计算机⽹络安全教程第三版课后答案
第1章⽹络安全概述与环境配置
1. ⽹络攻击和防御分别包括哪些内容?
答:攻击技术主要包括以下⼏个⽅⾯。
戚薇 男人装(1)⽹络监听:⾃⼰不主动去攻击别⼈,⽽是在计算机上设置⼀个程序去监听⽬标计算机与其他计算机通信的数据。
(2)⽹络扫描:利⽤程序去扫描⽬标计算机开放的端⼝等,⽬的是发现漏洞,为⼊侵该计算机做准备。
(3)⽹络⼊侵:当探测发现对⽅存在漏洞后,⼊侵到⽬标计算机获取信息。
(4)⽹络后门:成功⼊侵⽬标计算机后,为了实现对“战利品”的长期控制,在⽬标计算机中种植⽊马等后门。
(5)⽹络隐⾝:⼊侵完毕退出⽬标计算机后,将⾃⼰⼊侵的痕迹清除,从⽽防⽌被对⽅管理员发现。
防御技术主要包括以下⼏个⽅⾯。
(1)安全操作系统和操作系统的安全配置:操作系统是⽹络安全的关键。
(2)加密技术:为了防⽌被监听和数据被盗取,将所有的数据进⾏加密。
(3)防⽕墙技术:利⽤防⽕墙,对传输的数据进⾏限制,从⽽防⽌被⼊侵。
(4)⼊侵检测:如果⽹络防线最终被攻破,需要及时发出被⼊侵的警报。
(5)⽹络安全协议:保证传输的数据不被截获和监听。
2. 从层次上,⽹络安全可以分成哪⼏层?每层有什么特点?
答:从层次体系上,可以将⽹络安全分成4个层次上的安全:物理安全,逻辑安全,操作系统安全和联⽹安全。
物理安全主要包括5个⽅⾯:防盗,防⽕,防静电,防雷击和防电磁泄漏。
逻辑安全需要⽤⼝令、⽂件许可等⽅法来实现。
操作系统安全,操作系统必须能区分⽤户,以便防⽌相互⼲扰。操作系统不允许⼀个⽤户修改由另⼀个账户产⽣的数据。
联⽹安全通过访问控制服务和通信安全服务两⽅⾯的安全服务来达到。(1)访问控制服务:⽤来保护计算机和联⽹资源不被⾮授权使⽤。(2)通信安全服务:⽤来认证数据机要性与完整性,以及各通信的可信赖性。
(感觉如果说是特点的话这样回答有点别扭。。)
3. 为什么要研究⽹络安全?
答:⽹络需要与外界联系,同时也就受到许多⽅⾯的威胁:物理威胁、系统漏洞造成的威胁、⾝份鉴别威胁、线缆连接威胁和有害程序威胁等。(可详细展开)
第2章⽹络安全协议基础
1. 简述OSI参考模型的结构
答:OSI参考模型是国际标准化组织(International Standards Organization,ISO)制定的模型,把计算机与计算机之间的通信分成7个互相连接的协议层,⾃顶向下分别为应⽤层、表⽰层、会话层、传输层、⽹络层、数据链路层、物理层。
2. 简述常⽤的⽹络服务及提供服务的默认端⼝。
答:
常见服务及提供服务的默认端⼝和对应的协议如下表所⽰
端 ⼝ 协 议 服 务
21 TCP FTP服务
25 TCP SMTP服务
53 TCP/UDP DNS服务
80 TCP Web服务杭州的旅游景点
135 TCP RPC服务
137 UDP NetBIOS域名服务
138 UDP NetBIOS数据报服务
139 TCP NetBIOS会话服务
443 TCP 基于SSL的HTTP服务
445 TCP/UDP Microsoft SMB服务
3389 TCP Windows终端服务
3. 简述ping指令、ipconfig指令、netstat指令、net指令和at指令的功能和⽤途。
答:(1)ping指令:ping指令通过发送ICMP包来验证与另⼀台TCP/IP计算机的IP级连接。应答消息的接收情况将和往返过程的次数⼀起显⽰出来。ping指令⽤于检测⽹络的连接性和可到达性。
(2)ipconfig指令:ipconfig指令显⽰所有TCP/IP⽹络配置信息、刷新动态主机配置协议(Dynamic Host Configuration Protocol, DHCP)和域名系统(DNS)设置。使⽤不带参数的ipconfig可以显⽰所有适配器的IP地址、⼦⽹掩码和默认⽹关。
(3)netstat指令:netstat指令显⽰活动的连接、计算机监听的端⼝、以太⽹统计信息、IP 路由表、IPv4统计信息
(IP,ICMP,TCP和UDP协议)。使⽤“netstat -an”命令可以查看⽬前活动的连接和开放的端⼝,是⽹络管理员查看⽹络是否被⼊侵的最简单⽅法。
(4)net指令:net指令的功能⾮常的强⼤,在⽹络安全领域通常⽤来查看计算机上的⽤户列表、添加和删除⽤户、与对⽅计算机建⽴连接、启动或者停⽌某⽹络服务等。
(5)at指令:使⽤at命令建⽴⼀个计划任务,并设置在某⼀时刻执⾏。
第4章⽹络扫描与⽹络监听汪峰结过几次婚
1. 简述⿊客的分类,以及⿊客需要具备哪些基本素质。
答:⽬前将⿊客分成3类:第1类为破坏者,第2类为红客,第3类为间谍。
要成为⼀名好的⿊客,需要具备4种基本素质:“Free”精神,探索与创新精神,反传统精神和合作精神。
2. ⿊客在进攻的过程中需要经过哪些步骤?⽬的是什么?
答:⿊客⼀次成攻的攻击,可以归纳成基本的五个步骤:
第⼀, 隐藏IP;
第⼆, 踩点扫描;
第三, 获得系统或管理员权限;
第四, 种植后门;
第五, 在⽹络中隐⾝。
以上⼏个步骤根据实际情况可以随时调整。
3. 简述⿊客攻击和⽹络安全的关系。
答:⿊客攻击和⽹络安全是紧密结合在⼀起的,研究⽹络安全不研究⿊客攻击技术等同于纸上谈兵,研究攻击技术不研究⽹络安全等同于闭门造车。某种意义上说没有攻击就没有安全,系统管理员可以利⽤常见的攻击⼿段对系统进⾏检测,并对相关的漏洞采取措施。
⽹络攻击有善意也有恶意的,善意的攻击可以帮助系统管理员检查系统漏洞,恶意的攻击可以包括:为了私⼈恩怨⽽攻击,为了商业或个⼈⽬的获得秘密资料⽽攻击,为了民族仇恨⽽攻击,利⽤对⽅的系统资源满⾜⾃⼰的需求、寻求刺激、给别⼈帮忙,以及⼀些⽆⽬的攻击。
4. 扫描分成哪两类?每类有什么特点?可以使⽤哪些⼯具进⾏扫描、各有什么特点?
答:扫描,⼀般分成两种策略:⼀种是主动式策略,另⼀种是被动式策略。被动式策略是基于主机之上,对系统中不合适的设置、脆弱的⼝令及其他同安全规则抵触的对象进⾏检查,不会对系统造成破坏。主动式策略是基于⽹络的,它通过执⾏⼀些脚本⽂件模拟对系统进⾏攻击的⾏为并记录系统的反应,从⽽发现其中的漏洞,但是可能会对系统造成破坏。
常见的扫描⼯具包括:
第⼀,系统⾃带的扫描⼯具如windows和linux中的ping,linux中的namp。这类⼯具操作简单,⼤多⼯作在命令⾏模式下。
第⼆,开源的和免费的扫描⼯具如Nessus,X-scan,Netcat,X-port以及Google在2010年新推出的Skipfish等。这类扫描⼯具⼀般具有单⼀、独特的功能,因此扫描速度极快、更新速度快、容易使⽤,由于其开源、免费的特点,使其具有更⼴泛的影响⼒。
第三,商⽤的扫描⼯具,如eEye公司的Retina,Network Associates的CyberCop Scanner以及Symantec 的NetRecon等。基本上⼤部分商业扫描器都⼯作在⿊盒模式,在这种模式下⽆法看到源代码,以⼀个近似于渗透者或攻击者的⾝份去看待需要评估的。在商业化应⽤中,对误报、漏报的容忍程度⽐较低。商⽤扫描器在精确扫描之后,会给出⼀些建议和⼿段来屏蔽。最初是提供⼀些修补建议,这种⽅式对专业⼈员来说有相当价值,但对于⼀些较薄弱或者⽐较懒惰的⽤户,修补建议的作⽤
就被忽略了。在新⼀代的商⽤扫描器中,提出了修补联动的概念,通过发送注册表去提⽰⽤户,⽤户双击注册表,就可以导⼊需要修改、升级补丁的信息,并且还可以和WSUS进⾏联动。这样就可以基本上达到⾃动化的修补。
第5章⽹络⼊侵
1. 简述社会⼯程学攻击的原理。
答:社会⼯程是使⽤计谋和假情报去获得密码和其他敏感信息的科学。研究⼀个站点的策略,就是尽可能多地了解这个组织的个体,因此⿊客不断试图寻更加精妙的⽅法从他们希望渗透的组织那⾥获得信息。
柯以柔另⼀种社会⼯程的形式是⿊客试图通过混淆⼀个计算机系统去模拟⼀个合法⽤户。
2. 简述暴⼒攻击的原理。暴⼒攻击如何破解操作系统的⽤户密码、如何破解邮箱密码、如何破解Word⽂档的密码?针对暴⼒攻击应如何
防御?
答:
暴⼒攻击的原理:⿊客使⽤枚举的⽅法,使⽤运算能⼒较强的计算机,尝试每种可能的字符破解密码,这些字符包括⼤⼩写、数字和通配符等。
字典⽂件为暴⼒破解提供了⼀条捷径,程序⾸先通过扫描得到系统的⽤户,然后利⽤字典中每⼀个密码来登录系统,看是否成功,如果成功则显⽰密码。
邮箱的密码⼀般需要设置为8位以上,7位以下的密码容易被破解。尤其7位全部是数字的密码,更容易被破解。使⽤相应暴⼒破解软件可以每秒50到100个密码的速度进⾏匹配。
破解Word⽂档的密码⽅法与破解邮箱密码相似。
进⾏适宜的安全设置和策略,通过结合⼤⼩写字母、数字和通配符组成健壮的密码可以防御暴⼒攻击。
4.简述拒绝服务的种类与原理。
⼀:什么是UNICODE漏润NSFOCUS安全⼩组发现IIS4.0和IS5.0在Unicode字符解码的实现中存在⼀个安全漏洞,导致⽤户可以远程通过IIS执⾏任意命令。当IIS打开⽂件时,如果该⽂件名包含unicode字符,它会对其进⾏解码,如果⽤户提供⼀些特殊的编码,将导致IIS错误的打开或者执⾏某些web根⽬录以外的⽂件。
攻击者可以利⽤这个漏洞来绕过IIS的路径检查,去执⾏或者打开任意的⽂件。(1)如果系统包含某个可执⾏⽬录,就可能执⾏任意系统命令。
⼆.骇客是如何利⽤UNICODE漏洞来⼊侵使⽤Unicode漏洞的攻击⽅式,书上介绍两种:⼊侵到对⽅的操作系统和删除对⽅站点主页。
1.⾸先我们的来寻⼀台存在UNICODE漏洞的主机,这⾥我们可以使⽤的⼯具⾮常多,只要是能扫CGI漏洞的都可以,不过我更喜欢
流光,因为流光的功能是⾮常强⼤的。注意:
我们这⾥是的⽬的是通过⼊侵⽅法来学会防范,所以以下我们使⽤的主机都是假设的。
建议简单解决⽅案:
1.限制⽹络⽤户访问和调⽤cmd的权限。
2.在Scripts、Msadc⽬录没必要使⽤的情况下,删除该⽂件夹或者改名。
3.安装NT系统时不要使⽤默认WINNT路径,⽐⽅说,可以改名为lucky或者其他名字。
临时解决⽅法:
NSFOCUS建议您再没有安装补丁之前,暂时采⽤下列⽅法临时解决问题:
1、如果不需要可执⾏的CGI,可以删除可执⾏虚拟⽬录例如/scripts等等。
2、如果确实需要可执⾏的虚拟⽬录,建议可执⾏虚拟⽬录单独在⼀个分区
3. 简述缓冲区溢出攻击的原理。
答:当⽬标操作系统收到了超过了它的能接收的最⼤信息量时,将发⽣缓冲区溢出。这些多余的数据使程序的缓冲区溢出,然后覆盖实际的程序数据。缓冲区溢出使⽬标系统的程序被修改,经过这种修改的结果将在系统上产⽣⼀个后门。最常见的⼿段是通过制造缓冲区溢出使程序运⾏⼀个⽤户shell,再通过shell执⾏其他命令,如果该shell有管理员权限,就可以对系统进⾏任意操作。
6.简述拒绝服务的种类与原理。
凡是造成⽬标计算机拒绝提供服务的攻击都成为DoS攻击,其⽬的是使⽬标计算机或⽹络⽆法提供正常的服务。最常见的DoS攻击是计算机⽹络带宽攻击和连通性攻击。带宽攻击是以极⼤的信息量冲击⽹络,是⽹络所有可⽤的带宽都被消耗掉,最后导致合法⽤户的请求⽆法通过。连通性攻击指⽤⼤量的连接请求冲击计算机,最终导致计算机⽆法再处理合法⽤户的请求。
⽐较著名的拒绝服务攻击包括:SYN风暴、Smurf攻击和利⽤处理程序错误进⾏攻击。
我跟阿姨SYN风暴:它是通过创建⼤量“半连接”来进⾏攻击,任何连接到Internet上并提供基于TCP的⽹络服务的主机都可能遭受这种攻击。针对不同的系统,攻击的结果可能不同,但是攻击的根本都是利⽤这些系统中TCP/IP协议族的设计弱点和缺陷。攻击者通常伪造主机D不可达的IP地址作为源地址。为了使拒绝服务的时间长于超时所⽤的时间,攻击者会持续不断地发送SYN包,故称为“SYN风暴”。
Smurf攻击:这种攻击⽅法结合使⽤了IP欺骗和带有⼴播地址的ICMP请求-响应⽅法是⼤量⽹络传输充斥⽬标系统,引起⽬标系统拒绝为正常系统进⾏服务,属于间接、借⼒攻击⽅式。任何连接到互联⽹上的主机或其他⽀持ICMP请求-响应的⽹络设备都可能成为这种攻击的⽬标。
利⽤处理程序错误进⾏攻击:SYN flooding和Smurf攻击利⽤TCP/IP协议中的设计弱点,通过强⾏引⼊⼤量的⽹络包来占⽤带宽,迫使⽬标受害主机拒绝对正常的服务请求响应。利⽤TCP/IP协议实现中的处理程序错误进⾏攻击,即故意错误地设定数据包头的⼀些重要字段。
第6章⽹络后门与⽹络隐⾝
1. 留后门的原则是什么?
答:后门的好坏取决于被管理员发现的概率,留后门的原则就是不容易被发现,让管理员看了没有感
觉、没有任何特别的地⽅。
2. 如何留后门程序?列举三种后门程序,并阐述原理及如何防御。
答:⽹络攻击经过踩点、扫描、⼊侵以后,如果攻击成功,⼀般就可以拿到管理员密码或者得到管理员权限。2019高考分数线预测
第⼀,Login后门。在Unix⾥,login程序通常⽤来对telnet来的⽤户进⾏⼝令验证。⼊侵者获取login。c的原代码并修改,使它在⽐较输⼊⼝令与存储⼝令时先检查后门⼝令。如果⽤户敲⼊后门⼝令,它将忽视管理员设置的⼝令让你长驱直⼊。这将允许⼊侵者进⼊任何账号,甚⾄是root。由于后门⼝令是在⽤户真实登录并被⽇志记录到utmp和wtmp前产⽣⼀个访问的,所以⼊侵者可以登录获取shell却不会暴露该账号。管理员注意到这种后门后,便⽤“strings”命令搜索login程序以寻⽂本信息。许多情况下后门⼝令会原形毕露。⼊侵者就开始加密或者更好的隐藏⼝令,使strings命令失效。所以更多的管理员是⽤MD5校验和检测这种后门的。
第⼆,线程插⼊后门。这种后门在运⾏时没有进程,所有⽹络操作均播⼊到其他应⽤程序的进程中完成。也就是说,即使受控制端安装的防⽕墙拥有“应⽤程序访问权限”的功能,也不能对这样的后门进⾏有效的警告和拦截,也就使对⽅的防⽕墙形同虚设!这种后门本⾝的功能⽐较强⼤,是现在⾮常主流的⼀种,对它的查杀⽐较困难,很让防护的⼈头疼。
第三,⽹页后门。⽹页后门其实就是⼀段⽹页代码,主要以ASP和PHP代码为主。由于这些代码都运⾏在服务器端,攻击者通过这段精⼼设计的代码,在服务器端进⾏某些危险的操作,获得某些敏感的技术信息或者通过渗透,提权获得服务器的控制权。并且这也是攻击者控制服务器的⼀条通道,⽐⼀般的⼊侵更具有隐蔽性。
防御后门的⽅法主要有:建⽴良好的安全习惯,关闭或删除系统中不需要的服务,经常升级安全补丁,设置复杂的密码,迅速隔离受感染的计算机,经常了解⼀些反病毒资讯,安装专业的防毒软件进⾏全⾯监控等。
3. 简述终端服务的功能,如何连接到终端服务器上?如何开启对⽅的终端服务?
答:终端服务是Windows操作系统⾃带的,可以通过图形界⾯远程操纵服务器。可通过以下三种⽅式连接到终端服务器上:第⼀,利⽤Windows 2000⾃带的终端服务⼯具。该⼯具中只需设置要连接主机的IP地址和连接桌⾯的分辨率即可。第⼆,使⽤Windows XP⾃带的终端服务连接器。它的界⾯⽐较简单,只要输⼊对⽅主机的IP地址就可以了。第三,使⽤Web⽅式连接,该⼯具包含⼏个⽂件,需要将这些⽂件配置到IIS的站点中去。假设对⽅不仅没有开启终端服务,⽽且没有安装终端服务所需要的软件,使⽤⼯具软件可以给对⽅安装并开启该服务。
4. 简述⽊马由来,并简述⽊马和后门的区别。
答:“⽊马”⼀词来⾃于“特洛伊⽊马”,英⽂名称为Trojan Horse。传说希腊⼈围攻特洛伊城,久久不能攻克,后来军师想出了⼀个特洛伊⽊马计,让⼠兵藏在巨⼤的特洛伊⽊马中,部队假装撤退⽽将特洛伊⽊马丢弃在特洛伊城下,让敌⼈将其作为战利品拖⼊城中,到了夜⾥,特洛伊⽊马内的⼠兵便趁着夜⾥敌⼈庆祝胜利、放松警惕的时候从特洛伊⽊马⾥悄悄地爬出来,与城外的部队⾥应外合攻下了特洛伊城。由于特洛伊⽊马程序的功能和此类似,故⽽得名。本质上,⽊马和后门都是提供⽹络后门的功能,但是⽊马的功能稍微强⼤⼀些,⼀般还有远程控制的功能,后门程序则功能⽐较单⼀,只是提供客户端能够登录对⽅的主机。
5. 简述⽹络代理跳板的功能。
答:⽹络代理跳板作⽤如下:当从本地⼊侵其他主机时,本地IP会暴露给对⽅。通过将某⼀台主机设置为代理,通过该主机再⼊侵其他主机,这样就会留下代理的IP地址⽽有效地保护⾃⼰的安全。本地计算机通过两级代理⼊侵某⼀台主机,这样在被⼊侵的主机上,就不会留下⾃⼰的信息。可以选择更多的代理级别,但是考虑到⽹络带宽的问题,⼀般选择两到三级代理⽐较合适。
6. 系统⽇志有哪些?如何清楚这些⽇志?
答:系统⽇志包括IIS⽇志,应⽤程序⽇志、安全⽇志和系统⽇志等。
清除⽇志最简单的⽅法是直接到该⽬录下删除这些⽂件夹,但是⽂件全部删除以后,⼀定会引起管理员的怀疑。⼀般⼊侵的过程是短暂的,只会保存到⼀个Log⽂件,只要在该Log⽂件删除所有⾃⼰的记录就可以了。
使⽤⼯具软件可以删除IIS⽇志。使⽤⼯具软件可以⽅便地清除系统⽇志,⾸先将该⽂件上载到对⽅主机,然后删除这3种主机⽇志。清除命令有4种:Clearel System,Clearel Security,Clearel Application和Clearel All。
7.利⽤三种⽅法在对⽅计算机种植后门程序。
1)利⽤⼯具RTCS.vbe远程启动Telnet服务:利⽤主机上的Telnet服务,有管理员密码就可以登录到对⽅的命令⾏,进⽽操作对⽅的⽂件系统。
2)利⽤⼯具记录修改的新密码。
3)建⽴Web服务和Telnet服务:使⽤⼯具软件可以在对⽅的主机上开启两个服务:Web服务和Telnet服务其中Web服务的端⼝是808,Telnet服务的端⼝是707执⾏很简单,只要在对⽅的命令⾏下执⾏⼀下就可以
8.在对⽅计算机上种植“冰河”程序,并设置“冰河”的服务端⼝是“8999”,连接的密码是“0987654321”。
⾸先将⽂件在远程计算机上执⾏后,通过⽂件来控制远程服务器。然后在冰河界⾯处设置端⼝为8999。选择菜单栏“设置”下的菜单项“配置服务器程序”,将访问⼝令设置为0987654321.