网络安全第4章课后题 黑客攻防与入侵检测（上）

1. 选择题

（1）在黑客攻击技术中，（  ）黑客发现获得主机信息的一种最佳途径。

A.网络监听                           B.缓冲区溢出

C.端口扫描                           D.口令破解

（2）一般情况下，大多数监听工具不能够分析的协议是（  ）。

A. 标准以太网                        B.  TCP/IP  

C. SNMP和CMIS                  D.  IPX和DECNet

（3）改变路由信息、修改WinDows NT注册表等行为属于拒绝服务攻击的（  ）方式。

A.资源消耗型                         B.配置修改型

C.服务利用型                         D. 物理破坏型          

（4）（  ）是建立完善的访问控制策略，及时发现网络遭受攻击情况并加以追踪和防范，避免对网络造成更大损失。

A. 动态站点监控                       B.实施存取控制

C. 安全管理检测                       D.完善服务器系统安全性能        

（5）（  ）是一种新出现的远程监控工具，可以远程上传、修改注册表等，集聚危险性还在于，在服务端被执行后，如果发现防火墙就会终止该进程，使安装的防火墙完全失去控制。

A.冰河                                B.网络公牛

C.网络神偷                         D.广外女生        

解答：（1）C   （2）C   （3）B   （4）A   （5）D

2. 填空题

（1）黑客的“攻击五部曲”是        、        、        、        、        。

解答：（1）隐藏IP、 踩点扫描、获得特权、种植后门、隐身退出

（2）端口扫描的防范也称为         ，主要有         和         两种方法。

（2）系统加固、关闭闲置及危险端口、屏蔽出现扫描症状的端口

（3）密码攻击一般有       、        和        三种方法。其中        有蛮力攻击和字典攻击两种方式。

（3）网络监听非法得到用户密码、密码破解、放置特洛伊木马程序、密码破解

（4）网络安全防范技术也称为          ，主要包括访问控制、          、         、         、补丁安全、            、数据安全等。

（4）加固技术、安全漏洞扫描、入侵检测、攻击渗透性测试、关闭不必要的端口与服务等

（5）入侵检测系统模型由         、         、         、         以及        五个主要部分组成。

（5）信息收集器、分析器、响应、数据库、目录服务器

解答：（1）隐藏IP、 踩点扫描、获得特权、种植后门、隐身退出

（2）系统加固、关闭闲置及危险端口、屏蔽出现扫描症状的端口

（3）网络监听非法得到用户密码、密码破解、放置特洛伊木马程序、密码破解

（4）加固技术、安全漏洞扫描、入侵检测、攻击渗透性测试、关闭不必要的端口与服务等

（5）信息收集器、分析器、响应、数据库、目录服务器

3.简答题

（1）常有的黑客攻击技术有哪些？对每一种攻击技术的防范对策是什么？

1) 端口描攻防

1) 端口扫描作用

网络端口为一组16位号码，其范围为0~65535，服务器在预设得端口等待客户端的连接。如WWW服务使用TCP的80号端口、FTP端口21、Telnet端口23。一般各种网络服务和管理都是通过端口进行的，同时也为黑客提供了一个隐蔽的入侵通道。对目标计算机进行端口扫描能得到许多有用的信息。通过端口扫描，可以得到许多需要的信息，从而发现系统的安全漏洞防患于未然。端口扫描往往成为黑客发现获得主机信息的一种最佳途径。

2)端口扫描的防范对策

      端口扫描的防范也称为系统“加固”，主要有两种方法。

      (1) 关闭闲置及危险端口

      (2) 屏蔽出现扫描症状的端口

2 )网络监听攻防

    网络嗅探就是使网络接口接收不属于本主机的数据。通常账户和密码等信息都以明文的形式在以太网上传输，一旦被黑客在杂错节点上嗅探到，用户就可能会遭到损害。

      对于网络嗅探攻击，可以采取以下一些措施进行防范。

     (1) 网络分段

     (2) 加密

     (3) 一次性密码技术

3 ) 密码破解攻防

1)密码攻防的方法

      一般密码攻击有3种方法：

      (1) 通过网络监听非法得到用户密码

      (2) 密码破解

      (3) 放置木马程序

2) 密码攻防对策

      通常保持密码安全的要点：

     (1) 要将密码写下来，以免遗失；

     (2) 不要将密码保存在电脑文件中；

     (3) 不要选取显而易见的信息做密码；

     (4) 不要让他人知道；

     (5) 不要在不同系统中使用同一密码；

     (6) 在输入密码时应确认身边无人或其他人在1米线外看不到输入密码的地方；

     (7) 定期改变密码，至少2—5 个月改变一次。

4）特洛伊木马攻防

       防范特洛伊木马程序，有以下几种办法。

      (1) 必须提高防范意识在打开或下载文件之前，一定要确认文件的来源是否可靠。

      (2) 阅读readme.txt并注意readme.exe。

      (3) 使用杀毒软件

      (4) 立即挂断

      (5) 监测系统文件和注册表的变化

      (6) 备份文件和注册表

      还要需要注意以下几点:

      (1) 不要轻易运行来历不明软件或从网上下载的软件。即使通过了一般反病毒软件的检查也不要轻易运行。

      (2) 保持警惕性，不要轻易相信熟人发来的E-Mail不会有黑客程序。

      (3) 不要在聊天室内公开自己的E-Mail 地址，对来历不明的E-Mail 应立即清除。

      (4) 不要随便下载软件，特别是不可靠的FTP 站点。

      (5) 不要将重要密码和资料存放在上网的计算机中，以免被破坏或窃取。

5)  缓冲区溢出攻防

(1) 编写正确的代码

(2) 非执行的缓冲区

(3) 数组边界检查

(4) 程序指针完整性检查

6) 拒绝服务攻防

到目前为止，进行DDoS 攻击的防御还是比较困难的。首先，这种攻击的特点是它利用了TCP/IP协议的漏洞。

检测DDoS攻击的主要方法有以下几种：

      (1)根据异常情况分析

      (2)使用DDoS检测工具

对DDoS攻击的主要防范策略包括：

      (1)尽早发现系统存在的攻击漏洞，及时安装系统补丁程序。

      (2)在网络管理方面，要经常检查系统的物理环境，禁止那些不必要的网络服务。

      (3)利用网络安全设备如防火墙等来加固网络的安全性。

      (4)比较好的防御措施就是和你的网络服务提供商协调工作，让他们帮助你实现路由的访问控制和对带宽总量的限制。

      (5)当发现自己正在遭受DDoS攻击时，应当启动应付策略，尽快追踪攻击包，并及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡已知攻击节点的流量。

     (6)对于潜在的DDoS攻击，应当及时清除，以免留下后患。      

（2）阐明特洛伊木马攻击的步骤及原理？

      1） 使用木马工具进行网络入侵，基本过程可以分为6个步骤。

      (1) 配置木马

      (2) 传播木马

      (3) 运行木马              

      (4) 泄露信息。收集一些服务端的软硬件信息，并通过E-mail或ICQ 等告知控制端用户。

      (5) 建立连接。服务端安装木马程序，且控制端及服务端都要在线。控制端可以通过木马端口与服务端建立连接。

      (6) 远程控制。通过木马程序对服务端进行远程控制。

      控制端口可以享有的控制权限： 窃取密码、文件操作、修改注册表和系统操作。

2)特洛伊木马攻击原理

特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。

      一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。

（3）简述入侵检测系统的模型种类及组成？入侵检测的过程是什么？

1)入侵检测模型有多种，其中最有影响的是如下2种。

(1)  Denning的通用入侵检测模型

(2)  入侵检测系统统一模型

      侵检测系统统一模型由5个主要部分：信息收集器、分析器、响应、数据库以及目录服务器组成。

2)一般入侵检测的过程包括：入侵信息的收集、系统和网络日志、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息、信号分析、模式匹配、统计分析、专家系统、完整性分析等。