计算机网络安全教程（第三版）第四章简答题答案

第 4 章 网络扫描与网络监听

1. 简述黑客的分类，以及黑客需要具备哪些基本素质。
   答：
   目前将黑客分成 3 类：第 1类为破坏者，第 2 类为红客，第 3 类为间谍。
   要成为一名好的黑客，需要具备 4 种基本素质：“ Free”精神，探索与创新精神，反传统精神和合作精神。
2. 黑客在进攻的过程中需要经过哪些步骤？目的是什么？
   答：
   （1）隐藏 IP：IP 隐藏使网络攻击难以被侦破。
   （2）踩点扫描：踩点是通过各种途径对所要攻击的目标进行多方面的了解， 确定攻击的时间和地点。 扫描的目的是利用各种工具在攻击目标的 IP 地址或地址段上的主机上寻找漏洞。
   （3）获得系统或管理员权限： 得到管理员权限的目的是连接到远程计算机， 对其控制，达到自己攻击的目的。
   （4）种植后门：为了保持长期对胜利胜利果实的访问权，在已经攻破的计算机上种植一些供自己访问的后门。
   （5）在网络中隐身： 清除登陆日志及其他相关的日志，防止管理员发现。
3. 简述黑客攻击和网络安全的关系。
   答：
   黑客攻击和网络安全是紧密结合在一起的，研究网络安全不研究黑客攻击技术等同于纸上谈兵，研究攻击技术不研究网络安全等同于闭门造车。
   某种意义上说没有攻击就没有安全，系统管理员可以利用常见的攻击手段对系统进行检测，并对相关的漏洞采取措施。
   网络攻击有善意也有恶意的，善意的攻击可以帮助系统管理员检查系统漏洞，恶意的攻击可以包括：为了私人恩怨而攻击，为了商业或个人目的获得秘密资料而攻击，为了民族仇恨而攻击，利用对方的系统资源满足自己的需求、寻求刺激、给别人帮忙，以及一些无目的攻击。
4. 为什么需要网络踩点？
   答：
   踩点就是通过各种途径对所要攻击的目标进行尽可能的了解。常见的踩点方法包括：在域名及其注册机构的查询，公司性质的了解，对主页进行分析，邮件地址的搜集和目标 IP 地址范围查询。
   踩点的目的就是探察对方的各方面情况，确定攻击的时机。摸清对方最薄弱的环节和守卫最松散的时刻，为下一步的入侵提供良好的策略。
5. 扫描分成哪两类？每类有什么特点？可以使用哪些工具进行扫描、各有什么特点？
   答：
   （1）网络扫描一般分为两种策略：一种是主动式策略；另外一种是被动式策略。
   （2）被动式策略 特点：基于主机之上的，对系统中不合适的设置、脆弱的口令及其他同安全规则相抵触的对象进行检查，被动式扫描不会对系统造成破坏。工具及特点： GetNTUser：系统用户扫描； PortScan：开放端口扫描； Shed：共享目录扫描。
   （3）主动式策略 特点：基于网络的， 它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应， 从而发现其中的漏洞。 主动式扫描对系统进行模拟攻击可能会对系统造成破坏。 工具及特点：X-Scan-v2.3 ：对指定 IP 地址段（单机）进行安全漏洞检测。
   常见的扫描工具包括：
   （1）系统自带的扫描工具如 windows 和 linux 中的 ping，linux 中的 namp。这类工具操作简单，大多工作在命令行模式下。
   （2）开源的和免费的扫描工具如 Nessus，X-scan，Netcat，X-port 以及 Google 在 2010 年新推出的 Skipfish 等。这类扫描工具一般具有单一、独特的功能，因此扫描速度极快、更新速度快、容易使用，由于其开源、免费的特点，使其具有更广泛的影响力。
   （3）商用的扫描工具，如 eEye公司的 Retina，Network Associates的 CyberCop Scanner以及 Symantec 的 NetRecon 等。基本上大部分商业扫描器都工作在黑盒模式，在这种模式下无法看到源代码，以一个近似于渗透者或攻击者的身份去看待需要评估的。在商业化应用中，对误报、漏报的容忍程度比较低。商用扫描器在精确扫描之后，会给出一些建议和手段来屏蔽。最初是提供一些修补建议，这种方式对专业人员来说有相当价值，但对于一些较薄弱或者比较懒惰的用户，修补建议的作用就被忽略了。在新一代的商用扫描器中，提出了修补联动的概念，通过发送注册表去提示用户，用户双击注册表，就可以导入需要修改、升级补丁的信息，并且还可以和 WSUS 进行联动。这样就可以基本上达到自动化的修补。
6. 网络监听技术的原理是什么？
   答：
   监听器 Sniffer 的原理是：在局域网中与其他计算机进行数据交换时，数据包发往所有的连在一起的主机，也就是广播，在报头中包含目的机的正确地址。因此只有与数据包中目的地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目的地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以监听同一网段所有的数据包，不能监听不同网段的计算机传输的信息。
7. 对一台操作系统是 Windows 2000 Server 或者是 Windows 2000 Advanced Server 的计算机进行扫描，并写扫描报告，要求记录对方用户列表、提供的服务、共享的目录已经存在的漏洞。 （上机完成）
   答：（略）
8. 修改案例 4-4，利用 UDP 协议实现端口扫描。（上机完成）
   答：（略）