标准方法对数据进展编码。
g、应用层:
包含大量人们普遍需要的协议。
a、网络接口层:
包括用于物理连接、传输的所有传输功能。
b、网络层:
在两个主机之间通信必需的协议组成,通信的数据报文必须是可路由的。
网络层必须支持路由和路由管理。
该层常见的协议是:
IP、ICMP、IGMP。
该层可能受到的威胁是IP欺骗攻击,保护措施是使用防火墙过滤和打系统补丁。
c、传输层:
功能是网络中对数据进展分段,执行数学检查来保证所收数据的完整性,为多个应用同时传输数据多路复用数据流〔传输和接收〕。
该层能识别特殊应用,对乱序收到的数据进展重新排序。
该层包括两个协议:
传输控制协议(TCP)和用户数据报协议(UDP)。
d、应用层:
提供远程访问和资源共享。
包括:
Telnet效劳、FTP效劳、SMTP效劳和HTTP效劳等,该层是最难保护的一层。
简单传输协议〔SMTP〕容易受到的威胁是:
炸弹、病毒、匿名和木马等。
保护措施是认证、附件病毒扫描和用户平安意识教育。
文件传输协议〔FTP〕容易受到的威胁是:
明文传输、黑客恶意传输非法使用等。
保护的措施是不许匿名登陆录,单独的效劳器分区、制止执行程序等。
超文本传输协议〔HTTP〕容易受到的威胁是恶意程序〔ActiveX控件,ASP程序和CGI程序等〕。
a、FTP效劳:
FTP的默认端口是20(用于数据传输)和21(用于命令传输)。
在TCP/IP中,FTP是非常独特的,因为命令和数据能够同时传输,而数据传输是实时的,其他协议不具有这个特性。
b、Telnet效劳:
给用户提供了一种通过网络登录远程效劳器的方式。
通过端口23工作。
要求有一个Telnet效劳器,效劳器等待着远程计算机的授权登陆。
c、效劳:
使用的两个主要协议是简单传输协议〔SMTP〕和邮局协议〔POP〕。
SMTP默认占用25端口,用来发送,POP占用110端口,用来接收。
d、Web效劳:
目前最常用的效劳,使用HTTP协议,默认Web效劳占用80端口。
e、以下分别为常用端口、协议和对应的效劳:
21、TCP、FTP效劳;
25、TCP、SMTP效劳;
53、TCP/UDP、DNS效劳;
80、TCP、Web效劳;
135、TCP、RPC效劳;
137、UDP、NetBIOS域名效劳;
138、UDP、NetBIOS数据报效劳;
139、TCP、NetBIOS会话效劳;
443、TCP、基于SSL的HTTP效劳;
445、TCP/UDP、MicrosoftSMB效劳;
3389、TCP、Windows终端效劳
ping:
通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接。
应答消息的接收情况和往返过程的次数一起显示出来。
ping指令用于检测网络的连接性和可到达性,如果不带参数,ping将显示帮助。
ipconfig:
显示所有TCP/IP网络配置信息、刷新动态主机配置协议和域名系统设置。
使用时不带参数可显示所有适配器的IP地址、子网掩码和默认网关。
netstat:
显示活动的连接、计算机监听的端口、以太网统计信息、IP路由表、IPv4统计信息〔IP,ICMP,TCP和UDP协议〕。
使用命令可以查看目前活动的连接和开放的端口,是网络管理员查看网络是否被人入侵的最简单方法。
net:
功能非常强大,在网络平安领域通常用来查看计算机上的用户列表、添加和删除用户、与对方计算机建立连接、启动或者停顿某网络效劳等。
at:
建立一个方案任务,并设置在某一时刻执行。
但是必须先与对方建立信任。
tracer:
是路由跟踪实用程序,用于确定IP数据报访问目标所采取的路径。
用IP生存时间〔TTL〕字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。
第四章:
隐藏IP:
通常有两种方式实现IP的隐藏:
第一种方法是首先入侵互联网上的一台计算机〔俗称“肉鸡〞〕,利用这台计算进展攻击,这样即使被发现了,也是“肉鸡〞的IP地址;
第二种方式是做多级跳板“Sock代理〞,这样在入侵的计算机上留下的是代理计算机的IP地址。
踩点扫描:
通过各种途径对所要攻击的目标进展多方面的了解,确定攻击的时间和地点。
扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。
获得系统或管理员权限:
目的是连接到远程计算机。
种植后门:
为了保持长期对胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。
在网络中隐身:
一次成功的入侵后,一般在对方的计算机上已经存储了相关的登陆日志,这样就容易被管理员发现。
在入侵完毕后需要去除登陆日志及其他相关的日志。
主动策略和被动式策略。
被动式策略是基于主机之上,对系统中不适宜的设置、脆弱的口令及其他同平安规那么抵触的对象进展检查。
主动式策略是基于网络的,他通过执行一些脚本文件模拟对系统进展攻击的行为并记录系统的反响,从而发现其中的漏洞。
被动式扫描不会对系统造成破坏,而主动式扫描对系统进展模拟攻击,可能会对系统造成破坏。
被动:
a.系统用户扫描可以使用工具软件GetNTUser:
该工具可以在WinNt4及Win2000操作系统上使用,完全的图形化界面,使用简单,可以使用多种方式对系统的密码强度进展测试;
b.开放端口扫描使用工具软件PortScan可以得到对方计算机开放的端口:
工具软件可以将所有端口的开放情况做一个测试,通过端口扫描可以知道对方开放了哪些网络效劳,从而根据某些效劳的漏洞进展攻击。
c.目录共享扫描通过工具软件Shed来扫描对方主机,得到对方计算机提供了哪些目录共享,该软件可以扫描一个IP地址段的共享信息。
d.利用TCP协议实现端口扫描:
实现端口扫描的程序可以使用TCP协议和UDP协议,原理是通过Socket连接对方的计算机的某端口,试图和该端口进展连接,如果建立成功,就说明对方开放了该端口,如果失败了,就说明对方没有开放该端口。
主动:
漏洞扫描可使用工具软件X-Scan-v2.3,该软件系统要求为Windows9x/NT4/2000。
该软件采用多线程方式对指定IP地址段(或单机进展平安漏洞检测),支持插件功能,提供图形界面和命令行操作两种操作方式。
扫描内容包括:
远程操作系统类型及版本;
标准端口状态及端口Banner信息;
SNMP信息;
CGI漏洞;
IIS漏洞;
RPC漏洞;
SSL漏洞;
SQL-SERVER,FTP-SERVER,SMTP-SERVER,POP3-SERVER,NT-SERVER弱口令用户;
NT效劳器NETBIOS信息;
注册表信息等。
网络监听的目的是截获通信的内容,监听的手段是对协议进展分析。
Snifferpro就是一个完善的网络监听工具。
监听器Sniffer的原理是:
在局域网中与其他计算机进展数据交换时数据包发往所有的连在一起的主机,也就是播送,在报头中包含目的机的正确地址。
因此只有与数据包中目的地址一致的那台主机才会接收数据包,其他的机器都会将包丢弃。
但是,当主机工作在监听模式下时,无论接收到的数据包中目的地址是什么,主机都将其接收下来。
然后对数据包进展分析,就得到了局域网中通信的数据。
一台计算机可以监听同一网段所有的数据包,不能监听不同网段的计算机传输的信息。
第五章:
社会工程是使用计策和假情报去获得密码和其他敏感信息的科学。
另一种社会工程的形式是黑客试图通过混淆一个计算机系统去模拟一个合法用户。
目前社会工程学攻击主要包括两种方式:
打请求密码和伪造
暴力攻击的一个具体例子是,一个黑客试图使用计算机和信息去破解一个密码。
一个黑客需要破解一段单一的被用非对称密钥加密的信息,为了破解这种算法,需要求助于非常精细复杂的算法,使用120个工作站和两个超级计算机并利用从3个主要研究中心获得的信息,即使拥有这种设备,也将花掉8天时间去破解加密算法。
实际上,破解加密过程用8天已经是非常短的时间了。
字典攻击是一种最常见的暴力攻击。
如果黑客试图通过使用传统的暴力攻击方法去获得密码的话,将不得不尝试每种可能的字符,包括大小写、数字和通配符等。
字典攻击通过仅仅使用某种具体的密码来缩小尝试的范围,大多数的用户使用标准单词作为一个密码,一个字典攻击试图通过利用包含单词列表的文件去破解密码。
强壮的密码那么通过结合大小写字母、数字和通配符来击败字典攻击。
破解操作系统密码:
字典文件为暴力破解提供了一条捷径,程序首先通过扫描得到系统的用户,然后利用字典中每一个密码来登录系统,看是否成功,如果成功那么显示密码。
暴力破解密码:
密码一般需要设置为8位以上,7位以下的密码容易被破解。
尤其7位全部是数字的密码,更容易被破解。
比拟著名的破解电子密码的工具软件是:
黑雨——POP3密码破解器。
防范这种暴力攻击,可将密码的位数设置在10位以上,一般利用数字、字母和特殊字符的组合就可以有效抵抗暴力攻击。
Word文档暴力破解:
使用工具软件AdvancedOfficeXPPasswordRecovery〔AOXPPR〕。
一:
什么是UNICODE漏洞
NSFOCUS平安小组发现IIS4.0和IIS5.0在Unicode字符解码的实现中存在一个平安漏洞,导致用户可以远程通过IIS执行任意命令。
当IIS翻开文件时,如果该文件名包含unicode字符,它会对其进展解码,如果用户提供一些特殊的编码,将导致IIS错误的翻开或者执行某些web根目录以外的文件。
攻击者可以利用这个漏洞来绕过IIS的路径检查,去执行或者翻开任意的文件。
(1)如果系统包含某个可执行目录,就可能执行任意系统命令。
二.骇客是如何利用UNICODE漏洞来入侵
使用Unicode漏洞的攻击方式,书上介绍两种:
入侵到对方的操作系统和删除对方站点主页。
1.首先我们的来寻找一台存在UNICODE漏洞的主机,这里我们可以使用的工具非常多,只要是能扫CGI漏洞的都可以,不过我更喜欢流光,因为流光的功能是非常强大的。
注意:
我们这里是的目的是通过入侵方法来学会防范,所以以下我们使用的主机都是假设的。
建议简单解决方案:
1.限制网络用户访问和调用cmd的权限。
2.在Scripts、Msadc目录没必要使用的情况下,删除该文件夹或者改名。
3.安装NT系统时不要使用默认WINNT路径,比方说,可以改名为lucky或者其他名字。
临时解决方法:
NSFOCUS建议您再没有安装补丁之前,暂时采用以下方法临时解决问题:
1、如果不需要可执行的CGI,可以删除可执行虚拟目录例如/scripts等等。
2、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区
目前最流行的一种攻击技术就是缓冲区溢出攻击。
当目标操作系统收到了超过了它的能接收的最大信息量时,将发生缓冲区溢出。
这些多余的数据使程序的缓冲区溢出,然后覆盖实际的程序数据。
缓冲区溢出使目标系统的程序被修改,经过这种修改的结果将在系统上产生一个后门。
缓冲区溢出原理很简单,如下:
voidfunction(char*szParal)
{
charbuff[16];
strcpy(buffer,szParal);
}
程序中利用strcpy()函数将szParal中的内容拷贝到buff中,只要szParal的长度大于16,就会造成缓冲区溢出。
存在类似strcpy()函数这样问题的C语言函数还有:
strcat(),gets(),scanf()。
当然,随便往缓冲区填写数据使它溢出一般只会出现“分段错误〞,而不能到达攻击的目的。
最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell,再通过shell执行其他命令,如果该shell有管理员权限,就可以对系统进展任意操作。
但凡造成目标计算机拒绝提供效劳的攻击都成为DoS攻击,其目的是使目标计算机或网络无法提供正常的效劳。
最常见的DoS攻击是计算机网络带宽攻击和连通性攻击。
带宽攻击是以极大的信息量冲击网络,是网络所有可用的带宽都被消耗掉,最后导致合法用户的请求无法通过。
连通性攻击指用大量的连接请求冲击计算机,最终导致计算机无法再处理合法用户的请求。
比拟著名的拒绝效劳攻击包括:
SYN风暴、Smurf攻击和利用处理程序错误进展攻击。
SYN风暴:
它是通过创立大量“半连接〞来进展攻击,任何连接到Internet上并提供基于TCP的网络效劳的主机都可能遭受这种攻击。
针对不同的系统,攻击的结果可能不同,但是攻击的根本都是利用这些系统中TCP/IP协议族的设计弱点和缺陷。
攻击者通常伪造主机D不可达的IP地址作为源地址。
为了使拒绝效劳的时间长于超时所用的时间,攻击者会持续不断地发送SYN包,故称为“SYN风暴〞。
Smurf攻击:
这种攻击方法结合使用了IP欺骗和带有播送地址的ICMP请求-响应方法是大量网络传输充满目标系统,引起目标系统拒绝为正常系统进展效劳,属于间接、借力攻击方式。
任何连接到互联网上的主机或其他支持ICMP请求-响应的网络设备都可能成为这种攻击的目标。
利用处理程序错误进展攻击:
SYNflooding和Smurf攻击利用TCP/IP协议中的设计弱点,通过强行引入大量的网络包来占用带宽,迫使目标受害主机拒绝对正常的效劳请求响应。
利用TCP/IP协议实现中的处理程序错误进展攻击,即成心错误地设定数据XX的一些重要字段。
DDoS:
分布式拒绝效劳攻击。
特点是先使用一些典型的黑客入侵手段控制一些高带宽的效劳器,然后在这些效劳器上安装攻击进程,集数十台甚至上千台机器的力量对单一攻击目标实施攻击。
在悬殊的带宽力量比照下,被攻击的主时机很快因不胜重负而瘫痪。
实践证明,这种攻击方式是非常有效的,而且难以抵挡。
分布式拒绝攻击技术开展十分迅速,由于其隐蔽性和分布性很难被识别和防御。
攻击手段:
攻击者在客户端操纵攻击过程。
每个主控端是一台是已被攻击者入侵并运行了特定程序的系统主机。
每个主控端主机能够控制多个代理端/分布端。
每个代理端也是一台已被入侵并运行某种特定程序的系统主机,是执行攻击的角色。
多个代理端/分布端能够同时响应攻击命令并向被攻击目标主机发送拒绝效劳攻击数据包。
攻击过程实施的顺序为:
攻击者->
主控端->
分布端->
目标主机。
发动DDoS攻击分为以下两个阶段:
1、初始的大规模入侵阶段:
在该阶段,攻击者使用自开工具扫描远程脆弱主机,并采用典型的黑客入侵手段得到这些主机的控制权,安装DDoS代理端/分布端。
这些主机也是DDos的受害者。
目前还没有DDoS工具能够自发完成对代理端的入侵。
2、大规模DoS攻击阶段:
即通过主控端和代理端/分布端对目标受害主机发起大规模拒绝效劳攻击。
防范:
(攻击方式和解决方案)
1、破坏物理设备:
例行检查物理实体的平安;
使用容错和荣誉网络硬件的方法,必要时迅速实现物理设备切换,从而保证提供正常的应用效劳。
2、破坏配置文件:
错误配置也会成为系统的平安隐患,这些错误配置常常发生在硬件装置、系统或应用程序中。
管理员首先应该正确设置系统及相关软件的配置信息,并将这些敏感信息备份到软盘等平安介质上;
利用Tripwire等工具的帮助及时发现配置文件的变化,并快速恢复这些配置信息保证系统和网络的正常运行。
3、利用网络协议或系统的设计弱点和实现漏洞:
假设要从根本上克制这些弱点,需要重新设计协议层,参加更多的平安控制机制。
假设要在现有的网络构架中弥补这些弱点,可以采取上面介绍的半透明网关或主动监视技术。
4、消耗系统资源
防范措施
1、及时的给系统打补丁
2、定期检查系统平安
3、建立资源分配模型,设置阀值,统计敏感资源的使用情况。
4、优化路由器配置
5、使用第三方的日志分析系统
6、使用DNS来跟踪匿名攻击
7、对于重要的WEB效劳器,为一个域名建立多个镜像主机。
第六章:
网络后门是保持对目标主机长久控制的关键策略。
可以通过建立效劳端口和克隆管理员账号来实现。
只要能不通过正常登陆进入系统的途径都成为网络后门。
后门的好坏取决于被管理员发现的概率。
只要不容易被发现的后门都是好后门。
留后门的原理和选间谍是一样的,让管理员看了感觉没有任何特别的地方。
1〕远程启动Telnet效劳:
利用主机上的Telnet效劳,有管理员密码就可以登录到对方的命令行,进而操作对方的文件系统。
如果Telnet是关闭的,就不能登陆。
2〕记录管理员口令修改正程
3〕建立Web效劳和Telnet效劳:
使用工具软件wnc.exe可以在对方的主机上开启两个效劳:
Web效劳和Telnet效劳其中Web效劳的端口是808,Telnet效劳的端口是707执行很简单,只要在对方的命令行下执行一下wnc.exe就可以
木马是一种可以驻留在对方系统中的一种程序,一般由两局部组成:
效劳器端和客户端。
驻留在对方效劳器的称之为木马的效劳器端,远程的可以连到木马效劳器的程序称之为客户端。
木马的功能是通过客户端可以操纵效劳器,进而操纵对方的主机。
木马程序在外表上看上去没有任何的损害,实际上隐藏着可以控制用户整个计算机系统、翻开后门等危害系统平安的功能。
木马来自于“特洛伊木马〞,英文名称为TrojanHorse传说希腊人围攻特洛伊城,久久不能攻克,后来军师想出了一个特洛伊木马计,让士兵藏在巨大的特洛伊木马中部队假装撤退而将特洛伊木马丢弃在特洛伊城下,让敌人将其作为战利品拖入城中,到了夜里,特洛伊木马内的士兵便趁着夜里敌人庆祝胜利、放松警觉的时候从特洛伊木马里悄悄地爬出来,与城外的部队里应外合攻下了特洛伊城由于特洛伊木马程序的功能和此类似,故而得名。
本质上,木马和后门都是提供网络后门的功能,但是木马的功能稍微强大一些,一般还有远程控制的功能,后门程序那么功能比拟单一,只是提供客户端能够登录对方的主机。
当从本地入侵其他主机的时候,自己的IP会暴露给对方通过将某一台主机设置为代理,通过该主机再入侵其他主机,这样就会留下代理的IP地址,这样就可以有效的保护自己的平安。
本地通过两级代理入侵某一台主机,这样在被入侵的主机上,就不会留下的自己的信息可以选择更多的代理级别,但是考虑到网