5.如何检测网络监听?如何防范网络监听?
对可能存在的网络监听的检测
(1)对于怀疑运行监听程序的计算机,用正确的IP地址和错误的物理地址Ping,运行监听程序的计算机都会有响应。这是因为正常的计算机不接收错误的物理地址,处理监听状态的计算机能接收,但如果对方的Ipstack不再次反向检查的话,就会响应。(2)向网上发大量不存在的物理地址的包,由于监听程序要分析和处理大量的数据包会占用很多的CPU资源,这将导致性能下降。通过比较前后该计算机性能加以判断,这种方法难度比较大。(3)使用反监听工具如Antisniffer等进行检测。 对网络监听的防范措施
(1)从逻辑或物理上对网络分段
(2)以交换式集线器代替共享式集线器 (3)使用加密技术 (4)划分VLAN
6.举例说明缓冲区溢出攻击的原理。
通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例如下面程序: void function(char
*str) { char buffer[16]; strcpy(buffer,str); } 上面的strcpy()将直接把str中的内容copy到buffer中。这样只要str的长度大于16,就会造成buffer的溢出,使程序运行出错。存在像strcpy这样的问题的标准函数还有strcat()、sprintf()、vsprintf()、gets()、scanf()等。 当然,随便往缓冲区中填东西造成它溢出一般只会出现分段错误(Segmentation fault),而不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell,再通过shell执行其它命令。如果该程序属于root且有suid权限的话,攻击者就获得了一个有root权限的shell,可以对系统进行任意操作了。 缓冲区溢出攻击之所以成为一种常见安全攻击手段其原因在于缓冲区溢出漏洞太普遍了,并且易于实现。而且,缓冲区溢出成为远程攻击的主要手段其原因在于缓冲区溢出漏洞给予了攻击者他所想要的一切:植入并且执行攻击代码。被植入的攻击代码以一定的权限运行有缓冲区溢出漏洞的程序,从而得到被攻击主机的控制权。
7.如何防范缓冲区溢出攻击?
编写正确的代码,及时安装漏洞补丁,借助于防火墙阻止缓冲区溢出
8.指出下列程序段存在的问题,并修改它。
char str[10]; char bigstr[20]; …
while(scanf(“ s”,bigstr)!=null) {
bigstr[20]=’\\0’;
strcpy(str,bigstr,sizeof(str)); … }
存在数据溢出,因为bigstr数组的长度为20,而str数组长度为10,当把bigstr数组复制到str数组时,数据溢出。
10.什么是拒绝服务(DOS)攻击?什么是分布式拒绝服务(DDOS)攻击
DOS攻击是一种既简单又有效的攻击方式,他是针对系统的可用性发起的攻击,通过某些手段使得目标系统或者网络不能提供正常的服务。
DDOS不仅仅是一台机器,而是多台机器合作,同时向一个目标发起攻击
11.如何有效防范DDoS攻击?
及早发现系统存在的漏洞,提高网络系统的安全性;
经常检查系统的物理环境,禁止不必要的网络服务; 充分利用防火墙等网络安全设备,加固网络的安全性,配置好它们的安全规则,过滤掉所有可能伪造的数据包
12.什么是欺骗攻击?简述欺骗攻击的原理。
欺骗攻击是利用TCP/IP协议等本身的漏洞而进行的攻击行为。 欺骗实质上就是一种冒充他人身份通过计算机认证骗取计算机信任的攻击方式。攻击者对认证机制的缺陷,将自己伪装成可信任方,从而与受害者进行交流,最终窃取信息或展开进一步的攻击。
第六章 防火墙技术
一、选择题
1.关于防火墙,以下( 防火墙能阻止来自内部的威胁 )说法是错误的。
2.防火墙是确保网络安全的重要之一,如下各项中可以由防火墙解决的一项网络安全问题是(从外部网伪装为内部网 ) 3.包过滤防火墙工作在OSI的( 网络层 )。
4.防火墙对数据包进行状态检测时,不进行检测过滤的是( 数据包中的内容 )。 二、填空题
1.常见防火墙按采用的技术分类主要有静态包过滤防火墙、 动态包过滤防火墙 和 应用代理型防火墙 。 2. 双宿主主机 是防火墙体系的基本形态
3.应用层网关型防火墙的核心技术是代理服务器技术 。 三、简答题
1.什么是防火墙?古代防火墙与网络安全中的防火墙有何联系和区别?
防火墙是一种隔离设备,是一种高级访问控制设备,是置于不同网络安全域之间的一系列部件的组合,他是不同网络安全域之间通信流的唯一通道,能根据用户设置的安全策略控制进出网络的访问行为。
古代防火墙是人们在寓所之间砌起的一道砖墙,一旦火灾发