刘吉桦第1章 网络安全概述与环境配置
1. 网络攻击和防御分别包括哪些内容?
答:攻击技术主要包括以下几个方面。
(1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
宋慧乔被疑怀孕(2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。
(3)网络入侵:当探测发现对方存在漏洞后,入侵到目标计算机获取信息。
(4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。
(5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。
防御技术主要包括以下几个方面。
(1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。
(2)加密技术:为了防止被监听和数据被盗取,将所有的数据进行加密。
(3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。
(4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。
(5)网络安全协议:保证传输的数据不被截获和监听。
2. 从层次上,网络安全可以分成哪几层?每层有什么特点?
答:从层次体系上,可以将网络安全分成4个层次上的安全:物理安全,逻辑安全,操作系统安全和联网安全。
物理安全主要包括5个方面:防盗,防火,防静电,防雷击和防电磁泄漏。
逻辑安全需要用口令、文件许可等方法来实现。
操作系统安全,操作系统必须能区分用户,以便防止相互干扰。操作系统不允许一个用户修改由另一个账户产生的数据。
联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。(1)访问控制服务:用来保护计算机和联网资源不被非授权使用。(2)通信安全服务:用来认证数据机要性与完整性,以及各通信的可信赖性。
第2章 网络安全协议基础
1. 简述OSI参考模型的结构
答:
OSI参考模型是国际标准化组织(International Standards Organization,ISO)制定的模型,把计算机与计算机之间的通信分成7个互相连接的协议层,自顶向下分别为应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。
2. 简述TCP/IP协议族的基本结构,并分析每层可能受到的威胁及如何防御
答:
TCP/IP协议族包括4个功能层,自顶向下分别为:应用层、传输层、网络层、网络接口层。
应用层中很多应用程序驻留并运行在此层,并且依赖于底层的功能,使得该层是最难保护的一层。简单邮件传输协议(SMTP)容易受到的威胁是:邮件,病毒,匿名邮件和木马等。保护措施是认证、附件病毒扫描和用户安全意识教育。文件传输协议(FTP)容易受到的威胁是:明文传输、黑客恶意传输非法使用等。保护的措施是不许匿名登录,单独的服务器分区,禁止执行程序等。超文本传输协议(HTTP)容易受到的威胁是:恶意程序(ActiveX控件,ASP程序和CGI程序等)。
传输层可能受到的威胁是拒绝服务(DOS)和分布式拒绝(DDOS)服务的攻击,其中包括TCP SYN淹没攻击、SSL中间人攻击、Land攻击、UDP淹没攻击、端口扫描攻击等,保护措施是正确设置客户端SSL,使用防火墙对来源不明的有害数据进行过渡等。
网络层可能受到的威胁是IP欺骗攻击,保护措施是使用防火墙过滤和打系统补丁。
网络接口层又可分为数据链路层和物理层。
数据链路层可能受到的威胁是内容录址存储器表格淹没、VLAN中继、操纵生成树协议、MAC地址欺骗、ARP攻击、专用VLAN、DHCP耗竭等。保护措施是,在交换机上配置端口安全选项可以防止CAM表淹没攻击。正确配置VLAN可以防止VLAN中继攻击。使用根目录保护和BPDU保护加强命令来保持网络中主网桥的位置不发生改变,可防止操纵生成树协议的攻击,同时也可以强化生成树协议的域边界。使用端口安全命令可以防止MAC欺骗攻击。对路由器端口访问控制列表(ACL)进行设置可以防止专用VLAN攻击。通过限制交换机端口的MAC地址的数目,防止CAM表淹没的技术也可以防止DHCP耗竭。
物理层可能受到的威胁是未授权用户的接入(内部人员、外部人员)、物理盗窃、涉密信息被复制或破坏等等。保护措施主要体现在实时存档和监测网络,提高通信线路的可靠性(线路备份、网管软件、传输介质)、软硬件设备安全性(替换设备、拆卸设备、增加设备)、防干扰能力,保证设备的运行环境(温度、湿度、烟尘),不间断电源保障,等等。
5. 简述常用的网络服务及提供服务的默认端口。
答:
常见服务及提供服务的默认端口和对应的协议如下表所示
端    口
协    议
服    务
全国妇产医院排名21
TCP
FTP服务
25
TCP
SMTP服务
53
TCP/UDP
DNS服务
80
TCP
Web服务
135
TCP
服务
137
UDP
NetBIOS域名服务
138
UDP
NetBIOS数据报服务
139
TCP
NetBIOS会话服务
443
萨瑶瑶图片TCP
牙微博
基于SSL的HTTP服务
445
TCP/UDP
Microsoft SMB服务
3389
TCP
Windows终端服务
6. 简述ping指令、ipconfig指令、netstat指令、net指令和at指令的功能和用途。
答:
(1)ping指令:ping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接。应答消息的接收情况将和往返过程的次数一起显示出来。ping指令用于检测网络的连接性和可到达性。
(2)ipconfig指令:ipconfig指令显示所有TCP/IP网络配置信息、刷新动态主机配置协议(Dynamic Host Configuration Protocol, DHCP)和域名系统(DNS)设置。使用不带参数的ipconfig可以显示所有适配器的IP地址、子网掩码和默认网关。
(3)netstat指令:netstat指令显示活动的连接、计算机监听的端口、以太网统计信息、IP 路由表、IPv4统计信息(IP,ICMP,TCP和UDP协议)。使用“netstat -an”命令可以查看目前活动的连接和开放的端口,是网络管理员查看网络是否被入侵的最简单方法。
(4)net指令:net指令的功能非常的强大,在网络安全领域通常用来查看计算机上的用户列表、添加和删除用户、与对方计算机建立连接、启动或者停止某网络服务等。
(5)at指令:使用at命令建立一个计划任务,并设置在某一时刻执行。
第3章  网络安全编程基础
1. 简述Windows操作系统的内部机制。
答:
Windows操作系统的内部机制如下:Windows是一个“基于事件的,消息驱动的”操作系统。在Windows下执行一个程序,只要用户进行影响窗口的动作(如改变窗口大小或移动、单击鼠标等)该动作就会触发一个相应的“事件”。系统每次检测到一个事件时,就会给程序发送一个“消息”,从而使程序可以处理该事件。每次检测到一个用户事件,程序就对该事件做出响应,处理完以后,再等待下一个事件的发生。
2. 简述学习Windows下编程的注意点。
答:
(1)根据实际情况选择一门语言,精通使用,切勿看到一种语言学一种,到最后都只是略
知一二。
(2)编程是一个循序渐进的过程,需要在学习的过程中一点一滴积累,遇到困难大可不必灰心丧气。
(3)从一开始写程序要养成良好的编程习惯,如变量命名规则、缩进规范、编写文档和注释等,以提高程序的可读性和可扩展性。
第4章 网络扫描与网络监听
1. 简述黑客的分类,以及黑客需要具备哪些基本素质。
答:
目前将黑客分成3类:第1类为破坏者,第2类为红客,第3类为间谍。
要成为一名好的黑客,需要具备4种基本素质:“Free”精神,探索与创新精神,反传统精神和合作精神。
2. 黑客在进攻的过程中需要经过哪些步骤?目的是什么?
答:
黑客一次成攻的攻击,可以归纳成基本的五个步骤:
第一,隐藏IP;
第二,踩点扫描;
第三,获得系统或管理员权限;
第四,种植后门;
第五,在网络中隐身。
以上几个步骤根据实际情况可以随时调整。
蔡健雅新歌
3. 简述黑客攻击和网络安全的关系。
答:
黑客攻击和网络安全是紧密结合在一起的,研究网络安全不研究黑客攻击技术等同于纸上谈兵,研究攻击技术不研究网络安全等同于闭门造车。某种意义上说没有攻击就没有安全,系统管理员可以利用常见的攻击手段对系统进行检测,并对相关的漏洞采取措施。
网络攻击有善意也有恶意的,善意的攻击可以帮助系统管理员检查系统漏洞,恶意的攻击可以包括:为了私人恩怨而攻击,为了商业或个人目的获得秘密资料而攻击,为了民族仇恨而攻击,利用对方的系统资源满足自己的需求、寻求刺激、给别人帮忙,以及一些无目的攻击。
4. 为什么需要网络踩点?
答:
踩点就是通过各种途径对所要攻击的目标进行尽可能的了解。常见的踩点方法包括:在域名及其注册机构的查询,公司性质的了解,对主页进行分析,邮件地址的搜集和目标IP地址范围查询。
踩点的目的就是探察对方的各方面情况,确定攻击的时机。摸清对方最薄弱的环节和守卫
最松散的时刻,为下一步的入侵提供良好的策略。
5. 扫描分成哪两类?每类有什么特点?可以使用哪些工具进行扫描、各有什么特点?
答:
扫描,一般分成两种策略:一种是主动式策略,另一种是被动式策略。被动式策略是基于主机之上,对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查,不会对系统造成破坏。主动式策略是基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞,但是可能会对系统造成破坏。
常见的扫描工具包括:
第一,系统自带的扫描工具如windows和linux中的ping,linux中的namp。这类工具操作简单,大多工作在命令行模式下。
第二,开源的和免费的扫描工具如Nessus,X-scan,Netcat,X-port以及Google在2010年新推出的Skipfish等。这类扫描工具一般具有单一、独特的功能,因此扫描速度极快、更新速度快、容易使用,由于其开源、免费的特点,使其具有更广泛的影响力。
第三,商用的扫描工具,如eEye公司的Retina,Network Associates的CyberCop Scanner以及Symantec 的NetRecon等。基本上大部分商业扫描器都工作在黑盒模式,在这种模式下无法看到源代码,以一个近似于渗透者或攻击者的身份去看待需要评估的。在商业化应用中,对误报、漏报的容忍程度比较低。商用扫描器在精确扫描之后,会给出一些建议和手段来屏蔽。最初是提供一些修补建议,这种方式对专业人员来说有相当价值,但对于一些较薄弱或者比较懒惰的用户,修补建议的作用就被忽略了。在新一代的商用扫描器中,提出了修补联动的概念,通过发送注册表去提示用户,用户双击注册表,就可以导入需要修改、升级补丁的信息,并且还可以和WSUS进行联动。这样就可以基本上达到自动化的修补。