侵阶段,在该阶段,攻击者使用自动工具扫描远程脆弱主机,并采用典型的黑客入侵手段得到这些主机的控制权,安装DDoS大理段/分布端,这些主机也是DDoS的受害者。目前还没有DDoS工具能够自发完成对代理端的入侵;第二:大规模DoS攻击阶段,通过主控端和代理端/分布端对目标受害主机发起大规模拒绝服务攻击。 防范拒绝攻击:
破坏物理设备:措施有例行检查物理实体的安全;使用容错和冗余网络硬件的方法,必要时迅速实现物理设备切换,从而保证提供正常的应用服务。
破坏配置文件:管理员首先要正确设置系统及相关软件的配置信息,并将这些敏感信号备份到软盘等安全介质上;利用Tripwire等工具的帮助及时发现配置文件的变化,并迅速恢复这些配置信息保证系统和网络的正常运行。
利用网络协议或系统的设计弱点和实现漏洞:需要重新设计协议,加入更多的安全控制机制。 消耗系统资源:及时给系统打补丁,设置正确的安全策略;定时检查系统安全;建立资源分配模型;优化路由器配置;利用第三方的日志分析系统;使用DNS来跟踪匿名攻击;对于重要的WEB服务器,为一个域名建立多个镜像主机。 第6章(P192) 一、选择题
1. 网络后门的功能是保持对目标主机长久控制。
2. 终端服务是Windows操作系统自带的,可以通过图形界面远程操纵服务器。在默认的情况下,终端服务的端口号是3389。
3. 木马是一种可以驻留在对方服务器系统中的一种程序。 二、填空题
1. 后门的好坏取决于被管理员发现的概率。
2. 木马程序一般由两部分组成:服务器端程序和客户端程序。
3. 本质上,木马和后门都是提供网络后门的功能,但是木马的功能稍微强大一些,一般还有远程控制的功能, 后门程序功能比较单一
三、简答题
2. 如何留后门程序?列举三种后门程序,并阐述原理及如何防御。
答:网络后门是保持对目标主机长久控制的关键策略,可以通过建立服务端口和克隆管理员账号来实现。 (具体的例子大家就自己找吧) 4. 简述木马由来,并简述木马和后门的区别。
答:木马是一种可以驻留在对方服务器系统中的一种程序。它有两部分组成:服务器端程序和客户端程序。驻留在对方服务器的称为木马的服务器端,远程的可以连接到木马服务器程序称为客户端。木马的功能是通过客户端可以操纵服务器,进而操纵对方的主机。 木马与后门的区别:木马程序在表面上看上去对计算机没有任何损害,实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能;本质上,木马和后门都是提供网络后门的功能,但是木马的功能稍微强大些,一般还有远程控制的功能,后门程序则功能比较单一,只是提供客户端能够登录对方的主机。
5. 简述网络代理跳板的功能。
答:功能:当从本地入侵其它主机时,本地IP会暴露给对方。通过将某一台主机设置为代理,通过该主机再入侵其它主机,这样就会留下代理跳板的IP地址而有效地保护自己的安全。
第7章(P208) 一、选择题
1. 黑客们在编写编写扰乱社会和他人的计算机程序,这些代码统称为恶意代码。
6
2. 2003 年,SLammer 蠕虫在10 分钟内导致 90%互联网脆弱主机受到感染。 3. 造成广泛影响的1988年Morris蠕虫事件,就是利用邮件系统的脆弱性作为其入侵的最初突破点的。
4. 下面是恶意代码生存技术是加密技术和模糊变换技术。 5. 下面不属于恶意代码攻击技术是自动生产技术。 二、填空题
1. 恶意代码主要包括计算机病毒(Virus)、 蠕虫(Worm)、木马程序(Trojan Horse)、后门程序(Backdoor)、逻辑炸弹(Logic Bomb)等等。
2. 恶意代码80 年代发展至今体现出来的3个主要特征:恶意代码日趋复杂和完善、恶意代码编制方法及发布速度更快和从病毒到电子邮件蠕虫,再到利用系统漏洞主动攻击的恶意代码。
3. 早期恶意代码的主要形式是计算机病毒。
4. 隐藏通常包括本地隐藏和通信隐藏,其中本地隐藏主要有文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、编译器隐藏等。网络隐藏主要包括通信内容隐藏和传输通道隐藏。 5. 网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块。 三、简答题
4. 说明恶意代码的作用机制的6个方面,并图示恶意代码攻击模型 答:(1)侵入系统:是恶意代码实现恶意目的的必要条件。(2)维持或提升现有特权:恶意代码的传播与破坏必须盗用用户或者进程的合法权限才能完成。(3)隐蔽策略:为了不让系统发现恶意代码已经侵入系统,恶意代码可能会改名、删除源文件或者修改系统的安全策略来隐藏自己。 (4)潜伏:恶意代码侵入系统后,等待一定的条件,并具有足够的权限时,就发作并进行破坏活动。(5)破坏:恶意代码的本质具有破坏形,其目的是造成信息丢失、泄密,破坏系统完整性等。 (6)重复(1)至(5)对新的目标实施攻击过程。
5. 简述恶意代码的生存技术是如何实现的
答:生存技术主要包括4方面:反跟踪技术、加密技术、模糊变换技术、自动生产技术。 反跟踪技术可以减少被发现的可能性,加密技术是恶意代码自身保护的重要机制。 1.反跟踪技术:(1)禁止跟踪中断。(2)封锁键盘输入和屏幕显示,破坏各种跟踪调试工具运行的必需环境;(3)检测跟踪法。(4)其它反跟踪技术。如指令流队列法和逆指令流法等。 2. 加密技术:加密技术是恶意代码自我保护的一种手段,加密技术和反跟踪技术的配合使用,使得分析者无法正常调试和阅读恶意代码,不知道恶意代码的工作原理,也无法抽取特征串。3.模糊变换技术4. 自动生产技术
7
6. 简述恶意代码如何实现攻击技术
答:恶意代码攻击技术:常见的攻击技术包括:进程注入技术、三线程技术、端口复用技术、超级管理技术、端口反向连接技术和缓冲区溢出攻击技术。1. 进程注入技术:当前操作系统中都有系统服务和网络服务,它们都在系统启动时自动加载。进程注入技术就是将这些与服务相关的可执行代码作为载体,恶意代码程序将自身嵌入到这些可执行代码之中,实现自身隐藏和启动的目的。2. 三线程技术:三线程技术就是指一个恶意代码进程同时开启了三个线程,其中一个为主线程,负责远程控制的工作。3. 端口复用技术:端口复用技术,系指重复利用系统网络打开的端口(如25、80、135和139等常用端口)传送数据,这样既可以欺骗防火墙,又可以少开新端口。4. 超级管理技术:为了对抗反恶意代码软件,恶意代码采用超级管理技术对反恶意代码软件系统进行拒绝服务攻击,使反恶意代码软件无法正常运行。5. 端口反向连接技术:端口反向连接技术,系指令恶意代码攻击的服务端(被控制端)主动连接客户端(控制端)。6. 缓冲区溢出攻击技术:缓冲区溢出攻击成为恶意代码从被动式传播转为主动式传播的主要途径。 8. 简述蠕虫的功能结构
答:网络蠕虫的功能模块可以分为主体功能模块和辅助功能模块,实现了主体功能模块的蠕虫那个能够完成复制传播流程,而包含辅助功能模块的蠕虫程序则具有更强的生存能力和破坏能力。
主体功能模块:
信息搜集模块,对目标网络或本地网络进行信息搜索,如本机系统信息、用户信息、邮件列表、边界路由信息,本机所处网络的拓扑结构,等等,这些信息可以单独使用或被其他个体共享。
扫描探测模块,完成对特定主机的脆弱性检测,决定采用何种的攻击渗透方式。
攻击渗透模块,该模块利用扫描探测模块获得的安全漏洞,建立传播途径,该模块在攻击方法上是开放的、可扩充的。 自我推进模块,该模块采用各种形式生成各种形态的蠕虫副本,在不同主机间完成蠕虫副本传递。
辅助功能模块:
实体隐藏模块,包括对蠕虫各个实体组成部分的隐藏、变形、加密及进程的隐藏,主要提高蠕虫的生存能力。
宿主破坏模块,该模块用来摧毁或破坏被感染主机,破坏网络正常运行,在被感染主机留下后门等。
信息通信模块该模块能使蠕虫间、蠕虫同黑客间能进行交流,这是未来蠕虫发展的重点,利用通信模块,蠕虫间可以共享某些信息,是蠕虫的编写者更好地控制蠕虫行为。 远程控制模块,控制模块的功能是调整感染主机,执行蠕虫编写者下达的指令。
自动升级模块,该模块可以使蠕虫编写者随时更新其他模块的功能,从而实现不同的攻击目的。
第8章(P245) 一、选择题
1. Linux是一套可以免费使用和自由传播的类UNIX操作系统,主要用于基于Intel x86系列CPU的计算机上。
2. 操作系统中的每一个实体组件不可能是既不是主体又不是客体。
3. 安全策略 是指有关管理、保护和发布敏感信息的法律、规定和实施细则。
4. 操作系统的安全依赖于一些具体实施安全策略的可信的软件和硬件。这些软件、硬件和负责系统安全管理的人员一起组成了系统的可信计算基。
8
5. 自主访问控制是最常用的一类访问控制机制,用来决定一个用户是否有权访问一些特定客体的一种访问约束机制。 二、填空题
1.操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用,没有它的安全性,信息系统的安全性是没有基础的。 2. Multics是开发安全操作系统最早期的尝试。
3. 1969年B.W.Lampson通过形式化表示方法运用主体(Subject)、客体(Object)和访问矩阵(Access Matrix)的思想第一次对访问控制问题进行了抽象。 4. 访问控制机制的理论基础是 访问监控器(Reference Monitor),由J.P.Anderson首次提出
5. 计算机硬件安全的目标是,保证其自身的可靠性和为系统提供基本安全机制。其中基本安全机制包括存储保护、 运行保护、I/O保护等。
6. Biba模型主要应用是保护信息的完整性,而BLP模型是保护信息机密性。 三、简答题
2.简述审核策略、密码策略和账户策略的含义,以及这些策略如何保护操作系统不被入侵。 答:审核策略:对涉及系统安全的操作做一个完整的记录。为系统进行事故原因的查询、定位,事故发生前的预测、报警及事故发生后的实时处理提供详细、可靠的依据和支持,以备有违反系统安全规则的事件发生后能够有效地追查事件发生的地点、过程和负责人。
密码策略:密码对系统很重要,通过设置密码复杂性要求、密码长度最小值、密码最长存留期、强制密码历史开启密码策略来保护系统。
账户策略:通过设置复位账户锁定计数器、账户锁定时间和账户锁定阈值来保护账户,如果某一用户连续尝试n次登陆都失败后将自动锁定该账户,n分钟后自动复位被锁定的账户。 3. 如何关闭不需要的端口服务?
答:设置本机开放的端口和服务,在IP地址设置窗口中单击“高级”按钮,在出现的“高级TCP/IP设置”对话框中选中选择“选项”选项卡,选择“TCP/IP筛选”,单击“属性“按钮,设置完端口属性。
要留意服务器上开启的所有服务并每天检查,可以禁用一些服务。
8. 简述安全操作系统的机制。
答:安全操作系统的机制包括:硬件安全机制、操作系统的安全标识与鉴别、访问控制、最小特权管理、可信通路和安全审计。
硬件安全机制——为保证自身的可靠性和为系统提供基本安全机制,其中基本安全机制包括存储保护、运行保护和I/O保护等。
操作系统的安全标识与鉴别——标识就是系统要标识用户的身份,并为每一个用户取一个系统可以识别的内部名称。将用户标识符与用户联系的过程称为鉴别,用以识别用户的真实身份。
访问控制——访问控制一般涉及自主访问控制(DAC)和强制访问控制(MAC),DAC指用来决定一个用户是否有权访问一些特定客体的一种访问约束机制,MAC作为更强有力的安全保护方式,使用户不能通过意外事件和有意识的误操作逃避安全控制。 最小特权管理——系统不给用户超过执行任务所需要特权以外的特权,从而减少由于特权用户口令丢失或错误软件、恶意软件、误操作所引起的损失。 可信通路——用来保障用户和内核的通信的机制。
安全审计——对系统中有关安全活动进行记录、检查及审核,来检测和阻止非法用户对计算机系统的入侵,并显示合法用户的误操作。 第9章(P274)
9
一、选择题
1. RSA算法是一种基于大数不可能质因数分解假设的公钥体系。 2. 下面哪个属于对称算法序列算法。
3. DES算法的入口参数有3个:Key,Data和Mode。其中Key为 64位,是DES算法的工作密钥。
4. PGP加密技术是一个基于RSA公钥加密体系的邮件加密软件。 二、填空题
1. 两千多年前,罗马国王就开始使用目前称为“恺撒密码”的密码系统。
2. 2004年8月,山东大学信息安全所所长王小云在国际会议上首次宣布了她及她的研究小组对MD5、HAVAL-128、MD4和RIPEMD等四个著名密码算法的破译结果。 3. 除了提供机密性外,密码学需要提供三方面的功能:鉴别、完整性和抗抵赖性。 4. 数字水印应具有3个基本特性: 隐藏性、鲁棒性和安全性
5. 用户公私钥对产生有两种方式:用户自己产生的密钥对和CA为用户产生的密钥对。 6. 常见的信任模型包括4种:严格层次信任模型、分布式信任模型、以用户为中心的信任模型和交叉认证模型。 三、简答题,
1密码学包括包含哪些概念?有什么功能?
答:包括消息和加密、算法和密钥、对称算法和公开密钥算法等等
消息和加密:消息被称为明文,用某种方法伪装消息以隐藏它的内容的过程称为加密,加了密的消息称为密文。
计算机密码学是研究计算机信息加密、解密及其变换的科学,是数学和计算机的交叉学科,也是一门新兴的学科。它可用来保密传递的信息。与密码学相关学科的可分为3个方面:密码学,研究性息系统安全保密的科学;密码编码学,主要研究对信息进行编码,实现对信息的隐藏;密码分析学,主要研究加密消息的破译或消息的伪造。 2简述对称加密算法的基本原理。
答:该算法也称为传统密码算法,加密密钥能够从解密密钥中推算出来,反之,解密密钥也能够从加密密钥中推算出来,在大多数对称算法中,加解密的密钥是相同的。它要求发送者和接收者在安全通信之前,协商一个密钥。 4.简述公开密钥算法的基本原理。
答:这种算法的加密与解密的密钥不同,而且解密密钥不能根据加密密钥计算出来,或者至少在可以计算的时间内不能计算出来。其中,加密密钥能够公开,但只有用相应的解密密钥才能解密信息。 第10章(P301) 一、选择题
1. 仅设立防火墙系统,而没有安全策略,防火墙就形同虚设。 2. 下面不是防火墙的局限性的是不能阻止下载带病毒的数据。
3.分组过滤防火墙作用在应用层,其特点是完全“阻隔”网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
4. 下面的说法错误的是 DMZ网络处于内部网络里,严格禁止通过DMZ网络直接进行信息传输。
5. 下面不属于入侵检测分类依据的是 静态配置。
二、填空题
1.防火墙是一种网络安全保障技术,它用于增强内部网络安全性,决定外界的哪些用户可以访问内部的哪些服务,以及哪些外部站点可以被内部人员访问。
10