1. 选择题
(1)在黑客攻击技术中,( )黑客发现获得主机信息的一种最佳途径。
A.网络监听 B.缓冲区溢出
C.端口扫描 D.口令破解
(2)一般情况下,大多数监听工具不能够分析的协议是( )。
A. 标准以太网 B. TCP/IP
C. SNMP和CMIS D. IPX和DECNet
(3)改变路由信息、修改WinDows NT注册表等行为属于拒绝服务攻击的( )方式。
A.资源消耗型 B.配置修改型
C.服务利用型 D. 物理破坏型
(4)( )是建立完善的访问控制策略,及时发现网络遭受攻击情况并加以追踪和防范,避免对网络造成更大损失。
A. 动态站点监控 B.实施存取控制
C. 安全管理检测 D.完善服务器系统安全性能
(5)( )是一种新出现的远程监控工具,可以远程上传、修改注册表等,集聚危险性还在于,在服务端被执行后,如果发现防火墙就会终止该进程,使安装的防火墙完全失去控制。
A.冰河 B.网络公牛
C.网络神偷 D.广外女生
解答:(1)C (2)C (3)B (4)A (5)D
2. 填空题
(1)黑客的“攻击五部曲”是 、 、 、 、 。
解答:(1)隐藏IP、 踩点扫描、获得特权、种植后门、隐身退出
(2)端口扫描的防范也称为 ,主要有 和 两种方法。
(2)系统加固、关闭闲置及危险端口、屏蔽出现扫描症状的端口
(3)密码攻击一般有 、 和 三种方法。其中 有蛮力攻击和字典攻击两种方式。
(3)网络监听非法得到用户密码、密码破解、放置特洛伊木马程序、密码破解
(4)网络安全防范技术也称为 ,主要包括访问控制、 、 、 、补丁安全、 、数据安全等。
(4)加固技术、安全漏洞扫描、入侵检测、攻击渗透性测试、关闭不必要的端口与服务等
(5)入侵检测系统模型由 、 、 、 以及 五个主要部分组成。
(5)信息收集器、分析器、响应、数据库、目录服务器
解答:(1)隐藏IP、 踩点扫描、获得特权、种植后门、隐身退出
(2)系统加固、关闭闲置及危险端口、屏蔽出现扫描症状的端口
(3)网络监听非法得到用户密码、密码破解、放置特洛伊木马程序、密码破解
(4)加固技术、安全漏洞扫描、入侵检测、攻击渗透性测试、关闭不必要的端口与服务等
(5)信息收集器、分析器、响应、数据库、目录服务器
3.简答题
(1)常有的黑客攻击技术有哪些?对每一种攻击技术的防范对策是什么?
1) 端口描攻防
1) 端口扫描作用
网络端口为一组16位号码,其范围为0~65535,服务器在预设得端口等待客户端的连接。如WWW服务使用TCP的80号端口、FTP端口21、Telnet端口23。一般各种网络服务和管理都是通过端口进行的,同时也为黑客提供了一个隐蔽的入侵通道。对目标计算机进行端口扫描能得到许多有用的信息。通过端口扫描,可以得到许多需要的信息,从而发现系统的安全漏洞防患于未然。端口扫描往往成为黑客发现获得主机信息的一种最佳途径。
2)端口扫描的防范对策
端口扫描的防范也称为系统“加固”,主要有两种方法。
(1) 关闭闲置及危险端口
(2) 屏蔽出现扫描症状的端口
2 )网络监听攻防
网络嗅探就是使网络接口接收不属于本主机的数据。通常账户和密码等信息都以明文的形式在以太网上传输,一旦被黑客在杂错节点上嗅探到,用户就可能会遭到损害。
对于网络嗅探攻击,可以采取以下一些措施进行防范。
(1) 网络分段
(2) 加密
(3) 一次性密码技术
3 ) 密码破解攻防
1)密码攻防的方法
一般密码攻击有3种方法:
(1) 通过网络监听非法得到用户密码
(2) 密码破解
(3) 放置木马程序
2) 密码攻防对策
通常保持密码安全的要点:
(1) 要将密码写下来,以免遗失;
(2) 不要将密码保存在电脑文件中;
(3) 不要选取显而易见的信息做密码;
(4) 不要让他人知道;
(5) 不要在不同系统中使用同一密码;
(6) 在输入密码时应确认身边无人或其他人在1米线外看不到输入密码的地方;
(7) 定期改变密码,至少2—5 个月改变一次。
4)特洛伊木马攻防
防范特洛伊木马程序,有以下几种办法。
(1) 必须提高防范意识在打开或下载文件之前,一定要确认文件的来源是否可靠。
(2) 阅读readme.txt并注意readme.exe。
(3) 使用杀毒软件
(4) 立即挂断
(5) 监测系统文件和注册表的变化
(6) 备份文件和注册表
还要需要注意以下几点:
(1) 不要轻易运行来历不明软件或从网上下载的软件。即使通过了一般反病毒软件的检查也不要轻易运行。
(2) 保持警惕性,不要轻易相信熟人发来的E-Mail不会有黑客程序。
(3) 不要在聊天室内公开自己的E-Mail 地址,对来历不明的E-Mail 应立即清除。
(4) 不要随便下载软件,特别是不可靠的FTP 站点。
(5) 不要将重要密码和资料存放在上网的计算机中,以免被破坏或窃取。
5) 缓冲区溢出攻防
(1) 编写正确的代码
(2) 非执行的缓冲区
(3) 数组边界检查
(4) 程序指针完整性检查
6) 拒绝服务攻防
到目前为止,进行DDoS 攻击的防御还是比较困难的。首先,这种攻击的特点是它利用了TCP/IP协议的漏洞。
检测DDoS攻击的主要方法有以下几种:
(1)根据异常情况分析
(2)使用DDoS检测工具
对DDoS攻击的主要防范策略包括:
(1)尽早发现系统存在的攻击漏洞,及时安装系统补丁程序。
(2)在网络管理方面,要经常检查系统的物理环境,禁止那些不必要的网络服务。
(3)利用网络安全设备如防火墙等来加固网络的安全性。
(4)比较好的防御措施就是和你的网络服务提供商协调工作,让他们帮助你实现路由的访问控制和对带宽总量的限制。
(5)当发现自己正在遭受DDoS攻击时,应当启动应付策略,尽快追踪攻击包,并及时联系ISP和有关应急组织,分析受影响的系统,确定涉及的其他节点,从而阻挡已知攻击节点的流量。
(6)对于潜在的DDoS攻击,应当及时清除,以免留下后患。
(2)阐明特洛伊木马攻击的步骤及原理?
1) 使用木马工具进行网络入侵,基本过程可以分为6个步骤。
(1) 配置木马
(2) 传播木马
(3) 运行木马
(4) 泄露信息。收集一些服务端的软硬件信息,并通过E-mail或ICQ 等告知控制端用户。
(5) 建立连接。服务端安装木马程序,且控制端及服务端都要在线。控制端可以通过木马端口与服务端建立连接。
(6) 远程控制。通过木马程序对服务端进行远程控制。
控制端口可以享有的控制权限: 窃取密码、文件操作、修改注册表和系统操作。
2)特洛伊木马攻击原理
特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。
一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。
(3)简述入侵检测系统的模型种类及组成?入侵检测的过程是什么?
1)入侵检测模型有多种,其中最有影响的是如下2种。
(1) Denning的通用入侵检测模型
(2) 入侵检测系统统一模型
侵检测系统统一模型由5个主要部分:信息收集器、分析器、响应、数据库以及目录服务器组成。
2)一般入侵检测的过程包括:入侵信息的收集、系统和网络日志、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息、信号分析、模式匹配、统计分析、专家系统、完整性分析等。
